| |
Sosyal mühendislik yani ingilizce tanimi “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir...Sosyal mühendislik temel olarak insan iliskilerini veya insanlarin dikkatsizliklerini kullanarak hedef kisi yada kurum hakkinda bilgi toplamak ve gereken yönergelerle kullanmak olarak tanimlanabilir. Bu olayda amaç hedef kurum veya kisi yapisi, kurumsal agin yapisi, çalisanlarin/yöneticilerin kisisel bilgileri , sifreler ve saldirida kullanilabilecek her türlü materyalin toplanmasidir.
Kuruma çalisan olarak sizmak, çalisanlarla arkadas olmak, teknik servis yada destek alinan bir kurumdan ariyormus gibi görünerek bilgi toplamak, hedef kisiyle dost olmak , olmadigi halde kendini kiz gibi gösterip kisilerin zaaflarindan yararlanmak bilinen en iyi örnekleridir.
Sosyal mühendislik aslinda hack’in atasi olarak bilinir bir nevi ilk hack atagidir. Sosyal mühendisligin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdigi kitapta sosyal mühendislikten bahsetmistir. Hayatini Okuyup inceledigimiz kadari ile girdigi sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulastigini gördük. Kevin Mitnick zamaninda FBI tarafindan 1. sirada aranan bilisim suçlusu haline gelmistir ve yakalanmasinda basrol oynayan ünlü güvenlik uzmani Tsutomu Shimomura kevin ile girdigi mücadeleyi anlattigi takedown adli kitabinda özellikle bu yönteme deginmistir.
Sosyal mühendislik üzerine yapilan arastirmalarda kadin sesinin erkek sesinden daha sansli Oldugunu göstermistir. Kisaca Sosyal Mühendislik kisileri kandirarak elindeli gizli bilgileri sorularla veya farkli yollarla fark ettirmeden elinden almaktir...
SOSYAL MÜHENDISLIK ESASLARI, BÖLÜM I: Hacker Taktikleri
GERÇEK BIR HIKAYE
Bundan bir kaç yil önce bir sabah, bir grup yabanci büyük bir gemi tasima firmasina hiç bir zorluk olmadan kolaylikla yürüyerek girdiler ve firma içi aga ait giris hakki ile orayi terk ettiler. Bunu nasil yaptilar? Bu firmadaki farkli çalisan numarasiyla azar azar küçük giris miktari ile elde ettiler. Ilk olarak, binanin içine girmeden önce girisimde bulunmak için iki gün boyunca sirket hakkinda arastirma yaptilar. Örnegin, Insan kaynaklarini arayarak anahtar isçi isimlerini ögrendiler.Sonra, ön kapida anahtarlarini kaybetmis numarasiyaptilar ve bir adam onlari içeri girmesine izin verdi. Sonra, yabancilar kimlik rozetlerini kaybettiklerine inandirip üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlisi bir isçi onlara kapiyi açti.
