O Active Directory é um serviço de diretório usado por 90% das empresas para gerenciar sistemas de computador, mas com o advento do ChatGPT, até o mais amador dos hackers pode realizar ataques com sérias consequências. A análise aprofundada de Yossi Rachman, especialista em técnicas ofensivas e defensivas de cibersegurança e Diretor de Pesquisa de Segurança da Semperis, empresa do setor de resiliência de TI para empresas
O Active Directory (AD) é um serviço de diretório utilizado por 90% das empresas para gerenciar sistemas de computadores, principalmente no que diz respeito à autenticação, autorização e identidade de usuários, computadores e outros recursos da rede. Dada a sua prevalência, é o principal alvo de usuários mal-intencionados que desejam obter acesso a informações ou dados confidenciais.
Até recentemente, comprometer a infraestrutura de AD de uma empresa exigia familiaridade com ferramentas e técnicas de ataque e conhecimento avançado de vários protocolos de autenticação e autorização. Hoje, com o advento do ChatGPT, até o hacker menos experiente pode realizar ataques com sérias consequências.
É preciso dizer que essa inteligência artificial (IA) generativa, acessível a todos, também pode se revelar uma aliada válida na proteção dos sistemas da empresa e na minimização do impacto de qualquer comprometimento. Então, o ChatGPT é uma oportunidade ou uma ameaça à segurança do Active Directory?
O QUE É IA GENERATIVA
A IA generativa é capaz de criar conteúdo novo e original, como imagens, texto ou áudio. Enquanto outros tipos de IA são projetados para reconhecer padrões e fazer previsões com base nos dados existentes, o objetivo da IA generativa é dar vida a novos dados a partir do que foi aprendido. Redes neurais profundas que imitam o funcionamento do cérebro humano são usadas para treinar essa IA.
O desenvolvimento da IA generativa remonta aos primórdios das pesquisas em inteligência artificial, nas décadas de 1950 e 1960. Na época, os pesquisadores já se questionavam sobre a ideia de usar computadores para gerar novos conteúdos, como composições musicais ou obras de arte.
No entanto, é apenas em 2010 que a IA generativa ganha destaque, em conjunto com o desenvolvimento de técnicas de aprendizado profundo e a disponibilidade de grandes conjuntos de dados. Em 2014, uma equipe de pesquisadores do Google publicou um artigo sobre o uso de redes neurais profundas para geração de imagens, considerado um verdadeiro marco na área.
Desde então, muitos estudos sobre IA generativa foram publicados e novas aplicações e técnicas foram desenvolvidas. Hoje, a IA generativa é um setor em rápida evolução, no qual o progresso continua constantemente.
O QUE É O CHATGPT?
ChatGPT é um modelo de linguagem de conversação em larga escala desenvolvido pela OpenAI. Baseado na arquitetura Generative Pre-trained Transformer (GPT), este modelo foi treinado em grandes volumes de dados textuais usando técnicas de aprendizado não supervisionado. O ChatGPT pode responder a prompts de texto em linguagem natural, o que é útil em uma variedade de aplicativos, de chatbots a traduções e sistemas de perguntas e respostas.
A primeira versão do ChatGPT foi lançada em junho de 2020. A OpenAI anunciou o lançamento do modelo no blog , junto com uma demonstração de suas capacidades.
Desde então, a OpenAI continuou a refinar e melhorar o ChatGPT com modelos mais extensos e recursos mais avançados. Em setembro de 2021, foi lançado o GPT-3, a última versão do ChatGPT: com 175 bilhões de parâmetros, é considerado um dos modelos de linguagem mais avançados e difundidos do mundo (Figura 1).
COMO OS ATACANTES PODEM EXPLORAR O PODER DO CHATGPT?
O objetivo do ChatGPT é revolucionar a forma como interagimos com as máquinas para criar uma comunicação cada vez mais fluida entre pessoas e computadores. No entanto, a disponibilidade pública da versão beta levou os agentes de ameaças a tirar proveito dela para seus próprios fins. Mas como?
SITES E APLICATIVOS DE PHISHING
Os sites de phishing existem desde o nascimento da Internet. Os primeiros ataques desse tipo ocorreram apenas por e-mail. Como as pessoas aprenderam a reconhecer e evitar e-mails suspeitos, usuários mal-intencionados criaram sites falsos que imitam sites legítimos. Seu objetivo é claro: obter credenciais de login ou informações pessoais. Essas iniciativas geralmente dependem de tendências emergentes de campos díspares para enganar vítimas inocentes. Por exemplo, com a introdução dos smartphones, as campanhas de phishing também começaram a se espalhar por meio de aplicativos maliciosos.
