OpenAI’nin ChatGPT’si ve Microsoft’un Copilot’u gibi üretken yapay zeka (genAI) araçlarının tehlikeli etkilerine ilişkin tüm potansiyel kabuslardan biri listenin en başında yer alıyor: bunların bilgisayar korsanları tarafından tespit edilmesi zor kötü amaçlı kodlar oluşturmak için kullanılması. Daha da kötüsü, genAI’nın Rusya, İran ve Kuzey Kore gibi haydut devletlerin ABD ve müttefiklerine karşı durdurulamaz siber saldırılar başlatmasına yardımcı olabileceği korkusu.
Kötü haber: ulus devletler ABD’ye ve dostlarına saldırmak için genAI’yı kullanmaya başladı bile. İyi haber: Şu ana kadar saldırılar ne çok tehlikeli ne de çok etkili oldu. Daha da iyi haber: Microsoft ve OpenAI tehdidi ciddiye alıyor. Bu konuda şeffaf davranıyorlar, saldırıları açıkça anlatıyorlar ve bunlarla ilgili neler yapılabileceğini paylaşıyorlar.
Bununla birlikte yapay zeka destekli hackleme henüz emekleme aşamasındadır. Ve genAI hiçbir zaman karmaşık kötü amaçlı yazılımlar yazamasa bile, mevcut hackleme tekniklerini çok daha etkili hale getirmek için kullanılabilir; özellikle hedef odaklı kimlik avı ve en sağlam sistemlere bile sızmak için parola ve kimlik hırsızlığı gibi sosyal mühendislik teknikleri.
Bugüne kadar genAI saldırıları
Microsoft ve OpenAI kısa süre önce genAI tarafından oluşturulan bir dizi saldırıyı ortaya çıkardı ve şirketlerin bunlarla nasıl mücadele ettiğini ayrıntılarıyla anlattı. (Saldırılar, aynı zamanda Microsoft’un Copilot’unun da temeli olan OpenAI’nin ChatGPT’sine dayanıyordu; Microsoft, OpenAI’ye 13 milyar dolar yatırım yaptı.)
OpenAI bir blog yazısında açıklandı şirketin beş “devlete bağlı kötü niyetli aktörün” (Çin’e bağlı Charcoal Typhoon ve Salmon Typhoon) hackleme girişimlerini engellediğini; İran’a bağlı Kızıl Kum Fırtınası; Kuzey Kore’ye bağlı Emerald Sleet; ve Rusya’ya bağlı Forest Blizzard.
OpenAI, genel olarak grupların “açık kaynak bilgilerini sorgulamak, çeviri yapmak, kodlama hatalarını bulmak ve temel kodlama görevlerini yürütmek için OpenAI hizmetlerini” kullandığını söyledi.
Şirkete göre bunların hepsi oldukça sıradan bir hackleme. Örneğin, Charcoal Typhoon, “çeşitli şirketleri ve siber güvenlik araçlarını araştırmak, koddaki hataları ayıklamak ve komut dosyaları oluşturmak ve kimlik avı kampanyalarında kullanılması muhtemel içerik oluşturmak” için OpenAI hizmetlerini kullandı. Forest Blizzard bunları “uydu iletişim protokolleri ve radar görüntüleme teknolojisine yönelik açık kaynaklı araştırmaların yanı sıra komut dosyası oluşturma görevlerine destek sağlamak için” kullandı. Ve Crimson Sandstorm bunları “uygulama ve web geliştirmeyle ilgili komut dosyası desteği, hedef odaklı kimlik avı kampanyaları için içerik oluşturma ve kötü amaçlı yazılımların tespitten kaçabileceği yaygın yolları araştırmak” için kullandı.
Başka bir deyişle, henüz aşırı güçlü kodlama, tespitten kaçınmak için yeni teknikler veya ciddi ilerlemeler görmedik. Temel olarak OpenAI’nin araçları, mevcut kötü amaçlı yazılım ve bilgisayar korsanlığı kampanyalarına yardımcı olmak ve desteklemek için kullanıldı.
“Bu aktörlerin faaliyetleri, harici siber güvenlik uzmanlarıyla ortaklaşa yürüttüğümüz önceki kırmızı takım değerlendirmeleriyle tutarlıdır; bu değerlendirmeler, GPT-4’ün, kötü amaçlı siber güvenlik görevleri için, halka açık, yapay zeka olmayan araçlarla halihazırda elde edilebilenin ötesinde, yalnızca sınırlı, artan yetenekler sunduğunu tespit etmiştir. motorlu araçlar,” diye tamamladı OpenAI.
Microsoft ayrı bir blog gönderisinde OpenAI’yi tekrarladı, daha fazla ayrıntı sundu ve şirketin bilgisayar korsanlığıyla mücadele etmek için kullandığı çerçeveyi ortaya koydu: “Microsoft ve OpenAI, tehdit aktörlerinin yapay zeka kullanımından kaynaklanan özellikle yeni veya benzersiz yapay zeka destekli saldırı veya kötüye kullanma tekniklerini henüz gözlemlemedi.”
