Mlliyet Milliyet Blog Milliyet Blog
 
Facebook Connect
Blog Kategorileri
 

27 Haziran '09

 
Kategori
İnternet
Okunma Sayısı
721
 

İnternet güvenliği ve toplum mühendisliği

İnternet güvenliği ve toplum mühendisliği
 

Bilgisayarınızdaki en büyük açık ne bugüne kadar hiç düşündünüz mü? İşletim sisteminiz, anti-virüs programınız? Hayır bilgisayarınızın en zayıf halkası sizsiniz. Yanlış duymadınız insan güvenlik sisteminin en zayıf halkasıdır. Yıllardır kapatılamayan ve önlem alınamayan en büyük açık insan faktörüdür. Hiç bir hack programı mucizeler yaratmaz. Zannedildiği gibi bazı hack araçlarına birinin e-mail adresini yazarsanız size şifresini söylemez veya kurbanın IP adresini yazıp “bağlan” tuşuna bastığınızda bilgisayarın masaüstüne bağlanan bir araç bulmazsınız. Bütün hack programları güvenliğin en zayıf halkasını kullanır. Profesyonel hackerlar insan faktöründen yola çıkarken “Script Kiddies(Kod Veletleri)” denilen kişiler hala bazı programlarla amaçlarına ulaşma peşindedir. Bu yanılgıya düşmeyin. Aldatmak veya aldanmamak için doğru yerden başlayın ve “Toplum mühendisliği” öğrenin.

TOPLUM MÜHENDİSLİĞİ


Hacker olmanın 2 yolu vardır: Birincisi kendi yazdığın programları kullanmak ki bu çok az kişi tarafından yapılabilir. 2.yol ise bir çok profesyonel hackerın –ve tabi ki dolandırıcıların- tercih ettiği “toplum mühendisliği”. Toplum mühendisliği yöntemi güvenliğin en zayıf halkası insan faktörünün zaaflarından yararlanır. Albert Einstein şöyle demiştir: “Yalnızca iki şey sonsuzdur; evren ve insanın aptallığı, aslında evrenin sonsuzluğundan o kadar da emin değilim”. Eğer Einstein’in dediği gibi insanoğlu bu kadar aptalsa, ya da doğru güvenlik uygulamaları konusunda bu kadar bilgisizlerse, toplum mühendisliği yöntemi büyük ölçüde başarılı olmaktadır. Ancak toplum mühendisliğinde ufak da olsa bazı casus programlara ihtiyaç duyabilirsiniz. Toplum mühendisliğini daha iyi anlayabilmeniz için bir örnek olayla başlayalım işe:

Klasik bir aldatma vakası:

Yardımsever Andrea

-İnsan kaynakları, Andrea Colhaun.

-Andrea, merhaba, ben Alex; Şirket Güvenliği’nden

-Evet?

-Bugün işler nasıl?

-İyi. Sizin için ne yapabilirim?

-Yeni başlayanlar için bir güvenlik semineri düzenliyoruz ve deneme için birkaç kişiyi bir araya getirmemiz gerekiyor. Geçen ay işe başlayan herkesin adlarına ve telefon numaralarına ihtiyacım var. Bana bu konuda yardımcı olabilir misiniz?

Tabi ki olabilirdi.

Rosemary’nin hikayesi

Rosemary Morgan yeni işinden çok memnundu. Daha önce hiçbir dergi için çalışmamıştı ve insanları beklediğinden daha da dost canlısı bulmuştu. Bir perşembe sabahı aldığı telefon bu dostça izlenimini pekiştirdi.

-Rosemary Morgan’la mı görüşüyorum?

-Evet.

-Merhaba Rosemary. Ben Bill Jordey.Bilgi Güvenliği Grubu’ndan.

-Evet?

-Bizim birimden kimse daha önce sizinle güvenlik uygulamaları hakkında görüştü mü?

-Sanmıyorum.

