ALDATMA SANATI :
Yazan: Kevin D. Mitnick, William L. Simon.
Çeviri: Nejat Eralp Tezcan.
GiRiŞ :
Bu kitap, bilgi güvenliği ve toplum mühendisliğiyle ilgili yoğun bilgiler içermektedir. Yolunuzu bulmanızı kolaylaştırmak için, işte size kitabın. içeriğine hızlı bir bakış:
Perde Arkası başlığında güvenliğin en zayıf halkasını açıklayacak, sizin ve şirketinizin neden toplum mühendisliği saldırılarına maruz kalabileceğinizi göstereceğim. Saldırı Sanatı başlığında, toplum mühendislerinin istediklerini elde etmek için güveninizle, yardımcı olma isteğinizle, sevecenliğinizle ve insanî saflıklarınızla nasıl oynadıklarım göreceksiniz. Sık görülen saldırılarla ilgili hayalî öyküler toplum mühendislerinin pek çok kimliğe ve yüze bürünebildiklerini size gösterecek. Eğer daha önce bir toplum mühendisiyle karşılaşmadığınızı düşünüyorsanız, büyük olasılıkla yanılıyorsunuzdur. Bakalım, bu öykülerde daha önce sizin de yaşadığınız bir senaryo görecek ve toplum mühendisliğinin size dokunup dokunmadığını merak edecek misiniz? Bu olmayacak bir şey değil. Ancak ikinci bölümden dokuzuncu bölüme kadar okuduktan sonra, sizi arayan ilk toplum mühendisinin nasıl hakkından geleceğinizi öğrenmiş olacaksınız.
Davetsiz Misafirlere Dikkat adlı başlıkta İse, toplum mühendislerinin,
şirket alanınıza girerek, şirketinizi batıracak ya da çıkaracak sırlan çalıp, sizin yüksek teknoloji güvenlik önlemlerinizi atlatarak riski
nasıl artırdığını, uydurma öykülerle göreceksiniz. Bu başlık altında
anlatılan senaryolar, bir çalışanın intikam almasından tutun da, sanal
terörizme kadar oluşabilecek çeşitli tehditlerin farkına varmanızı sağlayacaktır. Eğer işletmenizi ayakta tutan bilgilere ve verilerinizin güvenliğine değer veriyorsanız, onuncu ve on dördüncü bölümleri baştan sona okumak isteyeceksiniz. Aksi belirtilmediği takdirde, bu kitapta kullanılan tüm öykülerin uydurma öyküler olduklarını vurgulamakta yarar var. Çıtayı Yükseltmek başlığında şirket yaklaşımını ele alıp kurumunuza yapılan toplum mühendisliği saldırılarının başarıya ulaşmalarının nasıl engellenebileceğinden söz edeceğiz. On beşinci bölüm başarılı bir güvenlik eğitimi programı için bir taslak sunmaktadır. Ve onaltıncı bölüm tam hayatınızı kurtaracak şey olabilir; kurumunuza uyarlayabileceğiniz, şirketinizi ve bilgilerinizi emniyette tutmak için hemen uygulamaya geçirebileceğiniz, her yönüyle tam bir güvenlik kuralları metni. En sona, işbaşında karşılaştıkları bir toplum mühendisliği saldırısını önleyebilmeleri için çalışanlarınıza yol göstermekte kullanabileceğiniz kilit bilgileri özetleyen kontrol listeleri, tablolar ve şemalar içeren Bir Bakışta Güvenlik adında bir bölüm ekledim. Bu araçlar aynı zamanda, kendi güvenlik eğitimi programlarınızı oluşturmakta kullanabileceğiniz değerli bilgiler de içermektedir. Kitapta pek çok faydalı unsurla karşılaşacaksınız: Terim kutuları, toplum mühendisliği ve bilgisayar korsanlığı terimlerinin açıklamalarını İçerirler; Mitnick Mesajları güvenlik stratejinizi güçlendirmenize yardımcı olacak kısa bilgiler sunmaktadır; notlarda ise ek bilgiler ve ilginç ayrıntılar bulunmaktadır.
GÜVENLİĞİN EN ZAYIF HALKASI :
Bîr şirket paranın alabileceği en iyi güvenlik teknolojilerini satın almış; çalışanlarını, akşam eve giderken her şeylerini kilit altına alacak
şekilde son derece iyi eğitmiş ve bina güvenlik görevlilerini sektörün en iyi güvenlik şirketinden kiralamış olabilir. Bu şirket yine de tamamen savunmasızdır. Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarını çalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilirler ve uygun sistem yapılandırmasını ve güvenlik yamaların! Kullanmak konularında son derece dikkatli davranabilirler. Bu bireyler yine de tamamen savunmasızdırlar.
