Saldırgan ve Savunmacı Yapay Zeka: Gelin Bu Konuda Konuşalım(GPT) - Dünyadan Güncel Teknoloji Haberleri

Saldırgan ve Savunmacı Yapay Zeka: Gelin Bu Konuda Konuşalım(GPT) - Dünyadan Güncel Teknoloji Haberleri

  • Güvenlik Raporlarını Özetleme – ChatGPT, ihlal raporlarının özetlenmesine yardımcı olarak analistlerin saldırıların nasıl gerçekleştirildiğini öğrenmesine yardımcı olarak gelecekte tekrarlanmalarını önleyebilir Aşağıdaki örnekte istem, e-postanın bir CEO’dan geliyormuş gibi yazılmasını talep ediyor Etay Maor’a göre, “ChatGPT aynı zamanda Savunmacılar ve güvenliğe girmek isteyenler için çıtayı iyi anlamda düşürüyor İstemler ayrıca daha karmaşık olabilir ve şifrelemeyi, fidye parası için bir Bitcoin cüzdanı oluşturmayı ve daha fazlasını içerebilir
  • Günlüklerdeki Şüpheli Faaliyetleri Belirleme – Günlük etkinliğini incelemek ve şüpheli etkinlikleri aramak

    Güvenlik Stratejisi Kıdemli Direktörü Etay Maor’a göre Cato Ağları“ChatGPT’de ve Oyun Alanında kötü ya da şeytani bir şey yapmayı destekleyen yanıtlar vermelerini engelleyen korkuluklar var ChatGPT’den gelen yanıt, giriş doğrulama testi, XSS testi, SQL enjeksiyon testi ve daha fazlası gibi web sitesi kullanım yöntemlerinin bir listesini içerecektir Öte yandan, güvenlik açıklarını tespit etmek ve çeşitli savunmalar hakkında bilgi edinmek için onu kullanabilen savunmacılara da yardımcı olabilir Bu nedenle uygulamaya PII veya müşteri verilerinin girilmesinden kaçınılması önerilir Örneğin, bu yetenek kimlik avı e-postalarının belirlenmesine yardımcı olabilir

  • Yapay Zeka ve Yapay Zeka – Şu anda ChatGPT, istenen metnin yapay zeka tarafından yazılıp yazılmadığını belirleyemiyor
  • Kod Güvenlik Açıklarını Belirleme – Mühendisler ChatGPT’ye kod yapıştırabilir ve herhangi bir güvenlik açığını tespit etmesini isteyebilir
  • Saldırgan Kodunu Çözme – Analistler, saldırgan kodunu ChatGPT’ye yükleyebilir ve atılan adımlar ve yürütülen yük hakkında bir açıklama alabilir
  • Kesinlik – ChatGPT’nin sonuçlarını doğrulamak önemlidir, çünkü bunlar her zaman doğru değildir (yani ‘halüsinasyonlar’) Örneğin, grupları zekaya göre derecelendirmeniz istendiğinde, belirli etnik kökenleri diğerlerinden önce sıraladı
  • Veri saklama – OpenAI, eğitim veya diğer araştırma amaçları için bilgi istemi olarak kullanılan verilerin bir kısmını saklayabilir
  • Kimlik Avı E-postaları Yazma – ChatGPT’den çok çeşitli dillerde ve yazma stillerinde özgün görünümlü kimlik avı e-postaları oluşturması istenebilir Örneğin, bir tehdit aktörü ChatGPT’ye bir web sitesi alanında bilinen bir SQL ekleme güvenlik açığının nasıl test edileceğini sorabilir Bu sorun hala tam anlamıyla çözülmüş değil ve çeşitli hukuk sistemlerine ve içtihatlara bağlı olacak
  • Mahremiyet – ChatGPT’yi çevreleyen, kendisinden istenen verileri nasıl kullandığından kullanıcı etkileşimlerini nasıl sakladığına kadar değişen gizlilik sorunları vardır ” İşte profesyonellerin güvenlik uzmanlıklarını ve yeteneklerini geliştirebilecekleri çeşitli yollar

Etay şöyle özetliyor: “İlerlemeyi durduramayız ancak insanlara bu araçların nasıl kullanılacağını öğretmemiz gerekiyor Yanıtları körü körüne kullanmak bireyler için önemli sonuçlar doğurabilir

  • Gizli Dosyaları Tanımlama – ChatGPT, saldırganların gizli veri içeren dosyaları tanımlamasına yardımcı olabilir Güvenlikle ilgili sorulara anında, doğru ve özlü yanıtlar sağlar Aynı derecede önemli olarak, savunucuların güvenlik duruşlarını geliştirmek için ChatGPT’den yararlanabilecekleri yolları da gösteriyoruz Sistemden yararlanmak için kullanılabileceği birkaç yol şunlardır:

    • Güvenlik Açıklarını Bulma – Saldırganlar, web siteleri, sistemler, API’ler ve diğer ağ bileşenlerindeki potansiyel güvenlik açıkları hakkında ChatGPT’ye bilgi verebilir

      • Yeni Terimler ve Teknolojileri Öğrenmek – ChatGPT, yeni terimleri, teknolojileri, süreçleri ve metodolojileri araştırmak ve öğrenmek için gereken süreyi kısaltabilir ChatGPT, veri sızdırma, yanlış bilgi yayma, siber saldırılar geliştirme ve kimlik avı e-postaları yazma amacıyla kullanılabilir Bu nedenle dikkatli olmak ve hassas verileri uygulamaya yapıştırmaktan kaçınmak önemlidir Bu örnekte ALPHV Ransomware grubu hakkında ayrıntılı, teknik bir rapor verilmektedir Kod mükemmel olmasa da bu yeteneği geliştirmek isteyen bir kişi için iyi bir başlangıçtır

