Bu kitap , bilg i güvenliğ i v e toplu m mühendisliğiyl e ilgil i yoğu n bilgile r içermektedir. Yolunuz u bulmanız ı kolaylaştırma k için , işt e siz e kitabı n . içeriğine hızl ı bi r bakış : Perde Arkas ı başlığınd a güvenliği n e n zayı f halkasın ı açıklayacak , sizin v e şirketinizi n nede n toplu m mühendisliğ i saldırıların a maru z kala – bileceğinizi göstereceğim . Saldırı Sanat ı başlığında , toplu m mühendislerini n istediklerin i eld e etmek içi n güveninizle, yardımc ı olm a isteğinizle , sevecenliğinizle v e insanî saflıklarınızl a nası l oynadıkları m göreceksiniz . Sı k görüle n saldırılarla ilgil i hayal î öyküle r toplu m mühendislerini n pe k ço k kimliğ e ve yüz e bürünebildiklerin i siz e gösterecek . Eğe r dah a önc e bi r toplu m mühendisiyle karşılaşmadığınız ı düşünüyorsanız , büyü k olasılıkl a yanılıyorsunuzdur. Bakalım , b u öykülerd e dah a önc e sizi n d e yaşadığınız bi r senaryo görece k v e toplu m mühendisliğini n siz e dokunup dokunmadığın ı mera k edece k misiniz ? B u olmayaca k bi r şe y değil. Anca k ikinc i bölümde n dokuzunc u bölüm e kada r okudukta n sonra, siz i araya n il k toplu m mühendisini n nası l hakkında n geleceğiniz i öğrenmiş olacaksınız . Davetsiz Misafirler e Dikka t adl ı başlıkt a İse , toplu m mühendis – lerinin, şirke t alanınız a girerek , şirketiniz i batıraca k y a d a çıkaraca k sır- ‘ lan çalıp , sizi n yükse k teknoloj i güvenli k önlemleriniz i atlatara k risk i nasıl artırdığını , uydurm a öykülerl e göreceksiniz . B u başlı k altınd a anlatılan senaryolar , bi r çalışanı n intika m almasında n tutu n da , sana l terörizme kada r oluşabilece k çeşitl i tehditleri n farkın a varmanız ı sağlay – acaktır. Eğe r işletmeniz i ayakt a tuta n bilgiler e v e verilerinizi n güven – liğine değe r veriyorsanız , onunc u v e o n dördünc ü bölümler i başta n sona okuma k isteyeceksiniz . Aksi belirtilmediğ i takdirde , b u kitapt a kullanıla n tü m öyküleri n uydurma öyküle r olduklarını vurgulamakta yara r var . Çıtayı Yükseltme k başlığınd a şirke t yaklaşımın ı el e alı p kuru – munuza yapıla n toplu m mühendisliğ i saldırılarını n başarıy a ulaş – malarının nası l engellenebileceğinde n sö z edeceğiz . O n beşinc i bölü m başarılı bi r güvenli k eğitim i program ı içi n bi r tasla k sunmaktadır . V e o n altıncı bölü m ta m hayatınız ı kurtaraca k şe y olabilir ; kurumunuz a uyarlayabileceğiniz, şirketiniz i v e bilgileriniz i emniyett e tutma k içi n hemen uygulamay a geçirebileceğiniz , he r yönüyl e ta m bi r güvenli k kuralları metni .
