-
Notifications
You must be signed in to change notification settings - Fork 0
/
C0.Finnish.tex
167 lines (88 loc) · 8.16 KB
/
C0.Finnish.tex
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
% --------------------------------
% FINNISH SUMMARY
% --------------------------------
\chapter*{Generatiivinen tekoäly käyttäjän manipulointihyökkäysten apuna\label{chapter:finnish}}
\begin{comment}
Tekoälyä hyödyntävä käyttäjän manipulointi
Teokälypohjainen käyttäjän manipulointi
Tekoälyavusteinen käyttäjän manipulointi
Pyydä Riinalta ym palautetta kieliopin tarkistuksessa! Opin samalla itse. Riinahan voi tarkistaa esim tätä .tex tiedostoa GitHubista? Tai PDF kumpi vaan hänelle parempi, mutta PDF:n kassa pitää muistaa aina päivittää se Overleafiin ja sitten GitHubiin.
Ohjeet:
- 4 or 5 sivua
- TOC ja Chapter 1 Introduction väliin
Kappaleet:
- (ilman nimeä sisältää Introduction ja Definition kappaleet)
- Hyökkäykset ja työkalut
- Puolustuskeinot
- Puolustuskeinojen arviointia
- Yhteenveto
- EI Overleaf kappalenumerointia? Kappale "0"?
\end{comment}
Käyttäjän manipuloinnilla (\textit{social engineering}) tarkoitetaan tietoturvan kontekstissa tietojärjestelmän loppukäyttäjään, eli ihmiseen, kohdistuvaa tietoturvahyökkäystä \citep{mitnickArtDeceptionControlling2003}. Sen sijaan että hyökkääjät etsisivät tietojärjestelmistä teknisiä haavoittuvuuksia, he kohdistavat hyökkäykset ihmiseen käyttäen hyväksi psykologisia menetelmiä \citep{wangDefiningSocialEngineering2020}.
Historiallisesti käyttäjän manipulointi on ollut riippuvainen ihmisen intuitiosta ja manuaalisesta työstä, mutta moderni tekoäly (\textit{artificial intelligence, AI}) on nyt muuttamassa koko kenttää uusiksi. Tekoälyn avulla hyökkääjät pystyvät luomaan uskottavia tietojenkalasteluviestejä (\textit{phishing}) sekä imitoimaan virallisia tahoja ja toimijoita realististen syväväärennösten (\textit{deepfake}), kuten kuvien, äänen ja jopa videoiden avulla.
Tässä kandidaatintutkielman suomenkielisessä lyhennelmässä käydään läpi tärkeimmät käyttäjän manipulointihyökkäykset sekä puolustuskeinot niihin.
\section*{Hyökkäykset ja työkalut}
Tunnetuin käyttäjän manipulointihyökkäys on tietojenkalastelu (\textit{phishing)}. Tietojenkalastelu on petollista toimintaa missä hyökkääjä esiintyy luotettavana tahona tavoitteenaan saada käyttäjältä luottamuksellisia tietoja kuten hänen salasanansa tai luottokorttinsa numeron. Kohdennettu tietojenkalastelu (\textit{spear phishing}) on kohdennettu tietylle käyttäjälle tai yritykselle, sisältäen jotain relevanttia tietoa kuten esimerkiksi käyttäjän nimen tai roolin yrityksessä.
OpenAI julkaisi vuonna 2022 ChatGPT:n joka mullisti tavan jolla ihmiset käyttävät tekoälyäpalveluita. Se keräsi yli 100 miljoonaa käyttäjää ensimmäisen kahden kuukauden aikana\footnote{https://explodingtopics.com/blog/chatgpt-users (luettu 2024-07-21)}. ChatGPT on ns. generatiivinen tekoäly (\textit{generative AI}) joka on koulutettu suurella määrällä tietoa ja joka pystyy tämän pohjalta luomaan uutta sisältöä, kuten tekstiä tai kuvia.
OpenAI ja muut tekoälypalveluita varmistavat yritykset ovat asettaneet käyttöehtoja, joiden puitteissa palvelun käyttö on sallittua. Rajoituksia käytölle on asetettu myös tekoälytoiminnallisuuksien sisälle. Hyökkääjät ovat kuitenkin onnistuneet valjastamaan ChatGPT:n kaltaiset suuret kielimallit (\textit{large language model}) omiin tarkoituksiinsa ohittamalla nämä rajoitukset.
ChatGPT ei esimerkiksi suoraan anna listaa sivustoista joilta voisi ladata laittomasti elokuvia, vaan sanoo että tämä toiminta on epäeettistä ja voi aiheuttaa käyttäjän tietokoneen saastumisen haittaohjelmilla (\textit{malware}). Tällaiset rajoitukset on pystynyt ohittamaan useilla eri keinoilla, esimerkiksi sanomalla että suojellakseen käyttäjää haittaohjelmilta ChatGPT:n pitäisi kertoa sivustoista joille käyttäjän ei tule mennä. Näin käyttäjä saa haluamansa tiedot käyttäen käänteistä psykologiaa.
