Новый инструмент хакера: можно ли с помощью ChatGPT создать вредоносное ПО?

В настоящее время вокруг ChatGPT возник вал новостей. Например, пишут, что исследователи сумели использовать его для написания вредоносного кода. При этом, разбирая исходный отчет, мы видим, что “самообучающиеся” чат-боты находятся в самом начале своего пути в роли создателей кода, в том числе и вирусов,, и нет никаких гарантий, что в обозримом будущем они будут эффективно генерироваться без значимого участия человека.

Так может ли ChatGPT представлять угрозу и породить вирусы нового поколения? Возможно, но пока этого не произошло.

Новые технологии всегда привлекали интерес – особенно те из них, которые способны подменять собой человеческое сознание. ChatGPT, ставший знаменитый чат-бот от OpenAI – одна из таких технологий. Он уверенно прошел тест Тьюринга, и теперь используется для множества задач. Точнее, его пытаются использовать. Вот только … так ли он хорош во всем?

Например, пишут, что исследователи сумели использовать его для написания вредоносного кода. При этом, разбирая исходный отчет, мы видим, что “самообучающиеся” чат-боты находятся в самом начале своего пути в роли создателей кода, в том числе и вирусов,, и нет никаких гарантий, что в обозримом будущем они будут эффективно генерироваться без значимого участия человека.

Но самое интересное – в другом. Большая часть времени у создателей “вируса” ушла не на собственно процесс его создания или обучения бота – а на то, чтобы заставить этого самого бота обойти изначально заложенные в нем ограничения на создание “нелегального” контента. В конце концов, им это удалось, и сам этот факт уже можно считать важным результатом … только к применению ChatGPT для целей создания вредоносных программ он имеет очень опосредованное отношение.

В итоге, ChatGPT действительно может позволить “оптимизировать” работу хакера, или помочь начинающему злоумышленнику без серьезных навыков программирования начать что-то генерировать(пользуясь случаем, напоминаем о ст. 272 УК РФ). Он действительно может помочь создать код вредоносного ПО – правда есть большие сомнения, будет ли он так же эффективен как код, написанный профессионалами. А главное – отдельные участки кода все еще достаточно сложно заменить, и именно они могут привлечь внимание вирусных аналитиков.

И вот в этом – главный вопрос, касающийся “полиморфного” вируса, созданного в рамках ChatGPT. Судя по всему, никто из исследователей не проверял его на реальном антивирусном ПО, а оценивал именно теоретическую возможность создания такого рода программ. И да, такая возможность есть, только практической пользы от нее пока-что нет. Полиморфные вирусы существуют уже множество лет, их особенности известны, и способы защиты от них известны: если базы сигнатур и не работают, то есть HIPS, и эвристический анализ. А главное – полиморфный вирус в любом случае не обладает, например, ультимативностью уязвимостей 0-го дня, бороться с которыми зачастую невозможно.

Возможно, известные базы сигнатур ему удастся обойти. Но современное антивирусное ПО работает немного иначе, а подменить цели работы вредоносной программы никакой полиморфизм не позволяет.

Так что пока мы видим отличный инструмент – для прототипирования, для оптимизации привычных и тривиальных операций. В случае с IT-индустрией он наверняка станет отличным инструментом для помощи разработчику. А вот что касается ИБ – вопрос гораздо сложнее. В кибербезопасности многое зависит от умения видеть более сложные взаимосвязи и быть достаточно изобретательным – а “роботы” этому пока не научились.

Резюмируя: большинство уже имеющихся исследований ChatGPT посвящены в первую очередь оценке возможности создания с его помощью вирусов и различным механизмам “обхода” внутренних ограничений бота.Мы сомневаемся, что ChatGPT возможно будет эффективно использовать в ИБ-индустрии. Будем следить за развитием событий.

Все слышали про Анонимус, но почему-то мало кто помнит, что же они такое.

А потом удивляются, почему в их понимании "хакерская группировка" так быстро меняет свое мнение и просто переобувается на лету?

Анонимус — это движение активистов\хактивистов, объединенное общей идеей. Они — своего рода площадка, где люди могут найти себе команду со схожими целями и интересами. У них нет лидера, нет идеалогии, нет централизованного управления.