-Peki. Bakalım. Öncelikle kimsenin şirket dışından getirdiği programları yüklemesine izin vermiyoruz. Bunun nedeni lisanslı olmayan yazılım kullanımından sorumlu olmak istemememiz ve solucan veya virüs içeren yazılımların oluşturabileceği olumsuz sonuçlardan uzak durmak.

-Anlıyorum.

-E-posta uygulamalarımızdan haberdar mısınız?

-Hayır.

-Şu anda kullandığınız e-posta adresi nedir?

-rosemary@ttrzine.com

-Tamam. Tüm yeni çalışanlarımızı beklemedikleri e-posta eklerini açmalarının oluşturacağı tehlikeye karşı uyarmak istiyoruz. Pek çok solucan ve virüs ortalarda geziniyor ve tanıdığınız insanlar tarafından yollanmış gibi görünen e-posta eklerinden geliyorlar. Tanıdığınız kişilerden ekli e-postalar aldığınızda gönderen kişiyle bağlantı kurarak böyle bir mail gönderip göndermediğini teyit ettirerek emin olmalısınız. Anlıyor musunuz?

-Evet, bunu duymuştum.

-İyi.E-posta uygulamamız her 90 günde bir parolanızı değiştirmeniz şeklinde. Parolanızı en son ne zaman değiştirdiniz?

-Yalnızca 3 haftadır burada çalışıyorum ve ilk aldığım parolayı kullanıyorum.

-Tamam. Doksan gün dolana kadar bekleyebilirsiniz. Ama insanların tahmin edilmesi kolay olmayan parolalar kullandıklarından da emin olmak istiyoruz. Hem sayı hem de harf içeren bir şifre mi kullanıyorsunuz?

-Hayır.

-Bunu düzeltmeliyiz. Şu an kullandığınız şifre nedir?

-Anetta, kızımın adı.

-Bu çok güvenli bir şifre değil. Hiçbir zaman aile bilgilerinize dayanan şifreler seçmemelisiniz. Peki…Benim yaptığımın aynısını yapabilirsiniz. Şifrenizin bir parçası olarak sonuna değiştirdiğiniz ayın sayısını ekleyin. Yani mart ayında şifrenizi değiştirirseniz şifreniz Anetta03 şeklinde olmalı.

-Tamam.

-Güzel.Size parolanızı nasıl değiştireceğiniz konusunda yardımcı olmamı ister misiniz?

-Teşekkür ederim, nasıl yapılacağını biliyorum.

-Tamam. Söylemem gereken bir şey daha var. Bilgisayarınızda yüklü olan virüs koruma programını sürekli olarak güncelleyerek aktif tutmalısınız. Bilgisayarınız yavaşlasa bile aktif denetimi devre dışı bırakmamalısınız. Tamam mı?

-Elbette.

-Çok iyi. Her hangi bir güvenlik problemiyle karşılaştığınızda bize ulaşın. Numaramız sizde var mı?

Yoktu. Bill bir telefon numarası verdi, kadın özenle not etti ve bir kez daha ona ne kadar iyi baktıklarını düşündü. Artık Bill isterse Rosemary’nin e-posta adresine el koyabilir veya şifresini değiştirse bile Rosemary’nin hesabına dilediği gibi girebilir.

Aldatmacanın incelenmesi:

Bill için: “İşe yeni başlamış bir eleman her zaman için iyi bir hedeftir”

Rosemary için: “İstekte bulunan kişinin sesini tanımıyorsanız ve istemek için yeterince önemli görünen bir sebebi yoksa güvenlikle ilgili bilgilerinizi vermeyin.”

Artık toplum mühendisliğinin ne olduğunu biliyorsunuz. Peki bu bilgilerinizi nasıl kullanacaksınız? İşte adım adım toplum mühendisliği.

