Sosyal Mühendislik
Temel amacı; sistemlere izinsiz girmek yada dolandırma yolu ile bağlantı kurmak, iizinsiz ağa (network) girmek, endistüriyel casusluk, kimlik sahtekarlığı, sistem yada ağın (network) bozulmasına yol açmaktır. Sosyal mühendislik iki ana kategoride tarif edilebilir; hem insan kaynaklı, hem de bilgisayar kaynaklı saldırı metodudur (Wendy thurs:2001). Sosyal mühendislik kişileri kandırarak değerli bilgi ve parolalarını ellerinden almayı maçlamaktadır. Bu amaçla örneğin e- posta (e-mail) atarak şifre elde etmeye çalışırlar, ***8220;shoulder surfing***8221; sörf metodu ile basitçe şisel bilgileri toplanan kişiye uygun parola tahminleri yapılır. Bu noktada sosyal mühendislerin çalışma etodolojisini anlayabilmek için bir örnek çalışmaya bakmak gerekir:
Klasik bir saldırı metodolojisi: görev - bilgi erişimi: Eldeki bilgilerle bir şey yapın diye söylense, elbette temel olarak dijital yada yazılı materyalin kopya tarihi değerli olacaktır. Rakipler açısından şirket adına ne kadar çok bilgi toplanabilirse o kadar çok şirketin durumuna yönelik şirket hedefleri, planları, hareketleri, stratejileri hakkında değerlendirme yapılabilir. Rakip ile ilgili alınabilecek birkaç bilgi aşağıda belirtilmiştir. Pazar ve yeni ürün planları Kaynak kodları Şirket stratejileri Üretim, teknolojik çalışmalar Olağan ticaret metotları Ürün tasarımı, araştırma ve maliyetler Anlaşmalar ve akit tedbirleri; teslim, fiyatlandırma, bilimsel terimler. Şirket internet sitesi Müşteri ve destekleyici bilgileri Birleşme ve elde etme planları Mali bütçeler, gelirler, vergiler. Pazar, reklam giderleri. Kaynakların fiyatları, stratejiler, listeler. Sorumlular, operasyonlar, organizasyon şeması, isim/aylık cetvelleri. Ayrıca tescilli bir şirket çalışması için sıcak hedefe yönelik, personel kayıtları olabilir. Aşağıdaki bilgilerden herhangi biri de değerli olabilir. Ev adresleri Ev telefon numarası Karı koca ve çocuk adları Sosyal Güvenlik numarası Hasta kayıtları Kredi kartı kayıtları Performans değerlendirmeleri Tüm bu veriler toplanarak elde bulunan veya internetten kolaylıkla bulunabilecek yardımcı program veya metotlar ile hedefe kolaylıkla varılabilecektir.
a. Sosyal Mühendislere Karşı Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli olarak değişik taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal olmayan şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network) korumak için daha fazla zaman ve para harcarlar. Daha çok, yapılan harcamalar teknolojik güvenlik önlemleridir; sistem yükseltmeleri,güvenlik sistem paketleri, en son teknoloji kripto sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir.Bu tip saldırılara karşı kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartdını sağlama açısından takip etme çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına farklı yollardan giderler.
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın. Bunun anlamı güvenlik zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel özellikleri de artırmak mümkündür, böylelikle daha başka yeni metotlarda geliştirilebilecektir.
No Response to "Bilişim Suçu - Sosyal Mühendislik"
Yorum Gönder