En sona , işbaşınd a karşılaştıklar ı bi r toplu m mühendisliğ i saldırısın ı önleyebilmeleri içi n çalışanlarınız a yo l göstermekt e kullanabileceğini z kilit bilgiler i özetleye n kontro l listeleri , tablola r v e şemala r içere n xiv Aldatm a Sanat ı . Bir Bakışt a Güvenli k adınd a bi r bölü m ekledim . B u araçla r ayn ı zamanda, kend i güvenli k eğitim i programlarınız ı oluşturmakt a kullan – abileceğiniz değerl i bilgile r d e içermektedir . Kitapta pe k ço k faydal ı unsurl a karşılaşacaksınız : Teri m kutuları , toplum mühendisliğ i v e bilgisaya r korsanlığ ı terimlerini n açıklamaların ı İçerirler; Mitnic k Mesajlar ı güvenli k stratejiniz i güçlendirmeniz e yardım – cı olaca k kıs a bilgile r sunmaktadır ; notlard a is e e k bilgile r v e ilgin ç ayrıntılar bulunmaktadır . 1 Perde Arkası GÜVENLİĞİN E N ZAYI F HALKAS I Bîr şirke t paranı n alabileceğ i e n iy i güvenli k teknolojilerin i satı n almış; çalışanlarını , akşa m ev e giderke n he r şeylerin i kili t altın a alaca k şekilde so n derec e iy i eğitmi ş v e bin a güvenli k görevlilerin i sektörü n e n iyi güvenli k şirketinde n kiralamı ş olabilir . Bu şirke t yin e d e tamame n savunmasızdır . Bireyler, uzmanları n önerdiğ i e n iy i güvenli k uygulamaların ı çalıştırıyor, önerile n he r güvenli k ürünün ü bilgisayarın a yüklüyo r olabilir – ler v e uygu n siste m yapılandırmasın ı v e güvenli k yamaların ! kullanma k konularında so n derec e dikkatl i davranabilirler . Bu bireyle r yin e d e tamame n savunmasızdırlar . \ .-• – • : ., • İnsan Unsur u Yakın bi r geçmişt e Kongre’y e ifad e verirken , başk a biris i gib i davra – narak v e yalnızc a b u bilgiy i isteyerek , şifreler i v e diğe r hassa s bilgiler i çoğu zama n şirketlerde n alabildiğim i anlattım . Tam anlamıyl a güvend e olduğun u bilmey i isteme k doğa l bi r duygudur am a bu , pe k ço k İnsanı n saht e bi r güvenli k hissiyl e yetinme – sine d e nede n olur . Karısını , çocukların ı v e evin i koruma k içi n ö n kapısı – na, maymuncukl a açılama z olara k bilinen , Medic o mark a bi r silindirl i kili t taktırmış, sorumlulu k sahib i v e sevece n bi r e v sahibin i düşünün . Davetsiz misafirler e karş ı ailesin i güvencey e aldığ ı içi n iç i rahat . Am a pencereyi kıra n y a d a gara j kapısını n şifresin i boza n hırsızlar a n e ola – cak? Güçl ü bi r aiar m sistem i yerleştirme k dah a iy i olurd u anca k yin e d e bir garantis i yok .
Pahal ı kilitle r olsu n y a d a olmasın , e v sahibini n saldırıya açı k olm a hal i deva m ediyor . Neden? Çünk ü İnsa n unsur u aslınd a güvenliği n e n zayı f halkasıdır . Güvenlik çoğ u zama n bi r yanılgıda n ibarettir , jşi n için e dikkatsizlik , saflık v e cahilli k d e girinc e dah a d a köt ü olur . Yirminc i yüzyılı n e n saygı n bilimadamı ola n Alber t Einstei n şöyl e demiştir : “Yalnızc a ik i şe y sonsuz – dur, evre n v e insanoğlunu n aptallığı ; aslınd a evreni n sonsuzluğunda n o kadar d a emi n değilim. ” Sonu ç olarak , insanla r aptailars a y a d a dah a sık görüle n şekliyle , doğr u güvenli k uygulamalar ı konusund a bilgisiz – lerse, toplu m mühendisliğ i saldırılar ı başarıl ı olmaktadır . Pe k ço k bi – lişim teknolojiler i (BT ) sektör ü çalışanı , güvenli k bilincin e sahi p ail e A Aldatm a Sanat ı reisimizle ayn ı yaklaşım ı kullanarak , güvenli k duvarları , müdahaleler i ortaya çıkarm a sistemler i y a d a dah a güçl ü tanım a sistemler i ola n zaman tabanl ı kartla r v e biyometri k akıll ı kartla r gib i herkesç e kabu l gör – müş güvenli k ürünler i kullandıklar