Güvenlikte En Zayıf Halka: İnsan

0
ts
İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.

Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca “Sosyal Mühendislik” adı veriliyor.
Sosyal mühendislikte kişi ile iletişime geçerek tamamen farklı bir yaklaşımla istenilen konuda bilgi edinmek mümkün. Bunu, kişinin önüne bir şeyi bütün halinde koymaktansa, ufak parçalara bölerek dikkat çekmeden sunmak ve sonraki tepkileri değerlendirmek olarakta kabul edebiliriz. Bu bazen masum bir sohbet olabileceği gibi, kimi zaman çalışma masası üzerindeki bir kaç kağıt parçası üzerine karalanmış notlar, duvar panosundaki post-it'ler, çöp sepetindeki bir kaç kağıt parçası olabilir. Kişi hakkında öğrendiğiniz ve gereksiz olduğuna inandığınız şeyler olsa bile bu bilgi kırıntıları içerisinde bulunulan çalışmanın umulmadık bir yerinde karşınıza aradığınız bir kullanıcı adi, şifre ya da önemli başka bir bilgi olarak çıkabilir.

Özellikle büyük ölçekli kurumlarda genelde belli bir yetkilendirme mekanizması olmadığından dolayı, sadece orada yetkili birisinin ismini vererek dahi herhangi bir bilgisayarın başına oturmak ve istenilen bilgilere ulaşmak mümkün. Örneğin geçtiğimiz aylarda büyükçe bir telekom firmasına ziyaretim olmuştu. Fiziksel anlamda gayet güvenli gibi gözüken bir plazada bulunan bu kuruluşta elektronik kartlı ofis katları, kartlara göre yetki derecelendirmeleri, hareket sensörleri bulunuyordu. Ziyaretim sırasında internetten ufak bir şey çekme ihtiyacı doğdu ve bir alt katta bunu yapabileceğim belirtildi. Alt kata indiğimde ise herhangi birine dışarıdan kolaylıkla öğrenilebilecek bir yetkili ismi vermemle birlikte kendimi bir bilgisayarın karşısında buldüm. Evet artık dosyami çekebilirdim, ya da her ne yapacaksam. Hemde kimsenin umurunda değildi. Söyle bir göz attığımda ise başına oturduğum bilgisayarın sıradan bir kişisel pç olmadığını, çeşitli servisler çalışan bir sunucu olduğunu farkettim. Benim tamamen yabancı biri olarak bir sunucuda çalışmama izin veren kişinin teknik bir personel olması ise ayrı bir konu.

Şıklıkla karşılaştığım diğer bir örnek işe; Basın yayın organlarında bazı kuruluşların bilgi işlem yöneticileri bir yandan yaptıkları projeleri, başarılarını anlatırken diğer yandan sistemleri hakkında haddinden fazla bilgiyi ortaya döküyorlar. Sosyal mühendislik sürecinde çok fazla efor sarfetmeden, sadece dikkatli gözlerin farkedebileceği bu nimetler ciddi saldırı senaryolarında çok ise yarayabilecek argümanları oluşturuyor.

Bunlardan dikkatimi çeken, fazlaca ayrıntılı örneklerden bir kaçını aşağıda derledim;

Yayın: IT-Business 2005/06

“Güvenlikte alternatif arayanlara...”

“Koçbank internet bankacılığı “Oracle Internet Application Server” üzerinde çalışıyor. Programlar PL/SQL ile geliştirilmiş ve kullanıcı için dinamik olarak HTML üretebiliyor. Tarayıcı üzerinde bazı önyüz işleri için javascript kullanılan sistem Sun Solaris 2.9 15K, üzerinde Oracle Database 9.1.2 ile çalışıyor. Fonobank ise Nortel Meridian santralini kullanıyor. Çağrı yönetimi için Genesys firmasının CTI yazılımını kullandıklarını belirten Laroussi IVR uygulamalarının ve müşteri temsilcilerinin kullandığı yazılımların bankanın Sistem Teknoloji Departmanı tarafından geliştirildiğini vurguluyor.

“Alternatif olmaktan çıkıyor!”

