Cybercrime goes AI – Hacken mit künstlicher Intelligenz?
Seit einem guten halben Jahr geht die Nutzung des Chatbots ChatGPT von OpenAI durch die Decke der Internet-Welt. Es ist der in der Geschichte des Internets bislang am schnellsten wachsenden Dienst. Nachdem die Fähigkeiten von ChatGPT viele Menschen aus den unterschiedlichsten Fachbereichen begeistert, bewegt eine Frage die IT-Sicherheitsverantwortlichen in aller Welt: ist ChatGPT die neue, ernsthafte Bedrohung? Werden ChatGPT getriggerte Cyberangriffe die Welt ins digitale Chaos stürzen? Schauen wir uns ChatGPT dazu zunächst einmal etwas genauer an:
ChatGPT ist ein künstlicher Intelligenz-basierter Chatbot, der von OpenAI entwickelt wurde. Es basiert auf einem transformer-basierten maschinellen Lernmodell, das auf einer enormen Menge an Texten trainiert wurde, um eine bessere Textgenerierung und -verständnis zu ermöglichen.
Das Modell verwendet eine tiefneuronale Netzarchitektur, die es ermöglicht, menschenähnliche Antworten auf Fragen und Aufforderungen zu generieren. ChatGPT kann eine Vielzahl von Aufgaben ausführen, wie z.B. Konversation, Übersetzung, Frage-Antwort-Systeme und vieles mehr.
Mehr als nur Fragen beantworten
Einer der wichtigsten Vorteile von ChatGPT ist seine Fähigkeit, menschenähnliche Antworten zu generieren, die sich an die Bedürfnisse und Erwartungen des Benutzers anpassen. Es kann auch seine Antworten auf verschiedenen Kontext basierend auf früheren Fragen und Aufforderungen laufend verbessern.
Doch Moment, geht es nicht in diesem Artikel um Cybercrime? ChatGPT verfügt neben der Fähigkeit, Fragen zu verstehen und Texte als Antworten auszugeben über eine weitere, vielleicht die bahnbrechendste Fähigkeit: ChatGPT kann auch programmieren. Dabei scheint die zur Anwendung kommende Programmiersprache eher zweitrangig zu sein: ChatGPT beherrscht sie alle – mehr noch, der Bot kann sie sogar von einer Sprache in eine andere übersetzen.
An dieser Stelle sei vorrausgeschickt, dass ChatGPT so programmiert ist, dass er die Beteiligung an kriminellen Aktivitäten grundsätzlich ablehnt. Man kann ChatGPT also nicht einfach sagen: „Hacke bitte Unternehmen XY für mich!“
Wenn wir uns aber die derzeitige, weltweite Cyber-Bedrohungslage etwas genauer ansehen, erkennen wir – etwas Fantasie vorausgesetzt – sehr schnell das mögliche Potential von ChatGTP im Bereich Cybercrime.
AI als Werkzeug der Cyberkriminellen: Die Evolution der Angriffstechniken
Angriffe auf Firmen habe insbesondere seit der Corona-Pandemie weltweit stark zugenommen. Die Gründe hierfür sind vielschichtig und sollen an dieser Stelle nicht Gegenstand der Erörterung sein. Den meisten erfolgreichen Angriffen der letzten Jahre liegt aber ein durchaus ähnliches Schema der verwendeten Angriffsvektoren zugrunde: am Anfang jedes Angriffes steht eine E-Mail.
Der Grund hierfür ist schnell erklärt: E-Mail findet in jedem Unternehmen Anwendung. Jeder aktiv am urbanisierten, technologisch geprägten Leben teilnehmende Mensch hat mindestens eine E-Mail-Adresse. Viele von uns haben zwei, drei oder noch mehr. E-Mail muss überall funktionieren und wird heute für praktisch alles benutzt: ob es der Geschäftsbrief ist, oder die private Buchung bei einem Restaurant, der Kommunikation mit Freunden, Verwandten oder der Schule der Kinder. E-Mail ist allgegenwärtig. Leider benutzen wir hier aber eine Technologie, welche maßgeblich in den 70ern und 80ern entwickelt wurde. Also lange bevor man wusste, welche Bedeutung-E-Mail einmal haben würde und ja, auch lange bevor man den Begriff „Cybercrime“ überhaupt kannte.
Genau diese Universalität, gepaart mit der nichtexistierenden Sicherheit dieser Technologie macht es den Cyberkriminellen heute so leicht. Sicher, eine E-Mail kann man mit einer Signatur versehen, um deren Herkunft einigermaßen zweifelsfrei verifizieren zu können – aber wie viele der E-Mail-Adressen da draußen verfügen über solche Zertifikate? Der Anteil ist leider immer noch verschwindend gering. Und so wurden Phishing, Spear-Phishing, Whaling und weitere, E-Mail basierte Angriffstechniken zum Angriffsvektor Nummer Eins der Cyberkriminellen.
