Güvenlikte En Zayıf Halka: İnsan

0
ts
İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.

Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca “Sosyal Mühendislik” adı veriliyor.
Sosyal mühendislikte kişi ile iletişime geçerek tamamen farklı bir yaklaşımla istenilen konuda bilgi edinmek mümkün. Bunu, kişinin önüne bir şeyi bütün halinde koymaktansa, ufak parçalara bölerek dikkat çekmeden sunmak ve sonraki tepkileri değerlendirmek olarakta kabul edebiliriz. Bu bazen masum bir sohbet olabileceği gibi, kimi zaman çalışma masası üzerindeki bir kaç kağıt parçası üzerine karalanmış notlar, duvar panosundaki post-it'ler, çöp sepetindeki bir kaç kağıt parçası olabilir. Kişi hakkında öğrendiğiniz ve gereksiz olduğuna inandığınız şeyler olsa bile bu bilgi kırıntıları içerisinde bulunulan çalışmanın umulmadık bir yerinde karşınıza aradığınız bir kullanıcı adi, şifre ya da önemli başka bir bilgi olarak çıkabilir.

Özellikle büyük ölçekli kurumlarda genelde belli bir yetkilendirme mekanizması olmadığından dolayı, sadece orada yetkili birisinin ismini vererek dahi herhangi bir bilgisayarın başına oturmak ve istenilen bilgilere ulaşmak mümkün. Örneğin geçtiğimiz aylarda büyükçe bir telekom firmasına ziyaretim olmuştu. Fiziksel anlamda gayet güvenli gibi gözüken bir plazada bulunan bu kuruluşta elektronik kartlı ofis katları, kartlara göre yetki derecelendirmeleri, hareket sensörleri bulunuyordu. Ziyaretim sırasında internetten ufak bir şey çekme ihtiyacı doğdu ve bir alt katta bunu yapabileceğim belirtildi. Alt kata indiğimde ise herhangi birine dışarıdan kolaylıkla öğrenilebilecek bir yetkili ismi vermemle birlikte kendimi bir bilgisayarın karşısında buldüm. Evet artık dosyami çekebilirdim, ya da her ne yapacaksam. Hemde kimsenin umurunda değildi. Söyle bir göz attığımda ise başına oturduğum bilgisayarın sıradan bir kişisel pç olmadığını, çeşitli servisler çalışan bir sunucu olduğunu farkettim. Benim tamamen yabancı biri olarak bir sunucuda çalışmama izin veren kişinin teknik bir personel olması ise ayrı bir konu.

Şıklıkla karşılaştığım diğer bir örnek işe; Basın yayın organlarında bazı kuruluşların bilgi işlem yöneticileri bir yandan yaptıkları projeleri, başarılarını anlatırken diğer yandan sistemleri hakkında haddinden fazla bilgiyi ortaya döküyorlar. Sosyal mühendislik sürecinde çok fazla efor sarfetmeden, sadece dikkatli gözlerin farkedebileceği bu nimetler ciddi saldırı senaryolarında çok ise yarayabilecek argümanları oluşturuyor.

Bunlardan dikkatimi çeken, fazlaca ayrıntılı örneklerden bir kaçını aşağıda derledim;

Yayın: IT-Business 2005/06

“Güvenlikte alternatif arayanlara...”

“Koçbank internet bankacılığı “Oracle Internet Application Server” üzerinde çalışıyor. Programlar PL/SQL ile geliştirilmiş ve kullanıcı için dinamik olarak HTML üretebiliyor. Tarayıcı üzerinde bazı önyüz işleri için javascript kullanılan sistem Sun Solaris 2.9 15K, üzerinde Oracle Database 9.1.2 ile çalışıyor. Fonobank ise Nortel Meridian santralini kullanıyor. Çağrı yönetimi için Genesys firmasının CTI yazılımını kullandıklarını belirten Laroussi IVR uygulamalarının ve müşteri temsilcilerinin kullandığı yazılımların bankanın Sistem Teknoloji Departmanı tarafından geliştirildiğini vurguluyor.

“Alternatif olmaktan çıkıyor!”

