| |
Dogrularla Sosyal Mühendislik
"Insan bazen soyut imge dünyasindaki bir seyi kendisini var edebilmek adina gerçek imge dünyasindaki bir sey yerine yerlestirebilir yani bu ikisini degistirebilir.”
Bir insanin iyinin ne oldugunu algilayabilmesi ya da kullanabilmesi için yanlisin ne oldugunu bilmesi gerekir. Yalan söylememek için neden yalan söylenir ve nasil yalan söylenir gibi konulari incelemek ve bu davranislardan ya da psikolojik etkenlerden uzak durarak dogruyu söyleyebilmeyi kolaylastirabiliriz. Bu nedenle dogru söyleyerek nasil sosyal mühendislik yapilabilir konusuna bir açiklama getirmek adina öncelikle yalani incelememiz gerekiyor.
Yukarida Freud’a ait savunma mekanizmalarindan bir çikarim bulunuyor. Soyut imge bireyin hayal dünyasi gerçek imge ise bireyin yasadigi hayat olarak nitelendirirsek, kisi kendi hayal dünyasi içerisinde gerçek imge dünyasinda gerçeklesmemis ya da gerçeklesmesi mümkün olmayan soyut imgeler barindirabilir ki hiçbir insan sahip oldugu bir nesne için tekrar sahiplik adina bir hayal kurmaz. Örnek olarak hastanede çalisan bir hademe yeni tanistigi bir insana ya da hademe oldugunu bilmeyen aile bireylerine çalistigi hastanede doktor olarak görev aldigi yalanini söyleyebilir. Bu kisini sanal imgesinde doktor olmak istedigi seklinde yorumlanabilir ve sanal olan doktorluk meslegi gerçek olan hademelik ile yer degistirmis olur.
Burada söylenmis olan doktorluk yalani elbette ki kisinin savunma sisteminin bir parçasidir. Fakat bu savunmayi hangi amaçla, neden yaptigi hususunda bir fikir belirtmek zor çünkü kisinin geçmisi, daha önce çalistigi yerler, ailesi ile olan iletisimi, çevresi ile olan iletisimi ve kisilik psikolojisi bu yalani söylemekte etkin rol oynamis olabilir. Bunun yani sira kisi kendi egosu nedeni ile yani hademelik meslegini kendine yakistiramadigi için tamamen içe dönük bir etkiden dolayi(ben, benlik) yine doktorluk yalanini söylemis olabilir.
O halde yukarida insanlarin iki etkiden ötürü yalan söylenebildigini gördük. Birinci etki çevresel etkiler, ikinci etki ise içsel etkilerdir. Elbette ki bu etkiler kendi aralarinda da dallanip budaklana bilir. Ama dikkatinizi çekmesi gereken bir nokta var oda etki ne olursa olsun bireyin yalan söyleme ihtiyaci temelde tamamen kendini korumaya yönelik gelisen bir olgu. -Yalanin ilerleyen evrelerinde savunmayi asip insanlara zarar verebilecegi gerçegini de biliyoruz.-
Peki, sosyal mühendislik bir saldiri, hirsizlik tesebbüsü ya da eylemidir. Yaygin uygulamasinda yalan söylenerek amaç gerçeklestirilir. O zaman yukarida bahsettigimiz gibi yalan sadece savunma amaçli degil direk olarak zarar verme yani saldiri amaçli da olabiliyor. O zaman biz hata mi yaptik yoksa sosyal mühendislikte kullanilan yalan kimligi gizlemek adina yani yine bireyi(beni) korumaya yönelik bir yalan midir? Bu konuyu yazinin ileriki döneminde tekrar inceleyecegiz, burada yazmamin sebebi aklinizin ucunda bir yere not etmenizi istememdir. Tekrar yalan psikolojisini ele alalim.
