ChatGPT for Cybersecurity

In this book, I go over the process of how to use ChatGPT and cover various examples of how to use ChatGPT for Cybersecurity.

Tại sao một người làm bảo mật như tôi lại quan tâm đến ChatGPT???

• ChatGPT đã nhận được rất nhiều sự quan tâm từ ngành công nghệ thông tin nói chung và ngành An ninh mạng nói riêng.

• Đã có rất nhiều câu hỏi xoay quanh tác động/hiệu quả mà ChatGPT sẽ mang đến đối với ngành An ninh mạng

• Nó là một công cụ/tài nguyên vô giá có thể được sử dụng để cải thiện KSA của bạn trong một lĩnh

ChatGPT là gì?

• là một công cụ AI do công ty nghiên cứu trí tuệ nhân tạo (AI) tạo ra, dựa trên các để hiểu ngôn ngữ tự nhiên và phản hồi bằng ngôn ngữ tự nhiên (giống như hai con người đang nói chuyện trực tiếp) với phạm vi trao đổi không giới hạn. Nó được đào tạo bằng cách sử dụng Reinforcement Learning from Human Feedback (RLHF)

• ChatGPT dựa trên mô hình ngôn ngữ do OpenAI tạo ra, thường gọi là GPT-3.5. Mô hình này có định dạng đối thoại giúp ChatGPT có khả năng “trả lời các câu hỏi tiếp theo, thừa nhận lỗi của mình, thách thức các cơ sở không chính xác và từ chối các yêu cầu không phù hợp”.

• GPT-3.5 là một mô hình ngôn ngữ sử dụng phương pháp học sâu để tạo ra văn bản giống con người. Trong khi mô hình trước đó chỉ có khả năng nhận thông tin thông qua văn bản và cố gắng diễn giải bằng văn bản do chính AI tạo ra, thì ChatGPT có năng lực lớn hơn. ChatGPT có khả năng tốt hơn nhiều trong việc tạo ra văn bản chi tiết hơn và thậm chí có thể tạo ra những bài thơ. Một đặc điểm độc đáo khác là bộ nhớ. Bot (ChatGPT) có thể nhớ các nhận xét trước đó trong một cuộc trò chuyện và sử dụng lại chúng để đối thoại với người dùng.

• Cho đến nay, OpenAI mới chỉ cho phép mọi người thử nghiệm phiên bản ChatGPT beta. Và dự kiến sẽ cấp quyền truy cập API trong năm tới. Với quyền truy cập API này, các nhà phát triển sẽ có thể ứng dụng ChatGPT vào phần mềm của riêng họ, từ đó thúc đẩy cộng đồng người dùng ChatGPT đông đảo hơn và mang lại nhiều kết quả thực tế hơn.

Làm thế nào để sử dụng được ChatGPT

• Hiện tại, ChatGPT vẫn đang trong giai đoạn thử nghiệm, nên có một bộ phận người sử dụng nó để tiêu khiển và nghịch các chức năng – theo thông tin từ những nhà thiết kế nên ChatGPT sẽ biến sản phẩm này sử dụng bot để tạo ra một ứng dụng ghi chú đầy đủ chức năng.

• Vấn đề tiếp theo là ChatGPT chưa có sẳn cho người dùng tại Việt Nam. Tài khoản trong bài viết này mình được một người bạn ở nước ngoài cho mượn 😂.

Các tính năng phổ biến của ChatGPT rầm rộ bửa giờ

Các bài báo gần đây chủ yếu focus rất nhiều vào việc ChatGPT thay thế lập trình viên. Tương lai của dev? Dev sẽ mất việc? pla pla phần lớn mọi người tập trung khá nhiều vào khả năng lập trình của ChatGPT.

Coding theo phong trào mình sẽ làm vài demo ví dụ như viết code:

Mình khá bất ngờ về việc câu trả lời đây đủ ý nghĩa của ChatGPT, ban đầu mình cứ nghỉ nó chỉ code và code thôi, ko ngờ nó còn giải thích rất rỏ ràng về đoạn code.

Nâng độ khó lên chút. Hiện tại mình cũng đang có chút công việc liên quan đến quản trị Google Workspace. Cụ thể là mình đang cần move các user tại một OU cũ sang OU mới. Mình đang muốn dùng Google Appscript để tự động hóa việc này, mình sẽ thử yêu cầu ChatGPT hỗ trợ mình.

Kết quả khiến mình khá bất ngờ, mình sẽ thử hỏi chi tiết hơn nữa, xem ChatGPT có hỗ trợ mình viết code không?