“Oyakbank ana bankacılık paketinde geliştirme aracı olarak Power Builder kullanıyor. Bir diğer ana paket için ise Oracle Developer kullanıyorlar. İnternet için Microsoft, Visual C, Java ve CRM çalışmaları için ise Brio kullanılıyor. Bazı küçük çaplı çalışmalar için ise SQL kullanıyorlar. Tüm diğer alt uygulamalar ise ana bankacılık uygulamalarına bağlı.”

Tamer Şahin

http://www.securityoffice.net

Görüşler

0
sundance
Ben bundan üç yıl kadar önce, televizyonda en çok reklamı yapılan bankalardan bir tanesinin, bilgi işlem yöneticisinin, bir güvenlik firmasının etkinliğinde, bilişim güvenliği ile ilgili 300 kişinin önünde topolojilerini anlattığına, nerde ne firewall nerde ne ids, nerde ne honeypot kullandığını version numaralarına kadar belirttiğine şahit oldum. Yurt dışında böyle bir sunumun ardından sözkonusu kişiyi en azından işten çıkartmaları gerekirdi, duyduğum kadarıyla kendisi hala aynı bankada çalışmakta. Daha ne yaptıklarını bilmiyorlar ki nasıl yapmaları gerektiğini bilsinler.
0
sempsteen
bu sebeptendir ki saldırıların %90'ını social hacking oluşturuyor...
0
zekeriya_akyildiz
güvenlik zincirinin en zayıf halkası. Routerların hacklenmesi firewalların aşılmasından bile daha kötü olabilir. ayrıca bkz. http://sozluk.sourtimes.org/show.asp?t=zincirin+zayif+halkasi+prensibi
0
robertosmix
http://sozluk.sourtimes.org/show.asp?t=tamer+sahin
0
lazarus
Ne alaka ? Ne demekki şimdi bu ? TS nin yazılarını okumayın çalışmalarıyla ilgilenmeyin Çünkü o kutsal sözlükle geçmişte papaz oldu Onlarla dalga geçti TS nin yaptıkları fayda içermez mi demektir ? Anlamıyorum . Buyrun http://www.securityoffice.net/articles/ burayı inceleyin geri kalanınada bakın . Ben oldukça başarılı buluyorum . Cevap olarak kendi yaptıklarınızı gösterinde sizlede gurur duyayım varlığınızdan dolayı mutlu olup sevineyim .
0
ttk
Merhaba Yazı oldukça mantıklı yazılmış, altındaki ismi görünce şaşırmadım desem yalan olur :) Arkadaşı Pcworld'un tartışma sunucusunda yapmaya başladığı acaipliklerle tanımaya başlamış birisi olarak mantıklı davranabileceğine doğrusu inanamıyordum. Bahsi geçen sözlükte arama yaparken tarihi ilerleyiş ve hatıralarla yaptıklarına bakınca zamanında çocukça işler yaptığına kanaat getirmiştim (hakkındaki ilgili maddeyi, mâlum sözlükte "lamer" kelimesine bakarken yakın zamanda görmüştüm de hâtıralarım tazelenmişti :) Bu arada, Ekşi sözlükten link verme işinin ise suyunun çıktığını düşünmeye başladım artık.
0
butch
O halde FM'den faydalı bir link verelim.
0
lazarus
valla fm deki faydalı link e de baktım şimdi gerçi o zamanda bakmıştım . Gene alaka bulamadım yok security focus a bakıp bakıp yapıyormuş Efendim hiç kod mod bilmiyormuş falanmış filanmış . Kendi gözlemlediğim bu safsatalar yüzünden Tamer i hiç tanımayan adamlarda bunlara inanıyor . www.securityoffice.net isimli siteye baktığımda çalışkan bir güvenlik uzmanı görüyorum güvenlik açığıda buluyor programda yazıyor bir sürü medyaya çıkmış döküman üretmiş bomba patlatmış bir adam . Teknik olarak yüksek olduğunu zaten ben biliyorum Ama millette öyle bir propoganda yapıyorsunuzki sanki Tamer hiç bir şey bilmiyor alakasız sahtekar bir insan . Geçiniz bunları mirim . Gereksiz yaklaşım verimli bir yaklaşım değil . Bu şekilde uzaya falanda gidemeyiz . Bu arkadaşımızın üzerinde estirilen kara propogandaya son veriniz .
0
FZ
Bir yazıyı, yazıdaki fikirleri bir yana bırakıp doğrudan bir adamı ve o adamla ilgili bir sitede yıllar önce yazılmış şeyleri tartışmaya başladık gördüğüm kadarı ile. Yine Türklüğümüz mü tuttu ne :)
0
sundance
Yazının tarihine baktınız mı? Beş yıl öncesi.

