Forum
Güvenlik Dersi / Sosyal Mühendislere Karşı Savunmayı Arttırma
Sosyal Mühendislere Karşı Savunmayı Arttırma
Davetsiz
misafirler yada sistem kırıcılar (hackers) sürekli olarak değişik
taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal olmayan
şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını
(network) korumak için daha fazla zaman ve para harcarlar. Daha çok,
yapılan harcamalar teknolojik güvenlik önlemleridir; sistem
yükseltmeleri,güvenlik sistem paketleri, en son teknoloji kripto
sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu
önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir.Bu
tip saldırılara karşı kurumların savunmaları için iyi politikalara
sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma
eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele
içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman
sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir
adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde
güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni
yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları
takip etse de yeni standart, ürünlerin standartdını sağlama açısından
takip etme çok fazla zaman ve imkan gerektirmektedir. Sosyal
mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik
araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına
farklı yollardan giderler.
Dünyada hiçbir bilgisayar sistemi
yoktur ki; insanı merkeze almasın. Bunun anlamı güvenlik zayıflıkları
programların, platformun, ağın (network) yada donanımların bağımsızlığı
ile ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik
sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir.
İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar
güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin
edilemez. Sosyal mühendislerin hangi sömürü metotlarını kullandıkları,
nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir
sosyal mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu
metotlar kullanılarak kişisel özellikleri de artırmak mümkündür,
böylelikle daha başka yeni metotlarda geliştirilebilecektir.
Sorumluluğun
yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumlu
olmadıklarına inandırılırsa, sosyal mühendisin ricasına uygun hareket
ederler. Sosyal mühendisler çeşitli faktörlerin de yardımı ile
oluşturdukları durumda, kişisel sorumluluk konusunu şaşırtma ile o
kadar sulandırırlar ki bir karar vermeye zorlarlar. Sosyal mühendisler
karar verme sürecinde diğer çalışanların isimlerini kullanırlar, ya da
yüksek seviyeden yetkilendirilmiş bir eylem olduğunu diğer bir
çalışanın ağzı ile, iddia ederler.
Göze girme şansı: Hedef eğer
bir rica ile razı olan birisi ise, başarılı olma şansı yüksektir. Bir
rakip olarak onu yönlendirmede bu çok büyük bir avantaj sağlar, ya da
bilinmeyene göre yardım verir, sıcak bayan sesini kullanarak telefon
aracılığı ile iletişime girerler. Sistem kırıcıları (hackers)
topluluğuna teknoloji ile içli dışlı insanlar olarak toplumsal
ilişkilerde çoğu zaman beceriksiz insanlar topluluğu olarak bakılır.
Nitekim bu kanı da doğrudur. Sosyal mühendisler etkilemenin yüksek
hiçbir formunu kullanmadan bilgi elde ederler.
İlişkilere
Güvenmek: Çoğu zaman, sosyal mühendisler belirledikleri kurban ile iyi
güvenilir bir ilişki için beklerler ve o zaman bu güveni sömürürler.
Bunu takip eden zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve
doğal seyir içinde problem ortaya çıkar ve sosyal mühendis büyük
hamlesini yapar. Böylece karşı taraftan şans verilmiş olur.
Ahlâkî
görev: Hedefi dışarıdan ahlaksal olarak davranmaya cesaretlendirmek ya
da başarı şansı için ahlaki hareket arttırmayı sağlamak. Bu durum için
hedef olan kişi ya da organizasyondan bilgilerin sömürülerek alınmasını
gerektiren bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna
inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse, başarı
şansı artmış demektir.
Suçluluk: Eğer mümkünse çoğu insan
suçluluk hissinde olmaktan sakınır. Sosyal mühendisler çoğu zaman,
psikodrama üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın
yüreği cız eder, empati ve duygudaşlık meydana getirirler. Eğer
suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa hedef
bundan çok fazla memnun olacaktır. Rica edilen bilginin yerine
getirilmeyeceğine inanarak, belirleyici problemlerin rica eden kişi
tarafından sık sık yeterli ağırlıkta tartılıp denge içinde iyilik olsun
diye yapılmasını sağlarlar.
Künye: Sosyal mühendisin hüneri ile
daha çok hedef tanımlanır ve bilgiye erişilir. Sosyal mühendisler
iletişim anında daha çok zekice bir araya getirilmiş öncelikli, temelli
girişimlerle bağlantı kurmaya çalışırlar.
Faydalı olmaya istekli
olmak: Sosyal mühendisler diğer insanlara yardım etmeden zevk alanlara
güvenerek eylemlerini yürütürler. Kahramanımız karşı kişiden ya bir
giriş hakkı ister ya da bir hesaba giriş için yardım etmesini ister.
Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme düzeyini
bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını
dayayarak işlerini yaparlar.
Birbirine göre ayarlama: Hedef ile
en az çatışma en iyisidir. Sosyal mühendisler genellikle ortamın
gerektirdiği ses tonu ile zekice ve sabırlı sunuş yaparlar. Emir gibi,
bir şey sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına
nadiren çalışırlar. Sosyal mühendis kahramanları genellikle direkt rica
edenler, uydurma durum, kişisel ikna gibi kategorileri kullanırlar.
Direkt
rica edenler: muhtemelen en basit metottur, ve başarı için en son olan
yoldur. Bir işe basitçe girişildiğinde sorulan bilgidir. Direkt rica
genellikle meydan okumadır ve genellikle ret edilir. Başarı şansı düşük
olduğundan nadiren tercih edilir.
Uydurma durum: bir şey veya
bir organizasyonun özelliğine göre elde edilen bilgilerle yapılan
üretilen bir durum, bir kriz veya özel bir an ile ilgili olarak bu
durumdan faydalanmadır. Kriz durumları anlık yardım içerir, sosyal
mühendisler hedefin güvenini arttırıcı durumun gerekliliği ve yardım
edilme ile ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri
gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki; kahramanlar
gerçek tabanlı şeylere ihtiyaç duymaz, sadece ortalama gerekli şeylerle
çalışırlar.
Kişisel İkna , Kişisel olarak yardım yapmayı isteyen
bununla ilgili istekli insan gibi davranırlar. Amaçları kuvvetli uyum
değildir, gönüllü-uyumlu insan anlayışına ulaşmaya çalışmaktır. Birçok
bilişim teknolojisi (IT) güvenliğinde çalışan insan gerekli bilgilerden
yoksun bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği
farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu, güvenlik
öngörüleri ve güvenlik bilgileri olmalıdır. Çalışanların, sosyal
mühendis riski ile ilgili eğitimi bu saldırılara karşı kurumların
savunma aracıdır. Sosyal mühendisler psikoloji üzerine kurulu ve sosyal
hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar
(George Stevens:2001). Bu çok özel saldırı metodunun farkındalığında
özel süreçlerde eğitim ve çalışma gerektirir.
KAYNAK:CEH