ChatGPT ist ein künstliches Intelligenz-Modell, das auf dem GPT-4-Algorithmus (Generative Pretrained Transformer 4) von OpenAI basiert. Es ist eines der fortschrittlichsten Modelle für maschinelles Lernen und wurde für die Verarbeitung und Generierung von Texten trainiert. Dies macht es zu einem nützlichen Werkzeug für viele Anwendungsbereiche, darunter auch den Bereich der IT-Sicherheit.
In diesem Artikel werden wir die Möglichkeiten von ChatGPT für Penetrationstester:innen untersuchen und die Vor- und Nachteile herausarbeiten. Wir werden Themen wie Codeanalyse, Suche nach bekannten Sicherheitslücken (CVEs), das Schreiben von Schwachstellenbeschreibungen und das Erstellen von Skripten und Demonstrationen behandeln. Wir werden auch die Frage beantworten, ob ChatGPT bei Programmfehlern helfen und Tools empfehlen kann. Durch die Evaluierung dieser Funktionalitäten werden wir ein besseres Verständnis darüber erlangen, wie ChatGPT im Pentesting-Bereich eingesetzt werden kann und ob ChatGPT insbesondere für Penetrationstester:innen hilfreich ist und sie in ihrer täglichen Arbeit unterstützen kann. Dazu wurde die KI konkret anhand der folgenden sieben Fallbeispiele getestet. Die Beispiele werden fortlaufend in vier Blogbeiträgen vorgestellt werden.
- Hilfe bei Programmfehlern – Kann ChatGPT bei Fehlermeldungen assistieren? (#1)
- Vorschläge für Tools durch beschreiben der Situation – Kann ChatGPT Tools empfehlen womit z.B. Schwachstellen besser identifiziert werden können? (#1)
- Code Analyse – Kann ChatGPT Schwachstellen in Codeschnipseln finden? (#2)
- Suche nach CVEs anhand von Versionsnummern – Kann ChatGPT anhand von übergebenen Produktinformationen und Versionsnummern CVEs ausfindig machen? (#3)
- Schreiben von Schwachstellen Beschreibungen – Kann ChatGPT Schwachstellen beschreiben und Lösungsvorschläge unterbreiten? (#3)
- Script Erstellung – Kann ChatGPT kleine Skripte erstellen welche Pentestern das Leben einfacher gestalten können? (#4)
- Hilfe beim Erstellen von Demos – Kann ChatGPT Demos für Workshops schreiben? (#4)
Hilfe bei Programmfehlern – Kann ChatGPT bei Fehlermeldungen assistieren?
ChatGPT verfügt über umfangreiche Programmierkenntnisse und kann daher Fehlermeldungen interpretieren und erklären. Es kann auch Lösungen für bekannte Fehler anbieten. Obwohl es keine Garantie dafür gibt, dass ChatGPT jeden Fehler identifizieren und lösen kann, ist es ein nützliches Werkzeug, um schnell einen Überblick über ein Problem zu erhalten. Für den Bereich Pentesting kann ChatGPT daher genutzt werden, um eine kurze Zusammenfassung und damit einen besseren Überblick über ein Problem zu erhalten, ohne lange nach einem Problem suchen zu müssen. Wenn es jedoch darum geht, ein aufgetretenes Problem in seiner Tiefe zu verstehen, werden Pentester auch weiterhin nicht um die Nutzung von Suchmaschinen wie Google herumkommen, zumal ChatGPT zwar eine gute Menge an Informationen liefert, es aber meist um Details geht.
Vorschläge für Tools durch beschreiben der Situation – Kann ChatGPT Tools empfehlen womit z.B. Schwachstellen besser identifiziert werden können?
Bei der Nutzung ist Vorsicht geboten. Einerseits ist es möglich, dass ChatGPT Werkzeuge für einfache Alltagssituationen vorschlagen kann. Wenn es jedoch um spezifische Probleme geht, stößt die KI an ihre Grenzen. So wurde in einem fiktiven Szenario die Existenz einer Request Smuggling Schwachstelle angedeutet. Hierfür gibt es bereits gängige Tools, mit denen diese Schwachstelle gezielt gefunden sowie ausgenutzt werden kann, wie z.B. das Tool „Smuggler“ oder Erweiterungen für BurpSuite wie „HTTP Request Smuggler“.
Die ChatAI antwortete zunächst etwas wortkarg, dass das Ausnutzen von Schwachstellen illegal sein könne und daher keine Antwort gegeben werde. Erst nachdem klargestellt wurde, dass es sich bei dem fiktiven Szenario um einen Pentest handelt, antwortete ChatGPT ausführlicher.
Die Antwort beinhaltete Tools, die für einen Web Application Pentest verwendet werden können, wie z.B. „Owasp ZAP“ oder „SQLMap“, jedoch konnte kein passender Vorschlag für die vorliegende Situation außer BurpSuite unterbreitet werden. Jedoch wurde auch hier keine genaue Auskunft über dessen Erweiterungen gegeben. Daraus lässt sich schließen, dass ChatGPT zwar Vorschläge für Programme unterbreiten kann, es aber für spezielle Situationen besser ist, selbst nach einer passenden Lösung zu suchen.