1)Bilgi toplamak

Bilgi güçtür. Bir güvenlik duvarının aşılması kimsenin korunmaya değer bulmadığı, masum ve günlük bilgilerin ele geçirilmesiyle başlayabilir. Bu önemsiz bilgileri toplum mühendisleri el üstüne tutarlar çünkü bu herhangi bir görüşme sırasında inandırıcı olabilmek için çok önemlidir. Bir işe başlamadan önce o işte işinize yarayacak isimleri, telefon numaralarını, şubeleri, adresleri, bazı şirketlerin adları gibi bilgileri mümkün olduğunca edinip, gözden geçirin.

2)Saldırı: Yalnızca istemek

Pek çok toplum mühendisliği saldırısı karmaşık bir biçimde planlanmıştır; ancak çoğu durumda kolayca, lafı dolandırmadan bilgiyi isteyivermek bile yeterli olabilir.

Genç Bir Kanun Kaçağı

Frank Parsons yıllardır polisten kaçmaktaydı ve Federal Hükümet tarafından hala aranıyordu. 2 yılda bir taşınırdı.Bir keresinde Frank kendini daha önce hiç bulunmadığı bir yerde buldu ve iş aramaya başladı. Yüksek bilgisayar becerilerine sahip biri olarak Frank için iş bulmak problem olmuyordu. Ve bir gün yaşadığı yerin yakınlarında yüksek gelirli insanlara hizmet veren bir şirkette dolgun bir ücretle işe başlama imkanına sahip oldu. Hemen işe başlamak için başvurdu ancak bir sorun vardı. İşveren onun adli sicilini istiyordu ve bunu bizzat eyalet polisinden alması gerekiyordu. İş başvurusu için gerekli evrakların arasında bir dilekçede parmak izi isteniyordu. Eğer parmak izi FBI veritabanındakilerle karşılaştırılırsa hapsi boylardı. Öte yandan, Frank-küçük bir olasılık da olsa- eyalet polisinin parmak izlerini FBI’a göndermeyebileceklerini düşündü. Bu durumda gönderilip gönderilmediğini nasıl öğrenebilirdi? Ertesi gün eyalet polisine telefon etti.

-Merhaba Adalet Bakanlığı için bir çalışma yapıyoruz. Yeni parmak izi tespit sistemi yerleştirmek için gerekli ön koşulları araştırıyoruz. İşi iyi bilen ve bize yardımcı olacak biriyle görüşebilir miyim?

Uzman geldikten sonra Frank birkaç soru sordu. Kullandıkları donanım hiç sorun çıkarmış mıydı ?Ulusal Suç Bilgileri Merkezi’nin tarama ağına mi bağlıydılar yoksa yalnızca eyaletinkine mi? Donanım herkesin öğrenebileceği kadar kolay bir kullanıma sahip miydi?

Anahtar soruyu diğerlerinin arasına sıkıştırıvermişti.

USBM’ye (Ulusal Suç Bilgileri Merkezi) bağlı değillerdi. Ellerindeki parmak izleri sadece eyaletin kayıtlarından taranıyordu ve Frank’ın bu eyalette parmak izi yoktu. Başvurusunu yaptı ve işi alındı.Hiç kimse bir gün masasının başına dikilip “Bu beyler FBI’den geliyorlar, senle görüşmek istiyorlarmış” demedi.

3)Güven uyandırmak


Okuduklarınızdan sonra herkesin güvenlik sırlarını dışarı vermeye hazır, hatta istekli olduğunu düşünebilirsiniz. Toplum mühendisliği saldırıları insanların çok salak değil çok kandırılmaya açık olmalarından dolayı bu kadar başarılı oluyor. Ve tabi insanları kandırmak için kendinizi güvenilir kılmalısınız. Bunun için iyi bir toplum mühendisi bir görüşme sırasında kendisine yönelebilecek soruları önceden tahmin etmelidir. Bu güvenilir olmanın bir parçasıdır. Unutmayın güven aldatmanın anahtarıdır.

Henry’nin Hikayesi

Bir gün lokantada otururken Henry, kredi kartı numarasını sağa sola verdiği için kızdı. Babası “Bir şey alırken tabi ki kredi kartı numaranı vereceksin” dedi. “Ama kart numaranı , onu kayıtlarında tutan bir mağazaya vermek, bu çok aptalca” “Bunu tek yaptığım yer Studio Video” dedi Bay Conklin.

