IT Security März/April
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer! KI-basierte Angriffserkennung – Möglichkeiten und Grenzen RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren
Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer!
KI-basierte Angriffserkennung – Möglichkeiten und Grenzen
RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
- Keine Tags gefunden...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 41<br />
hin zur Entdeckung von Sicherheitslücken<br />
und vielem mehr.<br />
Mit den bahnbrechenden Fortschritten<br />
in der Technologie sind jedoch auch<br />
die unvermeidlichen Sicherheitsbedenken<br />
nicht weit entfernt. Während<br />
ChatGPT bemüht ist, böswillige Inhalte<br />
einzuschränken, sieht die<br />
Realität so aus, dass Cyber-Kriminelle<br />
bereits nach Möglichkeiten<br />
suchen, das Tool für<br />
schadhafte Zwecke zu nutzen.<br />
Es ist zum Beispiel nicht<br />
schwer, realistische Phishing-<br />
E-Mails oder Exploit-Code zu<br />
erstellen, indem man einfach<br />
die Benutzereingabe ändert<br />
oder die erzeugte Ausgabe<br />
leicht anpasst.<br />
Die Kehrseite der Medaille<br />
Während textbasierte Angriffe wie Phishing<br />
weiterhin das Social Engineering<br />
dominieren, wird die Entwicklung von<br />
datenwissenschaftlichen Tools unweigerlich<br />
zu anderen Medien führen, einschließlich<br />
Audio und Video, die ebenso<br />
effektiv sein könnten. Darüber hinaus<br />
könnten Bedrohungsakteure versuchen,<br />
Datenverarbeitungs-Engines so zu verfeinern,<br />
dass sie ChatGPT nachahmen,<br />
während sie gleichzeitig Beschränkungen<br />
aufheben und sogar die Fähigkeiten<br />
dieser Tools zur Erstellung<br />
bösartiger Ergebnisse<br />
verbessern.<br />
Das Potenzial<br />
Auch wenn Bedenken<br />
hinsichtlich<br />
der<br />
Cyber-Sicherheit<br />
aufgekommen<br />
sind, darf<br />
nicht vergessen<br />
werden, dass dieses<br />
Tool ein noch<br />
größeres Potenzial<br />
hat Gutes zu tun. Es kann<br />
unter anderem dazu beitragen, kritische<br />
Programmierfehler zu erkennen,<br />
komplexe technische Konzepte in einfacher<br />
Sprache zu beschreiben und<br />
sogar Skripte und widerstandsfähigen<br />
Code zu entwickeln. Forscher, Hochschulen<br />
und Unternehmen in der Cyber-Sicherheitsbranche<br />
können sich die<br />
Vorteile von ChatGPT für Innovation<br />
und Zusammenarbeit zunutze machen.<br />
Daher wird es interessant, diese Entwicklung<br />
für computergenerierte Inhalte<br />
zu verfolgen, da es die Fähigkeiten<br />
sowohl für gutartige als auch für bösartige<br />
Absichten verbessert.<br />
Die Lücken<br />
Sicherheitsforscher von Check Point Research<br />
(CPR) haben just in Experimenten<br />
herausgefunden, dass ChatGPT<br />
auch dafür verwendet werden könnte,<br />
bösartige Mails und Code zu generieren<br />
und so mit wenig Aufwand ausgefeilte<br />
Cyberangriffe zu initiieren. Das ist<br />
natürlich weniger schön.<br />
Sie warnen vor Hackern, die ChatGPT<br />
und Codex von OpenAI nutzen könnten,<br />
um gezielte und effiziente Cyberangriffe<br />
durchzuführen. CPR hat in<br />
experimentellen Korrespondenzen getestet,<br />
ob sich mithilfe des ChatBots<br />
schädlicher Code zur Initiierung von<br />
Cyberangriffen erstellen ließe. ChatGPT<br />
(Generative Pre-trained Trans former)<br />
ist ein frei nutzbarer KI-ChatBot, der<br />
seinen Nutzern auf der Grundlage im<br />
Internet zu findender Daten kontextbezogene<br />
Antworten liefern kann. Bei<br />
Codex wiederum handelt es sich um<br />
eine ebenfalls von OpenAI entwickelte<br />
Künstliche Intelligenz, die in der<br />
Lage ist, natürliche Sprache in Code<br />
zu übersetzen.<br />
Das Vorgehen verlief wie folgt:<br />
➤ CPR verwendete ChatGPT, um eine<br />
Phishing-E-Mail zu erstellen, die sich<br />
als Hosting-Unternehmen ausgab<br />
➤ CPR wiederholte ChatGPT, um eine<br />
Phishing-E-Mail zu verfeinern und<br />
die Infektionskette zu erleichtern<br />
➤ CPR verwendete ChatGPT, um<br />
VBA-Code zum Einbetten in ein Excel-Dokument<br />
zu generieren<br />
Mit ChatGPT<br />
Infektionsketten erzeugen<br />
Um die Gefahren beider Technologien<br />
zu demonstrieren, hat CPR ChatGPT<br />
und Codex verwendet, um bösartige<br />
E-Mails, Code und eine vollständige<br />
Infektionskette zu erzeugen, die die<br />
Computer von Nutzern angreifen kann.<br />
CPR dokumentiert seine Korrespondenz<br />
mit ChatGPT in einer neuen Veröffentlichung<br />
mit Beispielen für die erzeugten<br />
Inhalte. Das Ergebnis unterstreicht, wie<br />
wichtig es ist, wachsam zu sein, da die<br />
Entwicklung von KI-Technologien wie<br />
ChatGPT die Cyber-Bedrohungslandschaft<br />
erheblich verändern kann.<br />
Mit ChatGPT von Open AI konnte CPR<br />
eine Phishing-E-Mail mit einem angehängten<br />
Excel-Dokument erstellen,<br />
das bösartigen Code zum Herunterla-<br />
www.it-daily.net | <strong>März</strong>/<strong>April</strong> 2023