Saldırgan ve Savunmacı Yapay Zeka: Gelin Bu Konuda Konuşalım(GPT) - Dünyadan Güncel Teknoloji Haberleri

Saldırgan ve Savunmacı Yapay Zeka: Gelin Bu Konuda Konuşalım(GPT) - Dünyadan Güncel Teknoloji Haberleri
Örneğin, bu yetenek kimlik avı e-postalarının belirlenmesine yardımcı olabilir

Etay şöyle özetliyor: “İlerlemeyi durduramayız ancak insanlara bu araçların nasıl kullanılacağını öğretmemiz gerekiyor

Aşağıdaki örnekte ChatGPT, belirli bir snort kuralının ne olduğunu açıklamaktadır ChatGPT, hiçbir hata olmadığında, yalnızca mantıksal bir hata olduğunda bile güvenlik açıklarını tanımlayabilir

  • Savunmasız Web Sayfalarını Belirleme – Web geliştiricileri veya güvenlik uzmanları, ChatGPT’den bir web sitesinin HTML kodunu incelemesini ve SQL enjeksiyonlarını, CSRF saldırılarını, XSS saldırılarını veya DDoS saldırılarını etkinleştirebilecek güvenlik açıklarını belirlemesini isteyebilir


    07 Kasım 2023Hacker HaberleriYapay Zeka / Veri Güvenliği

    ChatGPT: Üretkenlik aracı, şiir yazmak için harika ve… güvenlik riski mi?! Bu makalede, tehdit aktörlerinin ChatGPT’den nasıl yararlanabileceğinin yanı sıra savunmacıların da bunu oyunlarının seviyesini yükseltmek için nasıl kullanabileceğini gösteriyoruz



    siber-2

  • Tehdit Aktörlerinin ve Saldırı Yollarının Araştırılması – Son saldırıları, teknik verileri, çerçevelerle eşlemeyi ve daha fazlasını içeren bir tehdit aktörünün haritasını çıkaran bir rapor sağlamak
  • Ön yargı – ChatGPT önyargıya tabidir
  • Gizli Dosyaları Tanımlama – ChatGPT, saldırganların gizli veri içeren dosyaları tanımlamasına yardımcı olabilir ChatGPT, güvenlik açığını tetikleyecek giriş örnekleriyle yanıt verecektir

    Ancak ChatGPT aynı zamanda güvenlik risklerini de beraberinde getirir Aşağıdaki örnekte, ChatGPT’den B ile başlayan ve KE ile biten beş harfli kelimelerden oluşan bir liste yazması istenmiştir ChatGPT’den gelen yanıt, giriş doğrulama testi, XSS testi, SQL enjeksiyon testi ve daha fazlası gibi web sitesi kullanım yöntemlerinin bir listesini içerecektir Kod mükemmel olmasa da bu yeteneği geliştirmek isteyen bir kişi için iyi bir başlangıçtır

  • Saldırı Yollarını Tahmin Etmek – ChatGPT, geçmişteki benzer siber saldırıları ve kullanılan teknikleri analiz ederek bir saldırının gelecekteki olası saldırı yollarını tahmin edebilir Örneğin, mahkemelerde karar alma sürecine, polis profili oluşturma, işe alım süreçlerine ve daha fazlasına rehberlik etmek için kullanılıyorsa ”

    Örneğin bu, bir web sitesinin giriş alanının güvenlik açıklarına karşı nasıl test edileceği konusunda bir kalem test cihazının kimliğine bürünülerek yapılabilir

  • Kimlik Avı E-postaları Yazma – ChatGPT’den çok çeşitli dillerde ve yazma stillerinde özgün görünümlü kimlik avı e-postaları oluşturması istenebilir
  • Mahremiyet – ChatGPT’yi çevreleyen, kendisinden istenen verileri nasıl kullandığından kullanıcı etkileşimlerini nasıl sakladığına kadar değişen gizlilik sorunları vardır
  • Veri saklama – OpenAI, eğitim veya diğer araştırma amaçları için bilgi istemi olarak kullanılan verilerin bir kısmını saklayabilir
  • ChatGPT Kullanırken Dikkat Edilmesi Gereken Ek Hususlar

    ChatGPT’yi kullanırken aşağıdaki faktörlerin önemini kabul etmek önemlidir:

    • Telif hakları – Oluşturulan içeriğin sahibi kim? ChatGPT’ye sorulduğunda cevap, istemi yazan kişinin bunların sahibi olduğudur
    • Kod Güvenlik Açıklarını Belirleme – Mühendisler ChatGPT’ye kod yapıştırabilir ve herhangi bir güvenlik açığını tespit etmesini isteyebilir Yüklediğiniz koda dikkat edin

      Tehdit Aktörü – Hackleme Artık Kolaylaştı

      ChatGPT, siber suç dünyasına girmek isteyen kişilerin işini kolaylaştırır Aşağıdaki örnekte istem, e-postanın bir CEO’dan geliyormuş gibi yazılmasını talep ediyor ChatGPT, veri sızdırma, yanlış bilgi yayma, siber saldırılar geliştirme ve kimlik avı e-postaları yazma amacıyla kullanılabilir

      ChatGPT bugüne kadarki en hızlı büyüyen tüketici uygulamasıdır

    • Saldırgan Kodunu Çözme – Analistler, saldırgan kodunu ChatGPT’ye yükleyebilir ve atılan adımlar ve yürütülen yük hakkında bir açıklama alabilir Bu örnekte ALPHV Ransomware grubu hakkında ayrıntılı, teknik bir rapor verilmektedir

