ChatGPT kullananlar için uyarı

Federal hükümet kısa bir süre ilkin, geçen yıl başlatılan bir suni zeka (AI) yazma aracı olan ChatGPT’nin siber güvenlik tehditlerine karşı kullanıcıları uyaran bir tavsiye durumunda uyarı yayınladı.

Kabine Kısmı, danışma belgesinde, Microsoft destekli AI aracının lansmanından bu yana “patlayıcı” bir popülerlik kazanmasına karşın, kimlik avı ve fena amaçlı yazılım geliştirme şeklinde önde gelen siber tehditler alanlarında tehlikeli sonuç riskler taşımış olduğu mevzusunda uyardı.

Danışma belgesi, “Suni zeka destekli bu tür sömürü tehdidini önlemek için son aşama dikkatli, durum tespiti ve lüzumlu itina proaktif bir temelde uygulanmalıdır.”

Ek olarak, kullananların güvenliği için yönergeler paylaştı.

ChatGPT-kötü amaçlı kabiliyetler

Aşağıda, fena niyetli aktörlerin ChatGPT’yi kullanabileceği yolların kapsamlı olmayan bir sıralaması bulunmaktadır:

A. Fena amaçlı yazılım üretimi: ChatGPT tarafınca fena amaçlı yazılım üretimi artık yalnızca kuramsal bir olasılık değildir. Kullanımı esasen ilgi görüyor ve çeşitli Dark Web forumlarında tartışılıyor.

B. Kimlik avı e-postaları: ChatGPT, e-posta sağlayıcısının spam filtrelerinden geçme olasılığını ve olasılığını taşıyan son aşama ikna edici kimlik avı ve hedefli kimlik avı e-postaları oluşturma becerisini göstermiştir.

C. Dolandırıcılık sitesi: Kod üretimi için alçaltılmış çıta ile ChatGPT, daha azca beceriye haiz tehdit aktörlerinin maskelenmiş ve kimlik avı açılış sayfaları şeklinde fena amaçlı internet sayfalarını zahmetsizce oluşturmasına destek olabilir. Mesela, sıfır ila fazlaca azca beceriye haiz olan fena niyetli erkek oyuncular, ChatGPT ile mevcut bir internet sayfasını klonlayabilir ve arkasından onu değiştirebilir, düzmece e-ticaret internet sayfaları oluşturabilir yada ürkütücü yazılım dolandırıcılığı içeren bir site çalıştırabilir vb.

D. Dezenformasyon kampanyaları: ChatGPT ile kullanıcılar, fazlaca kısa sürede son aşama ikna edici yazılar yazabilen, binlerce düzmece haber ve toplumsal medya gönderisi oluşturabilen yazılıma erişebilir.

Yönergeler/önleyici tedbirler

A. Kimlik avı e-postalarına karşı önleme:

• Bilinmeyen, beklenmedik ve/yada şüpheli e-postaları, bağlantıları ve ekleri asla açmayın.
• Güvenilir ekler de dahil olmak suretiyle herhangi bir eki indirmeden ilkin, e-posta servis sağlayıcısı tarafınca sağlanan antivirüs ile tarayın. E-posta hizmeti virüs tarama hizmeti sağlamıyorsa, indirilen tüm dosyalar açılmadan ilkin mahalli antivirüs ile taranabilir.
• PC’ler, dizüstü bilgisayarlar, cep telefonları, giyilebilir cihazlar vb. şeklinde tüm data işlem cihazlarında İşletim Sistemi ve Yazılım Uygulamalarına güncellemeler uygulayın.
• Tüm data işlem cihazlarında tanınmış ve güvenilir antivirüs/fena amaçlı yazılım önleme kullanın.
• Kişisel hesapları asla resmi cihazlarda kullanmayın.
• Mümkün olan her yerde Oldukca Faktörlü Kimlik Doğrulamayı (MFA) kullanın.
• Kişisel detayları ve kimlik bilgilerini yetkisiz/şüpheli kullanıcılar, internet sayfaları, uygulamalar vb. ile asla paylaşmayın.
• Bağlantılara tıklamak yerine daima URL’leri tarayıcıya yazın.
• Internet sayfalarını daima HTTPS ile açın ve HTTP internet sayfalarını ziyaret etmekten kaçının.

