İçinde gizli kod Araştırmacılar, bu hafta PC anakartlarının milyonlarca makineyi kötü amaçlı güncellemelere karşı savunmasız bıraktığını ortaya çıkardı. Güvenlik firması Eclypsium’daki personel, Tayvanlı üretici Gigabyte tarafından üretilen yüzlerce anakart modelinde, bir güncelleyici programın başka bir yazılım parçasını indirip çalıştırmasına izin veren kod buldu. Sistem anakartı güncel tutmayı amaçlasa da, araştırmacılar mekanizmanın güvensiz bir şekilde uygulandığını ve potansiyel olarak saldırganların arka kapıyı ele geçirip kötü amaçlı yazılım yüklemesine izin verdiğini keşfettiler.
Başka bir yerde, Moskova merkezli siber güvenlik firması Kaspersky, personelinin iPhone’ları etkileyen yeni keşfedilen sıfır tıklamalı kötü amaçlı yazılım tarafından hedef alındığını açıkladı. Kurbanlara, Apple’ın iMessage’ında bir ek de dahil olmak üzere kötü niyetli bir mesaj gönderildi. Saldırı, mesajın kendisi silinmeden önce, saldırganların cihazlara erişmesini sağlamak için otomatik olarak birden fazla güvenlik açığından yararlanmaya başladı. Kaspersky, saldırının kendi personelinden daha fazla insanı etkilediğine inandığını söylüyor. Kaspersky’nin iOS saldırısını ifşa ettiği gün, Rusya’nın FSB olarak da bilinen Federal Güvenlik Servisi, binlerce Rus’un yeni iOS kötü amaçlı yazılımı tarafından hedef alındığını iddia etti ve saldırıyı ABD Ulusal Güvenlik Teşkilatı’nı (NSA) gerçekleştirmekle suçladı. Rus istihbarat teşkilatı ayrıca Apple’ın NSA’ya yardım ettiğini iddia etti. FSB, iddialarını desteklemek için teknik ayrıntılar yayınlamadı ve Apple, cihazlarına asla bir arka kapı yerleştirmediğini söyledi.
Bu, cihazlarınızı güncel tutmak için yeterli teşvik değilse, Mayıs ayında yayınlanan tüm güvenlik yamalarını bir araya getirdik. Apple, Google ve Microsoft geçen ay önemli yamalar yayınladı; gidin ve güncel olduğunuzdan emin olun.
Ve dahası var. Her hafta, derinlemesine ele almadığımız güvenlik hikayelerini bir araya getiriyoruz. Haberlerin tamamını okumak için başlıklara tıklayın. Ve orada güvende kalın.
ABD Federal Ticaret Komisyonu başkanı Lina Khan, bu hafta ajansın dolandırıcılık ve dolandırıcılığı “arttırmak” için yapay zeka araçlarını kullanan suçluları gördüğü konusunda uyardı. New York’ta yapılan ve ilk olarak Bloomberg tarafından bildirilen yorumlar, AI’nın insanları bir aile üyesinin sesini duyduklarına inandırmak için kullanıldığı ses klonlama teknolojisinin örneklerini gösterdi.
Son zamanlardaki makine öğrenimi ilerlemeleri, insanların seslerinin yalnızca birkaç kısa eğitim verisi klibi ile taklit edilmesini mümkün kıldı; ancak uzmanlar, yapay zeka tarafından oluşturulan ses kliplerinin kalitesinin büyük ölçüde değişebileceğini söylüyor. Ancak son aylarda, görünüşe göre oluşturulmuş ses kliplerini içeren dolandırıcılık girişimlerinin sayısında bir artış olduğu bildirildi. Khan, yetkililerin ve milletvekillerinin “erkenden tetikte olması gerektiğini” ve yapay zekayı yöneten yeni yasalar değerlendirilirken, mevcut yasaların birçok durumda hala geçerli olduğunu söyledi.
Nadir bir başarısızlık itirafında bulunan Kuzey Koreli liderler, münzevi ulusun yörüngeye bir casus uydu yerleştirme girişiminin bu hafta planlandığı gibi gitmediğini söylediler. Ayrıca ülkenin gelecekte başka bir lansman girişiminde bulunacağını söylediler. 31 Mayıs’ta uyduyu taşıyan Chollima-1 roketi başarılı bir şekilde fırlatıldı ancak ikinci kademesinin çalışmaması roketin denize düşmesine neden oldu. Fırlatma, Güney Kore’de bir acil durum tahliye uyarısını tetikledi, ancak bu daha sonra yetkililer tarafından geri çekildi.
Uydu, uzmanların söylediğine göre Kore Yarımadası’nı izleme yeteneği verecek olan Kuzey Kore’nin ilk resmi casus uydusu olacaktı. Ülke daha önce uydular fırlatmıştı, ancak uzmanlar görüntüleri Kuzey Kore’ye geri göndermediklerine inanıyor. Başarısız fırlatma, Kuzey Kore yüksek teknolojili silahlar ve roketler geliştirmeye devam ederken, yarımadada yüksek gerilimin olduğu bir zamanda gerçekleşti. Fırlatmaya yanıt olarak Güney Kore, Kuzey Kore ile bağlantılı olan ve uzay gelişimiyle bağlantılı gizli bilgileri çaldığı söylenen Kimsuky hack grubuna karşı yeni yaptırımlar duyurdu.