Desde o lançamento do ChatGPT, que imediatamente atraiu muito interesse, várias campanhas de phishing foram disfarçadas como sites e aplicativos ChatGPT, convidando os usuários a baixar e instalar o malware ou até mesmo fornecer informações de cartão de crédito. Sites e aplicativos maliciosos geralmente circulam por meio de perfis e anúncios de mídia social para atingir o maior número possível de vítimas.
CAMPANHAS DE PHISHING ASSISTIDAS PELO CHATGPT
Tanto os usuários mal-intencionados quanto as equipes de segurança de sistemas de computador sabem que os e-mails de phishing são um dos vetores de ataque mais eficazes. A maior parte destas campanhas assenta num pretexto tão credível que induz a vítima a revelar informação confidencial. Esse pretexto geralmente cria um senso de urgência ou importância. Vamos ver como.
Um invasor pode fingir ser alguém em quem você confia, como um funcionário do banco ou membro da equipe de suporte de TI. Usando essa identidade falsa, ele informa a vítima sobre uma possível violação de segurança ou ameaça de fechamento de conta. Nesse ponto, ele solicita credenciais de login ou outras informações pessoais para corrigir o problema.
Fingir é uma tática comum em campanhas de phishing e pode ser difícil de expor. O invasor pode ter feito uma extensa pesquisa para criar uma história convincente. Às vezes, porém, a presença de erros ortográficos e gramaticais ou esquisitices na sintaxe e formatação podem nos ajudar a reconhecer essas tentativas de ataque.
Muitos atores de ameaças agora estão confiando esses mecanismos ao ChatGPT. Sim, claro, a IA não cooperará com uma solicitação direta para criar um pretexto confiável para uma campanha de phishing. Mas é fácil contornar esse limite, como mostram as Figuras 2 e 3. O pretexto foi adaptado às capacidades da IA generativa do ChatGPT, aumentando a taxa de sucesso das campanhas de phishing.
CADEIAS DE ATAQUES ASSISTIDOS POR CHATGPT
Os invasores podem usar o ChatGPT para projetar ataques sérios contra uma organização, mesmo com muito pouco conhecimento técnico. A conversa nas Figuras 4 e 5 demonstra a técnica de pedir ao ChatGPT para definir como um ataque pode acontecer.
O invasor então pergunta como você faz um ataque de bilhete dourado citado pelo ChatGPT. Como pode ser visto nas Figuras 6 e 7 (recortadas para mostrar apenas parte das etapas), o ChatGPT tem ressalvas morais a responder, mas que acabam desaparecendo assim que o invasor se declara um hacker ético.
Seguindo as instruções do ChatGPT, o autodenominado hacker ético pode se infiltrar no domínio da organização visada com a ajuda da inteligência artificial.
COMO AS EQUIPES DE SEGURANÇA CIBERNÉTICA PODEM USAR O CHATGPT PARA DEFENDER ATIVOS CORPORATIVOS?
O ChatGPT é uma ferramenta muito poderosa que nas mãos dos invasores pode causar danos enormes. Mas é um recurso igualmente válido na frente de defesa também.
Por exemplo, Blue Teams encarregados de proteger sistemas corporativos podem aproveitar o poder da IA generativa para uma variedade de ações, como:
- Corrigir erros de configuração de segurança
- Monitore os componentes de segurança mais importantes
- Minimizar os possíveis danos em caso de comprometimento
A conversa nas Figuras 8, 9 e 10 mostra como um oficial de defesa pode usar o ChatGPT para identificar e mitigar os riscos associados à delegação irrestrita do Kerberos. Se você não sabe o que é delegação Kerberos irrestrita, pergunte ao ChatGPT.
Aviso: antes de aplicar scripts gerados por IA, sempre verifique se há algum bug interno que possa interromper seu sistema (ou comprometê-lo no pior dos casos).
IA GENERATIVA: UMA ESPADA DE DOIS GUMES
A acessibilidade pública do ChatGPT e Generative AI já mudou a forma como interagimos com as máquinas. Com o desenvolvimento de modelos cada vez mais avançados de inteligência artificial e o lançamento de versões cada vez mais novas, assistimos a uma verdadeira revolução tecnológica, com um impacto ainda maior do que a invenção da Internet e dos telemóveis.
Mas, como toda nova tecnologia, sempre há quem a utilize para fins diferentes daqueles para os quais foi projetada: basta pensar nos atacantes, que querem explorá-la para infligir ainda mais danos. Felizmente, a mesma tecnologia pode ser útil para fins benéficos, como melhorar a defesa dos sistemas corporativos com tempos e resultados nunca antes vistos.
Esta é uma tradução automática de uma publicação publicada em Start Magazine na URL https://www.startmag.it/innovazione/chatgpt-opportunita-o-minaccia-per-la-sicurezza-di-active-directory/ em Sat, 22 Apr 2023 06:09:00 +0000.