ChatGPT, hayatımızda neleri değiştirecek? Siber güvenliği nasıl etkileyecek?

Kaspersky, ChatGPT'nin kullanımının yaygınlaşmasının siber güvenliğin yerleşik kurallarını nasıl değiştirebileceğini araştırıyor. OpenAI'nin bugüne kadarki en güçlü AI modellerinden biri olan ChatGPT3'ü piyasaya sürmesiyle birlikte araştırmalara hız verdi. ChatGPT-3, karmaşık bilimsel kavramları birçok iyi açıklayabiliyor, şarkı sözleri yazabiliyor ve kullanıcının isteğine göre hemen hemen her türlü metni oluşturabiliyor.

ChatGPT-3, insanlar tarafından yazılanlardan ayırt edilmesi oldukça zor metinler oluşturabilen bir yapay zekâ dil modeli olarak tanımlanıyor. Bu nedenle, siber suçlular bu teknolojiyi hedef odaklı kimlik avı saldırılarına uyarlamaya çalışıyor. Daha önce, kitlesel hedefli kimlik avı kampanyaları düzenlemekten suçluları alıkoyan ana engel, hedeflenen her bir kişiselleştirilmiş e-postayı yazmanın oldukça zahmetli olmasıydı. ChatGPT, saldırganların endüstriyel ölçekte ikna edici ve kişiselleştirilmiş kimlik avı e-postaları oluşturmasına izin verebileceğinden, oyunun kurallarını değiştirebileceği öngörülüyor. Hatta yazışmaları stilize ederek, bir çalışandan diğerine yazılmış gibi gözüken hayli inandırıcı -sahte- e-postalar bile oluşturabiliyor. Ne yazık ki bu, başarılı kimlik avı saldırılarının sayısının artabileceği anlamına geliyor.

Birçok kullanıcı, ChatGPT'nin kod yazabildiğini fark etti ve buna maalesef kötü amaçlı kodlar da dahil. Basit bir Infostealer virüsü oluşturmak, herhangi bir programlama becerisine sahip olmadan mümkün olacak gibi gözüküyor. Ancak, ChatGPT’nin dürüst kullanıcıların korkması için hiçbir sebep yok. Bir bot tarafından yazılan kod gerçekten kullanılıyorsa, güvenlik çözümleri bunu, geçmişte insanlar tarafından oluşturulan tüm kötü amaçlı yazılımlarda olduğu gibi hızlı bir şekilde algılayıp etkisiz hale getiriyor. Bazı analistler, ChatGPT'nin her belirli kurban için benzersiz kötü amaçlı yazılım oluşturabileceğinden endişe duysa da, bu örnekler de büyük olasılıkla bir güvenlik çözümleri tarafından fark edilecek davranışlar sergiliyor. Dahası, bot tarafından yazılan kötü amaçlı yazılımın ince hatalar ve mantıksal kusurlar içerdiği ve bunun da kötü amaçlı yazılım kodlamasının henüz tam anlamıyla optimize edilemediği anlamına geliyor.
 
ChatGPT bu yönleriyle saldırganlar için yararlı olsa da güvenliği sağlayanlar da bundan yararlanabiliyor. Örneğin, ChatGPT belirli bir kod parçasının ne yaptığını hızlı bir şekilde açıklama yeteneğine sahip. Bu yönüyle, yoğun mesai koşullarında çalışmak zorunda kalan analistlerin olaylara minimum miktarda zaman ayırmak zorunda kaldığı SOC koşullarında, kendi yarattığı problemin çözümü haline gelebiliyor. Kısaca, süreci hızlandırmak için herhangi bir araç memnuniyetle karşılanacak. Gelecekte, kullanıcıların kodu daha iyi anlamak için bir tersine mühendislik modeli, bir CTF çözme modeli, bir güvenlik açığı araştırma modeli ve daha fazlası gibi çok sayıda özel ürünle karşılaşacağı öngörülüyor.
 