Näin hyökkääjät ovat pystyneet käyttämään suurten kielimallien tekoälytyökaluja tietojenkalasteluviestien laatimisessa, mikä on huomattaavasti parantanut niiden uskottavuutta.
Syväväärennökset (\textit{deepfake}) ovat aidolta vaikuttavaa sisältöä kuten kuvia, ääntä tai videota, joka on luotu generatiivisen tekoälyn avulla. Syväväärennöksiä voidaan käyttää esimerkiksi opetusmateriaalina, mutta niitä voidaan käyttää myös petollisiin tarkoituksiin. Syväväärennöksiä on jo onnistuneesti käytetty käyttäjän manipulointihyökkäysten osana.
\section*{Puolustuskeinot}
Puolustautuminen tekoälyavusteisia käyttäjän manipulointihyökkäyksiä vastaan on pitkälti samankaltaista kuin tavallisiakin hyökkäyksiä vastaan, muutamilla muutoksilla. Puolustautumiskeinot voidaan jakaa karkeasti kahteen, ihmislähtöisiin ja tekniikkalähtöisiin.
Perinteinen tapa suojata käyttäjää tietojenkalasteluviesteitlä on ollut sääntöpohjainen suodattaminen (\textit{rule-based filtering}). Yksinkertaistettuna se vain tarkoittaa joukkoa loogisia sääntöjä joita seuraamalla voidaan päätellö onko viesti jollain todennäköisyydellä tietojenkalasteluviesti vai ei.
Sääntöpohjainen suodattaminen ei kuitenkaan toimi kovin hyvin tekoälyavusteista tietojenkalastelua vastaan. Tässä kohtaa tekoäly on valjastettu myös suojaamaan käyttäjää, eli siinä missä hyökkääjät käyttävät tekoälyä luodakseen kalasteluviestejä, puolustajat käyttävät sitä tunnistamaan näitä viestejä.
Historiallisesti ei ole ollut tarvetta tarkistaa saatujen kuvien tai videoiden aitoutta, mutta nyt syväväärennösten aikakautena käyttäjä ei voi luottaa näkemänsä materiaalin aitouteen vaan lisävarmistuksia on tehtävä. Yksi tapa on käyttää tekoälypohjaisia palveluita syväväärennösten tunnistamiseen, samaan tapaan kuin sähköpostiviestienkin tarkistaminen.
Käyttäjälähtöiset tavat ovat tyypillisesti olleet käyttäjien kouluttaminen, simuloidut käyttäjän manipulointihyökkäykset, yrityksen tietoturva- ja tietosuojaohjeistusten laatiminen ja käytön valvonta, sekä tietoturva- ja tietosuojatietoisen yrityskulttuurin rakentaminen.
Tekoälypohjainen käyttäjän manipulointi tuo joitain muutoksia käyttäjälähtöisille puolustuskeinoille. Ensinnäkin käyttäjät eivät enää voi luottaa siihen, että hyvinkään kirjoitettu viesti ei olisi tietojenkalasteluviesti. Toiseksi kaikki saatu materiaali, kuten kuvat, äänitiedostot ja videot, saattavat olla syväväärennöksiä, vaikka käyttäjä ei itse pystyisi huomaamaan niissä mitään epätavallista.
Koska tekoälyohjelmat pystyvät automaattisesti etsimään Internetistä tietoa joita voisi käyttää osana käyttäjän manipulointihyökkäyksiä, myöskään viestit joissa on maininta joistain käyttäjälle relevanteista, ehkä jopa henkilökohtaisista asioista, ei voida enää varmuudella sanoa olevan aitoja.
\section*{Puolustuskeinojen arviointia}
Tässä luvussa käydään arvointia puolustuskeinojen tehokkuudesta.
Tekoälyavusteisten hyökkäysten torjuminen pohjautuu hyvin paljon samoille tekniikoille jotka ovat jo käytössä: sisääntulevan viestinnän tarkistaminen, käyttäjien kouluttaminen, simuloidut hyökkäykset, yrityskulttuurin rakentaminen ja tietoturvaohjeistusten ylläito. Jokaiseen näihin kuitenkin on tehtävä muutoksia generatiivisen tekoälyn luoman uuden uhan vuoksi.
\section*{Yhteenveto}
Vaikuttaa siis siltä että voimme olettaa tekoälyjärjestelmien nopean kehittymisen jatkuvan, tietoturvauhkien kehittymisen niiden mukana, ja tarpeen jatkuvalle käyttäjien kouluttamiselle ja uusien puolustuskeinojen löytämiselle kasvavan.
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]
[FILLER ROW]