Toplum Mühendisliği

İsmail Can Coşkuner
14 Haziran 2007

Şu anda bilgisayarınızda neler oluyor? Ya MSN hesabınız başkalarının elindeyse? Ya da daha da kötüsü kredi kartı şifreleriniz, özel bilgileriniz, kullanıcı hesaplarınız... İsterseniz onlarca anti-virüs, anti-spyware yazılım kurmuş olun bilgisayarınıza, isterseniz internete bile bağlı olmayın. Hatta çekin bilgisayarınızın fişini, kaldırın dolaba. Sonra geçin bir aynanın karşısına, işte en büyük açıkla karşı karşıyasınız. Evet, insan faktörü kendi kendine (farkında olmadan) zarar veren ve hiç bir önlemi olmayan en büyük açıktır. Büyük şirketlerin çoğu bu açıktan muzdariptir, çünkü hangi çalışanın ne konuda açık vereceğini bilemezler. Bu durumda devreye hackerlar girer. Evet yanlış duymadınız. Bazen hackerlar klavyenin tek bir tuşuna dahi dokunmadan çok büyük sistemlere erişim sağlayabilirler. Kullandıkları bu yönteme de “Toplum Mühendisliği (Social Engineering)” denir.

Toplum mühendisliği temel olarak “Normalde kişiye verilmeyecek olan bir bilgiyi almak için kişinin başka biri (yardıma muhtaç bir insan, üst düzey yönetici vb.) gibi davranması ve aldığı bilgileri kullanarak daha çok bilgi toplaması” olarak açıklanabilir. Bu noktada izlenecek olan yol kusursuza yakın bir plan ve çok büyük bir sabır gerektirir. Ayrıca bu kişiler olayların plana uymaması halinde çabuk karar verebilmeli ve her zaman her olasılığı düşünebilmelidirler.

Bilgisayar konusunda uzmanlaşmış insanlar ve ünlü hackerlar, filmlerin ve kitapların etkisiyle, hep asosyal ve bilgisayar başından ayrılmayan bir şablona sokulurlar. İşte toplum mühendisliği kavramı aslında işlerin hiç de hayal edildiği gibi olmadığını, madalyonun bir de öbür yüzü olduğunu gösteriyor bizlere. Çünkü toplum mühendisliğinin yöntemi sürekli gözlem yapmayı ve değişik insanlarla değişik şekillerde iletişim kurmayı gerektirir ve bu çoğu insanın kolay kolay yapamayacağı üstün bir özellik olarak nitelendirilebilir.

Şimdi de toplum mühendisliğinde en çok uygulanan yöntemlere bir göz atalım:

