ChatGPT conosce molto bene Len Noe, technical evangelist di CyberArk, white hat hacker e biohacker. Sì, anche biohacker, perché Noe è un “transumano”, motivo per cui i suoi nipoti lo chiamano “Robo Papa”. E ChatGPT lo sa perché Noe ha inserito nel sistema tutto ciò che è riuscito a trovare su di sé, sia le informazioni che è pubblicamente disponibili su Internet sia quelle reperibili tramite la tecnologia informativa open source (OSINT). Si tratta di dati che includono luoghi in cui ha vissuto, bollette, post sui social media e trascrizioni di presentazioni e interviste. Tutto ciò che è presente nel mondo digitale, Noe lo ha inserito in ChatGPT, dando vita a una versione digitale di sé stesso che definisce come sua identità sintetica.
Questa identità sintetica – che nasce dall’insieme delle caratteristiche fisiche e digitali utilizzate per identificare i singoli esseri umani – è permanente. Più si opera online, ovunque e comunque, più si lasciano informazioni utili ai malintenzionati che un giorno, in qualche modo, potranno usarle per i loro scopi.
L’identità sintetica è un’estensione quindi del continuo sforzo di Len di pensare come un aggressore e, così facendo, di stare un passo avanti rispetto a loro.
A prima vista, l’esperimento ChatGPT di Noe sembra simile al doxing, ovvero l’atto doloso di raccogliere e pubblicare su Internet informazioni identificabili su una persona o un’organizzazione senza il suo consenso. Ma ci sono due grandi differenze. In primis, l’identità sintetica creata da Len si basa su dati personali e, in secondo luogo, il motore di intelligenza artificiale di ChatGPT ha una potenza di elaborazione sovrumana che consente di unire istantaneamente dati diversi e disomogenei tra loro.
Alimentando con tutti dati raccolti e non protetti il motore di ChatGPT, il risultato può portare il doxing a un livello superiore. E le opportunità facilmente accessibili per gli aggressori risiedono in un oceano digitale di identità in continua espansione. Le correlazioni di dati rese possibili dall’intelligenza artificiale rendono molto più facile per gli aggressori identificare le password e le domande di recupero dei potenziali obiettivi. In un batter d’occhio, l’intelligenza artificiale può estrarre o dedurre il nome da nubile di vostra madre o la strada in cui siete cresciuti, o la maggior parte delle domande/risposte standard tipiche dei portali di recupero self-service. Una volta ottenute queste informazioni, il gioco è fatto.
Ma la semplice estrazione di dati è solo la punta dell’iceberg dell’intelligenza artificiale. Gli aggressori, ovviamente, non si limiteranno (e non si limitano) a ciò che è disponibile. E’ la nostra stessa vita digitale a consentire alle piattaforme social media di costruire facilmente un’identità composita delle persone in base ai loro comportamenti e preferenze online. Questi dossier digitali vengono abitualmente venduti e condivisi e possono anche essere intercettati.
È così che per gli aggressori si aprono potenziali opportunità di primo livello. Basti pensare all’imitazione. La creazione di un’identità sintetica può alimentare lo spoofing, il phishing e l’impersonificazione, aiutando gli aggressori a produrre modelli di linguaggio e di testo umani più realistici e, a loro volta, a convincere qualcuno a condividere o fare qualcosa che non dovrebbe. Una volta ottenuto questo risultato, ecco che può entrare il gioco l’estorsione informatica. Più dati personali gli aggressori riescono a raccogliere, più è probabile che abbiano successo.
Tutto si ricollega all’identità
Il potenziale di questo nuovo tipo di minaccia all’identità sintetica deve ancora essere pienamente realizzato. Ma come professionisti della sicurezza informatica, il cui lavoro impone di mettersi nei panni di un
aggressore, è necessario prendere costantemente in considerazione le minacce e le ramificazioni potenziali. E quasi tutte coinvolgono inevitabilmente dati e identità.
Sentiamo parlare di furto d’identità, monitoraggio dell’identità, convalida dell’identità e sicurezza dell’identità. Tutto è legato all’identità e per una buona ragione. La nostra identità è la cosa più preziosa che possediamo: è la nostra immagine, la nostra voce, i nostri modelli di comportamento. Sono i nostri amici, la nostra famiglia, i nostri hobby, le nostre simpatie e antipatie. È ciò che ci rende unici.
L’identità individuale è un amalgama dell’io fisico e digitale. In base a questo assunto, l’identità potrebbe essere potenzialmente messa a rischio non solo dalle interazioni online, ma anche da quelle con il mondo fisico, ad esempio con il frigorifero intelligente o nel modo in cui ci si connette al Wi-Fi di casa, per citare solo un paio di centinaia di milioni di altre azioni collegate. Siamo arrivati al punto in cui non è più possibile separare questi due lati della persona, che sono ormai inestricabilmente fusi.
Come proteggere la propria identità digitale
Quindi, cosa possono fare gli individui e le organizzazioni per arginare le minacce poste dalle identità sintetiche assistite da AI e ML? Len suggerisce quanto segue:
1. Limitare la condivisione di informazioni online
Il brand X ha davvero bisogno delle informazioni che chiede? Quel quiz sui social media vi sta chiedendo di fornire informazioni che potrebbero essere utilizzate per indovinare una password?
2. Scaricare con cautela e limitare l’accesso alle app
Prima di scaricare un’applicazione, è bene sapere quali permessi vengono richiesti. Ha davvero bisogno di accedere a elementi come la fotocamera, il microfono e l’elenco dei contatti?
3. Proteggere la rete domestica
Utilizzate una password forte e complessa per il router e cambiatela regolarmente. Mantenete sempre aggiornate le patch del firmware e del software.
4. Evitare il login diretto
Per l’uso personale online, attivate sempre l’autenticazione a più fattori (MFA). Per il lavoro, la protezione di livello aziendale dovrebbe prevedere il single sign-on (SSO) con MFA adattabile sul front end.