Az előző részben a ChatGPT-t mint tanulási segédeszközt mutattuk be, ám ha már használjuk, akkor érdemes lehet végiggondolni az eszköz lehetséges kiberbiztonsági kockázatait is, egyrészt saját magunk, másrészt a társadalom egésze számára. Sajnos az elmúlt évek tapasztalatai azt mutatják, hogy a technológiai fejlődés és a tudatosítás ellenére még mindig az ember a kiberbiztonsági láncban a leggyengébb láncszem…
Az Európai Uniós Kiberbiztonsági Ügynökség (European Union Agency for Cybersecurity, vagy rövidítve ENISA) évente jelentést készít ENISA Fenyegetések (ENISA Threat Lanscape) címmel az aktuális kiberbiztonsági kockázatokról, valamint ajánlásokat is megfogalmaz az egyének és szervezetek számára. A legfrissebb, 2022-es kiadásban az alább látható főbb kiberbiztonsági fenyegetést hordozó területek jelennek meg (a sorrendiség nem jelenti a fenyegetés súlyosságának fokát):
1. Zsarolóvírusok: olyan típusú olyan támadás, amelyben a fenyegető szereplő átveszi az irányítást a célpont eszköze(i) felett, és váltságdíjat követel a célpont eszköze(i) rendelkezésre állásának visszaállításáért cserébe.
2. Rosszindulatú szoftverek: más néven rosszindulatú kód és rosszindulatú logika. Átfogó kifejezés, amelyet minden olyan szoftverre vagy firmware-re (olyan kis méretű program, ami egy elektronikus eszközben beépítve található, annak alapvető vezérléséért felelős) használnak, amelynek célja, hogy olyan nem engedélyezett folyamatot hajtson végre, amely káros hatást gyakorol a rendszer titkosságát, integritását vagy rendelkezésre állását illetően. Hagyományosan a rosszindulatú kódtípusok közé tartoznak a vírusok, férgek, trójai falovak vagy más kódalapú entitások, amelyek megfertőzik az áldozat eszközét. A kémprogramok és a reklámprogramok bizonyos formái is példák a rosszindulatú kódokra.
3. Social engineering: olyan tevékenységek széles körét foglalja magában, amelyek megpróbálják kihasználni az emberi hibákat vagy az emberi viselkedést azzal a céllal, hogy hozzáférjenek információkhoz vagy szolgáltatásokhoz. A manipuláció különböző formáit használják, hogy az áldozatokat hibázásra, illetve érzékeny vagy titkos információk átadására csábítsák. A kiberbiztonságban a social engineering tevékenység a felhasználókat dokumentumok, fájlok vagy e-mailek megnyitására, weboldalak meglátogatására vagy jogosulatlan hozzáférés engedélyezésére csábítja. Ezek végső célja, hogy más személyek számára hozzáférést biztosítanak rendszerekhez vagy szolgáltatásokhoz. Bár ezek a trükkök visszaélhetnek a technológiai gyengeségekkel vagy hiányosságokkal, a ikerhez mindig az emberi tényezőre támaszkodnak.
4. Az adatokkal szembeni fenyegetések: olyan fenyegetések gyűjteménye, amelyek az adatforrásokat célozzák meg, hogy azokat jogosulatlanul megszerezzék és nyilvánosságra hozzák, valamint az adatokat a rendszerek viselkedésének befolyásolása érdekében manipulálják. Technikailag az adatok elleni fenyegetések elsősorban kettő fajtára oszthatók: adatsértésre és adatszivárgásra. Az adatsértés egy kiberbűnöző által indított szándékos támadás, amelynek célja a következők elérése: jogosulatlan hozzáférés és érzékeny, bizalmas vagy védett adatok kiadása. Az adatszivárgás olyan esemény, amely érzékeny, bizalmas vagy védett adatok nem szándékos kiadása, például hibás konfigurációk, sebezhetőségek vagy emberi hibák következményeként.
5. Az elérhetőséggel szembeni fenyegetések – szolgáltatásmegtagadásos (DoS – Denial-of-Service) támadások: a szolgáltatásmegtagadásos támadások olyan elektronikus támadások, amelyek rendszereket, szolgáltatásokat vagy hálózatokat képesek olyan mértékben leterhelni, hogy az érintett rendszer, szolgáltatás vagy hálózat elérhetetlenné válhat[1].
