Güvenlik

Sosyal Mühendislik Nedir?

Hackerlarin Kullandiği Sosyal Mühendislik Nedir?

Sosyal mühendislik yani ingilizce tanımı ?Social Engineering? olarak isimlendirilen en temel hacking yöntemlerinden biridir...Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri , şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.

Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, hedef kişiyle dost olmak , olmadığı halde kendini kız gibi gösterip kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.

Sosyal mühendislik aslında hack?in atası olarak bilinir bir nevi ilk hack atağıdır. Sosyal mühendisliğin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdığı kitapta sosyal mühendislikten bahsetmiştir. Hayatını Okuyup incelediğimiz kadarı ile girdiği sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulaştığını gördük. Kevin Mitnick zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura kevin ile girdiği mücadeleyi anlattığı takedown adlı kitabında özellikle bu yönteme değinmiştir.
Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha şanslı Olduğunu göstermiştir. Kısaca Sosyal Mühendislik kişileri kandırarak elindeli gizli bilgileri sorularla veya farklı yollarla fark ettirmeden elinden almaktır...

SOSYAL MÜHENDİSLİK ESASLARI, BÖLÜM I: Hacker Taktikleri

GERÇEK BİR HİKAYE


Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı.
turkhackteam.org
Yabancılar binanın dışından CFO?yu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO? sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFO?lu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.turkhackteam.org
Aslında, yabancılar CFO?nun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)

TANIMLAR

Sosyal mühendislikle okuduğum bir çok makale şu şekilde tanımlar ile başlar "insanlardan istediklerini öğrenme sanatı ve bilimi", "Dışardan bir hackerın sisteme giriş için ihtiyaç duyduğu bilgileri elde etmek için, bir bilgisayarın makul kullanıcıları üzerinde psikolojik hileler kullanmasıdır" yada "ihtiyaç duyduğun bilgileri elde et"(örneğin bir sistemi kırmaktansa bir kişiden şifreleri al). Gerçekte, sosyal mühendislik bunların hiçbirisi yapamayabilir, bu dahaçok senin nereye oturduğuna bağlıdır . Tek şey, herkes sosyal mühendisliğe kızgın gibi görünür. Genel olarak zeki bir hacker, doğal insanların güvenine eğilimi ustalıkla gerçekleştirirler. Hackerların amacı geçerli bir sistemde izinsiz girebilmeyi başarmak için başkalarının bilgilerini elde edebilmektir ve bubilgilerle sisteme ikamet edebilmektir.
Güvenlik tamamen güvenle ilgilidir. Güven, koruma ve gerçekliktir. Genel olarak, güvenlik zincirinde zayıf bir halka olarak kabul edilir, bizim birçok sömürülebilir ataklarımızı onların münakaşadan dolayı ayrılan birilerine gönüllü bir şekilde kabul ettiririz. Bir çok güvenlik deneyimine sahip bilir kişiler üstüne basarak bu olguyu belirtmektedir. Kaç tane ağ boşluklarıyla, patchlerle ve firewall lar ile ilgili makalenin yayınlanmış olması önemli değildir. Sadece bunlardan gelebilecek tehlikeleri azaltabiliriz
 
