ChatGPT: Üretkenlik aracı, şiir yazmak için harika ve… güvenlik riski mi?! Bu makalede, tehdit aktörlerinin ChatGPT’den nasıl yararlanabileceğinin yanı sıra savunmacıların da bunu oyunlarının seviyesini yükseltmek için nasıl kullanabileceğini gösteriyoruz.
ChatGPT bugüne kadarki en hızlı büyüyen tüketici uygulamasıdır. Son derece popüler olan üretken yapay zeka sohbet robotu, insan benzeri, tutarlı ve bağlamsal olarak alakalı yanıtlar üretme yeteneğine sahiptir. Bu onu içerik oluşturma, kodlama, eğitim, müşteri desteği ve hatta kişisel yardım gibi uygulamalar için çok değerli kılar.
Ancak ChatGPT aynı zamanda güvenlik risklerini de beraberinde getirir. ChatGPT, veri sızdırma, yanlış bilgi yayma, siber saldırılar geliştirme ve kimlik avı e-postaları yazma amacıyla kullanılabilir. Öte yandan, güvenlik açıklarını tespit etmek ve çeşitli savunmalar hakkında bilgi edinmek için onu kullanabilen savunmacılara da yardımcı olabilir.
Bu makalede, saldırganların ChatGPT ve OpenAI Playground’dan yararlanabilmesinin çeşitli yollarını gösteriyoruz. Aynı derecede önemli olarak, savunucuların güvenlik duruşlarını geliştirmek için ChatGPT’den yararlanabilecekleri yolları da gösteriyoruz.
Tehdit Aktörü – Hackleme Artık Kolaylaştı
ChatGPT, siber suç dünyasına girmek isteyen kişilerin işini kolaylaştırır. Sistemden yararlanmak için kullanılabileceği birkaç yol şunlardır:
- Güvenlik Açıklarını Bulma – Saldırganlar, web siteleri, sistemler, API’ler ve diğer ağ bileşenlerindeki potansiyel güvenlik açıkları hakkında ChatGPT’ye bilgi verebilir.
Güvenlik Stratejisi Kıdemli Direktörü Etay Maor’a göre Cato Ağları“ChatGPT’de ve Oyun Alanında kötü ya da şeytani bir şey yapmayı destekleyen yanıtlar vermelerini engelleyen korkuluklar var. Ancak ‘sosyal mühendislik’ yapay zeka bu duvarın etrafından bir yol bulmayı sağlıyor.”
Örneğin bu, bir web sitesinin giriş alanının güvenlik açıklarına karşı nasıl test edileceği konusunda bir kalem test cihazının kimliğine bürünülerek yapılabilir. ChatGPT’den gelen yanıt, giriş doğrulama testi, XSS testi, SQL enjeksiyon testi ve daha fazlası gibi web sitesi kullanım yöntemlerinin bir listesini içerecektir.
- Mevcut Güvenlik Açıklarından Yararlanma – ChatGPT ayrıca saldırganlara mevcut bir güvenlik açığından nasıl yararlanabilecekleri konusunda ihtiyaç duydukları teknolojik bilgileri de sağlayabilir. Örneğin, bir tehdit aktörü ChatGPT’ye bir web sitesi alanında bilinen bir SQL ekleme güvenlik açığının nasıl test edileceğini sorabilir. ChatGPT, güvenlik açığını tetikleyecek giriş örnekleriyle yanıt verecektir.
- Mimikatz’ı kullanma – Tehdit aktörleri ChatGPT’den Mimikatz’ı indirip çalıştıran kod yazmasını isteyebilir.
- Kimlik Avı E-postaları Yazma – ChatGPT’den çok çeşitli dillerde ve yazma stillerinde özgün görünümlü kimlik avı e-postaları oluşturması istenebilir. Aşağıdaki örnekte istem, e-postanın bir CEO’dan geliyormuş gibi yazılmasını talep ediyor.
- Gizli Dosyaları Tanımlama – ChatGPT, saldırganların gizli veri içeren dosyaları tanımlamasına yardımcı olabilir.
Aşağıdaki örnekte, ChatGPT’den “gizli” kelimesini içeren Doküman ve PDF dosyalarını arayan bir Python betiği yazması, bunları rastgele bir klasöre kopyalaması ve aktarması istenmektedir. Kod mükemmel olmasa da bu yeteneği geliştirmek isteyen bir kişi için iyi bir başlangıçtır. İstemler ayrıca daha karmaşık olabilir ve şifrelemeyi, fidye parası için bir Bitcoin cüzdanı oluşturmayı ve daha fazlasını içerebilir.
Defender – Savunma Kolaylaştı
ChatGPT savunmacı yeteneklerini geliştirmek için de kullanılabilir ve kullanılmalıdır. Etay Maor’a göre, “ChatGPT aynı zamanda Savunmacılar ve güvenliğe girmek isteyenler için çıtayı iyi anlamda düşürüyor.” İşte profesyonellerin güvenlik uzmanlıklarını ve yeteneklerini geliştirebilecekleri çeşitli yollar.
- Yeni Terimler ve Teknolojileri Öğrenmek – ChatGPT, yeni terimleri, teknolojileri, süreçleri ve metodolojileri araştırmak ve öğrenmek için gereken süreyi kısaltabilir. Güvenlikle ilgili sorulara anında, doğru ve özlü yanıtlar sağlar.
