Güvenlikte En Zayıf Halka: İnsan

0
ts
İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.

Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca “Sosyal Mühendislik” adı veriliyor.
Sosyal mühendislikte kişi ile iletişime geçerek tamamen farklı bir yaklaşımla istenilen konuda bilgi edinmek mümkün. Bunu, kişinin önüne bir şeyi bütün halinde koymaktansa, ufak parçalara bölerek dikkat çekmeden sunmak ve sonraki tepkileri değerlendirmek olarakta kabul edebiliriz. Bu bazen masum bir sohbet olabileceği gibi, kimi zaman çalışma masası üzerindeki bir kaç kağıt parçası üzerine karalanmış notlar, duvar panosundaki post-it'ler, çöp sepetindeki bir kaç kağıt parçası olabilir. Kişi hakkında öğrendiğiniz ve gereksiz olduğuna inandığınız şeyler olsa bile bu bilgi kırıntıları içerisinde bulunulan çalışmanın umulmadık bir yerinde karşınıza aradığınız bir kullanıcı adi, şifre ya da önemli başka bir bilgi olarak çıkabilir.

Özellikle büyük ölçekli kurumlarda genelde belli bir yetkilendirme mekanizması olmadığından dolayı, sadece orada yetkili birisinin ismini vererek dahi herhangi bir bilgisayarın başına oturmak ve istenilen bilgilere ulaşmak mümkün. Örneğin geçtiğimiz aylarda büyükçe bir telekom firmasına ziyaretim olmuştu. Fiziksel anlamda gayet güvenli gibi gözüken bir plazada bulunan bu kuruluşta elektronik kartlı ofis katları, kartlara göre yetki derecelendirmeleri, hareket sensörleri bulunuyordu. Ziyaretim sırasında internetten ufak bir şey çekme ihtiyacı doğdu ve bir alt katta bunu yapabileceğim belirtildi. Alt kata indiğimde ise herhangi birine dışarıdan kolaylıkla öğrenilebilecek bir yetkili ismi vermemle birlikte kendimi bir bilgisayarın karşısında buldüm. Evet artık dosyami çekebilirdim, ya da her ne yapacaksam. Hemde kimsenin umurunda değildi. Söyle bir göz attığımda ise başına oturduğum bilgisayarın sıradan bir kişisel pç olmadığını, çeşitli servisler çalışan bir sunucu olduğunu farkettim. Benim tamamen yabancı biri olarak bir sunucuda çalışmama izin veren kişinin teknik bir personel olması ise ayrı bir konu.

Şıklıkla karşılaştığım diğer bir örnek işe; Basın yayın organlarında bazı kuruluşların bilgi işlem yöneticileri bir yandan yaptıkları projeleri, başarılarını anlatırken diğer yandan sistemleri hakkında haddinden fazla bilgiyi ortaya döküyorlar. Sosyal mühendislik sürecinde çok fazla efor sarfetmeden, sadece dikkatli gözlerin farkedebileceği bu nimetler ciddi saldırı senaryolarında çok ise yarayabilecek argümanları oluşturuyor.

Bunlardan dikkatimi çeken, fazlaca ayrıntılı örneklerden bir kaçını aşağıda derledim;

Yayın: IT-Business 2005/06

“Güvenlikte alternatif arayanlara...”

“Koçbank internet bankacılığı “Oracle Internet Application Server” üzerinde çalışıyor. Programlar PL/SQL ile geliştirilmiş ve kullanıcı için dinamik olarak HTML üretebiliyor. Tarayıcı üzerinde bazı önyüz işleri için javascript kullanılan sistem Sun Solaris 2.9 15K, üzerinde Oracle Database 9.1.2 ile çalışıyor. Fonobank ise Nortel Meridian santralini kullanıyor. Çağrı yönetimi için Genesys firmasının CTI yazılımını kullandıklarını belirten Laroussi IVR uygulamalarının ve müşteri temsilcilerinin kullandığı yazılımların bankanın Sistem Teknoloji Departmanı tarafından geliştirildiğini vurguluyor.

“Alternatif olmaktan çıkıyor!”

“Oyakbank ana bankacılık paketinde geliştirme aracı olarak Power Builder kullanıyor. Bir diğer ana paket için ise Oracle Developer kullanıyorlar. İnternet için Microsoft, Visual C, Java ve CRM çalışmaları için ise Brio kullanılıyor. Bazı küçük çaplı çalışmalar için ise SQL kullanıyorlar. Tüm diğer alt uygulamalar ise ana bankacılık uygulamalarına bağlı.”

