Sosyal Mühendislik

Konu: Sosyal Mühendislik Cuma Haz. 12, 2009 8:15 pm

Temel amacı;
sistemlere izinsiz girmek yada dolandırma yolu ile bağlantı kurmak,
iizinsiz ağa (network) girmek, endistüriyel casusluk, kimlik
hırsızlığı, sistem yada ağın (network) bozulmasına yol açmaktır. Sosyal
mühendislik iki ana kategoride tarif edilebilir; hem insan kaynaklı,
hem de bilgisayar kaynaklı saldırı metodudur (Wendy thurs:2001). Sosyal
mühendislik kişileri kandırarak değerli bilgi ve parolalarını
ellerinden almayı maçlamaktadır. Bu amaçla örneğin e- posta (e-mail)
atarak şifre elde etmeye çalışırlar, “shoulder surfing” sörf metodu ile
basitçe şisel bilgileri toplanan kişiye uygun parola tahminleri
yapılır. Bu noktada sosyal mühendislerin çalışma etodolojisini
anlayabilmek için bir örnek çalışmaya bakmak gerekir:

Klasik bir saldırı metodolojisi: görev - bilgi erişimi:
Eldeki bilgilerle bir şey yapın diye söylense, elbette temel olarak
dijital yada yazılı materyalin kopya tarihi değerli olacaktır. Rakipler
açısından şirket adına ne kadar çok bilgi toplanabilirse o kadar çok
şirketin durumuna yönelik şirket hedefleri, planları, hareketleri,
stratejileri hakkında değerlendirme yapılabilir. Rakip ile ilgili
alınabilecek birkaç bilgi aşağıda belirtilmiştir. Pazar ve yeni ürün
planları Kaynak kodları Şirket stratejileri Üretim, teknolojik
çalışmalar Olağan ticaret metotları Ürün tasarımı, araştırma ve
maliyetler Anlaşmalar ve akit tedbirleri; teslim, fiyatlandırma,
bilimsel terimler. Şirket internet sitesi Müşteri ve destekleyici
bilgileri Birleşme ve elde etme planları Mali bütçeler, gelirler,
vergiler. Pazar, reklam giderleri. Kaynakların fiyatları, stratejiler,
listeler. Sorumlular, operasyonlar, organizasyon şeması, isim/aylık
cetvelleri. Ayrıca tescilli bir şirket çalışması için sıcak hedefe
yönelik, personel kayıtları olabilir. Aşağıdaki bilgilerden herhangi
biri de değerli olabilir. Ev adresleri Ev telefon numarası Karı koca ve
çocuk adları Sosyal Güvenlik numarası Hasta kayıtları Kredi kartı
kayıtları Performans değerlendirmeleri Tüm bu veriler toplanarak elde
bulunan veya internetten kolaylıkla bulunabilecek yardımcı program veya
metotlar ile hedefe kolaylıkla varılabilecektir

a. Sosyal Mühendislere Karşı Savunmayı Arttırma

Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli olarak
değişik taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal
olmayan şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı
ağlarını (network) korumak için daha fazla zaman ve para harcarlar.
Daha çok, yapılan harcamalar teknolojik güvenlik önlemleridir; sistem
yükseltmeleri,güvenlik sistem paketleri, en son teknoloji kripto
sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu
önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir.Bu
tip saldırılara karşı kurumların savunmaları için iyi politikalara
sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma
eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele
içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman
sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir
adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde
güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni
yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları
takip etse de yeni standart, ürünlerin standartdını sağlama açısından
takip etme çok fazla zaman ve imkan gerektirmektedir. Sosyal
mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik
araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına
farklı yollardan giderler.

Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın.
Bunun anlamı güvenlik zayıflıkları programların, platformun, ağın
(network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel
bir şeydir. Bütün bilgisayar güvenlik sistemleri fonksiyonlarında
insanî aracılık sistemleri gerektirir. İnsan aracı üzerine odaklanan
bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal
mühendisliğe karşı bağışıklığı temin edilemez. Sosyal mühendislerin
hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik
özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları
aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel
özellikleri de artırmak mümkündür, böylelikle daha başka yeni
metotlarda geliştirilebilecektir

Konu: Geri: Sosyal Mühendislik Cuma Haz. 12, 2009 8:15 pm

Sorumluluğun yayılımı : Eğer hedefe
onların kendi hareketlerinden sadece sorumlu olmadıklarına
inandırılırsa, sosyal mühendisin ricasına uygun hareket ederler. Sosyal
mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları durumda,
kişisel sorumluluk konusunu şaşırtma ile o kadar sulandırırlar ki bir
karar vermeye zorlarlar. Sosyal mühendisler karar verme sürecinde diğer
çalışanların isimlerini kullanırlar, ya da yüksek seviyeden
yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı ile, iddia
ederler.