Mình gặp mốt số vấn đề với câu hỏi, tuy nhiên kết quả mà ChatGPT đã ngoài sức tưởng tượng của mình. Mình nghĩ nó chỉ là một đoạn mã ngắn như trên, tuy nhiên lần này ChatGPT đã chia ra cả các bước làm như thế nào, Enable API, rồi có hẳn một đoạn code kèm theo giải thích chi tiết ý nghĩa.

Hóa ra đây là lý do khiến các dev hoang mang về nghề nghiệp của mình.

Debug Code

Mình sẽ thử một ví dụ nữa của ChatGPT liên quan đến dev, đó là debug code.

Ban đầu mình thấy việc thử nghiệm cái tính năng debug này của ChatGPT có vẻ khá vô lý. Nhưng khi nhận được kết quả như ảnh phía trên, mình chỉ biết câm nín, không chỉ tìm ra giải pháp để chỉnh sửa đoạn code bị lỗi mà nó cón giải thích lỗi đó là gì và phải làm thế nào 😥, thật là cảm lạnh với ChatGPT.

ChatGPT biến thành Linux Terminal

Trong quá trình tìm hiểu về ChatGPT mình có thấy bài viết này:

Từ bài viết trên nó đã cho mình ý tưởng về việc thử dùng ChatGPT như một terminal trên các hệ điều hành Linux. Mình thử nghiệm như sau

Như ảnh bên trên có thể thấy, ChatGPT đã xin lỗi và báo rằng nó không thể thực thi câu lệnh ping mà mình yêu cầu. Tuy nhiên nó sẽ giải thích cho chúng ta khá chi tiết về lệnh ping và đặt biệt là phần example của nó. Phần địa chỉ IP của tên miền google.com trong ví dụ là IP thật của Google sau khi mình lấy thông tin để kiểm tra.

Từ việc này, mình sẽ thử hỏi ChatGPT các vấn đề liên quan đến Cyber Security.

ChatGPT for Cyber Security

Giải thích một điều gì đó về bảo mật?

Ngoài khả năng viết code bên trên, ChatGPT còn là một nhà thông thái, vì vậy việc cơ bản nhất để tiếp cận ChatGPT về phương diện bảo mật đó là hỏi nó các lý thuyết. Bên dưới mình đã thử hỏi nó về Blue Teaming và Red Teaming. Kết quả thì không có gì phải bất ngờ với kiến thức mà nó đang sở hữu nữa.

Một vài ví dụ về pentesting với ChatGPT

Mình sẽ thử hỏi nó về cách quét lỗ hổng SMB bằng công cụ nmap.

Kết quả mà ChatGPT cho chúng ta là câu lệnh để quét lỗ hổng này cũng như giải thích khá chi tiết các option trong câu lệnh. Mình sẽ thử nâng cao hơn 1 chút, sẽ hỏi nó cách khai thác lỗ hổng MS17-010 bằng Metasploit.

Lại một lần nữa, ChatGPT đã hướng dẫn theo phong cách step by step để chúng ta có thể thực hiện việc khai thác lỗ hổng MS17-010. Cảm lạnh lần thứ 2 🥶

Generating shells

Vì ChatGPT giỏi code, thế nên việc viết shells chắc là không làm khó được ẻm. Mình thử luôn cho nóng, bên dưới mình sẽ thử yêu cầu ChatGPT viết cho mình một reverse shell bằng PHP.

Việc đơn giản này đúng là không thể nào làm khó được ChatGPT, mình sẽ thử nâng cao một xíu trong lúc viết shell, đó là mã hóa con shell này lại. nào ChatGPT thể hiện tiếp nào.

Cảm lạnh lần thứ 3 🥶

Fuzzing

Vào thực tế một xíu, mình cần thực hiện module WSTG-CONF-04 trong quá trình pentest với chuẩn OWASP. Mình sẽ thử hỏi ChatGPT cách fuzz các tập tin .zip và .gz bằng công cụ gobuster

Cảm giác nó còn tốt hơn so với đọc guide trên owasp. Mình sẽ thử hỏi nó phương pháp fuzz cao hơn một xíu. Mình sẽ hỏi nó cách để fuzz .php và .html, sau đó chỉ lấy kết quả có HTTP status là 200 xem kết quả nhận được là gì?