turkhackteam.org
Yabancilar binanin disindan CFO’yu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açilmis bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanisli dökümanlari bulabilmek için, sirkete ait çöpleri karistirdilar. Bir hademeye çöp kutusunun sordular. Bulduklari içerikleri çöpe yerlestirip ve bu verilerin binanin disina elleriyle tasidilar. Yabancilar, ümitsizce ag sifrelerine ihtiyaç duyduklari için CFO’ sun çalisanlarinin sesini çalistilar. Böylelikle telefonda bir kosusturma aninda bir CFO’lu oldular. Oradan, olagan hack araçlarini kullanarak sitemde super-user girisi kazandilar.turkhackteam.org
Aslinda, yabancilar CFO’nun güvenligini çalisanlarin bilgileri olmadankontrol eden network danismanlariydi. CFO hakkinda ayricalikli bilgi verilmemisti onlara, fakat istedikleri bütün girisleri sosyal mühendislik araciligi ile elde ettiler(Bu hikayeyi Kapil Raina anlatmistir, suanda Verisign da güvenlik uzmani ve Ticaret Güvenligi: Baslangiç Rehberinin yazaridir, eski is yeri çalisanlari ile birlikte gerçek isyeri tecrübelerinedayanir)
TANIMLAR
Sosyal mühendislikle okudugum bir çok makale su sekilde tanimlar ile baslar "insanlardan istediklerini ögrenme sanati ve bilimi", "Disardan bir hackerin sisteme giris için ihtiyaç duydugu bilgileri elde etmek için, bir bilgisayarin makul kullanicilari üzerinde psikolojik hileler kullanmasidir" yada "ihtiyaç duydugun bilgileri elde et"(örnegin bir sistemi kirmaktansa bir kisiden sifreleri al). Gerçekte, sosyal mühendislik bunlarin hiçbirisi yapamayabilir, bu dahaçok senin nereye oturduguna baglidir . Tek sey, herkes sosyal mühendislige kizgin gibi görünür. Genel olarak zeki bir hacker, dogal insanlarin güvenine egilimi ustalikla gerçeklestirirler. Hackerlarin amaci geçerli bir sistemde izinsiz girebilmeyi basarmak için baskalarinin bilgilerini elde edebilmektir ve bubilgilerle sisteme ikamet edebilmektir.
Güvenlik tamamen güvenle ilgilidir. Güven, koruma ve gerçekliktir. Genel olarak, güvenlik zincirinde zayif bir halka olarak kabul edilir, bizim birçok sömürülebilir ataklarimizi onlarin münakasadan dolayi ayrilan birilerine gönüllü bir sekilde kabul ettiririz. Bir çok güvenlik deneyimine sahip bilir kisiler üstüne basarak bu olguyu belirtmektedir. Kaç tane ag bosluklariyla, patchlerle ve firewall lar ile ilgili makalenin yayinlanmis olmasi önemli degildir. Sadece bunlardan gelebilecek tehlikeleri azaltabiliriz
HEDEF VE ATAKLAR
Sosyal mühendisligin genel amaci hack in genel amaci ile aynidir; sisteme izinsiz girmeyi elde etme yada bilgileri sirasiyla dolandiricilik yapmak, aga davetsiz olarak girmek, endüstriyel casusluk, kimlik hirsizligi yada basitçe aga yada sisteme zarar vermektir . Tipik hedefler: telefon sirketleri ve servisleri, büyük sirketler ve finansal kurumlar, askeri ve hükümet acentalari ve hastaneler. Internetin canlanmasi endüstriyel mühendis ataklarin paylasimi ile iyi bir sekilde basladi Fakat ataklar genel olarak büyük mevcudiyetler üzerine odaklanmaktadir.
Gerçek hayatta sosyal mühendislik örnegi bulmak zordur. Hedef organizasyonlarin hiçbir zarar verdiklerini kabul etmek istemezler(Hepsinden sonra, ana güvenlik kirigini kabul etmek onu sadece benimsememek degildir, organisazyon isimlerine zarar verici olabilir). Saldirilar dokümantasyon edilmedigi için gerçekte hiç kimse sosyal mühendislik atagi olup olmadigindan emin olamayiz.
Organizasyonlarin hedef boyunca neden sosyal mühendislige maruz kaldigina gelince, bir çok teknik hack yapmaktansa, yasadisi giris elde etmek için çogunlukla kolay bir yoldur. Teknik insanlar için, çogunlukla sadece telefonu kaldirmak ve birilerine sifre için sor sormak oldukça basittir ve çogunlukla, bu sadece bir hacker in yapacagi istir.
Sosyal mühendislik iki düzey üzerine kurulmustur: Biri fiziksel digeri ise psikolijitir. Ilk olarak, bir saldiri için fiziksel ataklara deginelim: çalisma yerleri, telefonlar, çöpler ve tüm çevirim içi olan her sey. Çalisma yerlerinde hacker kolaylikla kapidan içeri girip yürüyebilir, tipki film gibi Vebakim çalismasi yapacak biri gibiyada organisazyona basari ile giren bir danisman gibi davranabilir. Sonra davetsiz misafir ofiste kurumla yürüyüs boyunca; daha sonra gece evinden zarar verebilmek için yetecek kadar bilgi ile bina etrafinda yatar ve binadan çikar ta ki giris için izin bilgilerini elde edene kadar giris izni alabilmek için diger bir yöntem ise sadece ayakta durmak ve çalisanlarin sifrelerini açikça girdiklerini izlemektir.
