Tolga MATARACIOĞLU  Türkiye’de Sosyal Mühendislik Saldırıları Çözümlemesi

 Sosyal Mühendislik Eğitimleri  sorun yaratmak, sonra sorunu çözmeye çalışmak, e-posta ekinde
          zararlı yazılım göndermek ve kurum içi terimleri kullanmak
 Sosyal mühendislik konusunda Türkiye’de verilen eğitimlerin  olarak sıralanabilir [3][7].
 noksanlığından yola çıkarak 2009 yılının son çeyreğinde 2 gün
 süreli “Sosyal Mühendislik: Saldırı ve Korunma Yöntemleri” isimli  Eğer tanımadığınız bir kişiyle yaptığınız görüşme esnasında,
 yeni eğitimimizi Bilişim Sistemleri Güvenliği Bölümü Eğitim  bir geri arama numarası vermekten kaçınılması, sıra dışı
 Kataloğu’na ekledik.  taleplerde bulunulması, yetkili olduğunun öne sürülmesi,
          aciliyetin üzerine vurgu yapılması, isteğin yerine getirilmemesi
 Sosyal mühendislik eğitimlerinin ana hedefi, kurum  durumunda kötü sonuçlar doğacağının söylenmesi, soru
 personelinin, günümüzde oldukça yaygın olan ve başta “kurumun  sorulduğunda rahatsız olunması, bilinen adların sıralanması
 prestiji” olmak üzere pek çok farklı yönden kuruma zarar  ve iltifat edilmesiyle kur yapılması gibi durumlarla karşı karşıya
 verebilme potansiyeline sahip sosyal mühendislik saldırılarına  kalıyorsanız bir sosyal mühendislik saldırısına maruz kalıyor
 karşı bağışıklık kazanması olmalıdır. Bu türden bir eğitimi alan  olabilirsiniz.
 personel, hem alacağı teorik bilgiyle hem de eğitim boyunca
 yapılacak olan uygulamalarla, kendi kurumunda diğer  Sonuç
 çalışanlara benzer bir eğitimi verecek bilgi birikimine sahip
 olacak konuma gelmelidir.  Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden
          gelebilir. Tanımadığınız kişilerden gelen isteklere karşı temkinli
 Korunma Yöntemleri  davranın ve size özel bilginizi (ör. şifrenizi) sistem yöneticisi,
          mesai arkadaşınız, hatta yöneticileriniz dahil, kimseyle
 Aşağıdaki maddeleri içeren kullanıcı bilinçlendirme eğitimleri  paylaşmayın. Kurumdaki tüm personele periyodik olarak bilgi
 tüm kurum personeline belirli periyotlarda verilmelidir [2][3][5]:  güvenliği bilinçlendirme eğitimleri verin. Ve son olarak da

 •  Prosedürlerin ve uygulanmalarının önemi,  kurumunuzda periyodik olarak, sosyal mühendislik saldırı
          testini de içeren, bilgi güvenliği testleri gerçekleştirin.
 •  Bilgisayara giriş ve şifre güvenliği,  Ayrıca kurumda risk analizi çalışmalarının yapılması  KAYNAKÇA
 gerekmektedir. Bu kapsamda kurumun bilgi varlıkları, bu
 •  Bilgisayarda donanım ve yazılım değişiklikleri yapma,  [1]  “Data Loss Statistics”, Datalossdb, Ekim 2009:
 varlıklara gelebilecek tehditler ve bu tehditlerin oluşturabileceği
 •  Dizüstü bilgisayar kullanımı,  zararların tespit edilmesi gerekir. Kurumda veri sınıflandırması  http://datalossdb.org/statistics.
 çalışmaları yapılmalıdır.  [2]  T. Mataracıoğlu, “Sosyal Mühendislik: Saldırı ve
 •  Dosya erişim ve paylaşımı,  Korunma Yöntemleri Kurs Notları”,  TÜBİTAK UEKAE Bilişim
 Şekil 6.  Açık saha testi.
 Yukarıda bahsedilen önlemlerin haricinde personel kimlik  Sistemleri Güvenliği Bölümü, Ekim 2009.
 •  Yazıcı kullanımı,  kartlarını tüm çalışanlar yakalarına takmalıdır. Kurumda bilgi  [3]  K. D. Mitnick ve W. L. Simon (çev.: N. E. Tezcan),

