The frequency and impact of cyber attacks have escalated cybersecurity to the top of Board agendas. Institutions are no longer asking if they are vulnerable to cyber attacks. Instead, the focus has shifted to how the attack might be executed, risks and impact. Most importantly, their organisational readiness and resilience to such threats.
Potential Impact of Cyber Attacks on Critical InfrastructureUnisys Corporation
John Kendall, Security Program Director, Unisys Asia Pacific delivered this presentation at the 2013 Corporate Cyber Security Summit. The event examined cyber threats to Australia’s private sector and focused on solutions and counter cyber-attacks.
The frequency and impact of cyber attacks have escalated cybersecurity to the top of Board agendas. Institutions are no longer asking if they are vulnerable to cyber attacks. Instead, the focus has shifted to how the attack might be executed, risks and impact. Most importantly, their organisational readiness and resilience to such threats.
Potential Impact of Cyber Attacks on Critical InfrastructureUnisys Corporation
John Kendall, Security Program Director, Unisys Asia Pacific delivered this presentation at the 2013 Corporate Cyber Security Summit. The event examined cyber threats to Australia’s private sector and focused on solutions and counter cyber-attacks.
Artificial Intelligence and Machine Learning for CybersecurityDr David Probert
The talk discusses the application of artificial intelligence and machine learning to enterprise cybersecurity. The topics include self-learning, stochastic cellular automata, adaptive & self-organising systems and recursive Bayesian algorithms. The talk briefly surveys several cybersecurity companies including Darktrace, Logrhythm and Norse Corporation. There is also discussion of the application of AI and neural networks within the Banking sector for "Algorithmic Trading" during the last 10 to 20 years. These techniques are now highly relevant, and even ESSENTIAL, for the provision of real-time enterprise cybersecurity to complement traditional "signature" based anti-virus & firewall based solutions. The talk closes with the presentations for the future of Cybersecurity in 2020, 2025 and 2040 including reference to similar forecasts from both Business & Governments. The talk was given by Dr David Eric Probert at the East-West International Security Conference at the Melia Galgos Hotel in Madrid, Spain on the Tuesday 27th October 2015.
What is Cyber Security? Cyber Security is the practice of defending or controlling the systems, programs, networks, data, and devices from unauthorized access to data and baleful threats. Many aspiring students are enrolling in Top Engineering colleges in MP to make a bright career in Cyber Security.
To get more details, visit us at : https://www.avantikauniversity.edu.in/engineering-colleges/what-is-cyber-security.php
Artificial Intelligence and Machine Learning for CybersecurityDr David Probert
The talk discusses the application of artificial intelligence and machine learning to enterprise cybersecurity. The topics include self-learning, stochastic cellular automata, adaptive & self-organising systems and recursive Bayesian algorithms. The talk briefly surveys several cybersecurity companies including Darktrace, Logrhythm and Norse Corporation. There is also discussion of the application of AI and neural networks within the Banking sector for "Algorithmic Trading" during the last 10 to 20 years. These techniques are now highly relevant, and even ESSENTIAL, for the provision of real-time enterprise cybersecurity to complement traditional "signature" based anti-virus & firewall based solutions. The talk closes with the presentations for the future of Cybersecurity in 2020, 2025 and 2040 including reference to similar forecasts from both Business & Governments. The talk was given by Dr David Eric Probert at the East-West International Security Conference at the Melia Galgos Hotel in Madrid, Spain on the Tuesday 27th October 2015.
What is Cyber Security? Cyber Security is the practice of defending or controlling the systems, programs, networks, data, and devices from unauthorized access to data and baleful threats. Many aspiring students are enrolling in Top Engineering colleges in MP to make a bright career in Cyber Security.
To get more details, visit us at : https://www.avantikauniversity.edu.in/engineering-colleges/what-is-cyber-security.php
Presentation covers Embedded Linux systems basics including hardware, software and architectural concepts. Yocto, Raspberry Pi, Electronics Hardware, and Embedded Architecture.
Kadınların iş dünyasındaki önemi gün geçtikçe artıyor,farklı düşünme yetenekleri sayesinde kadınlar iş hayatında ön plana çıkmaya başladılarEtkili dinleme,organizasyon ve yaratıcı düşünme yetileri çok önemli
APT (Advanced Persistent Threat - Gelişmiş Devamlı Tehdit) saldırıları konusunda düzenlediğim seminere ait sunumun bir kısmıdır. Sunum içerisinde yer alan konu başlıkları buradadır, sunumun tamamını dağıtımını kontrol edebilmek ve içerisindeki hassas bilgilerin korunması amacıyla paylaşmıyorum.
BGA Siber Olaylara Müdehale Ekibi (SOME)
Danışmanlık & Eğitim Hizmteleri
Security Operation Center (SOC)
Açık Kaynak Kod Çözümleri
ISO 27001 Danışmanlık ve Eğitim Hizmetleri
Siber Tehdit İstihbarat - Normshield
Phising Simulator - Sinaralabs
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
Bilişim Teknolojileri alt yapısının güvenliğini sağlamak karmaşık ve genellikle tecrübeli siber güvenlik uzmanlarını ilgilendiren bir konu. Ancak günümüzde ağ güvenliğinin sağlanabilmesi için çok daha fazla kişinin ağ yapısının bileşenlerini anlamaya ihtiyacı oluyor. Bu “Ağ Güvenliği Raporu”nu oluştururken elimizden geldiğince tüm bilişim teknolojisi çalışanlarına ve sistem yöneticilerine uygun bir çalışma ile karşılaşılan riskler konusunda bilgi vermeye ve farkındalık yaratmaya çalıştık.
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
Belediyeler için siber güvenlik önerilerinin yer aldığı bu dosyada yer alan ana başlıklar detaylı olarak incelenmiştir:
- Belediyeler Açısından Siber Güvenlik
- 2018 yılında Belediyelere Yapılan Siber Saldırılar
- Belediyeleri Hedef Alan Siber Saldırıları Türleri
- Belediyelere Yapılan Siber Saldırıların Sıklığı
- Belediyelere Yapılan Siber Saldırılarda Yıllar İçinde Görülen Artış
- Muhtemel bir Siber Saldırı Sonucu Oluşabilecek Zararlar
- Siber Güvenlik Yönetim Stratejisi
- Siber Güvenlik Kontrolleri
Genel olarak görülen siber saldırgan profillerine ek olarak belediyeleri hedef alması muhtemel bir saldırganın terör, siber savaş ve casusluk amacıyla hareket etme ihtimali yüksektir. Bunun yanında belediyeler vatandaş bilgisi, imar, vb. satış değeri olan bilgileri tutan kuruluşlar olmaları nedeniyle sıradan siber saldırganlar açısından da iştah açıcı hedeflerdir.
Bu dosyada belediyeler için gerekli olabilecek siber güvenlik önerileri yer almaktadır.
Günümüzde saldırganların kullandığı teknikler (TTPs) o kadar hızlı gelişiyor ki, zaman zaman mevcut
güvenlik çözümleri yeni tehditlere karşı önlem alana kadar kurumsal ağlar çoktan ele geçirilmiş oluyor.
Her ne kadar kabul etmesi zor olsa bile kurumsal ağınızın saldırganlar tarafından çoktan ele geçirilmiş
ve bir yerlere veri aktarıyor olma ihtimalleri oldukça yüksek.
Her geçen gün yenisini duyduğumuz güvenlik ihlalleri ve veri sızıntılarına dair haberler, güvenlik çözümlerinin
bazen tehditleri engellemede çok geç kalabileceğini dramatik şekilde bize gösteriyor. Yaşanan
gerçek siber saldırı örnekleri, kurumları tehdit avcılığı (Threat Hunting) kavramıyla tanışmaya zorluyor.
DDoS Saldırıları ve Benzetim TeknikleriOğuzcan Pamuk
GTU Ağ ve Bilgi Güvenliği dersi kapsamında hazırlamış olduğum dönem projesi dökümanıdır. Temel DDoS bilgilerini ve literatür incelemesini içermektedir. Dökümanı okuyanların temel bilgi edinmesi ve saldırı yapabilecek seviyeye gelmesi hedeflenmektedir.
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriSparta Bilişim
Çalıştığınız veya sahibi olduğunuz kuruluşu son teknoloji güvenlik önlemleri, en son çıkan anti-malware ve anti-virüs programları, görüntüleme araçları ve benzerleri ile büyük yatırımlar yaparak donatmış olabilirsiniz ancak bu risk altında olmadığınız veya çalışan olarak kuruluşunuzu risk altında bırakmadığınız anlamına gelmiyor.
Sıklıkla belirttiğimiz gibi: Çalışanlar güvenlik zincirindeki en zayıf halka.
Doğru bir eğitim ve motivasyon ile, çalışanların oltalama saldırılarından ve parola çaldırma olaylarından kurtulabileceğini de her fırsatta vurgulamaya çalışıyoruz.
Kuruluş çalışanlarınız için siber güvenlik önerileri dosyası ile önemli gördüğümüz başlıkları bu dosyada toplamaya çalıştık.
Bunları ufak broşürler veya kısa toplantılar ile tüm çalışanlara (yönetim kurulundan, karşılama bankosundaki görevlilere kadar) iletmek kuruluş açısından küçük, siber güvenliğiniz açısından büyük bir adım olacaktır.
Bu dosya içerisinde bulabileceğiniz başlıklar:
- Parola Seçimleri
- Oltalama Saldırıları
- Hedefli Oltalama ve Sosyal Mühendislik Saldırıları
- Kaybolan ve Çalınan Cihazlar
- Wi-Fi ve Bluetooth
- VPN Kullanımı
- USB Kullanmayın, Kullandırmayın
Abstract
With the increased number of web applications, web security is be- coming more and more significant. Cross-Site Scripting vulnerability, abbreviated as XSS, is a common web vulnerability. Exploiting XSS vulnerabilities can cause hijacked user sessions, malicious code injec- tions into web applications, and critical information stealing. This article gives brief information about XSS, discusses its types, and de- signs a demo website to demonstrate attack processes of common XSS exploitation scenarios. The article also shows how to prevent XSS at- tacks with code illustrations.
Abstract
Insecure Direct Object References (IDOR) are a type of vulnerabil- ity that occurs when an application exposes direct object references, such as a file path or database key, to unauthorized users. This can allow attackers to bypass security controls and access sensitive infor- mation, such as user data or financial records, without proper authen- tication. IDOR vulnerabilities can arise due to a lack of proper access controls or when an application trusts user-supplied input without ad- equately validating it. In this article, we will provide examples of un- secure code that is vulnerable to IDOR attacks, and demonstrate how these vulnerabilities can be exploited. To prevent IDOR vulnerabili- ties, it is important to implement robust access controls and sanitize user input to ensure that only authorized users can access sensitive objects. Additionally, regularly testing and monitoring applications for IDOR vulnerabilities can help to identify and mitigate potential threats.