TELEFON ILE SOSYAL MÜHENDISLIK
En etkili sosyal mühendislik ataklarindan biride telefon araciligi ile yapilir. Bir hacker sizi arayabilir ve yetkili biri gibi davranabilir ve yavas yavas kullanici bilgilerinizi ögrenebilir. Özellikle yardim masalari bu tarz ataklara yatkindir.
Simdi iyi bir örnege bakalim : Gecenin bir yarisi sizi arayabilirler:
H: ‘Son alti saat içinde Misiri aradiniz mi? ’
K: ‘Hayir’
H: ‘Sizin kartiniz ile Misira yapilmis bir arama bulunmaktadir. Bir sorununuz var ve $2000 borçlu gözüküyorsunuz.’
H:‘Meslegimi göz önünde bulundururum ki sizi bu borçtan kurtarabilirim. Yalniz bana PIN ve kart numaranizi söylemeniz gerekmektedir. Daha sonra sizi bu borçtan kurtaracagim’
(H: Sosyal mühendislik yapan kisi, K: Sosyal mühendislige maruz kalan kisi)
Yardim masalari genellikle bu ise egilimlidirler. Çünkü onlar yardim için ordalar , gerçekte yasal olmayan bilgileri ögrenmeye çalisan kisiler tarafindan istismar edilebilir. Yardim masasi çalisanlari güler yüzlü ve bilgi vermek için egitilirler. Bu nedenle sosyal mühendislik için altin bir firsattir. Yardim masasi çalisanlarin çogu güvenlik için çok az egitilmislerdir. Yardim masasi çalisanlari daha çok sorulan sorulari cevaplamaya ve bir sonraki telefona geçmeye egilimlidirler.Bu da çok büyük bir güvenlik açigi olusturmaktadir.
Canli bir Bilgisayar Güvenlik Enstitüsü gösterisinin kolaylastirilmis, zekice tanimlanmis yardim masasi sömürüsü bir telefon sirketini aramasi ve yardim masasina ulasmasiyla baslar.
H: Bu geceki nöbetçi idareniniz kim?
K: Betty.
H: Betty ile görüsebilir miyim?
H: (transfer ediliyor) Merhaba Betty, Iyi günler dilerim. Sisteminiz neden çalismiyor?
K: Çalismiyor mu? Gayet iyi durumda.
H: Daha iyi olmasi için oturumu kapatin
K: ( Oturumu kapatiyor )
H: Tekrar oturumu açin.
K: ( Oturumu açiyor )
H: Daha bir bip sesi göremedik, bir degisiklik göremedik. Yeniden oturum kapatir misiniz?
K: ( Oturumu kapatiyor )
H: Betty, senin ID ile ne olacagini anlamak için, senin bilgilerinle giris yapmam gerekiyor. Sifreni ve ID numarani verirmisin?
Böylelikle sifreyi ve ID yi ögreniyor. Zekice…
(H: Sosyal mühendislik yapan kisi, K: Sosyal mühendislige maruz kalan kisi)
Telefon konusunda yapilan bir degisimde telefon ödemeleri yada ATM dir. Hackerlar gerçekte surf yaparlar ve bu yolla PIN ve kredi karti numaralarini bu yolla elde ederler. (Büyük bir Ingiliz hava alaninda çalisan bir arkadasimin basina geldi). Insanlar daima telefon giselerinde ayakta dururlar, bu nedenle bu tarz yerler de daha dikkatli olunmasi gereken yerlerdir.