Göze girme şansı: Hedef eğer bir rica ile
razı olan birisi ise, başarılı olma şansı yüksektir. Bir rakip olarak
onu yönlendirmede bu çok büyük bir avantaj sağlar, ya da bilinmeyene
göre yardım verir, sıcak bayan sesini kullanarak telefon aracılığı ile
iletişime girerler. Sistem kırıcıları (hackers) topluluğuna teknoloji
ile içli dışlı insanlar olarak toplumsal ilişkilerde çoğu zaman
beceriksiz insanlar topluluğu olarak bakılır. Nitekim bu kanı da
doğrudur. Sosyal mühendisler etkilemenin yüksek hiçbir formunu
kullanmadan bilgi elde ederler.

İlişkilere Güvenmek: Çoğu zaman, sosyal
mühendisler belirledikleri kurban ile iyi güvenilir bir ilişki için
beklerler ve o zaman bu güveni sömürürler. Bunu takip eden zamanlarda
ufak küçük etkileşimlerle ilişkiye girer ve doğal seyir içinde problem
ortaya çıkar ve sosyal mühendis büyük hamlesini yapar. Böylece karşı
taraftan şans verilmiş olur.

Ahlâkî görev: Hedefi dışarıdan ahlaksal
olarak davranmaya cesaretlendirmek ya da başarı şansı için ahlaki
hareket arttırmayı sağlamak. Bu durum için hedef olan kişi ya da
organizasyondan bilgilerin sömürülerek alınmasını gerektiren bir iştir.
Hedef eğer karşıdakine uymanın yanlış olduğuna inanırsa karşıdakini
sorgulamanın hoş olmadığını hissederse, başarı şansı artmış demektir.

Suçluluk: Eğer mümkünse çoğu insan
suçluluk hissinde olmaktan sakınır. Sosyal mühendisler çoğu zaman,
psikodrama üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın
yüreği cız eder, empati ve duygudaşlık meydana getirirler. Eğer
suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa hedef
bundan çok fazla memnun olacaktır. Rica edilen bilginin yerine
getirilmeyeceğine inanarak, belirleyici problemlerin rica eden kişi
tarafından sık sık yeterli ağırlıkta tartılıp denge içinde iyilik olsun
diye yapılmasını sağlarlar.

Künye: Sosyal mühendisin hüneri ile daha
çok hedef tanımlanır ve bilgiye erişilir. Sosyal mühendisler iletişim
anında daha çok zekice bir araya getirilmiş öncelikli, temelli
girişimlerle bağlantı kurmaya çalışırlar.

Faydalı olmaya istekli olmak: Sosyal
mühendisler diğer insanlara yardım etmeden zevk alanlara güvenerek
eylemlerini yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı
ister ya da bir hesaba giriş için yardım etmesini ister. Sosyal
mühendisler ayrıca birçok bireyin zayıf reddetme düzeyini bilerek ve
işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak
işlerini yaparlar.

Birbirine göre ayarlama: Hedef ile
en az çatışma en iyisidir. Sosyal mühendisler genellikle ortamın
gerektirdiği ses tonu ile zekice ve sabırlı sunuş yaparlar. Emir gibi,
bir şey sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına
nadiren çalışırlar. Sosyal mühendis kahramanları genellikle direkt rica
edenler, uydurma durum, kişisel ikna gibi kategorileri kullanırlar.

Direkt rica edenler: muhtemelen en basit
metottur, ve başarı için en son olan yoldur. Bir işe basitçe
girişildiğinde sorulan bilgidir. Direkt rica genellikle meydan okumadır
ve genellikle ret edilir. Başarı şansı düşük olduğundan nadiren tercih
edilir.

Uydurma durum: bir şey veya bir
organizasyonun özelliğine göre elde edilen bilgilerle yapılan üretilen
bir durum, bir kriz veya özel bir an ile ilgili olarak bu durumdan
faydalanmadır. Kriz durumları anlık yardım içerir, sosyal mühendisler
hedefin güvenini arttırıcı durumun gerekliliği ve yardım edilme ile
ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri gerçek
üzerine kurulu olsa da şunu unutmamak gerekir ki; kahramanlar gerçek
tabanlı şeylere ihtiyaç duymaz, sadece ortalama gerekli şeylerle
çalışırlar.

Kişisel İkna , Kişisel olarak yardım
yapmayı isteyen bununla ilgili istekli insan gibi davranırlar. Amaçları
kuvvetli uyum değildir, gönüllü-uyumlu insan anlayışına ulaşmaya
çalışmaktır. Birçok bilişim teknolojisi (IT) güvenliğinde çalışan insan
gerekli bilgilerden yoksun bulunmaktadır. Bu işle uğraşanlara yönelik
bilgi güvenliği farkındalığı programı uygulanmalıdır. Son kullanıcı
kılavuzu, güvenlik öngörüleri ve güvenlik bilgileri olmalıdır.
Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu saldırılara
karşı kurumların savunma aracıdır. Sosyal mühendisler psikoloji üzerine
kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda
bulunurlar (George Stevens:2001). Bu çok özel saldırı metodunun
farkındalığında özel süreçlerde eğitim ve çalışma gerektirir

» Sosyal mühendislik ve ön diyalog hazırlığı ( ufak bilgiler )
» Sosyal Mühendislere Karşı Savunmayı Arttırma
» Sosyal Mühendislere Karşı Savunma - CEH Social Engineering
» Mail güvenliği (Sosyal mühendis ataklarına karşı tedbirli olma)