Güvenlikte En Zayıf Halka: İnsan

0
ts
İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.

Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca “Sosyal Mühendislik” adı veriliyor.
Sosyal mühendislikte kişi ile iletişime geçerek tamamen farklı bir yaklaşımla istenilen konuda bilgi edinmek mümkün. Bunu, kişinin önüne bir şeyi bütün halinde koymaktansa, ufak parçalara bölerek dikkat çekmeden sunmak ve sonraki tepkileri değerlendirmek olarakta kabul edebiliriz. Bu bazen masum bir sohbet olabileceği gibi, kimi zaman çalışma masası üzerindeki bir kaç kağıt parçası üzerine karalanmış notlar, duvar panosundaki post-it'ler, çöp sepetindeki bir kaç kağıt parçası olabilir. Kişi hakkında öğrendiğiniz ve gereksiz olduğuna inandığınız şeyler olsa bile bu bilgi kırıntıları içerisinde bulunulan çalışmanın umulmadık bir yerinde karşınıza aradığınız bir kullanıcı adi, şifre ya da önemli başka bir bilgi olarak çıkabilir.

Özellikle büyük ölçekli kurumlarda genelde belli bir yetkilendirme mekanizması olmadığından dolayı, sadece orada yetkili birisinin ismini vererek dahi herhangi bir bilgisayarın başına oturmak ve istenilen bilgilere ulaşmak mümkün. Örneğin geçtiğimiz aylarda büyükçe bir telekom firmasına ziyaretim olmuştu. Fiziksel anlamda gayet güvenli gibi gözüken bir plazada bulunan bu kuruluşta elektronik kartlı ofis katları, kartlara göre yetki derecelendirmeleri, hareket sensörleri bulunuyordu. Ziyaretim sırasında internetten ufak bir şey çekme ihtiyacı doğdu ve bir alt katta bunu yapabileceğim belirtildi. Alt kata indiğimde ise herhangi birine dışarıdan kolaylıkla öğrenilebilecek bir yetkili ismi vermemle birlikte kendimi bir bilgisayarın karşısında buldüm. Evet artık dosyami çekebilirdim, ya da her ne yapacaksam. Hemde kimsenin umurunda değildi. Söyle bir göz attığımda ise başına oturduğum bilgisayarın sıradan bir kişisel pç olmadığını, çeşitli servisler çalışan bir sunucu olduğunu farkettim. Benim tamamen yabancı biri olarak bir sunucuda çalışmama izin veren kişinin teknik bir personel olması ise ayrı bir konu.

Şıklıkla karşılaştığım diğer bir örnek işe; Basın yayın organlarında bazı kuruluşların bilgi işlem yöneticileri bir yandan yaptıkları projeleri, başarılarını anlatırken diğer yandan sistemleri hakkında haddinden fazla bilgiyi ortaya döküyorlar. Sosyal mühendislik sürecinde çok fazla efor sarfetmeden, sadece dikkatli gözlerin farkedebileceği bu nimetler ciddi saldırı senaryolarında çok ise yarayabilecek argümanları oluşturuyor.

Bunlardan dikkatimi çeken, fazlaca ayrıntılı örneklerden bir kaçını aşağıda derledim;

Yayın: IT-Business 2005/06

“Güvenlikte alternatif arayanlara...”

“Koçbank internet bankacılığı “Oracle Internet Application Server” üzerinde çalışıyor. Programlar PL/SQL ile geliştirilmiş ve kullanıcı için dinamik olarak HTML üretebiliyor. Tarayıcı üzerinde bazı önyüz işleri için javascript kullanılan sistem Sun Solaris 2.9 15K, üzerinde Oracle Database 9.1.2 ile çalışıyor. Fonobank ise Nortel Meridian santralini kullanıyor. Çağrı yönetimi için Genesys firmasının CTI yazılımını kullandıklarını belirten Laroussi IVR uygulamalarının ve müşteri temsilcilerinin kullandığı yazılımların bankanın Sistem Teknoloji Departmanı tarafından geliştirildiğini vurguluyor.

“Alternatif olmaktan çıkıyor!”