insan Unsuru :
Yakın bir geçmişte Kongre'ye ifade verirken, başka birisi gibi davranarak ve yalnızca bu bilgiyi isteyerek, şifreleri ve diğer hassas bilgileri çoğu zaman şirketlerden alabildiğimi anlattım. Tam anlamıyla güvende olduğunu bilmeyi istemek doğal bir duygudur ama bu, pek çok İnsanın sahte bir güvenlik hissiyle yetinmesine de neden olur. Karısını, çocuklarını ve evini korumak için ön kapısına, maymuncukla açılamaz olarak bilinen, Medico marka bir silindirli kilit taktırmış, sorumluluk sahibi ve sevecen bir ev sahibini düşünün. Davetsiz misafirlere karşı ailesini güvenceye aldığı için içi rahat. Ama
pencereyi kıran ya da garaj kapısının şifresini bozan hırsızlara ne olacak ? Güçlü bir alarm sistemi yerleştirmek daha iyi olurdu ancak yine de bir garantisi yok. Pahalı kilitler olsun ya da olmasın, ev sahibinin saldırıya açık olma hali devam ediyor. Neden? Çünkü İnsan unsuru aslında güvenliğin en zayıf halkasıdır. Güvenlik çoğu zaman bir yanılgıdan ibarettir, jşin içine dikkatsizlik, saflık ve cahillik de girince daha da kötü olur. Yirminci yüzyılın en saygın bilimadamı olan Albert Einstein şöyle demiştir: Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim. Sonuç olarak, insanlar aptailarsa ya da daha sık görülen şekliyle, doğru güvenlik uygulamaları konusunda bilgisizlerse, toplum mühendisliği saldırıları başarılı olmaktadır. Pek çok bilişim teknolojileri (BT) sektörü çalışanı, güvenlik bilincine sahip aile reisimizle aynı yaklaşımı kullanarak, güvenlik duvarları, müdahaleleri ortaya çıkarma sistemleri ya da daha güçlü tanıma sistemleri olan zaman tabanlı kartlar ve biyometrik akıllı kartlar gibi herkesçe kabul görmüş güvenlik ürünleri kullandıkları için şirketlerini saldırılara karşı büyük ölçüde güvende tuttukları doğrultusunda yanlış bir kanıya sahiptirler. Güvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağına inanan biri, güvenlik konusunda kendini kandırıyor demektir. Bu ancak hayal aleminde görülebilecek bir durumdur. Bu insanlar er ya da geç, kaçınılmaz olarak bir güvenlik sorunu yaşayacaklardır. Tanınmış bir güvenlik danışmanı olan Bruce Schneier'ın da dediği gibi, "Güvenlik bir ürün değil, bir süreçtir." Dahası, güvenlik bir teknoloji sorunu değildir; bir insan ve yönetim sorunudur. Araştırmacılar sürekli olarak daha iyi güvenlik teknolojileri geliştirip teknik açıkları sömürmeyi giderek zoriaştırınca, saldırganlar insan unsurunu sömürme yoluna daha çok gideceklerdir, insanların güvenlik duvarını kırmak genellikle daha kolaydır ve bir telefon görüşmesinden başka yatırım istemediği gibi riski de çok düşüktür.
Klasik Bir Aldatma Olayı
İşletmenizin mal varlığının güvenliğine karşı en büyük tehdit nedir?
Yanıtlaması kolay: toplum mühendisi; siz sağ eline bakarken sol eliyle
sırlarınızı çalan acımasız bir sihirbaz. Bu kişi çoğu zaman o kadar
arkadaş canlısı, samimi ve yardımseverdir ki onunia karşılaştığınıza
şükredebilirsiniz bile. Bîr toplum mühendisliği örneğine bakalım: Bugün pek çok insan Stanley Mark Rifkin adındaki genç adamı ve artık var olmayan Los Angeles'taki Pasifik Hisseleri Ulusal Bankası'yla olan macerasını hatırlamaz. Gerçekte ne olduğuyla ilgili çeşitli rivayetler vardır ve Rifkin de, benim gibi, hikâyesini kendi ağzından hiçbir zaman anlatmamıştır. Bu yüzden aşağıdakiler yayımlanmış makalelerden derlenmiştir.
Şifre Kırmak :
1978 yılında bir gün Rifkin, Pasifik Hisseteri'nin yalnızca yetkili personelinin girebildiği ve odadakilerin her gün milyarlarca dolar tutarında havale gönderip aldıkları havale odasına doğru yollandı.
Ana bilgisayarın çökmesi olasılığına karşı, havale odasının verileri için
yedekieme sistemi geliştirecek bir şirkette sözleşmeli olarak çalışıyor-du. Bu görevi, banka yetkililerinin havaleleri nasıl gönderdikleri de dahil olmak üzere, tüm havale süreçlerini öğrenmesini sağlamıştı. Her sabah havale yapmaya yetkili banka çalışanlarına, havale odasını aradıklarında kullanmaları için, özenle korunan günlük bir şifrenin verildiğini öğrenmişti.