ı içi n şirketlerin i saldırılar a karş ı büyü k ölçüde güvend e tuttuklar ı doğrultusund a yanlı ş bi r kanıy a sahiptirler . Güvenlik ürünlerini n te k başların a ta m bi r güvenli k sağlayacağın a inanan biri , güvenli k konusund a kendin i kandırıyo r demektir . B u anca k hayal alemind e görülebilece k bi r durumdur . B u insanla r e r y a d a geç , kaçınılmaz olara k bi r güvenli k sorun u yaşayacaklardır . Tanınmış bi r güvenli k danışman ı ola n Bruc e Schneier’ı n d a dediği gibi, “Güvenli k bi r ürü n değil , bi r süreçtir. ” Dahası , güvenli k bi r teknoloj i sorunu değildir ; bi r insa n v e yöneti m sorunudur . Araştırmacılar sürekl i olara k dah a iy i güvenli k teknolojiler i geliştiri p teknik açıklar ı sömürmey i gidere k zoriaştırınca , saldırganla r insa n unsurunu sömürm e yolun a dah a ço k gideceklerdir , insanları n güvenli k duvarını kırma k genellikl e dah a kolaydı r v e bi r telefo n görüşmesinde n başka yatırı m istemediğ i gib i risk i d e ço k düşüktür . Klasik Bi r Aldatm a Olay ı İşletmenizin ma l varlığını n güvenliğin e karş ı e n büyü k tehdi t nedir ? Yanıtlaması kolay : toplu m mühendisi ; si z sa ğ elin e bakarke n so l eliyl e sırlarınızı çala n acıması z bi r sihirbaz . B u kiş i çoğ u zama n o kada r arkadaş canlısı , samim i v e yardımseverdi r k i onuni a karşılaştığınız a şükredebilirsiniz bile . Bîr toplu m mühendisliğ i örneğin e bakalım : Bugü n pe k ço k insa n Stanley Mar k Rifki n adındak i gen ç adam ı v e artı k va r olmaya n Lo s Angeles’taki Pasifi k Hisseler i Ulusa l Bankası’yl a ola n macerasın ı hatır – lamaz.
Gerçekt e n e olduğuyl a ilgil i çeşitl i rivayetle r vardı r v e Rifki n de , benim gibi , hikâyesin i kend i ağzında n hiçbi r zama n anlatmamıştır . B u yüzden aşağıdakile r yayımlanmı ş makalelerde n derlenmiştir . Şifre Kırma k 1978 yılınd a bi r gü n Rifkin , Pasifi k Hisseteri’ni n yalnızc a yetkil i per – sonelinin girebildiğ i v e odadakileri n he r gü n milyarlarc a dola r tutarınd a havale gönderi p aldıklar ı haval e odasın a doğr u yollandı . Ana bilgisayarı n çökmes i olasılığın a karşı , haval e odasını n veriler i içi n yedekieme sistem i geliştirece k bi r şirkett e sözleşmel i olara k çalışıyordu . Bu görevi , bank a yetkililerini n havaleler i nası l gönderdikler i d e dahi l olma k üzere, tü m haval e süreçlerin i öğrenmesin i sağlamıştı . He r saba h haval e yapmaya yetkil i bank a çalışanlarına , haval e odasın ı aradıklarınd a kullan – maları için , özenl e koruna n günlü k bi r şifreni n verildiğin i öğrenmişti . Güvenliğin E n Zayı f Halkas ı Havale odasındak i memurla r he r gü n değişe n şifrey i ezberleme k içi n kendilerini yormuyorlardı : Şifrey i küçü k bi r kâğıd a yazı p kolayc a görebile – cekleri bi r yer e asıyorlardı . Kası m ayını n ta m o gününd e Rİfkin’i n oday ı ziyaret etmesini n öze l bi r neden i vardı . O kâğıd a bakma k istiyordu . Havale odasın a gelerek , çalışm a süreçleriyl e ilgil i notla r aldı ; güy a yedekieme sistemini n olağa n sistemlerl e ta m olara k Örtüştüğünde n emin olma k istiyordu . B u sırad a asıl ı kâğıttak i güvenli k şifresin i gizlic e okudu v e ezberledi . Birka ç dakik a sonr a dışar ı çıktı . Dah a sonr a söylediğine göre , o a n kendin i piyangod a büyü k ikramiyey i kazanmı ş gibi hissetmişti . Bir D e İsviçre’dek i Ş u Bank a Hesabına. Öğleden sonr a saa t ü ç sularınd a odada n çıkmış , doğruc a binanı n mermer kaplamal ı girişindek i telefo n kulübelerin e gitmiş , telefon a jeto n atarak haval e odasını n numarasın ı çevirmişti .
