Page 94 - bilgem-teknoloji-dergisi-4
P. 94
Tolga MATARACIOĞLU Türkiye’de Sosyal Mühendislik Saldırıları Çözümlemesi
7. Acındırma, Suçluluk Duygusu ve Sindirme Tekniğini klavyelerin altına ya da monitörlere yapıştırılmış not kağıtlarına Şekil 3’te sosyal mühendislik saldırısı süreci gösterilmiştir. Test sonunda şifreleri ele geçirilen kullanıcılara, bilgi işlem
Kullanmak bakarak pek çok şifre elde edilebilir. Daha da vahimi, kullanıcısı Sürecin ilk evresinde araştırma yer almaktadır. Bu aşamada personeli tarafından ulaşılmakta, şifrelerini değiştirmeleri
başında bulunmayan, ekranı kilitlenmemiş ve şifreli ekran saldırı gerçekleştirilecek kişi ya da kurum hakkında edinilebildiği yönünde bilgi verilmektedir. Böylelikle ele geçirilen şifrelerin
Hem kendimiz hem de başkaları adına zor durumlardan kadar bilgi elde edilir. Daha sonra dostluk ve güven uyandırma
kaçınma eğilimindeyiz. Bu olumlu dürtüden yola çıkarak koruyucusu bulunmayan bilgisayarlardır. aşamasına geçilir. Sosyal mühendis, bir önceki evrede edindiği hassasiyet ya da kritiklik derecesi sıfırlanmış olur.
saldırgan, kişinin acıma duygusuyla oynayabilir, onun kendini 10. Teknolojiyi ve Sosyal Mühendisliği Birlikte Kullanmak bilgileri kullanarak kurbanın güvenini kazanmaya çalışır. Eğer Senaryo 1:
suçlu hissetmesini sağlayabilir ya da silah olarak sindirmeyi başarılı olursa bir sonraki aşamaya geçilir ve güven kötüye Bu senaryoda kullanılan veri tamamen kurum dışından
kullanabilir. Başarılı sosyal mühendisler sadece telefonu ya da insanların (Facebook, Google, MSN vb.) elde edilir. Saldırgan kurumla ilgili
zafiyetlerini kullanmanın yanı sıra teknolojiyi de kullanarak kullanılır. Elde edilen hassas bilgiler değerlendirilir. Eğer bu
8. Ters Dalavere saldırıyı daha etkin hale getirirler. Bu kapsamda şifre kırma bilgi yeterli ise saldırı sonlandırılır. Edinilen bilgi yetersiz ise telefon bilgilerini internetten topladıktan sonra bu numaraları
arayarak kendisinin bilgi işlem departmanında yeni işe
programları, klavyeden girilen tüm bilgiyi kaydeden casus tekrar araştırma evresine dönülür ve döngü sosyal mühendis
Geleneksel sosyal mühendisler belli bir yol izlerler. Bazı tarafından bir kez daha yinelenir. başladığını ve aktif dizinde bir güncelleme yapmak amacıyla
durumlarda ise oyun ters yönde oynanır. Buna da ters dalavere yazılımlar ve zararlı kod içeren dosyalar hazırlamaya yarayan kullanıcı adı ve şifreye ihtiyacı olduğunu söyler.
denir. Bu yöntemde kurban, yardım için saldırganı arar. programlar örnek olarak verilebilir. Senaryo 2:
Kurbanın saldırganı aramasının altında yatan durum, 11. İşe Yeni Girenlere Yapılan Saldırılar DOSTLUK VE GÜVENİ BİLGİ Bu senaryoda kullanılan veri tamamen kurum içinden (bilgi
GÜVEN
KÖTÜYE
saldırganın, kurbanın direkt etkileneceği bir sorun çıkartması ARAŞTIRMA UYANDIRMA KULLANMA KULLANMA işlem departmanından alınan telefon listeleri, kritik personelin
ve bir şekilde önce kurbana telefondan ulaşması ve telefon Başarılı bir sosyal mühendis çoğunlukla kurum içi yetki listesi vb.) elde edilir. Saldırgan ilgili telefon numaralarını
numarasını bırakarak kurbanın kendisini aramasını sıralamasında alt düzeylerde olan çalışanları, özellikle de yeni arayarak kendisinin bilgi işlem departmanında yeni işe
beklemesinden kaynaklanmaktadır. işe başlayanları hedef alır. Peki neden işe yeni başlayanlar?
Çoğu zaman kurum bilgilerinin ya da bazı hareketlerinin olası başladığını ve aktif dizinde bir güncelleme yapmak amacıyla
GERİ kullanıcı adı ve şifreye ihtiyacı olduğunu söyler.