Kaspersky'nin Güvenlik Analisti Vladislav Tushkanov, "ChatGPT tamamen kötü niyetli yazılımlar anlamında direkt olarak kötü niyetli bir şey yapmasa da saldırganlara çeşitli senaryolarda yardımcı olabilir; örneğin ikna edici hedefli kimlik avı e-postaları yazmak. Bununla birlikte, ChatGPT şu anda kesinlikle bir otonom hacker yapay zekâsı olma yeteneğine sahip değil. Sinir ağının (Neural Network) ürettiği kötü amaçlı kod, mutlaka bir miktar zarar verebilme yeteneğine sahip olacaktır ama yine de onu geliştirmek ve dağıtmak için yetenekli ve işinde uzman bir saldırgan gerekiyor.

ChatGPT'nin endüstri üzerinde şimdilik hemen bir etkisi olmamasına ve siber güvenlik konusunda bir “oyun değiştirici” olmamasına rağmen, bu durum gelecek nesillerle beraber mutlaka değişecektir. Önümüzdeki birkaç yıl içinde hem doğal dil hem de programlama kodu üzerine eğitilmiş büyük dil modellerinin siber güvenlikteki özel durumlara nasıl uyarlandığını görebiliriz. Bu değişiklikler, tehdit avcılığından olay müdahalesine kadar çok sayıda siber güvenlik faaliyetinin doğasını etkileyebilir. Bu nedenle, siber güvenlik şirketleri, bu teknolojinin siber suçlulara nasıl yardımcı olabileceğinin farkına vardıkları gibi, yeni araçların sağlayacağı olasılıkları da keşfetmek isteyeceklerdir." yorumunu yapıyor.

Gelin şimdi CHATGPT’yi daha incelemek için Bilişim Uzmanı ve Yazarı Stan Kaminsky’nin kaleme aldığı şu makaleye göz atalım. 

Makine öğreniminin ilkeleri yaklaşık yarım asır önce ortaya konmuş olsa da, uygulamada ancak son zamanlarda yaygınlaşabildiler. Bilgi işlem gücü arttıkça, bilgisayarlar önce resimlerdeki nesneleri ayırt etmeyi ve insanlardan daha iyi Go oynamayı, ardından metin açıklamalarına dayalı resimler çizmeyi ve tutarlı bir sohbet sürdürmeyi öğrendi. 2021–2022'de bilimsel atılımlar herkes tarafından erişilebilir hale geldi. Örneğin, MidJourney'e abone olabilir veya anında kendi kitaplarınızı resimleyebilirsiniz. Ve OpenAI nihayet büyük GPT-3 (Generative Pretrained Transformer 3) dil modelini ChatGPT aracılığıyla halka açtı. Bot, tutarlı bir sohbeti nasıl sürdürdüğünü, karmaşık bilimsel kavramları birçok öğretmenden daha iyi açıkladığını, metinleri diller arasında sanatsal bir şekilde çevirdiğini ve çok daha fazlasını kendi gözlerinizle görebileceğiniz chat.openai.com adresinde mevcuttur.
Yeni nesil chatbotlar, tutarlı ve anlamlı metinler oluşturur. Bu, hem siber suçlulara hem de siber savunuculara yardımcı olabilir.

ChatGPT'yi en temel özelliklerine indirgersek, dil modeli, hangi kelimelerin, cümlelerin ve paragrafların en sık yan yana yerleştirildiğini ve bunların birbiriyle nasıl ilişkili olduğunu "hatırladığı" devasa bir çevrimiçi metinler külliyatında eğitilir. Çok sayıda teknik hile ve insanla yapılan ek eğitim turlarının yardımıyla model, özellikle diyalog için optimize edilmiştir. "İnternette kesinlikle her şeyi bulabileceğiniz" için, model doğal olarak moda ve sanat tarihinden programlama ve kuantum fiziğine kadar neredeyse tüm konularda bir diyaloğu destekleyebilir.

