Sosyal Mühendislik ve Önemsenmeyen Veriler

21. yüzyılın en önemli buluşlarından biri de hiç şüphesiz bilgisayardır. Bilgisayarlar hayatımızın her alanında kendisine yer bulmuş ve vazgeçilmezimiz olmuştur. Bilgisayarın gelişimi o kadar hızlı olmuştur ki donanım, network, sistem, yazılım, güvenlik gibi birçok dala ayrılmış ve her dal kendisine has bir gelişim sürecine girmiştir.

resim-1.jpgBilgisayarların birbiriyle iletişim kurma ihtiyacıyla doğan “İnternet”  her şeyi ayağımıza kadar getirmektedir. İnternet kullanımı her geçen gün hızla yaygınlaşmakta ve beraberinde de teknolojide büyük gelişmelere  imkân sağlamaktadır.

BTK tarafından yayınlanan 2011 1.çeyrek raporuna göre geniş bant kullanıcı sayısı 9,1 milyona ulaşmıştır. 2003 yılında sadece 18.604 geniş bant İnternet abonesi bulunmaktayken, sekiz yılda yaklaşık 490 kat artarak 2011 yılı ilk çeyreği itibariyle 9,1 milyona ulaşmıştır. İnternet bize birçok kolaylık sağlamakla birlikte, İnternete açık her bilgisayar aynı zamanda sanal saldırılara hedef olabilme potansiyeline de sahiptir.

Bilgisayar teknolojileri önceleri seneden seneye gelişim gösterirken artık 2-3 ayda bir yeni teknolojilerle tanışıyoruz. Önceden bir şifreyi kırmak için süper bilgisayarlara ihtiyaç duyulurdu. Şimdi CUDA teknolojisiyle GPU ile donatılmış bir sistem ile zayıf şifrelerin kırılması saniyeler almakta. Hal böyle olunca hem bilgisayar korsanlığı (hacking) hemde güvenlik (security) çözümleri günden güne hızla gelişimini sürdürmektedir.

Bu sistemler ne kadar gelişirse gelişsin sistemi yöneten insanoğlu bilinçlendirilmediği sürece zafiyet ve bunun sonucunda da korkutucu senaryo olan veri hırsızlığının yaşanması kaçınılmazdır.

Sosyal mühendislik nedir?

İnsanoğlunun zaaflarını kullanarak istediğiniz bilgiyi, veriyi elde etme sanatına sosyal mühendislik denir.

Yöntemleri?

Sosyal mühendislikte yöntemler verinin kaynağına, verinin gizliliğine, verinin nasıl korunduğuna göre değişmektedir. İyi bir sosyal mühendis anlık analiz yaparak ya da uzun zamanlı bir araştırma ile ilgili senaryoyu bilgisi ve hayal gücüyle tasarlar ve uygulamaya koyar. Sosyal mühendislikte metodlar uygulanacağı kriterlere göre değişmektedir. Kurbanın merakı, vicdanı,  inancı, güveni, acıma duygusu, zaafları( makam, mevki, hırs, para, cinsellik, ego) gibi duygularını kullanarak veri hırsızlığı yapılabilir.

Örnek Senaryo:

Kamu kurum ve kuruluşlarında çalışan personelin eğitimi için belirli eğitim kurumlarıyla anlaşılmakta ve eğitimler alınmaktadır. Bu eğitimler sırasında hazırlanmış bir anket ile kurum ve çalışanlar adına birçok veri toplanabilmektedir.

Saldırının Anatomisi

•    Konu •    Senaryo Amacı •    Senaryo •    Kırılma anı

Konu: Kurum Bilgi Güvenliği Çalışanlarının Eğitimi ve Sosyal Mühendislik İle Veri Toplama

Senaryonun Amacı: Bir eğitmen tarafından bir kamu kuruluşunun kullandığı firewall bilgileri, sunucu bilgileri, sunucu işletim sistemi bilgileri, kullanılan güvenlik yazılımları, saldırı tespit sistemleri ve güvenlik adına her şey sorularla öğrenilebilir. Burada amaç bir saldırı öncesi işimize yarayacak tüm verileri, kişileri şüphelendirmeden almaktır.

Senaryo:

Eğitmen: Eğitime başlamadan önce kimin ne bildiğini bilmek istiyorum. Bu anketi yaparak özellikle hangi konulara daha fazla ağırlık vermem gerektiğini anlayarak sizlere daha sağlık bir eğitim verebileceğim.  Ayrıca eğitimlerimiz uygulamalı olacağından kullandığınız cihazlar üzerinde örneklemeler ve uygulama yapmak eğitim verimliliğimizi arttıracaktır. Lütfen herkes anketi eksiksiz bir şekilde doldursun.

Anket Soruları:

  • Daha önce böyle bir eğitim aldınız mı?
  • Mevcut sertifikalarınız nelerdir?
  • Bildiğiniz yazılım dilleri nelerdir?
  • Kurumunuzda kaç yıldır çalışıyorsunuz?
  • Kullandığınız firewall var mıdır? Varsa hangi marka ve sürüm nedir?
  • Kullandığınız saldırı tespit ve engelleme cihazlarınız var mı? Hangi firmanın ürününü kullanıyorsunuz?
  • Güncel Exploit ‘leri takip edip yamaları yapıyor musunuz?
  • Daha önce bir saldırı yaşadınız mı?
  • Bir saldırı senaryonuz var mı?
  • Daha önce bir saldırıya katıldınız mı?
  • Log yönetimi konusunda bir biriminiz var mı?
  • 27001 kapsamında ne gibi çalışmalarınız var?
  • Kurumunuz bir saldırıya uğradığında loglarınız size yardımcı olabilecek kadar kapsamlımı?

Kırılma Anı:

Yapılan anket kurnazca hazırlanmış olup soruların hazırlanışı ve soruların anketteki sırası sizleri şüphelendirmeyecek şekilde tasarlanmıştır.

Eğitim kurumunun yapacağı ANKET ile sizi daha iyi bir bilgi seviyesine çıkartacağını düşünüp, eğitim alırken eğitmenin bu gibi bilgilere ihtiyacı olduğunu varsayarak kurumunuza ait en kritik bilgileri üçüncü şahıslarla paylaşmış olursunuz.

Bu verdiğiniz bilgiler kurumunuza yapılacak olası bir saldırıda kötü niyetli kişilere rehber olma niteliği taşır. Sizin hangi güvenlik duvarını kullandığınızı, kullandığınız güvenlik duvarının sürümünü, kullandığınız anti-virüsü vb. saldırıda ihtiyacı olacak tüm bilgileri öğrenerek yapacağı saldırıyı bu bilgilere göre planlar.

ALINMASI GEREKEN ÖNLEMLER

  • Kurum çalışanları Bilgi Güvenliği Farkındalığı konusunda eğitilmelidir.
  • Kuruma ait önemli verileri ve kurum bilgi güvenliğini tehlikeye atabilecek her türlü bilgiyi kimseyle paylaşmamalıdırlar.
  • Eğitim alacağınız kurum ya da eğitmen kim olursa olsun vereceğiniz bilgilerin bir kamu kuruluşuna yapılacak olası bir saldırıda kullanılabileceğini göz önünde bulundurun.

Unutmayınız ki kullandığınız bütün güvenlik önlemlerini ve sizin ne bildiğinizi bilen bir saldırgan, saldırı senaryosunu bu bilgiler ışığında yaparak size verebileceği en büyük zararı vermeye çalışacaktır.

BILGEM

Please follow and like us:

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

three + 20 =