क्या आर्टिफिशियल इंटेलिजेंस आपको प्रोग्राम की कमजोरियों के बारे में बता सकता है? शायद, लेकिन हो सकता है कि आप जो कहते हैं उसमें अपना पूरा विश्वास न रखना चाहें।
पेनेट्रेशन परीक्षण एक सुरक्षा परीक्षण है जिसमें सिस्टम में अन्य कमजोरियों की खोज करने और दुर्भावनापूर्ण कोड निष्पादित करने के लिए कमजोरियों का उपयोग करना शामिल है। ये परीक्षण विशेष रूप से डेटा माइनिंग से बचाव और सुरक्षा शोषण को रोकने के लिए महत्वपूर्ण हैं।
पेनेट्रेशन टेस्ट में नेटवर्क की सुरक्षा का परीक्षण करने के लिए उपयोग की जाने वाली कई तकनीकें शामिल हैं। इन तकनीकों में नेटवर्क, फायरवॉल, सुरक्षा निगरानी प्रणाली और कृत्रिम बुद्धिमत्ता को स्कैन करना शामिल है। आर्टिफिशियल इंटेलिजेंस नेटवर्क कमजोरियों को प्रकट करने के लिए विकसित तकनीकों का उपयोग करके सुरक्षा परीक्षणों का विश्लेषण कर सकता है।
एआई आपको पैठ परीक्षण और स्वचालित रूप से निष्पादित सुरक्षा परीक्षणों में उपयोग के लिए डिज़ाइन किए गए विशेष एल्गोरिदम के साथ अधिक व्यापक और प्रभावी परिणाम प्राप्त करने में सक्षम बना सकता है।
पेनेट्रेशन टेस्टिंग के लिए एआई का उपयोग करने के लाभ
आज, प्रौद्योगिकी के तेजी से विकास और उपयोगकर्ताओं की लगातार बढ़ती सुरक्षा आवश्यकताओं ने सुरक्षा परीक्षणों में एआई प्रौद्योगिकियों के उपयोग की आवश्यकता को प्रकट किया है। सुरक्षा में सुधार के लिए एआई का उपयोग बहुत तेज और अधिक कुशल परिणाम प्रदान करता है, जिससे अक्सर अनुकूलित और जटिल सुरक्षा परीक्षण करने के लिए समय लेने वाली जनशक्ति की आवश्यकता समाप्त हो जाती है। एआई जल्द से जल्द कमजोरियों का पता लगाने में मदद करता है। यह अद्वितीय और जटिल सुरक्षा परीक्षण भी कर सकता है, जिससे कमजोरियों का पता लगाना आसान हो जाता है।
एआई काफी सफल प्रतीत होता है, खासकर जब किसी हमले का पता लगाने और उसे रोकने की बात आती है। आर्टिफिशियल इंटेलिजेंस को प्रशिक्षित करने के लिए बहुत बड़े डेटा सेट की जरूरत होती है। उच्च वेब ट्रैफ़िक वाला एक एप्लिकेशन इस संबंध में एक लाभकारी है। क्योंकि आप प्रत्येक आने वाले ट्रैफ़िक को एआई के उपयोग के लिए डेटासेट की तरह बना सकते हैं। इस प्रकार, आपके पास एक एआई है जो पढ़ सकता है और वेब एप्लिकेशन ट्रैफ़िक का विश्लेषण करें और खतरों का पता लगाएं। यह सबसे सरल उदाहरणों में से एक है जिसे दिया जा सकता है।
यह न केवल वेब ट्रैफ़िक बल्कि आपके ऐप या डिवाइस के लिए बहुत सारे मैलवेयर का भी पहले से पता लगा सकता है। इस पद्धति का उपयोग कई फ़ायरवॉल द्वारा पहले ही किया जाना शुरू हो गया है।
इन सबके अलावा, मानवीय त्रुटि साइबर सुरक्षा में सबसे बड़ी समस्याओं में से एक है। एक मामूली कोड भेद्यता जिस पर किसी का ध्यान नहीं जाता है, वह बड़ी अपरिवर्तनीय सुरक्षा समस्याओं को जन्म दे सकती है। कुछ प्लगइन्स जो कोड में कमजोरियों के लिए स्कैन करते हैं, एआई के विकास के साथ उभरे हैं, और वे ऐसे मुद्दों के बारे में डेवलपर्स को चेतावनी देते हैं। अब तक, उन्होंने मानवीय त्रुटियों को रोकने में कुछ सफलता दिखाई है।
इसके अलावा, किसी खतरे के खिलाफ दिखाया गया रिस्पांस टाइम भी बहुत महत्वपूर्ण होता है। हमले के दौरान, हमले का पता लगाने, बचाव के लिए मार्ग की योजना बनाने और रक्षा प्रणालियों को लॉन्च करने में समय लगता है। लेकिन एआई इस संबंध में बहुत मददगार है।
