GİRİŞ    Bu kitap, bilgi güvenliği ve toplum mühendisliğiyle ilgili yoğun bilgileriçermektedir. Yolunuzu bulmanızı kolayla...
xiv    Aldatma Sanatı          .Bir Bakışta Güvenlik adında bir bölüm ekledim. Bu araçlar aynızamanda, kendi güvenlik eğit...
GÜVENLİĞİN EN ZAYIF HALKASI     Bîr şirket paranın alabileceği en iyi güvenlik teknolojilerini satınalmış; çalışanlarını, ...
A       Aldatma Sanatı                                                                                                   G...
6       Aldatma Sanatı                                                                                                    ...
8      Adatma Sanatı                                                                                                    Gü...
10      Aldatma Sanatı                                                                                                    ...
2Sanatı
ZARARSIZ GİBİ GÖRÜNEN           BİLGİLER   Çoğu insana göre toplum mühendislerinden kaynaklanacak enbüyük tehdit nedir? Ke...
16      Aldatma Sanatı                                                                                            Zararsız...
18       Aldatma Sanatı                                                                                               Zara...
Zararsız Gibi Görünen Bilgiler         2120       Aldatma Sanatı                                                          ...
22      Aldatma Sanatı        ,•                                                                                        Za...
24        Aldatma Sanatı                                                                                                  ...
26       Aldatma Sanatı                                                                                                Zar...
28       Aldatma Sanatı  Mitnick Mesajı: Eski bir deyişte de ifade edildiği gibi: Gerçek paranoyakların bile biivük       ...
30      Aldatma Sanatı AAitnick Mesajı: Yanımızdaki adama güvenmek insan doğasının bir parçasıdır, özellikle de talep sağd...
Doğrudan Saldırı: Yalnızca isteyivermek        31 Mifnick Mesajı: Akıllı bilgi dolandırıcıları, emniyet teşkilatının asayi...
Miînick Mesajı: Bilgi varlıklarını korumaya ilişkin şirket kurallarıyla ilgili güvenlik eğitim- leri, yalnızca şirketin BT...
Doğrudan Saldırı: Yalnızca isteyivermek         33- zı harflerle, "GİZLİDİR VE ŞİRKET İÇİ KULLANIM İÇİNDİR-İHTİYAÇKALMADIĞ...
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Aldatma Sanatı
Upcoming SlideShare
Loading in...5
×

Aldatma Sanatı

5,466

Published on

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
5,466
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
137
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Aldatma Sanatı

  1. 1. GİRİŞ Bu kitap, bilgi güvenliği ve toplum mühendisliğiyle ilgili yoğun bilgileriçermektedir. Yolunuzu bulmanızı kolaylaştırmak için, işte size kitabın .içeriğine hızlı bir bakış: Perde Arkası başlığında güvenliğin en zayıf halkasını açıklayacak,sizin ve şirketinizin neden toplum mühendisliği saldırılarına maruz kala-bileceğinizi göstereceğim. Saldırı Sanatı başlığında, toplum mühendislerinin istediklerini eldeetmek için güveninizle, yardımcı olma isteğinizle, sevecenliğinizle veinsanî saflıklarınızla nasıl oynadıklarım göreceksiniz. Sık görülensaldırılarla ilgili hayalî öyküler toplum mühendislerinin pek çok kimliğeve yüze bürünebildiklerini size gösterecek. Eğer daha önce bir toplummühendisiyle karşılaşmadığınızı düşünüyorsanız, büyük olasılıklayanılıyorsunuzdur. Bakalım, bu öykülerde daha önce sizin deyaşadığınız bir senaryo görecek ve toplum mühendisliğinin sizedokunup dokunmadığını merak edecek misiniz? Bu olmayacak bir şey değil. Ancak ikinci bölümden dokuzuncu bölüme kadar okuduktansonra, sizi arayan ilk toplum mühendisinin nasıl hakkından geleceğiniziöğrenmiş olacaksınız. Davetsiz Misafirlere Dikkat adlı başlıkta İse, toplum mühendis-lerinin, şirket alanınıza girerek, şirketinizi batıracak ya da çıkaracak sır-lan çalıp, sizin yüksek teknoloji güvenlik önlemlerinizi atlatarak riskinasıl artırdığını, uydurma öykülerle göreceksiniz. Bu başlık altındaanlatılan senaryolar, bir çalışanın intikam almasından tutun da, sanalterörizme kadar oluşabilecek çeşitli tehditlerin farkına varmanızı sağlay-acaktır. Eğer işletmenizi ayakta tutan bilgilere ve verilerinizin güven-liğine değer veriyorsanız, onuncu ve on dördüncü bölümleri baştansona okumak isteyeceksiniz. Aksi belirtilmediği takdirde, bu kitapta kullanılan tüm öykülerinuydurma öyküler olduklarını vurgulamakta yarar var. Çıtayı Yükseltmek başlığında şirket yaklaşımını ele alıp kuru-munuza yapılan toplum mühendisliği saldırılarının başarıya ulaş-malarının nasıl engellenebileceğinden söz edeceğiz. On beşinci bölümbaşarılı bir güvenlik eğitimi programı için bir taslak sunmaktadır. Ve onaltıncı bölüm tam hayatınızı kurtaracak şey olabilir; kurumunuzauyarlayabileceğiniz, şirketinizi ve bilgilerinizi emniyette tutmak içinhemen uygulamaya geçirebileceğiniz, her yönüyle tam bir güvenlikkuralları metni. En sona, işbaşında karşılaştıkları bir toplum mühendisliği saldırısını önleyebilmeleri için çalışanlarınıza yol göstermekte kullanabileceğiniz kilit bilgileri özetleyen kontrol listeleri, tablolar ve şemalar içeren
  2. 2. xiv Aldatma Sanatı .Bir Bakışta Güvenlik adında bir bölüm ekledim. Bu araçlar aynızamanda, kendi güvenlik eğitimi programlarınızı oluşturmakta kullan-abileceğiniz değerli bilgiler de içermektedir. Kitapta pek çok faydalı unsurla karşılaşacaksınız: Terim kutuları, 1toplum mühendisliği ve bilgisayar korsanlığı terimlerinin açıklamalarınıİçerirler; Mitnick Mesajları güvenlik stratejinizi güçlendirmenize yardım-cı olacak kısa bilgiler sunmaktadır; notlarda ise ek bilgiler ve ilginçayrıntılar bulunmaktadır. Perde Arkası
  3. 3. GÜVENLİĞİN EN ZAYIF HALKASI Bîr şirket paranın alabileceği en iyi güvenlik teknolojilerini satınalmış; çalışanlarını, akşam eve giderken her şeylerini kilit altına alacakşekilde son derece iyi eğitmiş ve bina güvenlik görevlilerini sektörün eniyi güvenlik şirketinden kiralamış olabilir. Bu şirket yine de tamamen savunmasızdır. Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarınıçalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilir-ler ve uygun sistem yapılandırmasını ve güvenlik yamaların! kullanmakkonularında son derece dikkatli davranabilirler. Bu bireyler yine de tamamen savunmasızdırlar. .-•- • : .,• İnsan Unsuru Yakın bir geçmişte Kongreye ifade verirken, başka birisi gibi davra-narak ve yalnızca bu bilgiyi isteyerek, şifreleri ve diğer hassas bilgileriçoğu zaman şirketlerden alabildiğimi anlattım. Tam anlamıyla güvende olduğunu bilmeyi istemek doğal birduygudur ama bu, pek çok İnsanın sahte bir güvenlik hissiyle yetinme-sine de neden olur. Karısını, çocuklarını ve evini korumak için ön kapısı-na, maymuncukla açılamaz olarak bilinen, Medico marka bir silindirli kilittaktırmış, sorumluluk sahibi ve sevecen bir ev sahibini düşünün.Davetsiz misafirlere karşı ailesini güvenceye aldığı için içi rahat. Amapencereyi kıran ya da garaj kapısının şifresini bozan hırsızlara ne ola-cak? Güçlü bir aiarm sistemi yerleştirmek daha iyi olurdu ancak yine debir garantisi yok. Pahalı kilitler olsun ya da olmasın, ev sahibininsaldırıya açık olma hali devam ediyor. Neden? Çünkü İnsan unsuru aslında güvenliğin en zayıf halkasıdır. Güvenlik çoğu zaman bir yanılgıdan ibarettir, jşin içine dikkatsizlik,saflık ve cahillik de girince daha da kötü olur. Yirminci yüzyılın en saygınbilimadamı olan Albert Einstein şöyle demiştir: "Yalnızca iki şey sonsuz-dur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan okadar da emin değilim." Sonuç olarak, insanlar aptailarsa ya da dahasık görülen şekliyle, doğru güvenlik uygulamaları konusunda bilgisiz-lerse, toplum mühendisliği saldırıları başarılı olmaktadır. Pek çok bi-lişim teknolojileri (BT) sektörü çalışanı, güvenlik bilincine sahip aile
  4. 4. A Aldatma Sanatı Güvenliğin En Zayıf Halkasıreisimizle aynı yaklaşımı kullanarak, güvenlik duvarları, müdahaleleri Havale odasındaki memurlar her gün değişen şifreyi ezberlemek içinortaya çıkarma sistemleri ya da daha güçlü tanıma sistemleri olan kendilerini yormuyorlardı: Şifreyi küçük bir kâğıda yazıp kolayca görebile-zaman tabanlı kartlar ve biyometrik akıllı kartlar gibi herkesçe kabul gör- cekleri bir yere asıyorlardı. Kasım ayının tam o gününde Rİfkinin odayımüş güvenlik ürünleri kullandıkları için şirketlerini saldırılara karşı büyük ziyaret etmesinin özel bir nedeni vardı. O kâğıda bakmak istiyordu.