A Miamiban rendezett hekkerversenyen is bemutatkozott az OpenAI mesterséges intelligenciája – még nem versenyzőként, csak segítőként, de hatékonyan tette a dolgát.

Ami használható jóra, az használható rossz célokra is. Ezzel a nem túl eredeti mondással lehetne összegezni a múlt héten Miamiban rendezett Pwn2Own hekkerverseny tapasztalatait. A megmérettetésen ugyanis az etikus hekkerek először vetettek be mesterséges intelligenciát, nevezetesen a ChatGPT-t. Az OpenAI algoritmusa segített a biztonsági kutatóknak ipari alkalmazásokban használt szoftvereket megtörni – és mint a The Register írja, nem mellesleg nyerni 20 ezer dollárt.

Nem az MI találta meg a sebezhetőséget, és nem is az MI írta a futtatható kódot, ami a hibát kihasználta. De mint Dustin Childs, a Trend Micro Zero Day Initiative (ZDI) egyik vezetője mondta a brit szaklapnak, ez valaminek a kezdete volt. Szerinte egyelőre annyit lehet nagy bizonyossággal jósolni, hogy az MI az etikus hekkerek számára óriási segítséget nyújthat, amikor olyan ismeretlen kóddal vagy védelemmel találkoznak, amire nem számítottak.

Hozzátehetjük: ez a másik oldalon is igaz, azaz a támadók legalább akkora segítséget kaphatnak az MI-től, amekkorát a védelem.

Távoli kódfuttatási feladatba vonták be

A versenyen a Claroty's Team82 vetette be a ChatGPT-t: távoli kódfuttatási támadást fejlesztettek a Siemens ún. Softing edgeAggregatora ellen, amely az OT-t (operation technology) és az IT-t kapcsolja össze ipari rendszerekben. Érdekes mellékszál, hogy a Claroty egyik alapítója és vezetője, Galina Antova korábban a Siemens ipari biztonsági szolgáltatásainak globális vezetőjeként dolgozott.

A sebezhetőség részleteit csak a hiba javítása után hozzák nyilvánosságra; egyelőre annyit lehet tudni, hogy az ipari rendszerek átfogó védelmével is foglalkozó Claroty csapata, Noam Moshe és Uri Katz egy OPC Unified Architecture (OPC UA) kliensben találta. (Az OPC UA egy gép-gép közötti kommunikációs protokoll, amelyet az ipari automatizálásban használnak.)

Amikor megvolt a sebezhetőség, a kutatók felkérték a ChatGPT-t, hogy fejlesszen az OPC UA szerverhez egy backend modult, hogy tesztelhessék exploitjukat. A modulra egy rosszindulatú szerver létrehozásához volt szükség, amelyről támadhatták a megtalált sebezhetőségen keresztül a megcélzott klienst.

Ahhoz, hogy a támadás működjön, sok változtatást kellett végrehajtani a versenyen használt nyílt forráskódú OPC UA projekteken, mondta a két biztonsági kutató a The Registernek. Csakhogy nem ismerték kellő mélységben az adott szerver SDK-implementációját. És itt kapott szerepet a ChatGPT: ehhez ugyanis őt hívták segítségül. Utasításokat adtak az MI-nek, amely ugyan több körben és sok emberi beavatkozással, de végül előállított egy működőképes és a célra alkalmas backend szervermodult. Így sokkal gyorsabban végeztek, mintha el kellett volna mélyedniük a modul megírásának rejtelmeiben.

A kiberbűnözők is használhatják

A kutatók szerint ChatGPT segítségét úgy kell elképzelni, mintha rengeteg Google-keresést futtattak volna le, hogy megtalálják a céljukhoz legjobban illeszkedő kódsablont, amit ugyancsak több körben utasításokkal (a kimenet meghatározásával) az adott feladathoz alakítottak.

Dustin Childs szerint a ChatGPT hamarosan a kiberbűnözők egyik fontos fegyvere lehet. Az összetett vállalati rendszerek a támadóknak is komoly kihívást jelentenek, hiszen nem ismerhetik minden aspektusát. Ebben segíthet számukra az MI. Azt nem tartja valószínűnek, hogy MI-vel írják majd az exploitokat, de ahogy a Claroty kutatóinak segített kiegészíteni hiányos tudásukat, így adhatja a támadók kezébe is "a sikerhez szükséges puzzle utolsó darabját".

Biztonság

Természetes regenerációt hozott az agy-gép interfész

Egy svájci kutatóközpontban szó szerint és átvitt értelemben is hatalmas lépést tett egy csigolyasérülés miatt lebénult páciens.
 
Hirdetés

Felhőköltségek optimalizálása a EURO ONE Számítástechnikai Zrt.-vel

Hogyan lehet költségoldalon megteremteni az egyensúlyt a különböző felhős konstrukciók között?

Az on-premise, cloud és hibrid rendszerek között egyértelmű győztest hirdetni nem lehet, de érdemes végig venni azokat a szempontokat, amik meghatározzák, milyen kiadásokkal kell számolni.

a melléklet támogatója az Euro One

Létezik egy ortodox irányzat, mely szerint a jelszavak legyenek minél hosszabbak és összetettebbek, valamint cseréljük azokat minél gyakrabban. Valóban ettől lesznek a rendszereink biztonságosabbak? Pfeiffer Szilárd (Balasys) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.