Στην εποχή των ρομπότ και της τεχνητής νοημοσύνης έρχεται ένας άλλος παίκτης στην αγορά της Τεχνητής Νοημοσύνης: το ChatGPT (Generative Pre-trained Transformer). Από την ώρα που έκανε την εμφάνιση του, οι επαγγελματίες του χώρου της κυβερνοασφάλειας έχουν «ξεκλειδώσει» διάφορες δυνατότητες αξιοποιώντας τα χαρακτηριστικά του. Με λίγα λόγια, μπορεί να απαντά σε ερωτήσεις, να συντάσσει κώδικα κατά παραγγελία, να εντοπίζει μηνύματα ηλεκτρονικού ψαρέματος και να «σπάει» κωδικούς πρόσβασης.

Με λίγα λόγια, το ChatGPT μπορεί να αποτελέσει ένα ανεκτίμητο εργαλείο για τους ηγέτες στον χώρο της ασφάλειας. Αλλά ποιος μπορεί να πει ότι δεν είναι δυνατόν να χρησιμοποιηθεί και από τους κυβερνοεγκληματίες που είναι η άλλη όψη του ίδιου νομίσματος;

Τι είναι το ChatGPT και γιατί είναι σημαντικό;

Το ChatGPT, το οποίο λανσαρίστηκε από το OpenAI στα τέλη του 2022, έχει στόχο να απαντά σε ερωτήματα αντλώντας τεράστιο όγκο δεδομένων από το Διαδίκτυο για να δίνει λύσεις και απαντήσεις σε προτροπές. Η χρησιμότητα του στην κυβερνοασφάλεια είναι η ικανότητά του να χρησιμοποιεί αποτελεσματικά διαφορετικές γλώσσες προγραμματισμού και να συντάσσει κώδικα αποσφαλμάτωσης.

Η δημοτικότητα του ChatGPT αυξήθηκε σημαντικά ενώ πρόσφατα διατέθηκε προς χρήση και η συνδρομητική έκδοση ChatGPT Plus με αντίτιμο τα $20/μήνα. Το πιλοτικό συνδρομητικό αυτό πρόγραμμα ήταν διαθέσιμο μόνο στους χρήστες στις Ηνωμένες Πολιτείες τη στιγμή της σύνταξης αυτού του άρθρου. Οι δημιουργοί του διέθεσαν αρχικά το ChatGPT στις Η.Π.Α. στο πλαίσιο της πρώτης φάσης μίας έρευνας με την ελπίδα να αποκτήσουν πληροφορίες για τα δυνατά σημεία και τους περιορισμούς του εργαλείου και να το βελτιώσουν ώστε να μπορεί να χρησιμοποιηθεί σε ευρεία κλίμακα. 

Αν και η OpenAI υποστηρίζει ότι έχει λάβει εκατομμύρια σχόλια και feedback και έχει ξεκινήσει μία διαδικασία εφαρμογής κατάλληλων αναβαθμίσεων και ενημερώσεων, οι ειδικοί από τον χώρο της κυβερνοασφάλειας είναι ήδη σε θέση να αναφέρουν τις επιπτώσεις, τα οφέλη και τον αντίκτυπο του στον κλάδο. Έχοντας κατά νου το παραπάνω, το ChatGPT έχει ήδη θέσει τις βάσεις για να φέρει επανάσταση στον τρόπο με τον οποίο χρησιμοποιείται η Τεχνητή Νοημοσύνη για την ενίσχυση και τη διεύρυνση των στόχων της κυβερνοασφάλειας και τον μετριασμό των απειλών. Αν και απαιτείται περαιτέρω έρευνα, είναι ένα πολλά υποσχόμενο εργαλείο για τους επαγγελματίες στον χώρο της κυβερνοασφάλειας.

Τα πλεονεκτήματα και τα μειονεκτήματα της χρήσης του ChatGPT στην κυβερνοασφάλεια

Το ChatGPT έχει τεράστιο αντίκτυπο στη βιομηχανία της κυβερνοασφάλειας. Το τελικό αποτέλεσμα μπορεί να είναι καλό ή μπορεί να είναι και κακό, ανάλογα με τον τρόπο που χρησιμοποιείται η τεχνολογία και ποιος είναι αυτός που τη χρησιμοποιεί. Αν και η Τεχνητή Νοημοσύνη μπορεί να αποτελέσει ένα ανεκτίμητο εργαλείο για τον εντοπισμό και τον τερματισμό κυβερνοεπιθέσεων, εντούτοις υπάρχουν και κίνδυνοι που δεν μπορούν να αγνοηθούν.