Sonra , telefond a başk a bir kılığ a bürünmüş , kendini , bank a danışman ı Stanle y Rifkin’den , bankanın Uluslararas ı İşlemle r Birimi’ni n bi r çalışan ı ola n Mik e Hansen’a dönüştürmüştü . Bir kaynağ a göre , yapıla n görüşm e aşağıdak i gib i gelişmişti : “Merhaba, be n Uluslararas ı İşlemler’de n Mik e Hansen, ” ded i Rifkin , telefonun diğe r ucundak i gen ç kadına . Kadın ofi s numarasın ı istedi . B u olağa n bi r soruyd u v e Rifki n hazır – lıklıydı: “286, ” dedi . Kadın sonr a “Peki , şifr e nedir? ” diy e sordu . Rİfkin’in adrenalini n etkisiyl e zate n hızl ı ata n kalb i o and a iyic e hız – landı. Duraksamada n yanıtladı , “4789. ” Sonr a haval e talimatların ı ver – meye başladı : Ne w Yor k Irvin g Yatırı m Ortaklığı’nda n Züri h VVozcho d Handels Bankası’ndak i hesab a yatırılma k üzer e “ta m olara k o n milyo n iki yü z bi n dolar. ” B ü hesab ı öncede n kendis i açtırmıştı . Kadın söylenenler i no t edip , “Tamam , bilgiler i aidim . Şimd i d e birim – ler aras ı taka s numarasın a ihtiyacı m var. ” ded i Rİfkin’in başında n aşağ ı kayna r sula r döküldü ; b u beklemediğ i bi r soru, araştırmasınd a unuttuğ u bi r ayrıntıydı . Am a soğukkanlılığın ı koruyup he r şe y yolundaymı ş gib i davrand ı v e hi ç beklemede n ceva p verdi, “Bi r kontro l edeyim ; siz i heme n ararım. ” B u ke z bankanı n başk a bir birimin i arama k içi n tekra r telefond a kılı k değiştirere k haval e odasın – daki bi r çalışa n gib i davrandı . Taka s numarasın ı öğrend i v e gen ç kadın ı yeniden aradı .
