Naçizane

GÜVENLİĞİN EN ZAYIF HALKASINA YÖNELİK SALDIRILAR : TOPLUM MÜHENDİSLİĞİ

10 Mins read
Naçizane

GÜVENLİĞİN EN ZAYIF HALKASINA YÖNELİK SALDIRILAR : TOPLUM MÜHENDİSLİĞİ

10 Mins read

      Toplum MühendisliğiToplum mühendisliği hakkında okumuş olduğum makalelerin büyük çoğunluğu şu gibi tanımlarla başlıyor; “teknolojiyi kullanarak veya kullanmayarak, genellikle bilgi edinmeyi hedefleyerek, şirketlere veya kişilere karşı aldatma, etkileme veya ikna etme yollarını kullanan insanlar“[1], “ihtiyaç duyulan bilgiyi bir sistemi kırarak elde etmektense bazı yöntemlerle birinden almak“[2] ve “sisteme giriş yetkisini elde etmek için gereken bilgiyi ele geçirmek üzere, dışarıdan bir saldırganın bilgisayar sisteminin meşru kullanıcıları üzerinde psikolojik hileler uygulaması”[3]. Genel olarak, bu tanımların her biri toplum mühendisinin gerçekleştirdiği saldırının yapısına göre farklılıklar gösterse bile, bir güvenlik sisteminin en zayıf halkasını kullanıcılarının oluşturduğu tanısı üzerinde herkes mutabıktır. Güvenlik tamamıyla bilginin korunmasına ve işlemlerin doğrulanmasına olan güvenle ilişkilidir.  Şirketiniz veya siz her ne kadar, çok hassas ve ileri seviye güvenlik teknolojisi altyapısına sahip olsanız bile eğer doğru çözümlenmiş, detaylı tasarlanmış ve test edilmiş “güvenilir” güvenlik prosedürlerini uygulamıyorsanız, sisteminizin kullanıcıları bütün teknik altyapı ve korumaya rağmen en büyük açığınızı oluşturmaktadır.

      Güvenlik konusunda çoğunlukla yanılgıya düşülmektedir. Güvenlik bir ürün değil, yönetilmesi gereken bir süreçtir. Güvenliği sadece teknolojik bir sorun olarak ele aldığımızda işin insan ve yönetim boyutunu gözden kaçırdığımız için, içine düştüğümüz bu kavramsal yanılgı tam bir güvenlik sistemine sahip olunamamasına yol açmaktadır. Bu düşülen yanılgıyı basit bir örnekle açıklayalım.

En emniyetli bilgisayarın kapalı bir bilgisayar olduğuna dair yaygın bir söz vardır. Akıllıca ama yanlış: Art niyetli bir kişi ofise gidip bilgisayarı açması için birini ikna ederek işi bitirir. Elinizdeki bilgiye sahip olmak isteyen bir rakibiniz, çoğu zaman var olan pek çok farklı yoldan birini kullanarak onu elde edebilir. Bu iş yalnızca zamana, sabırlı olmaya, kişiliğe ve ısrarcılığa bakar. İşte bu noktada aldatma sanatı devreye girer. [1]

       Özgüven sahibi insanların çoğu, kandırılma olasılıklarının çok düşük olduğuna inanır.  Bu inançlarından dolayı başkaları tarafından kandırılamayacakları varsayımı ile yaptıkları her hareket ise toplum mühendislerinin ekmeğine yağ sürer. Böylece, güvenliğin en zayıf halkasını oluşturan insan faktörünü etkin biçimde sömüren toplum mühendisliği becerisine sahip saldırganlar, savunmasız kalan bilgileri barındıran sistemleri hedef olarak görmeye de devam ederler.