Abstract
In this article, we explore the path traversal attacks, also known as directory traversal attacks, and the potential harm they can cause to a system. We begin with an introduction to path traversal, explaining what it is and how attackers can exploit it to gain unauthorized access to files and directories. We then dive into the different techniques that can be used to exploit path traversal, including manipulating file paths and using encoding techniques. To prevent these attacks, we discuss several best practices, such as input validation and path normaliza- tion. Finally, we provide examples of more secure code and discuss how developers can implement these practices to strengthen their ap- plication’s defenses against path traversal attacks. Whether you’re a developer, a security professional, or just interested in learning more about cyber-security, this article provides valuable insights into one of the most common types of web application vulnerabilities.
A buffer overflow exploit is a security vulnerability that occurs when an application receives more data than expected, causing it to fill up memory space and even crash the program. Through this vulnerability, an attacker can run malicious code on the target application and take control of the system.
Buffer overflow exploits often stem from programming errors, incomplete input validation processes, or weaknesses in the data structures used in the program. These vulnerabilities allow attackers to gain control over an application.
Buffer overflow exploits pose a significant threat to cybersecurity and are often a key component of malware and cyber attacks. Therefore, software developers and system administrators should have knowledge of application security and design their applications properly to defend against these types of attacks.
As the number of web applications continues to grow, web security is becoming increasingly important. File inclusion attacks, specifically Remote File Inclusion (RFI) and Local File Inclusion (LFI), are se- rious threats to web security. Exploiting RFI and LFI vulnerabilities can lead to unauthorized access to sensitive information, exposing web- sites to additional risks, and full system compromise. We will provide a comprehensive overview of RFI and LFI, including an explanation of the attack types and potential risks. We also demonstrate the pro- cess of RFI and LFI exploitation scenarios. The paper concludes by providing insights on how to prevent RFI and LFI attacks with code illustrations and best practices for secure coding.
This Azure DevOps Security Guide, prepared for Secure Debug Limited, provides a comprehensive framework for ensuring a secure and compliant Azure DevOps environment. The guide covers various aspects of security, including access control, network security, code security, and continuous monitoring.
Key points addressed in this guide include:
1. Managing users and groups using Role-Based Access Control (RBAC) to define and enforce granular permissions.
2. Applying the principle of least privilege for granting permissions to minimize potential risks.
3. Regularly reviewing user accounts and disabling unnecessary accounts to reduce the attack surface.
4. Implementing strong authentication with Multi-Factor Authentication (MFA) to protect against unauthorized access.
5. Integrating centralized identity management using Single Sign-On (SSO) and Azure Active Directory.
6. Reducing authentication risks using risk-based policies and Azure AD Identity Protection integration.
7. Restricting access with IP-based network security groups and private networks.
8. Establishing secure communication with on-premises systems using VPN or
ExpressRoute.
9. Protecting and routing network traffic with Azure DDoS Protection and Azure Firewall.
10. Applying code review processes and utilizing static and dynamic code analysis tools
for vulnerability detection.
11. Establishing secure coding standards and ensuring dependency security.
12. Incorporating security controls and automated tests in Build and Release pipelines.
13. Securing agents with trusted agent pools and implementing Git branch policies and
pull request reviews for code security.
14. Storing credentials, certificates, and access keys securely in Azure Key Vault and
configuring access for Azure DevOps pipelines.
15. Monitoring changes using Azure DevOps audit logs for security, compliance, and
operational awareness.
16. Continuously tracking and improving security posture with Azure Policy and Azure
Security Center.
17. Conducting internal and external security audits and penetration tests for evaluation
and continuous improvement.
18. Regularly review and update the security configurations of your Azure DevOps
services, resources, and tools.
19. Implement secure baselines for your Azure resources and enforce them consistently
across your environment.
20. Use Azure Policy to define and enforce security configurations across your Azure
resources.
21. Continuously monitor configuration changes and assess their impact on your security
posture.
22. Implement a robust backup and recovery strategy for your critical data, including
source code, artifacts, and configuration data.
23. Use Azure Backup and Azure Site Recovery to protect your data and applications.
24. Regularly test your data recovery processes to ensure they are effective and up to
date.
25. Establish a disaster recovery plan to minimize downtime and data loss in case of a
security breach or system failure.
Insecure Direct Object References (IDOR) are a type of vulnerabil- ity that occurs when an application exposes direct object references, such as a file path or database key, to unauthorized users. This can allow attackers to bypass security controls and access sensitive infor- mation, such as user data or financial records, without proper authen- tication. IDOR vulnerabilities can arise due to a lack of proper access controls or when an application trusts user-supplied input without ad- equately validating it. In this article, we will provide examples of un- secure code that is vulnerable to IDOR attacks, and demonstrate how these vulnerabilities can be exploited. To prevent IDOR vulnerabili- ties, it is important to implement robust access controls and sanitize user input to ensure that only authorized users can access sensitive objects. Additionally, regularly testing and monitoring applications for IDOR vulnerabilities can help to identify and mitigate potential threats.
Phishing, Smishing and vishing_ How these cyber attacks work and how to preve...Okan YILDIZ
Smishing and vishing are phishing attacks that lure victims via SMS messages and voice calls. Both rely on the same emotional appeals employed in traditional phishing scams and are designed to drive you into urgent action. The difference is the delivery method.
“Cyberthieves can apply manipulation techniques to many forms of communication because the underlying principles remain constant,” explains security awareness leader Stu Sjouwerman, CEO of KnowBe4. “Lure victims with bait and then catch them with hooks.”
With the increased number of web applications, web security is be- coming more and more significant. Cross-Site Scripting vulnerability, abbreviated as XSS, is a common web vulnerability. Exploiting XSS vulnerabilities can cause hijacked user sessions, malicious code injec- tions into web applications, and critical information stealing. This article gives brief information about XSS, discusses its types, and de- signs a demo website to demonstrate attack processes of common XSS exploitation scenarios. The article also shows how to prevent XSS at- tacks with code illustrations.
OS Command Injection is a type of cyber attack that involves injecting mali- cious code into a legitimate system command. This allows the attacker to gain unauthorized access to sensitive information or to manipulate system functions. The attack is possible when an application does not properly validate user in- put, allowing the attacker to insert arbitrary commands that are executed by the operating system.
OS Command Injection attack can include data loss, system compromise, and loss of trust in the affected organization. In some cases, the attack can even lead to financial losses or legal repercussions.
This article discusses Command Injection attacks, what vulnerable appli- cations are and how to exploit the vulnerability, and finally, how to prevent attacks by writing safe codes.
VoIP (Voice over Internet Protocol).pdfOkan YILDIZ
VoIP (Voice over Internet Protocol) transmits voice and multimedia content over an internet connection. VoIP allows users to make voice calls from a computer, smartphone, other mobile devices, special VoIP phones and WebRTC-enabled browsers. VoIP is a valuable technology for consumers and businesses, as it typically includes additional features that can't be found on standard phone services. These features include call recording, custom caller ID, and voicemail to e-mail. It is also helpful to organizations as a way to unify communications.
The process works similarly to a regular phone, but VoIP uses an internet connection instead of a telephone company's wiring. VoIP is enabled by a group of technologies and methodologies to deliver voice communications over the internet, including enterprise local area networks or wide area networks.
A VoIP service will convert a user's voice from audio signals to digital data and then send that data through the internet. If another user calls from a regular phone number, the signal is converted back to a telephone signal before reaching that user.
VoIP can also route incoming and outgoing calls through existing telephone networks. However, some VoIP services may only work over a computer or VoIP phone.
2. www.sparta.com.tr 2
Giriş
.......................................................................................
4
Sosyal
Mühendislik
..........................................................
6
Örnek:
.......................................................................................
9
Riski
Anlamak
...................................................................
9
İnsan
Zafiyetleri
.............................................................
13
Sosyal
Mühendisin
Hedefindeki
Personeller
Kimdir:
...............................................................................
15
Neden
Sosyal
Mühendislik
Saldırısı:
.......................
17
Sosyal
Mühendislik
Saldırılarında
İzlenilen
Adımlar:
.............................................................................
19
Örnek
Senaryo:
....................................................................
20
Sosyal
Mühendislik
Saldırısında
Kullanılan
Yöntemler
.........................................................................
23
Sosyal
Mühendislik
Saldırılarında
Kullanılan
Araçlar
...............................................................................
25
Parola
Güvenliği
ve
Güçlü
Parola
Oluşturma
Politikası
...........................................................................
26
Güçlü
Parola
Nasıl
Oluşturulur:
.....................................
28
Kurum’un
İçine
Girmek
...............................................
30
İşten
Ayrılan
Çalışanlar
....................................................
34
Çöp
Karıştırma
.....................................................................
38
Phishing
(Oltalama)
Saldırıları
.................................
41
Phishing
Saldırısının
Amaçları
Nelerdir:
....................
42
Phishing
Saldırı
Yöntemleri:
...........................................
43
Phishing
Saldırısına
Karşı
Alınması
Gereken
Önlemler:
...............................................................................
43
4. www.sparta.com.tr 4
Giriş
Bilgi güvenliği denince aklımıza önce sistemler veya web
uygulamaları gelse de güvenlik aslında insanla ilgilidir.
Korumaya çalıştığımız veri bir işletmenin müşteri listesi,
vatandaşların vergi bilgileri veya askeri sırlar olsa bile
özünde yapmaya çalıştığımız şey bilişim altyapısını onu
kullananlar ve ondan yararlananlar için daha güvenli hale
getirmektir. İnsan faktörü aynı zamanda en önemli tehdit
kaynağıdır. Kendi haline bırakılan sistemlerin güvenliğini
tehdit edebilecek unsurlar genelde mekanik arıza veya
su baskını gibi, yine bilgi güvenliği denildiğinde aklımıza
sonradan gelen şeylerdir.
Günümüzde karşı karşıya olduğumuz saldırıların çok
büyük bir kısmı insan kaynaklıdır ve aynı şekilde
sistemleri değil, onları kullanan insanları hedef alırlar.
Önemli güvenlik ihlaliyle sonuçlanan ve “başarılı” kabul
edilebilecek saldırıları incelediğimizde öncelikle hedef
alınan unsurun insan olduğunu görüyoruz.
Saldırganların hedef aldıkları sistemler üzerinde pek çok
teknik hata kaynaklı zafiyet olduğunu görüyoruz. Teknik
zafiyetleri istismar etmek belli bir düzeyde teknik beceri
ve bazı durumlarda kaynak gerektirmektedir. Ancak
hedef alınan sistemi kullanan kişiyi hedef almak çoğu
zaman daha az teknik beceri gerektirmektir.
