ChatGPT הופך כל האקר בעולם לדובר עברית - תתכוננו להודעות פישינג בלי טעויות כתיב או ניסוח
לצד כל היתרונות שהצ'אט ובינה מלאכותית מביאים, עולה גם השאלה כיצד ניתן להשתמש ב-Chat GPT לביצוע פעולות לא לגיטימיות בהקשרי אבטחת מידע - אחת מהן היא ״צור לי דוא"ל דיוג״
עמנואל מושייב
| 10/05/2023
עמנואל מושייב - SOC Analyst | תמונה באדיבות הכותב
Chat GPT הוא צ'אט בינה מלאכותית מבית Open AI שנעשה פופולרי מאוד בחודשים האחרונים. הוא עונה על כל שאלה ברמה גבוהה, יודע לפרט כמעט על כל תחום וגם לבצע שלל של מטלות שיכולות להקל עלינו. עזרה בניסוח של מכתב ועד לכתיבת קוד, תכנון טיולים, מציאת שגיאות כתיב והרשימה כמעט אין סופית.
לצד כל היתרונות שהצ'אט ובינה מלאכותית מביאים, עולה גם השאלה כיצד ניתן להשתמש ב-Chat GPT לביצוע פעולות לא לגיטימיות בהקשרי אבטחת מידע, האם וכיצד האקרים השתמשו בבינה מלאכותית לביצוע התקפות סייבר ובעיקר כיצד יראו אירועי סייבר עכשיו כשכלים מהסוג הזה יכולים להיות בשימוש של גורמים לא לגיטימיים.
בתור התחלה על מנת להדגים כיצד Chat GPT יכול לסייע בביצוע פעולות זדוניות, ביקשנו ממנו לייצר לנו דוא"ל דיוג (phishing email), כאשר שם העובד הינו פלוני אלמוני ושם החברה הוא "דוגמא בע"מ":
כפי שניתן לראות הצ'אט מנסח מייל עם מבנה מקצועי ומנסה לפתות את הקורבן ללחוץ על הקישור הזדוני, כמו כן הוא הכין כתובת מייל מזוייפת בתחתית המייל על מנת לייצר אמינות.
בדוגמא הבאה ביקשנו מצ'אט גיפיטי לייצר לנו Reverse shell.
Reverse shell הינה דרך קלאסית בא תוקפים משיגים הרצת פקודות באופן מרוחק במחשב הקורבן על ידי התחברות ממחשב הקורבן לעמדת התוקף המרוחקת, שיטה המאפיינת בין היתר סוסים טרויאניים:
ניתן לראות ש-Chat GPT ממלא את הבקשה ביתר קלות, וגם מוסיף הערות כדי שיהיה קל להבין מה כל שורה בקוד עושה כך שגם האקרים ללא כל ניסיון יוכלו לשנות אותו לפי המטרה שלהם.
בדוגמא הבאה, ביקשנו באינטליגנציה המלאכותית לכתוב סקריפט PowerShell שמבצע DOS – התקפה למניעת שירות.
על רגל אחת התקפת DOS זה כאשר לשירות מסוים (נניח אתר אינטרנט) נשלחות יותר מדי בקשות, כמות גדולה מספיק של בקשות בפרק זמן קצר ככה שהשרת לא מצליח לענות לכולם, כתוצאה מהעומס שנוצר השרת קורס וככה בעצם אותו השירות הושבת.
בדוגמא הבאה ניסינו משהו קצת יותר נועז, שאלנו את הצ'אט כיצד נראה קוד של Keylogger, שזו בגדול נוזקה שמאזינה להקשות מקלדת של הקורבן ושולחת אותם לתוקף.
דרך יצירתית לעקוב אחרי הקורבן, לגנות סיסמאות שהוא עלול להקליד וכו.
זאת התשובה של הצ'אט:
כמובן שעל מנת הצ'אט יתן לנו את אותן התשובות להן קיווינו היינו צריך לשאול מעט בהתחכמות, בקשה ישירה כמו: "צור לי Keylogger" לא תניב שום תוצאה:
הדוגמאות שניתנו הן רק טיפה בים לעומת מה שניתן לעשות עם Cheat GPT בהקשרי התקפות סייבר, פעם רק תוקפים עם כישורי כתיבת קוד יכלו לכתוב כלי תקיפה כאלו. או להשתמש בכלים קיימים.
היום בעזרת Chat GPT כל אדם גם ללא ניסיון בכתיבת קוד יכול ליצור כלים יעילים המשמשים להתקפות ועל אחת כמה וכמה ניתן ליצור כלים מתקדמים יותר במידה ולמשתמש יש קצת יותר ידע מלמשתמש הממוצע.
עליית הפופולריות של בינה מלאכותית תביא לכך שיעלו קמפיינים של נוזקות מתקדמות יותר עם פחות באגים ויותר יעילות ועצם העובדה שהשימוש בצ'אט הוא מאוד נגיש יותר ויותר תוקפים ישלבו שימוש של בינה מלאכותית בקמפייני התקיפה שלהם.
כמובן שיש לקחת בחשבון את הצד השני של המשוואה, בינה מלאכותית מסייעת גם בעולמות ההגנה בהקשרי אבטחת מידע במגוון רחב של דרכים.
דוגמא: מציאת חולשות בקוד, הקשחה של מערכות, עזרה בבניית תוכניות הגנה, והרשימה ארוכה.
דוגמאות שימוש בבינה מלאכותית הן בתחום ההגנה והן בתחום ההתקפה מבליטות באופן מובהק את משחק ה-"חתול ועכבר" שיש בין שני התחומים האלה, שני תחומים שככל הנראה ימשיכו להשתכלל עם עלייתה של הבינה המלאכותית ויהפכו המערכה בין שתי אלו למתוחכמת ומעניינת יותר.