“Oyakbank ana bankacılık paketinde geliştirme aracı olarak Power Builder kullanıyor. Bir diğer ana paket için ise Oracle Developer kullanıyorlar. İnternet için Microsoft, Visual C, Java ve CRM çalışmaları için ise Brio kullanılıyor. Bazı küçük çaplı çalışmalar için ise SQL kullanıyorlar. Tüm diğer alt uygulamalar ise ana bankacılık uygulamalarına bağlı.”

Tamer Şahin

http://www.securityoffice.net

Görüşler

0
sundance
Ben bundan üç yıl kadar önce, televizyonda en çok reklamı yapılan bankalardan bir tanesinin, bilgi işlem yöneticisinin, bir güvenlik firmasının etkinliğinde, bilişim güvenliği ile ilgili 300 kişinin önünde topolojilerini anlattığına, nerde ne firewall nerde ne ids, nerde ne honeypot kullandığını version numaralarına kadar belirttiğine şahit oldum. Yurt dışında böyle bir sunumun ardından sözkonusu kişiyi en azından işten çıkartmaları gerekirdi, duyduğum kadarıyla kendisi hala aynı bankada çalışmakta. Daha ne yaptıklarını bilmiyorlar ki nasıl yapmaları gerektiğini bilsinler.
0
sempsteen
bu sebeptendir ki saldırıların %90'ını social hacking oluşturuyor...
0
zekeriya_akyildiz
güvenlik zincirinin en zayıf halkası. Routerların hacklenmesi firewalların aşılmasından bile daha kötü olabilir. ayrıca bkz. http://sozluk.sourtimes.org/show.asp?t=zincirin+zayif+halkasi+prensibi
0
robertosmix
http://sozluk.sourtimes.org/show.asp?t=tamer+sahin
0
lazarus
Ne alaka ? Ne demekki şimdi bu ? TS nin yazılarını okumayın çalışmalarıyla ilgilenmeyin Çünkü o kutsal sözlükle geçmişte papaz oldu Onlarla dalga geçti TS nin yaptıkları fayda içermez mi demektir ? Anlamıyorum . Buyrun http://www.securityoffice.net/articles/ burayı inceleyin geri kalanınada bakın . Ben oldukça başarılı buluyorum . Cevap olarak kendi yaptıklarınızı gösterinde sizlede gurur duyayım varlığınızdan dolayı mutlu olup sevineyim .
0
ttk
Merhaba Yazı oldukça mantıklı yazılmış, altındaki ismi görünce şaşırmadım desem yalan olur :) Arkadaşı Pcworld'un tartışma sunucusunda yapmaya başladığı acaipliklerle tanımaya başlamış birisi olarak mantıklı davranabileceğine doğrusu inanamıyordum. Bahsi geçen sözlükte arama yaparken tarihi ilerleyiş ve hatıralarla yaptıklarına bakınca zamanında çocukça işler yaptığına kanaat getirmiştim (hakkındaki ilgili maddeyi, mâlum sözlükte "lamer" kelimesine bakarken yakın zamanda görmüştüm de hâtıralarım tazelenmişti :) Bu arada, Ekşi sözlükten link verme işinin ise suyunun çıktığını düşünmeye başladım artık.
0
butch
O halde FM'den faydalı bir link verelim.
0
lazarus
valla fm deki faydalı link e de baktım şimdi gerçi o zamanda bakmıştım . Gene alaka bulamadım yok security focus a bakıp bakıp yapıyormuş Efendim hiç kod mod bilmiyormuş falanmış filanmış . Kendi gözlemlediğim bu safsatalar yüzünden Tamer i hiç tanımayan adamlarda bunlara inanıyor . www.securityoffice.net isimli siteye baktığımda çalışkan bir güvenlik uzmanı görüyorum güvenlik açığıda buluyor programda yazıyor bir sürü medyaya çıkmış döküman üretmiş bomba patlatmış bir adam . Teknik olarak yüksek olduğunu zaten ben biliyorum Ama millette öyle bir propoganda yapıyorsunuzki sanki Tamer hiç bir şey bilmiyor alakasız sahtekar bir insan . Geçiniz bunları mirim . Gereksiz yaklaşım verimli bir yaklaşım değil . Bu şekilde uzaya falanda gidemeyiz . Bu arkadaşımızın üzerinde estirilen kara propogandaya son veriniz .
0
FZ
Bir yazıyı, yazıdaki fikirleri bir yana bırakıp doğrudan bir adamı ve o adamla ilgili bir sitede yıllar önce yazılmış şeyleri tartışmaya başladık gördüğüm kadarı ile. Yine Türklüğümüz mü tuttu ne :)
0
sundance
Yazının tarihine baktınız mı? Beş yıl öncesi.