HEDEF VE ATAKLAR

Sosyal mühendisliğin genel amacı hack in genel amacı ile aynıdır; sisteme izinsiz girmeyi elde etme yada bilgileri sırasıyla dolandırıcılık yapmak, ağa davetsiz olarak girmek, endüstriyel casusluk, kimlik hırsızlığı yada basitçe ağa yada sisteme zarar vermektir . Tipik hedefler: telefon şirketleri ve servisleri, büyük şirketler ve finansal kurumlar, askeri ve hükümet acentaları ve hastaneler. İnternetin canlanması endüstriyel mühendis atakların paylaşımı ile iyi bir şekilde başladı Fakat ataklar genel olarak büyük mevcudiyetler üzerine odaklanmaktadır.
Gerçek hayatta sosyal mühendislik örneği bulmak zordur. Hedef organizasyonların hiçbir zarar verdiklerini kabul etmek istemezler(Hepsinden sonra, ana güvenlik kırığını kabul etmek onu sadece benimsememek değildir, organisazyon isimlerine zarar verici olabilir). Saldırılar dokümantasyon edilmediği için gerçekte hiç kimse sosyal mühendislik atağı olup olmadığından emin olamayız.
Organizasyonların hedef boyunca neden sosyal mühendisliğe maruz kaldığına gelince, bir çok teknik hack yapmaktansa, yasadışı giriş elde etmek için çoğunlukla kolay bir yoldur. Teknik insanlar için, çoğunlukla sadece telefonu kaldırmak ve birilerine şifre için sor sormak oldukça basittir ve çoğunlukla, bu sadece bir hacker ın yapacağı iştir.
Sosyal mühendislik iki düzey üzerine kurulmuştur: Biri fiziksel diğeri ise psikolıjitir. İlk olarak, bir saldırı için fiziksel ataklara değinelim: çalışma yerleri, telefonlar, çöpler ve tüm çevirim içi olan her şey. Çalışma yerlerinde hacker kolaylıkla kapıdan içeri girip yürüyebilir, tıpkı film gibi Vebakım çalışması yapacak biri gibiyada organisazyona başarı ile giren bir danışman gibi davranabilir. Sonra davetsiz misafir ofiste kurumla yürüyüş boyunca; daha sonra gece evinden zarar verebilmek için yetecek kadar bilgi ile bina etrafında yatar ve binadan çıkar ta ki giriş için izin bilgilerini elde edene kadar giriş izni alabilmek için diğer bir yöntem ise sadece ayakta durmak ve çalışanların şifrelerini açıkça girdiklerini izlemektir.

TELEFON İLE SOSYAL MÜHENDİSLİK

En etkili sosyal mühendislik ataklarından biride telefon aracılığı ile yapılır. Bir hacker sizi arayabilir ve yetkili biri gibi davranabilir ve yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındır.
Şimdi iyi bir örneğe bakalım : Gecenin bir yarısı sizi arayabilirler:
H: ?Son altı saat içinde Mısırı aradınız mı? ?
K: ?Hayır?
H: ?Sizin kartınız ile Mısıra yapılmış bir arama bulunmaktadır. Bir sorununuz var ve $2000 borçlu gözüküyorsunuz.?
H:?Mesleğimi göz önünde bulundururum ki sizi bu borçtan kurtarabilirim. Yalnız bana PIN ve kart numaranızı söylemeniz gerekmektedir. Daha sonra sizi bu borçtan kurtaracağım?
(H: Sosyal mühendislik yapan kişi, K: Sosyal mühendisliğe maruz kalan kişi)
Yardım masaları genellikle bu işe eğilimlidirler. Çünkü onlar yardım için ordalar , gerçekte yasal olmayan bilgileri öğrenmeye çalışan kişiler tarafından istismar edilebilir. Yardım masası çalışanları güler yüzlü ve bilgi vermek için eğitilirler. Bu nedenle sosyal mühendislik için altın bir fırsattır. Yardım masası çalışanların çoğu güvenlik için çok az eğitilmişlerdir. Yardım masası çalışanları daha çok sorulan soruları cevaplamaya ve bir sonraki telefona geçmeye eğilimlidirler.Bu da çok büyük bir güvenlik açığı oluşturmaktadır.
Canlı bir Bilgisayar Güvenlik Enstitüsü gösterisinin kolaylaştırılmış, zekice tanımlanmış yardım masası sömürüsü bir telefon şirketini araması ve yardım masasına ulaşmasıyla başlar.
H: Bu geceki nöbetçi idareniniz kim?
K: Betty.
H: Betty ile görüşebilir miyim?
H: (transfer ediliyor) Merhaba Betty, İyi günler dilerim. Sisteminiz neden çalışmıyor?
K: Çalışmıyor mu? Gayet iyi durumda.
H: Daha iyi olması için oturumu kapatın
K: ( Oturumu kapatıyor )
H: Tekrar oturumu açın.
K: ( Oturumu açıyor )
H: Daha bir bip sesi göremedik, bir değişiklik göremedik. Yeniden oturum kapatır mısınız?
K: ( Oturumu kapatıyor )
H: Betty, senin ID ile ne olacağını anlamak için, senin bilgilerinle giriş yapmam gerekiyor. Şifreni ve ID numaranı verirmisin?
Böylelikle şifreyi ve ID yi öğreniyor. Zekice?
(H: Sosyal mühendislik yapan kişi, K: Sosyal mühendisliğe maruz kalan kişi)
Telefon konusunda yapılan bir değişimde telefon ödemeleri yada ATM dir. Hackerlar gerçekte surf yaparlar ve bu yolla PIN ve kredi kartı numaralarını bu yolla elde ederler. (Büyük bir İngiliz hava alanında çalışan bir arkadaşımın başına geldi). İnsanlar daima telefon gişelerinde ayakta dururlar, bu nedenle bu tarz yerler de daha dikkatli olunması gereken yerlerdir.
turkhackteam.org