ölçüde güvende tuttukları doğrultusunda yanlış bir kanıya sahiptirler. Havale odasına gelerek, çalışma süreçleriyle ilgili notlar aldı; güyaGüvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağına yedekieme sisteminin olağan sistemlerle tam olarak Örtüştüğündeninanan biri, güvenlik konusunda kendini kandırıyor demektir. Bu ancak emin olmak istiyordu. Bu sırada asılı kâğıttaki güvenlik şifresini gizlicehayal aleminde görülebilecek bir durumdur. Bu insanlar er ya da geç, okudu ve ezberledi. Birkaç dakika sonra dışarı çıktı. Daha sonrakaçınılmaz olarak bir güvenlik sorunu yaşayacaklardır. söylediğine göre, o an kendini piyangoda büyük ikramiyeyi kazanmış Tanınmış bir güvenlik danışmanı olan Bruce Schneierın da dediği gibi hissetmişti.gibi, "Güvenlik bir ürün değil, bir süreçtir." Dahası, güvenlik bir teknolojisorunu değildir; bir insan ve yönetim sorunudur. Bir De İsviçredeki Şu Banka Hesabına... Araştırmacılar sürekli olarak daha iyi güvenlik teknolojileri geliştirip Öğleden sonra saat üç sularında odadan çıkmış, doğruca binanınteknik açıkları sömürmeyi giderek zoriaştırınca, saldırganlar insan mermer kaplamalı girişindeki telefon kulübelerine gitmiş, telefona jetonunsurunu sömürme yoluna daha çok gideceklerdir, insanların güvenlik atarak havale odasının numarasını çevirmişti. Sonra, telefonda başkaduvarını kırmak genellikle daha kolaydır ve bir telefon görüşmesinden bir kılığa bürünmüş, kendini, banka danışmanı Stanley Rifkinden,başka yatırım istemediği gibi riski de çok düşüktür. bankanın Uluslararası İşlemler Biriminin bir çalışanı olan Mike Hansena dönüştürmüştü. Klasik Bir Aldatma Olayı Bir kaynağa göre, yapılan görüşme aşağıdaki gibi gelişmişti: İşletmenizin mal varlığının güvenliğine karşı en büyük tehdit nedir? "Merhaba, ben Uluslararası İşlemlerden Mike Hansen," dedi Rifkin,Yanıtlaması kolay: toplum mühendisi; siz sağ eline bakarken sol eliyle telefonun diğer ucundaki genç kadına.sırlarınızı çalan acımasız bir sihirbaz. Bu kişi çoğu zaman o kadar Kadın ofis numarasını istedi. Bu olağan bir soruydu ve Rifkin hazır-arkadaş canlısı, samimi ve yardımseverdir ki onunia karşılaştığınıza lıklıydı: "286," dedi.şükredebilirsiniz bile. Kadın sonra "Peki, şifre nedir?" diye sordu. Bîr toplum mühendisliği örneğine bakalım: Bugün pek çok insanStanley Mark Rifkin adındaki genç adamı ve artık var olmayan Los Rİfkinin adrenalinin etkisiyle zaten hızlı atan kalbi o anda iyice hız-Angelestaki Pasifik Hisseleri Ulusal Bankasıyla olan macerasını hatır- landı. Duraksamadan yanıtladı, "4789." Sonra havale talimatlarını ver-lamaz. Gerçekte ne olduğuyla ilgili çeşitli rivayetler vardır ve Rifkin de, meye başladı: New York Irving Yatırım Ortaklığından Zürih VVozchodbenim gibi, hikâyesini kendi ağzından hiçbir zaman anlatmamıştır. Bu Handels Bankasındaki hesaba yatırılmak üzere "tam olarak on milyonyüzden aşağıdakiler yayımlanmış makalelerden derlenmiştir. iki yüz bin dolar." Bü hesabı önceden kendisi açtırmıştı. Kadın söylenenleri not edip, "Tamam, bilgileri aidim. Şimdi de birim- Şifre Kırmak ler arası takas numarasına ihtiyacım var." dedi 1978 yılında bir gün Rifkin, Pasifik Hisseterinin yalnızca yetkili per- Rİfkinin başından aşağı kaynar sular döküldü; bu beklemediği birsonelinin girebildiği ve odadakilerin her gün milyarlarca dolar tutarında soru, araştırmasında unuttuğu bir ayrıntıydı. Ama soğukkanlılığınıhavale gönderip aldıkları havale odasına doğru yollandı. koruyup her şey yolundaymış gibi davrandı ve hiç beklemeden cevap verdi, "Bir kontrol edeyim; sizi hemen ararım." Bu kez bankanın başka Ana bilgisayarın çökmesi olasılığına karşı, havale odasının verileri için bir birimini aramak için tekrar telefonda kılık değiştirerek havale odasın-yedekieme sistemi geliştirecek bir şirkette sözleşmeli olarak çalışıyordu. daki bir çalışan gibi davrandı. Takas numarasını öğrendi ve genç kadınıBu görevi, banka yetkililerinin havaleleri nasıl gönderdikleri de dahil olmak yeniden aradı.üzere, tüm havale süreçlerini öğrenmesini sağlamıştı. Her sabah havaleyapmaya yetkili banka çalışanlarına, havale odasını aradıklarında kullan- Genç kadın numarayı aldı ve, "Teşekkürler" dedi. (Bu koşullar altında,maları için, özenle korunan günlük bir şifrenin verildiğini öğrenmişti. teşekkür etmesi gerekenin aslında Rifkin olması gerektiği söylenebilir.)
  5. 5. 6 Aldatma Sanatı Güvenliğin En Zayıf Halkası Amaca Ulaşılması koruma sağlamayı amaçlamaktadırlar. İnternetten indirilmiş programlar Birkaç gün sonra Rifkin İsviçreye uçtu, parasını aldı ve 8 milyon kullanan bu yeniyetme korsanlar çoğu zaman biraz rahatsızlık vermek-dolarını bir yığın elmas karşılığında bir Rus acentasına verdi. Tekrar ten öteye gidemiyorlar. Büyük kayıplar ve gerçek tehlike, maddi biruçağa bindi ve taşları bir para kuşağına saklayarak A.B.D. gümrüğün- kazanç sağlamaya güdülenmiş, hedefleri iyi tanımlanmış, planlı saldır-den geçti. Tarihteki en büyük banka soygununu yapmıştı ve bunu bir ganlardan geliyor. Bu İnsanlar, amatörler gibi birçok sisteme birdensilah, hattâ bir bilgisayar bile kullanmadan gerçekleştirmişti. Tuhaf olan, girmeye çalışmaktansa, her seferinde tek bir hedef üzerinde yoğun-işlediği suçun bir süre sonra "en büyük bilgisayar dolandırıcılıkları" laşıyorlar. Amatör korsanlar sayıyı çok tutmayı amaçlarken, profes-başlığı altında Güinness Rekorlar Kitabının sayfalarında yer almasıydı. yoneller kaliteli ve değerli bilgiyi hedefliyorlar. Stanley Rifkinin insanları aldatma sanatında kullandığı bu beceri ve Kimlik tespiti için kullanılan tanıma araçları, sistem özkaynaklannateknikler bütününe artık toplum mühendisliği diyoruz. Aslında bu iş için ve dosyalara erişimin yönetilmesi için erişim kontrolü sistemleri ve hırsızgerekenler özenli bir planlama ve iyi laf yapma yeteneğinden ibaret. alarmlarının elektronik karşılığı olan izinsiz girişleri tespit sistemleri gibi teknolojiler, bir şirket güvenlik programı için önemlidirler. Yine de şir- Ve bu kitabın konusu işte bu -bendenizin ustası olduğu- toplum ketler, güvenlik önlemlerine yatırım yapmaktansa, kahveye para harca-mühendisliği teknikleri ve şirketiniz üzerinde kullanılmaları durumunda mayı yeğliyorlar.nasıl karşı savunma yapacağınız. Suçluların aklı nasıl suç işlemeye yönelik çalışıyorsa, bilgisayar kor- sanının da aklı güçlü güvenlik teknolojilerinin açıklarını bulmaya yönelik Tehlikenin Boyutu çalışır. Çoğu zaman da bunu teknolojiyi kullanan kişileri hedefleyerek yaparlar. Rifkinin öyküsü, güvende olduğumuz hissinin ne kadar.yanlış birdüşünce olduğunu mükemmel bir şekilde açıklıyor. Bu tarz olaylar -belki10 milyon dolarlık vurgunlar değil ama- her gün oluyor. Şu anda pa- Yanıltıcı Uygulamalarralarınız gidiyor olabilir ya da birileri yeni ürünlerinizin tasartmlartnı En emniyetli bilgisayarın kapalı bir bilgisayar olduğuna dair yaygın birçalıyor olabilir ve siz bunun farkında bile değilsiniz. Eğer şirketinizin söz vardır. Akıllıca ama yanlış: Art niyetli bir kişi ofise gidip bilgisayarıbaşına henüz böyle bir olay gelmediyse, sormanız gereken şey bunun açması için birini ikna ederek işi bitirir. Elinizdeki bilgiye sahip olmakolup olmayacağı değil, ne zaman olacağı. isteyen bir rakibiniz, çoğu zaman var olan pek çok farklı yoldan birini kul- lanarak onu elde edebilir. Bu iş yalnızca zamana, sabırlı olmaya, kişiliğe ve ısrarcılığa bakar. İşte bu noktada aldatma sanatı devreye girer. Artan Endişe Bir saldırganın, davetsiz misafirin ya da toplum mühendisinin güven- Bilgisayar Güvenliği Enstitüsünün, 2001 yılında bilgisayar suçlarıy- lik önlemlerini atlatmak amacıyla, bilgisini paylaşacak güvenilir bir kul-la ilgili yaptığı araştırmaya göre, geçen on iki ay içerisinde araştırmaya lanıcıyı kandırması ya da hiçbir şeyden kuşkulanmayan bir hedefi onakatılan kuruluşların yüzde 85inin bilgisayarlarına yetkisiz giriş yapılmış. giriş hakkı tanıması için aldatması gerekir. Güvenilir çalışanlar, hassasBu şaşırtıcı bîr rakam: Araştırmaya katılan her yüz kuruluştan yalnızca bilgileri paylaşmaları için ya da saldırganın içeri sızmasını sağlayacakon beşi yıl boyunca güvenlik ihlâfi yaşamadığını söyleyebilmiş. Bir o bir güvenlik açığı yaratmaları için kandırılabildiklerinde, ikna edilebildik-kadar şaşırtıcı olan başka bir veri de bilgisayarlarına izinsiz girişler lerinde ya da yönlendırilebildiklerinde dünyadaki hiçbir teknoloji bir şir-sonucunda mali zarara uğrayan kuruluşların oranı: yüzde 64. Tek bir yıl keti koruyamaz. Tıpkı şifre çözümleyicilerinin şifre teknolojisini bertarafiçerisinde kuruluşların yansından fazlası mali zarara uğramış. edecek bir açık bularak, şifrelenmiş bir mesajın içeriğini öğrenebildikleri Kendi deneyimlerim bu tarz araştırmalardaki rakamların biraz gibi, toplum mühendisleri de güvenlik teknolojilerini bertaraf etmek içinabartılı olduğunu söylüyor. Araştırmayı yapan kişilerin niyetlerinden çalışanlarınızı aldatma yöntemi kullanılankuşkuluyum. Ama bu, zararın az olduğu anlamına gelmez. Zarar büyük.Güvenlik ihlâllerine karşı hazırlıklı olmayanlar, aslında kaybetmeyehazırlanıyorlar. Güvenin Kötüye Kullanılması Pek çok şirkette kullanılan ticari güvenlik ürünleri, çoğunlukla, Çoğu durumda, başarılı toplum mühendislerinin güçlü İnsan ilişkileriyazılımcı veletler olarak bilinen amatör bilgisayar korsanlarına karşı vardır. Hızlı dost olup güven sağlayabilmek için gerekli kişilik özellikle- rine sahip; yani etkileyici, nazik ve sevimli kişilerdir. Deneyimli bir toplum
