OpenAI, im Dezember 2015 gegründet, ist ein non-profit Unternehmen für die KI-Forschung und -den KI-Einsatz. Deren Mission ist es, sicherzustellen, dass künstliche allgemeine Intelligenz der gesamten Menschheit zugutekommt. Daran arbeiten über 100 Mitarbeiter. Eines der zur Zeit interessantesten Projekte ist ChatGPT. Ziel ist die Optimierung von Sprachmodellen für Dialoge. Den Experten ist es gelungen, ein Modell zu trainieren das Interaktion ermöglicht.
Das Dialogformat ermöglicht es, Folgefragen zu beantworten, Fehler zuzugeben, falsche Prämissen in Frage zu stellen und unangemessene Anfragen zurückzuweisen. ChatGPT ist ein Geschwistermodell von InstructGPT, das darauf trainiert ist, einer Anweisung in einer Eingabeaufforderung zu folgen und eine detaillierte Antwort zu geben. Wer sich für die Details interessiert, wird hier fündig: https://openai.com/blog/ chatgpt/
Soweit so gut. Bei allen Innovationen passiert es immer wieder, dass dort wo große Chancen sind, auch große Risiken liegen, oft im Verborgenen.
Warum der Hype?
Bei Trellix ist man der Ansicht, dass ChatGPT der Begriff für innovative Chattechnologie schlechthin geworden ist. Während seine Vorgänger in der Data-Science-Branche zwar auf Interesse stießen, erkannten nur sehr wenige einen praktischen Nutzen für den Durchschnittsverbraucher. Damit sei jetzt Schluss, denn der „intelligenteste Textbot aller Zeiten“ hat Tausende von innovativen Anwendungsfällen inspiriert, die in fast allen Branchen zum Einsatz kommen. Im Cyber-Bereich reichen die Beispiele von der E-Mail-Generierung über die Code-Erstellung und -Prüfung bis hin zur Entdeckung von Sicherheitslücken und vielem mehr.
Mit den bahnbrechenden Fortschritten in der Technologie sind jedoch auch die unvermeidlichen Sicherheitsbedenken nicht weit entfernt. Während ChatGPT bemüht ist, böswillige Inhalte einzuschränken, sieht die Realität so aus, dass Cyber-Kriminelle bereits nach Möglichkeiten suchen, das Tool für schadhafte Zwecke zu nutzen. Es ist zum Beispiel nicht schwer, realistische PhishingE-Mails oder Exploit-Code zu erstellen, indem man einfach die Benutzereingabe ändert oder die erzeugte Ausgabe leicht anpasst.
Die Kehrseite der Medaille
Während textbasierte Angriffe wie Phishing weiterhin das Social Engineering dominieren, wird die Entwicklung von datenwissenschaftlichen Tools unweigerlich zu anderen Medien führen, einschließlich Audio und Video, die ebenso effektiv sein könnten. Darüber hinaus könnten Bedrohungsakteure versuchen, Datenverarbeitungs-Engines so zu verfeinern, dass sie ChatGPT nachahmen, während sie gleichzeitig Beschränkungen aufheben und sogar die Fähigkeiten dieser Tools zur Erstellung bösartiger Ergebnisse verbessern.
Das Potenzial
Auch wenn Bedenken hinsichtlich der Cyber-Sicherheit aufgekommen sind, darf nicht vergessen werden, dass dieses Tool ein noch größeres Potenzial hat Gutes zu tun. Es kann unter anderem dazu beitragen, kritische Programmierfehler zu erkennen, komplexe technische Konzepte in einfacher Sprache zu beschreiben und sogar Skripte und widerstandsfähigen Code zu entwickeln. Forscher, Hochschulen und Unternehmen in der Cyber-Sicherheitsbranche können sich die Vorteile von ChatGPT für Innovation und Zusammenarbeit zunutze machen. Daher wird es interessant, diese Entwicklung für computergenerierte Inhalte zu verfolgen, da es die Fähigkeiten sowohl für gutartige als auch für bösartige Absichten verbessert.
Die Lücken
Sicherheitsforscher von Check Point Research (CPR) haben just in Experimenten herausgefunden, dass ChatGPT auch dafür verwendet werden könnte, bösartige Mails und Code zu generieren und so mit wenig Aufwand ausgefeilte Cyberangriffe zu initiieren. Das ist natürlich weniger schön. Sie warnen vor Hackern, die ChatGPT und Codex von OpenAI nutzen könnten, um gezielte und effiziente Cyberangriffe durchzuführen. CPR hat in experimentellen Korrespondenzen getestet, ob sich mithilfe des ChatBots schädlicher Code zur Initiierung von Cyberangriffen erstellen ließe. ChatGPT (Generative Pre-trained Transformer) ist ein frei nutzbarer KI-ChatBot, der seinen Nutzern auf der Grundlage im Internet zu findender Daten kontextbezogene Antworten liefern kann. Bei Codex wiederum handelt es sich um eine ebenfalls von OpenAI entwickelte Künstliche Intelligenz, die in der Lage ist, natürliche Sprache in Code zu übersetzen.
