Indice dei contenuti
Active Directory (AD) è un servizio directory utilizzato dal 90% delle aziende per gestire i sistemi informatici, in particolare per quanto riguarda l’autenticazione, l’autorizzazione e l’identità di utenti, computer e altre risorse in rete. Data la sua diffusione, è l’obiettivo principale degli utenti malintenzionati che vogliono ottenere l’accesso a informazioni o dati sensibili.
Fino a poco tempo fa, per compromettere l’infrastruttura AD di un’azienda, bisognava avere una certa familiarità con gli strumenti e le tecniche di attacco e una conoscenza avanzata dei diversi protocolli di autenticazione e autorizzazione. Oggi, con l’avvento di ChatGPT, anche l’hacker meno esperto può portare a segno attacchi con gravi conseguenze.
C’è da dire che questa intelligenza artificiale (IA) generativa, accessibile a tutti, può rivelarsi anche un valido alleato per proteggere i sistemi aziendali e ridurre al minimo l’impatto di un’eventuale compromissione. Ma quindi ChatGPT rappresenta un’opportunità o una minaccia per la sicurezza di Active Directory?
Che cos’è l’IA generativa
L’IA generativa è in grado di creare contenuti nuovi e originali, come immagini, testi o audio. Mentre le altre tipologie di intelligenza artificiale sono progettate per riconoscere schemi e proporre stime in base ai dati esistenti, l’obiettivo dell’IA generativa è dare vita a nuovi dati partendo da ciò che ha appreso. Per l’addestramento di questa IA si utilizzano reti neurali profonde che imitano il funzionamento del cervello umano.
Lo sviluppo dell’IA generativa risale agli albori della ricerca sull’intelligenza artificiale, negli anni a cavallo tra il 1950 e il 1960. All’epoca, i ricercatori già si interrogavano sull’idea di usare i computer per generare nuovi contenuti, come composizioni musicali o opere d’arte.
È solo nel 2010 però che l’IA generativa sale alla ribalta, in concomitanza con lo sviluppo delle tecniche di deep learning e la disponibilità di grandi set di dati. Nel 2014, un team di ricercatori di Google ha pubblicato un articolo sull’uso delle reti neurali profonde per generare immagini, considerato una vera e propria pietra miliare nel settore.
Da quel momento in poi, sono stati pubblicati tantissimi studi sull’IA generativa e sviluppate nuove applicazioni e tecniche. Oggi l’IA generativa è un settore in rapida evoluzione in cui i passi in avanti si susseguono con costanza.
Che cos’è ChatGPT?
ChatGPT è un modello di linguaggio conversazionale su larga scala sviluppato da OpenAI. Basato sull’architettura Generative Pre-trained Transformer (GPT), questo modello è stato addestrato su grandi volumi di dati testuali utilizzando tecniche di apprendimento non supervisionate. ChatGPT può rispondere a prompt testuali in linguaggio naturale, rivelandosi utile in svariati ambiti di applicazione, dai chatbot alle traduzioni fino ai sistemi di domanda e risposta.
La prima versione di ChatGPT è stata rilasciata a giugno 2020. OpenAI ha annunciato sul blog il lancio del modello, insieme a una dimostrazione delle sue capacità.
Da allora, OpenAI ha continuato a perfezionare e migliorare ChatGPT con modelli più estesi e funzionalità più avanzate. A settembre 2021 è uscito GPT-3, l’ultima versione di ChatGPT: con ben 175 miliardi di parametri, è considerato uno dei modelli di linguaggio più avanzati e diffusi al mondo (Figura 1).
In che modo gli autori di attacchi possono sfruttare la potenza di ChatGPT?
L’obiettivo di ChatGPT è rivoluzionare il nostro modo di interagire con le macchine per creare una comunicazione sempre più fluida tra le persone e i computer. Però, la disponibilità al pubblico della versione beta ha portato gli autori di minacce ad approfittarne per i propri scopi. Ma in che modo?
Siti e app di phishing
I siti web di phishing esistono fin dalla nascita di Internet. I primi attacchi di questo genere avvenivano solo via e-mail. Man mano che le persone hanno imparato a riconoscere e a evitare le e-mail sospette, gli utenti malintenzionati si sono ingegnati con siti web fasulli che imitano siti legittimi. Il loro scopo è chiaro: ottenere le credenziali di accesso o informazioni personali. Queste iniziative spesso si basano su trend emergenti dai campi più disparati per raggirare vittime ignare. Ad esempio, con l’introduzione degli smartphone, le campagne di phishing hanno cominciato a diffondersi anche tramite app malevole.
Dal rilascio di ChatGPT, che ha subito attirato un grande interesse, diverse campagne di phishing sono state camuffate da siti web e app di ChatGPT, invitando gli utenti a scaricare e installare il malware o addirittura a fornire i dati della carta di credito. Siti e app malevoli spesso circolano tra i profili e gli annunci sui social per raggiungere il maggior numero di vittime possibile.
Campagne di phishing assistite da ChatGPT
Tanto gli utenti malintenzionati quanto i team per la sicurezza dei sistemi informatici sanno che le e-mail di phishing sono uno dei vettori d’attacco più efficaci. Gran parte di queste campagne si basa su un pretesto talmente credibile da spingere la vittima a rivelare informazioni riservate. Questo pretesto di solito crea un senso di urgenza o importanza. Vediamo come.