  6. 6. 8 Adatma Sanatı Güvenliğin En Zayıf Halkasımühendisi, sanatının stratejilerini ve taktiklerini kullanarak neredeyse Bugünün havaalanlarına bir bakın. Güvenlik en üst düzeye ulaşmışhedeflediği her bilgiye ulaşabilir. durumda ancak güvenliği aşıp, kontrol noktalarından tehlikeli olabilecek silahlar geçiren yolcularla ilgili basında duyduğumuz haberlerle dehşete Yetenekli teknoloji uzmanları alın teri dökerek bilgisayar kullanımına düşüyoruz. Hava alanlarımız böyle bir alarm durumundayken bu nasılbağlı riskleri en aza indirgemek için bilgi güvenliği çözümleri üretmişler, mümkün olabiliyor? Metal dedektörleri mi doğru çalışmıyor? Hayır.ancak en zayıf halka olan insan unsuruna dokunmamışlardır. Tüm Sorun makinelerde değil. Sorun insan unsurunda: Makineleri çalıştıranzekâmıza karşın, biz insanlar -siz, ben ve diğer herkes- birbirimizin insanlarda. Hava alanı yetkilileri Ulusa! Muhafızlar1! kapıya koyup, metalgüvenliğine yönelik en büyük tehdidi oluşturuyoruz. dedektörleri ve yüz tanıma sistemleri yerleştirebilirler ama aktif güvenlik görevlilerini, yolcuları nasıl kontrol edecekleri konusunda eğitmek daha Ulusal Karakterimiz yararlı olur gibi görünüyor. Özellikle Batı dünyasında, bu tarz tehditlerin üzerinde durmuyoruz. Aynı sorun, dünya çapında, tüm devlet kurumları, eğitim kuruluşları veBize birbirimizden şüphelenmemiz öğretilmiyor. Bu en çok da ticari işletmeler için de geçerli. Güvenlik uzmanlarının çabalarına karşın bilgiler savunmasız kalıyor ve güvenlik zincirinin en zayıf halkası olanAmerikada böyle. Bize "komşumuzu sevmemiz", birbirimize güven- İnsan halkası güçlendirümediği sürece, toplum mühendisliği becerilerimemiz ve inanmamız öğretilir. Yerel güvenlik örgütlerinin, insanları olan saldırganlarca iştah açıcı bir hedef olarak görülmeye devam ediyor.evlerini ve arabalarını kilitlemeye ikna etmelerinin ne kadar zorolduğunu bir düşünün. Bu tarz açıkların verilebileceği gün gibi ortadadır Her zamankinden çok şu anda, pembe gözlüklerimizi çıkarıp, bil-ve haya! dünyasında yaşamayı tercih eden pek çokları tarafından göz gisayar sistemlerimizin ve ağlarımızın gizliliğine, bütünlüğüne ve varliğı-ardı edilmektedir; ta ki ağızları yanana kadar. na saldırmaya yeltenecek olanların kullandığı yöntemlere karşı daha gözü açık olmalıyız. Trafikte diğer arabaların herşeyi yapabileceği Her insanın iyi niyetli ve dürüst olmadığını biliyoruz, ancak çoğu olasılığına karşı geliştirilen korunmacı sürücülüğün gerekliliğine zaman-zaman sanki öyle değillermiş gibi davranıyoruz. Bu muhteşem saflık, la inandık; artık korunmacı programcılık uygulamalarını da öğrenipAmerikalıların yaşamlarının temel taşıdır ve bundan vazgeçmek acı onlara da inanma zamanımız geldi.verici olacaktır. Bir ulus olarak, özgürlük anlayışımızın içine, yaşanacaken İyi yerin anahtarların ve kilitlerin en az gerekli olduğu yer anlayışını Özel yaşantınızı, aklınızı ya da şirketinizin bilgi sistemlerini ihialda koymuşuz. eden bir saldırı tehlikesi, başınıza gelene kadar gerçekleşecekmiş gibi görünmeyebilir. Maliyetleri yüksek olan böylesi bir gerçekle yüzleşmek- Çoğu insan, kandırılma olasılığının çok düşük olduğu İnancına ten kaçınmak için, bilgi varlıklarımızı, kendi kişisel bilgilerimizi vedayanarak, başkaları tarafından kandıramayacağı varsayımıyla hareket ulusumuzun hassas alt yapılarını korumak konusunda hepimizin bilinçli,eder; bu ortak inancın bilincinde oian saldırgan, isteğini o kadar akıllıca eğitimli ve uyanık olmamız gerekmektedir. Ve bu önlemleri bugündensunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür. almamız şarttır. Kurumsal Saflık Teröristler ve Aldatmacalar Ulusal karakterimizin bir parçası olan bu saflık, bilgisayarlar ilkolarak uzaktan birbirlerine bağlandıklarında da görülüyordu. Hatırlayın, Aldatma sanatı, doğal olarak, yalnızca toplum mühendisine özgü birİntemetın ilk şekli olan ARPANet {Savunma Bakanlığı ileri Araştırma araç değildir. FizikseMerörizm büyük yankılar uyandırıyor ve dünyanın tehlikeli bir yer olduğunun daha önce hiç varmadığımız kadar farkına var-Projeleri Birimi Ağı} devlet, araştırma ve eğitim kurumlan arasında bilgi mamıza yol açıyor. Sonuçta, medeniyet yalnızca ince bir kaplama gibi.paylaşmanın bir yolu olarak tasarlanmıştı. Amaç, teknolojik ilerlemeninyanısıra bilgi özgürlüğüydü. Böylece pek çok eğitim kurumu, ilk bilgisa- Eylül 2001de, New York ve VVashingtona yapılan saldırılar her bi-yar sistemlerini ya hiç ya da çok az güvenlik sağlayarak kurdular. rimizin -yalnızca Amerikalıların değil, tüm ulusların iyi niyetli insanlarınınTanınmış bir yazılım Özgürlükçüsü olan Richard Stallman, kendi da- yüreğine hüzün ve korku saldı. Dünyanın her tarafında, iyi eğitilmişhesabını bir şifreyle korumayı bile reddetmişti. ve yeni saldırılar yapmanın fırsatını kollayan, takıntılı teröristlerin olduğu gerçeğine karşı uyarıldık. Ancak internetin elektronik ticaret için kullanılmaya başlanması,zayıf güvenlik Önlemlerinin, her şeyin biribirine kablolarla bağlı olduğu Devletlerin son zamanlarda artan çabalan, güvenlik bilinci düze-dünyamızda yaratacağı tehlikeleri ciddi şekilde açığa çıkardı. yimizi artırdı. Her tür terörizme karşı uyanık ve tetikte olmalıyız.
  7. 7. 10 Aldatma Sanatı Güvenliğin En Zayıf Halkası 11Teröristlerin nasıl büyük bir hainlikle sahte kimlikler yarattıklarını, öğren- yüzden rakiplerimizin yanıltıcı çabalarını engellemek için bir dereceyeci ve komşu rollerine büründüklerini ve kalabalığa karıştıklarını iyice kadar ihtiyatlı olmalıyız.anlamamız gerekir. Entrikalar çevirirlerken, bu sayfalarda okuyacak- Kitabın ana parçalarını oluşturan ikinci ve üçüncü ana başlıklar,larınıza benzer aldatma numaraları çekerek asıl niyetlerini gizliyorlar. toplum mühendislerini iş başında gösteren hayalî öykülerden oluşuyor. Bildiğim kadarıyla, teröristler şirketlere, içme suyu tesislerine, elekt- Bu bölümlerde şunları göreceksiniz:rik üretme tesislerine ya da ulusal altyapımızın başka yaşamsal Önemi . Telefon beleşçilerinin yıllar önce buldukları, telefon şirketindenolan parçalarına sızmak için henüz toplum mühendisliği teknikleri kul- rehberde geçmeyen bir numarayı almanın sağlam bir yolunu.lanmadılarsa da, asıl sorun orada yatıyor. Bunu yapmak son derecekolay. Bu kitap sayesinde, şirket üst yönetimlerinin güvenlik bilincini yer- • Saldırganların kullandıkları, uyanık ve kuşkucu çalışanları bileleştirip yeni güvenlik politikalarını uygulamaya koyacağını umuyorum. bilgisayar kullanıcı adlannı ve şifrelerini vermeye ikna edecek çeşitli yöntemleri, Bu Kitap Hakkında • Bir İşlem Merkezi yöneticisinin şirketinin en gizli ürün bilgisini çalabilmesi için bir saldırgana nasıl yardım ettiğini, Şirket güvenliği bir denge konusudur. Yetersiz güvenlik, şirketinizi • Bir hanımı, her tuşa basışım kaydeden sonra da ayrıntılarıçok savunmasız bırakırken, güvenliğin üzerinde fazla durmak ise işle saldırgana e-postalayan bir yazılım indirmesi için kandıran birilgilenilmesini engelleyip, şirketin büyümesini ve kazancını kısıtlar. Asıl toplum mühendisinin kullandığı yöntemleri,zor iş güvenlik ve üretkenlik arasındaki dengeyi kurmaktır. • Özel dedektiflerin şirketinizle ve sizinle ilgili nasıl bilgi topladıklarını Şirket güvenliğiyle İlgili başka kitaplar yazılım ve donanım teknoloji- okuyacaksınız. Bu sonuncunun içinizi ürperteceğinden eminim.leri üzerine odaklanırlar ve en ciddi tehlikeye yeterince yer vermezler:insanların aldatılması. Bu kitabın amacı, diğerlerinden farklı olarak, İkinci ve üçüncü ana başlıklarda geçen bazı hikâyeleri okurken, bun-sizin, beraber çalıştığınız insanların ve şirketinizin diğer çalışanlarının ların mümkün olmadığını bu sayfalarda yazılı yalanların, aşağılıknasıl yönlendirilebileceğini anlamanıza yardımcı olmak ve kandırılan numaraların ve dalaverelerin hiç kimsenin yanına kalmayacağınıkişi konumundan çıkmak için ne gibi önlemler alabileceğinizi göster- düşünebilirsiniz. Gerçek şu ki, her olayda anlatılan hikâyeler olmuş vemektir. Elinizdeki kitap, çoğunlukla, saldırganların bilgi çalmak, güvenilir olabilecek olayları yansıtmaktadırlar: Pek çoğu dünyanın bir köşesindeolduğu düşünülen ama aslında öyle olmayan bir bilgiyi doğrulamak ya her gün olmaktadır; hattâ siz bu kitabı okurken sizin kurumunuzun bileda bir şirket ürününü tahrip etmek için kullandıkları, teknik olmayan yön- başına geliyor olabilir.temler üzerinde duruyor. Kitabın içeriği, işinizi korumak söz konusu olduğunda gerçekten Benim görevim, var olan basit bir gerçek nedeniyle daha da zor- ibret verici olacaktır; kişisel yönden bakıldığında ise özel yaşamınızdalaşıyor: Her okuyucu, toplum mühendisliğinin en büyük ustaları olan bilginizin bütünlüğünü korumak için toplum mühendislerinin hamlelerinianne-babalar tarafından zaten yönlendirilmiş durumda. Anne ve bertaraf etmenize de fayda sağlayacaktır.babanız "sizin iyiliğiniz için," diyerek en doğru olduğunu düşündükleri Kitabın dördüncü ana başlığında konuyu farklı bir açıdan ele alı-şeyleri size yaptırmanın yoifannı buldular. Toplum mühendisleri, hedef- yoruz. Buradaki amacım, çalışanlarınızın toplum mühendisleri tarafın-lerine ulaşmak için hikâyelerin, nedenlerin ve gerekçelerin üzerinde dan kandırılmaları ^olasılığını en aza indirgemek için gerekli işletmenasıl özenle ve maharetle oynuyorîarsa, anne-babalar da aynı yöntem- kurallarını ve bilinçlendirme eğitimlerini oluşturmanıza yardım etmek.leri kullanan başarılı birer hikâye anlatıcısıdırlar. Evet, hepimiz, iyi niyetli Toplum mühendislerinin stratejilerini, yöntemlerini ve taktiklerini anla-(ve bazen o kadar da iyi niyetli olmayan) toplum mühendisleri olan mak, şirketinizin üretkenliğini düşürmeden BT varlıklarınızı korumak içinanne-babalarımtz tarafından yoğrulduk. uygun kontroller yerleştirmenize yardımcı olacaktır. Bu eğitimle şartlanmış olarak yönlendirilmeye açık hale geldik. Eğer Kısacası, bu kitabı, toplum mühendisliğinin oluşturduğu ağır tehlike-her zaman tetikte olup başkalarına güvenmeseydik, bizden yararlan- ye karşı sizleri bilinçlendirmek ve şirketinizin ve çalışanlarınızın bu yollamak isteyen birinin kuklası olacağımız endişesiyle dolu olsaydık, zor bir sömürülmesi olasılığını en aza indirgemenize yardım etmek için yazdım.yaşam sürüyor olurduk. Kusursuz bir dünyada kuşku bile duymadanbaşkalarına güvenir, karşılaştığımız insanların dürüst ve güvenilir olduk- Ya da belki şöyle söylemeliyim, bu olasılık bir daha hiç sömürüle-larından emin olurduk. Ama kusursuz bir dünyada yaşamıyoruz ve bu meyecekleh kadar azalacaktır.