 •  Taşınabilir medya kullanımı,  güvenliği şubesi ve olay bildirme merkezi kurulmalıdır. Kurumda  “Aldatma Sanatı”, Ankara: ODTÜ Geliştirme Vakfı, 2009.
 periyodik olarak bilgi güvenliği testleri yapılmalıdır. Antivirüs  [4]  C. Bican, “Sosyal Mühendislik Saldırıları”, TÜBİTAK
 •  Virüsten korunma,  yazılımları mutlaka tüm bilgisayarlara kurulmalı ve tanım  UEKAE – Ulusal Bilgi Güvenliği Kapısı, 20 May. 2008:
 dosyası güncel tutulmalıdır. Çöpe atılması gereken kurum için  http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/sosyal-
 •  İnternet erişim güvenliği ve 5651 sayılı yasa,
 önemli dokümanlar, kırpıcılardan geçirilmelidir. Bilgisayarlarda  muhendislik-saldirilari.html?Itemid=6
 •  E-posta güvenliği,  şifre korumalı ekran koruyucular kullanılmalıdır. İşten ayrılan  [5]  M. B. Arslantaş, “İnternette Bilişim Suçlarında
 çalışanların uyması gerekenleri içeren prosedürler  Kullanılan Metotlar”, MEB Bilgi Teknolojileri Gn. Md. - EğiTek
 •  Yedekleme,  hazırlanmalıdır. Kuruma ziyaretçi olarak gelen kişilerden kimlik  H@ber, 24 Kas. 2004:
 alınmalı ve kurum içerisinden bir çalışan bu kişiye refakat  http://egitek.meb.gov.tr/EgitekHaber/EgitekHaber/s75/bılsım
 •  Bilgisayar güvenlik olayları ihbarı,
 etmelidir. Kurumda mutlaka ve mutlaka güçlü şifreler  sucları.htm
 •  Sosyal mühendislik.  kullanılmalı ve bu şifreler kesinlikle bir yerlere yazılmamalı ya  [6]  “What is Social Engineering?”, Microsoft, 2010:
 da başkalarıyla paylaşılmamalıdır.  http://www.microsoft.com/protect/terms/socialengineering.aspx
 “Sürekli Bilinç Programı” kapsamında kurumun intranet  [7]  “CERT's Podcasts: Security for Business Leaders: Show
 sayfasına bilgi güvenliğiyle ilgili karikatürler, ipuçları koyma,  Sosyal Mühendislik Saldırılarının Tespit Edilmesi  Notes”, CERT, 2008:
 ayın güvenlik çalışanının resmini asma, bülten panolarına  http://www.cert.org/podcast/notes/20080429hinson-notes.html
 duyurular asma, çeşitli bilgi güvenliği posterleri asma, hatırlatma  En çok kullanılan sosyal mühendislik yöntemleri; kurum
 amaçlı e-postalar gönderme, bilgi güvenliğiyle ilgili internet  çalışanı gibi davranmak, ortak iş yürütülen bir şirketin çalışanı
 sitelerinin takibi, broşürler dağıtma ve güvenlikle ilişkili ekran  gibi davranmak, yetkili biri gibi davranmak, yardıma ihtiyacı
 koruyucular ve arka plan resimleri kullanma gibi önlemler  olan, işe yeni girmiş biri gibi davranmak, bir sistem yaması
 alınmalıdır.  yükletmek için çalışan bir sistem üreticisi gibi davranmak, önce



 94  Sayı 04   Eylül-Aralık 2010  http://www.uekae.tubitak.gov.tr/  95
 ·