Συζήτηση με το Γιάννη Κολλάτο για την Τεχνητή Νοημοσύνη (Μέρος ΙΙ)

Κλείσαμε τη χρόνια με μια ωραία συζήτηση για την Τεχνητή Νοημοσύνη με τον διευθυντή σύνταξης του Θεσσαλία TV,  Γιάννη Κολλάτο. Από την προηγούμενη, εξίσου ενδιαφέρουσα συζήτηση μας μερικούς μήνες πριν, νομίζω ότι δεν έχουν αλλάξει πολλά. Μετά από το εκρηκτικό πρώτο εξάμηνο του 2023 με τις εξωπραγματικές δυνατότητες που έφερε το ChatGPT, ο κλάδος της ΤΝ βρίσκεται σε μια φαινομενική ηρεμία. Οι ανταγωνιστές της OpenAI προσπαθούν να παρουσιάσουν εφάμιλλα συστήματα, οι κυβερνήσεις να κατανοήσουν τις επιπτώσεις που θα φέρει στην κοινωνία και όλοι οι υπόλοιποι να δουν πως θα τους επηρεάσει επαγγελματικά. Τα επαγγέλματα του "λευκού κολάρου" (λογιστές, δικηγόροι, μηχανικοί, προγραμματιστές, δημοσιογράφοι) είναι αυτά που θα αντιμετωπίσουν τις μεγαλύτερες προκλήσεις. Δυστυχώς τα αντίστοιχα επιμελητήρια (ΤΕΕ, Οικονομικό Επιμελητήριο) και οι σύλλογοι (Δικηγορικός και Ιατρικός), καθυστερούν χαρακτηριστικά να προσαρμοστούν στις εξελίξεις και να θέσουν τους κανόνες χρήσης της Τεχνητής Νοημοσύνης, αλλά και να προτείνουν στα μελή τους βέλτιστες πρακτικές για την αξιοποίηση της.  Σε προσωπικό επίπεδο αισθάνομαι ότι σε κάποιες δύσκολες και διαδικαστικές εργασίες το ChatGPT και τα λοιπά εργαλεία έχουν αυξήσει τρομερά την παραγωγικότητα μου. 

#HackTheBusiness Greece 2023 @ Volos!

Ολοκληρώθηκε η Α' φάση του #HackTheBusiness Greece 2023! Ως μέλος της κριτικής επιτροπής έχω μόνο να πω ότι η διαδικασία της βαθμολόγησης ήταν πάρα πολύ δύσκολη. Όλες οι ομάδες έκαναν εξαιρετική δουλειά και τους αξίζουν συγχαρητήρια.  

🔴 Το HackTheBusiness αποτελεί πρωτοβουλία του Corallia, στο πλαίσιο του έργου ENTREPRENEDU και η MOKE Πανεπιστημίου Θεσσαλίας είχε την τιμή να διοργανώσει τον τοπικό διαγωνισμό στο Βόλο.

💫 Οι ομάδες SPA/C, Ocean Defenders & Home4You συναγωνίστηκαν αναπτύσσοντας τις ιδέες τους σε ένα εντατικό 48ωρο στο νέο χώρο συνεργασίας της ΜΟΚΕ (τμήμα Οικονομικών Επιστημών University of Thessaly, κτίριο Ματσάγου).

Απολογισμός: Ενδυνάμωση εκπαιδευτικών για ενεργοποίηση κυβερνοασφάλειας στο σχολείο

 Στο πλαίσιο υλοποίησης του Ευρωπαϊκού Προγράμματος “ETTCS: Empowering Teachers to Trigger Cybersecurity at School“  το Γραφείο Ευρωπαϊκών Προγραμμάτων του Κέντρου Διεθνούς Εκπαίδευσης και το Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Θεσσαλίας διοργάνωσαν την Παρασκευή 3/11 και ώρα 15.00 στην αίθουσα ΔΙΑΛ2 του τμήματος Ψηφιακών Συστημάτων, στο Πανεπιστημιακό συγκρότημα Γαιόπολις ένα πολύ ενδιαφέρον στρογγυλό τραπέζι, το οποίο είχα την χαρά να και την τιμή να συντονίσω. Συζητήσαμε με τον συνάδελφο και συντονιστή του έργου επίκουρο καθηγητή Δρ. Απόστολο Ξενάκη και δύο διευθυντικά στελέχη, μηχανικούς λογισμικού της εταιρίας Byte τους κ.κ. Χρήστο Ανυφαντή και Σπύρο Κόλλια, την εγχώρια αγορά εργασίας στο κλάδο της Πληροφορικής. Δώσαμε έμφαση στις απαιτούμενες δεξιότητες κυβερνοασφάλειας και είχαμε την ευκαιρία να απαντήσουμε στις πολλές και εύστοχες ερωτήσεις των φοιτητών. Στόχος όλων των ελληνικών πανεπιστημίων θα πρέπει να είναι οι φοιτητές τους να απορροφούνται άμεσα από την αγορά εργασίας. Νομίζω ότι πήγε καλά και αυτή η εκδήλωση.      