6. Az elérhetőséggel szembeni fenyegetések – internetes fenyegetések: Az internethasználat és az információ szabad áramlása mindenki életére hatással van. Sok ember számára az internethez való hozzáférés alapvető szükségletté vált a munkához, a tanuláshoz, a véleménynyilvánítás szabadságának gyakorlásához, a politikai szabadsághoz és a társadalmi érintkezéshez. Ez a csoport azokat a fenyegetéseket foglalja magában, amelyek hatással vannak az internet elérhetőségére.
7. Dezinformáció – félretájékoztatás: a dezinformációs és félretájékoztatási kampányok továbbra is terjednek, amit a közösségi média fokozott használata is ösztönöz az online média terjedése mellett. A közösségi oldalak, a hírek és médiumok, sőt még a keresőmotorok is sok ember számára információforrássá váltak. Míg a dezinformáció szándékosan hamis információ létrehozását és megosztását jelenti, a félretájékoztatás mögött nincs manipulálási szándék.
8. Ellátási lánc elleni támadások: a szervezetek és a beszállítóik közötti kapcsolatra irányul. Ahhoz, hogy egy támadás ellátási lánc elleni támadásnak minősüljön, mind a szállítónak, mind a vevőnek célpontnak kell lennie, és legalább két támadás kombinációjából kell hogy álljon (a hivatkozott riport szerint)[2].
Hol találjuk ezek között a ChatGPT-t?
Az 1–3, illetve a 7. pontoknál megjelenik a nagy nyelvi modellek által jelentett kockázat. Néhány konkrétabb példa:
- az álhírek terjesztésénél gyorsan és a nyelvek széles skáláján lehetséges internetes tartalmakat létrehozni
- hamis weboldal vagy médiaprofil számára spam tartalom generálása; gondoljunk itt például egy nyereményjátékra, amihez csak egy adott programot kell letölteni, hogy részt vehessünk benne
- adathalászat: bár ilyen kérést direktben nem teljesít a ChatGPT, de ha csak egy „egyszerű” levelet íratunk vele, amiben megkérjük a címzettet, hogy sürgősen nyissa meg a mellékletet, mert egy munkával kapcsolatos halaszthatatlan feladat érkezett
- hamis weboldalak: gondoljunk csak arra, hogy milyen gyorsan lehet egy hamis webáruházat létrehozni, ahol látszólag nagyon olcsón lehet vásárolni, de valójában csak a bankkártya-adatainkat akarják ellopni
- Kártékony kódok (malware) készítése: mivel a ChatGPT képes kódolni (sőt kódot javítani), így rosszindulatú programok írására is alkalmas lehet, bár a fejlesztők ezt a funkciót letiltották, de van egy-két módja, amivel ez megkerülhető
Bár a ChatGPT saját bevallása szerint kiberbiztonsági célokra nem ajánlott eszköz, de az ilyen típusú kérdéseknél is képes válaszokat adni:
- segíthet nekünk egy adott kód(részlet) elmagyarázásával (mennyire biztonságos az adott kódot futtatnunk?)
- segíthet abban, hogy egy adott sérülékenységet megértsünk (még ha jelenleg a magyarázatok alapján mélységében nem „érti” a problémák egy részét)
- kiberbiztonsági kérdésekre ugyan általánosságban tud válaszolni, de konkrét kérdéseknél is igaz az az aranyszabály, hogy inkább egy szakértő véleményét kérjük ki [3]
Emellett, mint minden rendszer, a ChatGPT maga is sebezhető: 2023. március 20-án megtörtént az első adatszivárgás, melynek keretében kikerült a rendszerből a felhasználó neve, e-mail címe, számlázási címe, bankkártyájának típusa, a bankkártya számának utolsó négy számjegye és lejárati dátuma (teljes bankkártya-számok nem kerültek nyilvánosságra)[4].
Felhasznált irodalom
[1] NKI Tudástár. „Elosztott szolgáltatásmegtagadásos támadás (DDoS) | Nemzeti Kibervédelmi Intézet”, 2018. július 5.
[2] ENISA. „ENISA Threat Landscape 2022”. Report/Study. ENISA. Elérés 2023. június 30.
[3] Nemzeti Kibervédelmi Intézet. „A ChatGPT kiberbiztonsági kockázatai”. Elérés 2023. június 30.
[4] OpenAI. „March 20 ChatGPT Outage: Here’s What Happened”. Elérés 2023. június 30.
Ez a bejegyzés a Kulturális és Innovációs Minisztérium ÚNKP-22-1-I-NKE-14 Kódszámú Új Nemzeti Kiválóság Programjának a Nemzeti Kutatási, Fejlesztési és Innovációs Alapból Finanszírozott szakmai támogatásával készült.