Wie ChatGPT das Spiel für Hacker und CISOs verändert

ChatGPT hat einen ziemlich guten Start hingelegt. Im November 2022 veröffentlicht, erreichte es in nur fünf Tagen eine Million Nutzer. Die Nutzer haben die Recherche- und Schreibfähigkeiten des Chatbots bewundert.

Google "flippte aus", weil es seine Flaggschiff-Suchmaschine übertrumpfen konnte, Professoren bestätigten, dass es den renommierten MBA-Kurs von Wharton bestehen würde, und Fans schickten seine Texte an den Sänger Nick Cave.

Nicht jeder ist beeindruckt (Cave sagte, der Text sei eine "groteske Verhöhnung des Menschseins"), aber ChatGPT ist ein KI-Blockbuster mit ernsthaften Auswirkungen auf die Cybersicherheit. Phishing-Kampagnen und Malware könnten umgestaltet werden. Der Vorsitzende des Ausschusses für Cybersicherheit der australischen Computergesellschaft, Louay Ghashash, bezeichnete dies als eine potenzielle "Nuklearwaffe der Cyber-Kriegsführung". ChatGPT sollte jedoch nicht nur nach der Bedrohung beurteilt werden, die es darstellt: Die Plattform kann auch Cybersicherheitsexperten dabei helfen, ihr Wissen zu verbessern und ihre Aktivitäten zu erweitern.

ChatGPT ist ein großer Schritt nach vorn, aber noch lange nicht perfekt 

ChatGPT (Generative Pre-trained Transformer) basiert auf OpenAIs GPT-3-Sprachmodellfamilie, die mit überwachtem und verstärktem Lernen fein abgestimmt wurde. Wie der Bildgenerator von OpenAI, DALL-E, reagiert er auf eine Texteingabe des Benutzers. Die Anwendung befindet sich in der Feedback-Phase und ist derzeit kostenlos. Aufgrund des durchschlagenden Erfolgs ist der Zugang derzeit begrenzt, und neue Nutzer werden über eine Warteliste geleitet.

Der Chatbot befindet sich noch im Anfangsstadium und hat noch einige große Probleme zu lösen. Er ist derzeit größtenteils nur auf Englisch verfügbar, eignet sich besser für das Verfassen kurzer Antworten als für ausführliche Antworten, hat Schwierigkeiten, Quellen für das verwendete Material anzugeben, und auf seine Genauigkeit kann man sich nicht verlassen. Aber ChatGPT ist besser als alles, was wir bisher gesehen haben; es ist in der Lage, zusammenhängende Antworten auf komplexe Fragen zu geben und sogar praktikablen Code als Antwort auf Programmierfragen vorzuschlagen. Und Hacker sind bereits auf der Suche nach Möglichkeiten, diese Fähigkeiten auszunutzen. 

ChatGPT hat Schutzmechanismen - aber Kriminelle umgehen sie bereits 

ChatGPT ist kein freies Spiel, wenn es um Cyberrisiken geht. Wenn Sie ihn bitten, eine Phishing-E-Mail oder Malware zu schreiben, reagiert er standardmäßig mit einer Ablehnung. Der Zugriff darauf hängt von Ihrer IP-Adresse, Ihren Zahlungskarten und Telefonnummern ab und ist derzeit in einigen Ländern, darunter Russland und China, nicht verfügbar. Hacker und Journalisten haben jedoch bereits Wege gefunden, den Schutz zu umgehen, und einige von ihnen prahlen in Dark-Web-Foren mit ihren Erfolgen. Und selbst mit seinen Einschränkungen kann ChatGPT leicht verwendet werden, um beispielsweise eine große Anzahl personalisierter und scheinbar harmloser E-Mails zu erstellen, die zur Verbreitung von Malware genutzt werden können.

Warum ChatGPT das Phishing-Spiel verändern könnte 

Besorgniserregend ist die Feststellung des US Center for Security and Emerging Technology, dass KI, die private Daten mit überzeugenden Schriften verbindet, "das Ausmaß von ... Spray-and-Pray-Phishing-Kampagnen mit der Effektivität von Spear-Phishing kombinieren kann".

