In che modo ChatGPT può trasformare chiunque in un attore di minacce ransomware e malware
Da quando OpenAI ha lanciato ChatGPT alla fine di novembre, i commentatori di tutte le parti si sono preoccupati dell’impatto che avrà la creazione di contenuti basata sull’intelligenza artificiale, in particolare nel campo della sicurezza informatica. In effetti, molti ricercatori temono che le soluzioni di intelligenza artificiale generativa democratizzeranno il crimine informatico.
Con ChatGPT, qualsiasi utente può inserire una query e generare codice dannoso ed e -mail di phishing convincenti senza alcuna competenza tecnica o conoscenza di codifica.
Mentre i team di sicurezza possono anche sfruttare ChatGPT per scopi difensivi come testare il codice, abbassando la barriera all’ingresso per gli attacchi informatici, la soluzione ha complicato notevolmente il panorama delle minacce.
La democratizzazione del crimine informatico
Dal punto di vista della sicurezza informatica, la sfida centrale creata dalla creazione di OpenAI è che chiunque, indipendentemente dalle competenze tecniche, può creare codice per generare malware e ransomware su richiesta.
“Proprio come [ChatGPT] può essere utilizzato per aiutare gli sviluppatori a scrivere codice per sempre, può (e lo è già stato) essere utilizzato per scopi dannosi”, ha affermato Matt Psencik, Director, Endpoint Security Specialist di Tanium .
“Un paio di esempi che ho già visto chiedono al bot di creare email di phishing convincenti o assistere nel codice di reverse engineering per trovare exploit zero-day che potrebbero essere utilizzati in modo dannoso invece di segnalarli a un fornitore”, ha affermato Psencik.
Tuttavia, Psencik osserva che ChatGPT dispone di guardrail integrati progettati per impedire che la soluzione venga utilizzata per attività criminali.
Ad esempio, rifiuterà di creare codice shell o fornire istruzioni specifiche su come creare shellcode o stabilire una shell inversa e contrassegnare parole chiave dannose come il phishing per bloccare le richieste.
Il problema con queste protezioni è che dipendono dall’intelligenza artificiale che riconosce che l’utente sta tentando di scrivere codice dannoso (che gli utenti possono offuscare riformulando le query), mentre non ci sono conseguenze immediate per la violazione della politica sui contenuti di OpenAI.
Come utilizzare ChatGPT per creare e-mail di ransomware e phishing
Sebbene ChatGPT non sia uscito da molto, i ricercatori di sicurezza hanno già iniziato a testare la sua capacità di generare codice dannoso. Ad esempio, il ricercatore di sicurezza e co-fondatore di Picus Security , il dottor Suleyman Ozarslan, ha recentemente utilizzato ChatGPT non solo per creare una campagna di phishing, ma anche per creare ransomware per MacOS.
“Abbiamo iniziato con un semplice esercizio per vedere se ChatGPT avrebbe creato una campagna di phishing credibile e così è stato. Ho inserito una richiesta per scrivere un’e-mail a tema Coppa del Mondo da utilizzare per una simulazione di phishing e ne è stata creata una in pochi secondi, in un inglese perfetto”, ha affermato Ozarslan.
In questo esempio, Ozarslan ha “convinto” l’intelligenza artificiale a generare un’e-mail di phishing affermando di essere un ricercatore di sicurezza di una società di simulazione di attacchi che cercava di sviluppare uno strumento di simulazione di attacchi di phishing.
Sebbene ChatGPT abbia riconosciuto che “gli attacchi di phishing possono essere utilizzati per scopi dannosi e possono causare danni a individui e organizzazioni”, ha comunque generato l’e-mail.
Dopo aver completato questo esercizio, Ozarslan ha quindi chiesto a ChatGPT di scrivere il codice per Swift, che potrebbe trovare i file di Microsoft Office su un MacBook e inviarli tramite HTTPS a un server Web, prima di crittografare i file di Office sul MacBook. La soluzione ha risposto generando codice di esempio senza avvisi o richieste.