  8. 8. 2Sanatı
  9. 9. ZARARSIZ GİBİ GÖRÜNEN BİLGİLER Çoğu insana göre toplum mühendislerinden kaynaklanacak enbüyük tehdit nedir? Kendinizi korumak için ne yapabilirsiniz? Eğer amaç çok değerli bir ödül ele geçirmekse -diyelim ki, bir şirketinfikrî sermayesinin önemli bir parçasıysa- o zaman belki de gerekli olanşoy, mecazî olarak, yalnızca daha güçlü bir kasa ve daha iyi silahlanmışbekçilerdir. Öyle değil mi? Ama aslında bir şirketin güvenliğinin aşılması, genellikle kötüadamın şirketteki pek çok insanın korunması ve sınırlandırılması için birneden görmediği, son derece masum, günlük ve önemsiz görünen birbilgiyi ya da bir belgeyi elde etmesiyle başlar. Bilginin Gizli Değeri Çoğu toplum mühendisleri, bir şirketin elinde olan ve zararsız gibigörünen bilgileri el üstünde tutarlar çünkü bu bilgiler, kendilerini dahainandırıcı kNabilmelerinde can alıcı bir rol oynayabilir. Bu sayfalarda, toplum mühendislerinin saldırılarına sizin de "tanık"olmanızı sağlayarak işlerini nasıl yaptıklarını göstereceğim; bazen olayıkurban rolündeki kişilerin bakış açısından sunacağım, böylece kendinizionların yerine koyabilecek ve siz (belki de çalışanlarınızdan ya da işarkadaşlarınızdan biri) olsaydınız nasıl bir yanıt verebileceğinizi tarta-bileceksiniz. Çoğu durumda aynı olayları toplum mühendisinin bakışaçısından da göreceksiniz. İlk öykü finans endüstrisindeki bir açık noktaya değinmektedir. Creditchex İngilizler, tutucu bir bankacılık sistemine uzun bir süre katlanmakzorunda kaldılar. Sıradan ve dürüst bir vatandaş olarak bir bankadaniçeri girip bir hesap açtıramazdınız. Hatırlı müşterilerden biri sizin için birtavsiye mektubu yazmadığı sürece banka sizi müşteri olarak kabuletmeyi düşünmezdi biie. ingilizlerin bu sistemi günümüzün görünüşte eşitlikçi bankacılığın-dan doğal olarak oldukça farklı. İş yapmaktaki çağdaş rahatlığımız,neredeyse herkesin bir bankaya girip kolaylıkla vadesiz çek hesabı
  10. 10. 16 Aldatma Sanatı Zararsız Gibi Görünen Bilgiler 17açtırabildiği, arkadaş canlısı ve demokratik Amerikadan başka hiçbir - Pekâlâ. Şubenizin çalışma saatleri nedir? Kadın yanıtladı ve ardar-yerde bu kadar göze çarpmıyor, öyle mi? Tam olarak değil. Gerçek şu da gelen somları yanıtlamaya devam etti.ki, bankaların anlaşılabilir nedenlerden ötürü, geçmişte karşılıksız çek - Şubenizin kaç çalışanı bizim hizmetlerimizden yara} lanı or9yazmış olabilecek biri adına -ki bu, kişinin adli sicilinde banka soygunuya da zimmete geçirme suçlarının olması kadar kötü bir durumdur- - Bilgi talebi için bizi ne sıklıkta arıyorsunuz?hesap açmak konusunda doğal bir çekingenlikleri vardır. Bu yüzden, - Sizin İçin ayırdığımız 800lü numaralardan hangisinimüstakbel bir müşteriyle ilgili hızlı bilgiler edinmek pek çok banka için kullanıyorsunuz?olağan bir uygulamadır. - Müşteri temsilcilerimiz her zaman size karşı nazikle/ mı * Bu tarz bilgileri edinmek için bankaların iş yaptıkları başlıca şirketler- - Talebinize yanıt verme süremiz ne kadar?den biri de bizim CreditChex adını vereceğimiz bir kuruluş. Müşterilerine - Ne kadar süredir bankada çalışıyorsunuz?çok önemli bir hizmet sunmakla birlikte, birçok şirkette olduğu gibi, İşinibilen toplum mühendislerine de farkında olmadan kullanışlı bilgiler - Şu anda kullandığınız Üye İşyeri Numarası nedir?sağlayabiliyorlar. - Size sağladığımız bilgilerde hiç tutarsızlığa rastladınız mı - Hizmetlerimizi geliştirmemiz doğrultusunda önsrileı iniz olsavdı İlk Görüşme: Kim Andrevvs bunlar neler olurdu? - Ulusal Banka, ben Kim. Size nasıl yardımcı olabilirim? Ve: - Şubenize düzenli olarak göndereceğimiz anketleri doldurmak ister - Merhaba Kim. Sana bir sorum olacaktı. Sizler CreditChex kullanı- yor musunuz? misiniz? - Evet. Kadın yapabileceğini söyledi, biraz konuştular, arayan telefonu kapattı ve Chris işinin basma döndü. - CreditChexi aradığınız zaman, onlara verdiğiniz numaraya ne ad veriyorsunuz? Üye İşyeri Numarası mı? Üçüncü Görüşme: Henry McKinsey Kız bir an duraksadı; soruyu tartıp, bunun neyle ilgili olduğunu ve yanıt verip vermemesi gerektiğini düşündü. - CreditChex, ben Henry McKinsey, size nasıl yardımcı olabilirim? Arayan, Ulusal Bankadan aradığını söyledi. Doğru Üye İşyeri Bu arada, telefondaki ara vermeden konuşmayı sürdürdü: Numarasını, sonra da bilgi istediği kişinin adını ve sosyal güvenlik • Sormamın nedeni şu: özel dedektiflik konusunda bir kitap yazıyorum. numarasını verdi. Henry kişinin doğum gününü sordu ve arayan onu da verdi. - Evet, dedi kız, soruyu gönül rahatlığıyla yanıtlayarak. Bir yazara yardımcı olabildiği İçin memnunolmuştu. Biraz sonra Henry bilgisayar ekranından kayıtları okudu. - Üye İşyeri Numarası deniyor, öyle mi? - Wells Fargo 1998de, bir kerelik, 2.066 dolar tutarında YB rapor - Ht ki. etmiş. YB (Yetersiz Bakiye), yazılan çeke karşılık hesapta yeterince para - Tamam, harika. Terimleri doğru kullanabilmek için sormuştum. olmadığı durumlar için kullanılan bankacılık terimidir. Yani kitap için. Yardımların için teşekkürler. Hoşçakal, Kim. - O zamandan beri başka hareket olmuş mu? İkinci Görüşme: Chrİs Ta I bert - Hayır, olmamış. - Ulusal Banka, Yeni Hesaplar, ben Chris. - Başka sorgulama olmuş mu? - Merhaba, Chris. Ben Alex, dedi arayan. CreditChexin müşteri tem- - Bir bakalım. Evet, iki tane olmuş, ikisi de geçen ay. Chicago, silcisiyim. Hizmetlerimizi geliştirebilmek için bir araştırma yapıyoruz. Üçüncü Birleşik Kredi Birliği.1 ••• Bana birkaç dakikanı ayırabilir misin? •• •• Bir sonraki adı, Schenectady Yatırım Ortaklığını, okurken bocaladı ve Chris memnuniyetle ayırabileceğini söyledi ve arayan konuşmaya harf harf kodlamak zorunda kaldı. devam etti: - New York Eyaletinde, diye de ekledi.