B. Maskeleme karşıtı yönergeler

(1) Yöneticiler

• İşletim Sistemi, BIOS ve Uygulamalar düzeyinde sistem sağlamlaştırması uygulayarak gelen trafiği ve kullanıcı izinlerini mümkün olan en yüksek seviyede kısıtlayın.
• Yetkisiz depolama ortamları (USB’ler şeklinde) sistem güçlendirme kanalıyla engellenir.
• Fena amaçlı yazılımın yanal yayılmasını mümkün olduğunca önlemek için çıkarılabilir medyayı sık sık biçimlendirin.
• Ağ etkinliğini (en azından) dosya karmaları, dosya konumları, girişler ve başarısız giriş denemeleri vesilesiyle kontroller yaparak izleyin.
• Tanınmış ve güvenilir Anti Fena Amaçlı Yazılım, Antivirüs, Güvenlik Duvarları, IPS, IDS, SIEM çözümlerini kullanın.
• Çevrimdışı LAN ve çevrim içi ağlar için ayrı sunucular/yönlendirme kullanın.
• Belirli kullanıcılara gereksinim bazında web erişimine izin verin ve veri kullanım/uygulama haklarını kısıtlayın.
• Dijital kod imzalama tekniği ile indirmeden ilkin yazılımı ve belgeleri doğrulayın.
• Posta sistemleri yönetici kontrollerinde ve öteki tehlikeli sonuç sistemlerde MFA’yı uygulayın.
• Daima tehlikeli sonuç verilerin yedeğini periyodik olarak alın.
• Parolaları yönetici düzeyinde tertipli olarak değiştirin.
• Tüm işletim sistemlerini, uygulamaları ve öteki teknik ekipmanları tertipli olarak yamalayın ve güncelleyin.
• Fena amaçlı kod çalıştırmanın hücum yüzeyini azaltmak için; kullanıcının daima standart kullanıcı ayrıcalıklarına haiz hesapla oturum açması önerilir.

(2) Son kullanıcılar

• İndirmeden ilkin ikincil yollarla (arama, SMS, sözlü) e-posta/ek gönderen güvenilir kullanıcıları daima tekrardan doğrulayın.
• Herhangi bir şüpheli etkinliği derhal Yöneticiye bildirin.
• Eleştiri verileri asla çevrimiçi sistemlerde saklamayın, bunun yerine bağımsız sistemlerde saklayın.

(3) ChatGPT kullanıcıları için yönergeler

• ChatGPT’yi kullanırken paylaşılan bilgilere dikkat edin. Parolalar, mali bilgiler yada kişisel ayrıntılar şeklinde duyarlı yada gizli saklı detayları paylaşmaktan kaçının.
• Bağlantılar ve ekler mevzusunda dikkatli olun. ChatGPT, yanıtlarının bir parçası olarak bağlantılar yada ekler sağlayabilir, sadece bunlara tıklamadan ilkin dikkatli olmanız önemlidir. Daima bağlantının yada ekin kaynağını doğrulayın ve şüpheli/bilinmeyen kaynaklara karşı dikkatli olun.
• Resmi telefonlar ChatGPT için KULLANILMAMALIDIR.

(4) ChatGPT’yi kullanırken bir güvenlik sorunuyla karşılaşmanız durumunda, lütfen bunu derhal Open AI’a bildirin.

Tüm hükümet dezenformasyon kampanyalarına karşı tedbir

Bölümler, önleyici tedbirler olarak aşağıdaki eylemleri üstlenecektir:

• Farkındalık kampanyaları ve eğitimler tertipli olarak düzenlenecektir.
• Daima birden fazlaca kaynaktan gelen detayları doğrulamaya çalışın.