Por: John Borrero Rodriguez*
¿Utilizar el ChatGPT o no utilizar el ChatGPT? Esa es la cuestión predominante en el panorama cibernético estos días. No es sorpresa que los bots de Inteligencia Artificial (IA) hayan tomado a la sociedad por asalto. Por el contrario, FAIR de Meta, LaMDA de Google, Watson de IBM y Cortana de Microsoft, son ejemplos de diferentes grados variables de bots de inteligencia artificial. Watson debutó incluso en el popular programa “Jeopardy” en febrero de 2011. La Inteligencia Artificial no es un concepto nuevo; lo que es nuevo es que el ChatGPT es fácilmente accesible para millones de personas alrededor del mundo y no requiere de pagar una alta tarifa para usarlo. Aún así, ha sido aclamado como algo novedoso que podría ser una amenaza inmediata, ya que puede ser utilizado por actores de ciber amenazas para facilitar los ataques.
¿Un elegante escritor de malware o tan solo un código pobremente conceptualizado?
La habilidad del ChatGPT para escribir malware es limitada, durante su presentación el internet estaba plagado con ejemplos de “malware” escrito por la plataforma. Al momento de escribir este artículo, está severamente limitado si no completamente bloqueado. Dadas las recientes actualizaciones a su modelo y la política de uso, se puede limitar su habilidad para hacer mucho de algo con excepción de su propósito designado.
En un intento por forzar al modelo a escribir una plantilla que pudiera ser usada para malware, resultó en una arquitectura básica servidor-cliente. El código del servidor puede verse en la Figura 2. ¿Es realmente útil para crear una implementación de comandos y control? No, hay otras avenidas para encontrar marcos y repositorios en internet que están fuera del alcance de este artículo.
De acuerdo con el Investigador Principal Senior, Richard Johnson, una oportunidad potencial es darle al ChatGPT detalles de una campaña de inteligencia de open-source en un objetivo específico, y dejarlo crear plantillas de ingeniería social. Este es un mejor uso de las actuales capacidades y una que potencialmente ya se está aplicado en el mundo.
Los escritores y los que defienden del malware están constantemente en el juego de “el gato y el ratón”. Nuevas técnicas se implementan a un ritmo rápido por actores avanzados de amenazas y los defensores se apresuran a entenderlas. Esto requiere profunda comprensión e investigación de aplicaciones y sistemas operativos internos.
El copilot GitHub de Microsoft facilita la escritura del código usando OpenAI Codex e ingiriendo todos los repositorios de códigos públicos GitHub. Luego va a través de un modelo de predicción y sugiere un código para el escritor. El escritor puede solo agregar comentarios al código y el copilot sugerirá un código funcional. Una distinción importante es que el copilot de Microsoft
utiliza el OpenAI Codex. Este modo está diseñado específicamente para generar códigos. El ChatGPT está diseñado para texto conversacional. En una comparación, copilot eclipsa al ChatGPT en capacidad de herramientas ofensivas. Tan solo al darle la intención del código deseado, copilot puede sugerir un código funcional. Dado que se alimenta directamente al entorno de desarrollo, el código puede compilarse en un ejecutable. La extensión de copilot está disponible para una multitud de lenguajes de programación, haciéndolo versátil para la generación de malware dirigido, aunque un autor hábil necesita asegurar una funcionalidad adecuada. Un ejemplo básico del uso de copilot puede observarse abajo en la Figura 3.
Conclusión
Los actores de amenazas avanzados han demostrado constantemente un nivel de experiencia y delicadeza necesarios para lograr sus objetivos. El ChatGPT ofrece un método mediocre no intencional para que actores de amenazas compongan un malware mal escrito. Tome un adversario en constante evolución como Turla, cuyas capacidades se han movido de usar el arcaico PowerShell a ejecutar su nuevo malware Kazuar and .NET obfuscator. Un adversario bien definido entiende las huellas y capacidades de sus objetivos, que es un defecto del ChatGPT. En varias pruebas, el malware creado por el ChatGPT no era funcional o inmediatamente detectado por las soluciones de seguridad de Trellix, demostrando su falta de originalidad y creatividad requeridas en el cambiante panorama de amenazas actual. El modelo ofreció un excelente plano para ayudar a entender diferentes métodos de implementar soluciones de software, pero está muy lejos de ser un producto viable para operaciones ofensivas.
Descargo de responsabilidad
Este documento y la información contenida en él, describe la investigación de seguridad de computadores con propósitos educativos solamente y para la conveniencia de los clientes de Trellix. Cualquier intento por recrear parte o todas las actividades descritas, es bajo el riesgo del usuario y ni Trellix ni sus afiliados tendrán ninguna responsabilidad o compromiso.
*John Borrero Rodriguez es Investigador Senior de seguridad ofensiva en el Centro de Investigación Avanzada de Trellix. Trellix es la empresa resultado de la fusión entre McAfee Enterprise y FireEye, creando así una de las empresas de ciberseguridad más grandes del mundo.