Aşağıdaki örnekte ChatGPT, belirli bir snort kuralının ne olduğunu açıklamaktadır.
- Güvenlik Raporlarını Özetleme – ChatGPT, ihlal raporlarının özetlenmesine yardımcı olarak analistlerin saldırıların nasıl gerçekleştirildiğini öğrenmesine yardımcı olarak gelecekte tekrarlanmalarını önleyebilir.
- Saldırgan Kodunu Çözme – Analistler, saldırgan kodunu ChatGPT’ye yükleyebilir ve atılan adımlar ve yürütülen yük hakkında bir açıklama alabilir.
- Saldırı Yollarını Tahmin Etmek – ChatGPT, geçmişteki benzer siber saldırıları ve kullanılan teknikleri analiz ederek bir saldırının gelecekteki olası saldırı yollarını tahmin edebilir.
- Tehdit Aktörlerinin ve Saldırı Yollarının Araştırılması – Son saldırıları, teknik verileri, çerçevelerle eşlemeyi ve daha fazlasını içeren bir tehdit aktörünün haritasını çıkaran bir rapor sağlamak. Bu örnekte ALPHV Ransomware grubu hakkında ayrıntılı, teknik bir rapor verilmektedir.
- Kod Güvenlik Açıklarını Belirleme – Mühendisler ChatGPT’ye kod yapıştırabilir ve herhangi bir güvenlik açığını tespit etmesini isteyebilir. ChatGPT, hiçbir hata olmadığında, yalnızca mantıksal bir hata olduğunda bile güvenlik açıklarını tanımlayabilir. Yüklediğiniz koda dikkat edin. Özel veriler içeriyorsa, bunları harici olarak ifşa ediyor olabilirsiniz.
- Günlüklerdeki Şüpheli Faaliyetleri Belirleme – Günlük etkinliğini incelemek ve şüpheli etkinlikleri aramak.
- Savunmasız Web Sayfalarını Belirleme – Web geliştiricileri veya güvenlik uzmanları, ChatGPT’den bir web sitesinin HTML kodunu incelemesini ve SQL enjeksiyonlarını, CSRF saldırılarını, XSS saldırılarını veya DDoS saldırılarını etkinleştirebilecek güvenlik açıklarını belirlemesini isteyebilir.
ChatGPT Kullanırken Dikkat Edilmesi Gereken Ek Hususlar
ChatGPT’yi kullanırken aşağıdaki faktörlerin önemini kabul etmek önemlidir:
- Telif hakları – Oluşturulan içeriğin sahibi kim? ChatGPT’ye sorulduğunda cevap, istemi yazan kişinin bunların sahibi olduğudur. Ancak durum bu kadar basit değil. Bu sorun hala tam anlamıyla çözülmüş değil ve çeşitli hukuk sistemlerine ve içtihatlara bağlı olacak. Şu anda bu konuyla ilgili bir yasa metni ortaya çıkıyor.
- Veri saklama – OpenAI, eğitim veya diğer araştırma amaçları için bilgi istemi olarak kullanılan verilerin bir kısmını saklayabilir. Bu nedenle dikkatli olmak ve hassas verileri uygulamaya yapıştırmaktan kaçınmak önemlidir.
- Mahremiyet – ChatGPT’yi çevreleyen, kendisinden istenen verileri nasıl kullandığından kullanıcı etkileşimlerini nasıl sakladığına kadar değişen gizlilik sorunları vardır. Bu nedenle uygulamaya PII veya müşteri verilerinin girilmesinden kaçınılması önerilir.
- Ön yargı – ChatGPT önyargıya tabidir. Örneğin, grupları zekaya göre derecelendirmeniz istendiğinde, belirli etnik kökenleri diğerlerinden önce sıraladı. Yanıtları körü körüne kullanmak bireyler için önemli sonuçlar doğurabilir. Örneğin, mahkemelerde karar alma sürecine, polis profili oluşturma, işe alım süreçlerine ve daha fazlasına rehberlik etmek için kullanılıyorsa.
- Kesinlik – ChatGPT’nin sonuçlarını doğrulamak önemlidir, çünkü bunlar her zaman doğru değildir (yani ‘halüsinasyonlar’). Aşağıdaki örnekte, ChatGPT’den B ile başlayan ve KE ile biten beş harfli kelimelerden oluşan bir liste yazması istenmiştir. Cevaplardan biri “Bisiklet” idi.
- Yapay Zeka ve Yapay Zeka – Şu anda ChatGPT, istenen metnin yapay zeka tarafından yazılıp yazılmadığını belirleyemiyor. Gelecekte, güvenlik çabalarına yardımcı olabilecek daha yeni sürümler mümkün olabilir. Örneğin, bu yetenek kimlik avı e-postalarının belirlenmesine yardımcı olabilir.
Etay şöyle özetliyor: “İlerlemeyi durduramayız ancak insanlara bu araçların nasıl kullanılacağını öğretmemiz gerekiyor.”
Güvenlik profesyonellerinin ChatGPT’den en iyi şekilde nasıl yararlanabilecekleri hakkında daha fazla bilgi edinmek için, Masterclass’ın tamamını buradan izleyin.