turkhackteam.org
ÇÖPLERI BOSALTMA (Dumpster Diving)
Çöpleri bosaltmak, çer çöpü temizlemek olarak ta bilinir be baska bir sosyal mühendislik metodudur bilgilerin büyük bir çogunlugu, sirketin çöplerinden toplanmistir The LAN Times, çöpünüzde bulunan potansiyel güvenlik tehlikelerini söyle siralamaktadir: "sirket telefon rehberi, kisa notlar, sirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem isleyis sekilleri, hassas veriler yada giris isim ve sifreleri çiktilari, kaynak kod çiktilari, diskler ve bantlar, sirket mektuplari ve kisa formlarve eskimis donanimlar"
Bu kaynaklar hacker lar için zengin bilgi damarlaridir. Telefon rehberleri hackerlara canlandirilacak yada hedefteki insanlarin telefon numaralarini ve isimlerini verir. Organizasyon grafikleri organisazyonda ki yetkili posizyon daki kisiler hakkinda bilgiler içerir. Küçük notlar giris olusturmak için cazip ve ilginç ufak bilgiler içerir. Takvimler çok önemlidir,hangi isçinin ne zaman isyeri disinda olacagini belirtir. Sistem el kitaplari, hassas bilgiler ve diger teknik bilgi kaynaklari hackirlaraaga izinsiz girebilmek için gerekli bilgileri verebilir. Son olarak, eski donanimlar özellikle hard diskler yeniden onariliptüm kullanisli bilgiler elde edilebilir.
IKNA ETME
Hackerlar kendi kendilerine ataklarda psikolojik bir etki kurabilmek için sosyal mühendislik ile nasil mükemmelbir psikolojik etki olusturabileceklerini çalisirlar. Ikna edebilmenin basit yollari: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadas olarak görünebilmektir. Her seye ragmen bu metotlarin kullaniminin ana konusu insanlarin gizlice bilgilerini ögrenebilmek için inandirici olmaktir. Bu sosyal mühendisliktir.
Taklit etme genel olarak bazi karakterleri olusturup, onlarin rollerini oynamaktir. En basit rol en iyisidir. Bazen bizi sizi arayip ‘Ben MIS den John, sifrenize ihtiyacim var’ diyebilir. Fakat bu her zaman çalismaz. Bir yandan hacker lar organizasyon daki gerçek bir bireyi çalisirlar ve o kisi yerine telefon edbilmek için o kisinin binadan çikmasini beklerler. Bir hacker yaygin objeleri yazar, konusma esnasinda sesleerini gizlemek için küçük kutular kullanir ve konusma biçimlerini, organizsayon tablosuna çalisir. Bence bu çok az inandirici bir ataktir. Çünkü çok fazla hazirlik ister. Ama yinede yapilmaktadir.
Taklit etme yönteminde kullanilan en yaygin rollar sunlardir: tamircilik, IT baskani, yönetici, güvenli bir 3. parti elemani (Örnegin baskanin yetkili asistani sizi ariyor ve bskanin gerekli bilgileri teyit ettirmek istedigini söylüyor) ve herhangi bir sirket elemani. Büyük bir sirkette bunlari kullanmak zor degildir çünkü herkesi taniyamazlar. ID ler fake edilebilir. Bir çok çalisan patronlarina kendilerini sevdirmek ister bu nedenlede, kariyer sahibi birinin ihtiyaçlarini saglamakiçin çok çalisirlar.
Riayet gruba dayalidir. Fakat, inandirici bir kisiile tek basinda kullanilabilir. Bu kullanicilar hacker lara ayni gerekli bilgileri verir. Örnegin hacker IT yönetici rolünü oynuyorsa.
Süphesiz sosyal mühendisik ile en iyi bilgi edinme yolundan biride arkadas canlisi olmaktir. Buradaki anafikir telefonda meslektaslarina inandirici olabilmek ve yardim istemektir. Bu nedenle hacker ihtiyaç duydugu tek sey inandirici olabilmektir. Öte yandan bir çok çasilan telefonlara cevap vermektedirler özelliklede bayanlar.
Bazen bir gülümseme, kibar bir tesekkür yada ‘kafam karisti bana yardim edebilir misiz?’ cümlesi size çok yardimci olacaktir.
