ChatGPT siber güvenliği nasıl etkileyecek?

Yeni nesil sohbet robotları, tutarlı ve anlamlı metinler oluşturuyor. Bu durum hem siber suçlulara, hem de bu suçluların hedefindeki kişilere yardımcı olabilir.

Makine öğrenmesinin ilkeleri neredeyse yarım yüzyıl önce ortaya koyulmuş olsa da, yaygın şekilde uygulamaya ancak kısa bir süre önce geçilebildi. Bilgisayar gücü arttıkça, bilgisayarlar önce görsellerdeki nesneleri ayırt etmeyi ve Go oyununu insanlardan daha iyi oynamayı, sonra da metin halindeki açıklamalara göre resim çizmeyi ve tutarlı şekilde sohbet etmeyi öğrendi. 2021-2022 yıllarında bilimsel mucizeler herkes için erişilebilir hale geldi. Örneğin MidJourney‘e abone olabilir ve kendi kitaplarınızın çizimini hemen yapabilirsiniz. OpenAI da sonunda geniş kapsamlı GPT-3 (Jeneratif Ön Eğitimli Dönüştürücü 3) dil modelini, ChatGPT üzerinden herkesin erişimine açtı. Bu robotun yer aldığı chat.openai.com sitesine giderek robotun nasıl tutarlı bir şekilde sohbet ettiğini, karmaşık bilimsel konuları birçok öğretmenden daha iyi açıkladığını, diller arasında sanatsal şekilde çeviri yapabildiğini ve çok daha fazlasını kendi gözlerinizle görebilirsiniz.

“Büyüteci olan bir cüce, veri depolama sunucuları arasında kaybolmuş” talebine karşılık olarak Midjourney tarafından oluşturulan görsel

ChatGPT’nin temeline inecek olursak bu dil modeli, çevrimiçi ortamdaki metinlerden oluşan devasa bir kütüphane ile eğitiliyor. Model, söz konusu kütüphaneden en sık hangi sözcük, cümle ve paragrafların birbirini izlediğini ve aralarında nasıl bir bağlantı olduğunu “hatırlıyor”. Çok sayıda teknik incelik ve insanlarla yapılan eğitimlerden destek alınan bu model, özellikle diyalog kurmak için optimize edildi. “İnternette her şeyi bulabileceğiniz” için bu model de doğal olarak neredeyse her konuda diyalog kurabiliyor; modadan sanat tarihine, programlamadan kuantum fiziğine kadar her şey hakkında sohbet edebiliyor.

Bilim insanları, gazeteciler ve bu işin meraklıları, ChatGPT için giderek daha fazla sayıda uygulama buluyor. Harika ChatGPT komutları web sitesinde bulunan komutlarla (robotla konuşma başlatmak için kullanılan ifadeler) ChatGPT’nin konuyu “değiştirmesini” sağlayabiliyorsunuz. Böylece Gandalf veya başka bir edebi karakter tarzında konuşabiliyor, Python kodu yazabiliyor, iş mektubu ve özgeçmiş oluşturabiliyor, hatta bir Linux terminalini bile taklit edebiliyor. Bütün bunlara rağmen, ChatGPT hâlâ yalnızca bir dil modeli. Yani yukarıda belirtilenler, sözcüklerin bir araya getirilmiş hallerinden başka bir şey değil; bu sohbetlerde herhangi bir neden veya mantık bulamazsınız. Bazen ChatGPT, ikna edici şekilde saçmalayabiliyor (birçok insanın yaptığı gibi); örneğin aslında var olmayan bilimsel çalışmalara atıf yapabiliyor. Bu yüzden, ChatGPT içeriklerine her zaman için dikkatle yaklaşmanız gerekiyor. Yeri gelmişken belirtmek gerekir ki bu robot şu anki halinde bile birçok uygulama süreci ve sektör için fayda sağlıyor. Siber güvenlik alanından birkaç örneğe bakalım.

Kötü amaçlı yazılım oluşturma

Yer altı bilgisayar korsanı forumlarında acemi siber suçlular, ChatGPT’yi kullanarak nasıl yeni Truva Atları oluşturduklarından bahsediyor. Robot kod yazabiliyor. Dolayısıyla, istediğiniz fonksiyonu kısaca tanımlamanız halinde (örneğin “tüm parolaları X dosyasına kaydet ve HTTP POST aracılığıyla Y sunucusuna gönder”), hiç programlama bilginiz olmasa dahi basit bir bilgi hırsızı elde edebiliyorsunuz. Ancak, dürüst kişilerin bundan korkmasına gerek yok. Robot tarafından yazılan kodun gerçekten kullanılması halinde güvenlik çözümleri, bu kodu da insanlar tarafından oluşturulmuş tüm kötü amaçlı yazılımlarda olduğu kadar hızlı ve etkili bir şekilde algılayıp etkisiz hale getiriyor. Ayrıca, bu kod deneyimli bir yazılımcı tarafından kontrol edilmezse kötü amaçlı yazılımın etkililiğini düşürecek detaylı hatalar ve mantıksal kusurlar içerme ihtimali oldukça artıyor.

En azından şimdilik bu robotlar, yalnızca acemi virüs yazıcılarla rekabet edebiliyor.

