7 de febrero de 2023

Haciéndole una entrevista de trabajo como pentester a ChatGPT

El otro día, mi compañero Pablo González le preguntó a ChatGPT si me conocía, y él le contestó que sí, pero le dio unos datos un tanto peculiares, alguno erróneo, pero nada que nos sorprenda, pues probablemente haya sido entrenado con muchos datos de Internet que no tienen datos exactos de estas cosas. Pero me hizo gracia, así que decidí pasar un rato yo con ChatGPT preguntándole cosas de hacking de las que hemos estado haciendo esto años. 

Figura 1:Haciéndole una entrevista de trabajo de pentester a ChatGPT
Imagen Dall-e 2: "A painting of a happy hacker in Picasso style"

Al final ya vimos que si le pides que programe a ChatGPT puede meter el cuezo y generar bugs. Pero también ChatGPT puede encontrar bugs en código. Hoy querí a preguntarle por conceptos y conocimientos, para ver si había "copiado" en la resolución de los ejercicios. A ver si sabe o no sabe lo que hace. Es decir, a ver si me daba buena impresión o no para pasar alguna de las pruebas que tenemos para las vacantes abiertas de pentester en Telefónica.

Figura 2: ElevenPaths es una filial de Telefónica desde 2013

El resultado de la entrevista es el que veis a continuación. Por supuesto, empecé presentándome y comprobando si, como le había dicho a mi compañero, me conocía. Y por lo visto, sí, tiene claro quién soy yo... o eso dice.

Figura 3: Sabe quién soy Lo que es bueno.
Se gana un punto por peloteo.

Ahora, como sabía que tenía mal el dato arriba, le pregunto por ElevenPaths, y acierta con la fecha de creación de ElevenPaths. De ahí en adelante, vamos a hablar de hacking.

Figura 4: Sabe que Eleven Paths se creo en el 2013. 
Es casi old-school

Vamos con una difícil. La verdad es que esta la podría saber porque es información pública, pero probablemente el conocimiento que ha extraído no ha considerado relevante este dato. O simplemente no estaba consolidado en sus fuentes de datos.

Figura 5: No sabe cuántas charlas he dado en DefCon.
No es tan "fan", }XD

Pero como no conozca a la FOCA la entrevista termina ahora mismo, porque sin conocer a nuestra amiga no vamos a ser amigos. Pero sí, la conoce. Y conoce el nombre que le dimos originalmente para justificar el paper que presentamos en BlackHat EU 2006.

Figura 6: Conoce a la FOCA. Un positivo más.

Ahora vamos con algo más difícil, con las Time-Based Blind SQL Injection using Heavy Queries, a ver si las conoce y las entiende bien, que la gente se suele liar bastante.

Figura 7: Cono ce las Time-Based Blind SQL Injection bien.
Pero me quedan dudas de si entiende el resto.

Como buen entrevistado para un puesto de trabajo, ha tirado para adelante con lo que se sabe, pero ha obviado la parte de las consultas pesadas en la respuesta, pues habla de funciones de tiempo. Pero, vamos a insistir a ver si acierta o se rompe.

Figura 8: Sigue para adelante. Es bueno, pero vuelve a meter sleep(10).
Esta es un negativo. Vamos a insistirle.

Ha metido otra ver una función de tiempo (sleep(10)) así que no ha acertado con la consultas pesadas. Vamos a volver a rectificarle, a ver si se pone nervioso y confiesa que no sabe. O a ver si cae en la respuesta correcta.

Figura 9: Ahora se tira or las consultas que requieren un tiempo de procesamiento.

La verdad es que le estoy haciendo un poco el lío, porque en la primera respuesta habla de las funciones Benchmark que son consultas pesadas intensivas en computo, no en volumen de datos. Pero le he ido acogotando para ver si hablaba de consultas pesadas en volumen de datos. Y no ha dado con ello. Le falta mejorar sus estudios sobre técnicas avanzadas de SQL Injection. Ahora que ha metido una posible consulta pesada diseñada por él, vamos a ver cómo sale de esta pregunta.

Figura 10: Claro, me da la razón. Se ha liado. Pero sale bien. Ha sacado
un aprobado en conocimiento, no en experiencia.

Vamos con una pregunta trampa, ya que Dust RSS fue una prueba de concepto con una arquitectura P2P para distribuir feeds RSS y evitar la censura por dominio. La presenté en la DefCON hace mucho tiempo, y se quedó en un estudio. Pero... RSS, pues se tira como un estudiante a hablar de Feeds RSS y listo.

Figura 11: Yo creo que me da la razón pero no lo tiene muy claro.

Vamos a cambiar de tema. Vamos a por los Connection String Parameter Pollution Attacks, a ver cómo se desenvuelve por estos lares, que son más específicos.

Figura 12: No está mal. El ejemplo es muy genérico, pero... ok

Una más a pillar. Ahora a preguntarle por nuestra herramienta Sappo, a ver si es capaz de responder correctamente. Como vaís a ver, se ha tirado a la piscina como un campeón. Esto es lo que se llama jugar a la lotería en un examen.

Figura 13: Sí, claro. Hace de todo. Mehh!

Como se ha pasado de frenada, voy a decirle que no ha colado, a ver cómo reacciona cuando le digo que la herramienta no tiene que ver con estas cosas.

Figura 14: Disculpa, dice. ¡Qué pájaro! Y confiesa que no sabe,
pero bien que se ha tirado el pisto antes. Flipante.

Y ya la última, que no es cuestión de hacer esto mucho más largo. Vamos a preguntarle por Ransomcloud. Que sí, que es trampa, que es un ataque que se basa en Sappo, pero no tiene por qué saberlo él. A ver qué dice ChatGPT.

Figura 15: Otro piscinazo. Si hubiera puesto SaaS se lo doy por bueno.

Se ha tirado a la piscina otra vez. Le ha sonado a Ransomware y de eso ha metido la parrafada. A ver si cuela o rasca alguna décima en el examen, pero nada, no sabe qué son estos ataques. 

Figura 16: Libro de Hacking Web Technologies en 0xWord de los autores:
Amador AparicioChema AlonsoPablo GonzálezEnrique Rando y Ricardo Martín.

En fin, que desde luego para charlar es espectacular, y poco a poco irá aprendiendo más y más, pero por ahora puedes seguir estudiando hacking para ser pentester, que aún nos hacen falta muchos profesionales de este área.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


]]>

☞ El artículo completo original de noreply@blogger.com (Chema Alonso) lo puedes ver aquí

No hay comentarios.:

Publicar un comentario