  11. 11. 18 Aldatma Sanatı Zararsız Gibi Görünen Bilgiler 19 Özel Dedektif İş Başında hakim biri tarafından istendiği izlenimini Bu görüşmelerin üçü de aynı kişi tarafından, adına Oscar Grace yaratmanın bir yolunu bul. Aradığım Terimler bankada, adı Kim olan genç hanımdiyeceğimiz bir özel dedektif tarafından yapılmıştı. Gracein yeni bir CreditChexİ aradıkları zaman kendileri- HEDEF: Bir dalavereninmüşterisi vardı ve bu onun ilk müşterilerinden biriydi. Birkaç ay öncesine ni nasıl tanıttıklarını sorduğumda kuşku- kurbanı.kadar polis olan Grace, yeni işlerin bazılarını rahatlıkla çözebildiğin) fark landı. Duraksadı ve bana söyleyip söyle- KA YNA ĞI KUR UTMA K:etmişti, ancak diğerleri kaynaklarını ve yaratıcılığını sonuna kadar kul- memekten emin olamadı. Bu beni cay- Bir saldırgan, gerçek-lanmasını gerektirecek kadar zorluydu. Bu seferki iş kesinlikle zorlular dırdı mı? Elbette hayır. Üstelik bu durak- leştirdiği saldırıyı kur-sınıfına giriyordu. sama bana önemli bir ipucu, onun için banının anlamasına izin Polisiye romanların tanıdık özel dedektifleri -Sam Spades ve Philip inandırıcı olacak bir neden bulmam verirse, o zaman buna kay-Marlovves- eşini aldatan birini yakalayabilmek için saatlerce arabaların- gerektiğine dair bir işaret verdi. Ona bir nağı kurulmak denir.da oturup gece yarılarına kadar beklerlerdi. Gerçek hayattaki özel kitap için araştırma yaptığım oyununu Kurban bir kez durumudedektifler de aynısını yapıyorlar. Özel dedektifler polisiye romanlara oynadığımda, bu, kuşkularını giderdi. Bir anlar ve diğer çalışanlaradaha az konu olmuş ama didişen eşlerin işlerine burun sokmanın bir o kitap ya da senaryo yazarı olduğunuzu ve yönetime bu girişimdenkadar önemli başka bir çeşidini, yani gece nöbetleriyle cebelleşmekten söyleyin, herkesin dili çözülüverır. söz ederse, gelecekçok, büyük ölçüde toplum mühendisliği becerilerine dayanan bir yöntem saldırılarda aynı kaynağıde kullanıyorlar. Elimde Kimin üzerinde işe yaraya- sömürmek çok güçleşecektir. bilecek başka bilgiler de vardı; hakkında Gracein yeni müşterisi, giysiler ve mücevherler için oldukça geniş bilgi istediğiniz kişiyle ilgili CreditChexİnbir bütçe ayırabiliyor gibi görünen bir hanımdı. Bir gün ofisine gelmiş ve ne tür bilgiler istediğini, sizin o kişiyleüstünde kağıt yığılı olmayan tek deri koltuğa oturmuştu. Gucci marka ilgili neler isteyebileceğinizi ve en önemlisi Kimin çalıştığı bankanın Üyebüyük el çantasını, markası ona dönük kalacak şekilde masaya koymuş İşyeri Numarasını biliyordum. Bu soruları sormaya hazırdım amave boşanmak istediğini kocasına söylemeyi tasarladığını açıklamıştı, duraksaması bir tehlike işaretiydi. Kitap araştırması hikâyesini yutmuş-ancak "küçük bir sorun" olduğunu da itiraf etmişti. tu, ancak işin başında biraz kuşkuianmıştı. Eğer başından yardımcı olmaya hevesli olsaydı, süreçlerle ilgili daha fazla şey anlatmasını Görünüşe göre kocası bir adım öndeydi. Tasarruf hesaplarındaki ondan isteyebilirdim.parayı ve yatırım hesaplarında duran daha da büyük bir tutarı çoktançekmişti. Kadın paraların nereye kaçırıldığını bilmek istiyordu ve boşan- İçinizden gelen sese kulak vermeli, hedefin söylediklerini ve nasılma avukatı hiç yardımcı olmuyordu. Grace, avukatın, paranın nereye söylediğini dikkatle dinlemelisiniz. Bu hanım, çok fazla olağandışı sorugittiği gibi pis işlere elini bulaştırmayacak, hızlı yükselen, yüksek gelirli soracak olsaydım, kafasında alarm zilleri çalacak kadar zeki görünüyor-danışmanlardan biri olduğunu tahmin etti. du. Her ne kadar kim olduğumu ve hangi numaradan aradığımı bilmese de, eğer bu işin içindeyseniz, telefon ederek şirketle ilgili bilgi almaya Acaba Grace ona yardımcı olabilir miydi? çalışan birine karşı, birilerinin ortalığı ayağa kaldırmasını istemezsiniz. Bu işin çocuk oyuncağı olduğuna kadını ikna etti, bir fiyat verdi, mas- Bunun nedeni kaynağı kurutmak istememenizdir; aynı işyerini başka birrafların, gerçekleştikçe faturalandırılacağını söyledi ve ilk ödeme için bir zaman bir kez daha aramak isteyebilirsiniz.çek aldı. Bir insanın bana "Buyrun emrinize amadeyim," diyerek yardımcı mı Sonra da çözmesi gereken sorunla yüzleşji. Daha Önce hiç böyle bir olacağını yoksa "Bu adamın niyeti bozuk, polisi arayayım," diye ortalığıiş yapmadıysanız ve para İzi sürmek konusunda pek bir şey bilmiyor- uyağa mı kaldıracağını anlamak amacıyla bana ipucu verecek küçüksanız ne yaparsınız? Ufak adımlar atarak işe başlarsınız. İşte, bize işaretleri yakalayabilmek için gözümü-kulağımı hep açık tutarım.aktarıldığı kadarıyla Gracein öyküsü: Kimi biraz diken üstünde biri olarak derecelendirdim, bu yüzden CreditChexin ne olduğunu ve bu şirketin bankaların hangi konuda l;ırklı bir şubedeki başka birini aradım. Chrisle yaptığım ikinciişine yaradığını -eski karım bir bankada çalışırdı- biliyordum. Ama kul- ıjürüşmede, araştırma numarası çok iyi iş gördü. Buradaki yöntem,lanılan terimleri ve süreçleri bilmiyordum ve eski karıma sormak zaman inandırıcılığı artıracak ilgisiz soruların arasına önemli sorulan sıkıştır-kaybı olacaktı. mnkta yatıyor. CredİtChexdeki Üye İşyeri Numarasını sormadan önce, İKinkada ne kadar süredir çalıştığıyla ilgili ona kişisel bir soru yönelterek Birinci adım: Bankacılık terimlerini öğren ve İstenen şeyin konuya hır son dakika kontrolü yaptım.
  12. 12. Zararsız Gibi Görünen Bilgiler 2120 Aldatma Sanatı ilındı; CreditChexi arayıp, kendini müşteri bankalardan biri olan Ulusal Kişisel bir soru mayın gibidir; bazıları üzerinden geçer ve hiçbir HiinkHnın bir çalışanı gibi tanıttıktan sonra istediği bilgiyi alabilmesi içinzaman farketmezler; bazılarında ise patlar ve güvenli bir yer bulmak için ılıliyncı olan her şey vardı.telaş içinde kaçmalarına neden olur. Bu yüzden, eğer kişisel bir sorusorarsam, karşı taraf soruyu yanıtlarsa ve ses tonunda bir değişiklik Bilgi çalarken, iyi bir dolandırıcının paranızı çalmada gösterdiğiolmazsa, büyük olasılıkla talebin içeriğinden şüphelenmemiş demektir. htıcorikliliğe benzer bir beceriklilik gösteren Gracein, insanları okumakYanıtlanmasını istediğim soruyu ona, kuşku uyandırmadan rahatlıkla d,:in geliştirilmiş yetenekleri vardı. Sıkça uygulanan, masum sorularınsorabilirim ve büyük olasılıkla bana istediğim cevabı verir. at.ısına anahtar soruları katma yöntemini o da biliyordu. Üye İşyeri Numarasını her şey yolundaymış gibi sormadan önce kişisel bir soru- İyi bir özel dedektifin bildiği bir şey daha vardır: Hiçbir zaman, kilit nun ikinci memurun işbirliği yapma eğilimini ölçeceğini de biliyordu.bilgiyi elde ettikten sonra görüşmeyi hemen bitirme. Bir-iki soru, birazsohbetten sonra veda etmek yerinde olabilir. Eğer kurban sorduklarınız- İlk memurun, CredİtChex üye numarası için kullanılan terimi onayla-la ilgili bir şeyleri daha sonra hatırlarsa, bunlar büyük olasılıkla son y.ırak yaptığı hataya karşı korunmaya neredeyse olanak yoktu. Bu bil-birkaç soru olacaktır. Kalanı genellikle unutulur. ginin bankacılık sektöründe o kadar geniş bir kullanımı var ki önemsiz (jthi görünüyor; zararsız görünümlü bilgilere en iyi örnek. Ancak ikinci Böylece Chris bana Üye İşyeri Numarasını ve taleplerini bildirmek memur Chris, arayanın gerçekte söylediği kişi olup olmadığını doğrula-için kullandıkları telefon numarasını verdi. CreditChexten ne kadar bilgi madan soruları yanıtlamaya bu kadar hevesli olmamalıydı. En azındanedinilebildiğini öğrenebileceğim sorular da sorabilseydim daha mutlu ,itlini ve telefon numarasını alıp onu geri aramalıydı; böylece daha sonraolurdum. Ancak şansımı zorlamak istemedim. Viıphe uyanırsa, karşı tarafın hangi telefon numarasını kullandığının bir Bu, CreditChex!ten tutar hanesi boş bir çek almak gibi bir şeydi. Artık knydını tutmuş olabilirdi. Bu durumda, böyle bir arama yapmak, saldır- ganın CreditChex görevlisi gibi davranmasını daha da güçleştirirdi.istediğim zaman arayıp bilgi elde edebilirdim. Aldığım hizmet için paraödememe bile gerek yoktu. Görünüşe göre CreditChex temsilcisi İste- Daha da iyisi, CreditChexi, arayanın verdiği numaradan değil,diğim bilgileri benimle paylaşmaya hazırdı. Müşterimin kocasının hesap hnnkanın kayıtlarında bulunan bir numaradan arayıp, kişinin gerçektenaçtırmak için son zamanlarda başvurduğu iki yer vardı. O zaman, yakın- Df;ıda çalışıp çalışmadığını ve şirketin gerçekten müşteri araştırması yapıpda eski eşi konumuna gelecek olan kadının aradığı paralar neredeydi? yapmadığını doğrulamak olurdu. Gerçek dünya uygulamalarını ve bugünCreditChexteki adamın saydığı bankalardan başka nerede olabilirdi ki? çoğu insanın içinde bulunduğu zaman baskısını göz önüne aldığınızda, çalışanın bir çeşit saldırı gerçekleştirildiğinden kuşkulandığı durumlar Aldatmacanın İncelenmesi dışında, bu tarz bir kontrol araması yapması beklentilerin çok ötesindedir. Tüm bu düzen toplum mühendisliğinin temel taktiklerinden birininüzerine kurulmuştur: Öyle olmadığı halde, bir şirket çalışanının, zararsız Mühendislik Tuzağıolduğunu düşündüğü bir bilgiye ulaşmak. İnsan avcısı firmaların şirket içi yetenekleri bulmak için toplum ilk banka memuru CreditChexİ ararken kullanılan tanımlayıcı sayıyı mühendisliği taktiklerini kullandıkları yaygın olarak bilinir, İşte bununanlatan Üye İşyeri Numarası terimini doğruladı. İkincisi, CreditChexin nasıl olabileceğine dair bir Örnek.telefon numarasını ve en can alıcı bilgi olan bankanın Üye İşyeriNumarasını sağladı. Tüm bu bilgiler memura zararsız görünüyordu. Bu 1990ların sonlarında, pek de ahlağa uygun çalışmayan bir iş bulmasayıyı başkasına söylemenin ne zararı olabilirdi ki? ^contası, telefon endüstrisinde deneyimli elektrik mühendisleri arayan bir şirketi yeni müşterisi olarak aldı. Bu görevin sorumlusu, buğulu bir Tüm bunlar üçüncü görüşme için gereken zemini hazırladı. Gracein ses tonuna ve çekici tavırlara sahip bir hanımdı. Bu yeteneklerini tele- fon üzerinden, güven veren ve dostça bir izlenim uyandırmak amacıyla x kullanmayı da öğrenmişti. Mitnick Mesajı: Kadın, rakip bir şirkette çalışmak için ayartılabilecek mühendisler Üye İşyeri Numarası, bu durumda, bir şifre kadar önem. taşır. Eğer banka bulup bulamayacağına bakmak amacıyla bir cep telefonu hizmet çalışanları onu bir ATM şifresi olarak görürlerse, bilginin hassaslığını îüiglayıcısını yoklamaya karar verdi. Santralı arayıp, "Beş yıllık kavrayabilirler. Şirketinizde insanların yeterli özeni göstermedikleri kurum mühendislik deneyimi olan herhangi biriyle görüşmek istiyorum" diye- içi bir şifre ya da numara var mı? mezdi. Bunun yerine, biraz sonra göreceğiniz nedenlerle, yetenek avına