Kötü amaçlı yazılım analizi

InfoSec analistleri yeni şüpheli uygulamalar üzerinde çalışırken, sahte kod veya makine kodu üzerinde ters mühendislik uygulayarak kodun nasıl çalıştığını çözmeye çalışıyor. Bu görevin tamamı ChatGPT’ye verilemeyecek olsa da, söz konusu sohbet robotu, belirli bir kodun ne işe yaradığını hızlıca açıklayabiliyor. Çalışma arkadaşımız Ivan Kwiatkovski, IDA Pro için tam olarak bunu yapan bir eklenti geliştirdi. Söz konusu dil modeli gerçekte ChatGPT değil, onun kuzeni davinci-003 fakat bu tamamen teknik bir fark. Bu eklenti bazen çalışmıyor, bazen de mantıksız çıktılar veriyor. Fakat fonksiyonlara otomatik olarak meşru isimler arayıp koddaki ve kod parametrelerindeki şifreleme algoritmalarını tespit ettiği durumlar için elinizin altında bulunması faydalı olacaktır. Kendi SOC koşullarıyla geliyor, yani her zaman çok yoğun olan analistlerin her vakaya minimum süre ayırması gerekiyor. Bu nedenle, süreci hızlandıracak tüm araçlar fayda sağlıyor.

Eklenti çıktısı

Eklenti çıktısı

Güvenlik açığı araması

Yukarıdaki yaklaşımın bir varyasyonu da güvenlik açığı kodları için yapılan otomatik arama. Sohbet robotu, kaynak koda dönüştürülmüş bir uygulamanın sahte kodunu “okuyor” ve güvenlik açığı içerebilecek yerlerini tespit ediyor. Ayrıca bu sohbet robotu, güvenlik açıklarından (PoC) faydalanmak için tasarlanmış bir Python kodu da sunuyor. Elbette robot, hem güvenlik açığı arama hem de PoC kodu yazma sırasında her türlü hatayı yapabilir. Fakat şu anki halinde bile hem saldırganlara hem de bu saldırganların kurbanlarına fayda sağlıyor.

Güvenlik danışmanlığı

ChatGPT, çevrimiçi ortamda insanların siber güvenlikle ilgili neler söylediğini bildiğinden, bu konudaki tavsiyeleri kulağa ikna edici geliyor. Ancak, tüm sohbet robotu tavsiyelerinde olduğu gibi bunun da nereden geldiğini tam olarak asla bilemeyiz. Dolayısıyla, 10 harika ipucundan bir tanesi değersiz bir şey olabilir. Aşağıda yer alan ekran görüntüsündeki ipuçları da oldukça sağlam:

ChatGPT'nin ürettiği ipuçları

ChatGPT’nin ürettiği ipuçları

Kimlik avı ve BEC

İkna edici metinler, GPT-3 ve ChatGPT’nin belirgin özelliklerinden. Yani sohbet robotu kullanılarak yapılan hedefli otomatik kimlik avı olayları şu anda muhtemelen zaten gerçekleşiyor. Toplu kimlik avı e-postalarındaki sorun şu ki bu e-postalar makul görünmüyor; bunlarda doğrudan alıcıya hitap etmeyen çok fazla genel metin bulunuyor. Hedefli kimlik avında ise siber suçlu, belirli bir kişiye bir e-posta yazıyor ve bu oldukça pahalı bir şey; dolayısıyla, yalnızca hedefli saldırılarda kullanılıyor. ChatGPT, saldırganların sektörel ölçekte ikna edici ve kişiselleştirilmiş e-postalar yazmasına imkan tanıyor, dolayısıyla bu robotun güç dengelerini de ciddi anlamda değiştirmesi bekleniyor. Ancak, e-postanın gerekli tüm bileşenleri içermesi için sohbet robotuna oldukça detaylı talimatlar verilmesi gerekiyor.

ChatGPT tarafından oluşturulan e-postaya örnek

ChatGPT tarafından oluşturulan e-postaya örnek

Ancak, büyük çaplı kimlik avı saldırılarında genellikle bir dizi e-posta kullanılıyor ve kurbanın giderek daha çok güveni kazanılıyor. İkinci, üçüncü ve kim bilir kaçıncı e-postada ChatGPT, siber suçlulara gerçekten çok fazla zaman kazandırıyor. Sohbet robotu konuşmanın bağlamını hatırladığı için sonraki e-postalar da oldukça kısa ve basit bir komuttan harika bir şekilde oluşturulabiliyor.

Oluşturulan e-posta saldırıya devam ediyor

Oluşturulan e-posta saldırıya devam ediyor

Dahası, kurbanın verdiği yanıt modele kolayca eklenerek saniyeler içinde ikna edici bir konuşma geliştirilebiliyor.

Bu araçlarla kullanıcılar, belirli bir stile sahip bir yazışma kullanabiliyor. Belirli bir stile sahip küçük bir örnek verdiğinizde sohbet robotu, bu örneği sonraki mesajlara da kolayca uygulayabiliyor. Bu sayede, bir çalışandan diğerine gönderilmiş gibi görünen ikna edici sahte e-postalar oluşturulabiliyor.

Ne yazık ki bu, başarılı kimlik avı saldırılarının artacağı anlamına geliyor. Ayrıca sohbet robotunun e-postalarda, sosyal ağlarda ve sohbet uygulamalarında da aynı şekilde ikna edici olacağı görülüyor.

Peki buna nasıl karşı koyacaksınız? İçerik analiz uzmanları, sohbet robotu metinlerini algılayan araçlar geliştiriyor. Bu filtrelerin ne kadar etkili olduğunu zaman gösterecek. Şimdilik ancak iki adet standart ipucunun yanı sıra (dikkat ve siber güvenlik farkındalık eğitimi) bir tane daha ipucu verebiliyoruz. Robotlar tarafından oluşturulan metinleri nasıl tespit edebileceğinizi öğrenin. Matematiksel özellikler gözle görülemiyor fakat küçük stilistik detaylar ve minik uyuşmazlıklar robotları ele veriyor. Bu oyuna göz atarak insan tarafından yazılan ve makine tarafından yazılan metinler arasındaki farkı anlayıp anlayamadığınıza bakın.

İpuçları