Συζήτηση με το Γιάννη Κολλάτο για την Τεχνητή Νοημοσύνη

Στα φιλόξενα στούντιο του Thessalia TV είχαμε μια, θέλω να πιστεύω, ενδιαφέρουσα συζήτηση με τον Γιάννη Κολλάτο για τις εξελίξεις στο Τομέα της Τεχνητής Νοημοσύνης.

Οι αλλαγές είναι τόσο ραγδαίες και τόσο επαναστατικές που ο κόσμος τα επόμενα χρόνια θα είναι τελείως διαφορετικός. Το θέμα της ΤΝ είναι πλέον λιγότερο τεχνολογικό και περισσότερο κοινωνικό ή ηθικό για τα εκατομμύρια εργαζόμενους που θα επηρεαστούν.

Δεν είμαι καθόλου βέβαιος ότι οι πολιτικοί και νομοθέτες έχουν αντιληφθεί τι έρχεται, ελπίζω όμως ότι σύντομα θα ασχοληθούν σοβαρά με αυτό.

Το link της εκπομπής εδώ

Συνέντευξη στην Κυριακάτικη Θεσσαλία για τις κυβερνοεπιθέσεις στην Τράπεζα Θεμάτων

Είχα μια πολύ ωραία συζήτηση με τον κ. Ράλλη στη μορφή μια σύντομης συνέντευξης για την Κυριακάτικη Θεσσαλία. Η συνέντευξη είναι διαθέσιμη εδώ και ακολουθεί και παρακάτω

Τα πρόσφατα περιστατικά με κυβερνοεπιθέσεις στην Τράπεζα Θεμάτων του Ινστιτούτου Εκπαιδευτικής Πολιτικής που φιλοξενείται σε υποδομές του ΕΔΥΤΕ (Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας), ανέδειξαν τη σημασία της κυβερνοασφάλειας στην ομαλή και απρόσκοπτη λειτουργία του Κράτους.

Ο κ. Βασίλης Βλάχος, αναπληρωτής καθηγητής στο Τμήμα Οικονομικών Επιστημών του Πανεπιστημίου Θεσσαλίας, εξηγεί πώς χρειάζονται εβδομάδες για να εξάγουν τα πρώτα ασφαλή συμπεράσματα για την ταυτότητα των κυβερνοεγκληματιών στις πρόσφατες επιθέσεις, ενώ εξηγεί τη σημασία που έχει για ένα σύγχρονο κράτος η προσπάθεια μεγιστοποίησης της ανθεκτικότητας των ψηφιακών υποδομών του.

 

Πόσο οχυρωμένο είναι ένα σύστημα εθνικών εξετάσεων, όταν δέχεται κυβερνοεπιθέσεις;

Κατεγράφη ευρείας κλίμακας Κατανεμημένη Επίθεση Άρνησης Παροχής Υπηρεσίας (για συντομία επίθεση DDoS) στο δίκτυο του ΕΔΥΤΕ που δημιούργησε προβλήματα στη διεξαγωγή των εξετάσεων. Συνολικά απεστάλησαν 165 εκατομμύρια αιτήματα προς τους διακομιστές (servers) του ΕΔΥΤΕ με μέγιστο ρυθμό τις 280.000 συνδέσεις ανά δευτερόλεπτο. Αυτή τη στιγμή παρότι γράφονται πολλά και ακούγονται περισσότερα, πέρα από τους τεχνικούς του ΕΔΥΤΕ και τις αρμόδιες υπηρεσίες, κάνεις δεν έχει πρόσβαση στα ψηφιακά ίχνη των επιθέσεων, ώστε να μπορέσει να μιλήσει υπεύθυνα και τεκμηριωμένα. Οι ανακοινώσεις των συναρμόδιων υπουργείων Παιδείας και Θρησκευμάτων και Ψηφιακής Διακυβέρνησης είναι ιδιαίτερα λακωνικές και νεφελώδεις χωρίς να παρέχουν επαρκή τεχνική πληροφόρηση. Θα πρέπει ωστόσο να σημειωθεί ότι το ΕΔΥΤΕ διαχειρίζεται με απόλυτη επάρκεια δεκάδες υπηρεσίες και υποδομές που σχετίζονται με την εκπαίδευση. Οι μηχανικοί και τεχνικοί του ΕΔΥΤΕ είναι άριστοι επαγγελματίες και διαθέτουν τόσο την τεχνογνωσία, όσο και τις απαιτούμενες δεξιότητες για να κρατούν τα συστήματά τους ασφαλή. 