Yalanin bir paradoks oldugu gerçegini hepimiz biliyoruzdur. Yani bir insana yalan söylüyor diyorsaniz o insan yalan söylemeyi denemis fakat söyleyememistir. Ama karsindaki insanin yalan söylemek istedigini bilmiyorsak söyledigini –yanlis olsa bile bilmedigimizden- dogru kabul ederiz ve baktiginiz zaman o insan dogru söyleyen bir insandir. Yalan söyleyen insan yoktur, yalan söyleyemeyen insan vardir.
Yalan psikolojik olarak bilimsel açidan ikiye ayrilmis durumda. Cezadan kaçmak için ve ödül kazanmak için olmak üzere. Biz yukarida yalani savunma mekanizmasi olarak tanimlamistik. Bizim yaptigimiz savunma mekanizmasi için olan yalan cezadan kaçmak için söylenen yalana tekabül eder. Birey cezadan kurtulacagi düsüncesiyle yalana sarilir. Merak ediyorum kaç kisi trafik polisi tarafindan çevrildiginde direk olarak itiraz etmeden cezasina razi gelir? Cezadan kaçmak için söylenen yalan saf, yaratilistan gelen bir olgudur ve sürekliligin önemi yoktur. Yalanin sonrasi düsünülmez ve o an itibari ile sonuç alinir. Ödül için yalan söyleme ise istek ve arzular dogrultusunda gelisen sistematik yalanlardir. Ciddi düsünceler sonrasi olusturulur ve uzun vadede kar getirmesi amaçlanan türdedir. Bu durumda 6. paragrafta bahsettigim ve sonradan ele alacagimizi söyledigim yalan ödül amaci tasiyan yalan kategorisine giriyor. Sosyal mühendisligi uygulayan kisi, uyguladigi kisiye direk ya da dolayli yollardan zarar verebilir. Tabi ki kismen ödül yalanidir. Neden böyle söyledim, çünkü sosyal mühendislik uygulanirken her iki yalan da uygulanir. Bir savasçi kilicini düsmanina savururken diger eliyle de kalkanini kontrol ederek kendisini korumak zorundadir. Örnek olarak ödül için olan yalanda kisi gerçekte soförken, sosyal mühendislik uyguladigi kisiye galerici oldugunu söyleyebilir. Ona ucuz araba satacagini ama önce pesinat almasi gerektigini söyleyerek parasini gasp edebilir. Para sosyal mühendislik uygulayan kisinin ödülüdür. Ödül yalani ise galerici oldugudur. Arabayi satacagi kisi ile sohbet edecek ister istemez tanisacaktir. Tanisma sirasinda elbette kendi bilgilerini verecegini düsünemeyiz. Adi Ali iken Ahmet oldugunu söylemesi ise kendini güvene almak, korumak amaci ile söylenen bir yalandir. Görüldügü gibi sosyal mühendislik esnasinda her iki yalanda kullanilir.
Sonuç olarak sosyal mühendislik esnasinda söylenen yalan bizi koruyan bir kalkan ve karsimizdaki insana saldirabilecegimiz bir kiliçtir. Gelelim makalemizin de konusu olan asil konumuza, kiliç ve kalkan kullanmayan bir savasçi, savas meydaninda ne kadar süre ayakta kalabilir?
Her insanin gün içerisinde yalan söyledigini varsayarsak –ki nasilsin sorusuna iyiyim diyen birçok insan yalan söylüyordur ya da bozuk paran var mi sorusuna birçok insan yok cevabini vermektedir- sosyal mühendislik sirasinda insanlarin sütten çikmis ak kasik olmasini bekleyemeyiz. Yalan söylemeden sosyal mühendislik yapma konusunu konusurken insanlari oldugu gibi kabul edip basit yalanlari görmezden gelmeli, bu yalanlari “yalan” olarak algilamamali ve üzerine kurulacak sistematik yalanlar, sahte isimler ya da kurgular olmadan ne yapilabilir bunu konusmamiz daha dogru olur. Çünkü yalanin basladigi yer bu sahte isimler ya da kurgulardir. Aksi halde günlük hayatinda yalani aliskanlik haline getirmis insanlarin soysal mühendislik sirasinda sifir yalanla sosyal mühendislik uygulamasi pek ala beklenemez.