„Hacking“ mit ChatGPT
An dieser Stelle kommen jetzt ChatGPT und OSINT (Open Source Intelligence) ins Spiel. Konstruieren wir doch einmal folgendes, beliebig ausgewählte Szenario: die Cyberkriminellen haben es auf ein produzierendes Unternehmen in Spanien abgesehen. Über OSINT und den verfügbaren Informationen im Internet konnte der IT-Leiter ausfindig gemacht werden. Außerdem wird schnell klar, dass der IT-Leiter ein besonderes Hobby hat: er ist ein Fan von Modelleisenbahnanlagen. Dabei hat er sich in der entsprechenden Community vor allem durch die Programmierung von Anlagen und vor allem durch die Ausstattung von Lokomotiven mit entsprechender Steuerungs- und Schaltungselektronik einen Namen gemacht. Einem versierten Angreifer mit entsprechender Fantasie reicht dies nun völlig und ChatGPT hat seinen großen Auftritt:
Es wird folgende Aufgabe an ChatGPT gegeben: „Schreibe eine Einladung zum diesjährigen, überregionalen Treffen des Modelleisenbahnclubs in Madrid, berücksichtige dabei Herrn IT-Leiter als Ehrengast und Preisträger im Bereich Programmierung und Automatisierung. Bitte in Spanischer Sprache.“
Et voilà: ChatGPT erledigt diese Aufgabe mit Bravour, dafür wurde er ja geschaffen. Alles, was die Cyberkriminellen nun noch machen müssen, ist die E-Mail mit einem Link zu einer präparierten Webseite zu garnieren. Je glaubhafter die gesamte Geschichte wirkt, desto größer wird die Chance sein, dass das Opfer – obwohl gut in Awareness geschult – den Link anwählt. Hinter dem Link verbirgt sich nun weiteres Unheil: entweder kann die Webseite direkt versuchen, nun Schadsoftware auf dem Zielsystem zu platzieren – oder sollte dies nicht einfach möglich sein, weil das Zielsystem entsprechend geschützt ist, könnte man das Opfer, unseren IT-Leiter, dazu verleiten weitere Schritte zu unternehmen: dies könnte z.B. der Download und das Öffnen von Dateien (PDF´s, zip-files, etc.) sein, die Installation einer App oder aber das Laden von Programmcode (z.B. via Github) sein. Schließlich hat sich unser Opfer gerade bei der Programmierung von Software einen Namen verdient. Und welcher Programmierer hat sich nicht schon einmal mit Code (oder Code-Schnipsel) von den gängigen Plattformen beholfen?
Schlussendlich sind hier der Fantasie und der kriminellen Energie keinerlei Grenzen mehr gesetzt. Und so kann auch ein Cyberkrimineller, welcher nicht Spanisch als seine Muttersprache hat, ganz einfach tätig werden. Es ist also sehr einfach möglich, ChatGPT im Rahmen einer Cyber-Kill-Chain effektiv zu nutzen. Von ganz allein kann ChatGPT aber noch nicht „hacken“ – und das ist auch gut so.
ChatGPT als Unterstützer bei Pentests
Durch seine Fähigkeit, natürliche Sprache zu verstehen und darauf zu reagieren, kann Chat GPT auch bei Penetrationstests einen Mehrwert bieten. Er kann als Werkzeug dienen, um potenzielle Sicherheitslücken zu identifizieren, Schwachstellen zu analysieren und Empfehlungen für deren Behebung zu geben. Unten sehen Sie zum Beispiel einen einfachen JavaScript-Code, der eine XSS-Schwachstelle erzeugt. Fragen wir ChatGPT nach diesem Code und lassen wir es uns über etwaige Schwachstellen informieren.
ChatGPT erwähnte daraufhin eine XSS-Schwachstelle. Das ist ein ziemlich guter Anfang. Aber Quellcodes sind nie so einfach. Versuchen wir also, das Beispiel ein wenig komplizierter zu machen.
Unten sehen Sie einen Code, der in der Programmiersprache C erstellt wurde. Dieser C-Code gehört zu einer anfälligen Anwendung. Er wurde sogar vollständig in einer realen Anwendung verwendet und kann in der Umsetzung von Pentests durchaus hilfreich sein.
Chat GPT kann also durchaus dabei helfen, neue und komplexere Angriffstechniken für Penetrationstests zu erkennen und dagegen vorzugehen. Aber KI ist immer noch wie ein Kind, das im Park spielt und den Rat eines Erwachsenen braucht. In naher Zukunft werden daher Cybersicherheitsexperten und Penetrationstester nicht so schnell arbeitslos werden. Interessier mehr über unsere Fallstudie mit allen Details zu erfahren? Wir freuen uns auf Ihre Anfrage!