Когда в мире происходят какие-либо громкие политические события, на площадке Анонимус, создавались каналы, где люди объединялись и пытались на эти процессы как-то влиять. При это очень часто создавались диаметрально противоположные по взглядам и целям каналы! То есть разные люди могли поддерживать разные стороны. И все они — "Анонимус". Как и сейчас, находятся хактивисты, которые поддерживают Россию и вокруг них на площадке Анонимус собираются люди. И находятся те, кто выступает против, таких обычно там больше, просто потому, что основа площадки - англоязычная. И каждое из этих объединений с совершенно противоположными целями может называть себя Anonymous, и будет право!

А еще есть Anonymous Russia, но там немного сложнее — они все хактивисты из России, поэтому там мало кто "переобувается", и это просто разные группы на одной площадке, и под одним брендом.

Служба защиты и нападения — информационная безопасности глазами профи

"Как выглядит изнутри служба ИБ, чем внутренняя безопасность отличается от внешней и почему не надо бояться хакеров — в разговоре с Антоном Бочкарёвым".

У Антона тут вышло крутое интервью о том, что такое ИБ, чем оно отличается от IT, как работают люди в этой замечательной индустрии и чего стоит (и не стоит) бояться. В общем, рекомендую!

Кстати, подписывайтесь на наш канал — там много всего из мира ИБ.

Как "служба безопасности банка" клиентов в террористы вербовала, или #3side_безполитики

Вчера случился очередной поджог военкомата: мужчина бросил пару бутылок с зажигательной смесью, одна попала в здание, задержали почти сразу. История не новая, если бы не одно "но" — идти поджигать военкомат мужчину убедили ... телефонные мошенники. Такая вот незатийливая социальная инженерия.

Накануне "террористу" через whatsapp позвонил неизвестный (а кому из нас он не звонил?) и сообщил радостную новость о том, что кто-то оформил на жертву кредит, но деньги можно вернуть, если быстро перевести их на нужные реквизиты. В общем, типовое банковское мошенничество, ничего нового. А вот теперь начинается интересное — на следующий день ему позвонили снова! Доверчивому гражданину рассказали, что деньги все-таки украли, и виноват в этом ... лично участковый! Кстати, прямо сейчас он находится в военкомате, и это отличный повод с ним (участковым, не военкоматом) поквитаться.

В итоге мужчина по инструкции собеседника сделал коктейль Молотова, пошел к зданию военкомата, а о дальнейшем вы знаете. Пишут, что такая фантастическая доверчивость связана с психическим заболеванием, но мы можем уверенно утверждать, что и здорового человека в некоторых ситуациях на подобное развести вполне реально.

Как мы уже писали здесь и здесь, случаи, когда "колл-центр банка" перепрофилируется и вербует людей для проведения терактов (угрозами или убеждением) вполне себе имели место быть. Причем жертвами становились или пенсионеры, или люди, по иной причине оказавшиеся излишне доверчивыми. И это логично — одно дело разводить людей на отправку денег на карту дропа, а другое — убедить его пойти с коктейлем Молотова поджигать военкомат. Надо сказать, занимаются этим люди весьма талантливые, во всех смыслах.

Так что "правило 7%" в очередной раз показало, как оно работает. В следующем посте интересный материал.

Полное расследование того, как подобные колл-центры организованы и работают, кому интересно - читайте!

Вам звонят из банка/полиции/ФСБ, просят что-то сжечь?! Что происходит?

Типичная ситуация, с неизвестных номеров звонили уже почти каждому.

Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей.

Кто они? Почти всегда мошенники с Украины, зарабатывающие уже так годами. А с февраля 2022 года еще и действующие в интересах своей страны.

Почему они работают и их не сажают? Заблокировать международные звонки через интернет невозможно, отследить откуда именно звонят и через каких провайдеров – сложно. В последнее время звонят через вацап, это можете заблокировать только вы, удалив сам вацап. За деятельность по России в Украине не сажают с 2014 года, а с недавних пор и медали дают.

К чему это приводит? Особо доверчивые люди, или люди в нестабильном душевном состоянии (болезнь, горе, эйфория) не только отдают свои деньги, но и готовы выполнять действия, которые им говорит мошенник. К примеру:
- Август 2022. Доверчивой пенсионеркой сожжена машина сотрудника генерального штаба. Об (этом писали тут).
- Октябрь 2022. Доверчивой женщиной подожжено отделение Сбера в Санкт-Петербурге (писали тут).
- Пару дней назад. Доверчивый мужчина метнул коктейль Молотова в здание военкомата(писали тут).
Все они не понимали, для чего именно они это делают. С ними часами были на телефоне и разыгрывали спектакль. Потому что они первоначально поверили. И стали исполнителями преступления.
Поверить можете и вы, и ваши родные/друзья! Если будете во внушаемом состоянии.