Das Vorgehen verlief wie folgt:
- CPR verwendete ChatGPT, um eine Phishing-E-Mail zu erstellen, die sich als Hosting-Unternehmen ausgab
- CPR wiederholte ChatGPT, um eine Phishing-E-Mail zu verfeinern und die Infektionskette zu erleichtern
- CPR verwendete ChatGPT, um VBA-Code zum Einbetten in ein Excel-Dokument zu generieren
Mit ChatGPT Infektionsketten erzeugen
Um die Gefahren beider Technologien zu demonstrieren, hat CPR ChatGPT und Codex verwendet, um bösartige E-Mails, Code und eine vollständige Infektionskette zu erzeugen, die die Computer von Nutzern angreifen kann. CPR dokumentiert seine Korrespondenz mit ChatGPT in einer neuen Veröffentlichung mit Beispielen für die erzeugten Inhalte. Das Ergebnis unterstreicht, wie wichtig es ist, wachsam zu sein, da die Entwicklung von KI-Technologien wie ChatGPT die Cyber-Bedrohungslandschaft erheblich verändern kann.
Mit ChatGPT von Open AI konnte CPR eine Phishing-E-Mail mit einem angehängten Excel-Dokument erstellen, das bösartigen Code zum Herunterladen von Reverse-Shells enthielt. Reverse-Shell-Angriffe zielen darauf ab, eine Verbindung zu einem entfernten Computer herzustellen und die Ein- und Ausgabeverbindungen der Shell des Zielsystems umzuleiten, damit der Angreifer aus der Ferne darauf zugreifen kann.
Die durchgeführten Schritte:
#1 ChatGPT bitten, sich als ein Hosting-Unternehmen auszugeben
#2 ChatGPT bitten, den Vorgang zu wiederholen und eine Phishing-E-Mail mit einem bösartigen ExcelAnhang zu erstellen
#3 ChatGPT bitten, bösartigen VBA-Code in einem ExcelDokument zu erstellen
Erstellung von schadhaftem Code
CPR war auch in der Lage, mit Codex bösartigen Code zu erzeugen. CPR gab Codex dafür diverse Befehle, darunter:
- Ausführen eines Reverse-Shell-Skripts auf einem Windows-Rechner und Herstellen einer Verbindung zu einer bestimmten IP-Adresse.
- Prüfen, ob eine URL für SQL-Injection anfällig ist, indem man sich als Administrator anmeldet.
- Schreiben eines Python-Skripts, das einen vollständigen Port-Scan auf einem Zielcomputer durchführt.
Der bösartige Code wurde anschließend umgehend von Codex generiert.
Fazit von Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software: ChatGPT hat das Potenzial, die Cyber-Bedrohungslandschaf erheblich zu verändern. Jetzt kann jeder, der nur über minimale Ressourcen verfügt und keinerlei Kenntnisse in Sachen Code hat, diese Lücke leicht ausnutzen und seiner Fantasie freien Lauf lassen. Es ist einfach, bösartige E-Mails und Code zu generieren. Außerdem können Hacker mit ChatGPT und Codex bösartigen Code weiterverarbeiten. Um die Öffentlichkeit zu warnen, haben wir exemplarisch demonstriert, wie einfach es ist, mit der Kombination von ChatGPT und Codex bösartige E-Mails und bösartigen Code zu erstellen. Ich glaube, dass diese KI-Technologien einen weiteren Schritt in der gefährlichen Entwicklung von immer ausgefeilteren und effektiveren Cyberfähigkeiten darstellen. Die Welt der Cybersicherheit verändert sich rasant, und wir möchten betonen, wie wichtig es ist, wachsam zu bleiben, da diese neue und sich entwickelnde Technologie die Bedrohungslandschaft sowohl zum Guten als auch zum Schlechten beeinflussen kann.
Was kann man dagegen tun?
Wir haben einfach bei CheckPoint nachgefragt. Die Antwort: Im Prinzip sind die Schutzmaßnahmen grundsätzlich die gleichen wie auch bei anderen Phishing-/Cyberangriffen. Nachfolgend einige der bewährtesten Tipps:
#1 Denken Sie nach, bevor Sie auf einen Link klicken.
Phishing-Angriffe zielen häufig darauf ab, persönliche Daten zu stehlen. Aus diesem Grund ist bei URLs, die per E-Mail, SMS oder Messaging-Apps wie WhatsApp verschickt werden, besondere Vorsicht geboten. Um zu vermeiden, dass Sie zum nächsten Opfer werden, gehen Sie immer zur offiziellen Website des Absenders, anstatt auf einen unbekannten Link in der Nachricht zu klicken.
#2 Verwenden Sie für jeden Zugang ein anderes Passwort.
Für einen Cyberkriminellen gibt es keine größere Freude, als einen Benutzer zu finden, der ein Universal-Passwort verwendet. Sobald es einem Angreifer gelingt, auch nur ein Passwort zum Zugang einer etwaigen Plattform zu entschlüsseln, wird er versuchen, mit demselben Schlüssel auf alle Konten des Opfers zuzugreifen. Daher ist es wichtig, für jede App oder jeden Dienst ein eindeutiges Passwort mit mindestens acht Zeichen zu erstellen, das Buchstaben (Groß- und Kleinschreibung), Zahlen und Symbole kombiniert. Um den Überblick über die verschiedenen Passwörter zu behalten, kann ein sicherer Passwortmanager wie Dashlane oder LastPass verwendet werden.