O tarihte, sözkonusu kişi, aynen de bahsettiğim gibi "Yahu kim shadow kullanıyor ki, /etc/passwd altında duruyor işte passwordler world readable" diyecek derecede Unix'den anlamayan birisiydi. Yaptığı yapacağı bütün hack de, başkasının domainini kendi üstüne almaktı.

Ha yazıyı doğru düzgün okumuş olsanız, asıl problemin sözkonusu şahsın cehaleti değil, bu kadarcık bir bilginin bile Türkiye'nin en önde gelen ISP'sini maymun etmeye yettiğiydi.

Ama direkt olarak "taraftar" psikolojisi hakim ya memlekete, bir adamı yerip, yine de hakkında iyi bir şeyler söylenebileceğini algılamak çok mümkün olmuyor.

Gidin bir de şu haberdeki yorumlarıma bakın isterseniz.

Uzaya gideriz gitmesine de, taraftarlık yaparak ya da alenen gördüğümüz yanlışları söylemekten kaçınarak değil.
0
lazarus
Benim yaptığım taraftarlık tabi . Baktım gene başlacayacak TS hiç bir şey bilmez teranesi Bende hemen karşı tribüne geçtim . Bu tartışmada da tepki göstermiştim . Şimdide gösteriyorum . Neticede birilerde TS yi tutsun. Adamın arkasından öyle dandik bir kara propoganda yapılıyorki bilen bilmeyen herkes atıp tutuyor . O zamanki yazınızın anafikrine diyecek bir şey yok . Bir sistemin güvenlik zafiyetlerinden yararlanmak dehşet unix bilmeklede olmaz neyin nerede olduğunu bilmeye daha doğrusu öğrenmeyi bilmeye bakar . Vay efendim adam ben hackerim diye ortaya çıkmış Ama unix bilmiyor . Korunacak kurumun kendini iyi unix bilenlerden koruması sosyal mühendislik yanı kuvvetli ve kötü niyet sahibi kişiden korumasından çok daha kolaydır . Yapacağınız iş uygulayacağınız yöntemler bellidir . Bu gün memleketimizde de dünyanın bir çok güzide kurumundada işler root a düşmeye değil içerdeki çirkin yalnız kızı kandırmaya bakar . Benim alanen gördüğüm yanlış TS hakkında kara propoganda yapılması Hem komik hem ayıp bir durum . Şimdi düşündümde bende 5 yıl önce hiç bir şey bilmiyormuşum gerçi hala bilmiyorum ama 5 yıl önce daha çok bilmiyordum .
0
robertosmix
Üzerinde fazla konuşmaya gerek duymuyorum.. Kötü olan, bir lamer'in hep öyle kalması. İnsan kendini biraz geliştirmeli... Öte yandan tartışmaların büyük bir oranı ego tatmininden çok da fazla öteye gitmiyor.
0
yilmaz
Heryere bu siteden link vermek artık moda mı oldu? Ordaki herşey doğru mu?
0
FZ
Hayır (ama kısmen evet). Hayır.
0
anonim
yazıyı şöyle bir okuduktan sonra örnekleri inceledim. İlginç , yanlız ufak bir nokta var sanırım gözden kaçan : bir sistem admininin kendi sistemi hakkında (özellikle bir bankada çalışıyorsa) bu kadar ayrıntılı bilgi vereceğini sanmıyorum bunu yapsa bile verdiği bilgilerin doğru olduğu ve bir yanıltmaca olup olmadığı üzerinde biraz düşünmekte fayda var.

