Sosyal Mühendislik | CW Group of Documents & Software Experts TIM
Sosyal Mühendislik (Social Engineering)
Bilisim Sistemleri (BS) güvenliginde sadece teknolojik önlemlere degil ayni zamanda yönetsel çabalara da baglidir. Teknolojik yöntemler, çesitli güvenlik sorunlarini çözmek için gelistirilmistir, fakat asil önemli güvenlik ihlallerine katki saglayan insan faktörleri ihmal edilmistir.
Iste bu makalemde insan faktörünü konu alan Sosyal Mühendislik(SM) saldirilarindan bahsedecegim.
Sosyal Mühendislik Nedir? Kime Denir?
Sosyal Mühendislik saldirilarinin basarisi insanlari kullanmada, psikolojik zayifliklardan ve sahip oldugu bilgilerin degerinin farkinda olmamasi ve kendi bilgisini koruma konusunda özensiz olmasina dayanir.
Sosyal Mühendis (SM), bilgisayar ve bilgi güvenligi baglaminda sosyal mühendisler teknik kombinasyonlar kullanarak, kurbanlarin gizli bilgilerini ifsa eden veya sergiledigi performansiyla güvenilir kisiler oldugunu inandiran kisilere verilen unvandir.
SM saldirganlari genellikle insanlarin bilissel önyargilarindan faydalanma egilimindedirler. SM saldirganlari teknik bir zorlama olmadan, insanlarin güvenini kazanan, teknolojik güvenlik mekanizmalarini baypas etme potansiyeline sahiptirler. Buna en iyi örnek bilgisayar korsanlarinin en meshuru olan Kewin MITNICK örnegini verebilirim. Tavsiyem, Kewin MITNICK’in hayatini ve yaptigi isleri konu alan “Takedown” filmini seyretmeniz (film biraz eski 2000 yapimi ).
SM ile ilgili kisa bir tanim yaptik simdi SM saldirilari ve bu saldirilara karsi gelistirilecek savunma mekanizmalarindan bahsedelim.
Sosyal Mühendislik Saldirilari
SM’lik bir sanattir. Insanoglunu konu alan bu sanat SM’nin marifetlerine ve zekâsina göre her kapiyi açacak güçlü bir saldiri mekanizmasidir.
Bir SM hedefindeki kisiyi seçtigi zaman asagidaki yolu izler:
SM saldirganlari, görünüste masum konusmalari veya e-posta iletisim yoluyla magdurlar(kurbanlar) ile güven iliskisi kurma pesindedirler.
Insanin dogasi geregi, dogru olmayan kisilerin dogru kisi oldugunu ispatlama egilimi vardir. Birçok kisi özellikle müsteri hizmetleri, yardim masasindaki kisiler veya is yardimcilari bunlarin dogasinda hep yardim etme istegi vardir, bunun için sorulan her soruya cevap verme egilimindedirler. Bu nedenle SM saldirganlarinin hedefinde bu tip kisiler vardir, bu kisilerle küçük bir etkilesimle kolaylikla aralarinda güven insa edebilirler.
SM saldirilarinin karsi tarafin yeteneklerine ve zekâsina bagli olarak degistigi için saldiri çesitleri farklilik gösterebilir fakat ben belli basli en çok tercih edilen saldiri türlerinden ve bunlara karsi nasil bir önlem almamiz gerekliliklerinden bahsedecegim:
1. Senaryo Kurma(Pretexting)
Sik kullanilan yöntemler arasindadir, iyi bir SM, mutlaka karsi taraf (kurban) ile iletisime geçmeden önce kusursuz bir sahte senaryo hazirlar ve bu iletisime geçtigi kurbana senaryoyu oynar.