Tamer Şahin

http://www.securityoffice.net

Görüşler

0
sundance
Ben bundan üç yıl kadar önce, televizyonda en çok reklamı yapılan bankalardan bir tanesinin, bilgi işlem yöneticisinin, bir güvenlik firmasının etkinliğinde, bilişim güvenliği ile ilgili 300 kişinin önünde topolojilerini anlattığına, nerde ne firewall nerde ne ids, nerde ne honeypot kullandığını version numaralarına kadar belirttiğine şahit oldum. Yurt dışında böyle bir sunumun ardından sözkonusu kişiyi en azından işten çıkartmaları gerekirdi, duyduğum kadarıyla kendisi hala aynı bankada çalışmakta. Daha ne yaptıklarını bilmiyorlar ki nasıl yapmaları gerektiğini bilsinler.
0
sempsteen
bu sebeptendir ki saldırıların %90'ını social hacking oluşturuyor...
0
zekeriya_akyildiz
güvenlik zincirinin en zayıf halkası. Routerların hacklenmesi firewalların aşılmasından bile daha kötü olabilir. ayrıca bkz. http://sozluk.sourtimes.org/show.asp?t=zincirin+zayif+halkasi+prensibi
0
robertosmix
http://sozluk.sourtimes.org/show.asp?t=tamer+sahin
0
lazarus
Ne alaka ? Ne demekki şimdi bu ? TS nin yazılarını okumayın çalışmalarıyla ilgilenmeyin Çünkü o kutsal sözlükle geçmişte papaz oldu Onlarla dalga geçti TS nin yaptıkları fayda içermez mi demektir ? Anlamıyorum . Buyrun http://www.securityoffice.net/articles/ burayı inceleyin geri kalanınada bakın . Ben oldukça başarılı buluyorum . Cevap olarak kendi yaptıklarınızı gösterinde sizlede gurur duyayım varlığınızdan dolayı mutlu olup sevineyim .
0
ttk
Merhaba Yazı oldukça mantıklı yazılmış, altındaki ismi görünce şaşırmadım desem yalan olur :) Arkadaşı Pcworld'un tartışma sunucusunda yapmaya başladığı acaipliklerle tanımaya başlamış birisi olarak mantıklı davranabileceğine doğrusu inanamıyordum. Bahsi geçen sözlükte arama yaparken tarihi ilerleyiş ve hatıralarla yaptıklarına bakınca zamanında çocukça işler yaptığına kanaat getirmiştim (hakkındaki ilgili maddeyi, mâlum sözlükte "lamer" kelimesine bakarken yakın zamanda görmüştüm de hâtıralarım tazelenmişti :) Bu arada, Ekşi sözlükten link verme işinin ise suyunun çıktığını düşünmeye başladım artık.
0
butch
O halde FM'den faydalı bir link verelim.
0
lazarus
valla fm deki faydalı link e de baktım şimdi gerçi o zamanda bakmıştım . Gene alaka bulamadım yok security focus a bakıp bakıp yapıyormuş Efendim hiç kod mod bilmiyormuş falanmış filanmış . Kendi gözlemlediğim bu safsatalar yüzünden Tamer i hiç tanımayan adamlarda bunlara inanıyor . www.securityoffice.net isimli siteye baktığımda çalışkan bir güvenlik uzmanı görüyorum güvenlik açığıda buluyor programda yazıyor bir sürü medyaya çıkmış döküman üretmiş bomba patlatmış bir adam . Teknik olarak yüksek olduğunu zaten ben biliyorum Ama millette öyle bir propoganda yapıyorsunuzki sanki Tamer hiç bir şey bilmiyor alakasız sahtekar bir insan . Geçiniz bunları mirim . Gereksiz yaklaşım verimli bir yaklaşım değil . Bu şekilde uzaya falanda gidemeyiz . Bu arkadaşımızın üzerinde estirilen kara propogandaya son veriniz .
0
FZ
Bir yazıyı, yazıdaki fikirleri bir yana bırakıp doğrudan bir adamı ve o adamla ilgili bir sitede yıllar önce yazılmış şeyleri tartışmaya başladık gördüğüm kadarı ile. Yine Türklüğümüz mü tuttu ne :)
0
sundance
Yazının tarihine baktınız mı? Beş yıl öncesi.

