So verändert ChatGPT die Cybersicherheit

Eine neue Generation von Chatbots erstellt zusammenhängende, aussagekräftige Texte. Dies kann sowohl Cyberkriminellen als auch Cyberverteidigern in die Karten spielen.

Obwohl die Grundsätze des maschinellen Lernens bereits vor etwa einem halben Jahrhundert festgelegt wurden, werden sie in der Praxis erst seit kurzer Zeit umfassend angewandt. Mit zunehmender Rechenleistung waren Computer zunächst in der Lage, Objekte auf Bildern zu erkennen, Menschen im Spiel „Go“ zu schlagen, Bilder auf der Grundlage von Textbeschreibungen zu zeichnen und dann zusammenhängende Chats zu führen. 2021-2022 wurden wissenschaftliche Durchbrüche dann für jedermann zugänglich. Wenn Sie sich zum Beispiel bei MidJourney anmelden, können Sie sofort Ihr eigenes Buch illustrieren. Und OpenAI hat mit ChatGPT endlich sein erstaunliches GPT-3-Sprachmodell (Generative Pretrained Transformer 3) für die Allgemeinheit öffentlich gemacht. Der Bot ist unter chat.openai.com verfügbar, wo Sie selbst sehen können, wie er konsistente Unterhaltungen führt, komplexe wissenschaftliche Konzepte besser als die meisten Lehrer erklärt, künstlerische Texte zwischen Sprachen übersetzt und vieles mehr.

Von Midjourney generiertes Bild als Antwort auf folgende Anfrage: „Ein Gnom mit Lupe hat sich zwischen Datenspeichern verirrt“.

 

Reduzieren wir ChatGPT auf das Wesentliche, wird das Sprachmodell basierend auf einem riesigen Korpus von Online-Texten trainiert, aus dem es sich „merkt“, welche Wörter, Sätze und Absätze am häufigsten kollokiert sind und wie sie miteinander in Verbindung stehen. Viele technische Tricks und zusätzliches Training mit Menschen optimieren das Modell speziell für den Dialog. Da man „im Internet absolut alles finden kann“, eignet sich das Modell für Dialoge über praktisch alle Themenbereiche: von Mode und Kunstgeschichte bis hin zu Programmierung und Quantenphysik.

Wissenschaftler, Journalisten und Enthusiasten finden immer mehr Anwendungen für ChatGPT. Die Website Awesome ChatGPT Prompts verfügt über eine Liste von Prompts (Sätze für den Gesprächsbeginn mit einem Bot), die es ermöglichen, ChatGPT so zu „schalten“, um Antworten im Stil von Gandalf oder einer anderen literarischen Figur zu generieren, Python-Code zu schreiben, Geschäftsbriefe und Lebensläufe zu erstellen und sogar ein Linux-Terminal zu imitieren. Trotzdem ist ChatGPT noch immer „nur“ ein Sprachmodell und all das somit nichts weiter als eine gewöhnliche Kombination und Zusammenstellung von Wörtern – ohne Grund und Logik. Manchmal redet ChatGPT überzeugenden Unsinn (wie viele Menschen), indem es zum Beispiel auf nichtexistierende wissenschaftliche Studien verweist. Die Inhalte von ChatGPT sollten daher immer mit Vorsicht behandelt werden. Dennoch ist der Bot auch in seiner jetzigen Form in vielen praktischen Prozessen und Branchen nützlich. Hier sind einige Beispiele aus dem Bereich der Cybersicherheit.

Entwicklung von Malware

In Untergrund-Hackerforen berichten unerfahrene Cyberkriminelle, wie sie ChatGPT verwenden, um neue Trojaner zu erstellen. Der Bot ist in der Lage, Code zu schreiben. Wenn Sie also die gewünschte Funktion kurz und bündig beschreiben („alle Passwörter in Datei X speichern und via HTTP POST an Server Y senden“), können Sie ohne jegliche Programmierkenntnisse einen einfachen Infostealer erstellen. Anständige Nutzer haben jedoch nichts zu befürchten. Auch von Bots geschriebener Code wird von Sicherheitslösungen genauso schnell und effizient erkannt und neutralisiert wie alle bisherigen, von Menschen geschaffenen Schadprogramme. Und wenn ein solcher Code nicht von einem erfahrenen Programmierer überprüft wird, enthält die Malware wahrscheinlich subtile Fehler und logische Schwächen, die sie weniger effektiv machen.

Zumindest im Moment können Bots nur mit unerfahrenen Virenschreibern konkurrieren.

Malwareanalyse

Wenn Analysten der Informationssicherheit neue verdächtige Anwendungen untersuchen, setzen sie [Xtraining placeholder]Reverse Engineering[/Xtraining placeholder] ein, um herauszufinden, wie der Pseudo- oder Maschinencode funktioniert. Obwohl diese Aufgabe nicht vollständig an ChatGPT übergeben werden kann, ist der Chatbot bereits in der Lage, schnell zu erklären, was ein bestimmter Code tut. Unser Kollege Ivan Kwiatkovski hat ein Plugin für IDA Pro entwickelt, das genau das tut. Das Sprachmodell dahinter ist nicht ChatGPT, sondern vielmehr dessen Bruder davinci-003, aber das ist ein rein technischer Unterschied. Manchmal funktioniert das Plugin nicht oder liefert fragwürdige Ergebnisse, aber für die automatische Zuweisung legitimer Namen für Funktionen und zur Identifikation von Verschlüsselungsalgorithmen im Code und ihren Parametern, ist es eine gute Anschaffung. Es kommt unter SOC-Bedingungen zum Einsatz, wo ständig überlastete Analysten jedem Vorfall ein Minimum an Zeit widmen müssen, so dass jedes Tool zur Beschleunigung des Prozesses willkommen ist.