“Oyakbank ana bankacılık paketinde geliştirme aracı olarak Power Builder kullanıyor. Bir diğer ana paket için ise Oracle Developer kullanıyorlar. İnternet için Microsoft, Visual C, Java ve CRM çalışmaları için ise Brio kullanılıyor. Bazı küçük çaplı çalışmalar için ise SQL kullanıyorlar. Tüm diğer alt uygulamalar ise ana bankacılık uygulamalarına bağlı.”

Tamer Şahin

http://www.securityoffice.net

Görüşler

0
sundance
Ben bundan üç yıl kadar önce, televizyonda en çok reklamı yapılan bankalardan bir tanesinin, bilgi işlem yöneticisinin, bir güvenlik firmasının etkinliğinde, bilişim güvenliği ile ilgili 300 kişinin önünde topolojilerini anlattığına, nerde ne firewall nerde ne ids, nerde ne honeypot kullandığını version numaralarına kadar belirttiğine şahit oldum. Yurt dışında böyle bir sunumun ardından sözkonusu kişiyi en azından işten çıkartmaları gerekirdi, duyduğum kadarıyla kendisi hala aynı bankada çalışmakta. Daha ne yaptıklarını bilmiyorlar ki nasıl yapmaları gerektiğini bilsinler.
0
sempsteen
bu sebeptendir ki saldırıların %90'ını social hacking oluşturuyor...
0
zekeriya_akyildiz
güvenlik zincirinin en zayıf halkası. Routerların hacklenmesi firewalların aşılmasından bile daha kötü olabilir. ayrıca bkz. http://sozluk.sourtimes.org/show.asp?t=zincirin+zayif+halkasi+prensibi
0
robertosmix
http://sozluk.sourtimes.org/show.asp?t=tamer+sahin
0
lazarus
Ne alaka ? Ne demekki şimdi bu ? TS nin yazılarını okumayın çalışmalarıyla ilgilenmeyin Çünkü o kutsal sözlükle geçmişte papaz oldu Onlarla dalga geçti TS nin yaptıkları fayda içermez mi demektir ? Anlamıyorum . Buyrun http://www.securityoffice.net/articles/ burayı inceleyin geri kalanınada bakın . Ben oldukça başarılı buluyorum . Cevap olarak kendi yaptıklarınızı gösterinde sizlede gurur duyayım varlığınızdan dolayı mutlu olup sevineyim .
0
ttk
Merhaba Yazı oldukça mantıklı yazılmış, altındaki ismi görünce şaşırmadım desem yalan olur :) Arkadaşı Pcworld'un tartışma sunucusunda yapmaya başladığı acaipliklerle tanımaya başlamış birisi olarak mantıklı davranabileceğine doğrusu inanamıyordum. Bahsi geçen sözlükte arama yaparken tarihi ilerleyiş ve hatıralarla yaptıklarına bakınca zamanında çocukça işler yaptığına kanaat getirmiştim (hakkındaki ilgili maddeyi, mâlum sözlükte "lamer" kelimesine bakarken yakın zamanda görmüştüm de hâtıralarım tazelenmişti :) Bu arada, Ekşi sözlükten link verme işinin ise suyunun çıktığını düşünmeye başladım artık.
0
butch
O halde FM'den faydalı bir link verelim.
0
lazarus
valla fm deki faydalı link e de baktım şimdi gerçi o zamanda bakmıştım . Gene alaka bulamadım yok security focus a bakıp bakıp yapıyormuş Efendim hiç kod mod bilmiyormuş falanmış filanmış . Kendi gözlemlediğim bu safsatalar yüzünden Tamer i hiç tanımayan adamlarda bunlara inanıyor . www.securityoffice.net isimli siteye baktığımda çalışkan bir güvenlik uzmanı görüyorum güvenlik açığıda buluyor programda yazıyor bir sürü medyaya çıkmış döküman üretmiş bomba patlatmış bir adam . Teknik olarak yüksek olduğunu zaten ben biliyorum Ama millette öyle bir propoganda yapıyorsunuzki sanki Tamer hiç bir şey bilmiyor alakasız sahtekar bir insan . Geçiniz bunları mirim . Gereksiz yaklaşım verimli bir yaklaşım değil . Bu şekilde uzaya falanda gidemeyiz . Bu arkadaşımızın üzerinde estirilen kara propogandaya son veriniz .
0
FZ
Bir yazıyı, yazıdaki fikirleri bir yana bırakıp doğrudan bir adamı ve o adamla ilgili bir sitede yıllar önce yazılmış şeyleri tartışmaya başladık gördüğüm kadarı ile. Yine Türklüğümüz mü tuttu ne :)
0
sundance
Yazının tarihine baktınız mı? Beş yıl öncesi.