Bir başka açıdan bakacak olursak da tespit edilen teknik
bir zafiyeti gidermek yayınlanacak bir yama veya
güncelleme ile oldukça kolaydır. Sosyal mühendislik
saldırılarının hedef aldığı zafiyetler ise insanın
5. www.sparta.com.tr 5
doğasından kaynaklandığı için “yama” veya
“güncelleme” ile giderilebilecek türden zafiyetler değildir.
Benzer şekilde teknik bir zafiyeti olduğunu bildiğiniz bir
sistemin önüne güvenlik duvarı (firewall) vb. bir güvenlik
çözümü koyarak zafiyetin istismar edilmesi
engellenebilir, ilgili sistemi kullanan insanı ise bir
güvenlik duvarına bağlamak mümkün olmayacaktır.
Bu ve kitapçık içerisinde ele alacağımız diğer
nedenlerden dolayı sosyal mühendislik siber saldırılar,
özellikle APT (Advanced Persistent Threat – Gelişmiş
Sürekli Saldırı) gibi yeni nesil saldırılar için de önemli bir
vektördür.
Bu çalışmanın içeriği güncellenmeye devam
etmektedir. İyileştirebilmemiz için tespit ettiğiniz
eksik/yanlışları bize bildirmenizi rica ederiz.
6. www.sparta.com.tr 6
Sosyal Mühendislik
Sosyal mühendislik teknolojiyi kullanarak ya da
teknolojiyi kullanmadan insanlardan bilgi
edinme(aldatma) sanatıdır. İnsanları kandırarak bilgi
etme ya da menfaat sağlama düşüncesi yeni değildir,
binlerce yıldır varlığını sürdürmektedir ve insanlar var
oldukça da varlığını sürdüreceklerdir. Bu tip saldırılar
günümüzde pek çok olanda yaygın olarak
kullanılmaktadır. Günümüzde aralarında bilim, sanat ve
iş dünyasından pek çok insanlarında hedef olduğu cep
telefonu dolandırıcılıkları güzel bir örnek oluşturabilir.
Ama bizim bu konuda ilgilendiğimiz kısım kurumumuza
yapılan sosyal mühendislik saldırılarına karşı bir
farkındalık uyandırmak.
Sistem güvenliğimizi sağlamak, kurumumuzun ağlarını
ve sunucularını güvenilir ve sürekli çalışır halde tutmak
için tedbir olarak en son teknolojiyle donatırız. Teknolojik
7. www.sparta.com.tr 7
anlamda sistemimiz her ne kadar sağlam duvarların
arkasında çalışır olsa da bu sistemimizi kullanacak olan
personeller unutulmamalıdır. Kurumumuzda çalışacak
olan bireyler işe alım sürecinde hangi bilgilerin kurum içi
mahrem olduğuna, şirket içi dâhili sürecin nasıl
işleneceği ya da hangi personelin (kurum içi hangi
bölümün) hangi bilgiye erişim yetkisi olabileceği
konusunda eğitimler verilmelidir. Sosyal mühendislik
saldırıları hedef olarak insanı alan kişinin açıklıklarından
faydalanarak gerekli bilgiyi toplamak üzerine yapılan
saldırılardır. Bu saldırılarda hedefteki kişinin
bilgisizliğinden, dikkatsizliğinden ve kişisel zaaflarından
(hedefteki kişi hakkında saldırılmadan önce araştırılma
yapılmışsa) faydalanılır.
Bu kişiler saldırılarda karşıdaki aktöre göre kendilerine
bir rol biçerler. Genel olarak saldırganlar arkadaş canlısı
davranıp iyi ilişkiler geliştirmeyi, kendini karşı cins olarak
tanıtıp etkilemek(genelde bu tip saldırganların hedefleri
erkektir) ya da ast üst ilişkisinden faydalanır (tabi ki bu
konuda birçok örnek verilebilir). Bu tip saldırıların tercih
edilmesinin sebebi; sisteme doğrudan saldırı yapıp vakit
kaybedileceğine kendilerine daha hızlı sonuç verecek
atakları geliştirmektir. Sosyal mühendislik saldırılarında
amaç; kurumun yapısı, kurumun ağ yapısı, müşteri
listesi, çalışan ya da yöneticiler kişisel bilgileri (adres,
telefon, kimlik numarası, personel numarası vs.) , kurum
içi dâhili numaralar, şifreler ve herhangi bir saldırıda
aleyhimize kullanılmak üzere ne varsa elde etmektir.
Trajikomik ama bu tip saldırılarda şifremizi bile bazen
kendi ellerimizle saldırganlara teslim ederiz.
8. www.sparta.com.tr 8
Aşağıda Amerika Birleşik Devletleri’nde 2001-2010
yıllarında gerçekleşen bilgisayar olaylarının türlerine
göre dağılımı verilmiştir.
Amerika’da yaşanmış olaylara baktığımızda bilgisayar
suçların da ilk 3 sırayı %21 lik oranla çalınmış diz-üstü
bilgisayarlar %16 ile hack olayları ve %13 ile Web
izlemektedir. Çalınmış bilgisayarlar, ortam ve sürücüler
%32’lik bir orana sahip. Ama bu olayların siber suç
kapsamında mı yoksa para için mi yapıldığını
bilemediğimiz için çalınmış donanımlar konusunda direk
Sosyal Mühendislik saldırısıdır diyemiyoruz. Ancak
yukarıda ki verilerden sosyal mühendislik teknikleri
kullanılarak gerçekleşen Hack ve Hile olaylarını
incelediğimizde karşımıza %24 lük bir oran çıkıyor ve bu
da gerçek anlamda çok yüksek bir oran.
9. www.sparta.com.tr 9
Örnek:
Soru: En güvenli bilgisayar kapalı bilgisayar
mıdır? Siz ofiste değilken kapalı durumdaki
bilgisayarınızdan bilgi çalınması mümkün müdür?
Cevap:
Maalesef mümkündür…
Saldırgan siz ofiste değilken, şirkete gelerek ya
da telefon açarak çeşitli sosyal mühendislik
teknikleriyle güvenlik görevlisi, sekreter ya da
temizlik görevlisine bilgisayarınızı açtırıp, bir dizi
komutlar girdirebilir.
Bu tarz saldırılara karşı şirketimizde güvenlik önlemleri
almak zorundayız. İleriki sayfalarda da birkaç
değineceğim kurumdaki herkes bilgi güvenliğinden
sorumludur cümlesini kurmamdaki sebep yukarıdaki gibi
güvenlik görevlisinden temizlik görevlisine, sekreterden
bilgi işlem personeline kadar herkesin “Saldırganın”
radarında yer aldığı gerçeğidir.
Riski Anlamak
Proaktif bilgi güvenliği olarak adlandırabileceğimiz sızma
testleri büyük ihtimalle bilgi güvenliği alanının en
eğlenceli işidir. Ne yazık ki iyi bir “hacker” olmak bilgi
güvenliği seviyesini artırmaya yeterli değildir. “Bilgi
10. www.sparta.com.tr 10
güvenliği özünde bir değişim ve risk yönetimi işidir”
cümlesi bir çok kişiye çok sıkıcı gelir ama güvenliğin bu
cephesini gözden kaçırırsak anlamlı bir güvenlik
mimarisine ulaşmamız mümkün olmaz.
Değişikliği ve riski yönetmek için bu iki kavramı anlamak
ve kuruluş bilişim altyapısına uygun olarak doğru şekilde
değerlendirmek gerekmektedir. Kuruluş bilişim
altyapısını oluşturan sistemlerin sürekli değiştiği
gerçeğini kabullenmemiz gerekiyor. Değişikliklerden
bazıları (örn: işletim sistemi güncellemesi) güvenlik
seviyesine olumlu etkide bulunurken bazı değişiklikler
(örn: kullanılan ofis yazılımında yeni bir zafiyetin
bulunması) güvenlik seviyesini olumsuz etkilemektedir.
İkinci örnekte görüldüğü gibi değişiklik aslına kuruluş ağı
veya sistemleri üzerinde bile olmamıştır ve tamamen dış
etkenlere bağlıdır.
Değişikliklere bağlı olarak kuruluş bilişim altyapısının risk
seviyesini ölçmek, takip etmek ve kabul edilebilir
seviyede tutmak için gerekli çalışmalar yapılmalıdır.
Sosyal mühendislik saldırılarının da kuruluş bilgi varlığını
hedef alan saldırılar olması nedeniyle bunlara karşı risk
seviyesinin anlaşılması gereklidir. Bu alanda taşınan
riskin ölçümünün zor olmasının başlıca sebebi soyut
kavramlarla karşı karşıya olmamızdır. Dan Borge’nin
“Riskin Kitabı” (The Book of Risk) eserinde ele aldığı ve
karar verme süreçlerimizi etkileyen sebepler sosyal
mühendislik saldırılarına kurban olmamıza sebep olan
nedenlerle aynıdır. Borge çalışmasında aşağıdaki
nedenleri ele almıştır.
11. www.sparta.com.tr 11
Aşırı güven: Olayların beklediğimiz doğrultuda
gerçekleşmesine olan güvenimiz bizi yanıltır. Geçmiş
tecrübelerimize veya elimizdeki sınırlı bilgilere dayanarak
bazı riskleri küçümseme eğilimiz karar verme sürecimizi
olumsuz etkiler. Bilişim altyapımızı koruyan “yeni nesil
güvenlik duvarı” gibi cihazlar veya bugüne kadar ciddi bir
güvenlik ihlali yaşanmamış olması kuruluş yöneticilerinin
bilişim altyapısını tehdit eden faktörleri küçümsemesine
neden olabilir.
İyimserlik: Kendi becerilerimize olan güvenimiz bazı
konulara iyimser yaklaşmamıza neden oluyor. Olayların,
süreçlerin veya sistemlerin kendi kontrolümüzde
olmalarını düşünmemiz nedeniyle bilişim sistemlerine
yönelik saldırıların bizi etkilemeyeceğini düşünebiliriz. Bu
düşüncenin bir uzantısı da “bize kimse saldırmaz” veya
“hackerlar benim şirketimi neden hedef alsın?” gibi
fikirlere sahip olunmasıdır. Aşağıdaki ekran
görüntüsünden de anlaşılacağı üzere solcu görüş ve
RedHack sempatizanı bir Twitter hesabı orta ölçekli
inşaat firmalarını hedef almaktadır. Bu hedefleri
seçmesinin başlıca nedeni saldırı kolaylığı ve başarı
oranının yüksek olmasıdır. Herhangi bir kuruluşun
kendisini herhangi bir anda kendini sosyo-politik bir kılıf
uydurulmuş bir siber saldırının ortasında
bulunabileceğini hatırlamakta fayda var.
