Tenía que suceder tarde o temprano. Por lo que parece ser la primera vez en la historia, los cazadores de errores utilizaron ChatGPT en un exploit exitoso de Pwn2Own, ayudando a los investigadores a secuestrar el software utilizado en aplicaciones industriales y ganar $ 20,000.
Para ser claros: la IA no encontró la vulnerabilidad ni escribió ni ejecutó código para explotar una falla específica. Pero su uso exitoso en el concurso de informes de errores podría ser un presagio de hacks por venir.
"Esto no es interpretar la piedra de Rosetta", dijo Dustin Childs, jefe de concienciación sobre amenazas de Zero Day Initiative (ZDI) de Trend Micro. El registro.
“Es un primer paso hacia algo más. No creemos que la IA sea el futuro de la piratería, pero ciertamente podría convertirse en un gran asistente para cuando un investigador se enfrenta a un código con el que no está familiarizado o una defensa que no esperaba”.
En el concurso de la semana pasada en Miami, Florida, Equipo de Claroty82 pidió a ChatGPT que los ayudara a desarrollar un ataque de ejecución remota de código contra Softing edgeAggregator Siemens, un software que proporciona conectividad en la interfaz entre OT (tecnología operativa) y TI en aplicaciones industriales.
Los detalles técnicos son limitados debido a la naturaleza de Pwn2Own: las personas encuentran agujeros de seguridad, los demuestran en el escenario, revelan en privado cómo lo hicieron al desarrollador o al proveedor, reclaman un premio y todos esperamos a que salgan los detalles y los parches. eventualmente cuando esté listo.
Mientras tanto, podemos decir esto: los humanos involucrados en el exploit, los investigadores de seguridad Noam Moshe y Uri Katz, identificaron una vulnerabilidad en un cliente de Arquitectura Unificada OPC (OPC UA), presumiblemente dentro de la suite de software industrial edgeAggregator. OPC UA es un protocolo de comunicación de máquina a máquina que se utiliza en la automatización industrial.
Después de encontrar el error, los investigadores le pidieron a ChatGPT que desarrollara un módulo de back-end para un servidor OPC UA para probar su explotación de ejecución remota. Parecería que este módulo era necesario para construir básicamente un servidor malicioso para atacar al cliente vulnerable a través de la vulnerabilidad que encontró el dúo.
"Debido a que tuvimos que hacer muchas modificaciones para que nuestra técnica de explotación funcionara, tuvimos que hacer muchos cambios en los proyectos OPC UA de código abierto existentes", dijeron Moshe y Katz. El registro.
“Dado que no estábamos familiarizados con la implementación específica del SDK del servidor, usamos ChatGPT para acelerar el proceso ayudándonos a usar y modificar el servidor existente”.
El equipo proporcionó instrucciones a la IA, y tuvo que hacer algunas rondas de correcciones y alteraciones "menores" hasta que se encontró con un módulo de servidor back-end viable, admitieron.
Pero, en general, se nos dice, el chatbot proporcionó una herramienta útil que les ahorró tiempo, especialmente en términos de llenar los vacíos de conocimiento, como aprender a escribir un módulo de back-end y permitir que los humanos se centren más en implementar el exploit.
“ChatGPT tiene la capacidad de ser una gran herramienta para acelerar el proceso de codificación”, dijo el dúo, y agregó que aumentó su eficiencia.
“Es como hacer muchas rondas de búsquedas en Google para una plantilla de código específica y luego agregar varias rondas de modificaciones al código según nuestras necesidades específicas, simplemente indicándole lo que queríamos lograr”, dijeron Moshe y Katz.
Según Childs, probablemente así es como veremos a los ciberdelincuentes usar ChatGPT en ataques de la vida real contra sistemas industriales.
“Explotar sistemas complejos es un desafío y, a menudo, los actores de amenazas no están familiarizados con todos los aspectos de un objetivo en particular”, dijo. Childs agregó que no espera ver herramientas generadas por IA escribiendo exploits, "sino proporcionando esa última pieza del rompecabezas necesaria para el éxito".
Y no le preocupa que AI se haga cargo de Pwn2Own. Al menos no todavía.
“Eso todavía está bastante lejos”, dijo Childs. “Sin embargo, el uso de ChatGPT aquí muestra cómo la IA puede ayudar a convertir una vulnerabilidad en un exploit, siempre que el investigador sepa cómo hacer las preguntas correctas e ignorar las respuestas incorrectas. Es un desarrollo interesante en la historia de la competencia, y esperamos ver a dónde nos puede llevar”. ®
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
