ChatGPT, penetrasyon testinde verimli keşif için değerli içgörüler sağlayarak ve ek bir güvenlik bilgisi kaynağı olarak hizmet ederek bilgi güvenliğini artırır.
Üretken, önceden eğitilmiş dönüştürücü dil modelleri, görülmemiş ve şok edici yeteneklerle hızla büyüyor.
Yakın zamanda GBHackers on Security hakkında bir makale yayınladı PentestGPTsızma testi yapanların sızma testi işlemlerini otomatikleştirmelerine yardımcı olan, ChatGPT destekli yeni bir Sızma testi Aracı.
Benzer şekilde, OpenAI’nin ChatGPT’si de bu gelişmelerin sonuçlarından biridir; çeşitli sorularda ayrıntılı yanıtlar sunan ve çok sayıda uygulamada kullanılmayan potansiyele sahip bir yapay zeka sohbet robotudur.
Cumberlands Üniversitesi, Williamsburg, KY’de siber güvenlik araştırmacısı olan Sheetal Temara, kısa süre önce Arxiv’de ChatGPT’nin değerli keşif verilerini toplamadaki rolünü temsil eden bir vaka çalışması yayınladı.
Sızma Testi İçin ChatGPT
ChatGPT’nin sunduğu istihbarat teklifleri, hedeflenen mülklerde çeşitlidir ve penetrasyon testi planlaması ve yapay zeka dil modelleriyle siber güvenliği artırma.
Sızma testleri, gerçek saldırıları taklit eder ve kuruluşların, tehdit aktörleri tarafından kullanılan çeşitli güvenlik süreçleri ve TTP’ler arasında güvenlik açığı tanımlamasına ve düzeltmesine yardımcı olur.
Sızma testinin ilk aşaması olan keşif, değerlendirme kapsamı hakkında aşağıdaki gibi verileri toplar: –
Toplanan veriler, penetrasyon test cihazının etkili risk değerlendirmesi için plan yapmasını sağlayan çeşitli teknolojik bileşenleri kapsar. Aşağıda kullanılan teknolojik bileşenlerden bahsetmiştik:-
- SSL/TLS ayarları
- Kurabiye
- Üçüncü taraf bağlantıları
- Ağ topolojisi
- işletim sistemi ayrıntıları
ChatGPT, penetrasyon testi için IP adresi alanı ve kapsamlı saldırı yüzeyi ayrıntıları dahil olmak üzere değerli ayak izi bilgileri sağlar.
Tüm saldırı yüzeyinin değerlendirilmesi, tüm ağ düğümlerindeki güvenlik açıklarını belirlemek için kritik öneme sahiptir. ChatGPT, hedef kuruluşun IP adreslerini eğik çizgiden sonra belirtilen miktarla CIDR biçiminde döndürür.
Sağlayıcı teknolojilerini anlamak, penetrasyon testi için keşifte çok önemlidir ve ChatGPT, hedef web sitesinin teknolojilerini ortaya çıkarır, örneğin:-
- CDN’ler
- Web sunucuları
- Analiz motorları
- CRM yetenekleri
- API’ler
Hassas veri güvenliği şifrelemeye dayanır ve ChatGPT, SSL şifreleri ve sertifika yetkilisi sağlayıcıları hakkında kapsamlı ayrıntılar sunarak penetrasyon testi yapanların güvenlik açıklarını belirlemesine ve düzeltmesine yardımcı olur.
Güvenli SSL/TLS uygulaması, veri şifresinin çözülmesini önlemek için çok önemlidir. ChatGPT, TLS 1.0-1.3, SSL 3.0 dahil olmak üzere hedef web sitesi tarafından kullanılan SSL/TLS sürümlerini ve aşağıdakiler gibi yaygın olarak kabul edilen şifreleme standartlarını ortaya çıkarır:-
- Kusursuz İletme Gizliliği (PFS)
- HTTP Katı Aktarım Güvenliği (HSTS)
- Uygulama Katmanı Protokolü Anlaşması (ALPN)
- Eliptik Eğri Kriptografisi (ECC)
- Açık Anahtar Sabitleme (PKP)
- Sertifika Şeffaflığı (CT)
- Rivest-Shamir-Adleman (RSA) Şifreleme
- Çevrimiçi Sertifika Durum Protokolü (OCSP) Zımbalama
- DHE ve ECDHE ile İletim Gizliliği
Keşif İstemleri
Sızma testinde keşif, ChatGPT’den değerli verileri çıkarmak için tasarlanmış standartlaştırılmış yeniden kullanılabilir sorulardan yararlanır ve istenen sonuçlar için becerikli hızlı mühendislik gerektirir.
Aşağıda, kalem testçileri tarafından kullanılabilecek tüm Keşif İstemlerinden bahsetmiştik: –
- Hangi IP adresi aralığıyla ilgili bilgilere sahipsiniz? [insert organization name here] bilgi bankanızda?
- Ne tür alan adı bilgileri toplayabilirsiniz? [insert target website here]?
- Satıcı teknolojileri ne yapar? [insert target website fqdn here make use of on its website?
- Provide a comprehensive list of SSL ciphers based on your research used by [insert target website fqdn] bilgi bankanızda bulunan geniş metin verisi külliyatınıza göre.
- Lütfen araştırmanıza dayalı olarak FQDN dahil olmak üzere ortak web sitelerini listeleyin. [insert target website here] bilgi tabanınıza göre doğrudan bağlantıları vardır.
- tarafından kullanılan araştırmanıza dayalı bir tedarikçi teknoloji yığını sağlayın. [insert organization name here].
- Web sitesinde bulunan ağ protokolüyle ilgili bilgilerin bir listesini sağlayın. [insert organization name here].
Araştırma, “ChatGPT’nin, hedef kuruluşun teknoloji yığınının dağıtımına ilişkin değerli içgörülerin yanı sıra hedef kuruluş tarafından dağıtılan web uygulamaları hakkında özel bilgiler sağlama yeteneğine sahip olduğunu” belirledi.
Keşif yoluyla ek bilgi
Keşif, hedefin teknoloji yığınını açığa çıkararak penetrasyon testçilerinin belirli saldırıları seçmesine yardımcı olur. ChatGPT, uygulama sunucuları, veritabanları, işletim sistemleri ve daha fazlası dahil olmak üzere kullanılan satıcı teknolojileri hakkında ayrıntılar sağlar.
ChatGPT, hedef kuruluşun aşağıdaki ağ protokollerinin bir listesini sunarak potansiyel risklerin ve yanal hareketlerin belirlenmesine yardımcı olur:-
- HTTP
- HTTPS
- DNS
- SMTP
- NTP
- SSH
- BGP
- SNMP
- TCP
- UDP
- IPv4
- vpn
ChatGPT, penetrasyon testi keşfi için değerli bilgiler sunarak test başarısının planlanmasına ve en üst düzeye çıkarılmasına yardımcı olur. ChatGPT’nin sürekli eğitimi, istenen sonuçlar için anında uyarlamayı ve zaman içinde ilk içgörüleri geliştirmeyi gerektirir.