12. www.sparta.com.tr 12
Olaylardan ders çıkartmamak: Bir sorunu atlattıktan
sonra geriye dönüp detaylı bir neden-sonuç veya kök
neden analizi yapmak genellikle adetimiz değildir. Bunun
doğal sonucu olarak da, özellikle siber güvenlik alanında,
aynı sorunla birden çok kez karşılaşıyoruz.
Kalıp aramak: İnsan yapısı gereği olayları birbirine
bağlayan kalıplar veya anlamlar arar. Bu anlam veya
bütünlük arama yaklaşımı olayları eksik veya yanlış
değerlendirmemize neden olmaktadır.
Eylemsizlik: Değişikliği çok sevmeyiz. Mevcut durumu
korumak değiştirmekten daha acılı/pahalı/riskli olmadığı
13. www.sparta.com.tr 13
sürece de değişiklik yapmayız. Sektörde yaygın olarak
kullanılan “çalışıyorsa dokunma” söylemi de bunu
destekler niteliktedir. Güvenlik konusunda bir karar
vermek veya değişikliğe gitmek ise kuruluşun başına bir
olay gelmediği sürece son derece yavaş ilerleyen bir
süreçtir.
Bilinmeyen korkusu: Bilmediğimiz şeylerden korkarız. Bu
konuya bir diğer bakış da “bildiğimiz şeylerden
korkmayız” olarak ifade edilebilir. Korkmak veya
korkmamanın ötesinde kabullenmek veya küçümsemek
olarak da ifade edilebilecek bu durum söz konusu
güvenlik olduğunda risk seviyemizin artmasına neden
olmaktadır. Trafik kazalarında ölümleri “normal”
karşıladığımız gibi zararlı yazılım gibi bazı tehditlere
alıştığımız için küçümseme eğiliminde olabiliriz.
Yukarıda bazılarını ele aldığımız nedenlerle kuruluş
personelini hedef alacak sosyal mühendislik saldırıları
yumuşak karnımızı oluşturmaktadır.
İnsan Zafiyetleri
Sunumlarımda iOS99 olarak adlandırdığım “insan işletim
sistemi” üzerinde bazı zafiyetler vardır. Bunların istismar
edilebilirlik derecesi kişiden kişiye değişiklik gösterse de
hepimizde bulunan temel zafiyetler şunlardır:
Komut verilebilir olmak: Toplum içinde büyümenin ve
yaşamanın getirdiği bir özellik olsa gerek başkasının bize
ne yapmamız gerektiğini söylemesine alışkınız. Özünde
etkili bir sosyal mühendislik saldırısı olan telefon
14. www.sparta.com.tr 14
dolandırıcılığı olaylarını incelediğimizde sürekli
karşılaştığımız tablo bunun bir kanıtı. Futbol kulübü
başkanından futbolcusuna, üniversite hocasından devlet
memuruna sayısız kişi kendilerini telefonla arayıp bir
miktar para isteyenlerin taleplerini harfiyen yerine
getirmiştir. Aklı başında herhangi biri bir miktar parayı
poşete koyup halka açık bir yerde çöp kutusunun içine
bırakmanın “aptalca” olduğunu söyleyebilir, ancak bu
yolla dolandırılanların sayısının her gün artması bize
bunun o kadar da kolay olmadığını göstermektedir.
Bilgisizlik: Bir konuda bilgimizin yetersiz olduğunu
düşündüğümüzde daha “uzman” veya daha “bilgili”
olarak gördüğümüz kişilerin söylediklerine uymak bize
daha kolay geliyor. Basit bir senaryo gibi görünse de “sizi
bilgi işlemden arıyorum...” türünde saldırganın “uzman”
kimliğini kullandığı saldırıların etkili olmasının nedeni bu
zaafımızdır.
İnanmak: Söylenenlere inanıyoruz. Nijerya’da insanlara
“prensim, 45 milyon dolar transfer etmek için bir banka
hesap numarasına ihtiyacım var” türündeki e-postaları
gönderenlerin sayısının binlerle ifade edilmesinin başlıca
sebebi bu; kurban bulabiliyorlar. İnanmaya hazır veya
meyilli olduğumuz bir konuda kandırılmamız daha kolay
oluyor. Buna verilebilecek uç örneklerin başında
“defineci” olarak adlandırabileceğimiz kişiler gelir.
Kendilerini define aramaya adamış ve bu yolla kazanç
elde etmeyi düşünen kişilere sürekli “define haritası”,
“2000 yıllık şarap” veya “işaret taşı” gibi şeyler satmaya
çalışan birileri vardır. Buna karşılık, bu alana ilgisi
15. www.sparta.com.tr 15
olmayan kişilere bu tür teklifler gelmez. Bize
sunulduğunu düşündüğümüz bir fırsata inanmamız o
fikre hazır olmamız kadar ihtiyacımıza da bağlıdır.
Sevilme isteği ve yardımseverlik: Başkalarının bizi
sevmesine ihtiyacımız var. Bu özelliğimize yakın olan
yardımseverliğin de katkısıyla sosyal mühendislik
konusunda önemli zafiyetlerimizden birisi ortaya
çıkmaktadır.
Sosyal Mühendisin Hedefindeki Personeller
Kimdir:
Kurumumuza yapılan saldırılarda, saldırganın
kurumumuzda kendine seçtiği bir hedef kitlesi vardır
bunlardan 5 tanesi aşağıda verilmiştir.
1. Direkt Ulaşılabilir Personeller: Bu personeller
direkt olarak müşterilerle ya da sağlayıcılarla
iletişime geçen personellerdir. Teknik servis
16. www.sparta.com.tr 16
elemanları veya çağrı merkezi çalışanları bu
grupta incelenir. Bu pozisyonda ki çalışanlarımız
sıkı eğitimlerden geçirilmelidir.
2. Üst Düzey Personeller: Kurumumuzda
pozisyonu gereği ayrıcalıklı yetkilere sahip olan
çalışanlar saldırganların en çok hedef almak
istediği kişilerdir. Kurum içerisindeki görevi gereği
bir takım gizli bilgilere sahip olan bu kullanıcıların,
saldırgan tarafından kandırılıp çeşitli bilgiler elde
edilmesi kurumumuza oldukça fazla zarar
verebilir.
3. Yardım Sever Personeller: Bu başlıktaki
personellerimiz kurum içinde, müşterilerine
yardım ve destek için yetkisinden çok daha
fazlasını kullanır. Ama bazen işler ters gidip
yardım etmek istediği müşterisi kurumumuza
sızmak isteyen saldırgan olabilir. Kurumumuz
içinde personellerin yetki sınırları belirlenip, bu
sınırlar içerisinde görevlerini yerine getirilmesi
gerektiği hatırlatılmalıdır.
4. İşe Yeni Başlayan Personeller: Kuruma yeni
başlayan personeller, sisteme erişim hakkı
bulunan fakat bunun tam olarak nasıl
kullanılacağını bilmeyen personeller ya da yardım
masası çalışanları işe saldırgan arasındaki farkı
ayıramayacak personeller kurum için oldukça
tehlikeli sonuçlar doğurabilir. İşe yeni başlayan
personellere sisteme erişim yetkisi verilmeden
önce sıkı eğitimlerden geçirilmeli ve bu eğitim
sonunda başarıya ulaştıktan sonra sisteme erişim
yetkisi verilmelidir.
17. www.sparta.com.tr 17
5. Kandırılmış ya da İkna Edilmiş Personeller:
Kurumumuzda hala aktif olarak çalışan fakat
şirketimize olan bağlılığı zayıflamış, işten
ayrılmayı düşünen personeller insani hırslardan
ya da karşı tarafın verdiği büyük vaatlerden
dolayı kurumumuza zarar verici bir eylemde
bulunabilir. Kurum içerisindeki diğer çalışanlar ve
insan kaynakları olumsuz davranışlar sergileyen
personelleri amirlerine rapor etmelidir.
Neden Sosyal Mühendislik Saldırısı:
Basit olarak üç sebebi verilebilir;
• İnsanlar kandırılma olasılığını çok düşük
olduğunu düşünür
• Kurumlar güvenlik önlemini teknik açıdan
yeterlilik olarak görür.
• Bilgi güvenliğinin en zayıf halkası İNSAN’ dır
18. www.sparta.com.tr 18
.
Yukarıda bahsedilen ikinci örnekte kurumların atladığı
husus her sistemi kullanan en az bir insanın
bulunmasıdır. Güvenliğin küçük bir yüzdesi teknik
yeterlilik ile sağlanıyor, büyük bir kısmı ise kullanıcı
sayesinde sağlanır. Saldırganlar her zaman kendileri için
en kolay yolu tercih ederler ve dolayısıyla saldıracakları
hedefi belirlerken gözlerini en zayıf halkaya dikerler. Bilgi
Güvenliği seviyesi belirlenirken de en zayıf halkaya
bakılır ve en zayıf halka ise İnsan
Faktörüdür(“İnsanların zaafı bilgisayarlardan
fazladır”) .
19. www.sparta.com.tr 19
Sosyal Mühendislik Saldırılarında İzlenilen
Adımlar:
Bilgi Toplama: Sosyal mühendisin yapacağı ilk iş budur.
Kurum hakkında internetten, gazetelerden hatta bazen
sizden kurum işleyişini ve kurum içinde kullanılan
argümanları öğrenir. Bunu yapmasının amacı sorulan
sorulara kısa zamanda doğru cevapları vermek ve kurum
içinde kullanılan argümanları sıkça kullanmaktır. Bu
şekilde inandırıcılığını artmasını sağlayabilir ve erişmek
istediği bilgiye hızlıca erişebilir.
İyi İlişkiler Kurmak, Güven Kazanmak: Saldırgan bu
evre de hedef olarak belirlediği kişi ile iş saatinde ve ya
iş saatleri dışında iyi ilişkiler kurmayı amaçlayabilir. İş
saatlerinde kişi ile güvene dayalı bir arkadaşlık kurmayı
tercih edebilir ve ya iş saatler dışında gelişen kişisel
ilişkileri istismar edebilir. Bunlardan bağımsız olarak
20. www.sparta.com.tr 20
kendini o bilgiye erişmek için yetkili kişi olduğuna ikna
edebilir ya da kendini güvenli bir kaynak olarak
tanıtabilir.
Güveni İstismar Etmek: Saldırgan artık kurum
hakkında yeterli bilgilere mevcut ve buna ek olarak ta bu
bilgileri kullanarak şirket içinde kendine gerekli bilgileri
sağlayabilecek güvenini kazandığı birilerini buldu. Artık
tek yapması gereken özenle hazırladığı soruları
hedefteki personele özenle yönelterek ondan gerekli
bilgileri toplamaktır.