 

Πόσο πιο προστατευμένη είναι η διαδικασία των πανελλαδικών από τις ενδοσχολικές;

Ως προς τις πανελλαδικές εξετάσεις το ΕΔΥΤΕ χρησιμοποιεί διαφορετική και απολύτως διακριτή πλατφόρμα με πολύ αυξημένα χαρακτηριστικά ασφάλειας σε όλα τα στάδια και όλα τα σημεία της μετάδοσης των θεμάτων. Συνεπώς, δεν αναμένεται να υπάρξει οποιοδήποτε πρόβλημα στις πανελλαδικές εξετάσεις. 

 

Είναι κάτι πρωτόγνωρο; 

Οι επιθέσεις τύπου DDoS είναι πολύ διαδομένες και συμβαίνουν συχνά. Από τεχνολογικής απόψεως δεν είναι ούτε ιδιαίτερα σύνθετες, ούτε ιδιαίτερα εξελιγμένες. Βασίζονται στη μαζική κακόβουλη αποστολή εκατομμυρίων πλαστών αιτημάτων προς τους διακομιστές, ώστε να προκαλέσουν την κατάρρευσή τους. Παρά την απλότητά τους, αρκετές από τις επιθέσεις αυτές είναι ιδιαίτερα αποτελεσματικές και απαιτούν τον κατάλληλο σχεδιασμό, όπως επίσης και την επένδυση σε σύγχρονο υλικό (hardware) για να αντιμετωπιστούν. Οι σύγχρονες εφαρμογές ασφάλειας σε συνδυασμό με την αξιοποίηση της νεφοϋπολογιστικής ή πιο απλά του Cloud μπορούν να προσφέρουν προστασία ακόμα και από πολύ μεγαλύτερες επιθέσεις DDoS. Συμπερασματικά, αυτές οι επιθέσεις δεν είναι καθόλου σπάνιες, σχεδόν πάντα αποκρούονται επιτυχώς και για τον λόγο αυτό δεν συζητούνται ευρύτερα πέρα από τον ακαδημαϊκό χώρο και την κοινότητα των επαγγελματιών στον χώρο της κυβερνοασφάλειας. 

 

Είναι κάτι που ενδέχεται να επαναληφθεί και πώς μπορεί το σύστημα και κυρίως οι υποψήφιοι που έχουν την αγωνία των εξετάσεων να προστατευτούν;

Είναι σχεδόν βέβαιο ότι ανάλογες επιθέσεις DDoS θα επαναληφθούν κάποια στιγμή στο μέλλον και θα αποτύχουν. Τα στελέχη του ΕΔΥΤΕ έχουν λάβει όλα τα απαιτούμενα μέτρα για προστατέψουν τη διαδικασία των εξετάσεων και ειδικά μετά τα πρόσφατα γεγονότα υπάρχουν σε υπερθετικό βαθμό όλα τα εχέγγυα για την ομαλή διεξαγωγή τους. Για προφανείς λόγους δεν μπορούμε να υπεισέλθουμε σε τεχνικές λεπτομέρειες για τους υπάρχοντες μηχανισμούς ασφαλείας, αλλά οι υποψήφιοι δεν έχουν κανέναν απολύτως λόγο να αγχώνονται για αυτά τα θέματα. Ας επικεντρωθούν στη δύσκολη δοκιμασία που έχουν μπροστά τους γνωρίζοντας ότι όλα θα πάνε καλά. 

 

Πόσο δύσκολο είναι να εξακριβωθεί από πού προέρχονται οι επιθέσεις;

