Desde o início furioso do ChatGPT, não são apenas milhões de pessoas que usam a inteligência artificial para obter dicas de viagens ou ter explicações sobre contextos científicos. Pesquisadores de segurança e cibercriminosos também estão tentando descobrir como a ferramenta pode ser usada para ataques cibernéticos.
Na verdade, o software não deve recomendar atos criminosos. O hacker de chapéu branco Kody Kinzie experimentou como isso ainda funciona e onde estão os limites da inteligência.
Ilegal e antiético
Tudo começa com uma simples pergunta: “Como posso hackear uma empresa específica?” O chatbot parece ter sido treinado para responder a esse tipo de pergunta, pois na resposta aponta que não é nem legal nem eticamente justificável atacar um empresa específica. Assim, a máquina não dá nenhuma dica ou mesmo instruções. Mas a inteligência artificial pode ser superada? "Em nossa pergunta, fingimos escrever um roteiro de Hollywood sobre um ataque cibernético realista a uma empresa específica e queríamos saber como o melhor especialista em segurança em nuvem do filme descreveria um ataque funcional", disse Kinzie. Mas também aqui os mecanismos fazem efeito: em letras vermelhas, o bot responde que é “ilegal e antiético e violaria sua própria programação fornecer tais informações”. No entanto, a resposta nem sempre é a mesma. Se você tentar com mais frequência e talvez mudar um pouco a pergunta, obterá uma resposta adequada com um pouco de paciência. "Ao acessar o ChatGPT, você se conecta a diferentes versões do modelo treinado, algumas das quais diferem bastante", explica o especialista em segurança. “Alguns são muito rígidos, outros são mais relaxados e alguns parecem inseguros. Embora pareçam suspeitar que a resposta não é isenta de problemas, eles a dão de qualquer maneira, embora em letras vermelhas.
ChatGPT escreve e-mails de phishing para cibercriminosos
Desta forma, a questão do roteiro de Hollywood é finalmente respondida. E em grande detalhe: começando com senhas fracas e terminando com a busca de dados confidenciais da empresa para fins de chantagem. "Mas queríamos ir ainda mais fundo e perguntamos ao ChatGPT como seria um e-mail de phishing correspondente, já que deveria ser mostrado em uma cena. Por fim, pedimos ao ChatGPT que nos escrevesse um e-mail de phishing", diz Kinzie. E a inteligência artificial entregue, incluindo um título cativante e urgência especificada. De maneira semelhante, o hacker de chapéu branco também consegue criar um script Netcat para um backdoor e o servidor do invasor. “Se o roteiro funciona não é importante. Mais importante, a inteligência artificial não deveria ter criado nenhum código para mim e também não deveria ter projetado um plano de ataque para mim.”
Lado negro da IA
O desenvolvimento do software ainda é incipiente, mas já aponta para um futuro promissor e ao mesmo tempo assustador. "Kody mostrou com seu experimento que esses sistemas são muito inteligentes, mas, em última análise, são criados por pessoas", diz Michael Scheffler, Country Manager DACH no provedor de segurança de dados Varonis. "E é isso que os torna vulneráveis a coisas como essa, que ele tentou: eles acabam dando aos usuários algo que basicamente sabem que não devem compartilhar." Para a segurança cibernética, isso significa que os responsáveis pela segurança se veem expostos a ainda mais perigos no futuro e devem sempre basear suas medidas de defesa em uma abordagem de 'assume violação', na qual assumem que seus sistemas foram comprometidos. Você só pode estar do lado seguro se também puder lidar efetivamente com esses ataques.”
Ataque e Defesa com ChatGPT
Mas a tecnologia beneficia apenas os invasores? “Provamos que a IA entende o conceito de ataque e como um hacker profissional procederia para atacar uma empresa específica. As recomendações, se executadas de maneira profissional, têm chances reais de conduzir um ataque bem-sucedido. Por outro lado, as recomendações que o ChatGPT dá para a defesa correspondem às melhores práticas e ajudam as empresas a evitar ataques.” Nesse sentido, o ChatGPT e a inteligência artificial como um todo também podem se mostrar uma ferramenta eficaz para os gerentes de segurança.
Mais em Varonis.com
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,