O tarihte, sözkonusu kişi, aynen de bahsettiğim gibi "Yahu kim shadow kullanıyor ki, /etc/passwd altında duruyor işte passwordler world readable" diyecek derecede Unix'den anlamayan birisiydi. Yaptığı yapacağı bütün hack de, başkasının domainini kendi üstüne almaktı.

Ha yazıyı doğru düzgün okumuş olsanız, asıl problemin sözkonusu şahsın cehaleti değil, bu kadarcık bir bilginin bile Türkiye'nin en önde gelen ISP'sini maymun etmeye yettiğiydi.

Ama direkt olarak "taraftar" psikolojisi hakim ya memlekete, bir adamı yerip, yine de hakkında iyi bir şeyler söylenebileceğini algılamak çok mümkün olmuyor.

Gidin bir de şu haberdeki yorumlarıma bakın isterseniz.

Uzaya gideriz gitmesine de, taraftarlık yaparak ya da alenen gördüğümüz yanlışları söylemekten kaçınarak değil.
0
lazarus
Benim yaptığım taraftarlık tabi . Baktım gene başlacayacak TS hiç bir şey bilmez teranesi Bende hemen karşı tribüne geçtim . Bu tartışmada da tepki göstermiştim . Şimdide gösteriyorum . Neticede birilerde TS yi tutsun. Adamın arkasından öyle dandik bir kara propoganda yapılıyorki bilen bilmeyen herkes atıp tutuyor . O zamanki yazınızın anafikrine diyecek bir şey yok . Bir sistemin güvenlik zafiyetlerinden yararlanmak dehşet unix bilmeklede olmaz neyin nerede olduğunu bilmeye daha doğrusu öğrenmeyi bilmeye bakar . Vay efendim adam ben hackerim diye ortaya çıkmış Ama unix bilmiyor . Korunacak kurumun kendini iyi unix bilenlerden koruması sosyal mühendislik yanı kuvvetli ve kötü niyet sahibi kişiden korumasından çok daha kolaydır . Yapacağınız iş uygulayacağınız yöntemler bellidir . Bu gün memleketimizde de dünyanın bir çok güzide kurumundada işler root a düşmeye değil içerdeki çirkin yalnız kızı kandırmaya bakar . Benim alanen gördüğüm yanlış TS hakkında kara propoganda yapılması Hem komik hem ayıp bir durum . Şimdi düşündümde bende 5 yıl önce hiç bir şey bilmiyormuşum gerçi hala bilmiyorum ama 5 yıl önce daha çok bilmiyordum .
0
robertosmix
Üzerinde fazla konuşmaya gerek duymuyorum.. Kötü olan, bir lamer'in hep öyle kalması. İnsan kendini biraz geliştirmeli... Öte yandan tartışmaların büyük bir oranı ego tatmininden çok da fazla öteye gitmiyor.
0
yilmaz
Heryere bu siteden link vermek artık moda mı oldu? Ordaki herşey doğru mu?
0
FZ
Hayır (ama kısmen evet). Hayır.
0
anonim
yazıyı şöyle bir okuduktan sonra örnekleri inceledim. İlginç , yanlız ufak bir nokta var sanırım gözden kaçan : bir sistem admininin kendi sistemi hakkında (özellikle bir bankada çalışıyorsa) bu kadar ayrıntılı bilgi vereceğini sanmıyorum bunu yapsa bile verdiği bilgilerin doğru olduğu ve bir yanıltmaca olup olmadığı üzerinde biraz düşünmekte fayda var.