Genç kadı n numaray ı ald ı ve , “Teşekkürler ” dedi . (B u koşulla r altında , teşekkür etmes i gerekeni n aslınd a Rifki n olmas ı gerektiğ i söylenebilir. ) 6 Aldatm a Sanat ı Amaca Ulaşılmas ı Birkaç gü n sonr a Rifki n İsviçre’y e uçtu , parasın ı ald ı v e 8 milyo n dolarını bi r yığı n elma s karşılığınd a bi r Ru s acentasın a verdi . Tekra r uçağa bind i v e taşlar ı bi r par a kuşağın a saklayara k A.B.D . gümrüğün – den geçti . Tarihtek i e n büyü k bank a soygunun u yapmışt ı v e bun u bi r silah, hatt â bi r bilgisaya r bil e kullanmada n gerçekleştirmişti . Tuha f olan , işlediği suçu n bi r sür e sonr a “e n büyü k bilgisaya r dolandırıcılıkları ” başlığı altınd a Güinnes s Rekorla r Kitabı’nı n sayfalarınd a ye r almasıydı . Stanley Rifkin’i n insanlar ı aldatm a sanatınd a kullandığ ı b u becer i v e teknikler bütünün e artı k toplum mühendisliği diyoruz. Aslınd a b u i ş içi n gerekenler özenl i bi r planlam a v e iy i la f yapm a yeteneğinde n ibaret . Ve b u kitabı n konus u işt e b u -bendenizi n ustas ı olduğu – toplu m mühendisliği teknikler i v e şirketini z üzerind e kullanılmalar ı durumund a nasıl karş ı savunm a yapacağınız . Tehlikenin Boyut u Rifkin’in öyküsü , güvend e olduğumu z hissini n n e kadar.yanlı ş bi r düşünce olduğun u mükemme l bi r şekild e açıklıyor . B u tar z olayla r -belk i 10 milyo n dolarlı k vurgunla r deği l ama – he r gü n oluyor .
Ş u and a pa – ralarınız gidiyo r olabili r y a d a biriler i yen i ürünlerinizi n tasartmlartn ı çalıyor olabili r v e si z bunu n farkınd a bil e değilsiniz . Eğe r şirketinizi n başına henü z böyl e bi r ola y gelmediyse , sormanı z gereke n şe y bunu n olup olmayacağ ı değil , n e zama n olacağı . Artan Endiş e Bilgisayar Güvenliğ i Enstitüsü’nün , 200 1 yılınd a bilgisaya r suçlarıy – la ilgil i yaptığ ı araştırmay a göre , geçe n o n ik i a y içerisind e araştırmay a katılan kuruluşları n yüzd e 85’ini n bilgisayarların a yetkisi z giri ş yapılmış . Bu şaşırtıc ı bî r rakam : Araştırmay a katıla n he r yü z kuruluşta n yalnızc a on beş i yı l boyunc a güvenli k ihlâf i yaşamadığın ı söyleyebilmiş . Bi r o kadar şaşırtıc ı ola n başk a bi r ver i d e bilgisayarların a izinsi z girişle r sonucunda mal i zarar a uğraya n kuruluşları n oranı : yüzd e 64 . Te k bi r yı l içerisinde kuruluşları n yansında n fazlas ı mal i zarar a uğramış . Kendi deneyimleri m b u tar z araştırmalardak i rakamları n bira z abartılı olduğun u söylüyor . Araştırmay ı yapa n kişileri n niyetlerinde n kuşkuluyum. Am a bu , zararı n a z olduğ u anlamın a gelmez. Zara r büyük . Güvenlik ihlâllerin e karş ı hazırlıkl ı olmayanlar , aslınd a kaybetmey e hazırlanıyorlar. Pek ço k şirkett e kullanıla n ticar i güvenli k ürünleri , çoğunlukla , yazılımcı veletler olara k biline n amatö r bilgisaya r korsanların a karş ı Güvenliğin E n Zayı f Halkas ı koruma sağlamay ı amaçlamaktadırlar . İnternette n indirilmi ş programla r kullanan b u yeniyetm e korsanla r çoğ u zama n bira z rahatsızlı k vermek – ten ötey e gidemiyorlar . Büyü k kayıpla r v e gerçe k tehlike , madd i bi r kazanç sağlamay a güdülenmiş , hedefler i iy i tanımlanmış , planl ı saldır – ganlardan geliyor . B u İnsanlar , amatörle r gib i birço k sistem e birde n girmeye çalışmaktansa , he r seferind e te k bi r hede f üzerind e yoğun – laşıyorlar.