Они сообщают вам ваши реальные данные? Да, к сожалению, за 2022 год утекло очень много данных из компаний, они могут многое о вас знать, это не повод им верить.

Что с этим делать? Правило противодействия простое. Не делать требуемые действия, не сообщать никаких данных по телефону.

Давят? Бросайте трубку, причем сразу. К звонкам должно быть нулевое доверие. Мошенники редко перезванивают и часто давят. Вас торопят? Бросайте трубку, они всегда торопят. Говорят, не бросать трубку? Точно бросайте. Это даст вам время выдохнуть и обдумать ситуацию, а это самое важное. Сомневаетесь? Лучше перезвоните сами в банк/мвд по телефону, который вы сами найдете в интернете.

3side кибербезопасности — рассказываем про информационную безопасность изнутри.

#3side_безполитики

Карта атак

Тут Американский Анти-ДДОС провайдер выложил свою онлайн карту инцидентов. Выглядит красиво, но ценность сомнительная. Основано, видимо, на их мониторинге и разбито по категориям:
- Веб-атаки (видимо, сработки WAF)
- ДДОС (логично и к месту)
- Вторжения (что под этим понимается, не ясно)
- Сканирования (идут 24/7 сотнями сервисов, выглядят страшно для Заказчиков)
- Анонимайзеры (любой трафик TOR и публичных прокси? смысл включения не ясен)

С точки зрения визуализации - нареканий нет, с тайм-слоями внизу даже похоже даже на запись виртов из кибербанка.

Кстати, сегодня был уже четвертый случай — "сотрудники службы безопасности" убедили свою жертву сначала перевести им полтора миллиона рублей (разумеется, спасая их от мошенников), а потом, чтобы уж наверняка добраться до самих мошенников, убедил его собрать "коктейль Молотова" и поджечь офис Сбербанка.

Такие дела. Как говорится, не ведитесь, в любой непонятной ситуации — перезванивайте.

Паранойю можно понять, да и многим людям в сфере ИБ она свойственна. Только есть ряд важных моментов.

Во-первых, подтвержденных фактов нет. Вообще нет. И даже технически не вполне понятно, как такое можно сделать. Слова следователя — это, конечно, хорошо, но они вызывают вопросы.

Во-вторых, есть такая штука, как боты, и они не то, чтобы безопасны. И вот как только пользователь заходит в бота, становится известен его ID, по которому можно искать и посты, и комментарии (если они индексируются). Вообще, история для соцсети нормальная.

И нет, зная номер телефона — нельзя, если человек выставил у себя в настройках видимость только для контактов. То есть поиск по телефону не работает, если сам пользователь этого не разрешил.

Если уж начинать играть в паранойю всерьез, то мы бы задавались куда более интересным и важным вопросом — а какая модель телефона использовалась в описанных случаях и точно ли она безопасна? С любым компьютером аналогичный вопрос, кстати говоря. И на наш взгляд, устройство в этой ситуации само по себе может иметь на порядок больше уязвимостей ...

"Так безопасно?" №6: Отпечаток пальца - хороший второй фактор для двухфакторной аутентификации?

Ответ — как всегда, "смотря кому". Обычно, тут работает принцип "ковбоя Джо" — для обычных людей она подходит, а для политиков или топ-менеджеров идея выглядит очень так себе. Современный мир — это не боевик про Джеймса Бонда, и тут не нужно "вырубать" жертву снотворным, чтобы снять его отпечатки. Или того хуже, приносить палец с собой.

Достаточно хорошей фотографии. С появлением TouchID на IPhone интерес к этой теме значительно вырос, и первые исследования показали, что если жертва брала руками прозрачный бокал в баре, то на нем скорее всего останутся отпечатки и их можно без труда снять. Для этого достаточно сфотографировать отпечаток на бокале в хорошем разрешении, сделать монохромным, инвертировать, распечатать на ацетатной пленке на обычном лазерном принтере, для придания эффекта 3D, ну а обычный клей сделает его рельефным.

В 2020 году Cisco Talos опубликовала отчёт с описанием метода восстановления отпечатков с большинства зеркальных поверхностей, по их исследованиям точность такого восстановления около 80%!