Bilim adamları, gazeteciler ve sıradan meraklılar, ChatGPT için her zamankinden daha fazla uygulama buluyor. Müthiş ChatGPT istemleri web sitesinde, ChatGPT'yi Gandalf veya başka bir edebi karakter tarzında yanıt verecek, Python kodu yazacak, iş oluşturacak şekilde "değiştirmeye" izin veren bir istemler listesi (bir botla sohbet başlatmak için ifadeler) vardır. MektuplarI ve özgeçmişlerİ ve hatta bir Linux terminalini taklit eder.

Bununla birlikte, ChatGPT hala sadece bir dil modelidir, bu nedenle yukarıdakilerin tümü, kelimelerin yaygın kombinasyonlarından ve eşdizimlerinden başka bir şey değildir - içinde herhangi bir sebep veya mantık bulamazsınız. Bazen ChatGPT, örneğin var olmayan bilimsel araştırmalara atıfta bulunarak (birçok insan gibi) ikna edici saçmalıklar konuşur. Bu nedenle, ChatGPT içeriğine her zaman gereken özeni gösterin. Bununla birlikte, mevcut haliyle bile bot birçok pratik süreçte ve endüstride faydalıdır. 

İşte siber güvenlik alanında bazı örnekler:

Kötü amaçlı yazılım oluşturma

Acemi siber suçlular, yer altı bilgisayar korsanı forumlarında yeni Truva atları oluşturmak için ChatGPT'yi nasıl kullandıklarını bildiriyorlar. Bot kod yazabilir, bu nedenle, istenen işlevi kısa ve öz bir şekilde tanımlarsanız (“X dosyasındaki tüm şifreleri kaydedin ve HTTP POST yoluyla Y sunucusuna gönderin”), hiçbir programlama becerisine sahip olmadan basit bir bilgi hırsızı elde edebilirsiniz. Ancak, sıradan kullanıcılarının korkacak hiçbir şeyi yoktur. Bot tarafından yazılan kod gerçekten kullanılıyorsa, güvenlik çözümleri bunu, insanlar tarafından oluşturulan önceki tüm kötü amaçlı yazılımlar kadar hızlı ve verimli bir şekilde algılar ve etkisiz hale getirir. Dahası, bu tür bir kod deneyimli bir programcı tarafından kontrol edilmezse, kötü amaçlı yazılım muhtemelen onu daha az etkili hale getirecek ince hatalar ve mantıksal kusurlar içerebilir.

En azından şimdilik, botlar yalnızca acemi virüs yazarlarıyla rekabet edebiliyor.

Kötü amaçlı yazılım analizi

InfoSec analistleri yeni şüpheli uygulamaları incelerken, nasıl çalıştığını anlamaya çalışarak sözde kod veya makine kodu üzerinde tersine mühendislik yaparlar. Bu görev ChatGPT'ye tam olarak atanamasa da chatbot zaten belirli bir kod parçasının ne yaptığını hızlı bir şekilde açıklama yeteneğine sahiptir. Yazılımcı Ivan Kwiatkovski, IDA Pro için tam da bunu yapan bir eklenti geliştirdi. Kaputun altındaki dil modeli gerçekten ChatGPT değil, kuzeni davinci-003'tür, ancak bu tamamen teknik bir farktır. Bazen eklenti çalışmaz veya çöp üretir, ancak işlevlere otomatik olarak meşru adlar atadığı ve koddaki şifreleme algoritmalarını ve bunların parametrelerini belirlediği durumlarda, kit çantanızda bulundurmaya değer. Sürekli olarak aşırı yüklenmiş analistlerin her bir olaya minimum miktarda zaman ayırmak zorunda kaldığı SOC koşullarında kendi haline gelir, bu nedenle süreci hızlandırmak için herhangi bir araç memnuniyetle karşılanır.

