KaliGPT: l'assistente AI che cambia le regole dell'Hacking Etico

Tutti conoscono la distribuzione Kali Linux: derivata da Debian e progettata per il penetration testing e la sicurezza informatica, include centinaia di strumenti per testare reti, analizzare vulnerabilità, effettuare analisi forensi e condurre test di sicurezza. Un’interessante novità consiste nel debutto di Kali GPT, un potente strumento basato sull’intelligenza artificiale (AI), specificamente progettato per migliorare le competenze e le abilità degli utenti in tema di hacking etico. Sviluppato da Marc Streefland, Kali GPT è un assistente digitale esperto nell’utilizzo di Kali Linux e dei comandi utilizzati per le attività di hacking.

Kali Linux è comunemente utilizzata da professionisti della cybersecurity, hacker etici e ricercatori: Kali GPT si propone come uno strumento capace di migliorare significativamente le capacità degli utenti in fatto di sicurezza informatica.

Come suggerisce il nome, Kali GPT trova il suo ambiente di utilizzo naturale in Kali Linux. Nulla toglie, però, di poter avvalersi dei servigi di Kali GPT su qualsiasi piattaforma.

Cos’è possibile fare con Kali GPT e come provarlo

Lo abbiamo detto, Kali GPT è progettato per supportare e migliorare l’esperienza degli utenti che lavorano con Kali Linux. Ciò implica che le “conoscenze” di base di Kali GPT e le sue capacità sono profondamente radicate e addestrate sui comandi, gli strumenti e i concetti specifici di Kali Linux.

A differenza di un modello AI generico, come quelli alla base di ChatGPT, Kali GPT è stato alimentato con una vasta gamma di comandi, dati e scenari relativi a Kali Linux e all’hacking etico, garantendo risultati notevolmente più accurati e direttamente applicabili alle esigenze dell’ethical hacking.

Kali GPT si integra quindi in modo nativo con strumenti essenziali ampiamente utilizzati nella comunità di sicurezza di Kali Linux, come Burp Suite, Nmap, Wireshark, Metasploit e OpenVAS. Può generare comandi complessi per questi strumenti e spiegare il loro utilizzo contestuale.

L’assistente AI è inoltre in grado di spiegare e aiutare nella configurazione di repository Kali, sia ufficiali che non ufficiali, il che è un aspetto chiave della gestione e personalizzazione della distro.

Servendosi di Kali GPT, gli utenti possono velocizzare il flusso di lavoro e la curva di apprendimento all’interno dell’ambiente Kali Linux, correggendo eventuali errori di configurazione degli strumenti e colmando il divario di competenze tra pentester principianti ed esperti.

Come accedere a Kali GPT

Accedendo al sito del progetto quindi cliccando su Visit custom AI, si comprende subito che Kali GPT è di fatto un GPT per ChatGPT. I GPT attivabili nel chatbot ChatGPT sono versioni personalizzate che riuniscono istruzioni, conoscenze aggiuntive e “combinazioni di competenze”. I GPT personalizzati sono “ottimizzazioni” che nascono per “focalizzare” il comportamento di ChatGPT in modo che il modello generativo possa fornire risposte ancora più pertinenti ed efficaci sulla base di specifiche esigenze.

L’indicazione GPT presente nella colonna di sinistra di ChatGPT non va quindi confusa con i sottostanti modelli generativi, progettati e addestrati per “comprendere” e generare testo in linguaggio naturale in modo autonomo e credibile.

Sebbene Kali GPT non sia una funzionalità pre-installata nella distribuzione Kali Linux stessa, diventa fruibile semplicemente accedendo alla piattaforma ChatGPT quindi cliccando qui.

Gli utenti possono comunque “installare” e “integrare” Kali GPT nell’ambiente Kali Linux, in modo da adoperarlo in modo sinergico con la distro.

Per impostazione predefinita, Kali GPT è sfruttabile con un abbonamento a pagamento ChatGPT Plus. Tuttavia, anche con ChatGPT Free si può provare Kali GPT, fintanto che non si esauriranno i crediti gratuiti giornalieri messi a disposizione da OpenAI.