  13. 13. 22 Aldatma Sanatı ,• Zararsız Gibi Görünen Bilgiler 23hiçbir hassasiyeti yokmuş gibi görünen ve şirket çalışanlarının /-. Merhaba Didi.neredeyse isteyen herkese verdiği bir bilgiyi arayarak başladı. D: Nasıl gidiyor7 . " . • " " • " . İlk Görüşme: Danışma Görevlisi P: İyi. Sonra Didi, iş dünyasında iyi bilmen ve belirli bir kuruluşun ya da Saldırgan, Didi Sands adını kullanarak, cep telefonu hizmet çalışma grubunun bütçesine harcamaları mal etmek için kullanılan sağlayıcısının şirket binasına telefon etti. Konuşma, kısmen şöyle geçti: işlem kodunu ifade eden terimi kullandı. D: Mükemmel. Sana bir sorum olacak. Belli bir bölümün maliyet Danışma Görevlisi: İyi günler. Ben Marie, size nasıl yardıma olabilirim? 1 merkezi kodunu nasıl öğrenebilirim? Didi: Beni Nakliyat Bölümüne bağlar mısınız? P: O bölümün bütçe sorumlusuna ulaşman gerek. .< DG: Öyle bir bölümümüz olduğundan emin değilim, rehberime D: Thousand Oaksun bütçe sorumlusunun kim olduğunu biliyor bakayım. Kim arıyordu? musun? Bir form doldurmaya çalışıyorum ve doğru maliyet merkezi D: Didi kodunu bilmiyorum. DG: Binada mısınız, yolma ...? P: Tek bildiğim, maliyet merkezi kodunu öğrenmen gerektiği zaman, D: Hayır, dısardayım. bütçe sorumlusunu araman gerektiği. DG: Dİdi, soyadınız? D: Texasdaki bölümünüz için bir maliyet merkezi kodu var mı? D: Didi Sands. Nakliyenin dahilisini biliyordum ama unutmuşum. P: Burada bir maliyet merkezi var ama bize hepsinin listesini vermiyorlar. DG: Bir .saniye. D: Maliyet merkezi kodu kaç basamaklı? Örneğin, sizin maliyet merkezi kodunuz ne? Kuşku uyandırmamak için, bu noktada Didi, sohbeti sürdürmek amacıyla, "içerden" olduğunu ve şirket binalarının yerlerini bildiğini P: Şey, şöyle, sen 9WCyle misin yo/csa SATla mısın? göstermek üzere tasarlanmış sıradan gibi görünen bir soru sordu. Bunlann hangi bölümlere ya da gruplara karşılık geldiği konusunda D: Hangi binadasınız? Lakeviewda mı yoksa ana binada mı? Didinin en küçük bir fikri yoktu ama bu önemli değildi. Soruyu yanıtladı: DG: Ana binada (duraksama). Numara 805 555 6469, D: 9WC Nakliye Bölümünü aramanın işe yaramayabileceğim de dikkate alarak P: O zaman genellikle dört basamaklıdırlar. Nereden olduğunu kendini sağlama almak amacıyla Didi, Gayrimenkul Bölümüyle de görüşmek istediğini söyledi. Danışma görevlisi o numarayı da verdi ve söylemiştin? onu Nakliye Bölümüne bağlamayı denedi ama hatlar meşguldü. D: Thousand Oaks, Genel Müdürlük. Bu aşamada Didİ üçüncü bir telefon numarasını, Austin-Texastaki şir- P: Evet, Thousand Oaks için bir tane söyleyebilirim. ÎA5N, Nancynin Nsi. ket binasında bulunan Tahsilat Ofısinin numarasını da istedi. Danışma Yardım etmeye istekli biriyîe yeterince uzun süre sohbet ederek, Didi görevlisi ondan biraz beklemesini rica etti ve hattan çıktı. Şüpheli bir ihtiyacı olan maliyet merkezi kodunu aldı; dışardan birinin işine yara- telefon geldiğini ve bir şeylerin ters gittiğini düşündüğünü güvenliğe yacakmış gibi görünmediği için kimsenin korumayı düşünmediği bilgi anlatıyor olabilir miydi? Kesinlikle olamaz, Didinin içinde en küçük parçacıklarından biri daha. bir endişe bile yoktu. Yalnızca biraz kızın başına bela olmuştu ama danışma görevlisi için bu sıradan bir iş gününün bir parçasıydı. Bir Üçüncü Görüşme: İse Yarayan Yanlış Numara dakika sonra, danışma görevlisi yeniden hattı aldı, Tahsilat Ofısinin numarasına bakıp orayı aradı ve Didiyi bağladı. Didinin bir sonraki adımı, elindeki maliyet merkezi kodunu bir poker markası gibi kullanarak daha değerli bir şeye dönüştürmek olacaktı. Gayrimenkul bölümünü arayıp, yanlış numara çevirmiş gibi yaptı. "Sizi İkinci Görüşme: Peggy rahatsız ettiğim için özür dilerim, ama ..." ile söze başlayarak şirket Sonraki konuşma şöyle geçti; rehberini kaybetmiş bir çalışan olduğunu söyledi ve yeni bir rehber ala- bilmek İçin kiminle konuşması gerektiğini sordu. Adam rehber Peggy: Tahsilat Ofisi, Pegg)>. kitapçığının eski tarihli olduğunu ama şirketin intranet sitesinde telefon Didi: Merhaba Peggy. Ben Didi, Thousand Oaksdan. numaralanmn bulunduğunu söyledi.
  14. 14. 24 Aldatma Sanatı Zararsız Gibi Görünen Bilgiler 25 Didi basılmış bir rehber kullanmayı tercih ettiğini anlatınca, adam ona Ve kolay elde edilemeyen önemli bir matbaayı aramasını söyledi ve sonra, hiçbir talep olmadan -belki de dlflor araç da, toplum mühendisinin Terimler yofluıı çalışmalarla ve geçmiş nesillerin yalnızca çekici sesli kadını telefonda biraz daha uzun süre tutabilmek POSTA DELİĞİ: Toplum İyi dolandırıcılarının kâğıda dökülmemiş için- numarayı buldu ve kadına verdi. mühendislerinin kiralık ılnriüyimlerinden ders alarak geliştirdiği Inlfuanlık becerileridir. posta kutusu için kullandık- Dördüncü Görüşme: Mcttbaadan Bart ları terim. Yaygın olarak sahte isimle kiralanır ve Matbaa bölümünde Bart adında biriyle konuştu. Didi, Thousand Oaksdan aradığını ve çalıştıkları yeni danışmanın şirket rehberine Başka Değersiz kurbanın göndermeye ikna edildiği evrakları ya da ihtiyacı olduğunu söyledi. Eski tarihli olsa da basılı bir rehberin danış- Bilgiler paketleri almak için manın daha çok işine yarayacağını da vurguladı. Bart, bir talep formu kullanılır. doldurması ve kendisine göndermesi gerektiğini söyledi. Maliyet merkezi kodu ve dahili telefon Didi elinde form kalmadığını, biraz acelesi olduğunu söyledi ve acaba numaralarının dışında, işe yaramaz gibi Bart bir incelik yapıp formu onun yerine doldurabilir miydi? Adam i|orünen başka hangi bilgiler rakibiniz için son derece değerli olabilir? biraz fazlaya kaçan bir hevesle kabul etti ve Didi ona ayrıntıları anlat- tı. Hayali danışmanın adresi olarak da, toplum mühendislerinin posta Peter Abelin Telefon Görüşmesi deliği dedikleri, Didinın şirketinin bu tarz durumlar için, Mail Boxes - Merhaba, der hattın öbür ucundaki ses. Ete. tülünden ticari şirketlerden kiraladığı posta kutusunu verdi. Edindiği ilk bilgi şimdi işine yarayacaktı: Rehberin maliyeti ve kargo - Ben Parkhurst Seyahat Acentasından Tom. San Francisco bilet- için bir ücret alınacaktı. Didi, Thousand Oaks için maliyet merkezi leriniz hazır. Onları size gönderelim mi yoksa kendiniz mi gelip almak kodunu verdi. istersiniz? - 1A5N, Nancynin Nsi. : - San Francisco mu? der Peter. - Ben San Franciscoya gitmiyorum ki. Şirket rehberi birkaç gün sonra geldiğinde, Didi beklediğinden daha da başarılı olduğunu gördü: Rehberde yalnızca adlar ve telefon numaraları - Siz Peter Abel mısınız? listelenmekle kalmamış, kimin kimin için çalıştığı da gösterilmişti. - Evet, ama yapmayı düşündüğüm bir yolculuk yok. Tüm şirketin kuruluş şeması elindeydi. - Hım, der arayan, dostça gülerek. Boğuk sesli kadın insan avlayan telefon görüşmelerini yapmaya - Yani San Franciscoya gitmek istememekte kararlısınız, öyle mi7 hazırdı. Her yetenekli toplum mühendisinin sonuna kadar geliştirdiği - Eğer patronumu kandırabilirseniz ... der Peter, oluşan tatlı sohbete laf yapma becerisini kullanarak, akınlarını başlatmak için gerekli olan uyum sağlayarak. . bilgileri dalavere yoluyla elde etmişti. Şimdi de semeresini toplamaya • • h a z ı r d ı . . • • • . • • . • . • • • • • • . • • • • . •:: .. • : : :• • ; •• - Bir karışıklık var gibi görünüyor, der arayan. - Sistemlerimizde yolculuk ayrıntılarını özlük numarasına göre ASdatmaeansn İncelenmesi . •. • "• • sıralıyoruz. Belki birileri yanlış numarayı kullanmıştır. Sizin Sosyal Güvenlik Numaranız nedir? Bu toplum mühendisliği saldırısında Didi, hedef şirketin üç ayrı Peter nazik bir şekilde numarayı verir. Neden olmasın? Doldurduğu, Dölümünün telefon numaralarını elde ederek işe koyuldu, istediği neredeyse her çalışan fc-munun üzerine bu numarayı yazar ve şirkette-numaralar sır olmadığı için bu kolaydı, özellikle de çalışanlar için. Birtoplum mühendisi içerden biriymiş gibi konuşmayı öğrenir ve Didi buoyunda becerikliydi. Telefon numaralarından biri onu bir maliyet merkezikoduna yönlendirmiş, o kodu da şirketin telefon rehberinden bir kopya Mitnick Mesajı: —almak için kullanmıştı. Tıpkı bir bulmacanın parçaları gibi her bilgi kendi başına ilgisiz durabilir. ihtiyacı olan temel araçlar; arkadaşça davranmak, biraz şirket içi te- Ancak parçalar bir araya getirildiğinde, açık bir resim oluşur. Bu olaydarimleri kullanmak ve son kurbanda uyguladığı, işin içine küçük, sözel toplum mühendisinin gördüğü resim şirketin iç yapısının tamamı olmuştur.göz kırpmalar karıştırmaktı. • - •• •. • •