       Zor noktalardan bir tanesi, güvenlik ve üretkenlik arasındaki dengeyi kurmaktır. Yetersiz güvenlik, sisteminizi savunmasız bırakırken, güvenliğin üzerinde fazla durmanız da esas işlerinizi aksatacak ve kazancınızı kısıtlayacaktır. Ayrıca herkesin birinci önceliği olan elindeki işi bitirmeye çalışması güvenlik uygulamalarının önceliğini oldukça azaltır veya güvenlik unsurlarına dikkat etmek tamamıyla gözünüzden kaçabilir. Zaten toplum mühendislerinin işlerini yaparken ki güveni burdan kaynaklanmaktadır.

       Şimdiye kadar kavramsal olarak üzerinde durduğumuz toplum mühendisliğini daha yakından tanımak  ve güvenlikte yer alan zayıf halkaları güçlendirebilmek adına bilgi güvenliği yönetim prosedürleri hazırlamada yol gösterici olması için toplum mühendisliğinde yer alan yöntem ve tekniklere değinerek devam ediyoruz.

Toplum mühendisliği teknikleri

       Tüm toplum mühendisliği teknikleri insanların belirli karar verme özelliklerine dayanmaktadır. Kevin Mitnick, insan donanımında yer alan hatalar diye tabir ettiği karar verme özelliklerini, bilişsel yanılmalar diye tanımlamaktadır.[4] Saldırı tekniklerini oluşturan da işte bu yanılmaların farklı kombinasyonlar ile istismar edilmesidir.

       Toplum mühendislerinin vazgeçilmez tekniği, saldırganın önceden hazırlamış olduğu bir senaryo ve bahaneler demetiyle, hedef alınmış olan kurbanın bilgiyi serbest bırakmak konusunda ikna edilmesi üzerine inşaa edilmiştir. Genellikle telefon üzerinden gerçekleştirilir, tabii daha cesur ve tecrübeli toplum mühendisleri bu tekniği yüzyüze de kullanmaktadır. Teknik basit bir yalandan çok daha fazlasını içerir. Hedef alınmış kişinin aklında meşru bir izlenim bırakmak adına kişiye özel erişimi daha kısıtlı bilgilerin (TC Kimlik No, Doğum Tarihi, Son Fatura Bilgileri v.b.) saldırgan tarafından elde edilip mağdur edeceği kişiye geri iletilmesini içeren ön araştırma gerektirir.[5] Toplum mühendisleri bu tekniği özellikle firma çalışanlarını aldatarak müşteri bilgilerini ifşa etmek, ve telefon, kamu hizmeti, banka kayıtları gibi giriş seviyesinde çalışan şirket servis temsilcilerinden doğrudan alınabilecek bilgileri elde edebilmek için kullanıyorlar. Saldırının bir adım sonrası ise bilgi erişimi dışında bilgi değişimi eylemini de içerebilmektedir. Eğer daha yetkili kişiler ikna edilebilirse banka hesabında değişiklikler veya özel amaçla bazı hesap işlemleri yapmak gibi eylemler toplum mühendisleri tarafından gerçekleştirilebilir.

       Günümüzde halen çoğu firma rutin bir biçimde kimlik doğrulamak için TC kimlik no, doğum tarihi veya üye işyeri numarası gibi bilgileri sorgulamakta, dolayısıyla bu tür bilgiler kendi başlarına zararsız görünmekteler. Ancak parçalar bir araya getirildiğinde, toplum mühendisi aşikar bir resim elde edecektir ve bu en zor başa çıkılan güvenlik açığını yaratan olgudur. Bu tür bilgilerin hassaslığının kavranabilmesi için üniversiteler, sivil toplum kuruluşları veya devlet organları tarafından yürütülecek toplumsal bilinçlendirme şarttır.

       Arkadaşça davranmak, biraz şirket içi terimleri kullanmak, ünvan ve yetki makamlarını sık sık tekrarlamak ve işin içine küçük, sözel göz kırpmalar karıştırmak gibi genel yetenekler aracılığıyla zararsız zannettiğiniz ancak size veya şirketinize ait en önemli sırları sızdırmış olabilirsiniz. Bu tip saldırılardan en temel korunma yöntemi, ne zaman tanımadığınız biri size soru yöneltir ya da sizden yardım isterse, her ne olursa olsun istek onaylanana kadar nazikçe geri çevirmeyi ilke edinmelisiniz. Güvenlik eğitimlerinde üzerinde defalarca durulması gereken ilke “kontrol etmek”tir.