-Ama numaranı tek bir yere bile verdin mi, çalınması işten bile değildir.

-Çalışanları mı kastediyorsun?

-Hayır herhangi bir kişiden bahsediyorum.

-Saçmalama.

-Şimdi onları arayıp kredi kartı numaranı bana vermelerini sağlayabilirim.

-Hayır bunu yapamazsın.

-5 dakika içinde yapabilirim hem de burada gözünün önünde ayağa bile kalkmadan.

Henry cep telefonunu çıkardı, babasına hangi mağazayı kullandığını sordu ve yalnızca oranın değil başka bir şubesinin de telefon numarasını almak için “Bilinmeyen Numaralar”ı aradı. Diğer şubeyi arayarak karşısına çıkan elemana verdikleri hizmetten çok memnun olduklarını ve müdürlerine bir mektup yazmak istediğini söyledi. Eleman günün bu saatinde işini gücünü bırakarak bir müşterinin hizmetlerinden çok memnun olduğunu söylemek için araması hoşuna gitmişti ve bu kibar müşteriyi daha fazla bekletmemek için müdürünün adını verdi. Henry daha sonra babasının müşterisi olduğu mağazayı aradı. Müdürün adını kendi adıymış gibi kullanarak birkaç soru sordu. “Sizin bilgisayarlarınız düzgün çalışıyor mu? Bizimkilerde bir problem var da.” Hayır yoktu. “Müşterilerimizden biri video kiralamak istiyor ancak buradaki bilgisayarlar çökmüş durumda. Ve adam kredi kartının yanında olmadığın söylüyor. Bilgilerini versem bizim müşterimiz olup olmadığını kontrol edebilir misin?” Babasının adını verdi. “Evet” dedi karşı taraftaki ses “Bizim müşterimiz”. Henry “Burası çok kalabalık ve işim başımdan aşkın. Lütfen bana müşterinin adresini, telefon numarasını, müşteri numarasının verildiği tarihi ve kredi kartı numarasını okur musun?” Karşı taraftaki eleman işi başından aşkın, kızgın bir müdürü bekletmeye hiç de niyetli değildi, bir an önce istediği bilgileri verdi. Bu sırada Henry önüne aldığı bir peçeteye babasının kredi kartı numarasını yazdı. Konuşmasını bitirdikten sonra peçeteyi babasının önüne itti. Babasının ağzı açık kalmıştı.

4)Yardımcı olmak

Sorunlarla boğuştuğunuz bir sırada birisi çıkıp size yardımcı olabileceğini söylerse bundan mutluluk duyarsınız. İyi bir toplum mühendisi bu zayıflıktan yararlanmayı bilir. Bir toplum mühendisi başınıza bir sorun açabilir ve sonra da size yardım ederek ona minnettar kalmanızı sağlar. Ve bu minnet duygusunu kullanarak sizi zararlı çıkaracak bir bilgi elde edebilir.

Steve Cramer’in öyküsü

Steve GeminiMed Tıbbi Cihazlar Şirketi için yeni cihazlar tasarlıyordu. Son tasarladığı ve oldukça zeki bir şekilde tasarlanmış kalp stenti şu ana dek en çok gurur duyduğu eseriydi. Bir cumartesi sabahı kalp stentinin son parçası olan güç gereksinimi ile ilgili kısmı tasarlamaya çalışırken birden telefon çaldı. “Steve, Ben Ramon Perez, Teknik Destek’ten” dedi karşı taraftaki ses. “Sunuculardan üçü çöktü. Diskleri yedekleyip yenilerini yükleyeceğiz. Çarşamba veya Perşembe günü dosyalarınıza yeniden erişebilirsiniz” Steve sinirli bir şekilde “Olmaz. İki saat içinde bilgisayarımın başına oturacağım ve bilgilerimi erişmem gerekiyor. Anlatabiliyor muyum?” dedi. “Tabi, anlayabiliyorum ama şimdiye kadar aradığım herkes listenin başına geçmek istiyor.” Steve daha da sinirlenmişti. “Teslim tarihim yaklaşıyor ve şirket çıkacak bu ürüne çok güveniyor. Benim bu işi bu öğleden sonraya kadar bitirmem lazım. Bunu kafana iyice sok!” “Tamam, tamam” dedi Ramon “Ancak senin işini görebilmem için bazı bilgilere ihtiyacım var. RM22 sunucusunu kullanıyorsun değil mi?”