Bilgiyi Kullanma: Kurban tarafından edinilen bilginin
tutarlılığına bakılır. Eğer bilgi istenilen bilgiyse saldırı
amacına ulaşmıştır ve bilgiyi lehine kullanmaya
başlayabilir. Saldırı amacına ulaşmamış ise önceki
evrelere dönerek istenilen bilgiyi tekrar elde etmeye
çalışır.
Bir kurumda işe yeniş başlayan personeller işe başlama
sürecinden önce bilgi güvenliği eğitimlerinden
geçirilmezse ve bu eğitimlerden gerekli görülen
yeterliliğe ulaşmadan işe başlatılmışsa kurumumuz için
büyük bir risk oluşmuş demektir. Aşağıdaki örnek
senaryoda işe yeni başlayan bir personele yapılan
Sosyal Mühendislik saldırısını inceleyelim.
Örnek Senaryo:
- İyi günler ben pazarlama bölümünden Ayşe.
- Merhaba Ayşe, ben Bilgi İşlemden Mehmet.
- Evet Mehmet Bey?
21. www.sparta.com.tr 21
- İşler nasıl gidiyor, şirkete alıştın mı?
- Şeyy alışma sürecim biraz sıkıntılı gidiyor galiba,
buradaki herkese sürekli sorular sorup bunaltıyorum ama
en kısa sürede bu süreci atlatacağım
- Tabii ki de, Şuan da senden baya memnun olduklarını
duydum orada baya seviliyorsun hiç merak etme en
yakın sürede Pazarlama bölümünün yıldızı olursun.
- Çok teşekkür ederim, siz niçin aramıştınız?
- İşe yeni başladığın için sana şirket içi güvenliğin nasıl
sağlanacağını anlatacağım, Müsait misin?
- Tabii ki de çok memnun olurum.
- Çok iyi, öncelikle Ayşe şirket dışından getirilen DVD,
usb gibi şeyleri bilgi işlemin izni dâhilinden
bilgisayarımıza takmıyoruz, internetten yine bizim iznimiz
dâhilinde olmadan herhangi bir program kurmanız şirket
politikası gereği yasak. Şirket içi yada başka şubelerden
aradığını söyleyen personellerin dahili numarasını alıp
arama kayıtlarını kaydediyoruz. E-posta eklerine karşıda
dikkatli olmamız gerek. Şirket E-posta adresini biliyorsun
dimi?
- Evet, ayse@herhangibirkurum.com.tr
- Peki, kullanıcı adı olarak ismini mi kullanıyorsun?
- Hayır, ayşe_85 kullanıyorum
22. www.sparta.com.tr 22
- Çok iyi birde son olarak şifrelerimizi 50 günde bir
düzenli olarak değiştirmemiz gerekiyor şifrelerimize özel
karakter, sayı ve harf kombinasyonu kullanman gerek
kullanıyor musun?
- Hayır kullanmıyorum.
- Bunu değiştirmemiz gerekebilir şuan da kullandığın
şifre nedir
- Şifrem xxxx
- Anladım Ayşe bu şifreyi değiştirmen gerek en kısa
sürede, Eğer bir sorun yoksa ben diğer işlere bakayım
burada işler biraz karışıkta ama herhangi bir sorun
çıktığında derhal arayabilirsin hemen yardımcı oluruz.
-Çok teşekkür ederim yardımlarınız için Mehmet Bey, iyi
günler.
- İyi günler.
Örnek Senaryo
Saldırgan hedef aldığı kurumdaki personellerin takıldığı
kafe, spor salonları ve ya yemek yediği lokantalar gibi
yerlerde ilgi çekici sahte bir kampanya ile ilgili broşür
dağıtır. Kampanya ile ilgili detaylı bilgi almak isteyen
personeller bir siteye yönlendirilir ve karşılarına çıkan
sitede kampanyadan yararlanmak için siteye kayıt
olmalarını ister. Hedefteki personellerimiz bu siteye kayıt
olur. Buraya karşı her şey normal görünüyor ama
bilinmeyen bir şey var ki biz insanlar parola oluşturmada
23. www.sparta.com.tr 23
fazlasıyla üşengeç davranıyoruz ve her kullandığımız
site ve ya sistemlere de bu şifrelerle giriş yapıyoruz. Ve
sonuç olarak kurumumuzun belki de altın anahtarı
sayılabilecek olan personel şifrelerini kendi ellerimizle
saldırgana teslim etmiş oluyoruz.
Sosyal Mühendislik Saldırısında Kullanılan
Yöntemler
Sosyal mühendislik saldırılarında bilgi etmek bazen
yukarıda ki gibi kolay olabiliyor. Birinci örnekte de
gördüğümüz gibi en başta güven kazanmaya hal hatır
sorarak başladı ve sonrasında onu överek kendi
tuzağına iyice çekti(herkes başkalarının kendisini
övmesini sever biraz poh pohlanmak hoşuna gider
insanların). Peki, aynı durum sizin başınıza gelseydi ne
yapardınız? Şirket içinde işe yeni başlayan personeller
yeterli eğitimlerden geçirilmezse bir saldırgan sizin
yerinize bu eğitimi verebilir ama çok ufak bir farkla artık
sisteminiz de rahatça dolanabilecek bir şifre vardır.
Bu saldırılarda sıkça kullanılan yöntem aşağıda
verilmiştir.
• Kurumun herhangi bir bölümünde ki çalışan gibi
davranmak
• Üst düzey yetkili gibi davranmak
• Yardıma ihtiyacı olan bir personel gibi davranmak
• Kendini acındırmak
24. www.sparta.com.tr 24
• Omuz sörfü
• Personele içinde zararlı yazılım bulunan bir usb
bellek hediye etmek
• Kurbanı zararlı olan bedava bir yazılımı
indirmeye ikna etmek
• Güven kazanmak için şirket içi terimler kullanmak
• Onu önceden tanıyormuş gibi yapmak
• Karşı cinsi etkilemeye çalışmak
• E-Posta ekinde keylogger ya da trojen gibi zararlı
yazılımlar göndermek
• Kullanıcının yeniden parola bilgilerini girmesini
sağlayan sahte pencereler açmak
• Kendini Emniyet, İstihbarat mensubu gibi
tanıtmak
• Teknik destek sağlamak için aradığını ve belli
başlı adımları izlemesi gerektiğine ikna etmek
• Kurumun içerisine fiziksel olarak sızmak
Sosyal mühendislerin kullandığı en sık kullanılan
yöntemler yukarıdaki gibidir. Saldırganlar kendilerine
bunlar gibi yüzlerce yöntem belirtebilir. Kurum içi
personellerimizin bu gibi süreçlerde özellikle dikkat
etmesi gereken birkaç durum vardır.
25. www.sparta.com.tr 25
Sosyal Mühendislik Saldırılarında Kullanılan
Araçlar
Sosyal mühendislik saldırılarında saldırgan her zaman
telefonla ya da kurumun içine sızarak tek başına bir
şeyler yapmaz. Sosyal mühendisimizin ihtiyacına göre
kullanacağı bir takım araçlar mevcuttur. Örnek olarak bir
kuruma fiziksel olarak sızmış saldırgan yönetici
konumdaki personelin bilgisayar ile klavye arasına fark
edilemeyecek kadar ufak bir usb keylogger yerleştirebilir.
Tabi bunun bir takım riskleri vardır, kaydedilen şifreleri
görmek için tekrar kuruma sızıp usb keyloggerı alması
gerekir. Ya da başka bir örnek vermek gerekirse
saldırganımı kurumda çalışan üst düzey personellerden
birine ortam dinleyicisi görevi gören bir Mouse ya da
Kamera görevi gören şık ve pahalı bir kalem hediye
edebilir. Bunun gibi akla gelmeyecek kadar yaratıcı
birçok araç piyasada mevcut ve düşük bir ücret
karşılığında herkesin sahip olabileceği şeyler. Özellikle
büyük ölçekli şirketler ve kurumların bu gibi araçlara
karşı ciddi güvenlik önlemleri alması gerekmektedir. Bu
araçlardan bazıları aşağıdaki görselde verilmiştir.
27. www.sparta.com.tr 27
Sosyal Mühendislik saldırılarında, belki de en çok elde
edilmek istenen bilgi kurumun kullandığı sisteme ya da
OWA gibi kurumsal e-posta adreslerine erişimini
mümkün kılacak parolaları ele geçirmektir. Saldırganlar
kitapçığın başında da bahsettiğimiz gibi kendileri için en
pratik olan yolu tercih ederler. Sistemi kırmak ya da
Brute Force atakları yaparak şifre elde etmek daha çok
zaman alacak eylemler olduğu için ilk olarak şifreyi
sizden elde etmeye çalışacaklar. Bu başlıkta
değineceğim konu Sosyal Mühendislik ve Brute Force
saldırılarına karşı nasıl önlemler alacağımızla ilgilidir.
Saldırganlar kitapçığın başında da bahsettiğim ve
örneklendirdiğim çeşitli yollarla şifrelerinizi ele geçirip,
kurumunuz sistemine sızabilir. Ama saldırganlar
örneklendirdiğimiz saldırlar da başarıyı ulaşamaz ise bir
sonraki adımları olan şifrenizi kırma aşamasına
geçmektir. Bu saldırılarda ki başarılar inanılmaz
derecede iyidir örnek vermek gerekirse; 15 Temmuz
2015 de hacklenen Ashley Madison adlı arkadaşlık
sitesine ait parolalar yayınlandı ve çalınan 11 milyon
parola üzerinde yapılan incelemelerde en sık kullanılan
ilk 3 parola şu şekildedir;
1. 120 bin kişi ile “123456”
2. 48 bin kişi ile “12345”
3. 39 bin kişi ile “password”
Yukarıda listelenen şifrelere baktığımızda Brute Force
saldırısında kullanıcılara sadece bu 3 şifre ile deneme
yapsak 207 bin kişinin hesabını ele geçirmiş oluyoruz.
İnsanlar bazen parola oluşturma gibi konuda bu kadar
28. www.sparta.com.tr 28
özensiz davranıyor, bu tarz parolalar oluşturmak
hırsızlara karşı kapısı ve penceresi açık bırakılmış bir ev
kadar güvenlidir. Kurumlar içersin de bir şifre politikası
olmalıdır ve güvenli şifre oluşturmak zorunlu bir görev
olmalıdır.
Güçlü Parola Nasıl Oluşturulur:
• En az 8 karakterden oluşturulmalıdır.
• Harfler ve özel karakterlerin (“^, +, %, &, /, (, $, ],
*, ?, _, -”) kullanılması zorunlu olmalıdır.