     Kaynağını kurutmak istemeyen toplum mühendisi saldırılarını parçalı ve kademeli olarak yapacaktır. Doğrudan yapılan saldırılar gir–çık ya da vur–kaç gibi basit taktiklerden ibarettir. Kısacası yalnızca istemek üzerine kuruludur. Bu basit taktiklerin temelinde karşı tarafta güven duygusu uyandırmak yatar. Toplum mühendisi her zaman karşı tarafın kuşkulu ve güvensiz davranmasına hazırdır, ve bu güvensizlik girdisini güven çıktısına dönüştüren bir fonksiyon gibi çalışır, bunu da inandırıclık yeteneği ile başarır.

        Kurban çetin ceviz çıktığında toplum mühendisi “sözde” bir bedel vermeye hazırdır. Günümüzde hemen herkesin gün içinde yaşadığı çok sayıda teknik sorun ortaya çıkar. Eğer teknik servisten arayan yardımcı bir ses, bu sorunlardan bir veya birkaçını çözmek konusunda bize yardımcı oluyor ancak karşılığında bir iyilik bekliyorsa, istenen şeyin ne olduğu üzerine dikkatle düşünmeden karşılık vermemek “quid pro quo” saldırı tekniğine karşı en iyi korunma yöntemidir. Latince kökenli bu sözcük alınan şeye karşılık verilen şey anlamına gelmektedir. Benzer bir başka teknikte ise, toplum mühendisi sorunu önce yaratır, sonra da mucizevi bir şekilde sorunu çözerek kurbanı elde etmek istediği verileri öğrenmek üzere yardımcı olması için kandırır. 2003 yılında yapılan bir araştırmaya göre ofis çalışanlarının %90’ı yanıtladıkları anket sorularının cevabını araştırma şirketlerinden gelen temsilcilere yalnızca ucuz bir kaleme karşılık açıklamaktadır. Hatta zararsız gördükleri şifrelerini dahi verdiklerine şahit olunmuştur.[6] Bu ve benzeri “quid pro quo” tekniklerine karşı alınabilecek önlemlerden biri, belirli güvenlik kurallarını bir kağıda döküp çalışanlarınıza dağıtmak ve bu ilkeleri şirket güvenlik prensibi olarak belirleyip, tekrarlanan ve sık sık güncellenen eğitimlerle şirket içinde öğrenimini hızla yaymaktır. Bilgi güvenliği için güvenlik duvarı ve başka koruyucu uygulamalara bel bağlamak, en zayıf noktanız olan çalışanlarınızın açıklarınızın kaynağı olabileceğiniz gerçeğini unutmanıza yol açacaktır. En doğru savunma, güvenlik politikalarınızı bilen ve başkalarının kötü niyetle davranışlarını etkileyebileceğinin farkında olan sağduyulu bir çalışandır.[1]

      Phishing diye nitelenen düzmece siteler, tehlikeli ekler ve doğrulanmamış sayfalar aracılığı ile kullanıcıları tuzağa düşeren uygulamaları kullanarak bilgilerinizi ele geçirmek toplum mühendislerinin tercih ettiği çok yaygın bir başka tekniktir. Önceki tekniklere göre daha az sözel oyunlar ve ikna gerektiren ancak yine aldatma/kandırma üzerine kurulu olan bu teknik ile düzmece hazırlanmış siteyi ziyaret eden bir kullanıcı bağlantının belgeli ve şifreli olduğundan emin olmadan işlem gerçekleştirdiğinde, artık kullanıcı için çok geçtir. Geçersiz, süresi dolmuş veya iptal edilmiş dijital sertifikalar gibi, bir güvenlik sorunu olduğuna işaret eden web tarayıcınız, size site üzerinde yer alan herhangi bir iletişim kutusunda çıkan soru veya bilgileri hemen onaylamamanız konusunda yeterince uyarı verecektir. Ancak e-posta eklerini açmanın tehlikeleri üzerine tekrar tekrar uyarılmamıza rağmen tehlikeye karşı duyarlılığımız zaman aşımına uğramış ve göstergelere göre yine savunmasız kaldığımızı ortaya koymuştur. Benzeri bir durum phishing içinde geçerli olabilir.