L’esercizio di ricerca di Ozarslan dimostra che i criminali informatici possono aggirare facilmente le protezioni di OpenAI, posizionandosi come ricercatori o offuscando le loro intenzioni dannose.
L’aumento del crimine informatico sbilancia la bilancia
Sebbene ChatGPT offra vantaggi positivi ai team di sicurezza, abbassando la barriera all’ingresso per i criminali informatici ha il potenziale per accelerare la complessità nel panorama delle minacce più di quanto non debba ridurla.
Ad esempio, i criminali informatici possono utilizzare l’intelligenza artificiale per aumentare il volume delle minacce di phishing in natura, che non solo stanno già travolgendo i team di sicurezza, ma devono avere successo solo una volta per causare una violazione dei dati che costa milioni di danni.
“Quando si tratta di sicurezza informatica, ChatGPT ha molto di più da offrire agli aggressori rispetto ai loro obiettivi”, ha affermato il CVP di Ricerca e sviluppo presso il provider di sicurezza e-mail, IRONSCALES , Lomy Ovadia.
“Ciò è particolarmente vero per gli attacchi Business Email Compromise ( BEC ) che si basano sull’utilizzo di contenuti ingannevoli per impersonare colleghi, un VIP aziendale, un fornitore o persino un cliente”, ha affermato Ovadia.
Ovadia sostiene che i CISO e i leader della sicurezza saranno superati se si affidano a strumenti di sicurezza basati su policy per rilevare attacchi di phishing con contenuti generati da AI/GPT-3 , poiché questi modelli di AI utilizzano l’elaborazione avanzata del linguaggio naturale ( NLP ) per generare e-mail di truffa che sono quasi impossibile da distinguere da esempi autentici.
Ad esempio, all’inizio di quest’anno, un ricercatore di sicurezza della Government Technology Agency di Singapore ha creato 200 e-mail di phishing e ha confrontato la percentuale di clic con quella creata dal modello di deep learning GPT-3 e ha scoperto che più utenti hanno fatto clic sulle e-mail di phishing generate dall’intelligenza artificiale rispetto alle quelli prodotti da utenti umani.
Quindi qual è la buona notizia?
Sebbene l’IA generativa introduca nuove minacce per i team di sicurezza, offre anche alcuni casi d’uso positivi. Ad esempio, gli analisti possono utilizzare lo strumento per esaminare il codice open source alla ricerca di vulnerabilità prima della distribuzione.
“Oggi stiamo vedendo hacker etici utilizzare l’IA esistente per aiutare a scrivere rapporti sulle vulnerabilità, generare campioni di codice e identificare le tendenze in grandi set di dati. Tutto questo per dire che la migliore applicazione per l’IA di oggi è aiutare gli esseri umani a fare cose più umane “, ha affermato Dane Sherrets, Solutions Architect di HackerOne .
Tuttavia, i team di sicurezza che tentano di sfruttare soluzioni di intelligenza artificiale generativa come ChatGPT devono comunque garantire un’adeguata supervisione umana per evitare potenziali intoppi.
“I progressi rappresentati da ChatGPT sono entusiasmanti, ma la tecnologia non si è ancora sviluppata per funzionare in modo completamente autonomo. Affinché l’intelligenza artificiale funzioni, richiede la supervisione umana, alcune configurazioni manuali e non si può sempre fare affidamento per essere eseguita e addestrata sui dati e sull’intelligence più recenti in assoluto “, ha affermato Sherrets.
È per questo motivo che Forrester consiglia alle organizzazioni che implementano l’IA generativa di implementare flussi di lavoro e governance per gestire i contenuti e il software generati dall’IA per garantire che siano accurati e ridurre la probabilità di rilasciare soluzioni con problemi di sicurezza o prestazioni.
Inevitabilmente, il vero rischio di IA generativa e ChatGPT sarà determinato dal fatto che i team di sicurezza o gli attori delle minacce sfruttino l’automazione in modo più efficace nella guerra tra IA difensiva e offensiva.