Yapay zeka (AI) , hayatımızın her alanında kolaylıklar sağlayarak bize farklı bir dünyanın kapılarını araladı. Sağlıktan üretime birçok alanda artık araçlara entegre şekilde yapay zekadan faydalanabiliyoruz. Bununla birlikte tek bir firma ve ülkeye bağlı kalmadan yavaş yavaş yeni yapay zeka modelleriyle karşılaşıyoruz. Ünüyle nam salan birçok yapay zekaya son zamanlarda Çinliler tarafından üretilen Deepseek de eşlik ediyor. Gündem ; OpenAI mı, Deepseek mi, Gemini mi daha avantajlı diye tartışırken; ben bugün yapay zekanın siber güvenlikteki yerine ve risklerine değinmek istiyorum.
Siber güvenlikte yapay zeka kullanımı ; anomalileri insanlardan çok daha hızlı bularak ağ güvenliğini sağlama, kötü amaçlı yazılımdan koruma ve dolandırıcılık tespit yazılımlarını kullanma gibi amaçlardan dolayı son yıllarda çokça tercih edilmektedir. Tüm bu kullanışlı yönlerine ek olarak; yapay zeka kullanıcılarının artması ve hassas bilgilerinin yapay zekada ne kadar güvende tutulacağı konusu bu alandaki risklerin neler olabileceği sorusunu gündeme taşımıştır.
SİBER GÜVENLİKTE YAPAY ZEKA RİSKLERİ
Her alan ve teknolojide olduğu gibi, yapay zekanın da kötü amaçlarla kullanılması mümkündür. Her ne kadar faydalı amaçlara hizmet etmek amacıyla üretilmiş olsa da, tehdit aktörleri bu araçları dolandırıcılık ve siber suçlar için kullanabilirler.
1.DEEPFAKE TEKNOLOJİSİ İLE TAKLİT RİSKİ
Sahte görsel ve seslerin yapay zeka ile kolayca elde edilebiliyor olması, taklitçilik yoluyla oluşan siber saldırıları arttırmıştır. Deepfake teknolojisi, yapay zeka kullanılarak gerçekçi ses ve video içerikleri oluşturmayı mümkün kılıyor. Bu tür saldırılar, özellikle finansal işlemler ve kimlik doğrulama süreçlerinde ciddi güvenlik açıklarına yol açabiliyor.
Örneğin; 2019 yılında, bir enerji firmasının CEO’su, şirketin Almanya’daki yan kuruluşunun müdürünü arayarak acil bir ödeme talebinde bulundu. Ancak daha sonra anlaşıldı ki, bu arama aslında yapay zeka kullanılarak oluşturulmuş bir deepfake ses kaydıydı. Saldırganlar, CEO’nun sesini taklit ederek 220.000 Euro’luk bir dolandırıcılık gerçekleştirdi.
2. YAPAY ZEKA İLE GELİŞTİRİLMİŞ KÖTÜ AMAÇLI YAZILIMLAR
Yapay zekanın yakın gelecekte yazılım geliştirici ve bilgisayar programcı ekiplere yardımcı olabileceği hatta onların yerlerini alabileceğini hepimiz duymuşuzdur. ChatGPT gibi yazılımlar kullanıcıların kötü amaçlı kod oluşturmasını engellemek için bazı korumalara sahip olsa da, saldırganlar bunu atlamak ve kötü amaçlı yazılım oluşturmak için akıllı teknikler kullanabilirler. Yapay zeka, kötü amaçlı yazılımların tespit edilmesini zorlaştırmak için kullanılabilir. Dinamik ve adaptif davranışlar sergileyen bu tür yazılımlar, geleneksel güvenlik önlemlerini etkisiz hale getirebilir.
Örneğin; 2021 yılında, “Emotet” adlı kötü amaçlı yazılımın yapay zeka teknikleri kullanarak tespit edilmekten kaçındığı rapor edildi. Bu yazılım, davranışlarını dinamik olarak değiştirerek güvenlik yazılımlarını atlatmayı başardı.
3. YAPAY ZEKA DESTEKLİ PHISHING (OLTALAMA) SALDIRILARI
Yapay zeka, büyük veri setlerini analiz ederek bireylerin ilgi alanları, alışkanlıkları ve sosyal çevreleri hakkında bilgi toplayabilir. Bu bilgiler, phishing saldırılarının başarısını artırmak için kullanılabilir.
Örneğin; 2020 yılında, siber suçlular yapay zeka kullanarak kişiselleştirilmiş e-postalar oluşturdu. Bu e-postalar, alıcıların sosyal medya profilleri ve çevrimiçi davranışları analiz edilerek hazırlandı. Sonuç olarak, geleneksel phishing e-postalarına göre çok daha inandırıcı ve hedef odaklı saldırılar gerçekleştirildi.
4. MODEL HIRSIZLIĞI
Yapay zeka modelleri, hassas verilerle eğitildiğinde, bu verilerin sızdırılması veya çalınması riski vardır. Model hırsızlığı, hem fikri mülkiyet haklarını ihlal eder hem de veri gizliliği konusunda tehdit oluşturur.