2. Zararsız gibi görünen bilgileri istemek: Toplum mühendisliğinin başka birinin yerine geçmek demek olduğunu yukarıda belirtmiştik. Bu noktada yerine geçilecek olan kişi hakkında bilgi toplamak önemlidir. Böylece roller daha kolay ve inandırıcı oynanır, karşınızdakinin sizin gerçekten bahsettiğiniz kişi olduğunuzu düşünmesini ve istediklerinizi söylemesini hızlandırır. 3. Güven duygusu uyandırmak: Bir toplum mühendisi karşısındaki direnişi ve kuşkuyu güvene dönüştürme konusunda çok yeteneklidir. Bunu, yapılan şeyin sıradan ve basit bir şey olduğu izlenimi vererek yapar. 4. Yardımcı olduğuna inandırmak: Yardım görmek insanların en açık noktalarından birisidir. Eğer birinin kendisine yardım ettiğini düşünürse bütün savunmasını indirir ona karşı ki bu da toplum mühendislerinin sömürmeyi en çok sevdikleri özelliklerin başında gelir. Bu aldatmacayı kullanmak için gerçekten olan problemler kullanılabildiği gibi, toplum mühendisi problemi kendi yaratabilir ya da varmış gibi gösterebilir. 5. Yardım istemek: İnsanların bir diğer zaafı da acıma duygusudur. Zor durumda olan bir insana yardım edebilecek imkanları varsa, hatta bu imkan bir telefon konuşması kadar kolaysa hiç çekinmeden ellerini uzatırlar ateşin içine. Toplum mühendisleri için bu bulunmaz bir fırsattır, çünkü kendilerini acındırmak ve gerçekte olmayan problemler yaratmak onların işidir. Genelde bu dalavere empati kurulması sağlanarak kullanılır. Çoğu zaman tuzağa düşürülecek kişiye zorda kalmış, başka bir şubede çalışan bir meslektaş olarak yaklaşılır ve bu da aldatılacak olan kişinin tuzağa düşmesini çok çok daha kolay kılar. 6. Sahte siteler ve zararlı e-posta ekleri: Bir gün arkadaşımızdan bir e-posta alıyoruz; konusu, içeriği da öyle şüphe çekici bir şey değil. Ekteki resim dosyası gözümüze ilişiyor, onun da ismi gayet normal. Açıyoruz doğal olarak ve her şey kararıyor birden... Toplum mühendisliğinde bu olaylar sıkça yaşanılan şeylerdir, çünkü bir toplum mühendisi arkadaşlarınızın e-postasını çeşitli şekillerde ele geçirip, onların attığı bir-kaç maili de inceleyip size aynı şekilde bir posta gönderebilir. Kendisini e-posta listesindeki herkese yollayabilen solucanlar günümüzün en popüler örneklerindendir. 7. Acındırma, sindirme ve suçluluk duygusu uyandırma: Eğer ters giden bir şey olursa ve bunun tek sorumlusu siz olursanız ne yapardınız? Elinizden gelen her şeyi tabii ki. Peki ya her şey bir kurmacadan ibaretse? (ki bu bir toplum mühendisi için hiç problem değildir) Toplum mühendisliğinin vazgeçilmezlerinden biri de hedefi suçlu ve pişman bir duruma getirmektir. Böylece her şeyi berbat eden biri bir de üstüne direnip itiraz etmeyecek ve yormadan size istediğinizi verecektir. Bu yolu kullanmak için saldırgan genelde daha üst düzeyde bir yönetici kılığına bürünür. 8. Yardım istetmek: Bu bir toplum mühendisinin oyanayacağı en karışık oyunlardan bir tanesidir. Amacı, kurbanı size ihtiyacı olduğuna ve size ulaşması gerektiğine inandırmaktır. Bu sefer arayan ve yardım isteyen kendisi olacaktır. Bu nedenle de yardımlarınız karşılığında bildiklerini esirgemeyecektir. 9. Çöp dalıcılığı: Büyük şirketlerde önemli belgeler genelde kağıt öğütücüden geçirilip öyle çöpe atılır. Bu belgelerin üstünde kilit bilgiler, şifreler, veri yolları bulunur. Herhangi bir insan için ofis çöplerinin nereye gittiğini bulmak en fazla 2 gün alacağından bu “öğütülmüş” belgelere ulaşmak hiç de zor değildir. Tüm parçaları bulduktan sonra da birleştirmek 40 parçalık çocuk yap-bozlarını birleştirmekten daha zor olmayacaktır.

Şimdi de bir olayla konunun ne kadar önemli olduğuna ve ne kadar sıradan göründüğüne bir bakalım:

Olay:

- Rosemary Morgan’la mı görüşüyorum?
- Evet.
- Merhaba Rosemary. Ben Bill Jorday; Bilgi Güvenliği Grubu’ndan.
- Evet?
- Bizim birimden kimse sizinle güvenlik uygulamaları konusunda görüştü mü?
- Sanmıyorum.
- Peki. Bakalım... Öncelikle kimsenin şirket dışından getirdiği programları yüklemesine izin vermiyoruz. Bunun nedeni lisanslı olmayan yazılım kullanımından sorumlu olmak istemememiz ve solucan ya da virüs içeren yazılımların çıkarabileceği sorunlardan uzak durmak.
- Tamam.
- E-posta uygulamamızdan haberdar mısınız?
- Hayır.
- Şu anda kullandığınız e-posta adresi nedir?
- rosemary@ttrzine.net
- Kullanıcı adı olarak Rosemary’i mi kullanıyorsunuz?
- Hayır R altçizgi Morgan’ı kullanıyorum.
- Tamam. Tüm yeni çalışanlarımızı beklemedikleri e-posta eklerini açmalarının oluşturacağı tehlikelere karşı uyarmak istiyoruz. Pek çok solucan ve virüsler ortalıkta geziniyor ve tanıdığınız insanlardan geliyor gibi görünen e-posta eklerinde geliyorlar. Bu yüzden beklemediğiniz bir ekli e-posta alırsanız, gönderici olarak görünen kişinin mesajı size gerçekten gönderip göndermediğini her zaman kontrol edip emin olmalısınız. Anlıyor musunuz?
- Evet, bunu duymuştum.
- İyi. Uygulama her doksan günde bir parolanızı değiştirmeniz şeklinde. Parolanızı en son ne zaman değiştirdiniz?
- Yalnızca üç haftadır burada çalışıyorum ve daha ilk aldığım şifreyi kullanıyorum.
- Tamam, bu iyi. Doksan gün dolana kadar bekleyebilirsin. Ama insanların tahmin edilmesi kolay olmayan şifreler kullandığından emin olmak istiyoruz. Hem sayı hem de harf içeren şifreler mi kullanıyorsunuz?
- Hayır.
- Bunu düzeltmeliyiz. Şu anda kullandığınız şifre nedir?
- Kızımın adı, Anette.
- Bu çok güvenli bir şifre değil. Hiçbir zaman aile bilgilerinize dayanan şifreler seçmemelisiniz. Peki... benim yaptığımın aynısını yapabilirsiniz. Şifrenizin bir parçası olarak şu anda kullandığınızı kullanmanızın bir sakıncası yok ama her değiştirdiğinizde içinde bulunduğunuz ayın sayısını ekleyin.
- Bunu şimdi yapsam, yani Mart için, üç mü kullanmalıyım, sıfır-üç mü?
- Nasıl isterseniz. Hangisi sizin için daha rahat olur?
- Sanırım Anette-üç
- İyi. Değişikliğin nasıl yapılacağı konusunda size yardımcı olmamı ister misiniz?
- Hayır, nasıl yapılacağını biliyorum.
- Güzel. Söylemem gereken bir şey daha var. Bilgisayarınızda bir virüs koruma yazılımı var ve onu güncel tutmanız önemli. Arada bir bilgisayarınız yavaşladığında bile otomatik güncellemeyi devre dışı bırakmamalısınız. Tamam mı?
- Elbette.
- Çok iyi. Bilgisayarla ilgili bir sorununuz olduğunda aramanız için buranın telefon numarası sizde var mı?
- ...
- ...

