Por Yossi Rachman (*)

O Active Directory (AD) é um serviço de diretório utilizado por 90% das empresas para gerir os seus sistemas informáticos, nomeadamente no que diz respeito à autenticação, autorização e identidade de utilizadores, computadores e outros recursos em rede. Dada a sua utilização generalizada, é também um alvo popular para os atacantes que pretendem aceder a informações ou dados sensíveis.

Até há pouco tempo, para comprometer a infraestrutura AD de uma empresa, era necessário estar familiarizado com as ferramentas e técnicas de ataque e ter um conhecimento avançado dos vários protocolos de autenticação e autorização. Atualmente, com a IA generativa, como o ChatGPT, até o hacker menos experiente pode realizar ataques com consequências graves.

É preciso dizer que o ChatGPT, pode também revelar-se um valioso aliado na proteção dos sistemas empresariais e na minimização do impacto de um possível compromisso. Então, o ChatGPT representa uma oportunidade ou uma ameaça para a segurança do Active Directory?

Como é que os atacantes podem explorar o ChatGPT?

O ChatGPT está a revolucionar a forma como interagimos com as máquinas e a aproximar-nos de um mundo onde humanos e computadores podem comunicar sem problemas. No entanto, a versão beta disponível ao público permite que os atacantes utilizem a tecnologia para os seus próprios fins. Como é que eles o fazem?

Websites e apps de phishing

Os websites de phishing existem desde os primórdios da Internet. Os primeiros ataques de phishing foram efetuados exclusivamente por correio eletrónico. À medida que as pessoas se tornaram mais aptas a reconhecer e evitar e-mails suspeitos, os atacantes começaram a criar sites falsos para roubar credenciais de acesso ou informações pessoais. Com a introdução dos smartphones, as campanhas de phishing começaram também a propagar-se através de aplicações maliciosas.

Campanhas de phishing baseadas no ChatGPT

Tanto os atacantes como as equipas de segurança informática sabem que as mensagens de correio eletrónico de phishing são um dos vetores de ataque mais eficazes. A maioria destas campanhas baseia-se num pretexto que é tão credível que leva a vítima a revelar informações confidenciais. Este pretexto cria normalmente uma sensação de urgência ou importância.

Um atacante pode fazer-se passar por alguém de confiança, como um funcionário do banco ou um membro da equipa de suporte informático, que alerta a vítima para um problema de segurança. De seguida solicita as credenciais de início de sessão ou outras informações pessoais para resolver o problema.

Esse tipo de manipulação é uma tática comum nas campanhas de phishing e pode ser difícil de desmascarar. O utilizador malicioso pode ter feito uma pesquisa exaustiva para inventar uma história convincente. No entanto, por vezes, a presença de erros ortográficos, gramaticais ou de sintaxe e particularidades na formatação pode ajudar-nos a reconhecer estas tentativas de ataque.

Ataques baseados no ChatGPT

Embora o ChatGPT não coopere com os agentes de ameaças em questões diretas sobre a criação de uma campanha de phishing, é fácil encontrar uma forma de contornar esta situação, mesmo com muito pouco conhecimento técnico.

Por exemplo, o atacante pode perguntar como realizar ataques que utilizam os dados do utilizador armazenados no Active Directory para obter acesso praticamente ilimitado a dispositivos, ficheiros e controladores de domínio. O ChatGPT tem algumas reservas éticas em responder a perguntas como esta, mas ao fazer-se passar por um hacker ético, as reservas de ChatGPT parecem desaparecer! Seguindo simplesmente as instruções, os atacantes podem obter acesso total ao domínio da organização.

Como é que o ChatGPT pode ser utilizado para fins de segurança?

O ChatGPT é uma ferramenta muito poderosa que, nas mãos dos atacantes, pode causar enormes danos. Mas é um ativo igualmente valioso na frente da defesa. Por exemplo, as Blue Teams encarregadas de proteger os sistemas empresariais podem aproveitar o poder da IA generativa para uma variedade de ações, como:

- Correção de erros de configuração de segurança

- Monitorização de componentes de segurança críticos

- Minimizar os danos potenciais no caso de uma violação

Um defensor pode utilizar o ChatGPT para identificar e mitigar riscos de segurança associados a delegações sem restrições Kerberos. Se está a perguntar a si próprio o que é uma delegação sem restrições Kerberos, o ChatGPT também pode ajudar com isso.

Antes de aplicar scripts gerados por IA, efetue sempre uma verificação preliminar para detetar quaisquer erros que possam perturbar o sistema (ou comprometê-lo na pior das hipóteses).

IA generativa: uma espada de dois gumes

A acessibilidade pública do ChatGPT e da IA generativa já alterou a forma como interagimos com as máquinas. Com o desenvolvimento de modelos de inteligência artificial cada vez mais avançados e o lançamento de versões sempre novas, estamos a assistir a uma verdadeira revolução tecnológica, com um impacto ainda maior do que a invenção da Internet e dos telemóveis.

Mas, como qualquer nova tecnologia, há sempre quem a utilize para outros fins que não aqueles para que foi concebida: basta pensar nos atacantes, que querem explorá-la para infligir ainda mais danos. Felizmente, a mesma tecnologia pode ser útil para fins benéficos, como a melhoria da proteção das organizações de forma mais eficaz do que nunca.

(*) Director of Security Research da Semperis