O tarihte, sözkonusu kişi, aynen de bahsettiğim gibi "Yahu kim shadow kullanıyor ki, /etc/passwd altında duruyor işte passwordler world readable" diyecek derecede Unix'den anlamayan birisiydi. Yaptığı yapacağı bütün hack de, başkasının domainini kendi üstüne almaktı.

Ha yazıyı doğru düzgün okumuş olsanız, asıl problemin sözkonusu şahsın cehaleti değil, bu kadarcık bir bilginin bile Türkiye'nin en önde gelen ISP'sini maymun etmeye yettiğiydi.

Ama direkt olarak "taraftar" psikolojisi hakim ya memlekete, bir adamı yerip, yine de hakkında iyi bir şeyler söylenebileceğini algılamak çok mümkün olmuyor.

Gidin bir de şu haberdeki yorumlarıma bakın isterseniz.

Uzaya gideriz gitmesine de, taraftarlık yaparak ya da alenen gördüğümüz yanlışları söylemekten kaçınarak değil.
0
lazarus
Benim yaptığım taraftarlık tabi . Baktım gene başlacayacak TS hiç bir şey bilmez teranesi Bende hemen karşı tribüne geçtim . Bu tartışmada da tepki göstermiştim . Şimdide gösteriyorum . Neticede birilerde TS yi tutsun. Adamın arkasından öyle dandik bir kara propoganda yapılıyorki bilen bilmeyen herkes atıp tutuyor . O zamanki yazınızın anafikrine diyecek bir şey yok . Bir sistemin güvenlik zafiyetlerinden yararlanmak dehşet unix bilmeklede olmaz neyin nerede olduğunu bilmeye daha doğrusu öğrenmeyi bilmeye bakar . Vay efendim adam ben hackerim diye ortaya çıkmış Ama unix bilmiyor . Korunacak kurumun kendini iyi unix bilenlerden koruması sosyal mühendislik yanı kuvvetli ve kötü niyet sahibi kişiden korumasından çok daha kolaydır . Yapacağınız iş uygulayacağınız yöntemler bellidir . Bu gün memleketimizde de dünyanın bir çok güzide kurumundada işler root a düşmeye değil içerdeki çirkin yalnız kızı kandırmaya bakar . Benim alanen gördüğüm yanlış TS hakkında kara propoganda yapılması Hem komik hem ayıp bir durum . Şimdi düşündümde bende 5 yıl önce hiç bir şey bilmiyormuşum gerçi hala bilmiyorum ama 5 yıl önce daha çok bilmiyordum .
0
robertosmix
Üzerinde fazla konuşmaya gerek duymuyorum.. Kötü olan, bir lamer'in hep öyle kalması. İnsan kendini biraz geliştirmeli... Öte yandan tartışmaların büyük bir oranı ego tatmininden çok da fazla öteye gitmiyor.
0
yilmaz
Heryere bu siteden link vermek artık moda mı oldu? Ordaki herşey doğru mu?
0
FZ
Hayır (ama kısmen evet). Hayır.
0
anonim
yazıyı şöyle bir okuduktan sonra örnekleri inceledim. İlginç , yanlız ufak bir nokta var sanırım gözden kaçan : bir sistem admininin kendi sistemi hakkında (özellikle bir bankada çalışıyorsa) bu kadar ayrıntılı bilgi vereceğini sanmıyorum bunu yapsa bile verdiği bilgilerin doğru olduğu ve bir yanıltmaca olup olmadığı üzerinde biraz düşünmekte fayda var.