      • Yeni Terimler ve Teknolojileri Öğrenmek – ChatGPT, yeni terimleri, teknolojileri, süreçleri ve metodolojileri araştırmak ve öğrenmek için gereken süreyi kısaltabilir Örneğin, grupları zekaya göre derecelendirmeniz istendiğinde, belirli etnik kökenleri diğerlerinden önce sıraladı

      • Mevcut Güvenlik Açıklarından Yararlanma – ChatGPT ayrıca saldırganlara mevcut bir güvenlik açığından nasıl yararlanabilecekleri konusunda ihtiyaç duydukları teknolojik bilgileri de sağlayabilir

        Bu makalede, saldırganların ChatGPT ve OpenAI Playground’dan yararlanabilmesinin çeşitli yollarını gösteriyoruz Bu nedenle dikkatli olmak ve hassas verileri uygulamaya yapıştırmaktan kaçınmak önemlidir Cevaplardan biri “Bisiklet” idi

        Defender – Savunma Kolaylaştı

        ChatGPT savunmacı yeteneklerini geliştirmek için de kullanılabilir ve kullanılmalıdır Gelecekte, güvenlik çabalarına yardımcı olabilecek daha yeni sürümler mümkün olabilir

        • Güvenlik Raporlarını Özetleme – ChatGPT, ihlal raporlarının özetlenmesine yardımcı olarak analistlerin saldırıların nasıl gerçekleştirildiğini öğrenmesine yardımcı olarak gelecekte tekrarlanmalarını önleyebilir

          Güvenlik Stratejisi Kıdemli Direktörü Etay Maor’a göre Cato Ağları“ChatGPT’de ve Oyun Alanında kötü ya da şeytani bir şey yapmayı destekleyen yanıtlar vermelerini engelleyen korkuluklar var Şu anda bu konuyla ilgili bir yasa metni ortaya çıkıyor ”

          Güvenlik profesyonellerinin ChatGPT’den en iyi şekilde nasıl yararlanabilecekleri hakkında daha fazla bilgi edinmek için, Masterclass’ın tamamını buradan izleyin

        • Kesinlik – ChatGPT’nin sonuçlarını doğrulamak önemlidir, çünkü bunlar her zaman doğru değildir (yani ‘halüsinasyonlar’) Öte yandan, güvenlik açıklarını tespit etmek ve çeşitli savunmalar hakkında bilgi edinmek için onu kullanabilen savunmacılara da yardımcı olabilir Etay Maor’a göre, “ChatGPT aynı zamanda Savunmacılar ve güvenliğe girmek isteyenler için çıtayı iyi anlamda düşürüyor Örneğin, bir tehdit aktörü ChatGPT’ye bir web sitesi alanında bilinen bir SQL ekleme güvenlik açığının nasıl test edileceğini sorabilir Özel veriler içeriyorsa, bunları harici olarak ifşa ediyor olabilirsiniz
        • Mimikatz’ı kullanma – Tehdit aktörleri ChatGPT’den Mimikatz’ı indirip çalıştıran kod yazmasını isteyebilir İstemler ayrıca daha karmaşık olabilir ve şifrelemeyi, fidye parası için bir Bitcoin cüzdanı oluşturmayı ve daha fazlasını içerebilir ” İşte profesyonellerin güvenlik uzmanlıklarını ve yeteneklerini geliştirebilecekleri çeşitli yollar
        • Günlüklerdeki Şüpheli Faaliyetleri Belirleme – Günlük etkinliğini incelemek ve şüpheli etkinlikleri aramak
        • Yapay Zeka ve Yapay Zeka – Şu anda ChatGPT, istenen metnin yapay zeka tarafından yazılıp yazılmadığını belirleyemiyor Son derece popüler olan üretken yapay zeka sohbet robotu, insan benzeri, tutarlı ve bağlamsal olarak alakalı yanıtlar üretme yeteneğine sahiptir Bu sorun hala tam anlamıyla çözülmüş değil ve çeşitli hukuk sistemlerine ve içtihatlara bağlı olacak Ancak ‘sosyal mühendislik’ yapay zeka bu duvarın etrafından bir yol bulmayı sağlıyor Ancak durum bu kadar basit değil Yanıtları körü körüne kullanmak bireyler için önemli sonuçlar doğurabilir

        Aşağıdaki örnekte, ChatGPT’den “gizli” kelimesini içeren Doküman ve PDF dosyalarını arayan bir Python betiği yazması, bunları rastgele bir klasöre kopyalaması ve aktarması istenmektedir Aynı derecede önemli olarak, savunucuların güvenlik duruşlarını geliştirmek için ChatGPT’den yararlanabilecekleri yolları da gösteriyoruz Sistemden yararlanmak için kullanılabileceği birkaç yol şunlardır:

        • Güvenlik Açıklarını Bulma – Saldırganlar, web siteleri, sistemler, API’ler ve diğer ağ bileşenlerindeki potansiyel güvenlik açıkları hakkında ChatGPT’ye bilgi verebilir Güvenlikle ilgili sorulara anında, doğru ve özlü yanıtlar sağlar Bu onu içerik oluşturma, kodlama, eğitim, müşteri desteği ve hatta kişisel yardım gibi uygulamalar için çok değerli kılar Bu nedenle uygulamaya PII veya müşteri verilerinin girilmesinden kaçınılması önerilir