Sosyal mühendislikte kişi ile iletişime geçerek tamamen farklı bir yaklaşımla istenilen konuda bilgi edinmek mümkün. Bunu, kişinin önüne bir şeyi bütün halinde koymaktansa, ufak parçalara bölerek dikkat çekmeden sunmak ve sonraki tepkileri değerlendirmek olarakta kabul edebiliriz. Bu bazen masum bir sohbet olabileceği gibi, kimi zaman çalışma masası üzerindeki bir kaç kağıt parçası üzerine karalanmış notlar, duvar panosundaki post-it'ler, çöp sepetindeki bir kaç kağıt parçası olabilir. Kişi hakkında öğrendiğiniz ve gereksiz olduğuna inandığınız şeyler olsa bile bu bilgi kırıntıları içerisinde bulunulan çalışmanın umulmadık bir yerinde karşınıza aradığınız bir kullanıcı adi, şifre ya da önemli başka bir bilgi olarak çıkabilir.
Özellikle büyük ölçekli kurumlarda genelde belli bir yetkilendirme mekanizması olmadığından dolayı, sadece orada yetkili birisinin ismini vererek dahi herhangi bir bilgisayarın başına oturmak ve istenilen bilgilere ulaşmak mümkün. Örneğin geçtiğimiz aylarda büyükçe bir telekom firmasına ziyaretim olmuştu. Fiziksel anlamda gayet güvenli gibi gözüken bir plazada bulunan bu kuruluşta elektronik kartlı ofis katları, kartlara göre yetki derecelendirmeleri, hareket sensörleri bulunuyordu. Ziyaretim sırasında internetten ufak bir şey çekme ihtiyacı doğdu ve bir alt katta bunu yapabileceğim belirtildi. Alt kata indiğimde ise herhangi birine dışarıdan kolaylıkla öğrenilebilecek bir yetkili ismi vermemle birlikte kendimi bir bilgisayarın karşısında buldüm. Evet artık dosyami çekebilirdim, ya da her ne yapacaksam. Hemde kimsenin umurunda değildi. Söyle bir göz attığımda ise başına oturduğum bilgisayarın sıradan bir kişisel pç olmadığını, çeşitli servisler çalışan bir sunucu olduğunu farkettim. Benim tamamen yabancı biri olarak bir sunucuda çalışmama izin veren kişinin teknik bir personel olması ise ayrı bir konu.
Şıklıkla karşılaştığım diğer bir örnek işe; Basın yayın organlarında bazı kuruluşların bilgi işlem yöneticileri bir yandan yaptıkları projeleri, başarılarını anlatırken diğer yandan sistemleri hakkında haddinden fazla bilgiyi ortaya döküyorlar. Sosyal mühendislik sürecinde çok fazla efor sarfetmeden, sadece dikkatli gözlerin farkedebileceği bu nimetler ciddi saldırı senaryolarında çok ise yarayabilecek argümanları oluşturuyor.
Bunlardan dikkatimi çeken, fazlaca ayrıntılı örneklerden bir kaçını aşağıda derledim;
Yayın: IT-Business 2005/06
Güvenlikte alternatif arayanlara...
Koçbank internet bankacılığı Oracle Internet Application Server üzerinde çalışıyor. Programlar PL/SQL ile geliştirilmiş ve kullanıcı için dinamik olarak HTML üretebiliyor. Tarayıcı üzerinde bazı önyüz işleri için javascript kullanılan sistem Sun Solaris 2.9 15K, üzerinde Oracle Database 9.1.2 ile çalışıyor. Fonobank ise Nortel Meridian santralini kullanıyor. Çağrı yönetimi için Genesys firmasının CTI yazılımını kullandıklarını belirten Laroussi IVR uygulamalarının ve müşteri temsilcilerinin kullandığı yazılımların bankanın Sistem Teknoloji Departmanı tarafından geliştirildiğini vurguluyor.
Alternatif olmaktan çıkıyor!
Oyakbank ana bankacılık paketinde geliştirme aracı olarak Power Builder kullanıyor. Bir diğer ana paket için ise Oracle Developer kullanıyorlar. İnternet için Microsoft, Visual C, Java ve CRM çalışmaları için ise Brio kullanılıyor. Bazı küçük çaplı çalışmalar için ise SQL kullanıyorlar. Tüm diğer alt uygulamalar ise ana bankacılık uygulamalarına bağlı.
Tamer Şahin
http://www.securityoffice.net
İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.
Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca Sosyal Mühendislik adı veriliyor.
Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca Sosyal Mühendislik adı veriliyor.
