Sosyal Mühendislik
Sosyal Mühendislik ; Ingilizcesi “Social Engineering” Olarak Ta Bilinen Siradan Yetkili Kullanicilarin Hedef Sistemi “Ikna Etme,Etkileme,Aldatma v.b”Yöntemleri Kullanarak Sistemi Ele Geçirme Isidir.
Bu Zamana Kadar Güvenlik Dünyasi’nda Önlem Alinmasi Çok Zor Olan Bir Güvenlik Zaafiyetidir.Çünkü Sistemin Kaynagi “Insan” dir.Bu Bir Program v.b Bir sey Degildir Ki Onu Kodlayabilesin,Programlayabilesin Gerektigi Yerde Ona Yeni Güvenlik Yamalari Yapabilesin.Bu Bir “Insan” dir
Sosyal Mühendis, Insan-Insan,Insan-Kurum Arasinda Geçen Davranislari Izleyerek Kendine Bir Yol Bir Strateji Belirler.Hedefi, Takip Ettigi Davranislari Izleyerek Vurmayi Amaçlar.Simdi Örneklerle Dökümanimizi Anlasilabilir Bir Hale Getirelim.Bir Hacker Ve Kurum Vardir.”Hacker” Hackleyecegi Kurumun E-Mail Sistemini Ele Geçirmek Istedigi Zaman Izleyecegi Yol Söyle Olmalidir.
[#]Yetkili Personeli Geçme: Simdi Hacklemek Istedigimiz Kurumda Müsterilerin Isteklerini,Sikayetlerini Dinleyen,Onlara Çözüm Bulan Personeller Vardir.Bu Asamayi Sorunlu BIr Müsteri Olarak Görünerek Yetkili Personeli Alt Edip Sistemi Sahiplenebiliriz.
[#]Kurumsal Personeli Geçme : Kurum Personelleri Egitimlidir.Hazirladigimiz Zokayi Yemedi Veya Biz Basaramadik.Buradan Sonra ki Hedefimiz Ise Kurumda Çalisan Herhangi Bir Personeldir.Az Önceki Deneyimlerimizden Faydalanarak Kurum Personelini Alt Edebiliriz.
Bu Örnekler Çogaltilabilir Tabii ki
Simdi Yukarida Uyguladigimiz Yöntemlerle Basariya Ulasamadigimizi Varsayarak Baska Bir Yol Deniyoruz.
Bi Nevi 1.Örnekteki Uygulamayi Biraz Açiyoruz.Örnekle Açiklayalim.
Sisteme Bir Telefon Gelir.Karsidaki Sistemden Hizmet Alan Bir Kullanici Rolüne Bürünen Hacker’dir.Hacker Sisteme Bakan Bir Personele Sifresini Unuttugunu Söylüyor Ve Acil Olarak Sifre Degistirme Linkinin Kendisinin Belirledigi Bir E-postaya Link Olarak Atilmasini Istiyor.Zavalli Yetkili Napsin.Hacker,Kullanici Rolüne Büründügü Kisinin Tüm Bilgilerini Bilmektedir Ve Bu Bilgiler Kurum Personeli Tarafindan Dogrulanmistir.
Yapilacak Tek Islem Parola Sifirlama Isteginin Yanitlanmasidir.
Sonuçta Ne Oldu? Sistem Personeli Kurumunun Degerini Düsünürek Baska Bir Kullanicinin Bilgilerini O Kisiye Ait Olmayan Birine Yolladi?
Hakli Kisi Kuruma Dava Açsa Sonucu Tahmin Etmek Zor Olmaz Herhalde.
Neyse.
Simdi Isleri Biraz Daha Büyütelim.Bunu da Örnekle Açiklamak Istiyorum.
SImdi Bir Hacker Var.Bu Hacker Bireysel Olarak Güvenlik Dünyasinda Varlik Gösteren BIr Kullanicinin Bilgilerini Ele Geçirmek Istiyor.Bu Hacker in Izleyecegi Yöntem,Strateji Söyle Olmalidir.
[#]Hizmet Saglayici Eleman Modu:Masum Kullanicilari Kandirmak Amaciyla Tercih Edilen Yöntemlerin En Basinda Gelir.Herhangi Bir Online Alisveris Sitesinden AlisVeris Yapan Kullanici Ve Web Master :)
Veya Bir Domain Sirketinden Sitesi Için Hizmet Alan Bir Kullanici Ve Yine Web Master :)
[#]Yardimsever Herhangi Bir Kullanici Modu:Bir Konu Hakkinda Acil Yardima Gerek Duyuyorsunuz.Bas Bas Bagriyorsunuz Yardimci Olacak Biri Yok Mu Diye
Derken Biri Gelir.Yardimsever Bir Görünüm Çizmistir Gözünüzde.Gözünüzü Boyamistir.Sorununuzla Özenle Ilgileniyordur.BIr Kurtarici Gibi Görmüssünüzdür Onu.Istedigi Her seyi Yapmissinizdir.Tabii “Bu Sizin Için” Lafini Eksik Etmemistir.Ama Onu Gözünüzde Çok Büyütmüssünüzdür.Tüm Gizli Dosyalarinizi Açmissinizdir Ona :).Tabii Yardima Ihtiyaç Duydugunuz Anda Sizin O Savunmasiz Aninizdan Yararlanarak Yapacaklarini Çoktan Yapmistir Ve Sistemden Loglari(Kayitlari)Silerek Ve Ardindan da Size “Iyi Günler” Dileyerek Sistemden Çikmistir.
Aslinda Hacker Için Hersey Bu Kadar Kisa Degildir.Asil Is Buradan Sonra Basliyordur.
Ne Yapabilecegini Az Çok Tahmin Etmek Zor Olmasa Gerek...
Dökümanimizin Amacina Gelelim Isterseniz.
Alinabilecek Önlemler Sunlardir:
[#]Egitimli Olun : Güvenlik Dünyasinda Önlemi En Zor Alinan Faktörün “Insan” Oldugunu Dökümanimizin Basinda Belirtmistik.Dökümanda Sistem Ve Sistem Personeli Örnegini Kullanmistik.Neler Yapilabilir Mesela ? Sistemin Tüm Elemanlarina Sosyal Mühendislik Hakkinda Seminer Tarzi Egitimler Vererek Sistemin Insan Faktörü Zaafiyetini Azaltmis Veya Ortadan Kaldirmis Oluruz.
[#]Kullanici Bilgilerini 3.Sahislarin Eline Geçemeyecek Sekilde Belirleyin.
Diyelim ki Bir Kisi Müsteri Kiliginda Size Kendi Bilgilerini Dogrulayacak Sekilde Istenilenleri Yapti Ve Sizi Müsteri Oldugunuza Inandirdi.Hemen Ondan 3.Sahislarin Bilemeyecegi Bir Özel Bilgi Isteyerek En Son Asamaya Gelin.
Örnegin;Annenizin Kizlik Soyadinizin 3. Ve 5. Harfleri.Egitim Durumunuz v.s Bu Önlemler Sirketten Sirkete Degisiklik Gösterebilir.
[#]En Önemlisi Ise Dikkatli Olmaktir:Bunu Yazdigimiz Her Dökümanda Israrla DIle Getiriyoruz Ve Dile Getirecegiz.En Bilgili Kisi Olun Bi Anlik Dikkatsizliginiz Her Seyi Batirmaya Yetebilir.Tabii Bir An Dikkatli Olmayacaksiniz Her An Dikkatli Olmaniz Gerekir.
NeTDeviL