Durch die Möglichkeit der individuellen Anpassung in großem Umfang könnte ChatGPT die Phishing-Methode verändern und Kriminellen dabei helfen, selbst vorsichtige Zielpersonen dazu zu bringen, auf gefährliche Links zu klicken oder ihre Anmeldedaten auf gefälschten Websites preiszugeben. Es ist ideal für Hacker, deren begrenzte Englischkenntnisse sie sonst bei Phishing-Angriffen verraten könnten. Zusammen mit Deep-Learning-Modellen wie Codex könnte es sogar noch ausgefeiltere Nachrichten produzieren, z. B. fast menschliche Dialoge und Sprache, die Sofortnachrichten oder gefälschte Videos authentisch erscheinen lassen. 

Kriminelle können ChatGPT zur Herstellung von Malware verwenden 

Die Fähigkeit von ChatGPT, funktionierenden Code und Anweisungen als Teil seiner Antwort zu liefern, ist eine seiner beeindruckendsten Eigenschaften. Cybersecurity-Experten haben bereits beobachtet, wie Kriminelle Infostealer, bildbasierte Zielsysteme und Verschlüsselungstools vorführten, die angeblich mit ChatGPT entwickelt wurden. Die Anti-Malware-Beschränkungen der Plattform scheinen - zumindest im Moment - durch Umschreiben der Eingabeaufforderung und Hinzufügen zusätzlicher Einschränkungen umgangen werden zu können.

In der Zwischenzeit haben Sicherheitsforscher die Plattform genutzt, um polymorphe Malware zu entwickeln, die "Sicherheitsprodukte leicht umgehen und die Bekämpfung mit sehr geringem Aufwand oder geringen Investitionen des Gegners erschweren kann". Die Fähigkeit von ChatGPT, ausgefeilte Malware wie Ransomware zu erstellen, scheint zwar begrenzt zu sein, bietet aber weniger erfahrenen Kriminellen einen Vorteil: Ein Nutzer teilte einen mit dem Chatbot erstellten Python-Verschlüsselungscode, von dem er behauptete, es sei das erste Skript, das er je entwickelt habe.

Fortgeschrittenere Gruppen werden sicher Anwendungen für die neue Technologie finden, insbesondere wenn sie ihre eigenen KI-Modelle entwickeln. Das Tool von OpenAI könnte dazu verwendet werden, gefälschte Websites und Bots zu erstellen oder dynamische Änderungen am Code vorzunehmen und so Antivirenprüfungen zu umgehen. Ähnliche KI-Tools könnten auch für die Suche nach Schwachstellen eingesetzt werden. 

ChatGPT bringt aber auch gute Nachrichten für CISOs 

An dieser Stelle mag es so klingen, als sei ChatGPT ein Albtraum in Sachen Cybersicherheit. Doch viele Experten sehen Licht in der Dunkelheit. ChatGPT kann ein wichtiges Lernwerkzeug für Sicherheitsexperten sein, das neuen Mitarbeitern oder technisch weniger versierten Kollegen die Terminologie entmystifiziert. Es kann Lösungen und Erklärungen für Pen-Tester, Blue Teams und Entwickler bieten. Sie kann dazu beitragen, den Code lesbarer zu machen, und Teams bei der Untersuchung und dem Reverse Engineering von Malware oder der Suche nach potenziellen Schwachstellen unterstützen. Analysten können damit ihre eigenen Ergebnisse überprüfen, ihre Bemühungen skalieren und leichter verständliche Berichte erstellen. Der US-amerikanische Sicherheitsexperte Kyle Hanslovan ist der Ansicht, dass ChatGPT den Verteidigern im Kampf um die Cybersicherheit insgesamt eine etwas bessere Ausgangsposition verschafft als den Angreifern.

Sicher ist jedoch, dass bessere Kontrollen notwendig sind. Kriminelle haben die Beschränkungen von ChatGPT bereits umgangen, und neue Kontrollen von OpenAI und neue Gesetze könnten erforderlich sein, um diese aufkommende Landschaft wirksam zu regulieren, insbesondere wenn das Tool und seine Konkurrenten weiter fortgeschritten sind.

ChatGPT ist eine Bedrohung und eine Chance für CISOs 

Kriminelle sind immer auf der Suche nach neuen Angriffsmöglichkeiten. ChatGPT dürfte es Cyberangreifern ermöglichen, Kampagnen zu starten, die größer, überzeugender und schwieriger zu identifizieren sind. Richtig eingesetzt, kann sie auch Sicherheitsexperten helfen, indem sie das Lernen und die Codeanalyse erleichtert. Wir stehen noch am Anfang, aber ChatGPT dürfte für CISOs sowohl eine Chance als auch eine Herausforderung darstellen. Was auch immer Sie tun, ignorieren Sie es nicht. Die Roboter sind nicht auf dem Weg: Sie sind schon da.