Güvenlik açığı araması

Yukarıdaki yaklaşımın bir varyasyonu, güvenlik açığı bulunan kod için otomatik aramadır. Chatbot, derlenmiş bir uygulamanın sözde kodunu "okur" ve güvenlik açıkları içerebilecek yerleri belirler. Ayrıca bot, güvenlik açığından (PoC) yararlanma için tasarlanmış Python kodu sağlar. Elbette, bot hem güvenlik açıklarını ararken hem de PoC kodu yazarken her türlü hatayı yapabilir, ancak araç mevcut haliyle bile hem saldırganlar hem de savunanlar için kullanışlıdır.

Güvenlik Danışmanlığı

ChatGPT, insanların çevrim içi siber güvenlik hakkında söylediklerini bildiğinden, bu konudaki tavsiyeleri inandırıcı görünüyor. Ancak, herhangi bir chatbot tavsiyesinde olduğu gibi, tam olarak nereden geldiğini asla bilemezsiniz, bu nedenle her 10 harika ipucu için bir yanlış olabilir. Aynı şekilde, örneğin aşağıdaki ekran görüntüsündeki ipuçlarının tümü sağlamdır:

Kimlik avı ve BEC

İkna edici metinler, GPT-3 ve ChatGPT'nin güçlü bir noktasıdır, bu nedenle, sohbet robotlarını kullanan otomatik mızraklı kimlik avı saldırıları muhtemelen halihazırda gerçekleşmektedir. Toplu kimlik avı e-postalarının ana sorunu, doğrudan alıcıya hitap etmeyen çok fazla genel metinle doğru görünmemeleridir. Spear-phishing'e gelince, canlı bir siber suçlu tek bir kurbana e-posta yazdığında oldukça pahalıdır; bu nedenle, yalnızca hedefli saldırılarda kullanılır. ChatGPT, saldırganların endüstriyel ölçekte ikna edici ve kişiselleştirilmiş e-postalar oluşturmasına izin verdiği için güç dengesini büyük ölçüde değiştirecek şekilde ayarlanmıştır. Ancak bir e-postanın gerekli tüm bileşenleri içermesi için chatbot'a çok detaylı yönergeler verilmesi gerekir.

Ancak büyük kimlik avı saldırıları genellikle her biri yavaş yavaş kurbanın güvenini kazanan bir dizi e-postadan oluşur. Dolayısıyla, ikinci, üçüncü ve n. e-postalar için ChatGPT, siber suçlulara gerçekten çok zaman kazandıracak. Chatbot, konuşmanın içeriğini hatırladığından, sonraki e-postalar çok kısa ve basit bir istemden güzel bir şekilde oluşturulabilir.

Ayrıca kurbanın tepkisi kolayca modele aktarılabilir ve saniyeler içinde ikna edici bir takip sağlanır. Saldırganların kullanabileceği araçlar arasında stilize yazışmalar yer alır. Belirli bir stilin yalnızca küçük bir örneği verildiğinde, sohbet kutusu bunu sonraki mesajlara kolayca uygulayabilir. Bu, görünüşte bir çalışandan diğerine ikna edici sahte e-postalar oluşturmayı mümkün kılar.

Ne yazık ki bu, başarılı kimlik avı saldırılarının sayısının artacağı anlamına geliyor. Ve chatbot, e-posta, sosyal ağlar ve habercilerde eşit derecede ikna edici olacaktır.

Nasıl karşılık verilir? 

İçerik analizi uzmanları, aktif olarak chatbot metinlerini tespit eden araçlar geliştiriyor. Bu filtrelerin ne kadar etkili olacağını zaman gösterecek. Ancak şimdilik yalnızca iki standart ipucumuzu (uyanıklık ve siber güvenlik farkındalığı eğitimi) ve yeni bir tane önerebiliriz. Bot tarafından oluşturulan metinleri nasıl tespit edeceğinizi öğrenin. Matematiksel özellikler gözle tanınabilir değildir, ancak küçük biçimsel tuhaflıklar ve küçük uyumsuzluklar yine de robotları ele verir. İnsan ve makine tarafından yazılmış metin arasındaki farkı tespit edip edemediğinizi görmek için bu oyuna göz atın.