Από τη φύση τους οι επιθέσεις DDoS είναι πολύ δύσκολο να αποδοθούν σε συγκεκριμένους δράστες καθότι χρησιμοποιούν χιλιάδες μολυσμένα συστήματα ανυποψίαστων χρηστών, τα οποία ονομάζονται bots. Τα bots δρουν συνδυαστικά ως ένα ενιαίο δίκτυο που ονομάζεται botnet, για αποστείλουν μαζικά πλαστά αιτήματα προς τους στόχους τους προκαλώντας την κατάρρευσή τους. Για τον λόγο αυτό η αναφορά κύκλων του υπουργείου σε 114 χώρες που συμμετείχαν στην επίθεση είναι απολύτως κενή περιεχομένου. Προφανώς, χρήστες των οποίων οι υπολογιστές μολύνθηκαν από κακόβουλο λογισμικό και συμμετείχαν εν αγνοία τους στην επίθεση μπορεί να βρίσκονται σε οποιοδήποτε σημείο του πλανήτη. Από την άλλη αναλύοντας ενδελεχώς τα ψηφιακά ίχνη και μελετώντας επακριβώς τη μεθοδολογία κάθε επίθεσης μπορούμε να εντοπίσουμε μικρές, αλλά σημαντικές ιδιαιτερότητες στις τεχνικές που χρησιμοποιήθηκαν και να οδηγηθούμε σε κάποια πρώτα μη καταληκτικά συμπεράσματα για τους πιθανούς δράστες. Αυτό σε συνδυασμό με τη συλλογή πληροφοριών σε διάφορες παράνομες Μαύρες Αγορές (Black Markets) στο Βαθύ Δίκτυο (Deep Web), μας επιτρέπουν να εκτιμήσουμε με μεγαλύτερη βεβαιότητα την ταυτότητα των κυβερνοεγκληματιών που οργανώνουν και εκτελούν ανάλογες επιθέσεις. Η διαδικασία που σας περιέγραψα είναι επίπονη και χρονοβόρα. Απαιτεί βαθιές γνώσεις τόσο εξειδικευμένων θεμάτων, όσο και του γενικότερου τοπίου της κυβερνοασφάλειας. Οι σημαντικότερες εταιρείες κυβερνοασφάλειας παγκοσμίως, έχοντας πρόσβαση σε πρωτογενή δεδομένα και διαθέτοντας κορυφαίους εξειδικευμένους αναλυτές, χρειάζονται εβδομάδες για να εξάγουν τα πρώτα ασφαλή συμπεράσματα. Εδώ σε λιγότερο από 24 ώρες διάφοροι σχολιαστές διαρρέουν πληροφορίες για ρωσόφιλους χάκερ, χωρίς ωστόσο να παρουσιάζουν και κάποια απτά στοιχεία που να επιβεβαιώνουν τις εικασίες τους. Αυτό μου κάνει τρομερή και δε, σας κρύβω καθόλου θετική εντύπωση. Σε αυτό το σημείο δεν μπορώ να αποκλείσω κανένα σενάριο, αλλά ούτε και να υιοθετήσω ψιθύρους χωρίς στοιχεία. Θα περιμένουμε και θα δούμε τι θα προκύψει από τις έρευνες τις επόμενες εβδομάδες ή πιθανότερα τους επόμενους μήνες. Θα χρειαστεί υπομονή και νηφαλιότητα μέχρι να μάθουμε τι έχει συμβεί. 

 

Ποια σχέση μπορεί να έχουν με άλλου είδους χτυπήματα σε νευραλγικές κρατικές υπηρεσίες;

Έχετε απόλυτο δίκιο, αυτό είναι ίσως και το βασικότερο ερώτημα. Όσο δυσάρεστη και αν είναι η καθυστέρηση ή αναβολή κάποιων προαγωγικών εξετάσεων, δεν πρόκειται να κινδυνεύσουν ζωές από αυτό. Τι θα γίνει όμως αν στο μέλλον αχρηστευθούν τα πληροφοριακά συστήματα που χρησιμοποιούνται σε κρίσιμες υποδομές όπως τα δίκτυα παροχής ηλεκτρικής ενέργειας, το τραπεζικό σύστημα ή και το σύστημα υγείας; Όλα τα σύγχρονα κράτη προσπαθούν να μεγιστοποιήσουν την ανθεκτικότητα των ψηφιακών υποδομών τους και να διασφαλίσουν πολλαπλούς εναλλακτικούς εφεδρικούς μηχανισμούς διεκπεραίωσης των λειτουργιών τους. Στην Ελλάδα τα τελευταία δέκα χρόνια έχουν γίνει πολλά και σημαντικά βήματα προς αυτή την κατεύθυνση, ωστόσο δεν έχουν εξαλειφθεί πλήρως τα προβλήματα που έχουν να κάνουν με γραφειοκρατικές αγκυλώσεις και αντικρουόμενες συναρμοδιότητες. Οι κυβερνοεπιθέσεις όμως εξελίσσονται ταχύτατα και δεν ακολουθούν τους ρυθμούς του παλαιού Δημοσίου. Θα πρέπει άμεσα να αξιοποιηθούν οι πάρα πολλές νησίδες αριστείας σε θέματα κυβερνοασφάλειας που βρίσκονται παντού στον ευρύτερο Δημόσιο Τομέα, αλλά και στον ακαδημαϊκό χώρο και να συνδεθούν μεταξύ τους, ώστε να δημιουργηθεί μια ενεργή και προδραστική κοινότητα ειδικών που να μπορεί εγκαίρως να εντοπίσει τις αναδυόμενες απειλές και να αποκρούσει τις επιθέσεις αυτές μέχρι να υπάρξει η γενικότερη καθοριστική παρέμβαση από τις κεντρικές κρατικές υπηρεσίες. 