“RM22 ve GM16 her ikisini de”

“Peki tamam bazı işleri kısa yoldan yapıp zaman kazanabilirim. Kullanıcı adı ve parolana ihtiyacım olacak.” Steve biraz da olsun rahatlamıştı. Huysuz sistem sorumlusunu bağırarak yola getirdiği için kendisiyle gurur duyuyordu. Kullanıcı adı ve parolasını verdi. İki saat sonra bilgisayarın başına oturduğunda sisteminin tekrar yüklendiğin gördü ve kendisiyle tekrar gurur duydu. Ancak projesi çoktan başka bir şirkete satılmıştı.

5)Sahte siteler ve zararlı ekler

Bir çoğunuzun düşündüğü gibi internet ortamında bedava sirke baldan tatlı değildir. Bedava bir şeyler elde etmeye o kadar meraklıyız ki önümüze gelen hiçbir fırsatı kaçırmamak için düşünmeden atlıyoruz her şeye. Her gün reklam mesajları içeren ve bedava bir şeyler vaad eden e-postalar alıyorsunuzdur. Ne kadar bu konuda bilinçli olsak da bazen hepimizin ilgisini çeken şeyler gelir ve bakmak isteriz. Bu bir oyun olabilir, bedava bir takvim programı veya size bilgisayarınızı Malwarelerden(zararlı yazılımlar) korumayı vaad eden bir virüs programı. Ya da belki tanıdığınız birinden geliyormuş gibi görünen e-postalar alabilirsiniz. Ne kadar bu konuda bilinçli olduğunuzu düşünseniz de tehlikeye karşı duyarlılığınız zamanla azalır ve zaman içinde bu tip tuzaklara tekrar düşebilirsiniz. Belki de bu zararlı yazılımları ciddiye almıyor olabilirsiniz. O zaman size bir truva atının bilgisayarınıza neler yapabileceğini anlatayım. Saldırgan bilgisayarınıza bir e-postayla trojanı gönderir veya siz internetten indirirsiniz. Trojanlı dosyayı açtığınız andan itibaren artık bilgisayarınız paylaşıma açıktır. Saldırgan oturduğu yerden size neler mi yapabilir?

-Bilgisayarınıza format atabilir

-İstediği herhangi bir dosyayı silebilir, taşıyabilir, kopyalayabilir

-Klavyede bastığınız her tuşu kaydedebilir(Bu da demek oluyor ki girdiğiniz sitelere, msn adreslerine ve parolalarına erişebilir)

-Ekran görüntünüzü resim şeklinde alabilir veya videoya kaydedebilir

-Yazıcınızdan istediğini bastırabilir

-Bilgisayarınızı denetim masasındaki bütün ayarlarıyla oynayabilir vs.

Yani bir trojan bilgisayarınıza bulaştığında saldırgan bilgisayarınızın başında oturuyormuş gibi her istediğini yapabilir.

İnternetteki bir diğer zararlı yazılım tehlikesi ise Fake Maillerdir. Durup dururken MSN hesabınız kapanır ve yeniden açmak için parola sorabilir. Veya bazı internet sayfalarına girmek için msn adresi ve parolanızı sorabilir. Yazdığınız anda MSN adresiniz ve parolanız bu sayfayı hazırlayana mail ile bildirilir. Bakın aşağıda bir fake mail örneği var. Görünüş olarak gerçekten bir farkı yok ancak buradan hesabınıza girmeye çalıştığınızda bilgileriniz paylaşıma açılır.