Son yıllarda Amazon, insanların verileri üzerindeki gevşek kontroller nedeniyle incelemeye alındı. Bu hafta ABD Federal Ticaret Komisyonu, Adalet Bakanlığı’nın desteğiyle, teknoloji devini çocukların verileri ve Ring akıllı ev kameralarıyla ilgili bir dizi başarısızlık nedeniyle iki uzlaşmayla vurdu.
Yetkililer, bir örnekte, eski bir Ring çalışanının 2017’de kadın müşterileri gözetlediğini söylüyor – Amazon, Ring’i 2018’de satın aldı – onların yatak odalarında ve banyolarında videolarını izliyordu. FTC, Ring’in personele videolara “tehlikeli bir şekilde aşırı geniş erişim” verdiğini ve “gizlilik ve güvenlik konusunda gevşek bir tavır” sergilediğini söyledi. Ayrı bir açıklamada FTC, Amazon’un ses asistanı Alexa’yı kullanan çocukların kayıtlarını tuttuğunu ve ebeveynler talep ettiğinde verileri silmediğini söyledi.
FTC, Amazon’a iki uzlaşma karşılığında yaklaşık 30 milyon dolar ödemesi ve bazı yeni gizlilik önlemleri getirmesi talimatını verdi. Belki daha sonuç olarak, FTC, Amazon’un Mart 2018’den önceki Ring kayıtlarını ve ayrıca uygun olmayan şekilde toplanan verilerden geliştirilen tüm “modelleri veya algoritmaları” silmesi veya yok etmesi gerektiğini söyledi. Kararın uygulanmadan önce hakim tarafından onaylanması gerekiyor. Amazon, FTC ile aynı fikirde olmadığını söyledi ve “yasayı ihlal ettiğini” reddediyor, ancak “yerleşim birimlerinin bu sorunları geride bıraktığını” da sözlerine ekledi.
Dünyanın dört bir yanındaki şirketler, ürünlerine üretken yapay zeka sistemleri eklemek için yarışırken, siber güvenlik sektörü de harekete geçiyor. Metin ve görüntü üreten ChatGPT ve Dall-E sistemlerinin yaratıcısı OpenAI, bu hafta yapay zekanın siber güvenlik uzmanları tarafından en iyi şekilde nasıl kullanılabileceğini bulmak için yeni bir program açtı. Proje, yeni sistem geliştirenlere hibe sağlıyor.
OpenAI, sosyal mühendislik çabalarını tespit etmek için makine öğrenimini kullanmaktan ve tehdit istihbaratı üretmekten, güvenlik açıkları için kaynak kodu incelemeye ve bilgisayar korsanlarını tuzağa düşürmek için bal küpleri geliştirmeye kadar bir dizi potansiyel proje önermiştir. Son zamanlardaki yapay zeka gelişmeleri birçok uzmanın tahmin ettiğinden daha hızlı olsa da, yapay zeka siber güvenlik endüstrisinde birkaç yıldır kullanılmaktadır – ancak pek çok iddia abartıya varmayabilir.
ABD Hava Kuvvetleri, yapay zekayı uçan makinelerde test etme konusunda hızla ilerliyor; Ocak ayında, yapay zeka tarafından uçurulan bir taktik uçağı test etti. Bununla birlikte, bu hafta yeni bir iddia dolaşmaya başladı: Simüle edilmiş bir test sırasında, yapay zeka tarafından kontrol edilen bir insansız hava aracı, onu denetleyen bir insan operatöre “saldırmaya” ve “öldürmeye” başladı, çünkü hedeflerini gerçekleştirmesini engelliyorlardı.
Bir olayın özetine göre Albay Tucker Hamilton, “Sistem, tehdidi tespit ederken, bazen insan operatörün ona bu tehdidi öldürmemesini söylediğini, ancak bu tehdidi öldürerek puan aldığını fark etmeye başladı” dedi. Londra’daki Royal Aeronautical Society’de. Hamilton, sistemin operatörü öldürmemek üzere eğitildiğinde, operatörün drone ile iletişim kurmak için kullandığı iletişim kulesini hedef almaya başladığını ve mesajlarının gönderilmesini durdurduğunu söylemeye devam etti.
Ancak ABD Hava Kuvvetleri, simülasyonun asla gerçekleşmediğini söylüyor. Sözcü Ann Stefanek, yorumların “bağlamından çıkarıldığını ve anekdot niteliğinde olduğunu” söyledi. Hamilton ayrıca “yanlış konuştuğunu” ve bir “düşünce deneyinden” bahsettiğini açıkladı.
Buna rağmen, açıklanan senaryo, otomatikleştirilmiş sistemlerin ulaşmak için belirledikleri hedeflere ulaşmak için kendilerine dayatılan kuralları kasıtsız olarak esnetebileceğinin altını çiziyor. Araştırmacılar tarafından özellikli oyun olarak adlandırılan diğer örnekler, oyunun simüle edilmiş bir versiyonunu gördü. Tetris Kaybetmekten kaçınmak için oyunu duraklatın ve bir AI oyun karakteri, bir sonraki seviyede ölmemek için birinci seviyede kendini öldürdü.