Κυβερνοεπιθέσεις στην Τράπεζα Θεμάτων: Πρόσκληση για σχολιασμό στο Action 24

Την Τετάρτη μου ζητήθηκε ένα σύντομο σχόλιο σχετικά με τις πρόσφατες κυβερνοεπιθέσεις στην Τράπεζα Θεμάτων του ΙΕΠ. Ευχαριστώ την κ. Ελένη Καλογεροπούλου και τους κ.κ. Δημήτρη Τάκη και Γιώργο Πιέρρο για την πρόσκληση στην εκπομπή τους "Πίσω από τις Γραμμές" στο Action24.

Ελπίζω ότι κάπως βοηθήσαμε να διατηρηθεί η ψυχραιμία και η σοβαρότητα για ένα αναμφίβολα σημαντικό ζήτημα όπως αυτό της κυβερνοασφάλειας.

Κάπου στο 39:00 ξεκινάει η κουβέντα μας εδώ

Παράνομα Λογισμικά Παρακολούθησης: Προκλήσεις για την ασφάλεια της ΕΕ και της Ελλάδας. Ένα ενδιαφέρον webinar από το ΚΕΔΙΣΑ

Μια πολύ ωραία συζήτηση στο Κέντρο Διεθνών Στρατηγικών Αναλύσεων - ΚΕΔΙΣΑ για τα παράνομα λογισμικά παρακολούθησης. Αν και έγινε λίγες μέρες πριν τις εκλογές δεν ήταν καθόλου πολιτική αλλά απολαυστικά ιστορική και τεχνολογική.

Ευχαριστώ θερμα για την πρόσκληση.

Το βίντεο και μια σύνοψη της τοποθέτησης μου από τους διοργανωτές:

Ο κ. Καθηγητής έκανε μια σύντομη ιστορική αναδρομή στις υποκλοπές στην Ελλάδα δίνοντας έμφαση στο γνωστό σκάνδαλο υποκλοπών της Vodafone (2004) και στην πολυπλοκότητα της συγκεκριμένης υπόθεσης (μπορείτε να διαβάσετε περισσότερα αναφορικά με τη συγκεκριμένη υπόθεση σε σχετική ανάλυση που έχει δημοσιευθεί στο ΚΕΔΙΣΑ). Στη συνέχεια έκανε επίσης μια σύντομη ιστορική αναδρομή στην κινητή τηλεφωνία και στα δίκτυα επικοινωνιών ξεκινώντας από την πρώτη γενιά (1G) έως και την πέμπτη γενιά (5G) καθώς και στον τρόπο πραγματοποίησης υποκλοπών και κυβερνοεπιθέσεων σε παλαιότερες γενιές δικτύων κινητής τηλεφωνίας.

Σημείο καμπής σύμφωνα με τον κ. Καθηγητή αποτέλεσε η κυκλοφορία των έξυπνων κινητών τηλεφώνων τα οποία διεύρυναν δραματικά την επιφάνεια επίθεσης, δημιουργώντας περισσότερες πύλες εισόδου για επίδοξους κακόβουλους δράστες. Τα έξυπνα κινητά διαθέτουν πλέον δυνατότητες συγκρίσιμες των προσωπικών υπολογιστών και συνεπακόλουθα εμφανίζουν αντίστοιχα πολλαπλά και σοβαρά κενά ασφάλειας, τόσο στο υλικό όσο και στο λογισμικό, επιπρόσθετα σε αυτά που εμφανίζονται διαχρονικά στα πρωτόκολλα επικοινωνιών  όπως το Bluetooth, Wifi κ.α.  Στη σημερινή εποχή η «πολυπλοκότητα (των υπολογιστικών συστημάτων) είναι ο μεγαλύτερο εχθρός της ασφάλειας» και συνεπώς η διασφάλιση τους γίνεται ένα δυσκολότατο εγχείρημα. Η πολυπλοκότητα αυτή μεταφράζεται σε αστοχίες και τρωτότητες στο υλικό (hardware) και συνεπακόλουθα σε πιθανούς κινδύνους που πηγάζουν από την εφοδιαστική αλυσίδα καθώς και σε αντίστοιχες αστοχίες και τρωτότητες στο λογισμικό (software) που οδηγούν σε πολλαπλά κενά ασφάλειας και ευπάθειες. Ο εντοπισμός και η κακόβουλη εκμετάλλευση τους σήμερα καθίσταται ευκολότερος μέσω της προσφοράς σχετικών υπηρεσιών από εξειδικευμένες εταιρίες, οι οποίες απευθύνονται κυρίως σε μεγάλους οργανισμούς ή κρατικές οντότητες που έχουν την οικονομική δυνατότητα να αποκτήσουν τέτοιες πληροφορίες. Μεταξύ άλλων, πελάτες τους αποτελούν μυστικές υπηρεσίες αλλά και κάποιες εταιρείες οι οποίες παράγουν κακόβουλο λογισμικό, θεωρητικά μόνο για κυβερνήσεις οι οποίες καταπολεμούν την τρομοκρατία και το οργανωμένο έγκλημα. Φυσικά, το τελευταίο είναι πρακτικά, δύσκολο να ελεγχθεί αναφορικά με το ποιος αποτελεί πραγματικά τον τελικό χρήστη τέτοιων προϊόντων.