הכותב עובד בחברת CYNET כSOC Analyst
לצד כל היתרונות שהצ'אט ובינה מלאכותית מביאים, עולה גם השאלה כיצד ניתן להשתמש ב-Chat GPT לביצוע פעולות לא לגיטימיות בהקשרי אבטחת מידע - אחת מהן היא ״צור לי דוא"ל דיוג״
עמנואל מושייב - SOC Analyst | תמונה באדיבות הכותב
Chat GPT הוא צ'אט בינה מלאכותית מבית Open AI שנעשה פופולרי מאוד בחודשים האחרונים. הוא עונה על כל שאלה ברמה גבוהה, יודע לפרט כמעט על כל תחום וגם לבצע שלל של מטלות שיכולות להקל עלינו. עזרה בניסוח של מכתב ועד לכתיבת קוד, תכנון טיולים, מציאת שגיאות כתיב והרשימה כמעט אין סופית.
לצד כל היתרונות שהצ'אט ובינה מלאכותית מביאים, עולה גם השאלה כיצד ניתן להשתמש ב-Chat GPT לביצוע פעולות לא לגיטימיות בהקשרי אבטחת מידע, האם וכיצד האקרים השתמשו בבינה מלאכותית לביצוע התקפות סייבר ובעיקר כיצד יראו אירועי סייבר עכשיו כשכלים מהסוג הזה יכולים להיות בשימוש של גורמים לא לגיטימיים.
בתור התחלה על מנת להדגים כיצד Chat GPT יכול לסייע בביצוע פעולות זדוניות, ביקשנו ממנו לייצר לנו דוא"ל דיוג (phishing email), כאשר שם העובד הינו פלוני אלמוני ושם החברה הוא "דוגמא בע"מ":
כפי שניתן לראות הצ'אט מנסח מייל עם מבנה מקצועי ומנסה לפתות את הקורבן ללחוץ על הקישור הזדוני, כמו כן הוא הכין כתובת מייל מזוייפת בתחתית המייל על מנת לייצר אמינות.
בדוגמא הבאה ביקשנו מצ'אט גיפיטי לייצר לנו Reverse shell.
Reverse shell הינה דרך קלאסית בא תוקפים משיגים הרצת פקודות באופן מרוחק במחשב הקורבן על ידי התחברות ממחשב הקורבן לעמדת התוקף המרוחקת, שיטה המאפיינת בין היתר סוסים טרויאניים:
ניתן לראות ש-Chat GPT ממלא את הבקשה ביתר קלות, וגם מוסיף הערות כדי שיהיה קל להבין מה כל שורה בקוד עושה כך שגם האקרים ללא כל ניסיון יוכלו לשנות אותו לפי המטרה שלהם.
בדוגמא הבאה, ביקשנו באינטליגנציה המלאכותית לכתוב סקריפט PowerShell שמבצע DOS – התקפה למניעת שירות.
על רגל אחת התקפת DOS זה כאשר לשירות מסוים (נניח אתר אינטרנט) נשלחות יותר מדי בקשות, כמות גדולה מספיק של בקשות בפרק זמן קצר ככה שהשרת לא מצליח לענות לכולם, כתוצאה מהעומס שנוצר השרת קורס וככה בעצם אותו השירות הושבת.
בדוגמא הבאה ניסינו משהו קצת יותר נועז, שאלנו את הצ'אט כיצד נראה קוד של Keylogger, שזו בגדול נוזקה שמאזינה להקשות מקלדת של הקורבן ושולחת אותם לתוקף.
דרך יצירתית לעקוב אחרי הקורבן, לגנות סיסמאות שהוא עלול להקליד וכו.
זאת התשובה של הצ'אט:
כמובן שעל מנת הצ'אט יתן לנו את אותן התשובות להן קיווינו היינו צריך לשאול מעט בהתחכמות, בקשה ישירה כמו: "צור לי Keylogger" לא תניב שום תוצאה:
הדוגמאות שניתנו הן רק טיפה בים לעומת מה שניתן לעשות עם Cheat GPT בהקשרי התקפות סייבר, פעם רק תוקפים עם כישורי כתיבת קוד יכלו לכתוב כלי תקיפה כאלו. או להשתמש בכלים קיימים.
היום בעזרת Chat GPT כל אדם גם ללא ניסיון בכתיבת קוד יכול ליצור כלים יעילים המשמשים להתקפות ועל אחת כמה וכמה ניתן ליצור כלים מתקדמים יותר במידה ולמשתמש יש קצת יותר ידע מלמשתמש הממוצע.
עליית הפופולריות של בינה מלאכותית תביא לכך שיעלו קמפיינים של נוזקות מתקדמות יותר עם פחות באגים ויותר יעילות ועצם העובדה שהשימוש בצ'אט הוא מאוד נגיש יותר ויותר תוקפים ישלבו שימוש של בינה מלאכותית בקמפייני התקיפה שלהם.
כמובן שיש לקחת בחשבון את הצד השני של המשוואה, בינה מלאכותית מסייעת גם בעולמות ההגנה בהקשרי אבטחת מידע במגוון רחב של דרכים.
דוגמא: מציאת חולשות בקוד, הקשחה של מערכות, עזרה בבניית תוכניות הגנה, והרשימה ארוכה.
דוגמאות שימוש בבינה מלאכותית הן בתחום ההגנה והן בתחום ההתקפה מבליטות באופן מובהק את משחק ה-"חתול ועכבר" שיש בין שני התחומים האלה, שני תחומים שככל הנראה ימשיכו להשתכלל עם עלייתה של הבינה המלאכותית ויהפכו המערכה בין שתי אלו למתוחכמת ומעניינת יותר.
הכותב עובד בחברת CYNET כSOC Analyst