ÇÖPLERİ BOŞALTMA (Dumpster Diving)

Çöpleri boşaltmak, çer çöpü temizlemek olarak ta bilinir be başka bir sosyal mühendislik metodudur bilgilerin büyük bir çoğunluğu, şirketin çöplerinden toplanmıştır The LAN Times, çöpünüzde bulunan potansiyel güvenlik tehlikelerini şöyle sıralamaktadır: "şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler yada giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlarve eskimiş donanımlar"
Bu kaynaklar hacker lar için zengin bilgi damarlarıdır. Telefon rehberleri hackerlara canlandırılacak yada hedefteki insanların telefon numaralarını ve isimlerini verir. Organizasyon grafikleri organisazyonda ki yetkili posizyon daki kişiler hakkında bilgiler içerir. Küçük notlar giriş oluşturmak için cazip ve ilginç ufak bilgiler içerir. Takvimler çok önemlidir,hangi işçinin ne zaman işyeri dışında olacağını belirtir. Sistem el kitapları, hassas bilgiler ve diğer teknik bilgi kaynakları hackırlaraağa izinsiz girebilmek için gerekli bilgileri verebilir. Son olarak, eski donanımlar özellikle hard diskler yeniden onarılıptüm kullanışlı bilgiler elde edilebilir.

İKNA ETME

Hackerlar kendi kendilerine ataklarda psikolojik bir etki kurabilmek için sosyal mühendislik ile nasıl mükemmelbir psikolojik etki oluşturabileceklerini çalışırlar. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır. Bu sosyal mühendisliktir.
Taklit etme genel olarak bazı karakterleri oluşturup, onların rollerini oynamaktır. En basit rol en iyisidir. Bazen bizi sizi arayıp ?Ben MIS den John, şifrenize ihtiyacım var? diyebilir. Fakat bu her zaman çalışmaz. Bir yandan hacker lar organizasyon daki gerçek bir bireyi çalışırlar ve o kişi yerine telefon edbilmek için o kişinin binadan çıkmasını beklerler. Bir hacker yaygın objeleri yazar, konuşma esnasında sesleerini gizlemek için küçük kutular kullanır ve konuşma biçimlerini, organizsayon tablosuna çalışır. Bence bu çok az inandırıcı bir ataktır. Çünkü çok fazla hazırlık ister. Ama yinede yapılmaktadır.
Taklit etme yönteminde kullanılan en yaygın rollar şunlardır: tamircilik, IT başkanı, yönetici, güvenli bir 3. parti elemanı (Örneğin başkanın yetkili asistanı sizi arıyor ve bşkanın gerekli bilgileri teyit ettirmek istediğini söylüyor) ve herhangi bir şirket elemanı. Büyük bir şirkette bunları kullanmak zor değildir çünkü herkesi tanıyamazlar. ID ler fake edilebilir. Bir çok çalışan patronlarına kendilerini sevdirmek ister bu nedenlede, kariyer sahibi birinin ihtiyaçlarını sağlamakiçin çok çalışırlar.
Riayet gruba dayalıdır. Fakat, inandırıcı bir kişiile tek başında kullanılabilir. Bu kullanıcılar hacker lara aynı gerekli bilgileri verir. Örneğin hacker IT yönetici rolünü oynuyorsa.
Şüphesiz sosyal mühendisik ile en iyi bilgi edinme yolundan biride arkadaş canlısı olmaktır. Buradaki anafikir telefonda meslektaşlarına inandırıcı olabilmek ve yardım istemektir. Bu nedenle hacker ihtiyaç duyduğu tek şey inandırıcı olabilmektir. Öte yandan bir çok çaşılan telefonlara cevap vermektedirler özelliklede bayanlar.
Bazen bir gülümseme, kibar bir teşekkür yada ?kafam karıştı bana yardım edebilir misiz?? cümlesi size çok yardımcı olacaktır.