Campi applicativi di Kali GPT

Kali GPT può essere impiegato in un’ampia varietà di scenari di hacking etico, automatizzando e assistendo in compiti complessi.

L’assistente AI è ad esempio in grado di generare script batch efficienti per la ricerca di sottodomini di un sito Web, sfruttando motori di ricerca pubblici come crt.sh per l’accesso ai dettagli dei certificati digitali. Un semplice prompt come “scrivi uno script per trovare tutti i sottodomini di example.com” permette di raggiungere rapidamente l’obiettivo prefisso.

Ancora, avvalendosi di Kali GPT, si possono scrivere comandi Nmap complessi per scansioni complete delle porte, rilevamento del sistema operativo e identificazione delle versioni dei servizi in i uso.

Una richiesta del tipo “Give me a powerful Nmap command to scan a target for vulnerabilities” restituisce un comando Nmap che utilizza lo script engine NSE (–script vuln) e il rilevamento aggressivo della versione (-sV) per identificare vulnerabilità, insieme a flag come -sS (stealth scan), -T4 (timing template), -p- (tutte le porte). Kali GPT fornisce anche una spiegazione dettagliata di ciascun flag.

Kali GPT può generare comandi per scansioni Nikto, SQLMap e persino payload XSS (Cross-Site Scripting) di alta qualità. È in grado di analizzare screenshot per estrarre informazioni rilevanti e fornire risultati.

Lo strumento può automatizzare anche la creazione di strumenti Python, utilizzando librerie come requests e BeautifulSoup per abilitare interazioni Web. È in grado di convertire logiche manuali in script funzionali, come la creazione di uno script Python per il brute force di un pannello di login utilizzando liste di utenti e password. Sebbene Kali GPT enfatizzi l’uso etico, fornisce comunque script completi.

Web Hacking e Bug Bounty

Servendosi di Kali GPT, si può contare su un valido alleato per accelerare il processo di individuazione delle vulnerabilità. Il GPT personalizzato fornisce suggerimenti per verificare l’esistenza di vulnerabilità comuni come Directory Traversal, Local File Inclusion (LFI), Remote Code Execution (RCE).

È inoltre in grado di scrivere payload compatibili con Burp Repeater e di generare automazioni usando il modulo requests in Python, semplificando le attività di Web hacking.

Kali GPT si mostra uno strumento utilissimo anche per snellire il processo di stesura dei report sulle vulnerabilità, un compito spesso lungo e laborioso. Può infatti generare riassunti e modelli di report professionali, migliorando la qualità e l’efficienza della documentazione.

Red Team e Blue Team (rispettivamente, simulano attacchi informatici per identificare vulnerabilità, agendo come aggressori; difendono i sistemi, rilevando e rispondendo agli attacchi per proteggere l’infrastruttura) possono ricevere assistenza in tempo reale, ad esempio, per la scrittura di payload PowerShell e nello sviluppo di tecniche evolute; per l’analisi dei log e la scrittura di regole di rilevamento. Un esempio pratico include il parsing dei log di sistema per rilevare schemi di attacchi brute force.

Attenzione perché l’Hacking Etico non è riconosciuto in Italia

L’hacking etico è una pratica informatica che consiste nell’utilizzare le tecniche e gli strumenti tipici degli hacker, con l’obiettivo di individuare e correggere vulnerabilità nei sistemi informatici, al fine di migliorare la sicurezza e prevenire attacchi malevoli.

Il lavoro degli hacker etici è fondamentale per proteggere dati riservati, infrastrutture critiche e garantire la continuità operativa delle aziende. Tuttavia, in Italia (come in tantissimi altri Paesi) l’hacking etico non è ancora riconosciuto a livello normativo e giuridico: la mancanza di una regolamentazione chiara espone i professionisti a rischi legali, in quanto le attività possono essere interpretate come intrusioni non autorizzate nei sistemi informativi, veri e propri reati sul piano penale.

Già in passato abbiamo sottolineato l’importanza di introdurre programmi Bug Bounty di Stato, seguendo l’esempio della Svizzera e di altre giurisdizioni. Spesso, infatti, gli hacker etici evitano di segnalare vulnerabilità per evitare conseguenze legali. Uno scenario che non solo può, ma deve assolutamente cambiare.