Veya bir diğer yöntem de lamerlar (hacker özentisi) için. İnternette bazı kodlar verilir ve denir ki:

“E-posta1 yerine kendi adresinizi ve şifrenizi e-posta2 için hacklemek istediğiniz kişinin adresine yazın bu kodu şu adrese yollayın istediğiniz kişinin şifreleri mail adresinize gelsin” Hacker olmaya merak sarmış kişiler hemen deneler ve ne olur? MSN adresleri hacklenir çünkü şifrelerini yollamışlardır.

SONUÇ: Bilmediğiniz kişilerden gelen e-postaları ve ekleri açmayın. Bildiğiniz kişilerden geliyormuş gibi görünen ancak beklemediğiniz mailleri ise maili yollayan kişiye sorarak teyit ettikten sonra açın. Hiç bir şekilde kesin olarak güvenmediğiniz bir yere şifrelerinizi vermeyin.

6)Teknoloji ve toplum mühendisliğini birlikte kullanmak

İyi bir toplum mühendisi teknolojiyi iyi kullanmalıdır. Çoğu zaman toplum mühendisliği insanları bir şeyler yapmaya yönlendirme yeteneğiyle var olur anca, iyi bir toplum mühendisi bilgisayar ve telefon sistemleri hakkında hatırı sayılır bir bilgiye de sahip olmalıdır.

EN ÇOK KULLANILAN TOPLUM MÜHENDİSLİĞİ YÖNTEMLERİ

-Bir çalışan gibi davranmak

-Yetkili biri gibi davranmak

-Yardıma ihtiyacı olan biri gibi davranmak

-E-posta ekiyle truva atı göndermek

-Bedava yazılıma truva atı gizlemek

-Kurbana içine truva atı gizlenmiş bir CD vermek(Oyun CD’sine mesela)

-Kullanıcının yeniden MSN adresini ve şifresini girmesini sağlayacak sahte bir pencere kullanmak(Fake Mail)

SALDIRIDAN KORUNMAK

-Telefon konuşmasında şüphelendiğiniz kişiden geri aramak için bir numara isteyin

-Sıradışı taleplerde bulunanlardan şüphelenin.

-Aciliyite vurgu yapan konuşmacılardan şüphelenin.

-Soru sorduğunuzda karşı tarafın rahatsız olup olmadığına dikkat edin.

-Bilmediğiniz e-postaları ve eklerini açmayın.

-İnternetten bedava adı altında bulduğunuz her programı bilgisayarınıza kurmayın.

-Ve unutmayın ki dünya üzerinde toplum mühendislerini durduracak hiçbir teknoloji yoktur. Bu yüzden kendinizi korumak zorundasınız. Aldanmamak için aldatma sanatının inceliklerini öğrenmelisiniz.

İYİ BİR TOPLUM MÜHENDİSİ

-Beceri ve bilgilerinin reklamını yapmaz.

-İnsanların onu hafife almasını ister, ciddiye almasını değil.

-Teknolojiyi iyi kullanır ancak bunla beraber sadece teknolojiye bağımlı kalmaz, en büyük kozu ikna etme yeteneğidir.

-Bilginin güç demek olduğunu bilir.

Güneş Aydoğan

GuNNeS

Hikayeler için bkz: Kevin Mitnick-Aldatma Sanatı

Önerilerine Ekle Beğendiğiniz blogları önerin, herkes okusun.

 
Tıklayın, siz de blog yazarı olun! Aklınızdan geçenleri paylaşın!
Facebook hesabınızla yorum yapın, daha çabuk onaylansın!
Toplam blog
: 20
Toplam yorum
: 20
Toplam mesaj
: 9
Ort. okunma sayısı
: 328
Kayıt tarihi
: 28.05.08
 
 

15 yaşındayım Ankara Atatürk Lisesi öğrencisiyim. Merak saldık işte yazmaya, okuma tarihim eskiye da..

 
 
Yazarı paylaş
  • Tümünü göster