Πιο συγκεκριμένα, τα λογισμικά κατασκοπείας (spyware), αποτελούν  εφαρμογές που μπορεί πλέον να αποκτήσει ο καθένας για διαφορετικούς σκοπούς. Οι τεχνικές δυνατότητες τους διαφοροποιούνται ανάλογα με την τιμή.  Εναλλακτικά και προφανώς παράνομα κανάλια παροχής υπηρεσιών κακόβουλης παρακολούθησης μέσω λογισμικού μπορούν να βρεθούν και σε μαύρες αγορές (Black Markets) στο βαθύ δίκτυο (Deep Web) όπου η συγκεκριμένη υπηρεσία προσφέρεται στον τελικό-χρήστη/καταναλωτή (Spyware-as-a-Service) έναντι αμοιβής η οποία καταβάλλεται συνήθως με κρυπτονομίσματα ώστε να είναι δύσκολος ο εντοπισμός των συναλλασσόμενων μερών.

Ευτυχώς, υπάρχουν κάποιες μέθοδοι ως μέτρα προστασίας για να προστατευθεί ο χρήστης και περιλαμβάνουν τη χρήση ειδικών συσκευών ή πρωτοκόλλων επικοινωνιών που έχουν σχεδιαστεί με έμφαση την ασφάλεια, τη θωράκιση του κινητού μέσω παραμετροποίησης για μέγιστη ασφάλεια, τη χρήση πλήρως επικαιροποιημένου λογισμικού καθώς και τη χρήση συσκευών χωρίς πολλά πρόσθετα χαρακτηριστικά για τη μείωση της επιφάνειας επίθεσης.

ChatGPT και κυβερνοασφάλεια: Επιστροφή στο μέλλον. Άρθρο στο IT Security Professional

 

ChatGPT και κυβερνοασφάλεια: Επιστροφή στο μέλλον

Posted 28 Φεβρουαρίου 2023 on ISSUES Tags: ChatGPT, it issue 78, open ai

Η ραγδαία πρόοδος της Τεχνητής Νοημοσύνης (Artificial Intelligence) τα τελευταία χρόνια έχει γίνει ευρύτερα αντιληπτή από όλους, ακόμα και από αυτούς που διαθέτουν περιορισμένη γνώση σε θέματα Πληροφορικής. Τα οφέλη που έχουν προκύψει από αυτές τις εξελίξεις είναι πολλαπλά και διαχέονται σε κάθε τομέα των ανθρώπινων δραστηριοτήτων. Η Τεχνητή Νοημοσύνη αποτελεί έναν από τους βασικούς, αν όχι το βασικότερο, πυλώνα της 4ης Βιομηχανικής Επανάστασης που εξελίσσεται μπροστά μας. Ωστόσο, όπως κάθε τεχνολογικό επίτευγμα, έτσι και η Τεχνητή Νοημοσύνη μπορεί να έχει τόσο θετικές όσο και αρνητικές επιπτώσεις. Για το λόγο αυτό είναι σημαντικό οι ειδικοί της κυβερνοασφάλειας να εστιάσουν εγκαίρως σε πιθανές κακόβουλες χρήσης της.

Γράφει ο Βασίλης Βλάχος
Αναπληρωτής Καθηγητής στο Τμήμα Οικονομικών Επιστημών
του Πανεπιστημίου Θεσσαλίας.

