Page 96 - bilgem-teknoloji-dergisi-4
P. 96
Tolga MATARACIOĞLU Türkiye’de Sosyal Mühendislik Saldırıları Çözümlemesi
Sosyal Mühendislik Eğitimleri sorun yaratmak, sonra sorunu çözmeye çalışmak, e-posta ekinde
zararlı yazılım göndermek ve kurum içi terimleri kullanmak
Sosyal mühendislik konusunda Türkiye’de verilen eğitimlerin olarak sıralanabilir [3][7].
noksanlığından yola çıkarak 2009 yılının son çeyreğinde 2 gün
süreli “Sosyal Mühendislik: Saldırı ve Korunma Yöntemleri” isimli Eğer tanımadığınız bir kişiyle yaptığınız görüşme esnasında,
yeni eğitimimizi Bilişim Sistemleri Güvenliği Bölümü Eğitim bir geri arama numarası vermekten kaçınılması, sıra dışı
Kataloğu’na ekledik. taleplerde bulunulması, yetkili olduğunun öne sürülmesi,
aciliyetin üzerine vurgu yapılması, isteğin yerine getirilmemesi
Sosyal mühendislik eğitimlerinin ana hedefi, kurum durumunda kötü sonuçlar doğacağının söylenmesi, soru
personelinin, günümüzde oldukça yaygın olan ve başta “kurumun sorulduğunda rahatsız olunması, bilinen adların sıralanması
prestiji” olmak üzere pek çok farklı yönden kuruma zarar ve iltifat edilmesiyle kur yapılması gibi durumlarla karşı karşıya
verebilme potansiyeline sahip sosyal mühendislik saldırılarına kalıyorsanız bir sosyal mühendislik saldırısına maruz kalıyor
karşı bağışıklık kazanması olmalıdır. Bu türden bir eğitimi alan olabilirsiniz.
personel, hem alacağı teorik bilgiyle hem de eğitim boyunca
yapılacak olan uygulamalarla, kendi kurumunda diğer Sonuç
çalışanlara benzer bir eğitimi verecek bilgi birikimine sahip
olacak konuma gelmelidir. Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden
gelebilir. Tanımadığınız kişilerden gelen isteklere karşı temkinli
Korunma Yöntemleri davranın ve size özel bilginizi (ör. şifrenizi) sistem yöneticisi,
mesai arkadaşınız, hatta yöneticileriniz dahil, kimseyle
Aşağıdaki maddeleri içeren kullanıcı bilinçlendirme eğitimleri paylaşmayın. Kurumdaki tüm personele periyodik olarak bilgi
tüm kurum personeline belirli periyotlarda verilmelidir [2][3][5]: güvenliği bilinçlendirme eğitimleri verin. Ve son olarak da
• Prosedürlerin ve uygulanmalarının önemi, kurumunuzda periyodik olarak, sosyal mühendislik saldırı
testini de içeren, bilgi güvenliği testleri gerçekleştirin.
• Bilgisayara giriş ve şifre güvenliği, Ayrıca kurumda risk analizi çalışmalarının yapılması KAYNAKÇA
gerekmektedir. Bu kapsamda kurumun bilgi varlıkları, bu
• Bilgisayarda donanım ve yazılım değişiklikleri yapma, [1] “Data Loss Statistics”, Datalossdb, Ekim 2009:
varlıklara gelebilecek tehditler ve bu tehditlerin oluşturabileceği
• Dizüstü bilgisayar kullanımı, zararların tespit edilmesi gerekir. Kurumda veri sınıflandırması http://datalossdb.org/statistics.
çalışmaları yapılmalıdır. [2] T. Mataracıoğlu, “Sosyal Mühendislik: Saldırı ve
• Dosya erişim ve paylaşımı, Korunma Yöntemleri Kurs Notları”, TÜBİTAK UEKAE Bilişim
Şekil 6. Açık saha testi.
Yukarıda bahsedilen önlemlerin haricinde personel kimlik Sistemleri Güvenliği Bölümü, Ekim 2009.
• Yazıcı kullanımı, kartlarını tüm çalışanlar yakalarına takmalıdır. Kurumda bilgi [3] K. D. Mitnick ve W. L. Simon (çev.: N. E. Tezcan),
• Taşınabilir medya kullanımı, güvenliği şubesi ve olay bildirme merkezi kurulmalıdır. Kurumda “Aldatma Sanatı”, Ankara: ODTÜ Geliştirme Vakfı, 2009.
periyodik olarak bilgi güvenliği testleri yapılmalıdır. Antivirüs [4] C. Bican, “Sosyal Mühendislik Saldırıları”, TÜBİTAK
• Virüsten korunma, yazılımları mutlaka tüm bilgisayarlara kurulmalı ve tanım UEKAE – Ulusal Bilgi Güvenliği Kapısı, 20 May. 2008:
dosyası güncel tutulmalıdır. Çöpe atılması gereken kurum için http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/sosyal-
• İnternet erişim güvenliği ve 5651 sayılı yasa,
önemli dokümanlar, kırpıcılardan geçirilmelidir. Bilgisayarlarda muhendislik-saldirilari.html?Itemid=6
• E-posta güvenliği, şifre korumalı ekran koruyucular kullanılmalıdır. İşten ayrılan [5] M. B. Arslantaş, “İnternette Bilişim Suçlarında
çalışanların uyması gerekenleri içeren prosedürler Kullanılan Metotlar”, MEB Bilgi Teknolojileri Gn. Md. - EğiTek
• Yedekleme, hazırlanmalıdır. Kuruma ziyaretçi olarak gelen kişilerden kimlik H@ber, 24 Kas. 2004:
alınmalı ve kurum içerisinden bir çalışan bu kişiye refakat http://egitek.meb.gov.tr/EgitekHaber/EgitekHaber/s75/bılsım
• Bilgisayar güvenlik olayları ihbarı,
etmelidir. Kurumda mutlaka ve mutlaka güçlü şifreler sucları.htm
• Sosyal mühendislik. kullanılmalı ve bu şifreler kesinlikle bir yerlere yazılmamalı ya [6] “What is Social Engineering?”, Microsoft, 2010:
da başkalarıyla paylaşılmamalıdır. http://www.microsoft.com/protect/terms/socialengineering.aspx
“Sürekli Bilinç Programı” kapsamında kurumun intranet [7] “CERT's Podcasts: Security for Business Leaders: Show
sayfasına bilgi güvenliğiyle ilgili karikatürler, ipuçları koyma, Sosyal Mühendislik Saldırılarının Tespit Edilmesi Notes”, CERT, 2008:
ayın güvenlik çalışanının resmini asma, bülten panolarına http://www.cert.org/podcast/notes/20080429hinson-notes.html
duyurular asma, çeşitli bilgi güvenliği posterleri asma, hatırlatma En çok kullanılan sosyal mühendislik yöntemleri; kurum
amaçlı e-postalar gönderme, bilgi güvenliğiyle ilgili internet çalışanı gibi davranmak, ortak iş yürütülen bir şirketin çalışanı
sitelerinin takibi, broşürler dağıtma ve güvenlikle ilişkili ekran gibi davranmak, yetkili biri gibi davranmak, yardıma ihtiyacı
koruyucular ve arka plan resimleri kullanma gibi önlemler olan, işe yeni girmiş biri gibi davranmak, bir sistem yaması
alınmalıdır. yükletmek için çalışan bir sistem üreticisi gibi davranmak, önce
94 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 95
·