Но можно и без подобных сложностей, уже неоднократно исследователи выступали с докладами о том, как они смогли восстановить отпечаток пальца по фотографиям сделанных журналистами. Например, Ян Крисслер член крупнейшего хакерского сообщества Европы Chaos Computer Club (CCC) смог восстановить отпечаток пальца тогдашнего министра обороны Германии Урсулы фон дер Ляйен по фотографии с пресс-конференции.

А в 2021 году наркоторговец выложил в уже взломанную силовыми структурами сеть EncroChat фотографию с сыром в руках, где были видны его отпечатки пальцев. Что и позволило идентифицировать владельца криминального аккаунта. Результат - 13 лет тюрьмы.

Поэтому мы рекомендуем не использовать отпечатки пальцев как основной фактор во всех случаях. А также рекомендуем не использовать отпечатки в качестве второго фактора в случае, если интерес к персоне повышен. Ну, или смириться с тем, что вы обычный человек и Моссад, ЦРУ и МИ-6 вы не интересны.

#3side_так_безопасно

Новые номера телефонов 3side

Друзья, предыдущий опрос был не просто так. Мы тут подумали, и решили немного поменять телефонные номера, раз уж появилась возможность сделать это просто и достаточно недорого.

В общем, теперь наши новые номера выглядят так:

8 800 222 1337
8 931 622 1337

Старый номер некоторое время тоже будет доступен.
Если кому-то интересно, что это такое — 1337 это отсылка к Leet, популярному в начале 90ых среди IT и ИБ специалистов языку. Мы рады, что для достаточно большого числа наших подписчиков эти цифры что-то значат.

К нашему огромному удивлению, несколько клиентов действительно начинали общение с нами по телефону. Уже потом была телега и все остальное, но начиналось все — со звонка.

И еще один поджог по звонку телефона, пишет База. В этот раз отдел полиции!

Мы писали уже об этом неоднократно, ликбез в посте выше.

Звонки будут повторяться до тех пор, пока они результативны.

"Так безопасно?" №7: Альтернативные клиенты VK безопасны?

Ответ – по нашему мнению нет, пользоваться ими крайне не рекомендуем.
Вопрос этот становится все более популярен из-за введения самим VK спорных нововведений по ленте рекомендаций/дизайну/функциям. Но достаточно безопасной альтернативы нет и вот почему.

Как работают альтернативные клиенты? На вашем токене. Это не логин и пароль от социальной сети, а специальный «ключ» позволяющий от вашего имени делать определенные действия в соцсети. Обычно он выпускается с ограничениями, но для полноценной работы альтернативного клиента ему нужен токен без ограничений, своего рода «генеральная доверенность» на ваш аккаунт. Вы доверяете компаниям/командам, о которых не знаете ничего.

Они занимаются безопасностью? Альтернативные клиенты разрабатывают относительно небольшие компании/команды, которым гораздо сложнее выделять ресурсы на функционирование процессов по безопасности. У самого ВК процессы построены, довольно большие и авторитетные команды, включая тех кто обрабатывает запросы по BugBounty. А что у альтернативных клиентов? Никто не знает, они просят лишь поверить, что у них все хорошо и о безопасности они вообще думают.

Как они хранят ваши токены и все данные, которые через них проходят? В 2019 году был скандал, один из альтернативных клиентов VK стал сохранять аудиосообщения своих пользователей у них же в открытом разделе «Документы», по которому можно проводить поиск. Достаточно было провести поиск по названию «audiocomment.3g», чтоб прослушать все сообщения пользователей этого альтернативного клиента. Сам VK оперативно закрыл, хоть и не свою брешь, запретив искать по этому названию. А как альтернативные клиенты хранят и ЧТО они хранят внутри себя? Неизвестно, доступ есть ко всему. Нужно лишь довериться и тут.

На чем строится доверие к ним в целом? Лишь на том, что пользуются ими многие, но они ничего не заметили. Это, мягко говоря, не аргумент.

Резюме. Мы крайне не рекомендуем пользоваться альтернативными клиентами. Альтернативные клиенты могут быть гораздо более легкой целью для атак политических хактивистов, мошенников и киберкринала. В том числе и злонамеренные действия владельцев альтернативных клиентов исключать нельзя.

#3side_так_безопасно

Самозанятый или ИП VS ООО — кого выбрать?

Дисклеймер: данный пост описывает ситуацию с видами работ, не требующими получения исполнителем лицензии. Найм самозанятого в рамках российского законодательства для некоторых задач невозможен.