Ergebnisse des Plugins

Ergebnisse des Plugins

 

Schwachstellen-Suche

Eine Variante des oben erwähnten Ansatzes ist die automatische Suche nach anfälligem Code. Der Chatbot „liest“ den Pseudocode einer dekompilierten Anwendung und identifiziert Stellen, die Schwachstellen enthalten könnten. Darüber hinaus stellt der Bot Python-Code zur Verfügung, der für den Exploit von Schwachstellen (PoC) entwickelt wurde. Selbstverständlich kann der Bot sowohl bei der Suche nach Schwachstellen als auch beim Schreiben von PoC-Code Fehler machen, aber selbst in seiner jetzigen Form ist das Tool sowohl für Angreifer als auch für Verteidiger von Nutzen.

Sicherheitstipps

Da ChatGPT weiß, was die Leute online über Cybersicherheit sagen, sehen seine Ratschläge zu diesem Thema überzeugend aus. Aber wie bei allen Chatbot-Ratschlägen weiß man nie genau, woher sie stammen, und so kann sich zwischen 10 großartigen Tipps immer auch ein Blindgänger befinden. Nichtsdestotrotz sind die Tipps im Screenshot unten beispielsweise alle gut:

ChatGPT-generierte Tipps

ChatGPT-generierte Tipps

 

Phishing und BEC

Überzeugende Texte sind eine Stärke von GPT-3 und ChatGPT; automatisierte Spear-Phishing-Angriffe unter Verwendung von Chatbots sind also vermutlich bereits eine Realität. Das Hauptproblem bei Massen-Phishing-E-Mails ist, dass sie meist viel zu viel allgemeinem Text enthalten, der den Empfänger nicht direkt anspricht. Spear-Phishing hingegen, bei dem Cyberkriminelle ihre E-Mails an das jeweilige Opfer anpassen, ist recht teuer und wird daher nur bei zielgerichteten Angriffen eingesetzt. ChatGPT wird dieses Verhältnis vermutlich drastisch verändern, da es Angreifern ermöglicht, überzeugende und personalisierte E-Mails in großem Maßstab zu erstellen. Damit eine E-Mail jedoch alle erforderlichen Komponenten enthält, muss der Chatbot sehr detaillierte Anweisungen erhalten.

Beispiel einer mit ChatGPT-generierten E-Mail

 

Doch groß angelegte Phishing-Angriffe bestehen in der Regel aus einer Reihe von E-Mails, die nach und nach das Vertrauen des Opfers gewinnen. Bei der zweiten, dritten und x-ten E-Mail spart ChatGPT den Cyberkriminellen also wirklich viel Zeit. Da sich der Chatbot den Kontext der Konversation merkt, können nachfolgende E-Mails aus einer sehr kurzen und einfachen Eingabeaufforderung wunderschön gestaltet werden.

Follow-up-E-Mail im Rahmen eines Angriffs

 

Darüber hinaus kann die Antwort des Opfers leicht in das Modell eingespeist werden, woraus in Sekundenschnelle ein überzeugendes Follow-up entstehen kann.

Zu den Tools, die Angreifer nutzen können, gehört die stilisierte Korrespondenz. Sobald der Chatbox nur ein kleines Muster eines bestimmten Stils eingespeist wird, kann sie diesen leicht in weiteren Nachrichten anwenden. So lassen sich überzeugende gefälschte E-Mails erstellen, die scheinbar von einem echten Mitarbeiter stammen.

Leider bedeutet das, dass die Zahl der erfolgreichen Phishing-Angriffe weiter zunehmen wird. Und der Chatbot wird in E-Mails, sozialen Netzwerken und Messengern gleichermaßen überzeugend sein.

Wie kann man sich gegen all das wehren? Experten für Inhaltsanalyse entwickeln derzeit Tools zur Erkennung von Chatbot-Texten. Nur die Zeit wird zeigen, wie wirksam diese Filter wirklich sein werden. Aus diesem Grund können wir deshalb nur unsere beiden Standardtipps (Wachsamkeit und Schulungen im Bereich Cybersicherheit) sowie folgenden Tipp empfehlen: Lernen Sie, wie Sie von Bots generierte Texte erkennen können. Mathematische Eigenschaften sind für das Auge nicht erkennbar, aber kleine stilistische Eigenschaften, die Ihnen komisch vorkommen sowie winzige Unstimmigkeiten verraten einen Bot schlussendlich dennoch. Werfen Sie ein Blick auf dieses Spiel, um herauszufinden, ob Sie erkennen, wer hinter den jeweiligen Texten steckt: Mensch oder Maschine?

Tipps