ON-LINE SOSYAL MÜHENDİSLİK

İnternet aradığımız şifreleri sosyal mühendisilik ile elde etmek için verimli bir alandır. Bir çok kullanıcının yaptığı başlıca hata aynı şifreyi bir çok account ta kullanmasıdır: gmail, yahoo vs. . Bir hacker bir kullanıcının şifresini elde ettiği zaman onu bir çok accountta dener.Hacker ın bunu yapmasının bir yolu on-line forumlardır. Mesela hackerlar bazı para kazandıran kumar bilgilerini bu form ile gönderir ve kullanıcıdan isim ve şifre yazmasını ister.(email adresi içeren, keza şifrede) Bu formlar mail ile gönderilir. Mail iyi bir görünüm verir ve para kazandıran kumar da kanuni bir yatırım gibi görünür.
Diğer bir yöntemde hacker network admini gibi görünür ve size networkten bir şifre gönderip şifrenizi sorar. Bu tarz sosyal mühendislik atakları genelde çalışmaz. Kullanıcılar on-line iken hackerdan haberdardır. Ama genelde not bırakırlar. Ayrıca hacker larnetworkun bir kısmına benzeyen, şifre ve kullanıcı adınızı girmenizi istiyen pop-up pencereleri kurabilirler. Şu noktaya da değinelim, bir çok kullanıcı temiz bir text ile şifresini göndermez. Fakat nadiren sistem adminlerin güvenlik ölçümünün geri kalanına sahiptir. Daha iyisi, bazen sistem adminleri kullanıcılarını şifrelerini gizlemeleri, diğer bir yandan yüz yüze güvenilir ve yetkili bir çalışanla konuşma yapmaları konusunda uyarıda bulunmaktadır.
Ayrıce e-mail bir sisteme başarı ile girebilmek için direkt bir yoldur. Örneğin, yetkili kişinin mail e yaptığı eklentilerde virüs, worm, trojan atı bulunur. Buna en iyi örnek VIGILANT tarafından dokumantasyonedilen AOL hackidir: ?Öyleyse bir hacker kendini AOL teknik destekleyicisi gibi tanır, bir saat kurbanla konuşur. Konuşma esnasında kendisini satışta olan çok ucuz bir arabası oldugunu söyler. Kurbanın ilgisini çeker ve hacker araba resminin olduğu bir e-mail gönderir. Araba resmi yerine mail bir backdoor exploit çalıştırmaktadır. Bu exploit AOL dışından firewall arasından bir bağlantı kurmaktadır ?

TERS MÜHENDİSLİĞİ

Son olarak, yasadışı bilgi edinme için daha gelişmiş kazanç metotlarından biri ?ters sosyal mühendisliği? olarak bilinir. Bu, hacker yetkili bir kişinin karakterterini oluşturduğu zaman olur. Bu nedenle işçiler diğer yoldan ziyade ona bazı bilgiler için soru sorarlar. Şayet inceden inceye araştırılıp, planlanır ve iyi çalışılırsa, ters sosyal mühendislik atakları belki hacker a işçilerden daha şansla değerli verileri elde etmek için gösterilebilir. Fakat bu istek çok büyük hazırlık, araştırma ve ön hack için kürek çekmektir.
Rick Nelson?un raporuna göre ters sosyal mühendisliği üç kısımdan oluşmuştur: sabotaj yapmak, reklam yapmak ve yardım etmektir. Hacker lar bir networku sabote ederken bir problem artışı olabilir. Hacker sabit problem ile uygun iletişime geçer ve o çalışanlardan kesin bilgileri ister ve gerçekte elde etmek için geldiği şeyi elde eder. Onlar bilir ki aslında o kişi hacker dır. Çünkü diğer müşterilerinin network sisteminden bir sorunları yoktur ve mutludurlar.

SONUÇ

Elbette ki, hiçbir sosyal mühendislik ile ilgili makale Kevin Mitnick in anmadan bitirilmez: Bir makaleden alınmış yazı ile sonuçlandıralım.?Sizler servislere ve teknolojiye bir servet harcayabilirsiniz.. Sizin ağ teknolojiniz hala eskiye karşı savunmasız kalabilir-şekillendirilmiş idare?

Döküman : Cyber-Warrior
Yorumlar
Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için çerez politikamızı inceleyebilirsiniz.