Els nous chatbots i la ciberseguretat

T'expliquem com poden ajudar ciberdelinqüents i ciberdefensors.

Tot i que els principis de l'aprenentatge automàtic es van establir fa aproximadament mig segle, no ha estat fins fa poc quan realment se n'ha expandit l'aplicació a la pràctica.

Amb el creixement de la potència informàtica, els ordinadors van aprendre en primer lloc a distingir objectes a les imatges ia jugar millor que els humans, després a dissenyar seguint una descripció en text i mantenir una conversa coherent. Durant el 2021 i el 2022, aquests avenços científics ens han arribat a tots. Per exemple, ara et pots subscriure a MidJourney i il·lustrar en un instant els teus propis llibres.

A més, OpenAI finalment va compartir el seu model de llenguatge GPT-3 (Generative Pre-trained Transformer 3) amb el públic general. Aquest bot està disponible a chat.openai.com, on pot mantenir una conversa coherent, explicar conceptes científics complexos millor que molts professors, traduir òptimament textos a altres idiomes i molt més.

Si destripem ChatGPT, contemplem que el model de llenguatge està entrenat mitjançant un corpus gegant de textos en línia, del qual “recorda” quines paraules, frases i paràgrafs es recopilen amb més freqüència i com es relacionen. Assistit per nombrosos trucs tècnics i rondes addicionals dentrenament amb humans, el model està optimitzat especialment per al diàleg. I, com que “a internet pots trobar absolutament de tot”, el model és capaç de desenvolupar una conversa sobre pràcticament qualsevol tema: des de moda i història de l'art fins a programació i física quàntica.

Els científics, periodistes i aficionats han trobat encara més aplicacions per a ChatGPT. El lloc web Awesome ChatGPT Prompts compta amb una llista de prompts (frases per començar una conversa amb un bot), que et permet “activar” ChatGPT perquè respongui com Gandalf o qualsevol altre personatge literari, escriure codi Python, generar correus comercials i currículums i fins i tot imitar un terminal Linux.

No obstant això, ChatGPT és només un model de llenguatge, de manera que tot això no són més que combinacions i col·locacions de paraules, no trobaràs cap mena de raó o lògica. De fet, de vegades ChatGPT només diu una sèrie de sense sentits molt convincents (com molts humans), per exemple, quan es refereix a estudis científics que no existeixen. Per això, et recomanem que tractis el contingut de ChatGPT amb la deguda precaució. Dit això, fins i tot en la forma actual, el bot resulta útil per a molts processos pràctics i indústries. A continuació, us deixem amb alguns exemples d'aplicació al camp de la ciberseguretat.

La creació de malware

Als fòrums clandestins, molts ciberdelinqüents informen sobre com utilitzen ChatGPT per crear nous troians. El bot pot escriure codi, per la qual cosa si descriues breument la funció desitjada (per exemple, “guarda totes les contrasenyes del fitxer X i envia-les per HTTP POST al servidor I”), pots aconseguir un stealer (lladre d'informació) senzill i sense habilitats de programació.

No obstant això, els usuaris no tenen res a témer, ja que les solucions de seguretat són capaces de detectar i neutralitzar el codi escrit pels bots de forma ràpida i eficient, igual que amb el malware creat per humans. A més, si aquest codi no ho comprova un programador amb experiència, és molt probable que el codi maliciós contingui errors subtils i errors lògics que ho faran menys eficaç.

Almenys per ara, els bots només poden competir amb els desenvolupadors de virus menys experimentats.

L'anàlisi del codi maliciós (malware)

Quan els analistes de la seguretat de la informació estudien noves i sospitoses aplicacions, realitzen enginyeria inversa del pseudocodi o codi de la màquina, tractant de descobrir com funciona. Encara que aquesta tasca no es pot assignar del tot a ChatGPT, el chatbot ja és capaç d'explicar ràpidament què fa un codi en particular.

Ivan Kwiatkovski ha desenvolupat un complement per a IDA Pro que s'encarrega precisament d'aquesta tasca. El model de llenguatge no és realment ChatGPT, sinó el seu cosí davinci-003, però això és una diferència purament tècnica. De vegades el complement no funciona o genera escombraries, però val la pena només per aquests casos en què assigna noms legítims a funcions de forma automàtica i identifica algoritmes de xifrat al codi i els seus paràmetres. Sí que destaca als centres d'operacions de seguretat SOC, on els analistes constantment sobrecarregats no poden dedicar més que una mínima quantitat de temps a cada incident, per la qual cosa qualsevol eina per accelerar el procés és benvinguda.

La cerca de vulnerabilitats

Una variació de lestratègia anterior és una cerca automàtica de codi vulnerable. El chatbot “llegeix” el pseudocodi d'una aplicació descompilada i identifica on hi pot haver vulnerabilitats. A més, el bot proporciona codi Python dissenyat per a l'explotació de vulnerabilitats (PoC). Evidentment, el bot pot cometre tota mena d'errors, tant en la cerca de vulnerabilitats com en l'escriptura de codi PoC, però fins i tot en la forma actual, l'eina resulta útil tant per als atacants com per als defensors.

La consultoria de seguretat

Atès que ChatGPT sap tot el que la gent diu sobre la ciberseguretat en línia, els seus consells sobre aquest tema semblen convincents. Però, com passa amb qualsevol consell per part d'un chatbot, mai no saps d'on procedeix exactament, per la qual cosa per cada 10 bons n'hi pot haver un de dolent. De tota manera, preguntem a aquest bot sobre «Com puc comprovar si el meu ordinador està hacker i què puc fer?» i tots els consells que ens va indicar la intel·ligència artificial són tots correctes. 🤔

Phishing i BEC

Els textos convincents són un punt fort de GPT-3 i ChatGPT, per la qual cosa és probable que ja s'estiguin produint atacs automatitzats de spear-phishing mitjançant aquests chatbots. El principal problema amb els correus electrònics massius de phishing és que no tenen bona pinta, amb massa text genèric que no s'adreça directament al destinatari.

Pel que fa al spear-phishing, quan un ciberdelinqüent escriu un correu electrònic a una sola víctima, és força costós; per tant, es fa servir només en atacs dirigits. ChatGPT està configurat per alterar dràsticament l'equilibri de poder, ja que permet als atacants generar correus electrònics persuasius i personalitzats a escala industrial. Tot i això, perquè un correu electrònic contingui tots els components necessaris, el chatbot ha de rebre instruccions molt detallades.

Com podem contraatacar?

Els experts en anàlisi de contingut estan desenvolupant en actiu una sèrie de eines per detectar textos de chatbot. Només el temps dirà si aquests filtres resulten realment efectius; per ara, ens queda recomanar els nostres dos consells estàndard, molta vigilància formacions per a la sensibilització en matèria de ciberseguretat, als quals sumem un de nou: aprendre a detectar textos generats per bots.

Les propietats matemàtiques no es poden reconèixer a simple vista, però segueix havent-hi certes petites peculiaritats estilístiques i incongruències que delaten els robots. Per exemple, fes un cop d'ull a aquest joc, ets capaç de detectar la diferència entre el text escrit per humans i per màquines?

Comparteix aquest contingut:

Deixa un comentari

Calendari ciberseguretat /24

LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Alertes de seguretat

Rep les més importants al teu email