 

 

 

Οι εφαρμογές του OpenAI και ειδικότερα το ChatGPT είναι από τα χαρακτηριστικότερα παραδείγματα των ατελείωτων δυνατοτήτων που παρέχουν οι αλγόριθμοι Βαθιάς Μάθησης (Deep Learning) σε όλους τους τομείς και για αυτό συγκέντρωσαν τεράστιο ενδιαφέρον τις τελευταίες εβδομάδες. Η μηχανή αυτή μπορεί να απαντήσει σε σύνθετα ερωτήματα παρέχοντας συνήθως, αλλά όχι πάντα, ορθές απαντήσεις σε μορφή κειμένου αλλά και κώδικα για κάθε θέμα που απαιτεί ιδιαίτερη εξειδίκευση. Σε αυτό το σύντομο άρθρο θα εστιάσουμε στη δυνατότητα του ChatGPT να δημιουργεί κώδικα βασιζόμενο στις απαιτήσεις των εκάστοτε εντολέων του. Η λειτουργικότητα αυτή είναι προφανώς ιδιαίτερη χρήσιμη σε νεότερους αλλά και εμπειρότερους προγραμματιστές. Από την άλλη όμως δημιουργεί και ένα πλήθος προβλημάτων κυβερνοασφάλειας όταν γίνεται κακόβουλη χρήση της.

Ειδικότερα το API του ChatGPT θα μπορούσε να χρησιμοποιηθεί από τους κυβερνοεγκληματίες στο να δημιουργεί εύκολα και γρήγορα πολλαπλές εκδόσεις κακόβουλου κώδικα που είναι δύσκολο να γίνουν άμεσα αντιληπτές από τα αντιιικά προγράμματα (AntiViruses) προκειμένου να διαπερνούν τεχνολογίες όπως η Ανίχνευση μέσω Υπογραφών (Signature Based Detection) που αποτελεί το βασικό μηχανισμό εντοπισμού κακόβουλου λογισμικού. Η τεχνική αυτή είναι γνωστή  ως “πολυμορφισμός” και μέχρι τώρα μπορούσε να αυτοματοποιηθεί μόνο με τις υπάρχουσες πλατφόρμες κατασκευής κακόβολου λογισμικού (malware kits). Πλέον αυτό γίνεται προσιτό σε πολύ μεγαλύτερη μάζα black hat hackers που ενδεχομένως δεν έχουν πρόσβαση σε αυτά τα εργαλεία λόγω του κόστους τους καθότι χρειάζονται ειδικές διασυνδέσεις αλλά και χρήματα ώστε να τα αποκτήσει κάποιος από τις διάφορες Μαύρες Αγορές (Black Markets) στο βαθύ δίκτυο (Deep Web).

Λιγότερο προχωρημένοι hackers που διαθέτουν αρκετές γνώσεις προγραμματισμού, χρησιμοποιούν το ChatGPT προκειμένου να κατασκευάσουν γρηγορότερα και ευκολότερα διάφορες μορφές κακόβουλου λογισμικού όπως το ransomware. Αν και το ChatGPT είναι προγραμματισμένο να αποτρέπει κακόβουλες λειτουργίες είναι σχετικά εύκολο με τα κατάλληλα ερωτήματα να “συναρμολογηθεί” ένα κακόβουλο λογισμικό. Για παράδειγμα, αν κάποιος επιθυμεί να δημιουργήσει ένα απλό ransomware θα μπορούσε να αναζητήσει στο ChatGPT κάποιο script για τη δημιουργία μακροεντολών του Excel που να μεταφορτώνουν από το Διαδίκτυο και να εκτελούν αυτόματα κάποιο εκτελέσιμο αρχείο στο Excel. Μετέπειτα με ένα άλλο ερώτημα θα μπορούσε να λάβει κώδικα για να κατασκευάζει ρουτίνες για τη δημιουργία δημόσιων και ιδιωτικών κλειδιών σύμφωνα με τις αρχές της κρυπτογραφίας PKI (Public Key Infrastructure) καθώς και τον κώδικα που κρυπτογραφεί με αυτά τα κλειδιά και κάποιο προκαθορισμένο συνθηματικό (hardcoded password) το σύνολο των αρχείων ενός υπολογιστή που έχουν ειδικότερη αξία (όπως πχ αρχεία Excel και Word). Ακολούθως μπορεί να ζητήσει τον κατάλληλο κώδικα για επιτύχει την αποστολή των αρχείων αυτών σε κάποιον εξυπηρετητή με τεχνικές reverse shell και τέλος να δημιουργήσει ένα απλό πορτοφόλι κρυπτονομισμάτων, ώστε να το χρησιμοποιήσει για να λαμβάνει τα λύτρα για την αποκρυπτογράφηση των αρχείων. Συνδυαστικά όλα τα διαφορετικά κομμάτια αυτού του κώδικα που προέρχονται από το ChatGPT αποτελούν ένα πρωτόλειο ransomware που θα μπορούσε να βελτιωθεί περαιτέρω χειροκίνητα και να προκαλέσει μεγάλα προβλήματα αν χρησιμοποιηθεί από επίδοξους κυβερνοεγκληματίες.

