İletişimin teknik yönüyle geometrik olarak hızlandığı günümüzde teknik verilerle neredeyse her tür sosyal, kişisel, toplumsal, siyasi etkinlik gerçekleştirilebilmektedir. İşte “Sosyal mühendislik “ iletişimde insanların dikkatsizliklerini, zaaflarını ve bilgi yetersizliklerini kullanarak hedef hakkında bilgi toplamak, bu bilgileri gereken yöntem ve yönergelerle kendi çıkarı açısından değerlendirmek olarak tanımlanabilir. Yani, sosyal mühendislik bağlamında ulaşılacak bilgiler, hedef kurumun ya da kişinin her türlü bilgisini, ağ yapısını, şifresini içermelidir. Saldırıda bulunulabilecek en küçük ayrıntı bile bu anlamda değerlidir.

Bilgiye ulaşma yöntemleri çok çeşitlilik göstermekle birlikte, ”insan zaafı”nın bu konuda en önemli nokta olduğunu unutmamak gerekir. Bu açıdan bakıldığında, teknik destek veren bir kurumdanmış gibi görünerek bilgi talep etmek, çalışanlarla dostluk tesis etmek, duruma göre kendini başka cinsten göstererek hedef kişinin bilgilerini elde etme yöntemleri, sıkça kullanılan yöntemlerdir.

Hedef ve Saldırı

Sosyal mühendislik yani site kırıcılığı iki temel üzerine oturtulabilir. Birincisi fiziksel temeldir. Burada saldırı için gerekenler çalışma yerleri, çöp kutuları, telefonlar, çevrim içi olan her veri olabilir. İkincisi psikolojiktir. Bir kez sisteme girdiğinizde istediğiniz bilgileri elde etmek hedef için kullanacağınız her türlü hitap, tavır ve psikolojik yaklaşımdır. Sosyal mühendisliğin psikolojik yöntemleri bilimsel araştırmalarla incelendiğinde ilginç sonuçlar ortaya çıkmaktadır: hedefe ulaşmada kadın sesinin erkek sesinden daha etkili ve ikna edici olması gibi.

Sosyal mühendislik ve site kırıcılığı aynı amaca aynı yollardan hizmet etmektedir: Sisteme, ağa izinsiz olarak girmek, elde edilen bilgileri endüstriyel, ticari, askeri bilgi hırsızlığı ve casusluğu için kullanmak. Ya da daha basitçe ağa zarar vermek. Buna göre saldırıda bulunulacak hedefler de doğal olarak telefon şirketleri, büyük ticari kuruluşlar, ordu, kamu kuruluşları, hastanelerden oluşmaktadır. Etkili saldırıların nicel olarak büyük hedefler üzerinde odaklandığı da bilinmektedir. Güvenlik kırığının varlığını ve zarara uğradığını kabul etmek hedef için zor olmakla birlikte, güvenlik açığını kapatmak için de bir fırsat sayılabilir.

Tanım

Sosyal mühendislik konusunda değişik tanımlar geliştirilmiştir:

  • Dışarıdan etkilerle insanlardan istediği bilgiyi elde etme,

  • İnsanlarla ilgili istenilen bilgilere ulaşmak için her türlü teknolojik ve insani ikna yöntemlerini kullanma,

  • Sosyal mühendislik uzmanlarının, site kırması yerine istediği bilgiyi doğrudan elde etme sanatı gibi.

İnternet ortamında istediği bilgiyi alıp geçerli bir sisteme izinsiz girebilmeyi başarmak için başkalarının bilgilerini elde ederek bu sistemi istediği gibi kullanabilmek, bu işi yapanlar için zeka ifadesi olsa da kendi haberi olmadan bilgilerinin kullanıldığını anlayan insanları kızdırmaktadır. Kullandıkları sistemin güvenli olduğuna inanan insanlar, bu kızgınlığı daha da net yaşarlar. Aslında işin temeli, güvenliktir. Site kırıcıları acısından can alıcı nokta da işte budur: GÜVENLİK. Site kırıcıların zayıf halka olarak gördükleri, her halükarda kendini güvenlikte hisseden kullanıcılardır. Kendini güvende hissetmek; açıkları dikkate almadan davranmayı, bunun ardından da tüm bilgileri güvenlik duygusu içerisinde elinden yitirmeyi getirir. Firewall'lar, patch'ler, ağ boşlukları bu çerçevede en çok kullanılan unsurlardır.

Sosyal Mühendislik Esasları:

Hacker Taktikleri

  1. Saldırıya temel olacak bilgileri telefonla elde etmek, en çok başvurulan yöntemdir.

  2. Şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler ya da giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlar ve eskimiş donanımların elde edilerek değerlendirilmesi, boşaltılan çöpler(dumpster diving) izlenerek ulaşılan bilgiler ile sağlanır.

  3. Daha çok psikolojik yöntemler kullanılarak sağlanacak kişisel bilgilerin değerlendirilmesi ikna yöntemi ile gerçekleşmektedir.

  4. Ters mühendislik olarak adlandırılan yöntem: Önce bir -ağ sabote edilir; bu işlem sırasında artacak sorunların sabit olan biri üzerinde - çalışanlar ile iletişim kurarak kesin bilgi talep edilir; ve sonuçta, asıl hedefine yani saldırıya temel olacak bilgiye ulaşılır. (Bu yönteme Rick Nelson yöntemi denir.)

Sonuç olarak, sosyal mühendisliğin ve site kırıcılığın en önemli ismi olan Kevin Mitnick’in ”Güvenlik önlemleriniz ne kadar ileri düzeyde olursa olsun, güvenliğin en zayıf halkası olan "insan" bileşeni kolaylıkla istismar edilebilir. Becerikli bir sosyal mühendislik saldırısı, kendinizi savunmanın neredeyse imkansız olduğu bir silahtır. Teknik zafiyetleri yamalamak mümkün olsa dahi, insan aptallığı ve saflığı için bir yama yoktur.” yargısını burada yinelemeden geçmemek gerektiğini söyleyelim.