Siber Güvenlik
ChatGPT ile Siber Güvenlik Eğitimi
Siber güvenlik son yılların yükselen alanlarından biri ve hala sektörde çok fazla açık var. Bununla birlikte ilgili alanlardaki öğrenciler de siber güvenlik alanına ilgi duymaya başlıyor. Bunun sonucunda da öğrencilerde siber güvenlik eğitimi nasıl alınır, nereden başlanır gibi sorular oluşuyor.
09.06.2023
Siber güvenlik alanında uzmanlaşmak için gerçekten çok fazla tecrübe gerekiyor. Bir sistemi korumak için gelebilecek tüm saldırı noktalarını bilmek gerekiyor. Ancak tüm saldırı noktalarını bilmek için de korumaya çalıştığınız sistemin network altyapısını, işletim sistemini, kullanılan programlama dillerini ve güvenlik zafiyetlerini bilmek gerekiyor.
Geleceği Yazanlar platformundaki Siber Güvenlik 101 eğitimi siber güvenlik alanında çalışmak isteyenler için çok iyi bir başlangıç noktası olacaktır. Eğitimde network, işletim sistemleri, örnek ve en çok kullanılan programlama dillerinden biri olan Python, güvenlik zafiyet örnekleri ve bir hacker turnuvası olan CTF’lerden bir örnek çözülerek her noktaya değinen bir başlangıç yapılıyor.
Siber güvenlik alanında çok fazla tecrübe gerekiyor demiştik. Bu tecrübeyi alanda yeni iseniz TryHackMe, HackTheBox gibi platformlarda zafiyetli makineleri ele geçirerek kazanabilirsiniz.
Eğitim sırasında ve sonrasında pratik yapmak hem alandaki tecrübenizi arttıracak, hem de teorik bilgileri pratiğe dökerek bilgi seviyenizi olağanüstü bir şekilde katlayacak.
Ancak elbette yeni başlayan birinin çok fazla bilgisi olmadan bir makineyi ele geçirmesi mümkün değil. Önce teorik olarak güvenlik zafiyetlerini, sonrasında o güvenlik zafiyetlerini nasıl tetikleyebileceğini, sonrasında ise zafiyetlerin nasıl giderileceğini öğrenmek gerek.
Halihazırda eğitimi alan biri hangi zafiyetin ne işe yaradığı konusunda bir fikir sahibi olacaktır. Yine de soru sorabileceği biri, bir mentor olsa ve spesifik sorulara tam istediği yanıtı verseydi güzel olabilirdi.
Bu konuda yardımımıza ChatGPT yetişiyor.
ChatGPT, OpenAI şirketi tarafından geliştirilen bir yapay zeka sohbet robotudur diyebiliriz.
ChatGPT arkada GPT-3.5 veya GPT-4 dil modellerini kullanarak sorduğumuz soruları anlıyor, kendi bilgilerinde araştırıyor ve hızlıca cevabını bir insan gibi size sunuyor.
Peki bunu siber güvenlik eğitimimizde nasıl kullanırız?
ChatGPT ile Zafiyet Tiplerini Öğren
Örneğin SQL Injection zafiyetinin ne olduğunu duyduk ancak tam olarak kod içerisinde incelemedik ve tam öğrenmedik. Öncelikle SQL Injection’ın kısa bir tanımını ChatGPT’ye soralım:
Görüldüğü gibi yukarıda bize SQL Injection zafiyetinin ne olduğunu, risklerini ve nasıl önlenebilir gibi bilgileri özetleyerek anlattı.
Şimdi ChatGPT’ye aşağıdaki gibi örnek bir kodda bize anlatmasını sağlayabiliriz:
ChatGPT ile yukarıdaki konuşmamda SQL Injection zafiyetini içeren bir kod yazmasını istedim ve php dilinde bir kod örneği vererek her satırı tek tek anlatıp SQL Injection zafiyetinin neden gerçekleştiğini gösterdi.
Bunu yalnızca php programlama dilinde değil farklı dillerde de isteyebilirdik:
Ayrıca sadece klasik SQL Injection zafiyeti yerine SQL Injection zafiyetinin başka türlerini de sorabiliriz:
Yukarıda da görüldüğü üzere herhangi bir zafiyeti ChatGPT ye sorarak her türlü ayrıntısını öğrenebiliriz. Hatta anlamadığımız yeri sorabiliriz bile.
ChatGPT ile Basit Statik Kod Analizi
HackTheBox gibi pratik makinelerini ele geçirmeye çalışırken çoğu kişi biraz zorlanır, sorunu görmek her zaman kolay olmayacaktır. Belki bir makineyi çözmek 1 haftayı alabilir. Ancak öğrenciler bazı zamanlarda sabırsız davranarak makinelerin write-up’larını, yani çözümlerini okuyarak sonuca direkt ulaşır. Bunu yapmak nasıl çözüleceğini gösterse de öğrenme açısından kişinin kendini zorlayarak sonuca ulaşması kadar etkili olmayacaktır.
Bunun yerine takıldığımız noktalarda bir uzmana danışabilirsiniz, örneğin ChatGPT’ye.
Yukarıda gördüğünüz gibi herhangi bir kod parçasında zafiyet mevcutsa bunu ChatGPT’ye sorarak öğrenebilirsiniz. Tabii ki kodlardaki zafiyetleri tespit eden profesyonel araçlar kadar iyi çalışmasa da eğitim için yararlı olabilir.