T.ş. konusuna gelince : ne yaptı ne etti umrumda değil ama kraldan çok kralcı olmanın bir anlamı yok diye düşünüyorum. Bırakınız -eğer istiyorsa- kişi kendi kendini savunsun, kendisi hakkındaki eleştirilere kendisi cevap versin. O aslandır, o kaplandır , o bir ilahdır ; bunlar anlamsız ve birbirimizle didişmenin anlamı yok biz kendi işimize bakalım.Ha, domain çalma olayının üzerinden uzun bir süre geçti , büyük ihtimal bu süre içinde kendini geliştirdi , olabilir kendisini kutlayıp hayatta başarılar dileyelim; bir değişme olmadıysada bu haliyle habullenip bir kenera koyalım kendisini fazla elleşmeyelim zira kabak tadı vermeye başladı.
0
sundance
:) İçerideki sistemler hakkında biraz bilgim var ve verdiği bilgiler gerçekti. Dahası bunla övünüyordu da.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Kişisel Firewall Sisteminiz Dışarı Çıkışları Kontrol Eder Mi?

FZ

Internete uzun süreli bağlı olarak kalıp da ZoneAlarm, Tiny Personal Firewall, Sygate Personal Firewall, BlackICE gibi güvenlik yazılımı kullanmayanınız pek yoktur herhalde.

Gittikçe gelişen güvenlik metodolojileri kullanan bu yazılımlar sadece bilgisayarınıza giren (inbound) değil aynı zamanda bilgisayarınızdan çıkan verileri de (outbound) kontrol etmeye çalışıyorlar ki kişisel bilgileriniz, birtakım dosyalarınız, vs. sizin haberiniz olmadan birilerinin sistemine gönderilmesin.

Apache.org´u nasıl hack ettim?

conan

Baştan söyleyeyim, hack eden ben değilim ;) Daha önce Apache.org un başına gelenler yazısında belirttiğim olayın akabinde, hack'in nasıl gercekleştirildigine dair hacker (cracker?) ile bir IRC roportajı yapılmış.

Kendini fluffy bunny diye tanıtan hacker roportajda detaylı bir şekilde apache.org, VA Linux (themes.org), Source Forge (5 ay) ve de bir ISP'yi (Akamai.net) nasıl eline geçirdiğini anlatıyor. Genel olarak sniffing ve SSH üstünden trojan horse yollayarak passwordleri ele geçirdiğinden bahseden bunny kendisine white hat mi yoksa black hat mi diye soranlara da gray hat olduğunu soylemiş ;) (Do not underestimate the power of the dark side... [Star Wars - Yoda])

Detaylı bilgi

Router Tasarlarken Dikkatli Olmak Lazım! ;-)

FZ

2003 yılının Mayıs ayında `University of Wisconsin - Madison´ ağ yöneticileri kampüsteki kamuya açık NTP (Network Time Protocol) zaman sunucusu bilgisayarın kaldıramayacağı kadar yoğun bir trafiğe maruz kaldığını saptadılar. Başlangıçta saniyede yüzbinlerce paketten oluşan bu trafiği DDoS (Distributed Denial of Service) saldırısı olarak algılayan ağ yöneticileri durumu inceleyince bunun böyle olmadığını gördüler.

Problemin pek çok organizasyonda bolca bulunan ucuz ve küçük bir router cihazdaki gömülü koddan kaynaklandığı tespit edildi ve üretici firma ile temas kurma çabaları başladı... Bu süreci çok güzel ve detaylı bir şekilde yansıtan teknik raporu tüm ilgililerin okumasında fayda var. Söz konusu süreç aynı zamanda üniversite sanayi işbirliğine dair güzel bir örnek.

Nessus 3 çıktı

darkhunter

Bilinen en iyi zayıflık tarama araçlarından biri olan Nessus'un, 3'üncü versiyonu geçtiğimiz günlerde duyuruldu.

Nessus'un yeni sürümü şu an için sadece FreeBSD ve Linux için çıktı. Windows, MacOS X ve Solaris için 2006'nın ilk ayları ön görülmekte. Hali hazırda destek verilen dağıtımlar şöyle :

Alcatel DSL Modemlerde Güvenlik Sorunları

parsifal

Eğer Alcatel DSL modeminiz varsa şunu bilin ki herhangi bir internet kullanıcısı modeminizin ayarlarını ve şifrenizi değiştirebilir, bilgilerinizi çalabilir veya zevk için modeminizi bozabilir.

Bunu keşfeden ise Tsutomu Shimomura. Shimomura 1994 yılında Kevin Mitnick'in izini bulmuştu. Mitnick ise ABD'nin aranan en ünlü internet hackerlarından biri idi. Sayısız bilgisayar sistemine girip şifrelerden tutun gizli program kodlarına kadar pek çok bilgiyi ele geçirmişti.