Ve şimdi kötü haber…
Microsoft ve OpenAI’nin genAI hackleme tehlikeleri ve bunlarla mücadele çabaları konusunda şeffaf olma kararı gibi bunları duymak güzel. Ancak genAI’nin henüz emekleme aşamasında olduğunu unutmayın. Sonunda bu teknolojinin çok daha etkili kötü amaçlı yazılımlar ve bilgisayar korsanlığı araçları oluşturma kapasitesine sahip olması durumunda şaşırmayın.
Bu asla gerçekleşmese bile endişelenecek çok şey var. Çünkü genAI mevcut teknikleri çok daha güçlü hale getirebilir. Bilgisayar korsanlığının kirli küçük sırrı, en başarılı ve tehlikeli saldırıların çoğunun, bilgisayar korsanlarının kullandığı kodun kalitesiyle hiçbir ilgisi olmamasıdır. Bunun yerine, insanları sistemlere sızmak ve ortalığı kasıp kavurmak için kullanılabilecek şifreleri veya diğer tanımlayıcı bilgileri vermeye ikna eden “sosyal mühendisliğe” yöneliyorlar.
Rus hükümetiyle bağlantılı Fancy Bear grubu, 2016 başkanlık seçimleri sırasında Hilary Clinton’ın kampanyasını bu şekilde hackledi, e-postalarını çaldı ve sonunda bunları kamuoyuna açıkladı. Grup, kampanya başkanı John Podesta’nın kişisel Gmail hesabına bir e-posta gönderdi. onu bunun Google tarafından gönderildiğine ikna etti ve şifresini değiştirmesi gerektiğini söyledi. Kötü amaçlı bir bağlantıya tıkladı, bilgisayar korsanları şifresini çaldı ve ardından bu kimlik bilgilerini kampanya ağına sızmak için kullandı.
Belki de en etkili sosyal mühendislik tekniği “hedef odaklı kimlik avı”, yalnızca kendilerinin bildiği bilgileri içeren e-postalar hazırlamak veya belirli kişilere telefon görüşmeleri yapmaktır. İşte genAI’nin parladığı yer burası. Devlet destekli hacker grupları genellikle iyi derecede İngilizce bilmemektedir ve hedef odaklı kimlik avı e-postaları kulağa orijinal gelmeyebilir. Ancak artık çok daha ikna edici e-postalar yazmak için ChatGPT veya Copilot’u kullanabilirler.
Aslında bunu zaten yapıyorlar. Ve daha da kötüsünü yapıyorlar.
Güvenlik şirketi olarak SlashNext açıklıyor“kötü amaçlı faaliyetler için özel olarak tasarlanmış” bir genAI aracı olan WormGPT adında bir araç seti halihazırda dolaşımdadır.
Site aracı eline aldı ve test etti. WormGPT’den “şüphelenmeyen bir hesap yöneticisine sahte bir fatura ödemesi için baskı yapmayı amaçlayan” bir e-posta hazırlaması istendi.
SlashNext’e göre “sonuçlar rahatsız ediciydi. WormGPT, yalnızca son derece ikna edici değil, aynı zamanda stratejik açıdan da kurnaz olan ve karmaşık kimlik avı ve BEC potansiyelini sergileyen bir e-posta üretti [business email compromise] saldırılar. Özetle ChatGPT’ye benzer ancak hiçbir etik sınırı veya sınırlaması yoktur. Bu deney, WormGPT gibi üretken yapay zeka teknolojilerinin acemi siber suçluların elinde bile oluşturduğu önemli tehdidin altını çiziyor.”
Bu bile genAI’nın yapabileceklerinin çok gerisinde kalıyor. Hedef odaklı kimlik avı saldırılarını daha ikna edici hale getirmek için kullanılabilecek sahte fotoğraflar ve sahte videolar oluşturabilir. İnsanlar hakkındaki kişisel bilgileri daha kolay bulmak için internet aramalarını güçlendirebilir. İnsanların seslerini taklit edebilir. (Patronunuza veya BT’den birine benzeyen birinden telefon aldığınızı hayal edin. Büyük ihtimalle size söyleneni yapacaksınız.)
Bütün bunlar bugün mümkün. Aslında SlashNext’e göre, ChatGPT’nin kullanıma sunulması, kimlik avı e-postalarında %1.265’lik bir artışa yol açtıŞirketin deyimiyle “üretken yapay zekanın desteklediği yeni bir siber suç çağının sinyalini veriyor”.
Bu da, OpenAI ve Microsoft’un genAI destekli bilgisayar korsanlığıyla mücadele etmek için yaptığı önemli çalışmalara rağmen, eskimiş saldırıların (hedef kimlik avı ve diğer sosyal mühendislik teknikleri) gelecekte karşılaşacağımız en büyük genAI hackleme tehlikesi olabileceği anlamına geliyor.
Telif Hakkı © 2024 IDG Communications, Inc.