T.ş. konusuna gelince : ne yaptı ne etti umrumda değil ama kraldan çok kralcı olmanın bir anlamı yok diye düşünüyorum. Bırakınız -eğer istiyorsa- kişi kendi kendini savunsun, kendisi hakkındaki eleştirilere kendisi cevap versin. O aslandır, o kaplandır , o bir ilahdır ; bunlar anlamsız ve birbirimizle didişmenin anlamı yok biz kendi işimize bakalım.Ha, domain çalma olayının üzerinden uzun bir süre geçti , büyük ihtimal bu süre içinde kendini geliştirdi , olabilir kendisini kutlayıp hayatta başarılar dileyelim; bir değişme olmadıysada bu haliyle habullenip bir kenera koyalım kendisini fazla elleşmeyelim zira kabak tadı vermeye başladı.
0
sundance
:) İçerideki sistemler hakkında biraz bilgim var ve verdiği bilgiler gerçekti. Dahası bunla övünüyordu da.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Spam ve Hacking Elele

sundance

Spam hepimizin malumu, "Internet ne de güzel bir yer, bulalım birilerinin e-posta adreslerini de reklamla bombalayalım" eylemine verilen isim. Yurt dışında ciddi parasal cezaları olan spam, Türkiye içinde de en ünlü ISP`mizin başını bayağı bir ağrıtmıştı zamanında.

Genelde fazla bilgisayar bilgisi olmayan Spamciler bu sefer oldukça teknik bir yöntem geliştirmişler. Spam atabilmek için birkaç ISP`i hack edip onun üstünden mail göndermişler...

Virüs Uyarısı - Nyxem

Skeleton

Word, Powerpoint, Excel ve Acrobat gibi dosyaları silmeye programlanmış olan virüs 3 Şubat tarihinde etkin olacak. Son zamanlarda ortaya çıkan diğer virüsler gibi Nyxem de e-posta yoluyla yayılıyor ve kullanıcılara bulaşabiliyor. Çoğu antivirüs yazılımı üreticisi ilgili virüs tanımlarını yayınlamış olmalarına rağmen, F-Secure firmasına göre daha binlerce PC virüsten temizlenmiş değil. Antivirüs yazılımlarınızın güncelliğini kontrol etmeniz için bir gününüz var (tabi tarihiniz doğru ayarlı ise :))

Cep Telefonları ve Şifreleme Algoritmaları

FZ

GSM sistemi ile çalışan cep telefonlarının veri iletişim güvenliği ile ilgili olarak son günlerde pek çok gazete haberi ile karşılaşmış ve belki de bir kısmını okumuşsunuzdur. Benim burada dikkati çekmek istediğim ise öyle komplo teorileri ya da işte hangi GSM iletişim şirketi kimin telefonunu ne kadar dinlemiş falan değil.

Daha teknik bir konu ile ilgili birkaç belge adresi vermek istiyorum. Cep telefonlarında iki taraflı iletişim şifrelemesi için hemen hemen tüm dünyada yaygın olarak A5 (A5/1 ve A5/2) algoritmaları kullanılıyor. Peki bu algoritmalar ne kadar güvenli ?

Web Güvenliği E-Dergi

anonim

İlk sayısı Ağustos 2009`da yayımlanan Web Güvenlik Topluluğu (WGT) E-Dergi projesi ile web güvenliği bilincinin arttırılması amaçlanmaktadır.

Periyodik yayınlanacak dergide, uzmanlar tarafından birbirinden farklı konular kaleme alınırken, web/yazılım güvenliğinde güncel konuların ve teknolojilerin takibinin sağlanması da hedefleniyor.

DefCon Videoları Google'da

FZ

Hacking Social Lives: MySpace.com, Tactical Exploitation, Convert Debugging, The Executable Image Exploit, Internet Wars 2007, Virtual World, Real Hacking, Webserver Botnets, How to be a WiFi Ninja ve Real-time Steganography with RTP gibi başlıklarla hazırlanmış DefCon videolarını Google Video üzerinden izleyebilirsiniz.

Not: Haber verdiği için LispNYC'den Marc Spitzer'a teşekkürler.