ON-LINE SOSYAL MÜHENDISLIK
Internet aradigimiz sifreleri sosyal mühendisilik ile elde etmek için verimli bir alandir. Bir çok kullanicinin yaptigi baslica hata ayni sifreyi bir çok account ta kullanmasidir: gmail, yahoo vs. . Bir hacker bir kullanicinin sifresini elde ettigi zaman onu bir çok accountta dener.Hacker in bunu yapmasinin bir yolu on-line forumlardir. Mesela hackerlar bazi para kazandiran kumar bilgilerini bu form ile gönderir ve kullanicidan isim ve sifre yazmasini ister.(email adresi içeren, keza sifrede) Bu formlar mail ile gönderilir. Mail iyi bir görünüm verir ve para kazandiran kumar da kanuni bir yatirim gibi görünür.
Diger bir yöntemde hacker network admini gibi görünür ve size networkten bir sifre gönderip sifrenizi sorar. Bu tarz sosyal mühendislik ataklari genelde çalismaz. Kullanicilar on-line iken hackerdan haberdardir. Ama genelde not birakirlar. Ayrica hacker larnetworkun bir kismina benzeyen, sifre ve kullanici adinizi girmenizi istiyen pop-up pencereleri kurabilirler. Su noktaya da deginelim, bir çok kullanici temiz bir text ile sifresini göndermez. Fakat nadiren sistem adminlerin güvenlik ölçümünün geri kalanina sahiptir. Daha iyisi, bazen sistem adminleri kullanicilarini sifrelerini gizlemeleri, diger bir yandan yüz yüze güvenilir ve yetkili bir çalisanla konusma yapmalari konusunda uyarida bulunmaktadir.
Ayrice e-mail bir sisteme basari ile girebilmek için direkt bir yoldur. Örnegin, yetkili kisinin mail e yaptigi eklentilerde virüs, worm, trojan ati bulunur. Buna en iyi örnek VIGILANT tarafindan dokumantasyonedilen AOL hackidir: “Öyleyse bir hacker kendini AOL teknik destekleyicisi gibi tanir, bir saat kurbanla konusur. Konusma esnasinda kendisini satista olan çok ucuz bir arabasi oldugunu söyler. Kurbanin ilgisini çeker ve hacker araba resminin oldugu bir e-mail gönderir. Araba resmi yerine mail bir backdoor exploit çalistirmaktadir. Bu exploit AOL disindan firewall arasindan bir baglanti kurmaktadir ”
TERS MÜHENDISLIGI
Son olarak, yasadisi bilgi edinme için daha gelismis kazanç metotlarindan biri ‘ters sosyal mühendisligi’ olarak bilinir. Bu, hacker yetkili bir kisinin karakterterini olusturdugu zaman olur. Bu nedenle isçiler diger yoldan ziyade ona bazi bilgiler için soru sorarlar. Sayet inceden inceye arastirilip, planlanir ve iyi çalisilirsa, ters sosyal mühendislik ataklari belki hacker a isçilerden daha sansla degerli verileri elde etmek için gösterilebilir. Fakat bu istek çok büyük hazirlik, arastirma ve ön hack için kürek çekmektir.
Rick Nelson’un raporuna göre ters sosyal mühendisligi üç kisimdan olusmustur: sabotaj yapmak, reklam yapmak ve yardim etmektir. Hacker lar bir networku sabote ederken bir problem artisi olabilir. Hacker sabit problem ile uygun iletisime geçer ve o çalisanlardan kesin bilgileri ister ve gerçekte elde etmek için geldigi seyi elde eder. Onlar bilir ki aslinda o kisi hacker dir. Çünkü diger müsterilerinin network sisteminden bir sorunlari yoktur ve mutludurlar.
SONUÇ
Elbette ki, hiçbir sosyal mühendislik ile ilgili makale Kevin Mitnick in anmadan bitirilmez: Bir makaleden alinmis yazi ile sonuçlandiralim.”Sizler servislere ve teknolojiye bir servet harcayabilirsiniz.. Sizin ag teknolojiniz hala eskiye karsi savunmasiz kalabilir-sekillendirilmis idare” |