  15. 15. 26 Aldatma Sanatı Zararsız Gibi Görünen Bilgiler 27 konusunda onu yetkili konuma getirmediğinden tek tek her Mitnick Mesajı: çalışanın haberdar olması gerekir. Arayan kişi eski bir çalışan ya <l;ı gerekli şirket içi bilgilere sahip bir sözleşmeli olabilir. Buna Öykünü ana fikri: İstekte bulunan kişinin sesini tanımıyorsanız ve istemek ilörc, her kuruluş, tanımadığı insanlarla telefonda ya da yüzyüze için bir nedeni yoksa, hiç kimseye kişisel ya da şirket içi bilgileri ve tanım- iletişim kurarken çalışanlarının kullanması gereken uygun kimlik layıcıları vermeyin. tospit yöntemini belirleme sorumluluğuna sahiptir. Mir veri sınıflandırma politikası tasarlamakla yükümlü kişi ya da ki pek çok insanın bunu öğrenme şansı vardır; insan kaynaklarının, kimiler, zararsız gibi görünen ama hassas bilgilere erişimi olan maaş servisinin ve doğal olarak dışarıdaki bir seyahat acentasının da. çalışanlara ulaşılmasını sağlayabilecek ayrıntıları gözden Kimse Sosyal Güvenlik Numarasım sır gibi saklamaz. Ne fark eder ki? geçirmelidirler. ATM kartınızın şifresini hiçbir zaman dışarı ver- memenize karşın, şirket yazılım ürünlerini geliştirmek için kul- Yanıtı bulmak zor değil. Etkili bir canlandırma (toplum mühendisinin landığınız sunucunun hangisi olduğunu birine söyler misiniz? Bu kendini başka birinin kılığına sokması) için iki-üç parça bilgi fazlasıy- bilgi, şirket ağına erişim hakkı varmış gibi davranan biri tarafın- la yeterlidir. Yarı yeterlilikte bir toplum mühendisi, bir çalışanın adını, dan kullanılabilir mi? telefon numarasını, Sosyal Güvenlik Numarasını -ve işi sağlama almak için yöneticisinin adını ve telefon numarasını- elde ettikten na/en şirket içi terimleri bilmek bile toplum mühendisinin daha sonra, sıradaki hedefine yönelirken kendini inandırıcı göstermek için otoriter ve bilgili görünmesini sağlayabilir. Saldırgan, kurbanlarını ihtiyacı olabilecek her şeyle donanmış olacaktır. ikna etmek için her an olabilecek bu yanlış anlamaya sık sık Eğer şirketinizin başka bir bölümünden olduğunu söyleyen biri dün başvurur. Örneğin, Üye İşyeri Numarası, bir bankanın Yeni aramış, makul bir neden vermiş ve özlük numaranızı sormuş olsaydı, Hesaplar biriminde insanların her gün, üzerinde pek fazla düşün- bu bilgiyi ona vermekte tereddüt eder miydiniz? moden kullandıkları bir tanımlayıcıdır. Ancak böyle bir tanım- layıcının bir paroladan farkı yoktur. Eğer her bir çalışan bu tanım- - Bıı arada, Sosyal Güvenlik Numaranız neydi? layıcının anlamını kavramışsa -yani istek sahibinin gerçek olup olmadığını kanıtlamak için kullanılıyorsa- o zaman bu veriye Aldatmacanın Engellenmesi daha saygıyla bakabilirler. Hiçbir şirket -en azından birkaç tanesi- genel müdürlerinin ya da Şirketinizin, herkese açık olmayan bilgilerin kötüye kullanılmasından yönetim kurulu başkanlarının doğrudan telefon numaralarınıdoğabilecek ciddi sorunlara karşı çalışanlarını bilgilendirme sorumluluğu dışarı vermezler. Buna karşın, çoğu şirkette, çoğu birim ve çalış-vardır. Üzerinde düşünülmüş bir bilgi güvenliği politikası, düzgün bir bil- ma grubunun telefon numaralarını dışarı -özellikle de diğer birgilendirme ve eğitimle birleşince şirket bilgilerinin doğru kullanımıyla ilgili çalışana ya da çalışan gibi görünen birine- vermekle ilgili bir çe-çalışan bilinci görünür şekilde artacaktır. Bir veri sınıflandırma politikası, kince yoktur. Alınabilecek bir önlem: Çalışanların, sözleş-bilgi vermeye yönelik uygun denetimler getirilmesine yardımcı olacaktır. melilerin, danışmanların ve geçici görevlilerin dahili telefonlarınınVeri sınıflandırma politikası olmadan, tüm şirket içi bilgilerin -aksi belir- başkalarına verilmesini yasaklayan bir yönetmeliği yürürlüğetilmediği sürece- gizli olarak değerlendirilmesi gerekecektir. koyun. Daha da önemlisi, telefon numarası soran kişinin gerçek- Şirketinizi zararsız gibi görünen bilgilerin dışarı sızmasından koru- ten bir çalışan olup olmadığını tam olarak belirlemek için adımmak için şunları yapın: adım bir süreç geliştirin. • Bilgi Güvenliği Biriminin, toplum mühendislerinin kullandığı yön- Çalışma gruplarının ve birimlerin muhasebe hesap numaraları temleri anlatan bilgilendirme eğitimleri düzenlemesi gerekir. da, (ister basılı, ister veri dosyası ya da intranet üzerinde elekt- Yukarıda anlatıldığı üzere, yöntemlerden biri, hassasmış gibi ronik telefon defteri olsun) telefon rehberleri kadar sık, toplum durmayan bir bilgiyi elde etmek ve bunu kısa vadede güven mühendislerinin hedefi olmaktadırlar. Her şirketin bu tarz bilgi- yaratmak için bir poker markası gibi kullanmaktır. Telefonla lerin dışarı verilmesiyle ilgili iyi anlatılmış, yazılı bir kurallar arayan birinin, şirket süreçleri, terimler ve şirket içi tanımlayıcılar Inilününe ihtiyacı vardır. Alınacak önlemler arasında, hassas bil- konusunda bilgili olmasının ne şekil ve tarzda olursa olsun istek gilerin şirket dışından insanlara verildiği durumların not edildiği sahibini gerçek kılmadığından ya da bir şeyi bilmesi gerektiği bir kayıt defterinin tutulması da olmalıdır.
  16. 16. 28 Aldatma Sanatı Mitnick Mesajı: Eski bir deyişte de ifade edildiği gibi: Gerçek paranoyakların bile biivük DOĞRUDAN SALDIRI: olasılıkla düşmanları vardır. Her işletmenin de düşmanları olduğunu, şirket YALNIZCA İSTEYİVERMEK sırlarını tehlikeye sokmak amacıyla ağ altyapısına saldırabilecek saldırgan- lar bulunduğunu varsaymalıyız. Sonunuz bir bilgisayar suçları istatistiği olmasın, iyi düşünülmüş güvenlik kuralları ve süreçleri aracılığıyla uygun denetimleri yerleştirerek gerekli savunmaları kurmanın zamanı geldi de Iek çok toplum mühendisliği saldırısı karmaşıktır. Bir teknik bilgi ve geçiyor bile. dtılavore karışımının kullanıldığı bir dizi aşama ve ayrıntılı planlama lı.tıııı. Ama becerikli bir toplum mühendisinin zaman zaman amacına lüi.ilço, kolayca ve lafı dolandırmadan ulaşmasını da her zaman çarpıcı • Sosyal Güvenlik Numarası gibi bilgiler, tek başlarına bir tanımla- lııılmuijumdur. Göreceğiniz gibi, bilgiyi doğrudan isteyivermek bile tek ma aracı olarak kullanılmamalıdırlar. Her çalışan yalnızca istek sahibinin kimliğini doğrulamakla kalmamalı, aynı zamanda |ı« ı:,.ııı.) yeterli olabilir. isteğin nedenini de sorgulamalıdır. Güvenlik eğitimleriniz sırasın- da çalışanlarınıza şu yaklaşımı öğretmeyi deneyin: Ne zaman tanımadığınız biri size bir soru sorar ya da sizden yardım isterse, Bir MHBM Marifeti herşeyden önce istek onaylanana kadar nazikçe geri çevirmeyi Birinin rehberde geçmeyen telefon numarasını mı öğrenmek istiyor- öğrenin. Sonra -bay ya da bayan Yardımsever olma yönündeki MIMII/? Bir toplum mühendisi size, bir kısmını bu kitabın sayfalarında da doğal dürtünüze yenik düşmeden önce- onaylama ve şirket içi bulabileceğiniz, çeşitli yöntemler sıralayabilir, ancak büyük olasılıkla en verilerin dışarıya verilmesiyle ilgili yönetmelikleri ve süreçleri h.ısil yöntem tek bir telefon konuşması yapmaktır. Tıpkı aşağıda uygulayın. Bu yaklaşım, başkalarına yardım etmeye yönelik .ıııl,ılıklığı gibi. doğal eğilimimize ters düşebilir, ancak sağlıklı, azıcık bir şüphe- cilik, toplum mühendisinin bir sonraki kurbanı olmaktan kurtul- manızı sağlayabilir. Numara Lütfen Saldırgan özel bir telefon şirketinin MHBM (Mekanik Hat Belirleme Bu bölümdeki öykülerin de gösterdiği gibi zararsız zannettiğiniz bil- Mm kezi) numarasını çevirir ve telefonu açan kadına şöyle der:giler şirketinizin en önemli sırlarının anahtarı olabilirler. "Merhaba, ben Paul Anthony. Kablo tamircisiyim. Bir sorunum var, burudaki bir terminal kutusu bir yangında yanmış. Polisler, manyağın birinin sigortadan para alabilmek için evini yaktığını düşünüyorlar. Bütün bu iki yüz hatlık terminalin tümünü yeniden bağlamam için beni burada lok başıma bıraktılar. Şu anda gerçekten çok yardıma ihtiyacım var. (i/23 South Mainde hangi hatların çalışır durumda olması gerektiğini bana söylebilir misin?" Telefon şirketinin diğer birimlerinde, aranan kişi, rehberde değmeyen numaralarla ilgili ters sorgulama bilgilerini yalnızca şirketin yi «ikili personeline vermeleri gerektiğini bilirler. Ancak MHBMnin de yal- nızca şirket çalışanları tarafından biliniyor olması gerekir. Dışarıya hiç- bir zaman bilgi vermiyor olsalar da, ağır bir işin altından kalkmaya çalışan başka bir şirket çalışanına biraz yardım edilmesine kim itiraz odelıilir ki? Kadın, adamın durumuna üzülür. Kendisinin de işbaşında /,«ı günler geçirdiği olmuştur ve zor durumda olan başka bir çalışana yardım edebilmek için kuralları birazcık esnetir. Ona kablo çiftlerini söyler ve o adrese bağlı tüm açık numaraları verir.