Un utente malintenzionato potrebbe fingere di essere una persona di cui fidarsi, come il dipendente di una banca o l’addetto del team di supporto IT. Usando questa falsa identità, informa la vittima di una possibile violazione della sicurezza o di una minaccia di chiusura del conto. A quel punto chiede le credenziali di accesso o altre informazioni personali per risolvere il problema.
Il pretesto è una tattica diffusa nelle campagne di phishing e può essere difficile da smascherare. L’utente malintenzionato potrebbe aver eseguito delle ricerche approfondite per inventare una storia convincente. A volte, però, la presenza di errori di ortografia e grammaticali o di stranezze nella sintassi e nella formattazione possono aiutarci a riconoscere questi tentativi di attacco.
Tanti autori di minacce ora stanno affidando questi meccanismi a ChatGPT. Sì, certo, l’IA non collaborerà alla richiesta diretta di creare un pretesto credibile per una campagna di phishing. Però è facile trovare un modo per aggirare questo limite, come mostrano le Figure 2 e 3. Il pretesto è stato adattato alle capacità dell’IA generativa di ChatGPT, aumentando il tasso di successo delle campagne di phishing.
Catene di attacco assistite da ChatGPT
Gli autori di attacchi possono utilizzare ChatGPT per architettare attacchi gravi contro un’organizzazione, anche con conoscenze tecniche scarsissime. La conversazione nelle Figure 4 e 5 mostra la tecnica per chiedere a ChatGPT di definire come può avvenire un attacco.
L’utente malintenzionato chiede quindi come si esegue un attacco golden ticket citato da ChatGPT. Come si può vedere nelle Figure 6 e 7 (tagliate per mostrare solo una parte dei passaggi), ChatGPT ha delle riserve morali a rispondere, ma alla fine queste spariscono una volta che l’utente malintenzionato si dichiara un hacker etico.
Seguendo le istruzioni di ChatGPT, il sedicente hacker etico può intrufolarsi nel dominio dell’organizzazione presa di mira con l’aiuto dell’intelligenza artificiale.
In che modo i team di cybersicurezza possono usare ChatGPT per difendere le risorse aziendali?
ChatGPT è uno strumento potentissimo che nelle mani degli autori di attacchi può fare danni enormi. Ma è una risorsa altrettanto valida anche sul fronte della difesa.
Ad esempio, i Blue Team incaricati di proteggere i sistemi aziendali possono sfruttare la potenza dell’IA generativa per svariate azioni, come:
- Correggere gli errori di configurazione della sicurezza
- Monitorare i componenti di sicurezza più importanti
- Ridurre al minimo i possibili danni in caso di compromissione
La conversazione nelle Figure 8, 9 e 10 mostra come un addetto alla difesa può usare ChatGPT per identificare e limitare i rischi associati alle deleghe Kerberos non vincolate. Se non sai cos’è una delega Kerberos non vincolata, chiedilo a ChatGPT.
Attenzione: prima di applicare gli script generati dall’IA, esegui sempre una verifica preliminare per rilevare eventuali bug interni che potrebbero interrompere il sistema (o comprometterlo nella peggiore delle ipotesi).
IA generativa: un’arma a doppio taglio
L’accessibilità al pubblico di ChatGPT e dell’IA generativa ha già cambiato il nostro modo di interagire con le macchine. Con lo sviluppo di modelli di intelligenza artificiale sempre più avanzati e il rilascio di versioni sempre nuove, stiamo assistendo a una vera e propria rivoluzione tecnologica, con un impatto ancora maggiore dell’invenzione di Internet e dei telefoni cellulari.
Ma come ogni nuova tecnologia, c’è sempre chi la utilizza per scopi diversi da quelli per cui è stata progettata: basti pensare agli autori di attacchi, che vogliono sfruttarla per infliggere ancora più danni. Per fortuna, la stessa tecnologia può essere utile per scopi benefici, come migliorare la difesa dei sistemi aziendali con tempi e risultati mai visti prima.
Yossi Rachman è Director of Security Research di Semperis ed esperto in tecniche di cybersicurezza offensive e difensive.
Informazioni su Semperis
Per i team incaricati della protezione degli ambienti ibridi e multicloud, Semperis garantisce l’integrità e la disponibilità dei servizi directory aziendali cruciali in ogni fase della cyber kill chain, con tempi di ripristino ridotti del 90%. Studiata appositamente per difendere gli ambienti ibridi di Active Directory, la tecnologia brevettata di Semperis protegge oltre 50 milioni di identità da attacchi informatici, violazioni di dati ed errori operativi. Le più importanti organizzazioni a livello mondiale si affidano a Semperis per rilevare le vulnerabilità nelle directory, intercettare gli attacchi informatici in corso e ripristinare in tempi rapidi l’ambiente in caso di ransomware e altre minacce all’integrità dei dati. Semperis ha sede a Hoboken, in New Jersey, ma lavora a livello internazionale: il suo team di ricerca e sviluppo opera in diverse sedi tra Stati Uniti, Canada e Israele.
Oltre a organizzare la pluripremiata conferenza e la serie di podcast Hybrid Identity Protection (www.hipconf.com), Semperis ha creato Purple Knight (www.purple-knight.com), lo strumento gratuito per valutare la sicurezza di Active Directory. L’azienda ha ricevuto i più importanti riconoscimenti del settore, recentemente è stata inserita da Inc. Magazine nella classifica 2022 dei migliori posti di lavoro e il Finalcial Times l’ha confermata come l’azienda americana in più rapida crescita nel settore della sicurezza informatica. Semperis è parte di Microsoft Enterprise Cloud Alliance e partner di Co-Sell.