(Kevin Mitnick, Aldatma Sanatı, s.57-58)

Değerlendirme:

Gördüğünüz gibi saldırgan bahsettiğimiz tekniklerden birincisini ve üçüncüsünü kullanarak hem kurbanı yardımcı olduğuna inandırmış, hem de onun güvenini kazanmıştır. Hedefin işe yeni girmiş olması elbette tesadüf değildir, muhtemelen yeni işe giren listesinden özenle seçilmiştir. Saldırganımızın gayet rahat ve monoton konuştuğuna dikkat edilmeli çünkü konuşmanın bu özelliği insanda tüm bunların prosedür icabı olduğu ve her yeni gelene yapıldığı izlenimini uyandırır. Konuya uzun bir giriş yapılması bir tafartan inandırıcılık kazanmak, diğer taraftan da dikkati dağıtmak için oynanmış bir oyundur. Aynı şekilde şifreyi aldıktan sonraki soğukkanlılık ve verilen tavsiyeler de alarm zillerinin çalmasına engel olmuştur. İstenilen alındıktan sonra en azından bir konuda daha konuşulması ise konuşmalarda hep son konunun hatırlanması nedeniyledir ki, eğer böyle bir çıkış yapılmazsa şifrenin çalındığının anlaşılması durumunda saldırganın yakalanması çok daha kolaylaşır.

Bu olaylar karşısında karamsar olmamak elde değil tabii ki ama yine de alınan önlemlerle aldatmacalar engellenebilir yada verilen zararlar azaltılabilir. Toplum mühendisliğindeki faktör insan olduğu için en büyük önem çalışanların eğitilmesi ve bilgilendirilmesidir. Çünkü bu tür saldırıların çoğu verdikleri/verecekleri bilginin değerinden habersiz olan çalışanlara yapılmaktadır. Saldırılarda alınacak azaltmak için izlenmesi gereken basamaklar şu şekildedir:

Konuşulan kişinin kimliğinden emin olunmalı
Kişinin şirkette çalışıp çalışmadığı, çalışıyorsa kademesi ve yetkileri kontrol edilmeli
Kişinin gerçekten bilgiye ihtiyacı olup olmadığı belirlenmeli
Sahip olunan bilgiler önem düzeyine göre sınıflandırılmalı

Sonuç olarak, insan faktörü olduğu sürece toplum mühendisleri her zaman aramızda olacaklar ve en önemsizinden en kritiğine her türlü bilgiyi çeşitli dalaverelerle ağzımızdan almaya çalışacaklar. Korunmanın tek yolu ise biraz uyanık, biraz da bilgili olmaktan geçiyor. Bir düşünün, her insan ilişkilerinde, teknolojik olarak olmasa da, zamanına göre hem saldırgan hem de kurban olmuyor muyuz?

Toplum Mühendisliği

Olay:

Değerlendirme:

Kaynaklar:

Faster Than Light

Röportaj

Makefile Yazmadan Make Kullanmak

Önerilenler