Yalanin bir paradoks oldugundan bahsetmistik. Bu paradoksu ortadan kaldirirsak yalan söylemeden amacimiza ulasabilir miyiz? Baska bir ifadeyle herkes yalan oldugunu bilse yalan yine yalan mi olur? Arkadasiniz sizi bir yere davet ettiginde bugün yorgunum ya da baska zaman söz demissinizdir mutlaka. Her iki tarafta bu söyledikleriniz dogru olmadigini bilir ama bu durumun daha uygun olacagini düsündügü için yalana kayitsiz kalir. Hemen sosyal mühendislikle alakali basit bir senaryo hazirlayalim.
Bir teknik servisin müsteri listesi hedefimiz olsun. Serviste çalisan biri ile iletisime geçip ona olayi anlatalim. “ Bu iste ciddi para var alti üstü bir liste vereceksin, kimse senin yaptigini anlamaz, sen yine keyfine bakarsin, senin yaptigini nereden bilecekler, çok fazla para var isin sonucunda” gibi kelimeler ile servisteki kisiyi ikna edip listeyi aldik ve gittik. Ne oldu biz yalan söylemedik ama tüm dogrulari da söylemedik, evet iste oldukça çok para var ama dedik ama sana para verecegiz demedik, onun yaptigini bilemezler teknik servisteki herkes listeye ulasabilir dedik evet herhangi biri listeye ulasabilir. En önemlisi onunla iletisime geçtigimizde dogru üzerinden iletisime geçtigimiz için gizlilik normal karsilanir ve isim söylememize daha dogrusu yalan isim söylememize gerek kalmadi. Biz sonuçta dogrulari ve ona duymak istediklerini söylemis olduk ve is bittiginde bir miktar para verdik. Kurdugumuz cümlelere dikkatli baktigimizda para vermeye de biliriz. En nihayetinde biz böyle bir taahhütte bulunmadik. Kisi kandirildi ama kendisi tarafindan kandirildi. Kendisini bu isten para alacagina inandirmis oldu.
Kismen dogrularla ama tamamen yalansiz bir sekilde amaca ulasildi. Farkli bir durumda eglenceli bir durumda gayri ciddi bir sekilde kisiye seni soymak istiyorum ya da seni dolandirmak içi buradayim derseniz kisi bunu ciddiye almaz ama siz dogruyu söylemis olursunuz. Her iki durumda da siz elinizden geldigince dogru oldugunuz fakat kisilerin ahlak ya da durum degerlendirme sistemleri zayif oldugundan algilari farklilasti ve sizin dogru söylediginiz saka, söylemediginiz ise söylenmis olarak kabul gördü. Saka olarak algilanmasi beklenmediginden, söylenmis olarak algilanmasi ise beklentiden kaynaklandi.
Bu yalan söylemeden sosyal mühendislik icra etmenin ilk yoludur. Bir diger yolu sorulara konuyla alakali fakat soruyla alakasiz cevaplar vermek ya da susmaktir. Anlamli suskunluklar konusmalara derinlik katar. Sosyal mühendislik bir ikna sanatidir. Bir insan susarak karsisindaki insani nasil etkileyebilir? Burada ki suskunluk kismi suskunluktur. Dogru söyleyemiyorsan hiç konusma mantigi ile hareket edebiliriz. Örnek olarak bir kisinin dikkatini çekmek için fotograf çekmeniz gerekiyor ve siz fotograf çekmeyi sevmiyorsunuz. Kisi size fotograf çekmeyi seviyor musunuz ya da fotografçi misiniz diye sordugunda o kisiye hayir cevabini verirseniz kisinin ilgisini kaybedersiniz ve buda isinizin bitmesine neden olur. Bu durumda onun ilgisini iki yolla koruyabilirsiniz. Ilk yol soru soran kisiye dönüp ukala bir tebessüm fotografçilik hakkindaki engin tecrübe bilginizi kisiye aktaracaktir. Ya da ona konuyla alakasi olmayan fakat sordugu sorunun cevabi yerine geçebilecek bir seyler söylemeniz gerekecektir. Fotografçi misiniz sorusuna, fotograf çekmek bir sanattir seklinde verilecek bir cevap karsinizdaki kisiyi etkileyecegi gibi sizin fotografla yakin bir sekilde ilgilendiginizi sanmasina yol açacaktir. Kisi bu cevabi evet fotografçiyim cevabinin yerine koyabilecektir. Siz de hem yalan söylememis olacaksiniz hem de isinizi yapmaya devam edebileceksiniz.