Amatö r korsanla r sayıy ı ço k tutmay ı amaçlarken , profes – yoneller kalitel i v e değerl i bilgiy i hedefliyorlar . Kimlik tespit i içi n kullanıla n tanım a araçları , siste m özkaynaklann a ve dosyalar a erişimi n yönetilmes i içi n erişi m kontrol ü sistemler i v e hırsı z alarmlarının elektroni k karşılığ ı ola n izinsi z girişler i tespi t sistemler i gib i teknolojiler, bi r şirke t güvenli k program ı içi n önemlidirler . Yin e d e şir – ketler, güvenli k önlemlerin e yatırı m yapmaktansa , kahvey e par a harca – mayı yeğliyorlar . Suçluların akl ı nası l su ç işlemey e yöneli k çalışıyorsa , bilgisaya r kor – sanının d a akl ı güçl ü güvenli k teknolojilerini n açıkların ı bulmay a yöneli k çalışır. Çoğ u zama n d a bun u teknolojiy i kullana n kişiler i hedefleyere k yaparlar. Yanıltıcı Uygulamala r En emniyetl i bilgisayarı n kapal ı bi r bilgisaya r olduğun a dai r yaygı n bi r söz vardır . Akıllıc a am a yanlış : Ar t niyetl i bi r kiş i ofis e gidi p bilgisayar ı açması içi n birin i ikn a edere k iş i bitirir . Elinizdek i bilgiy e sahi p olma k isteyen bi r rakibiniz , çoğ u zama n va r ola n pe k ço k farkl ı yolda n birin i kul- lanarak on u eld e edebilir . B u i ş yalnızc a zamana , sabırl ı olmaya , kişiliğ e ve ısrarcılığ a bakar . İşt e b u noktad a aldatm a sanat ı devrey e girer . Bir saldırganın , davetsi z misafiri n y a d a toplu m mühendisini n güven – lik önlemlerin i atlatma k amacıyla, bilgisin i paylaşaca k güvenili r bi r kul- lanıcıyı kandırmas ı y a d a hiçbi r şeyde n kuşkulanmaya n bi r hedef i on a giriş hakk ı tanımas ı içi n aldatmas ı gerekir . Güvenili r çalışanlar , hassa s bilgileri paylaşmalar ı içi n y a d a saldırganı n içer i sızmasın ı sağlayaca k bir güvenli k açığ ı yaratmalar ı içi n kandırılabildiklerinde , ikn a edilebildik – lerinde y a d a yönlendırilebildiklerind e dünyadak i hiçbi r teknoloji bi r şir – keti koruyamaz . Tıpk ı şifr e çözümleyicilerini n şifr e teknolojisin i bertara f edecek bi r açı k bularak , şifrelenmi ş bi r mesajı n içeriğin i öğrenebildikler i gibi, toplu m mühendisler i d e güvenli k teknolojilerin i bertara f etme k içi n çalışanlarınızı aldatm a yöntem i kullanıla n Güvenin Kötüy e Kullanılmas ı Çoğu durumda , başarıl ı toplu m mühendislerini n güçl ü İnsa n ilişkiler i vardır. Hızl ı dos t olu p güve n sağlayabilme k içi n gerekl i kişili k özellikle – rine sahip ; yan i etkileyici , nazi k v e seviml i kişilerdir . Deneyiml i bi r toplu m 8 Adatma Sanat ı mühendisi, sanatını n stratejilerin i v e taktiklerin i kullanara k neredeys e hedeflediği he r bilgiy e ulaşabilir .
Yetenekli teknoloj i uzmanlar ı alı n ter i dökere k bilgisaya r kullanımın a bağlı riskler i e n az a indirgeme k içi n bilg i güvenliğ i çözümler i üretmişler , ancak e n zayı f halk a ola n insa n unsurun a dokunmamışlardır . Tü m zekâmıza karşın , bi z insanla r -siz , be n v e diğe r herkes – birbirimizi n güvenliğine yöneli k e n büyü k tehdid i oluşturuyoruz .
Kevin Mitnick – Aldatma Sanati
PDF Kitap İndir |