• Parolalarda büyük ve küçük harf kullanımı
zorunlu olmalıdır
• Parolalarımızda kişisel bilgiler (eşimizin adı,
çocuğumuzun adı, doğum tarihi vb.) bilgiler
bulunmamalı
• Parolalarımızda ünlü isimler, film adları ve
karakter isimleri (frodo, batman, messi)
bulundurulmamalıdır
• Bütün fabrika çıkışlı parolaları değiştirin
• Kullanıcılarınızın parolalarını yönetmelerini
kolaylaştırın. Parola yönetimi yazılımı kullanmak
farklı sistemler için farklı parola kullanmalarını
kolaylaştıracaktır
• Kullanıcılar tarafından belirlenen parolaların zayıf
olabileceğini kabul edin. Parola politikalarını
belirlemez ve bunların uygulanması için gerekli
teknik önlemleri almazsanız kullanıcılar her
zaman basit parola kullanmayı tercih edecektir.
29. www.sparta.com.tr 29
• Otomatik olarak atanan parolaların da sorunlu
olabileceğini kabul edin. Bilgisayar tarafından
oluşturulan süper karmaşık bir parola güzeldir
tabii ki ama hatırlaması zor olacağından
kullanıcıların bunu bir yere not edebileceğini
düşünmemiz gerekir. Bu nedenle otomatik olarak
oluşturulan parolaların daha kolay
hatırlanabilmesini sağlayacak bazı kurallar
belirlemekte fayda olabilir
• Kullanıcı ve yetkili hesapları farklı yönetin.
Kullanıcıların güçlü parola kullanması yeterli
olabilir belki ama yetkili hesaplara girişin iki
kademeli bir doğrulama ile yapılması uygun
olacaktır
• Hesapları kilitleyin. Belli bir sayıda yanlış parola
denemesi yapıldığında hesabın kilitlenmesini
sağlayın. Bunun dışında giriş denemeleri ve
benzeri saldırgan davranışları da izleyecek bir
sistem kurulmalıdır
• Parolaları düz metin olarak tutmayın. Her hesap
için tekil olan bir girdi (salt) ile birlikte hash
değerlerini tutun
30. www.sparta.com.tr 30
Kurum’un İçine Girmek
Sosyal mühendislik saldırılarında saldırgan bazen
fazlasıyla risk alıp kurum içine kadar gelebilir.
Şirketimizin içine kadar giren bir saldırgan oldukça
tehlikeli sonuçlar doğurur. Örnek vermek gerekirse
şirketimizin ağına bilgisayarını doğrudan bağlayabilir,
gizli dosyaların bulunduğu odalara girebilir,
kurumumuzun üzerinde çalıştığı bir projeyle ilgi bilgi
toplamayı amaçlayabilir, şirket içinde sonradan
kullanmak üzere kendine yakın arkadaşlıklar edinebilir
veya personel masalarının üzerinde duran bilgisayar
yâda sisteme giriş için kullanılan kullanıcı adları ve
şifrelerini alabilir(bunu hemen hemen her şirket de
görmek mümkün) .Bunlar olabilecek binlerce tehlikeden
birkaç tanesi. Bu saldırılarda saldırgan şirket içine
girmek için kullandığı yöntemlerden bazıları ise;
• Kendini şirketin iş ortaklarından biri olarak
tanıtma
31. www.sparta.com.tr 31
• Kuruma bir satış elamanı olarak girmek
• Personel kartını işe gelirken unuttuğunu ve acil işi
olduğu söylemek
• Personel kartlarının kopyasını yapmak
• Kuruma giriş için gişe kullanılmayan yerlerde
çalışanların arasına karışarak girmek
• Eski çalışan olarak girmek
• Şirketimizin personellerinden biriyle olan iyi
ilişkilerini bahane ederek ziyaretçi olarak girmek
Şirketler bu saldırılardan korunmak için sıkı bir güvenlik
önlemi uygulamaları gerek. Örnek vermek gerekirse bu
önlemler;
• Kurum içinde personel kimlik kartı takmanın
zorunlu olması
• Kurum içine girerken elektronik kartlarla
turnikeden giriş yapılması ve personel kimliğini
unuttuğunu iddia eden kişilerin amirlerin izini
dâhilinde kuruma alınmalı ve olay rapor edilmeli.
• Gelen ziyaretçilerin kimlik bilgilerinin
tutulması.(Herhangi bir olumsuzlukta kişiyi
bulmamıza yardımcı olur)
• Kendini ziyaretçi, iş ortağı ya da malzeme
tedarikçisi olarak tanıtan kişilerin muhatabından
onay alınarak kurum içine sokulmaları
32. www.sparta.com.tr 32
• Şirket içinde personel kimlik kartı taşımayan
kişilerin sorgulanması.
• Ziyaretçilere bir refakatçinin eşlik etmesi
Gibi önlemler bizi olabilecek tehlikelerden asgari tutarda
korur. Daha öncede değindiğimiz gibi kurum içinde bir
güvenlik politikası oluşturulmalı ve çalışanların düzenli
olarak eğitimden geçmeleri gerek. Özellikle de belirtmek
gerekirse kurum içinde hemen hemen her odanın
anahtarına sahip olan güvenlik görevlilerin bu tip
saldırılara karşı iyi eğitilmiş olmaları gerekir. Bir
saldırganın kurumumuz içine sızdığında oluşabilecek
riskler;
• Çalışanların, unutmamak için çalışma alanlarına
astığı şifreleri çalabilir.
• Şirketin dâhili ağına bağlanıp, internet trafiğini
izleyebilir.
• Omuz sörfü vasıtasıyla kullanıcı adı ve şifreleri
elde edebilir.
• USB keylogger gibi sosyal mühendislik
saldırılarında kullanılan araçları, kurumun kritik
görevindeki personellerin bilgisayarlarına
takabilir.
• İleride yapacağı saldırılarında kullanmak üzere
personelleri tuzağa düşürebilir
• Şirketin gizli belgelerine erişebilir.
33. www.sparta.com.tr 33
Örnek Senaryo:
Geçenlerde kendim yaşadığım bir olaydan örnek
vereyim. Türkiye’nin önde gelen radyo kanallarından
birinde haber spikeri olarak çalışan arkadaşı mı ziyarete
gittim ve kurum içine girerken ziyaret ettiğim de
arkadaşımı aradılar ve ziyareti onayladıktan sonra
kimliğimi alarak bana bir ziyaretçi kartı verdiler. Bu tarz
kanallarda genel olarak herkes birbirini tanır ve içeride
samimi bir ortam vardır. Ziyaret ettiğim kanalda aynı
şekildeydi ama yine de kurum içinde personel kimlik
kartını herkes taşıyordu buraya kadar her şey normal
olması gerektiği gibiydi. Arkadaşımın kullandığı oda da
telefonu şarj edebileceğim bir yer olup olmadığını
sordum ve asistanın bilgisayar masasının bulunduğu
yerde şarj edebileceğimi söyledi. Tam prize yönelip
telefonumu şarj edecektim ki kafamı kaldırdığım da
bilgisayarın yanında ufak bir not gördüm. Notu
incelediğim de kanala ait internet sitesinin admin paneli
uzantısı ve oraya erişim hakkı olan 2 kullanıcı adı ve
parolası yazıyordu. Tabi ki bunu hemen arkadaşıma
bildirdim ve bunun şirket için büyük riskler
oluşturabileceğini aktardım.
Ya o notu ben değil de kurum içine sızan bir saldırgan ya
da işten ayrılmayı düşünen bir personel görseydi?
Birçok şirket de ki çalışanlar kullanıcı adını ve
parolalarını unutmamak için bilgisayarın üstüne not
ederler. Ama buna erişim hakkı olmayan çalışanlar ya da
kurum içine davetli ya da davetsiz(Sosyal Mühendis) bir
34. www.sparta.com.tr 34
şekilde giriş yaptıktan sonra bu tarz notları istismar
edebilir. Personellerimizin bu tarz notları herkese
görünür şekilde bulundurmamaları konusunda uyarmak
gerekir.
İşten Ayrılan Çalışanlar
İşten ayrılan personeller bazen kurum için oldukça büyük
riskler taşır. Bu personeller rakip firma lehine çalışarak
ya da direk kendisi kuruma olan kızgınlığından ötürü
zarar verici davranışlarda bulunabilir. Bu personeller
şirket içindeki işleyişi, parolaları, hangi bilgiyi kimden
bulabilecekleri vs. bilgisine sahip oldukları için, insan
kaynakları işten ayrılan personele karşı bir takım şirket
kuralları oluşturmaz ise şirkete oldukça kötü sonuçlar
doğurabilir
“Ayrılan personellere ait hesapların yönetimi belli
risklerin oluşmasına neden olabilmektedir. Bu riskleri
eski personelimizin arada bir şirket e-postalarını
okumasından kapatmadığımız bu hesabın bilgilerinin
saldırganlar tarafından ele geçirilip kullanılmasına kadar
geniş bir yelpazede sıralayabiliriz. İntermedia şirketi
tarafından yayınlanan bir raporda eski çalışanların
35. www.sparta.com.tr 35
%89’unun önceden çalıştıkları şirketin Dropbox, e-posta,
Sharepoint gibi önemli hesaplarına ulaşabildiklerini
göstermektedir. Aynı rapor eski çalışanların %49’unun,
ayrıldıktan sonra, şirket kaynaklarına eriştiklerini de
göstermektedir.
Ayrılan personelin oluşturabileceği risklerin bir bölümünü
ortadan kaldırmanıza yardımcı olabilecek bir kontrol
listesi derledim.