Ilk olarak sadece bilinmesi gereken dogrulari söyledigimiz “kismen açik” yöntem ikinci olarak ise sadece duyulmasi gerekenleri söyledigimiz “kismen kapali” yalan söylemeden sosyal mühendislik yapma yöntemleridir. Üçüncü yöntem “tamamen açik ifade” yöntemidir.
Tamamen açik ifadede her sey net sekilde ortaya konabilir. Ama bu yöntemde de bazi sirlarimiz olmak zorundadir ve oldukça tehlikeli bir yöntemdir çünkü bilgiler dogru bir sekilde birinci agizdan verilecektir. Örnek olarak sosyal mühendislik uygulamak istediginiz kisiye birkaç fiziksel tacizde(takip edildigi hissi, telefonla rahatsiz etmek ya da mail yollamak gibi) bulundugunuz zaman kisi psikolojik olarak tedirgin olacaktir. Tedirginligi sirasinda sizin bir baskasiyla olan konusmalarinizi duyabilecegi kadar uzaklikta konuyla ilgili sohbet ettiginizde yani adamin birini su su sekilde rahatsiz ediyorlarmis gibi konusmalar sirasinda hedef kisi sizi duyabileceginden ve bilinçalti bu meseleyle fazlaca ilgili oldugundan pasif dinleyici konumuna geçecektir ve bir süre sonra tamamen sizi dinlemeye baslayacaktir. Insanlar ayni frekansta olduklari diger insanlar ile çok daha kolay iletisim kurabilir. Bu nedenle hedef kisiyle dogrudan iletisim kurup aslinda bunlarin nasil yapildigini bildigini ve saldirganin saldirilarindan bilgisayarini koruyabileceginizi söylediginizde sizden yardim isteyecektir. Yani hem saldirgan hem kurtarici olmaniz gerekmektedir. Bu yöntemde de saldirganin bilgilerini ifsa edilmesi sosyal mühendislik uygulanan kisinin durumu anlamasina neden olabilir. Bu nedenle tehlikelidir.
Diger bir yöntem ise tamamen kapali ifade yöntemidir. Bu yöntemde aslinda kisiye yalan söylemenize pek firsat kalmiyor çünkü kisi ile birebir irtibata geçmiyorsunuz. Bir ekip vardir ve kisiler birbirlerini tanimazlar. Siz kisilere rollerini vereceginizden Ekip isi olacagindan ve gizlilik üst düzeyde olacagindan kimliginizi korumaniz çok daha kolaydir. Ayrica siz hedefle dogrudan temas kurmayacaginiz için yalan söyleyebilme ihtimalinizde yoktur.
Son olarak yalan söylemeden sosyal mühendislik yapabileceginiz bir durum daha var oda olmak istediginiz kisi aslinda oldugunuz kisi olabilir. Bir teknoloji firmasinin bilgi isleminde çalistiginizi varsayalim. Bilgi islem kimliginizi kullanarak ürün gelistiren mühendisin bilgisayarina erisebilme ya da kontrol etme yetkinizi kullanabilirsiniz. Gerçek kimliginizi kullanacaginiz için tehlikeli olacaktir ama tamamen yalansiz.
“Yalan, dünyanin yapilabilecek en kolay meslegi, icra edilebilecek en kolay sanati, kesfedilebilecek en zor seyleri kolayca kesfedebilmenin en kolay yoludur.” Dogru ise dünyanin en zor sanati en erdemli davranisidir. Çünkü dogru tektir yalan çoktur. |
