Nell’ambito della cybersecurity, chi trarrebbe maggior vantaggio dall’utilizzo di ChatGPT nell’elaborazione della propria strategia: chi attacca o chi si difende?
La risposta a questa domanda non è semplice: vediamo perché.
ChatGPT, impatti e problemi giuridici: i rischi per i diritti delle persone
Gli usi pratici delle nuove tecnologie in ambienti competitivi
Quando una nuova tecnologia, o semplicemente qualcosa di innovativo raggiunge il mercato, l’istinto ci porta a comprendere come si possa utilizzare la novità per migliorare la qualità della vita, ottimizzare i processi, aumentare l’efficacia dei servizi, la loro consumabilità.
Questo è vero soprattutto in ambienti estremamente competitivi dove il contrasto con l’antagonista è continuo. Infatti, in questi contesti, oltre che a essere spinti da motivazioni virtuose, adottare le novità potrebbe diventare vitale semplicemente perché l’antagonista le ha adottate. Soprattutto in aree dove gli strumenti utilizzati da entrambe le parti sono spesso simili. Ad esempio, in cybersecurity strumenti simili, se non identici, sono utilizzati dagli attaccanti e da coloro che si difendono: è il caso del Penetration Testing. Ovviamente non si parla solo di strumenti, ma anche attaccanti e difensori necessitano spesso di informazioni molto simili.
Sempre con riferimento alla cybersecurity, quindi, un attaccante potrebbe essere interessato a scrivere una efficace email di phishing mentre un difensore potrebbe essere interessato a riconoscere una email di phishing ben scritta. Insomma, entrambi potrebbero essere interessati ad avere informazioni su come si scrive una efficace email di phishing. Gli uni necessitano di questa informazione per farla, gli altri per riconoscerla.
L’uso di ChatGPT nel contesto della cybersecurity
Ma veniamo ora al nostro focus, ossia l’utilizzo della novità del momento: ChatGPT .
ChatGPT (Chatat Generative Pre-trained Transformer) è un chatbot basato su machine learning e intelligenza artificiale sviluppato da OpenAI e addestrato a partire dai modelli Instruct GPT che sono l’evoluzione dei modelli di GPT-3. Lanciato a novembre 2022 si è fatto notare subito per le risposte articolate e la sua capacità di sostenere una conversazione con umani e anche per ChatGPT , come spesso accade in cybersecurity, in molti nel hanno parlato come valido supporto per chi attacca, ma anche per chi difende.
La risposta alla domanda, ma chi ne trae maggiormente vantaggio, l’attaccante o il difensore, non ha una semplice risposta. Probabilmente la risposta più corretta è: “dipende” anche se nella lotta continua tra chi attacca e chi si difende, ChatGPT favorisce maggiormente chi si difende.
Use case validi per la difesa e per l’attacco
Analizziamo infatti alcuni use case validi per la difesa e per l’attacco.
Analisi di un incidente informatico
Sicuramente ChatGPT rappresenta un valido supporto nella analisi di un incidente fornendo all’analista informazioni accurate e articolate. Alla domanda “quali fossero i gruppi criminali attivi in Italia“, la risposta è stata estremamente esaustiva con una lista dei principali gruppi, da APT28 ad APT3 (Gothic Panda), dando per ognuno dei gruppi citati sommaria descrizione.
E se l’analista vuole chiedere in quali altre nazioni Gothic Panda è attivo, la risposta è estremamente accurata e articolata con la lista degli stati interessati.
Stessa cosa per i malware utilizzati da Gothic Panda, PlugX, Uroburos, SOGU, Poison Ivy e Sakula.
Insomma, un validissimo aiuto per analizzare un incidente di sicurezza e decidere eventuali contromisure. Le informazioni vengono spesso fornite con adeguati disclaimer per informare l’utente sulla natura transitoria della informazione fornita (Ad esempio qualcosa del tipo “Gothic Panda è in continua evoluzione e quindi è importante essere informato sulle continue novità) e sulla data del corpo delle informazioni utilizzate.
Per cui, malgrado le informazioni utilizzate possono non essere aggiornatissime, con tutti i disclaimer del caso, ChatGPT rappresenta un valido supporto per chi volesse analizzare un incidente. Rapidità sicuramente con una accuratezza limitata solo dal periodo in cui il corpo della conoscenza è stato congelato che viene comunque messo in chiaro.
Scrittura di un codice sicuro
Un altro use case in cui ho trovato utile ChatGPT e nel supporto per uno sviluppatore nella scrittura di codice sicuro.
Interrogato su come scrivere un codice che fosse non attaccabile con SQLi, la risposta è stata una serie di suggerimenti che vanno dall’uso di “parameterized queries”, “prepared statements”, “ORM (Object-Relational Mapper)” fino a “Input validation”. Ogni tecnica è descritta brevemente ma è possibile fare ulteriore investigazione. Ad esempio chiedendo informazioni su ORM si possono ottenere la lista degli ORMs più popolari, da Hibernate ( Java ) , ActiveRecord (Ruby on Rails), Eloquent (Laravel), SQLAlchemy (Python), Entity Framework (C#).
Identificare una email di Phishing
Anche sul phishing ChatGPT è utile a un analista nel fornire indicazioni per identificare una email di phishing, ad esempio dando istruzione su come controllare Header e suggerendo quali sono i maggiori use case.
Certo, le stesse informazioni potrebbero essere usate da un attaccante per preparare una campagna di phishing, ma temo che gli attaccanti non abbiano bisogno. Gli attaccanti devono pensare a un numero limitato di campagne di phishing mentre chi si difende deve conoscerle tutte.
Scrittura di malware
Sulla scrittura di malware, ChatGPT è estremamente “resistente”.
Ad esempio se chiediamo a ChatGPT di scrivere un ransomware, la risposta è sempre “che scrivere e distribuire malware è illegale”. ChatGPT si rifiuta di scrivere un malware.
Ovviamente bisogna accettare il fatto che il malware altro non è che una sequenza di linee di codice. Pertanto se invece di chiedere a ChatGPT la scrittura di un malware, si chiede la scrittura di parti di un malware che di per se possono essere utilizzate anche per fini nobili (quali criptare tutti i files in un folder) , ChatGPT fornisce il codice. Anche in questo caso vengono aggiunti gli opportuni disclaimer ricordando che scrivere malware è illegale.