Genel olarak unutulmaması gerekenler
Bu liste tabii ki uzatılabilir (veya şirketinizin durumuna
göre kısaltılabilir) ama temel olarak gözden
kaçırılmaması gerekenler arasında sayabileceklerimiz
şunlardır;
• E-posta adresini kapatın
• E-posta adresini aynı işi yapan birine yönlendirin
• E-postaların yedeğini alın
• E-posta adresini e-posta
listelerinden/gruplarından çıkartın
• Ayrılan personelin adını internet sayfasından
kaldırın
• Ayrılan personelin adını telefon defterinden
kaldırın
• Bilgisayara erişimini kapatın
• Kurumsal kaynak planlama (ERP) yazılımına
erişimi kapatın
• Dahili telefonunu başkasına yönlendirin
• Ofis anahtarını alın (dostça ayrılmadıysanız kilidi
değiştirin)
• Giriş kartını alın ve iptal edin
36. www.sparta.com.tr 36
• Laptop’u geri alın, diskin imajını alın, formatlayın
• Şirket hattı/telefonunu alın
• Şirket kredi kartı/fatura kartını alın
• Şirkete ait fotoğraflı kimliği alın
• VPN uzaktan bağlantı hesaplarını kapatın
• Videokonferans, vs. Yardımcı hizmetlerdeki
hesapları kapatın
• Giriş yetkisi olan bütün uygulamalardaki
kullanıcılarını kapatın
• Şirkete ait sosyal medya hesaplarına erişimini
kapatın
• Kablosuz ağ parolasını değiştirin
Ayrılan kişinin yetkili kullanıcı olması durumunda
Bilgi teknolojileri altyapımız üzerinde belli yetkileri olan
personelin ayrılması durumunda yukarıdakilere ek olarak
şunları hatırlamakta fayda olacaktır;
• Veri tabanı kullanıcılarını kapatın
• Uygulamalardaki yönetim/teknik destek
hesaplarını kapatın
• Ortak parola kullanılan uygulamaların parolalarını
değiştirin
• Ağ cihazı (router, modem) parolalarını değiştirin
• Güvenlik cihazı (firewall, IPS/IDS) parolalarını
değiştirin
• Jenerik olarak kullanılan parolaları değiştirin ve
yeni bir jenerik parola belirleyin
• Test kullanıcılarının parolalarını değiştirin
Bunların dışında göz önünde bulundurulmasında fayda
olacak bir kaç nokta şunlar olabilir;
37. www.sparta.com.tr 37
• Ağ üzerindeki kullanıcı hesaplarını düzenli olarak
denetleyin
• Ayrılanların isimlerinin Bilgi İşlem birimine derhal
bildirilmesini sağlayın
• Ortak kullanıcı kullanmayın (hiç bir uygulamanın
tek kullanıcısı olmasın) ”
38. www.sparta.com.tr 38
Çöp Karıştırma
Çöp karıştırma, saldırı esnasında işe yarar bilgiler
bulmak için hedefteki kurum veya kişinin çöpünü
karıştırmadır. Genellikle kurumun, kurum sınırları dışında
kullandığı çöpler tercih edilir. Bu saldırılarda saldırganın
girdiği risk hemen hemen yok denecek kadar azdır (bir
tek birazcık kirlenme riski vardır ), çünkü kurum dışına
attığımız çöpler halka açık alanlarda bulunuyorsa çöp
dalışı tamamen yasaldır,kişiler ve kurumlar çöplerinden
kendileri sorumludur. Çöp bidonları kurum sınırları
içerisinde bulunmalı ve dışarıdan erişime mutlak kapalı
olmalıdır. Aksi takdirde çöp kutumuzdan faydalanmak
üzere hali hazırda bekleyen saldırganlar ve rakip
firmanın elemanları çöpünüzden menfaat sağlayabilir.
Çöplerimizi atarken de kurum içinde belli başlı kurallar
olması gerekir. Mesela kağıtlar mutlaka okunamayacak
derecede ayrıştırmalı yada kurum için önemli bilgileri
içeren taşınabilir veya sabit sürücüleri verileri tamamıyla
okunamaz hala gelmeden çöp bidonlarına terk
etmemeliyiz.
39. www.sparta.com.tr 39
Bizim bilinçsizce attığımız çöpler düşmanlarımızın
hazinesi olabilir. Peki bu saldırganlar bizim çöplerimizde
neler arıyor birkaç örnek vermek gerekirse;
• Çalışan bilgileri
• Şifreler
• İmla hatasından dolayı atılan raporlar
40. www.sparta.com.tr 40
• Güncelliğini yitirmiş telefon rehberi
• Müşteri listeleri
• Faturalar
• Girilecek ihale ile ilgili bilgiler
• Şirket içindeki donanımların kullanım kılavuzu
• Projelerimiz, programlarımız ve cihazlarım
hakkındaki dokümantasyonlar
Yukarıda örnekleri verilen bilgiler çalışan güzünden işe
yaramaz, güncelliğini yitirmiş ve önemsiz gözükebilir
ama saldırganın gözünde bu bilgiler bulunmaz nimettir.
Bir zamanların FBI tarafından en çok aranan listesinde “
ilk hacker ” olarak yer alan Kevin Mitnick ’in çöp dalışı
hakkındaki sözleri aşağıda verilmiştir.
“ Yeni rehberlerin çıktığı akşamlarda çöp ziyaretleri
yapardım, çünkü çöp bidonlarında düşünmeden atılmış
yığınla eski rehber olurdu. Başka tuhaf zamanlarda da
bazı ilginç bilgi cevherleri içerebilecek not kağıtları,
mektuplar, raporlar gibi şeyler bulmak için giderdim.”
41. www.sparta.com.tr 41
Phishing (Oltalama) Saldırıları
Phishing İngilizce “Password” ve “Fishing” kelimelerinin
birleşmesiyle oluşan ve Türkçe ‘ye oltalama saldırı
olarak geçen son zamanların en popüler Sosyal
Mühendislik saldırılarındandır.
Saldırganlar, saldırı esnasında kullanabilecekleri olan
bilgiyi çok çeşitli Sosyal Mühendislik yöntemleriyle elde
etmeyi deneyebilir. Bu saldırı tiplerinden belki de
günümüzde en popüler olan saldırı tipi “phishing” dir.
Saldırganlar bu saldırıda, kurbanına e-posta yollayarak
saldırıyı gerçekleştirmektedir. Bu e-postalar, kurumun
42. www.sparta.com.tr 42
herhangi bir bölümünden ve ya kurbanın aktif olarak
kullandığı güvenilir bit siteden geliyormuş gibi gözüken,
kurbandan kişisel bilgilerini girmesini, ilgili bağlantıya
gidip formu doldurmasını ve ya zararlı yazılım içeren
ekteki dosyayı indirmesini ister. Kurbanın doldurduğu
forum araçlığıyla ya da sistemine bulaştırdığı zararlı
yazılım vasıtasıyla, bilgileri çalmayı amaçlar.
Phishing saldırıları genel kapsamlı, rastgele olarak
yapılan saldırılardır. Saldırganların hedef olarak
belirlediği kuruma yaptığı oltama saldırılarına “Spear
Phishing (Hedef Odaklı Oltama)” saldırı denir. Hedef
odaklı oltalama saldırısında, saldırgan hedef kurumun
ticari sırları, finansal verileri ve ya bu tür bilgileri
kendisine sağlayabilecek olan bir kullanıcı adı ve şifreyi
ele geçirmeyi amaçlar. Klasik phishing saldırılarından
farklı olarak, spear phishing saldırılarından hedef kurum
ve personellerini araştırırlar. Kurum içerisinde kullanılan
sistemleri araştırabilecekleri gibi, hedef seçtikleri
personellerin çeşitli sosyal medya hesaplarını inceleyip,
onların hobileri ve ya ilgisini çekebilecek olan bilgileri
toplar. Elde ettikleri bilgiler ışığında hedefe özel, phishing
mail ve ya açılabilir pencere oluştururlar.
Phishing Saldırısının Amaçları Nelerdir:
• Kimlik bilgilerinin çalınması
• Fikri mülkiyet
• Ticari sırlar
43. www.sparta.com.tr 43
• Kurum içi mahrem bilgiler
• Finansal veriler
• Kullanıcı adı ver Şifrenin çalınması
• Kullanıcı hesap numaralarının çalınması
• İnternet bankacılığı şifrelerinin çalınması
• Kurumun sistemine zararlı yazılım bulaştırılması
Phishing Saldırı Yöntemleri:
• Klonlanmış mail sistemi ya da kurum otomasyon
sistemi ile personel kullanıcı adı ve şifrenin
çalınması
• Zararlı yazılım bulunan ekler indirtmek
• Herhangi bir büyük ödül kazandınız vaadiyle
kişisel bilgilerini çalma
• Bankadan gibi gelmiş gözüken, hesap bilgilerinizi
yenilemenizi isteyen e-postalar
Phishing Saldırısına Karşı Alınması Gereken
Önlemler:
• E-postanın kimden geldiğinden emin değilseniz
dikkate almayınız, hiçbir kuruluş sizden e-posta
yoluyla kişisel bilgilerinizi istemez.
44. www.sparta.com.tr 44
• Güvenli olmadığını düşündüğünüz ve halka açık
olan internet ağlarından elektronik işlem
gerçekleştirmeyin.
• İnternet adresi olarak ip değeri barındıran sayısal
değerler ile karşılaşırsanız mutlaka dikkat edin.
• Gelen e-postalarda maili gönderen ve
yönlendirdiği internet adresi gibi bilgilere mutlaka
bakın.
• Bilgisayarınızın güncelleştirmelerini ve güvenlik
yamalarını her zaman kontrol edin ve mutlaka
anti virüs programı kullanın.
• Şüpheli gördüğünüz e-posta ve linkleri mutlaka
bilgi işlem personeline bildirin.
• E-postalarda ki kısaltılmış URL (bit.ly,goo.gl ve
tinyurl.com) adreslerine kesinlikle tıklamayın.
• Şüpheli ve ya bilmediğiniz web sitelerine kişisel
bilgilerinizi kesinlikle vermeyiniz.
• SSL sertifikası güvenli ve kullanıcı ile sunucu
arasındaki veriyi 128 bit ile şifrelenmiş bir web
sitede işlem yaptığınızı gösterir.
45. www.sparta.com.tr 45
Not: Saldırganlar bazen yaptığı klon sitelerde
SSL sertifikası da bulunabilir. En iyi çözüm
internet adresini, adres çubuğuna el ile girmemiz.
46. www.sparta.com.tr 46
3 Adımda Spear Phishing Saldırı:
1. Saldırgan öncelikle kullanıcı adı ve parolayla giriş
yapılabilen, hedef kurumun kullandığı mail
sistemi, otomasyon sistemi ve ya bankaların web
sitelerinin sahtesini yapar ve ya zararlı yazılım
bulunduran sahte bir mail hazırlar.
2. Saldırgan çeşitli bilgi toplama araçları kullanarak
hedef kurumdaki personel mail adreslerine ulaşır
ve mail listesindeki personellere phishing maili
yollar.
47. www.sparta.com.tr 47
3. Kurbanların sahte sayfa girerek kişisel girmelerini
ya da kötücül yazılım bulunduran e-posta ekini
açarak sistemlerine bulaştırmalarını bekler.
Örnek Senaryolar:
1. Aşağıda ki örnekte Turkcell Fatura Ödeme
adresinden geliyormuş gibi gözüken ve “Ekim
faturanız indirmek için hazır” başlıklı mail son
zamanlarda sıkça rastladığımız phishing maildir.