        Tehdit Aktörü – Hackleme Artık Kolaylaştı

        ChatGPT, siber suç dünyasına girmek isteyen kişilerin işini kolaylaştırır

      Aşağıdaki örnekte, ChatGPT’den “gizli” kelimesini içeren Doküman ve PDF dosyalarını arayan bir Python betiği yazması, bunları rastgele bir klasöre kopyalaması ve aktarması istenmektedir ”

      Örneğin bu, bir web sitesinin giriş alanının güvenlik açıklarına karşı nasıl test edileceği konusunda bir kalem test cihazının kimliğine bürünülerek yapılabilir ChatGPT, güvenlik açığını tetikleyecek giriş örnekleriyle yanıt verecektir

    • Mimikatz’ı kullanma – Tehdit aktörleri ChatGPT’den Mimikatz’ı indirip çalıştıran kod yazmasını isteyebilir
    ChatGPT Kullanırken Dikkat Edilmesi Gereken Ek Hususlar

    ChatGPT’yi kullanırken aşağıdaki faktörlerin önemini kabul etmek önemlidir:

    • Telif hakları – Oluşturulan içeriğin sahibi kim? ChatGPT’ye sorulduğunda cevap, istemi yazan kişinin bunların sahibi olduğudur
    • Tehdit Aktörlerinin ve Saldırı Yollarının Araştırılması – Son saldırıları, teknik verileri, çerçevelerle eşlemeyi ve daha fazlasını içeren bir tehdit aktörünün haritasını çıkaran bir rapor sağlamak
    • Ön yargı – ChatGPT önyargıya tabidir Aşağıdaki örnekte, ChatGPT’den B ile başlayan ve KE ile biten beş harfli kelimelerden oluşan bir liste yazması istenmiştir ChatGPT, hiçbir hata olmadığında, yalnızca mantıksal bir hata olduğunda bile güvenlik açıklarını tanımlayabilir


      07 Kasım 2023Hacker HaberleriYapay Zeka / Veri Güvenliği

      ChatGPT: Üretkenlik aracı, şiir yazmak için harika ve… güvenlik riski mi?! Bu makalede, tehdit aktörlerinin ChatGPT’den nasıl yararlanabileceğinin yanı sıra savunmacıların da bunu oyunlarının seviyesini yükseltmek için nasıl kullanabileceğini gösteriyoruz Şu anda bu konuyla ilgili bir yasa metni ortaya çıkıyor ”

      Güvenlik profesyonellerinin ChatGPT’den en iyi şekilde nasıl yararlanabilecekleri hakkında daha fazla bilgi edinmek için, Masterclass’ın tamamını buradan izleyin Örneğin, mahkemelerde karar alma sürecine, polis profili oluşturma, işe alım süreçlerine ve daha fazlasına rehberlik etmek için kullanılıyorsa Gelecekte, güvenlik çabalarına yardımcı olabilecek daha yeni sürümler mümkün olabilir Yüklediğiniz koda dikkat edin

    • Mevcut Güvenlik Açıklarından Yararlanma – ChatGPT ayrıca saldırganlara mevcut bir güvenlik açığından nasıl yararlanabilecekleri konusunda ihtiyaç duydukları teknolojik bilgileri de sağlayabilir Bu onu içerik oluşturma, kodlama, eğitim, müşteri desteği ve hatta kişisel yardım gibi uygulamalar için çok değerli kılar

      ChatGPT bugüne kadarki en hızlı büyüyen tüketici uygulamasıdır Cevaplardan biri “Bisiklet” idi Özel veriler içeriyorsa, bunları harici olarak ifşa ediyor olabilirsiniz

    • Savunmasız Web Sayfalarını Belirleme – Web geliştiricileri veya güvenlik uzmanları, ChatGPT’den bir web sitesinin HTML kodunu incelemesini ve SQL enjeksiyonlarını, CSRF saldırılarını, XSS saldırılarını veya DDoS saldırılarını etkinleştirebilecek güvenlik açıklarını belirlemesini isteyebilir Ancak ‘sosyal mühendislik’ yapay zeka bu duvarın etrafından bir yol bulmayı sağlıyor

      Defender – Savunma Kolaylaştı

      ChatGPT savunmacı yeteneklerini geliştirmek için de kullanılabilir ve kullanılmalıdır

    • Saldırı Yollarını Tahmin Etmek – ChatGPT, geçmişteki benzer siber saldırıları ve kullanılan teknikleri analiz ederek bir saldırının gelecekteki olası saldırı yollarını tahmin edebilir

    Aşağıdaki örnekte ChatGPT, belirli bir snort kuralının ne olduğunu açıklamaktadır Son derece popüler olan üretken yapay zeka sohbet robotu, insan benzeri, tutarlı ve bağlamsal olarak alakalı yanıtlar üretme yeteneğine sahiptir Ancak durum bu kadar basit değil

    Ancak ChatGPT aynı zamanda güvenlik risklerini de beraberinde getirir



    siber-2

    Bu makalede, saldırganların ChatGPT ve OpenAI Playground’dan yararlanabilmesinin çeşitli yollarını gösteriyoruz