Verilerin Korunması için kullanılacak teknikler

İşin aslı, hiç kimse birer toplum mühendisi tarafından kandırılmaya karşı bağışıklık kazanmamıştır. En önemli konularda dahi günlük yaşamın baskı ve hızı nedeniyle üzerinde yeterince düşünülmüş kararlar veremeyebiliriz. Sonuç olarak, zihnimiz bilgiyi özenle incelemeden karar vermemize sebep olur, biz de bu kısayolları tercih ettiğimizde toplum mühendislerinin işlerini oldukça kolaylaştırmış oluruz. Ancak önümüzde izlememiz gereken prosedürler yazılı biçimde bulunduğunda işler değişecektir. Bunun için aşağıda Kevin Mitnick tarafından önerilen birkaç tekniği sunuyoruz:

  • Bilginin neden istendiğini öğrenin (tanımlı bilgi sahibinden yetki alınmasını gerektirebilir)
  • Bu işlemlere ait kişisel ya da birim içi günlük tutun
  • Süreçler konusunda eğitilmiş ve hassas bilgileri dışarı vermek üzere yetkilendirilmiş kişilerin bir listesini bulundurun. Çalışma grubu dışına gönderilecek bilgilerin yalnızca bu kişiler tarafından gönderilmesini zorunlu kılın.
  • Eğer istek yazılı olarak yapılmışsa (e-posta, faks ya da posta), isteğin, gönderdiğini düşündüğünüz kişiden geldiğinden emin olmak için gerekli önlemleri alın.
  • Parolaların sık sık güncellemesini yapın. Asla hiçbir suretle bir yetkili veya çalışana parolanızı vermeyin ve yazılı olarak kilitli bulunmayan bir yerde parolanızı bulundurmayın.
  • Merkezi bir güvenlik bildirim noktası oluşturun. Tüm çalışanlar elektronik veya fiziksel bir müdahaleden kuşkulandıklarında kimi aramaları gerektiğini bilmelidirler.

Bu yazıda, toplum mühendisliği, bilgi güvenliği ve veri korunması kavramlarına değinerek üzerine inşaa etmeyi planladığımız “Bilgi Güvenliği Yönetim Sistemi” konusuna temel sağlamayı amaçlıyoruz. Özet olarak, eylemlerine deterministik olarak karar verebilmenin mümkün olmadığı insan faktörü eğer sistemimizin en zayıf halkası ise bu durumdan sistemimizin nasıl etkileneceğini inceledik. Sonraki yazıda böylesine kaotik bir sistemin nasıl yönetilmesi gerektiğinden bahsedeceğiz.

Kaynakça:

[1] – K. D. Mitnick ve W. L. Simon, “Aldatma Sanatı”, ODTÜ Yayıncılık, Ankara, 2006

[2] – A. Berg, “Cracking a social engineer”, Computers and Security, Volume 14, Number 8, pp. 700-700(1), 1995

[3] – J. Palumbo, “Social Engineering: What is it, why is so little said about it and what can be done?” , SANS Institute, 2000

[4] – K. Mitnick ve A. Kasperavičius, “CSEPS Course Workbook”, Mitnick Security Publishing, NY, 2004

[5] – D. J. Dance, “Pretexting: A Necessary Means to a Necessary End?”, Fifth Annual American Judicature Society Sympoisum, Volume 56, No. 3, Spring 2008

[6] – http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/

Bir Cevap Yazın

%d blogcu bunu beğendi: