Page 92 - bilgem-teknoloji-dergisi-4
P. 92
Tolga MATARACIOĞLU Türkiye’de Sosyal Mühendislik Saldırıları Çözümlemesi
Giriş • Donanım, yazılım, veri ve kurum çalışanları zarar görebilir. “En emniyetli bilgisayar, kapalı olandır.” şeklinde klişeleşmiş Saldırı Teknikleri
bir laf vardır. Peki, art niyetli bir kişinin ofise gidip bilgisayarı
Günümüzde oldukça popüler halde olan sosyal mühendislik • Önemli veriye zamanında erişememe sorunları ortaya açması için birini ikna edebileceğini hiç düşündük mü? Artık Bu bölümde, sosyal mühendislerin (beyaz şapkalılar) ya da
saldırılarından korunabilmek amacıyla öncelikle saldırı çıkabilir. günümüz bilgi güvenliğine bakış açımızın bu tür durumları da sosyal mühendislik tekniklerini kullanan kötü niyetli kişilerin
tekniklerini ve sonra da korunma yöntemlerini bilmek artık içerecek biçimde genişlemesi gerekiyor. (siyah şapkalılar) kullandıkları saldırı tekniklerini inceleyeceğiz
bir zorunluluk halini almış durumda. TÜBİTAK UEKAE Bilişim • Parasal kayıplar meydana gelebilir (görece olarak [2][3][5].
Sistemleri Güvenliği Bölümü olarak kamu kurumlarına “Bilgi bakıldığında en hafif durum).
Güvenliği Testleri” çatısı altında sosyal mühendislik saldırıları • Vakit kayıpları kaçınılmaz olur. 1. Zararsız Gibi Görünen Bilgiler
gerçekleştirmekteyiz. Bu yazıda gerçekleştirdiğimiz sosyal Bir kurumun güvenliğinin aşılması, genellikle kötü adamın
mühendislik testlerinin bir çözümlemesini (analizini) yapacağız. • Hatta can kaybı bile meydana gelebilir. kurumdaki pek çok insanın korunması ve sınıflandırılması için
“Sosyal Mühendislik” terimi bu yazıda, bireylerin davranışlarını bir neden görmediği, son derece masum, günlük ve önemsiz
etkileyen "Toplumsal Mühendislik" anlamında kullanılmakta Şekil 1’de 2001-2009 yılları arasında Amerika Birleşik USB bellekli saat Donanımsal keylogger USB bellekli çakmak Kameralı araba anahtarı
(59.99$)
(39.99$)
(59.99$)
(19.99$)
olup, geniş kitleleri yönlendirmeyi hedefleyen "Toplumsal Devletleri’nde meydana gelmiş bilgisayar olaylarının türlerine görünen bir bilgiyi ya da bir belgeyi elde etmesiyle başlar. Çoğu
Mühendislik" ya da diğer deyişle, "Toplum Mühendisliği" göre dağılımı gösterilmektedir [1]. Grafiğe baktığımızda çalınmış sosyal mühendis, bir kurum için zararsız gibi görünen bilgileri
kavramıyla karıştırılmamalıdır. dizüstü bilgisayarların %21’lik bir oranla birinci sırada yer el üstünde tutar; çünkü bu bilgiler kendilerini daha inandırıcı
aldığı görülür. Sosyal mühendislik tekniklerini kullanarak SD kartı saklayıcısı Kameralı kalem Kameralı gözlük kılabilmelerinde can alıcı bir rol oynayabilir.
(20.99$) (79.99$) (79.99$)
Hepimizin bildiği üzere bilgi güvenliğinin sadece küçük bir yapılan saldırıları “Bilgisayar Korsanlığı (Hack)” ve “Hile”
yüzdesi teknik güvenlik önlemleri ile sağlanmakta olup büyük başlıkları altında toplayacak olursak, bu olaylar %24’lük bir Şekil 2. Sosyal mühendislik saldırılarında 2. Doğrudan Saldırı: Yalnızca İsteyivermek
yüzdesi ise kullanıcıya bağlı durumdadır. Kurumda bilgi oranla suçların önemli bir bölümünü oluşturmaktadır. kullanılabilecek bazı donanımlar. Çoğu sosyal mühendislik saldırısı karmaşıktır. Fakat bazı
güvenliğinden sorumlu olan kişiler kimler peki? Başta bilginin saldırganlar amacına basit ve lafı dolandırmadan ulaşabilirler.
sahibi ve bilgi işlem personeli olmak üzere tüm kurum personeli Biraz da sosyal mühendislik hakkında bilgi verelim: Sosyal Bilgiyi doğrudan istemek bazı durumlarda yeterli olabilir.
aslında bilgi güvenliğinden sorumludur. Bilgi güvenliğinin mühendislik etkileme ve ikna yöntemlerinden yararlanarak,
düzeyini belirlemek için en zayıf halkaya bakılır. En zayıf halka normal koşullarda insanların vermemeleri, paylaşmamaları Sosyal mühendislik saldırılarında kullanılabilecek bazı 3. Güven Uyandırmak
da çoğu durumda maalesef insan olmaktadır. gereken bir bilgiyi ele geçirme sanatı olarak tanımlanabilir. donanımlar, fiyatlarıyla birlikte Şekil 2'de görülmektedir. Bu
Çoğu insan, kandırılma olasılığının çok düşük olduğunu tür ucuz donanımların temininin çok kolay olabileceği ortadadır. Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya
Peki kurumunuzda bir bilgi güvenliği zafiyeti oluştuğunda düşünür. Bu ortak inancın bilincinde olan saldırgan isteğini o Bu durum da kurumunuzda sosyal mühendislik saldırılarının fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde
kurumunuzun başına neler gelebilir? kadar akıllıca sunar ki, hiç kuşku uyandırmaz ve kurbanın yönlendirilirlerse yanlış şeylere güven duyabilirler. İyi bir sosyal
güvenini sömürür [4][6]. gerçekleştirilme olasılığını ciddi oranda arttırmaktadır. mühendis, kurbanın sorabileceği soruları önceden tahmin eder
• Bilgileriniz başkalarının eline geçebilir.
ve bu sorulara karşı hazırlıklı olur.
• Kurumun onuru, toplumdaki imajı zarar görebilir (ki en
kötü durum). 4. “Size Yardımcı Olabilirim”
Bir sorununuz var ve size yardım etmek isteyen birisi var. Bu
Posta - 4% E-posta - 4% yardımı reddeder miydiniz? Kabul etmekle kalmaz, saldırgana
Elden Çıkarılan Doküman - 5% Bilinmeyen - 4% minnet bile duyardınız. Sorunun kaynağının da büyük ihtimalle
Kayıp Ortam - 3% saldırgan olduğundan şüpheniz olmasın.
Çalınmış Bilgisayar - 7% Kayıp Doküman - 3%
5. “Bana Yardımcı Olabilir misiniz?”
Kayıp Band - 2%
Saldırgan kendini acındırarak kurbandan yardım ister. Zor
Kayıp Doküman - 2%
durumda olan insanlara hep acımışızdır. Sonuç: Hep başarı!
Kayıp Sürücü - 1%
Hile - 8% Çalınmış Band - 1%
Çalınmış Ortam - 1% 6. Düzmece Siteler ve Tehlikeli Ekler
Kayıp Laptop - 1%
Virüs - 1% Bedava indirilebilen yazılımlar! Neden bu yazılımları indirmek
Diğer - 1% bedava diye hiç düşündünüz mü? Bu türden olup da art niyet
içermeyen pek çok yazılım da mevcut tabii, onları ayrı
tutuyorum. Saldırganlar insanların bedava şeylere duydukları
hevesten faydalanıyorlar ya da içeriği cazip gelen e-posta
Web - 13%
eklerinden. Örneğin, “zamlı maaşınızı öğrenmek için lütfen
ekteki dosyaya tıklayın” konulu bir e-posta alıyorsanız eğer,
Çalınmış Laptop - 21% ekini açmadan önce bir kez daha düşünün.
Bilgisayar Korsanlığı (Hack) - 16%
Şekil 1. ABD’deki bilgisayar olaylarının türlere göre dağılımı.
90 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 91
·