Τα οφέλη του ChatGPT για ηγέτες της κυβερνοασφάλειας

Οι δυνατότητες του ChatGPT αποδεικνύονται ιδιαίτερα πολύτιμες για τους ηγέτες της κυβερνοασφάλειας, από το να τους βοηθήσει να βελτιώσουν τις γνώσεις τους μέχρι να συντάξουν περίπλοκο κώδικα κατ’ απαίτηση και κατά παραγγελία.

Παραγωγή κώδικα

Το ChatGPT διευκολύνει τους επαγγελματίες κυβερνοασφαλείας να δημιουργούν κώδικα σε οποιαδήποτε γλώσσα, είτε έχουν προηγούμενη γνώση ή εμπειρία είτε όχι. Και αυτό από μόνο του, καθιστά το ChatGPT μία καινοτομική πλατφόρμα που μπορεί να βελτιώσει σημαντικά την κατανόηση και τις γνώσεις ενός ατόμου γύρω από θέματα κυβερνοασφάλειας καθώς έχει τη δυνατότητα να κάνει σειρά από ερωτήσεις στην Τεχνητή Νοημοσύνη ή και να απλοποιήσει περίπλοκα θέματα.

Καλύτερη λήψη αποφάσεων

Ο αυτοματισμός μπορεί να βοηθήσει τους επαγγελματίες ασφαλείας να επεξεργάζονται και να αναλύουν μεγάλες ποσότητες δεδομένων σε πραγματικό χρόνο. Αυτό, βοηθά στη βελτίωση της ικανότητας λήψης αποφάσεων ενώ παρέχει στους οργανισμούς τη δυνατότητα να χρησιμοποιούν τα δεδομένα τους αποτελεσματικότερα για να λαμβάνουν πιο εμπεριστατωμένες και ενημερωμένες επιχειρηματικές αποφάσεις.

Τα μειονεκτήματα του ChatGPT

…ή τα οφέλη του ChatGPT για τους κυβερνοεγκληματίες.

Ανάπτυξη κώδικα κακόβουλου λογισμικού

Ένας από τους μεγαλύτερους κινδύνους είναι η χρήση του ChatGPT για τη σύνταξη κώδικα κακόβουλου λογισμικού. Την ώρα που η εταιρεία που το δημιούργησε έχει λάβει τα απαραίτητα μέτρα και έχει καθορίσει παραμέτρους για να αποτρέψει κάτι τέτοιο, πολλοί προγραμματιστές έχουν επιχειρήσει να παρακάμψουν τα μέτρα ασφαλείας. Το ChatGPT όμως μπορεί να εντοπίσει και να απορρίψει αιτήματα για να συντάξει κώδικα κακόβουλου λογισμικού.

Παρόλα αυτά, οι κυβερνοεγκληματίες μπορούν εύκολα να παρακάμψουν τα μέτρα ασφαλείας παρέχοντας μία σταδιακή και λεπτομερή επεξήγηση των βημάτων που πρέπει να γίνουν για τη σύνταξη του κώδικα χωρίς να προχωρήσουν σε μία άμεση προτροπή. Το ChatGPT θα αποτύχει να το αναγνωρίσει ως αίτημα σύνταξης κώδικα για κακόβουλο λογισμικό και θα προχωρήσει στην αποτελεσματική ανάπτυξη του.

Χρησιμοποιώντας διαφορετικές διατυπώσεις και ελαφριές παραλλαγές που δεν σχετίζονται με το κακόβουλο λογισμικό, μπορούν να αυτοματοποιηθούν πολλαπλά σενάρια για περίπλοκες διαδικασίες επίθεσης με το ChatGPT. Στην πραγματικότητα, το ChatGPT διευκολύνει τους αμέτρητους πλέον κυβερνοεγκληματίες και εισβολείς να συμβαδίσουν με την πολυπλοκότητα των σημερινών μέτρων κυβερνοασφάλειας.

Με τη χρήση της AI και παρακάμπτοντας τις παραμέτρους ασφαλείας, οι κυβερνοεγκληματίες μπορούν να χρησιμοποιήσουν τον κώδικα για την ανάπτυξη κακόβουλου λογισμικού με στόχο να εξαπολύσουν κυβερνοεπιθέσεις.