Örnegin; Sizi telefon ile resmi bir yerden aradigini söyleyen ve sisteminizde büyük bir problemin oldugunu ve problemin çözümü için sizden gerekli olan sisteminiz için önemli olan bilgileri almak istedigini düsünün. Siz arayan kisinin iyi niyetli size yardim edecegini düsünürsünüz oysa karsi taraftaki kisi özel bilgilerinize erismek isteyen dolandiricini tekidir. (Siz belki bu numarayi yemez” hadi oradan kimi kandiriyorsun sen” diyebilirsiniz, ama emin olun ki bu senaryoya inanan kisi o kadar da az olmayacagindan eminim)
Alinacak önlem: Gelismis kisilik özellikleri, her bireyin farkli özelliklere sahip oldugunu kabul edersek SM saldirilarina karsi tam anlamiyla güvenlik tedbirleri almak imkânsizdir. Güvenlik yönetiminde en zayif halkanin insan olmasi durumu güçlestiren etkendir. Bu gibi durumlarda süpheci davranmak, özellikle telefon ile görüsmelerde, karsi tarafa bilgileri vermeden önce mutlaka bir sorgulama süzgecinden geçirin mesala; bölümle alakali kimlik ve telefon numarasi gibi veya arayanin kimligi ile ilgili çapraz sorgulama gelistirilmeli ve ayrica sifre gerektiren islemlerde sifre prosedürleri ve standartlari getirilmeli.
2. Oltalama (Phishing)
Bu teknik, özel bilgileri elde etmek için kullanilan aldatmaca teknigidir. Genellikle saldirganin istegi dogrultusunda “dogrulama” isteyen bir banka veya kredi karti sirketi gibi mesru maskelenmis bir e-posta gönderir. Bir varyant gibi pin numaralari, sosyal güvenlik numaralari ve hesap numaralari gibi kisisel bilgileri toplamak için sahte etkilesimli sesli yanit sistemide kullanilabilir.
SM’ler, phishing teknigi ile güvenilir site olarak bildiginiz örnegin; Facebook,Twitter veya bu bir banka sitesi ISBank, GarantiBank gibi sitelerin birebir kopyasini yaparak kendi zararli sitesine yönlendirme yaparak veya eklenti kullanarak casus yazilimi bilgisayariniza siz farkettirmeden kurabilir, bu yöntem genelde e-posta araciligi ile kullanilir.
Alincak Önlem: Öncelikle su unutulmamalidir, Facebook, Twitter, Banka siteleri genelde HTTPS protokolünü kullanirlar. Bu protokol baglantisi, sizinle bilgileri girdiginiz web sitesi arasindaki iletisimin bir takim sifreleme yöntemleriyle güvenli bir sekilde yapildigini gösterir. Bunun için sitenin bu protokolüne dikkat etmek gerekir. Girdiginiz sitede bu protokol kullanilmiyorsa veya siteye girdiginiz zaman farkli bir siteye yönlendiriyorsa ya da sizden eklenti çalistirmanizi istiyorsa dikkatli davranmanizin faydali olacagi inancindayim.
4. Shoulder Surfing(Omuz sörfü)
Bu teknik pek kullanilmamada bilgi vermekte fayda var diye düsünüyorum. SM bu teknik ile kurbanin tus takimi üzerinde girdigi erisim kodlari ve sifreleri girerken izleyerek bu kodlari ele geçirmek amaciyla kullanilan yöntemdir.
Çöp Arastirma Teknigi
Bu teknik ile SM’ler sirkete veya kuruma ait bir takim kilavuzlari, telefon defterleri, çek, kredi karti bilgileri ve banka dekontlari veya diger kurumsal, ticari kayitlar gibi hassas bilgilerin dikkatsizce çöpe atilacagini varsayarak çöpleri karistirma teknigidir.
Alincak Önlem: Bu tarz saldirilara maruz kalmamak için sirketinizde “Çöp Ögütücü Makineler” kullanmaniz.
Yukarida ki yazimda da belirttigim gibi SM saldirilari, SM’nin yeteneklerine ve zekasiyla dogru orantili oldugu için SM saldirilarini kestirmemiz pek mümkün degil, ben bu makalemde SM’de kullanilan baslica tekniklerden ve korunma yollarindan bahsetmeye çalistim yararli olmasi dilegiyle…
Esen Kalin…