Bu mailin yönlendirdiği adresi incelediğimizde
www.remont-kotlow-04.ru adresine
yönlendirdiğini görüyoruz. Bu gibi gelen maillerde
muhakkak yönlendirdiği maile dikkatli bir şekilde
bakmalıyız. Çünkü saldırganlar yukarıda ki gibi
alakasız bir adres kullandıkları gibi turkcel.com,
turkcelll.com veya turkcell.corn gibi göz
48. www.sparta.com.tr 48
yanılmasına yol açabilecek sahte adreslere de
yönlendirebilirler. Bu tarz mailler alındığında
mutlaka gelen e-postayı bilgi işlem departmanı
yetkililerine bildirilmelidir.
2. Aşağıda ki örnekte verilen phishing saldırı ise
yukarıda verdiğimiz 3 adımda phishing saldırısı
örneğine benzerlik gösteriyor. Saldırgan ilgili
bankanın online internet bankacılığı giriş ekranını
klonlayarak, kurbanın bu sistem üzerinden giriş
yapmasını beklemektedir. Bu gibi saldırılarda
dikkat edilmesi gereken en önemli hususlardan
biri adres çubuğunda www.zandege.com gibi
alakasız bir adresin ve ya bizimde yaptığımız
örnekteki gibi bir ip adresi barındırmasıdır.
49. www.sparta.com.tr 49
3. Bu örneğimizde kurbanı sahte bir web siteye
yönlendirerek hesap bilgilerini teyit etmesi başlığı
altında, kişisel bilgilerini çalmaktır. Ancak e-
postayı yollayan maile baktığımızda
kskaarv1@binghamton.edu gibi alakasız bir mail
adresiyle karşılaşıyoruz. Şunu unutmamak
gerekir ki hiçbir firma e-posta yoluyla kişisel
bilgilerimizin teyit edilmesini istemez.
50. www.sparta.com.tr 50
Farkındalık Eğitimleri
Kitapçığın başında söylediğimiz gibi sosyal mühendislik
saldırılarına karşı kuruluş çalışanlarının önüne
kurabileceğimiz bir “güvenlik duvarı” yoktur. Bu
saldırılara karşı en etkili yöntem farkındalık eğitimleridir.
Farkındalık eğitimlerinin 2 temel amacı aşağıdaki gibi
özetlenebilir;
1. Kuruluş personelinin sosyal mühendislik
saldırıları konusunda bilgi ve bilinç düzeyinin
artması ve bu sayede bu tür saldırıların etkilerinin
azaltılması.
51. www.sparta.com.tr 51
2. Kuruluş personelinin bilgi güvenliği çalışmalarına
ve bu yolla kuruluş genelindeki bilgi güvenliği
düzeyinin artmasına katkıda bulunması.
Eğitim çeşitleri
Bilgi güvenliği farkındalığı eğitimlerinin etkili olabilmesi
için birden fazla seferde ve farklı yollarla verilmesi
gerekir. Aşağıda bazı eğitim yöntemlerini ele aldık.
Oryantasyon: Kuruluş bünyesine yeni katılan personele
verilen oryantasyon eğitiminin içerisinde bilgi güvenliği
konusunun ele alınması gerekir. Kuruluşun bilgi güvenliği
konusuna verdiği önemin ilk günden anlaşılması
personelin de bu konuya vereceği önemi etkileyecektir.
Bu tür oryantasyon eğitimleri sırasında kuruluş ve
yapılacak işlerle ilgili çok miktarda bilginin kısa sürede
aktarıldığını göz önünde bulundurarak bilgi güvenliği
konusundaki konuları sınırlamakta fayda var. Farkındalık
eğitimi sürecinin daha sonra destekleneceğini düşünerek
ilk günlerde “bilgi güvenliği kuruluşumuz için önemlidir”
mesajını vermek yeterli olabilir.
Sınıf eğitimleri: Oryantasyonda detaylı olarak ele
alınmayan konuların işlenmesi ve dönemsel tazeleme
eğitimlerinin sınıf içerisinde (yüz yüze) yapılması
önemlidir. Personelin eğitmen ile iletişim kurması, aklına
takılanları sorabilmesi veya sorulan sorulara verilen
cevapları duyması eğitimlerin etkisini artıran unsurlardır.
E-posta hatırlatmaları: Gerçekler acıdır. Gönderdiğiniz
hatırlatma/tazeleme e-postalarını okumayacaklar. Bunun
yanında, bu tür e-postaları gönderdiğinizi fark eden bir
52. www.sparta.com.tr 52
saldırgan bunları sosyal mühendislik saldırılarında
şablon olarak kullanabilir. Etkisiz olduğundan
önereceğimiz ilk yöntem olmayacaktır.
Kuruluş portali üzerinden duyurular: E-postalarda
karşılaştığımız durum bu yöntem için de geçerlidir.
Ayrıca kullanıcıların portala bağlanmasını gerektirdiği
için işi gereği düzenli olarak portal kullanmayan
personele ulaşmak mümkün olmayacaktır.
Online eğitimler: Çalıştığım kurumlarda “mecburi” tutulan
bütün online eğitimlerde aynı manzarayla karşılaştım;
personel eğitimi açıyor ve ilerlemek için gerekli
müdahaleleri yapıyor. Kayıtlara göre eğitim süreci devam
ediyor ama aslında eğitimi aldığını düşündüğümüz kişi o
sırada başka işlerle meşgul oluyor. Yapılan online
sınavın genellikle eğitimin hemen ardından gelmesi
bilginin içselleştirilmeden tekrar edilmesine, dolayısıyla
çabuk unutulmasına neden olmaktadır.
Giriş ekranı uyarıları: Kullanıcıların dikkatini tutabilmek
için belirli aralıklarla değiştirmek önemlidir. Bilgisayar
kullanan personelin günde en az 1 kez göreceklerini
düşünerek etkisi tartışılır olsa da sınıf eğitimlerine destek
olmak amacıyla kullanılabilecek bir yöntemdir.
Posterler: Test veya danışmanlık yapmak için gittiğim
kuruluşların çoğunda bilgi güvenliği konulu afişler vardır.
Bunlar “oltaya takılmış giriş ekranı” ve “parola diş fırçası
gibidir, paylaşılmaz” gibi yıllardır her yerde görmeye
alıştığımız görseller ve mesajlardan oluştuğu için fazla
etkili olmadıklarını düşünüyorum. Farklı görseller, yeni
53. www.sparta.com.tr 53
yazılar ve farklı yaklaşımlarla bu yöntemin eğitimleri
destekleyeceğinden şüphem yok.
Eğitimlerin planlanması
Eğitim planlaması sırasında dikkate alınması gereken
önemli bir nokta farklı personel gruplarına farklı düzeyde
ve sıklıkta eğitim verilmesi gerektiğidir. Önceki
bölümlerde ele aldığımız gibi bazı çalışanlarımız sosyal
mühendislik saldırılarına diğerlerine göre daha açıktır.
Bu gruptaki çalışanlara daha sık ve daha detaylı
eğitimler verilmesi koşuluyla aşağıdaki genel eğitim planı
üzerine bir yapı kurulabilir.
İlk aşama: Tehdidin farkına varılması.
Teknik detaylara ve konulara boğulmadan sosyal
mühendislik saldırıların gerçekten kuruluşu ve personeli
hedef aldığının mesajının verilmesi gerekiyor. Eğitim
sırasında yapılacak bir hatanın sadece kuruluş bilgilerini
değil, personelin kişisel bilgilerini de tehlikeye atacağının
vurgulanması önemlidir. Benden önce “bilgi güvenliği
üçgeni gizlilik, bütünlük ve erişilebilirlikten oluşur...” il
başlayan eğitimler alan kuruluş personelinin iş yerinde
kullandıkları bilgisayar üzerinden kredi kartı bilgilerini
çaldırabileceklerini anlayınca çok daha farklı bir tavır
sergilediğine defalarca şahit oldum. Bilgi güvenliğinin
kuruluş kadar personeli de korumayı amaçladığını
vurgulamak önemlidir. Bilgi güvenliği kültürünün
oluşmasına olumlu katkı sağlayacağı için üst düzey
yöneticilerin de eğitimlere personelin kalanıyla katılması
önemlidir. Yöneticilere özel oturumlar da yapılabilir
54. www.sparta.com.tr 54
ancak bu yöntem kuruluş genelindeki algının
değişmesine daha hızlı sebep olacaktır.
İkinci aşama: Güvenlik kültürünün oluşması.
Kuruluş genelinde kabul görmüş bir güvenlik kültürünün
oluşturulması şarttır. Bu sayede personel ne yapması
(belirlenen güvenlik kurallarına uymak) ve ne
yapmaması (saldırganın ricalarını yerine getirmek)
gerektiğini içselleştirebilecek ve uygulayabilecektir.
Sema Yüce’nin bir sunumunda “ben insanlar kartla
açılan bir kapıyı kibarlık olsun diye arkalarından gelen
kişi için açık tutmadıkları gün mutlu olacağım” demişti.
Güvenlik kültürünün oturması bu davranışların
normalleşmesini, yaygınlaşmasını ve kalıcı olmasını
sağlayabilecek tek etkendir. Güvenlik kültürünün
oluşmasında önemli kilometre taşlarından birisi de
personelin, söz konusu güvenlik olduğunda, karşıdan
gelen talebi (kimden geliyor olursa olsun) sorgulama
hakkının olduğunu anlaması ve bu hakkı sonuna kadar
kullanmasıdır.
Üçüncü aşama: Uyarı işaretlerinin yerleştirilmesi.
Hepimize olmuştur; başımıza öyle bir olay gelir ki “acaba
bu bir kamera şakası mı?” diye durup düşünürüz. Benzer
şekilde kuruluş çalışanlarının durup “acaba bu bir sosyal
mühendislik çalışması mı?” sorusunu sormalarını
sağlayacak ipuçlarını bilmeleri gerekiyor. Sosyal
mühendislik saldırılarının tipik özellikleri hatırlamak adına
tekrarlamakta fayda görüyorum;
55. www.sparta.com.tr 55
• Acil: Talebin “acil” olması ve personelin kendini
hızlı hareket etme konusunda baskı altında
hissetmesi.
• Yetki: İşin normal sürecinin işlemesini
engellemek veya “işi hızlandırmak” için yetkili bir
ismin kullanılması (Genel Müdür istiyor, vb.)
• Garip talepler: Sıradışı veya seyrek gelen bir
taleple karşı karşıya olmak
• Yersiz iltifat/iyilik: Ortada bir neden yokken iltifat
edilmesi veya iyilik yapılması
Dördüncü aşama: test.
Verilen eğitimlerin etkisinin ölçülmesi ve çalışanların her
an tetikte olmasını sağlamak için sosyal mühendislik
testlerinin yapılması ve test sonuçlarına göre eğitim
sürecinin iyileştirilmesi şarttır.