Mình cũng không biết giải thích gì thêm. ChatGPT đã cho câu lệnh và giải thích cách dùng rất chi tiết. Cảm lạnh lần thứ 4 🥶

Shellcode

Thử yêu cầu ChatGPT tạo shellcode để thực thi trên cmd

Thử với Android

Hầu hết các kết quả sẽ dùng msfvenom, mình thử yêu cầu ChatGPT không dùng msfvenom, để xem kết quả như thế nào

Mình nghĩ nhiêu đây đả đủ để các bạn thấy sức mạnh của ChatGPT trong việc tạo shellcode

Custom Emails

Phần hào hứng tiếp theo, mình thử yêu cầu ChatGPT viết một nội dung email lừa đảo và đây là kết quả

Như chúng ta thấy thì phần này sẽ đang vi phạm chính sách của OpenAI, nên có thể việc social engineering bằng ChatGPT là không nên, tránh việc bị OpenAI khóa mõm lại. Tuy nhiên cũng gần hết năm, công ty mình cũng có tổ chức YEP, mình thử yêu cầu ChatGPT viết một mail để gửi đến các bạn nhân viên về việc tổ chức YEP xem như thế nào 🤣

Rất văn vở đến từ vị trí của ChatGPT, bỏ qua ý tưởng custom mail với ChatGPT vì hầu hết đều bị vi phạm chính sách của OpenAI.

Automation

Đến lúc nâng cao độ khó cho ChatGPT, là một pentester lười biếng, mình rất hay dùng bash script trên Linux để tự động hóa các module pentest. Vì vậy từ giờ, ChatGPT sẽ giúp mình viết các bash script này. Được rồi thử yêu cầu ChatGPT viết một bash script tự động scan port bằng nmap

Lần này không cảm lạnh nữa, mình bệnh luôn rồi, không chỉ hướng dẫn tạo bash script, nó còn hướng dẫn cách dùng, tạo file như nào, lưu lại rồi phân quyền ra sau cuối cùng là tận tình chỉ mình cách thực thi. 😫

Mình sẽ thử cao siêu hơn nữa bằng việc yêu cầu ChatGPT tạo ra bash script lấy thông tin SubDomain bằng 3 công cụ Dig, Sublist3r và Host, sau đó sẽ chụp ảnh màn hình kết quả bằng Eyewitness

Và để dằn mặt mình, ChatGPT không chỉ viết giúp bash script mà nó còn hướng dẫn cài luôn các công cụ mà mình yêu cầu trước khi tạo file, phân quyền và thực thi. Quá chu đáo đến từ ChatGPT 😶😶😶 mình cạn lời.

Blue Team

Được rồi Red Team nảy giờ nhiều rồi, giờ làm gì đó với Blue Team thôi. đầu tiên mình thử hỏi ChatGPT cách query các thay đổi của registry Windows bằng ELK

Kết quả bên trên cũng làm mình hài lòng về cách ChatGPT giải quyết cho mình. Thử nâng cao hơn một chút về việc phát hiện người dùng nào đó tải tập tin có 2 extention

Ngoài sức tưởng tượng, không chỉ tìm ra giải pháp mà còn rất chi tiết trong việc cấu hình các giải pháp lại với nhau. Thử hỏi về SPlunk, một giải pháp tốn tiền, xem kết quả có được ngon lành như ELK không nhé.

Lại ngạc nhiên lần thứ n trong bài viết này. Các bạn thích giám sát, thì từ nay có ChatGPT làm trợ thủ đắt lực kể cả OpenSource hay Paid rồi nhé. 😋

Thử một xíu với digital forensic. Mình sẽ dùng vol để tìm PID

Ái chà nó không giải thích việc làm sao để dump memory chi tiết như bên trên nữa, thử hỏi nó cách dump xem sau

Được rồi mình thấy các câu hỏi thuần về kỹ thuật như vầy đều được ChatGPT cố gắng trả lời với dạng step by step.

Thử hỏi về rules trên firewall

Kết quả luôn làm mình rất hài lòng. Đi đến IDS/IPS luôn cho nó máu

Không chỉ viết rules một cách sạch đẹp rỏ ràng, mà ChatGPT còn giải thích rất rỏ các biến trong rules đã viết.

Vấn đề cần lưu ý khi dùng ChatGPT để học/làm về Security

1. Không có nguồn gốc chính xác về việc thông tin mà ChatGPT đã cung cấp từ đâu

2. Thông tin mà ChatGPT cung cấp có thể không đúng, không chính xác (luôn xác thực kết quả) các dẫn chứng về kết quả sai của ChatGPT

Kết luận

ChatGPT thật sự là một bước tiến lớn trong công nghệ thông tin nói chung và trí tuệ nhân tạo nói riêng. Mình nhận thấy ChatGPT sẽ giúp ích rất nhiều trong tương lai cho cả các công việc liên quan về Cyber Security của mình.

Tuy nhiên tại thời điểm hiện tại, mình nghĩ OpenAI vẫn đang thử nghiệm ChatGPT vì vậy lúc này, chỉ nên áp dụng ChatGPT vào việc học tập là chính. Còn các công việc chuyên môn mình chưa thật sự tin tưởng vào các kết quả mà ChatGPT mang lại.