Örneğin; 2020 yılında, araştırmacılar bir yapay zeka modelinin API’sine sorgular göndererek modelin iç yapısını ve eğitim verilerini yeniden oluşturmayı başardılar. Bu teknik, “model hırsızlığı” olarak bilinir ve ticari sırların çalınmasına yol açabilir.
5. HASSAS VERİ SIZINTISI
Birçok şahsi ve şirket bilgilerinin paylaşılarak yapay zeka üzerinde kullanılması, özellikle son yıllarda veri sızıntılarında dikkat çekici bir konu haline gelmiştir.
Örneğin; 2023 yılında meydana gelen ve ChatGPT ‘ nin bazı kullanıcıların, diğer kullanıcılara sohbet geçmişini sızdırdığı olay bize yapay zekanın verilerimizi ne kadar duyarlılıkla koruduğu sorusunu düşündürttü. Aynı şekilde şirket bazında 2023 yılında, Samsung çalışanları, üretken yapay zekâ tabanlı bir sohbet robotunu kullanarak şirket içi kodları ve teknik bilgileri paylaştı. Bu hassas veriler, farkında olmadan harici sunucularda depolandı ve gizli bilgilerin Samsung’un kontrolü dışına çıkmasına neden olarak bir güvenlik riski oluşturdu.
6. ADVERSARIAL SALDIRILAR İLE GÜVENLİK SİSTEMLERİNİN KANDIRILMASI
Adversarial saldırılar, yapay zeka modellerinin zayıflıklarından yararlanarak sistemleri yanıltmayı hedefler. Bu tür saldırılar, özellikle otonom sistemler ve güvenlik kameraları gibi yapay zeka kullanan uygulamalarda ciddi riskler oluşturur. Bunun yanı sıra otonom sistem kullanan araçlar özellikle üretim ve sağlık alanında yapay zeka kullanımında model içerisindeki zafiyetin kullanılarak kötü kişilerce ele geçirilmesi fiziksel güvenlik için de risk faktörü haline gelmektedir. Sürücüsüz otomobillerin, içindeki yolcuları tehlikeye atacak şekilde sisteminin kullanılması buna örnek verilebilir. (Upgrade filminde işlenen konu gibi )
Örneğin; 2018 yılında, araştırmacılar yapay zeka destekli görüntü tanıma sistemlerini yanıltmak için adversarial saldırılar düzenledi. Stop işaretlerinin üzerine belirli desenler ekleyerek, otonom araçların bu işaretleri farklı algılamasına neden oldular.
7. SİBER SALDIRI OPTİMİZASYONU SAĞLAMASI
Saldırganlar, saldırıları daha önce görülmemiş bir hız ve karmaşıklık düzeyinde oluşturmak için yapay zeka ve büyük dil modellerini (LLM ) kullanabiliyor. Güvenlikteki karmaşıklığı zayıflatmanın yeni yollarını bulmak ve gelişmiş saldırılar için jeopolitik gerilimlerden yararlanmak için yapay zekayı kullanabilirler. Özellikle son yıllarda pek çok APT grubunun yapay zekayı etkin olarak kullandığıyla ilgili haberler okuyoruz.
Örneğin; APT42 adıyla bilinen İran destekli grubun, hedef ağlara ve bulut ortamlarına sızmak için gelişmiş sosyal mühendislik planları düzenleme geçmişine sahip olduğu ve geçtiğimiz Mayıs ayında Mandiant (Amerikan siber güvenlik firması), tehdit aktörünün gazeteci ve etkinlik organizatörü kılığına girerek Batılı ve Orta Doğulu STK’ları, medya kuruluşlarını, akademiyi, hukuk hizmetlerini ve aktivistleri hedef aldığını ortaya çıkarmıştı.
Aynı şekilde yakın zamanlarda Çinli APT gruplarının Gemini’de keşif yapma, kodda sorun giderme ve yanal hareket, ayrıcalık yükseltme, veri sızdırma ve tespitten kaçınma gibi tekniklerle kurban ağlarının derinliklerine inme yöntemleri aradığı tespit edilmişti.
Rus APT aktörleri Gemini kullanımlarını halka açık kötü amaçlı yazılımları başka bir kodlama diline dönüştürmek ve mevcut koda şifreleme katmanları eklemekle sınırlarken; Kuzey Koreli APT grupları altyapı ve barındırma sağlayıcılarını araştırmak için Google’ın AI hizmetini kullanmıştı.
Tüm bunlar elbette bu teknolojiyi reddetmemiz gerektiği anlamına gelmiyor, çünkü gelişen dünya şartlarına ayak uydurmak adına yapay zeka hızı ve pratikliği bizi ön plana çıkaracaktır. Bu yüzden AI teknolojisini güvenli bir şekilde nasıl kullanabileceğimizi bir sonraki yazımda ele alacağım. O zamana kadar dijital hayatta güvende kalmanızı temenni ediyorum 🙂