O tarihte, sözkonusu kişi, aynen de bahsettiğim gibi "Yahu kim shadow kullanıyor ki, /etc/passwd altında duruyor işte passwordler world readable" diyecek derecede Unix'den anlamayan birisiydi. Yaptığı yapacağı bütün hack de, başkasının domainini kendi üstüne almaktı.

Ha yazıyı doğru düzgün okumuş olsanız, asıl problemin sözkonusu şahsın cehaleti değil, bu kadarcık bir bilginin bile Türkiye'nin en önde gelen ISP'sini maymun etmeye yettiğiydi.

Ama direkt olarak "taraftar" psikolojisi hakim ya memlekete, bir adamı yerip, yine de hakkında iyi bir şeyler söylenebileceğini algılamak çok mümkün olmuyor.

Gidin bir de şu haberdeki yorumlarıma bakın isterseniz.

Uzaya gideriz gitmesine de, taraftarlık yaparak ya da alenen gördüğümüz yanlışları söylemekten kaçınarak değil.
0
lazarus
Benim yaptığım taraftarlık tabi . Baktım gene başlacayacak TS hiç bir şey bilmez teranesi Bende hemen karşı tribüne geçtim . Bu tartışmada da tepki göstermiştim . Şimdide gösteriyorum . Neticede birilerde TS yi tutsun. Adamın arkasından öyle dandik bir kara propoganda yapılıyorki bilen bilmeyen herkes atıp tutuyor . O zamanki yazınızın anafikrine diyecek bir şey yok . Bir sistemin güvenlik zafiyetlerinden yararlanmak dehşet unix bilmeklede olmaz neyin nerede olduğunu bilmeye daha doğrusu öğrenmeyi bilmeye bakar . Vay efendim adam ben hackerim diye ortaya çıkmış Ama unix bilmiyor . Korunacak kurumun kendini iyi unix bilenlerden koruması sosyal mühendislik yanı kuvvetli ve kötü niyet sahibi kişiden korumasından çok daha kolaydır . Yapacağınız iş uygulayacağınız yöntemler bellidir . Bu gün memleketimizde de dünyanın bir çok güzide kurumundada işler root a düşmeye değil içerdeki çirkin yalnız kızı kandırmaya bakar . Benim alanen gördüğüm yanlış TS hakkında kara propoganda yapılması Hem komik hem ayıp bir durum . Şimdi düşündümde bende 5 yıl önce hiç bir şey bilmiyormuşum gerçi hala bilmiyorum ama 5 yıl önce daha çok bilmiyordum .
0
robertosmix
Üzerinde fazla konuşmaya gerek duymuyorum.. Kötü olan, bir lamer'in hep öyle kalması. İnsan kendini biraz geliştirmeli... Öte yandan tartışmaların büyük bir oranı ego tatmininden çok da fazla öteye gitmiyor.
0
yilmaz
Heryere bu siteden link vermek artık moda mı oldu? Ordaki herşey doğru mu?
0
FZ
Hayır (ama kısmen evet). Hayır.
0
anonim
yazıyı şöyle bir okuduktan sonra örnekleri inceledim. İlginç , yanlız ufak bir nokta var sanırım gözden kaçan : bir sistem admininin kendi sistemi hakkında (özellikle bir bankada çalışıyorsa) bu kadar ayrıntılı bilgi vereceğini sanmıyorum bunu yapsa bile verdiği bilgilerin doğru olduğu ve bir yanıltmaca olup olmadığı üzerinde biraz düşünmekte fayda var.

T.ş. konusuna gelince : ne yaptı ne etti umrumda değil ama kraldan çok kralcı olmanın bir anlamı yok diye düşünüyorum. Bırakınız -eğer istiyorsa- kişi kendi kendini savunsun, kendisi hakkındaki eleştirilere kendisi cevap versin. O aslandır, o kaplandır , o bir ilahdır ; bunlar anlamsız ve birbirimizle didişmenin anlamı yok biz kendi işimize bakalım.Ha, domain çalma olayının üzerinden uzun bir süre geçti , büyük ihtimal bu süre içinde kendini geliştirdi , olabilir kendisini kutlayıp hayatta başarılar dileyelim; bir değişme olmadıysada bu haliyle habullenip bir kenera koyalım kendisini fazla elleşmeyelim zira kabak tadı vermeye başladı.
0
sundance
:) İçerideki sistemler hakkında biraz bilgim var ve verdiği bilgiler gerçekti. Dahası bunla övünüyordu da.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Koyunun olmadığı yerde keçiye Abdurrahman Çelebi

sundance

Ya da Nasıl Hacker Olunur 101

Herbirşeyde geriden gelen bir ülkeyiz ya, bilgisayar ve Internet`in geriden gelmesi bir yana bunların bağlı olduğu alt-kültürler de geriden geliyor.
Hacking denen eylemi ele alalım, Turkiye`nin en ünlü hacker`ı T.Ş. Unix`in U`sundan anlamayan bir çocuk...