Güvenliğin En Zayıf Halkası :
Havale odasındaki memurlar her gün değişen şifreyi ezberlemek için
kendilerini yormuyorlardı: Şifreyi küçük bir kâğıda yazıp kolayca görebilecekleri bir yere asıyorlardı. Kasım ayının tam o gününde Rİfkin'in odayı ziyaret etmesinin özel bir nedeni vardı. O kâğıda bakmak istiyordu. Havale odasına gelerek, çalışma süreçleriyle ilgili notlar aldı; güya yedekieme sisteminin olağan sistemlerle tam olarak Örtüştüğünden emin olmak istiyordu. Bu sırada asılı kâğıttaki güvenlik şifresini gizlice okudu ve ezberledi. Birkaç dakika sonra dışarı çıktı. Daha sonra söylediğine göre, o an kendini piyangoda büyük ikramiyeyi kazanmış gibi hissetmişti.
Bir De İsviçre'deki Şu Banka Hesabına...
Öğleden sonra saat üç sularında odadan çıkmış, doğruca binanın
mermer kaplamalı girişindeki telefon kulübelerine gitmiş, telefona jeton atarak havale odasının numarasını çevirmişti. Sonra, telefonda başka bir kılığa bürünmüş, kendini, banka danışmanı Stanley Rifkin'den, bankanın Uluslararası İşlemler Birimi'nin bir çalışanı olan Mike Hansen'a dönüştürmüştü. Bir kaynağa göre, yapılan görüşme aşağıdaki gibi gelişmişti:
"Merhaba, ben Uluslararası İşlemler'den Mike Hansen," dedi Rifkin,
telefonun diğer ucundaki genç kadına.
Kadın ofis numarasını istedi. Bu olağan bir soruydu ve Rifkin hazırlıklıydı:
"286," dedi. Kadın sonra "Peki, şifre nedir?" diye sordu.
Rİfkin'in adrenalinin etkisiyle zaten hızlı atan kalbi o anda iyice hızlandı.
Duraksamadan yanıtladı, "4789." Sonra havale talimatlarını vermeye
başladı: New York Irving Yatırım Ortaklığı'ndan Zürih VVozchod
Handels Bankası'ndaki hesaba yatırılmak üzere "tam olarak on milyon
iki yüz bin dolar." Bü hesabı önceden kendisi açtırmıştı. Kadın söylenenleri not edip, "Tamam, bilgileri aidim. Şimdi de birimler
arası takas numarasına ihtiyacım var." dedi Rİfkin'in başından aşağı kaynar sular döküldü; bu beklemediği bir soru, araştırmasında unuttuğu bir ayrıntıydı. Ama soğukkanlılığını koruyup her şey yolundaymış gibi davrandı ve hiç beklemeden cevap verdi, "Bir kontrol edeyim; sizi hemen ararım." Bu kez bankanın başka bir birimini aramak için tekrar telefonda kılık değiştirerek havale odasındaki bir çalışan gibi davrandı. Takas numarasını öğrendi ve genç kadını yeniden aradı. Genç kadın numarayı aldı ve, "Teşekkürler" dedi. (Bu koşullar altında, teşekkür etmesi gerekenin aslında Rifkin olması gerektiği söylenebilir.)
Amaca Ulaşılması :
Birkaç gün sonra Rifkin İsviçre'ye uçtu, parasını aldı ve 8 milyon
dolarını bir yığın elmas karşılığında bir Rus acentasına verdi. Tekrar
uçağa bindi ve taşları bir para kuşağına saklayarak A.B.D. gümrüğünden geçti. Tarihteki en büyük banka soygununu yapmıştı ve bunu bir silah, hattâ bir bilgisayar bile kullanmadan gerçekleştirmişti. Tuhaf olan, işlediği suçun bir süre sonra "en büyük bilgisayar dolandırıcılıkları başlığı altında Güinness Rekorlar Kitabı'nın sayfalarında yer almasıydı. Stanley Rifkin'in insanları aldatma sanatında kullandığı bu beceri ve teknikler bütününe artık toplum mühendisliği diyoruz. Aslında bu iş için gerekenler özenli bir planlama ve iyi laf yapma yeteneğinden ibaret. Ve bu kitabın konusu işte bu bendenizin ustası olduğu- toplum mühendisliği teknikleri ve şirketiniz üzerinde kullanılmaları durumunda nasıl karşı savunma yapacağınız.
Tehlikenin Boyutu :
Rifkin'in öyküsü, güvende olduğumuz hissinin ne kadar.yanlış bir
düşünce olduğunu mükemmel bir şekilde açıklıyor. Bu tarz olaylar belki 10 milyon dolarlık vurgunlar değil ama- her gün oluyor. Şu anda paralarınız gidiyor olabilir ya da birileri yeni ürünlerinizin tasarımlarını çalıyor olabilir ve siz bunun farkında bile değilsiniz. Eğer şirketinizin başına henüz böyle bir olay gelmediyse, sormanız gereken şey bunun olup olmayacağı değil, ne zaman olacağı.