ChatGPT ile Zafiyetin Risklerini Analiz Et
Her güvenlik zafiyetinin ayrı riskleri mevcuttur. Örneğin yukarıdaki ilk zafiyet olan SQL Injection sunucu tarafında çok riskli bir zafiyet olarak tanımlanırken, ikinci zafiyet olan XSS zafiyeti istemci tarafında çok riskli bir zafiyet olarak tanımlanır.
Yukarıdaki gibi bir zafiyet türünün risklerini ChatGPT’ye sorarak rahatlıkla listeleyebilir, riskleri yüksek olan zafiyetleri ayırt edip onların giderilmesini önceliklendirebiliriz.
ChatGPT ile Zafiyet Çözüm Önerileri
Zafiyetleri bulduktan sonra bunların giderilmesini sağlamak siber güvenlik uzmanlarında olan bir sorumluluktur. Bir zafiyet tespit edildiğinde bu zafiyetin nasıl giderileceğini, çözüm önerilerini ChatGPT’ye sorabilirsiniz.
Yukarıdaki gibi herhangi bir zafiyetin çözüm önerileri için yine ChatGPT’ye başvurabiliyoruz.
Dikkat Edilmesi Gerekenler
ChatGPT yazılımcı ve siber güvenlik uzmanlarının işini ciddi şekilde kolaylaştıran ve daha da kolaylaştırma potansiyeli bulunan bir araç.
1. Ancak dikkat edilmesi gereken noktalar mevcut.
ChatGPT her zaman doğru sonucu vermeyebilir.
ChatGPT’yi her ne kadar medyum, kahin gibi görenler olsa da bazı zamanlarda girilen prompt (modele verilen girdi) nedeniyle veya modeldeki bir sorun sebebiyle yanlış sonuçlar verebilir.
2. ChatGPT’nin hassas veriler ile işlem yapmasını sağlamayın.
ChatGPT internet üzerinde çalışan bir sistem olduğundan dolayı eğer hassas veriler ile çalışıyorsanız bunların sorunlarını ChatGPT’den çözmesini istemeyin. Doğru sonuçlar verebilse de girilen tüm girdiler başka bir sistemin veritabanında loglanıyor. Örneğin şifreler veya kaynak kodları anonimleştirmeden hiçbir şekilde ChatGPT’ye vermeyin. OpenAI güvenlik konusunda tüm önlemleri alsa da saldırganların verileri ele geçiremeyeceğine kimse %100 garanti veremez. Dil modelinin daha fazla gelişmesi için girilen promptların işlenmesi gereksinimini de düşününce hassas verilerinizin başka bir kullanıcıya örnek veri olarak gösterilmesi mümkün. Kodları mümkün olduğunca anonimleştirerek ChatGPT’ye verin.
3. Öğrendiklerinizi yalnızca yetkili olduğunuz sistemlerde kullanın.
Siber güvenlik alanı oldukça eğlenceli ama bir o kadar da riskli bir alandır. Denemek için çalıştıracağınız bir komut sisteme zarar verebilir. O nedenle yalnızca yetkili olduğunuz sistemlerde zararlı komutları çalıştırın. Eğer test amaçlı zafiyetli bir site bulamıyorsanız DVWA gibi projeleri indirip kendi bilgisayarınıza veya sunucunuza kurabilir, zafiyetleri ilgili projelerde test edebilirsiniz.
Bu makalenin yalnızca eğitim amaçlı oluşturulduğunu, ChatGPT’nin yalnızca eğitim amaçlı bu yanıtları verdiğini unutmayın. Günün sonunda çalıştırdığınız zararlı komutlar sizin sorumluluğunuzdadır.
09.06.2023
Yorumlar
Yararlı bir yazı olmuş, teşekkür ederiz.
elinize sağlık, yaralı bir yazı
Bu makale gerçekten temel siber güvenlik konularını anlatırken çok yardımcı oldu. Ancak, yazının içerisine eklenmesi gereken bir şey daha olduğunu düşünüyorum. Özellikle, güvenlik açıklarının nasıl tespit edilebileceği ve siber saldırılara karşı nasıl savunulabileceği konusunda daha fazla detay verilebilir. Bununla birlikte, ben TryHackMe ve HackTheBox gibi platformları kullanarak nasıl pratiğe yönelebileceğimi öğrendim. Bence yazıya bu platformların nasıl kullanılacağına dair kısa bir rehber de eklemek faydalı olabilir. Genel olarak, harika bir başlangıç noktası sağlamışsınız!
Yazı içeriği çok güzel olmuş, teşekkürler.
Çok faydalı ve iyi bir yazı olmuş, emeğiniz için teşekkür ederiz.
ChatGPT, günlük hayatta kullandığımız bıçak gibi kullanım amacına göre farklı etkileri olan bir araç. Saldırgan gözüyle de bakınca kolayca zararlı bir yazılım geliştirme için kullanılabilir. Ayrıca kullanıcıların ChatGPT kullanırken kurumsal ve kişisel verileri de çok fazla düşünmeden paylaştığı unutulmamalıdır. Farkındalık artıran güzel bir yazı olmuş, emeğine sağlık Onur.
Faydalı bir yazı emeğinize sağlık