Apache.org´u nasıl hack ettim?

conan

Baştan söyleyeyim, hack eden ben değilim ;) Daha önce Apache.org un başına gelenler yazısında belirttiğim olayın akabinde, hack'in nasıl gercekleştirildigine dair hacker (cracker?) ile bir IRC roportajı yapılmış.

Kendini fluffy bunny diye tanıtan hacker roportajda detaylı bir şekilde apache.org, VA Linux (themes.org), Source Forge (5 ay) ve de bir ISP'yi (Akamai.net) nasıl eline geçirdiğini anlatıyor. Genel olarak sniffing ve SSH üstünden trojan horse yollayarak passwordleri ele geçirdiğinden bahseden bunny kendisine white hat mi yoksa black hat mi diye soranlara da gray hat olduğunu soylemiş ;) (Do not underestimate the power of the dark side... [Star Wars - Yoda])

Detaylı bilgi

Gerçekçi bir bilgisayar hikayesi!

sundance

Bilişim güvenliği konusunda seyrettiğiniz filmleri, okuduğunuz kitapları bir hatırlayın. Hollywood bu alanda genelde ipe sapa gelmez örneklere, (bkz. Swordfish, Hackers, Operation Takedown vs.), çok nadiren de gerçekçi sahnelere Matrix Reloaded Matrix Reloaded2 sahne olmuştur.

Yazın dünyasında ise bu alanda en iyi örneklerden biri Neal Stephenson'un Cryptonomicon'udur. Gerçek bir EMP cihazının nasıl olduğundan, laptop monitörünün yaydığı dalgalar sayesinde ekrana yazılanların okunmasını engellemek isteyen kahramanın bir Xscreensaver yazmasına kadar oldukça gerçekçi, ayakları yere basan detaylara sahiptir. Başlangıçta Komut Satırı Vardı!'yı yazan bir yazardan da başka türlüsü beklenemezdi...

PGP Yeniden Open Source oluyor mu ?

sundance

Newsforge`da yayınlanan habere göre PGP`nin yazarı Zimmerman, 1997 yılında PGP`i sattığı Networ Associates şirketine, PGP`i Open Source yapmaları ya da kendisine geri satmaları isteğiyle başvurmuş.

Zimmerman`ın isteğinin temel sebebi, önce Nasdaq Kasım 2000 krizi ile, sonra da 11 Eylul 2001 krizi ile vurulan Silicon Vadisi`nin girdiği kriz, ve dolayısıyla Network Associates`in PGP konusunda sürdürülebilir bir model ortaya koyamaması ve son olarak da PGP konusunda çalışan bütün mühendislerinin işine son vermesi.

Zimmerman`ın önerdiği modeller OpenSource ve şirket yapısının nasıl biraraya getirileceği konusunda ilginç açılımlar içeriyor...

Cisco'ya karşı takım

sundance

Cumartesi gecesi DefCon'un akabinde, partiler ve eğlenceler zamanıydı. Fakat bütün bu karmaşadan uzak bir odada, bir grup laptoplarının başında çalışmakta, zaman zaman birbirleriyle konuşmakta ve odanın ortasında duran iki metal kutuya ilgi ile bakmaktaydılar.
Konu, Michael Lynn'in BlackHat 2005'de yaptığı Cisco Routerlar üzerine sunumunun engellenmeye çalışılması ve çalıştığı firma olan ISS'den ayrılmak zorunda kalmasıyla ilgiliydi. Şimdi ise bir grup uzman, Michael Lynn'in yolundan giderek, biraraya gelip sözkonusu açığı genişletmeyi hedefliyorlardı. Kara Şapkalı'lardan birinin belirttiği gibi "Michael'ın altı ayda yaptığını biz çok daha kısa sürede çözebiliriz. Cisco'nun yaptığı basitçe ifade etmek gerekirse aptalcaydı, böylece üstü örtülmüş bir probleme çok daha fazla dikkat çektiler"