Мы тут столкнулись с интересной ситуацией — мы искали человека под задачу, связанную с "бумажной безопасностью". И у нас появились варианты: или предложить заказчику работу с самозанятым (качественно, но дешевле, гибче и ощутимо оперативнее) или подобрать юрлицо (тоже качественно, но дороже, дольше и больше формальностей). Решение осталось на стороне заказчика, но мы хотели бы сказать пару слов.

Мы привыкли к тому, что работа с ООО (или любым другим подобным контрагентом) дает больше гарантий и некоторую "стабильность" в плане результатов. Проблема в том, что на рынке услуг ИБ ситуация несколько иная — при работе с ООО качество этих работ может быть весьма ... случайным, скажем так. И совершенно не связанным с запрошенной ценой. Нет, мы ни коим образом не говорим вам "не работайте с ООО, они отдадут заказ на субподряд и вас обманут", это не так, и мы знаем на рынке множество очень достойных и проверенных организаций, с некоторыми из которых мы активно сотрудничаем. Вопросов нет. Более того, для лицензируемых работ привлечение контрагента-юрлица это вообще единственный простой выход.

Мы строим 3side для того, чтобы изменить эту ситуацию на рынке. Мы не делаем принципиальной разницы между исполнителями-физлицами и исполнителями-юрлицами. Мы одинаково проверяем их. Мы во всех случаях знаем, кто будет делать работу. Если у нас есть сомнения — мы найдем вам другого человека или другую команду, которая решит ваши проблемы.

В общем, выбирать на проект самозанятого или юрлицо — личное дело каждого. Мы не делим исполнителей на самозанятых, ИП, ООО, и как-то еще. Для нас есть один критерий, и он очень простой. Исполнитель достаточно профессионален, чтобы сделать свою работу. А вот уж с кем комфортнее по деньгам, срокам, условиям и налогам — это выбор заказчика.

Как мы подбираем исполнителей

Небольшой пост о том, как наша Площадка ищет людей, которые решают проблемы.

Вне зависимости от того, как мы узнали об исполнителе (он пришел к нам сам, его порекомендовали или мы давно его знаем), для того, чтобы мы предложили заказчику его услуги, есть один главный критерий и несколько критериев второстепенных. Главный критерий — на наш взгляд, он должен быть профессионалом в той области, в которой будет делаться проект.

Мы проверяем 2 главных аспекта — профессионализм и репутацию. То есть у человека должен должен быть опыт успешных проектов, и по рынку по нему не должно быть сомнительных историй. Проверяется это достаточно легко, и такие возможности у нас есть — мир ИБ вообще очень маленький и тесный. А дальше — это вопрос бюджета, сроков и пожеланий заказчика.

Наше главное отличие от рынка — в том, что работая с нами, заказчик может выбрать конкретного исполнителя из списка с конкретными условиями. Возможны ситуации, что мы можем найти только одного исполнителя (как правило, при ограниченных бюджетах\сроках (такой случай у нас был), но как правило, варианты есть. В общем, мы стараемся быть максимально гибкие во всем, кроме одного. Мы не работаем с людьми, в которых мы не уверены.

Иногда о проблемах стоит не только писать, но и рассказывать лично!

Подписчики из Санкт-Петербурга, приходите 2 марта в IT-бар Failover Bar, Антон будет рассказывать о том, как работают колл-центры «служб безопасности» и их методики развода. При желании, можно и про 3side поговорить.

Адрес: В.О. 7-я линия 42, доклад в 20:00

Вообще, термину "медовая ловушка" не один десяток лет. В свое время ею пользовались по-моему все спецслужбы мира, от КГБ и Штази до Моссада, так что в этой истории нет вообще ничего удивительного.

Если не углубляться в исторические подробности, то и сейчас этот подход тоже прекрасно работает. Причем цели воздействия могут быть совершенно разными - тут и компромат, и шантаж, и просто влияние на человека, и доступ к конфиденциальной информации жертвы. Совсем редко - угроза личной безопасности.

Когда-то давно один хороший человек сказал нам, что в большей безопасности себя могут чувствовать взрослые мужчины, не состоящие в браке и не имеющие сексуальных девиаций, вступающие в связь с совершеннолетним партнером противоположного пола. Реальность сложнее - их просто чуть сложнее шантажировать.

Так что если вы считаете, что красивая женщина (или красивый мужчина) проявляет к вам интерес потому, что вы успешны, харизматичны и обаятельны ... наверное, все так и есть.


Просто будьте осторожнее.