Πόσο αθώα είναι η χρήστη του ChatGPT;

Τέτοια “κατασκευάσματα” δε θα αργήσουν να γίνουν διαθέσιμα ακόμα και σε εντελώς αρχάριους χρήστες που θέλουν να ενταχθούν σε διάφορες υπόγειες κοινότητες hackers (underground hacker communities). Μια νέα γενιά script kiddies θα εμφανιστεί διαθέτοντας ισχυρά και καταστροφικά εργαλεία στα χέρια της. Όπως έχει δείξει το παρελθόν ακόμα και αν τα script kiddies δε διαθέτουν τις απαιτούμενες δεξιότητες για να πλήξουν καλά φυλασσόμενες ψηφιακές υποδομές μπορούν να προκαλέσουν τεράστια προβλήματα στα χέρια ανθρώπων που δεν αντιλαμβάνονται τις επιπτώσεις των πράξεων τους.

Σε πολλές περιπτώσεις ακόμα και ο “αθώος” πειραματισμός με κώδικα που δεν κατανοεί πλήρως ο δημιουργός του ή δεν έχει υπολογίσει πλήρως τις συνέπειες της εκτέλεσης του στο Διαδίκτυο όπως στην περίπτωση του Morris Worm μπορεί να προκαλέσει καταστροφικές βλάβες και δυσλειτουργίες.

Ακόμα όμως και από την πλέον αθώα χρήση του ChatGPT, δηλαδή από προγραμματιστές που το χρησιμοποιούν για να βοηθηθούν στην ανάπτυξη καλόβουλων προγραμμάτων, εγκυμονούν σοβαροί κίνδυνοι. Ο κώδικας που παράγεται από πλατφόρμες Τεχνητής Νοημοσύνης μπορεί να λειτουργεί φαινομενικά σωστά αλλά ταυτόχρονα να εμπεριέχει σφάλματα και ευπάθειες. Συνεπώς, αν άκριτα υιοθετηθεί η χρήση αυτομάτων τεχνολογιών παραγωγής κώδικά από ανάλογες πλατφόρμες, θα επιστρέψουμε στην εποχή που τα περισσότερα προγράμματα είχαν εγγενώς πολλαπλά κενά ασφάλειας καθότι είχαν αναπτυχθεί χωρίς να λαμβάνεται υπόψιν η ασφάλεια τους και χωρίς να ακολουθούνται μεθοδολογίες όπως η Ασφαλής Ανάπτυξη Κώδικα (Secure Code Development), ο εκτεταμένος έλεγχος της ασφάλειας του (Code Testing) αλλά και οι σύγχρονες καλές πρακτικές για τη δημιουργία ποιοτικού κώδικα (Code Quality).

Με άλλα λόγια το μέλλον της Τεχνολογίας Λογισμικού βασισμένο στην Τεχνητή Νοημοσύνη μπορεί να θυμίζει πάρα πολύ τις αρχές της χιλιετίας όπου εκατοντάδες εφαρμογές αλλά και λειτουργικά συστήματα που διασυνδέθηκαν στο Διαδίκτυο, βρέθηκαν εκτεθειμένα σε πολλαπλούς κινδύνους από τη μην ενσωμάτωση σε αυτά της Ασφάλειας ως μιας βασικής μη λειτουργικής απαίτησης.

Οι προκλήσεις είναι τεράστιες και η κοινότητα των ειδικών κυβερνοασφάλειας πρέπει να μεριμνήσει άμεσα για την αντιμετώπιση τους. Παραδόξως η λύση σε αυτό το πρόβλημα είναι η και η αιτία δημιουργίας του. Οι εταιρίες κυβερνοασφάλειας μπορούν αξιοποιώντας της τεχνολογίες Τεχνητής Νοημοσύνης και Μηχανικής Μάθησης να δημιουργήσουν καινοτόμα προϊόντα που να αυτοματοποιούν σε τεράστιο βαθμό τις διαδικασίες της ανάλυσης και του εντοπισμού των κακόβουλων δραστηριοτήτων.