T.ş. konusuna gelince : ne yaptı ne etti umrumda değil ama kraldan çok kralcı olmanın bir anlamı yok diye düşünüyorum. Bırakınız -eğer istiyorsa- kişi kendi kendini savunsun, kendisi hakkındaki eleştirilere kendisi cevap versin. O aslandır, o kaplandır , o bir ilahdır ; bunlar anlamsız ve birbirimizle didişmenin anlamı yok biz kendi işimize bakalım.Ha, domain çalma olayının üzerinden uzun bir süre geçti , büyük ihtimal bu süre içinde kendini geliştirdi , olabilir kendisini kutlayıp hayatta başarılar dileyelim; bir değişme olmadıysada bu haliyle habullenip bir kenera koyalım kendisini fazla elleşmeyelim zira kabak tadı vermeye başladı.
0
sundance
:) İçerideki sistemler hakkında biraz bilgim var ve verdiği bilgiler gerçekti. Dahası bunla övünüyordu da.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

"Hacker"lar sistemlere nasıl girer... ve yakalanır!

anonim

Bir cumartesi günü internette dolaşırken bu hoş ve sürükleyici hikayeye rastladım. Hikaye Abednego (İncil'de bahsedilen, Babilliler tarafından esir edilen ve bir ateş duvarını yürüyerek geçip hayatta kalan bir israilli) ve Dogberry (William Shakespeare`in 'Much Ado About Nothing'deki polis memuru) takma adlarına sahip bir cracker ve sistem yöneticisi arasında geçen siber savaşı anlatıyor. Oldukça eğlenceli ve sürükleyici hikayedeki anlatılan tekniklerin çoğu (hikaye 1998 yılında yazılmış olsada ) halen güncelliğini korumakta. FM camiasının da benim gibi beğeneceğini umarım.

Akustik Şifre Analizi: Mikroişlemcinizin Çıkardığı Sesler ve Potansiyel Saldırı

FZ

Bilgisayarınızın kalbini dinlemeyi denediniz mi? Acaba GnuPG ile bir şeyleri şifrelerken çıkan ``sesler´´ olası bir saldırgana bazı ipuçları verir mi? Mikroişlemciyi dinlemek mi!? O da ne! diyenlerden misiniz?

O halde Adi Shamir ve Eran Tromer´in Acoustic Cryptanalysis başlıklı bu ilginç çalışması ufkunuzu genişletebilir.

Kevin Mitnick'in kartı

sundance

80'lerde başlayan phreaker/cracker hayatı, yıllarca süren tutukluluk süresi ve hakkında yazılmış onca şeyden sonra tam anlamıyla bir modern zamanlar efsanesi olan Kevin Mitnick'in iş için kullandığı kişisel karta bu sabah Digg'de rastladım...

Eğer gerçekse oldukça orjinal değil mi?
Bu arada birçok ülkenin kanunlarına göre bu kartı taşımak bile suç :)

Okulu Bırakıyorum, Okula Gidiyorum!

PCc0d3r

Her zaman demişimdir Türkiye'deki eğitim sistemi bir işe yaramaz diye. Hele bir de şu haberi duyunca Fransa'da oku diye fısıldadı şeytan bana: Fransa'da Zi Hackademy adında (elbette resmi olmayan) bir okul açılmış. 450 Franc karşılığında gittiğiniz okul toplam 9 saat ders veriyor ve verilen eğitimin konusu ise bence cok ilgi çekici: "bir sistem nasıl hack edilir?".
Ben daha fazla dayanamayacağım haberi biraz daha araştıracağım. Siz nerden mi başlayacaksınız işte buradan.

Avustralya, Koreli korsanların tehdidinde!

Soulblighter

Kuzey Kore askeri birliği, 500 kadar bilgisayar korsanı kiraladı. Korsanların görevi Güney Kore, japonya ve Amerika ağlarına sızarak bilgi çalmak.
Güvenlik uzmanları, Avusturalya'nın Amerika ve Avrupa'ya göre daha fazla risk altında olduğunu, bilgisayar korsanları için basit hedef olduğunu söylüyor.
Adını açıklamak istemeyen bir Amerikalı güvenlik uzmanı, Avustralya'nın şirket ağlarına giriş için "arka kapı" olarak kullanılabileceğini ve Kuzey Korenin amacına ulaşmasına neden olabileceği yönünde uyarıyor.
Avustralya'lı firmalar ise Amerika'lı ve Avrupa'lı firmalar ile aynı düşünce yapısına sahip olmasına rağmen güvenlik konusunda daha rahat davranıyorlar. Bu da onları açık tehdit haline getiriyor. Haberin devamı...