साइबर सुरक्षा में एआई की सीमाएं
साइबर सुरक्षा उद्देश्यों के लिए एआई का उपयोग करने के लिए दुर्भावनापूर्ण, स्वच्छ और संभावित रूप से असुरक्षित अनुप्रयोगों की पहचान और विश्लेषण करना आवश्यक है। यहां तक कि अगर आप एल्गोरिदम को प्रशिक्षित करने के लिए बहुत बड़े डेटासेट का उपयोग करते हैं, तो भी आप परिणाम के बारे में निश्चित नहीं हो सकते हैं। नतीजतन, पूरी तरह से मशीनों और एआई पर भरोसा करना सुरक्षित नहीं है। मानवीय हस्तक्षेप के साथ एआई प्रौद्योगिकी का समर्थन करना आवश्यक है।
कुछ सुरक्षा उपकरण निर्माताओं का दावा है कि मशीन लर्निंग द्वारा संचालित समाधान प्रत्येक उदाहरण का विश्लेषण कर सकते हैं। निर्माताओं के अनुसार, ये उपकरण केवल गणितीय तरीकों का उपयोग करके मैलवेयर का पता लगा सकते हैं। हालाँकि, यह शायद ही संभव हो।
द्वितीय विश्व युद्ध के दौरान एलन ट्यूरिंग द्वारा एनिग्मा कोड को क्रैक करना इसका एक बहुत अच्छा उदाहरण है। यहां तक कि एक संपूर्ण मशीन भी यह तय नहीं कर सकती है कि कोई अज्ञात इनपुट भविष्य में अवांछित व्यवहार का कारण बन सकता है या नहीं। यह प्रमाण साइबर सुरक्षा सहित कई अलग-अलग क्षेत्रों में लागू किया जा सकता है।
साइबर सुरक्षा में मशीन लर्निंग अनुप्रयोगों की एक और गंभीर सीमा कृत्रिम बुद्धिमत्ता मॉडल की सीमा के भीतर छिपी हुई है। उदाहरण के लिए, शतरंज में इंसानों को मात देने के लिए मशीनें काफी स्मार्ट हो गई हैं।
लेकिन शतरंज के कुछ नियम होते हैं। शतरंज के इंजन इन नियमों से विचलित नहीं होते। जब साइबर सुरक्षा की बात आती है, तो हमलावरों के पास अक्सर कोई नियम नहीं होते हैं। डिजिटल परिदृश्य की हमेशा बदलती प्रकृति एक सुरक्षात्मक समाधान बनाना असंभव बनाती है जो भविष्य के सभी खतरों का पता लगा सके और उन्हें रोक सके।
चैटजीपीटी के साथ स्रोत कोड विश्लेषण
OpenAI द्वारा विकसित ChatGPT ने कई क्षेत्रों में हमारे जीवन में गंभीर प्रवेश किया है। जैसा तुम कर सकते हो कुछ प्रश्न पूछें और ChatGPT से चैट करें, यह प्रोग्रामिंग और सॉफ़्टवेयर समस्याओं में आपकी सहायता करने का भी प्रयास करता है। चैटजीपीटी स्रोत कोड विश्लेषण करने की भी कोशिश करता है, अगर आप इसे साइबर सुरक्षा के नजरिए से देखें। लेकिन ChatGPT अभी भी अपनी प्रारंभिक अवस्था में है और इसे उठने और चलने में कुछ समय लगेगा।
इसे बेहतर तरीके से देखने के लिए, आइए ChatGPT की शक्ति का परीक्षण करें। उदाहरण के लिए, नीचे एक साधारण जावास्क्रिप्ट कोड है जो XSS भेद्यता बनाता है। आइए चैटजीपीटी से इस कोड के बारे में पूछें और इसे किसी भी भेद्यता के बारे में बताएं।
दस्तावेज़।लिखना("वर्तमान यूआरएल: " + दस्तावेज़.बेसयूआरआई);
चैटजीपीटी ने उल्लेख किया है एक्सएसएस भेद्यता जवाब में। यह काफी अच्छी शुरुआत है। लेकिन सोर्स कोड कभी भी इतने आसान नहीं होते हैं। तो आइए उदाहरण को थोड़ा और जटिल बनाने का प्रयास करें।
नीचे आपको C प्रोग्रामिंग लैंग्वेज में तैयार किया गया एक कोड दिखाई देगा। यह सी कोड एक कमजोर अनुप्रयोग से संबंधित है। यह पूरी तरह से वास्तविक दुनिया के अनुप्रयोग में भी उपयोग किया गया था। यदि आप चाहें, तो आप वास्तविक दुनिया के स्रोत कोड की कमजोरियों की जांच कर सकते हैं सोनार 2022 में रिलीज़ हुई.