  17. 17. 30 Aldatma Sanatı AAitnick Mesajı: Yanımızdaki adama güvenmek insan doğasının bir parçasıdır, özellikle de talep sağduyulu olup olmadığımızı ölçüyorsa. Toplum mühendisleri bu bilgiyi, kurbanlarını sömürmek ve amaçlarına ulaşmak için kullanırlar. A l d a t m a c a n ı n İncelenmesi •• • •• Bu öykülerde sık sık göreceğiniz gibi, br şirkette kullanılan termi-nolojiyi ye şirket yapısını -çeşitli bürolarını ve birimlerini, her birinin neyaptığını ve hangi bilgileri tuttuklarını- bilmek başarılı bir toplum mühen-disinin kullandığı araçların önemli bir kısmını oluşturur. Genç Bir Kanun Kaçağı Kendisine Frank Parsons diyeceğimiz bir adam yıllardır polisten kaç-maktaydı ve Federal Hükümet tarafından, hâlâ, 1960larda savaş karşıtıbir yeraltı örgütünün üyesi olduğu gerekçesiyle aranıyordu. Lokantalardakapıya dönük otururdu ve diğer insanların sıkıntı verici bulduğu, arada biromuzunun üzerinden geriye bakma huyu vardı. Birkaç yılda bir taşınırdı. Arada bir yerde, Frank kendini daha önce bulunmadığı bir şehirdebuldu ve iş aramaya koyuldu. Gelişmiş bilgisayar becerilerine sahip olan(aynı zamanda gelişmiş toplum mühendisliği becerilerine de sahipti, ancakbunları iş başvurularında hiç belirtmiyordu) Frank gibi biri için iyi bir iş bul-mak genellikle sorun olmuyordu. Ekonominin sıkışık olduğu zamanlardışında iyi bilgisayar bilgisi olan kişilerin yeteneklerine olan talep genellik-le yüksek oluyordu ve böyleleri çoğu zaman dört ayak üstüne düşüyorlardı.Frank, yaşadığı yerin yakınlarındaki gelir düzeyi yüksek insanlara hizmetveren büyük bir bakım yurdunda yüksek gelirli bir işe girme fırsatı buldu. Bu işin kendisi için biçilmiş kaftan olduğunu düşündü. Ancak başvu-ru evrakıyla boğuşmaya başlayınca bir noktada durmak zorunda kaldı,işveren ondan Adli Sicil Belgesi istiyordu ve bunu eyalet polisinden şah-sen alması gerekiyordu. İş başvuru evraklarının arasında bu belgeninistenmesi için kullanılan matbu dilekçe de vardı ve dilekçenin üzerindeparmak izi basmak için küçük bir kutucuk bulunuyordu. Her ne kadaryalnızca sağ işaret parmağının izini istiyor olsalar da, eğer parmak iziniFBI veritabanındaki parmak iziyle karşılaştırırlarsa kısa süre içerisindeparasını devletin ödediği bir tatil köyünde yemek servisi yapıyor olurdu. Öte yandan Frank, küçük bir olasılıkla da olsa, bundan sıyrılabileceği-ni düşünüyordu. Belki de eyalet polisi parmak izi örneklerini FBIya hiçgön-dermiyordu. Bu durumda gönderip göndermediklerini nasıl öğrenebilirdi? Nasıl mı? O bir toplum mühendisiydi; nasıl öğrendi sanıyorsunuz?
  18. 18. Doğrudan Saldırı: Yalnızca isteyivermek 31 Mifnick Mesajı: Akıllı bilgi dolandırıcıları, emniyet teşkilatının asayişi sağlama süreçleriyle ilgili bilgi almak için devlet, eyalet ya da yerel yetkilileri aramaktan çekin- mezler. Elinde böyle bir bilgiler varken toplum mühendisi şirketinizin sıradan güvenlik uygulamalarını atlatabilir.Eyalet polisine telefon etti: "Merhaba. Adalet Bakanlığı için bir çalışmayapıyoruz. Yeni bir parmak izi tespit sistemi yerleştirmek için gerekli önkoşulları araştırıyoruz. Yapılan işi iyi bilen ve bize yardım edebilecekbiriyle görüşebilir miyim?" Yerel uzman telefona geldikten sonra Frank, kullandıkları sistemler-le ve parmak izi verilerini saklama ve tarama kapasiteleriyle ilgili bir dizisoru sordu. Kullandıkları donanım hiç onlara sorun çıkarmış mıydı?Ulusal Suç Bilgileri Merkezinin (USBM) Parmak izi Tarama Ağına mıbağlıydılar yoksa yalnızca eyaletinkine mi? Donanım herkesinöğrenebileceği kadar kolay bir kullanıma sahip miydi? Anahtar soruyu diğerlerinin arasına kurnazca sıkıştırmıştı. Aldığı yanıt kulağına müzik gibi geldi. Hayır, USBMye bağlı değiller-di, ellerindekini yalnızca eyaletin Suç Bilgileri Diziniyle karşılaştırıyor-lardı. Frankin de tüm bilmek istediği buydu. Bulunduğu eyalette suçkaydı yoktu, böylece başvurusunu yaptı, işe alınmıştı ve hiç kimse birgün masasının başına dikilip de ona, "Bu beyler FBIdan geliyorlar,seninle konuşmak istiyorlarmış," demedi. Ve kendi söylediğine bakılırsa işyerindeki herkese örnek birçalışanın nasıl olması gerektiğini göstermişti. Kapının önü Kâğıt kullanılmayan ofis inancına karşın şiketler her gün yüzlercesayfa kâğıt tüketiyorlar. Şirketinizdeki basılı bilgiler, güvenlik önlemlerialıp üzerine "gizlidir" damgası vursanız da, açık bir nokta oluşturabilirler. işte size, toplum mühendislerinin en gizli belgelerinizi nasıl elegeçirdiklerini anlatan bir hikâye. Hat Çevirme Dalaveresi Telefon şirketi her yıl Deneme Numaralan Rehberi adında birkitapçık çıkarır (ya da en azından eskiden çıkarırlardı, şartlı tahliyesürem henüz dolmadığı için çıkarmaya devam edip etmediklerini sor-mayacağım). Bu kitapçık, telefon beleşçilerinin el üstünde tuttukları birbelgedir, çünkü şirket görevlilerinin, teknisyenlerinin ve diğerlerinin
  19. 19. Miînick Mesajı: Bilgi varlıklarını korumaya ilişkin şirket kurallarıyla ilgili güvenlik eğitim- leri, yalnızca şirketin BT varlıklarına elektronik ya da maddi erişimi oları çalışanlara değil, şirketteki herkese yönelik olmalıdır.sürekli meşgul çalan numaralan ya da şehirlerarası hatları kontroletmek için kullandıkları, özenle korunan telefon numaralarıyla doludur. Bu numaralardan, telefon beleşçileri argosunda hat çeviren olarakbilinen bir tanesi özellikle çok kullanışlıydı. Telefon beleşçileri, kendileritek kuruş para ödemeden, konuşacak başka telefon beleşçileri bulmakiçin bunu kullanırlardı. Bu numara aynı zamanda, örneğin bir bankayavermek üzere, geri arama numarası yaratmak için de kullanılırdı. Birtoplum mühendisi bankadaki birine ona ofisinden ulaşılabileceğinisöyleyerek bu numarayı verirdi. Banka, numarayı kontrol etmek üzeretelefon ettiğinde (hat çevirme), telefon beleşçisi telefona cevap verebilir,izi sürülemeyecek bir telefon numarası kullanmanın sağladığı koru-madan da yararlanmış olurdu. Bir Deneme Numaralan Rehberi, bilgiye aç ve testosteronu tavana vur-muş herhangi bir telefon beleşçisi tarafından kullanılabilecek bir sürü hari-ka bilgi içerir. Bu yüzden her yıl yeni rehberler çıktığında, hobileri telefonağını keşfetmek olan bir yığın genç derhal bu rehberlerin peşine düşer. : Stevienin Oyunu , " ." . • Telefon şirketleri doğal olarak bu kitapçıkları kolay ulaşılabilir yerlerekoymaz, bu yüzden telefon beleşçilerinin bir tane elde edebilmeleri içinyaratıcı olmaları gerekir. Bunu nasıl yaparlar? Kafasını rehberi elegeçirmeye takmış hevesli bir genç aşağıdaki gibi bir oyun oynayabilir. Bir gün, güney California sonbaharının serin akşamlarından birinde,kendisine Stevie diyeceğimiz biri, küçük bir telefon şirketinin genelmüdürlüğünü arar. Hizmet bölgesi içerisindeki tüm evlere ve iş yerlerinetelefon hatları da bu binadan dağılmaktadır. , Görev başındaki teknisyen telefonu açtığında, Stevie telefon şirke-tinin basılı malzemelerini basıp dağıtan bölümünde çalıştığını açıklar."Yeni Deneme Numaraları Rehberiniz hazır," der. "Ancak güvenlikgerekçeleriyle eskisini geri almadan yenisini veremiyoruz.Dağıtımcımızın işi de oldukça uzadı. Eğer sizdeki rehberi kapınızınönüne bırakabilirseniz, geçerken eskisini alıp yenisini bırakabilir, sonrada kendi işine bakar." Hiçbir şeyden kuşkulanmayan teknisyen bunun uygun olduğunudüşünmüş olmalıdır ki, isteneni tam olarak yapar. Kapağında büyük kır-
  20. 20. Doğrudan Saldırı: Yalnızca isteyivermek 33- zı harflerle, "GİZLİDİR VE ŞİRKET İÇİ KULLANIM İÇİNDİR-İHTİYAÇKALMADIĞI TAKDİRDE, BU BELGE KAĞIT ÖĞÜTME MAKİNASINDACGÜTÜLMELİDİR," uyarısı bulunan rehberi binanın önüne koyar. Stevie arabasıyla gelir ve park edilmiş arabaların içinde bekleyen ya ;s ağaçların arkasına saklanmış polis ya da şirket güvenlik elemanları-na karşı etrafı dikkatle kolaçan eder. Görünürde kimse yoktur. Rahattavırlarla ihtiyacı olan rehberi alır, arabasına biner ve gider. işte size, bir toplum mühendisinin "yalnızca isteyivermek" gibi basitDir yöntemi kullanarak istediklerini ne kadar kolay elde edebildiğinigösteren bir hikâye daha. Gaz Saldırısı Bir toplum mühendisliği senaryosunda tehlikede olan yalnızca şirketvarlıkları değildir. Bazen kurbanlar şirket müşterileridir. Müşteri hizmettemsilcisi olarak çalışmanın getirdiği sıkıntılar, neşeli anlar ve masumhatalar vardır. Ancak bu hataların bazıları şirket müşterileri için kötüsonuçlar doğurabilir. Janie Actonun Öyküsü Janie Acton, üç yıldan biraz fazla bir süredir, Washingtondaki Hometown Elektrik Şirketinde müşteri hizmet temsilcisi olarak bir ofis bölmesini işgal etmektedir. Aklı ve çalışkanlığıyla, en iyi müşteri hizmet temsilcilerinden biri olarak görülmektedir. Söz konusu telefon geldiğinde Şükran Haftasıdır. Arayan şöyle der, "Ben Eduardo, Faturalama Bölümünden. Telefonda bir hanım var, genel müdür yardımcılarından birinin özel kaleminde sekreter. Bir bilgiye ihtiyacı var ve ben bilgisayarımı kullanamıyorum. İnsan Kaynaklarındaki şu kızdan SENİSEVİYORUM diyen bir e-posta aldım ve ekini açtığımda, bir daha bilgisayarımı kullanamaz oldum. Vırüsmüş. Basit bir virüs tarafından avlandım. Herneyse, benim için bazı müşteri bilgilerine bakabilir misin? "Elbette," diye yanıtladı Janie. "Bilgisavarını mı çökertti? Korkunç bir şey bu." "Evet." "Nasılyardımcı olabilirim?" diye sordu Janie. Bu noktada saldırgan kendim inanılır kılmak için daha önce yaptığı araştırmalara başvurdu. İstediği bilginin Müşteri Fatura Bilgileri Sistemi denen bir yerde tutulduğunu ve çalışanların bu sisteme ne ad verdiklerim öğrenmişti. "MFBSden bir hesap numarasına bakabilir misin?" diye sordu telefondaki adam. "Evet, hesap numarası nedir?"

×