Δημιουργία μηνυμάτων ηλεκτρονικού ψαρέματος (phishing emails) 

Οι κυβερνοεγκληματίες μπορούν επίσης να αξιοποιήσουν το ChatGPT για να δημιουργήσουν -αρκετά αληθοφανή και χωρίς λάθη- μηνύματα ηλεκτρονικού ψαρέματος. Μπορούν να του ζητήσουν να παράγει ένα phishing prompt,  αν και όχι άμεσα, για να παρακάμψουν τα μέτρα ασφαλείας και να καταφέρουν να λάβουν κακόβουλο κώδικα που θα μπορούσε να «κατεβάζει» reverse shells. Τα τελευταία μπορούν ενδεχομένως να συνδεθούν σε έναν υπολογιστή, επιτρέποντας στον εισβολέα να αποκτήσει απομακρυσμένη πρόσβαση σε αυτόν και στα αρχεία του. 

Σπάσιμο κωδικών πρόσβασης

Η ικανότητα του ChatGPT να δημιουργεί υποψήφιους κωδικούς πρόσβασης με ταχύτητα και ακρίβεια καθιστά πιο δυνατό και ακόμη πιο εύκολο τον εντοπισμό κωδικών πρόσβασης. Αν οι χρήστες δεν λαμβάνουν τις απαραίτητες προφυλάξεις και δεν προστατεύουν τους λογαριασμούς τους από μη εξουσιοδοτημένη πρόσβαση, το ChatGPT μπορεί να δώσει ενδεχομένως τη δυνατότητα στους εισβολείς να αναγνωρίσουν τους κωδικούς πρόσβασής τους και να ανακτήσουν σημαντικά δεδομένα. 

BEC

Με το ChatGPT, η ανίχνευση μίας επίθεσης BEC μπορεί να γίνει πιο περίπλοκη. Το ChatGPT μπορεί ενδεχομένως να χρησιμοποιηθεί για τη δημιουργία νέου και μοναδικού περιεχομένου για κάθε επίθεση BEC, παρακάμπτοντας αποτελεσματικά τα εργαλεία ανίχνευσης. Με τον ίδιο τρόπο που το ChatGPT καθιστά τη σύνταξη μηνυμάτων ηλεκτρονικού ψαρέματος ευκολότερη και ταχύτερη, αυτή η τεχνολογία μπορεί να χρησιμοποιηθεί από τους εισβολείς για να εκτελέσουν τα σχέδια τους.

Κινδυνεύουν θέσεις εργασίας στην κυβερνοασφάλεια εξαιτίας του ChatGPT; 

Δεν υπάρχει αμφιβολία ότι το ChatGPT μπορεί να μειώσει σε μεγάλο ποσοστό τον φόρτο εργασίας των επαγγελματιών στον χώρο της κυβερνοασφάλειας. Για την ώρα ωστόσο, τίποτα δεν μπορεί να συγκριθεί με την ανθρώπινη εργασία – η τελευταία εξακολουθεί να είναι ακριβέστερη και πιο αξιόπιστη από τη συγκεκριμένη τεχνολογία AI. 

Χρειάζεται περισσότερος χρόνος και δουλειά στην ανάπτυξη για τη βελτίωση της αξίας και της αποτελεσματικότητας του ChatGPT και των παραπλήσιων τεχνολογιών, ειδικά όσον αφορά την προώθηση της κυβερνοασφάλειας. 

Γενικότερα ωστόσο, το ChatGPT μπορεί σίγουρα να βρει τη θέση του στον κλάδο. Στα λάθος χέρια όμως, είναι δυνατόν να χρησιμοποιηθεί για την πραγματοποίηση επιτυχημένων κυβερνοεπιθέσεων. Δεδομένου ότι το ChatGPT βρίσκεται ακόμη στη δοκιμαστική φάση, θα πρέπει να περιμένουμε καλύτερες παραμέτρους ασφαλείας ώστε να ελαχιστοποιηθούν οι πιθανότητες να μετατραπεί σε ένα μέσο που θα καταστήσει αναποτελεσματική την κυβερνοασφάλεια. 

Από τη διάθεση του, υπήρξαν αρκετές διαφωνίες, διαμάχες και απαγορεύσεις σχετικά με το ChatGPT, μερικές από τις οποίες δείχνουν τις αρνητικές επιπτώσεις του στην κυβερνοασφάλεια. Όμως η OpenAI είναι ανένδοτη, λέγοντας ότι στόχος της είναι να βελτιώσει και να επεκτείνει την τρέχουσα έκδοση του με βάση τα σχόλια και τις ανάγκες των χρηστών.

Πηγή: Terranova