चार *लॉगरपाथ *cmd;खालीपनरोटेटलॉग(){
चारलॉगपुराना[PATH_MAX], logNew[PATH_MAX], TIMESTAMP[0x100];
समय_टी टी;
समय (और टी);
strftime (टाइमस्टैम्प, साइज़ोफ़ (टाइमस्टैम्प), "% एफटी% टी", जीएमटाइम (&टी));
स्नप्रिंटफ (लॉग ओल्ड, साइजोफ (लॉग ओल्ड), "%s/../logs/global.log"लकड़हारापाथ);
स्नप्रिंटफ (लॉगन्यू, साइजोफ (लॉगन्यू), "%s/../logs/global-%s.log", लकड़हारापाथ, टाइमस्टैम्प);
निष्पादन ("/बिन/सीपी", "/बिन/सीपी", "-ए", "--", लॉग ओल्ड, लॉग न्यू, व्यर्थ);
}int यहाँमुख्य(int यहाँ एआरजीसी, चार **आर्गव){
अगर (आर्गसी! = 2) {
printf("उपयोग: /opt/logger/bin/loggerctl \n");
वापस करना1;
}अगर (सेटुइड (0) == -1) वापस करना1;
अगर (सेट्यूइड (0) == -1) वापस करना1;चार * निष्पादन योग्य पथ = argv [0];
लकड़हारापथ = dirname (निष्पादन योग्यपथ);
सीएमडी = एआरजीवी [1];
अगर (! strcmp (cmd, "घूर्णन")) रोटेटलॉग ();
अन्य सूची कमांड ();
वापस करना0;
}
यहां भेद्यता यह है कि एक हमलावर प्रशासनिक विशेषाधिकारों के बिना कुछ फाइलों में बदलाव कर सकता है। आइए देखें कि चैटजीपीटी इस सुरक्षा भेद्यता का जवाब कैसे देगा।
इस कोड में मुख्य समस्या है setuid, उपयोगकर्ता पहचान (यूआईडी), और प्रभावी उपयोगकर्ता आईडी (euid). हालाँकि, बहुत अधिक तकनीकी विस्तार में जाने के बिना, आपको जिस मुख्य बिंदु पर ध्यान देना चाहिए, वह है चैटजीपीटी पता नहीं लगा सका यह पतला भाग। यह महसूस कर सकता है कि कोई समस्या है लेकिन दुर्भाग्य से इस समस्या की जड़ तक नहीं पहुँच सकता।
इन उदाहरणों के माध्यम से, आपने विभिन्न प्रोग्रामिंग भाषाओं और कमजोरियों पर प्रतिक्रियाएँ देखी हैं। यदि कोड वास्तव में सरल है और एक स्पष्ट सुरक्षा छेद है, तो ChatGPT आपकी मदद कर सकता है। लेकिन आपको स्रोत कोड विश्लेषण, पैठ परीक्षण और अन्य सुरक्षा विश्लेषण के लिए पूरी तरह से चैटजीपीटी पर भरोसा नहीं करना चाहिए।
पेनेट्रेशन परीक्षकों का भविष्य
आर्टिफिशियल इंटेलिजेंस भविष्य में पेनिट्रेशन टेस्टर्स के काम का अहम हिस्सा होगा। उदाहरण के लिए, पैठ परीक्षकों को मैन्युअल रूप से दुर्भावनापूर्ण गतिविधि का पता लगाने में समय नहीं लगेगा और वे स्वचालित रूप से सुरक्षा स्कैन करने में सक्षम होंगे।
एआई पैठ परीक्षण के लिए नई और अधिक जटिल हमले तकनीकों का पता लगाने और उनके खिलाफ कार्रवाई करने में भी मदद करेगा। लेकिन एआई अभी भी पार्क में खेलने वाले बच्चे की तरह है और उसे एक वयस्क से सलाह की जरूरत है। निकट भविष्य में, साइबर सुरक्षा विशेषज्ञ और पैठ परीक्षक आसानी से काम से बाहर नहीं होंगे।