9. İçeriye Girmek sonuçlarının farkında olmamaları ve kolayca etki BESLEME
altınagirebilmeleri bu soruya yanıt olarak verilebilir. Senaryo 3:
Dışarıdan birinin kurum çalışanı kimliğine bürünmesi
tekniğidir. En basitinden, içeriye bir kez girdikten sonra Şekil 3. Sosyal mühendislik döngüsü. Saldırgan kendini, denetçi olarak tanıtır ve şu an kurum
başkanının yanında olduğunu söyleyerek devam eder. Başkanın
emriyle bir inceleme yapmak için kullanıcı adı ve şifreye ihtiyacı
Sosyal Mühendislik ve Türkiye
olduğunu söyler.
TÜBİTAK UEKAE Bilişim Sistemleri Güvenliği Bölümü Senaryo 4:
olarak yaklaşık 1,5 yıldır kamu kurumlarına sosyal mühendislik Bu senaryoda kullanılan veri tamamen kurum dışından (ör.
saldırıları gerçekleştirmekteyiz. Bu kapsamda bugüne kadar Google) elde edilir. Saldırgan kurumun santralini arayarak
10 toplam 5 kamu kurumunda bu testi gerçekleştirdik. Bu muhasebe departmanından birisiyle görüşmek istediğini söyler.
kapsamda toplam 48 kullanıcı ile telefon görüşmesi yapıldı ve Amaç, öncelikle bir isim ve dahili numara elde etmektir. Bu
9 30’una ait şifre elde edildi. Kurum A’da 10 kullanıcı ile görüşülüp bilgiyi aldıktan sonra ilgili kişiyi arayarak kullanıcı adı ve
8’inin hassas bilgisi elde edildi. Kurum B ve E’de ise 10 kullanıcı şifresini almaya çalışır.
8 ile görüşülüp 5’inin şifresi elde edildi. Kurum C’de 10, Kurum Senaryo 5:
D’de 8 kurum çalışanı ile görüşülüp 6’sının şifresi elde edildi. Eğer kurumda var olan kritik yazılımlardan herhangi biri
7 (Şekil 4) Kurum A’da başarı oranı (şifresi elde edilen katılımcı dışarıdan bir kurumun işletimi altındaysa, saldırgan kendisini
sayısı/katılımcı sayısı) %80 iken, Kurum B ve E’de bu oran %50,
Katılımcı Sayısı Kurum C’de %60 ve Kurum D’de %75 olmuştur ki bu oranlar o kurumdan bir yetkili olarak tanıtıp, bir güncelleme yapmak
6 için kullanıcı adı ve şifre almaya çalışır.
ciddi derecede yüksek oranlardır. Aslında burada kurum bazında
Şifresi Elde Edilen başarı oranına bakmak pek de doğru olmayabilir; çünkü siz Senaryo 6:
5 Katılımcı Sayısı saldırgan olarak kurumdan sadece bir kişinin bile hassas bilgisini Çeşitli yazılımlar yardımıyla ekinde zararlı yazılım bulunan
4 ele geçirseniz, bu hassas bilgiyle pek çok bilgiye ulaşabilmeniz ve içeriği kullanıcılara çok cazip gelecek e-posta hazırlanır ve
mümkün olabilir. Sonuçlar çözümlendiğinde, maalesef kamu tüm kullanıcılara gönderilir.
3 kurumlarımızdaki personelde bilgi güvenliği bilincinin pek Örnek 1: Maaşlara yapılan son zammı görmek için ekteki
oturmamış olduğu gözükmektedir. dokümana tıklayınız.
2 Sosyal Mühendislik Testleri Örnek 2: Ben aaa firmasında teknik destek grubu çalışanıyım.
Firmamızın bbb yazılımında meydana gelen kritik bir açıklığın
1 Yaklaşık 1,5 yıldır kamu kurumlarına gerçekleştirdiğimiz bir an önce kapatılması için lütfen ekteki yamayı bilgisayarınıza
sosyal mühendislik saldırılarında kullandığımız bazı senaryoları kurunuz.
0 aşağıda bulabilirsiniz. Bu testi gerçekleştirmeden önce kurum
Kurum A Kurum B Kurum C Kurum D Kurum E
yetkilisinden izin alınmakta ve test boyunca bir bilgi işlem
personeli testi gerçekleştiren personele refakat etmektedir.
Şekil 4. Kamu kurumlarında gerçekleştirilen sosyal mühendislik sonuçları.
92 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 93
·