Wie ChatGPT Bug-Jägern unter die Arme greift
Teilnehmende eines Bug-Bounty-Wettbewerbs haben sich erfolgreich Unterstützung bei ChatGPT geholt. Sie zeigen damit, wie künstliche Intelligenz die Arbeit ethischer Hacker verändert.
ChatGPT ist in aller Munde. Auch in der Cybersecurity-Branche probiert man aus, was mit der künstlichen Intelligenz alles möglich ist. Ein Erfolgserlebnis hatten dabei die beiden ethischen Hacker Noam Moshe und Uri Katz von Team 82, einer Forschungsgruppe des Unternehmens Claroty. Wie "The Register" berichtet, gewannen die beiden am Bug-Bounty-Wettbewerb Pwn2own unlängst ein Preisgeld von 20'000 US-Dollar. Sie demonstrierten einen Cyberangriff auf einen OPC-Client ("Open Platform Communications") des Grosskonzerns Siemens - OPC ist eine Steuersoftware für die Industriebranche.
Die für den Angriff ausgenutzte Schwachstelle sowie die Angriffsmethode fanden die Bug-Jäger ohne ChatGPT, stellt "The Register" klar. Sie holten sich jedoch Unterstützung von der künstlichen Intelligenz, als es darum ging, ein Server-Backend-Modul zu entwickeln, um den Angriff zu testen.
"Damit unsere Exploitation-Technik funktioniert, mussten wir viele Änderungen an bestehenden Open-Source-OPC-UA-Projekten vornehmen", erklären Moshe und Katz gegenüber "The Register". "Da wir mit der spezifischen Server-SDK-Implementierung nicht vertraut waren, nutzten wir ChatGPT. Die KI beschleunigte den Prozess, indem sie uns half, den bestehenden Server zu nutzen und zu modifizieren." Dank dieser Unterstützung sei mehr Zeit übrig geblieben, um den eigentlichen Angriff zu implementieren.
ChatGPT allein reicht nicht
Die Idee, dass sich ethische Hacker von ChatGPT unter die Arme greifen lassen, könnte Schule machen. "Tatsächlich kann mithilfe von ChatGPT Code analysiert werden und es ist somit auch möglich, Schwachstellen in IT-Landschaften aufzudecken", sagt Phil Leatham, Senior Account Executive bei Yeswehack Deutschland. "Voraussetzung ist, dass die richtigen Fragen gestellt werden und der richtige Kontext gegeben ist."
Für sich genommen sei die KI jedoch kein Cybersecurity-Experte und könne daher nicht die Systeme und die IT-Infrastruktur eines Unternehmens prüfen. Ausserdem seien die Antworten von ChatGPT nicht immer richtig, ruft Leatham in Erinnerung. Dies nicht nur, weil dem System aktuelle Informationen fehlten. "Es kennt weder den Ausführungskontext einer Schwachstelle noch die anfällige Anwendung, geschweige denn die tatsächlichen Auswirkungen auf die Systeme und das Geschäft eines Unternehmens. Sobald der Kontext fehlt oder die Frage mehrdeutig ist, sind die Antworten von ChatGPT in der Regel falsch – auch wenn sie sich sehr gut lesen und richtig klingen."
Übrigens: Im Januar 2023 zeigten Forscher von Check Point, wie mithilfe von ChatGPT eine Cyberattacke vorbereitet werden kann. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Das sind die Finalisten der Swiss Fintech Awards 2024
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Whatsapp und Threads verschwinden aus chinesischem App Store
Der Astrologe rettet den Tag ... oder auch nicht
Was KI zur Barrierefreiheit im Web beitragen kann
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Logitechs Tastaturen und Mäuse erhalten direkten Draht zu ChatGPT
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
