24 Temmuz 2012 Salı

Social Engineering

Social Engineering 
Social engineering, bir sistem veya network’e girmek için teknik olmayan bir yöntemdir. Bu yöntem, güvenlik mekanizmasını aşmak veya bozmak için kullanılabilecek bilgiyi vermek amaçlı, bir sistemin kullanıcılarını kandırmak şeklinde işler. Social engineering’i iyi anlamak gerekir, çünkü hackerlar bir sisteme saldırı yapmak için insan faktörünü kullanabilir ve bu sayede teknik güvenlik faktörlerini geçebilir. Bu yöntem, bir saldırı öncesi veya saldırı sırasında bilgi toplamak amaçlı kullanılır.

Social engineering, insanları kandırmak için nüfuz ve ikna kabiliyetini kullanmak suretiyle bilgi edinmek veya bazı eylemleri gerçekleştirmek için kurbanı kandırma işidir. Bir social engineer, hassas bilgiyi ele geçirmek veya şirketin güvenlik politikalarına karşın bir şeyler yapmalarını istemek amacıyla insanları faka bastırmak için yaygın olarak internet veya telefonu kullanır. Bu yöntemle social engineer’lar, bilgisayarlardaki güvenlik açıklarından yararlanmak yerine insanların doğal eğilimlerini sömürerek kendi kelimelerine inanmalarını sağlar. Genelde kabul edilen nokta şudur ki, kullanıcı güvenlik içindeki zayıf halkadır.

Şimdiki örnek Verisign firmasında çalışan Kapil Raina tarafından anlatılan gerçek bir social engineering örneğidir. Bir kaç yıl önce bir sabah, bir grup yabancı bir taşıma firmasına girer ve şirketin tüm network’üne erişirler. Bunu nasıl yaptılar ? Şirketteki farklı çalışanlardan küçük miktarlarda erişimler ile yavaş yavaş yaptılar bu işi. İlk olarak, ana yerlere saldırıyı başlatmadan önce 2 gün boyunca şirket hakkında araştırma yapılmış. Örneğin, insan kaynaklarını arayarak, kilit noktadaki çalışanların isimlerini öğrendiler. Daha sonra ön kapının anahtarını kaybetmiş gibi yaptılar ve biri onları içeri aldı. Daha sonra 3. Kattaki güvenlik bölgesi için kimlik kartlarını kaybetmiş gibi yaptılar, gülümsediler ve buna kanan bir çalışan onlara kapıyı açtı.

Yabancılar, CFO’nun şehir dışında olduğunu biliyordu ve bu sayede odasına girip kilitli olan bilgisayardan finansal verileri aldılar. Şirket çöpünü karıştırdılar ve işe yarar olan tüm dökümanları buldular. Oda sorumlusundan (Kapıcı), aldıklarını koyabilmek ve elde ettikleri tüm verileri dışarı çıkarabilmek için çöp kovası istediler. Yabancılar CFO’nun sesinide çalışmışlardı, bu sayede telefon açabildiler, CFO gibi davranıp telaş içindeymiş gibi, çaresizce network şifresine ihtiyacı olduğunu bildirdiler. Sıradan hacking tekniğini kullanarak üst seviyeden sisteme girdiler.
Bundan dolayı, yabancılar diğer hiç bir çalışanın bilmediği CFO için güvenlik denetimi gerçekleştiren network danışmanları idi. CFO tarafından verilmiş herhangi bir özel bilgi yoktu fakat social engineering sayesinde istedikleri tüm erişimi elde ettiler.

Social engineering’in en tehlikeli bölümü, saldırılara alabildiğince açık olan VPN’ler, network monitoring programları, firewall’lar ve otantikasyon işlemlerine sahip olan şirketlerdir, çünkü social engineering direk olarak güvenlik tedbirlerine saldırmaz. Bunu yerine bu tedbirleri atlar ve şirketteki insan öğesini hedef alır.

Hile Sanatı :

Social engineering, dışardaki biri tarafından hassas bilgiyi elde etme veya uygun olmayan erişim ayrıcalıklarını, uygun olmayan bir şekilde güven ilişkisi kurarak elde etmeyi içerir. Social engineer’ın amacı, birilerini kandırarak değerli bilgiyi elde etme veya bu bilgiye ulaşmaktır. İnsan doğasının özelliklerini av olarak kullanır örneğin, yardım etme isteği, insanlara güvenme eğilimi, sıkıntıya düşmekten korkma gibi. Uyumlu gibi gözüken veya şirketin bir parçası gibi gözükebilen hackerlar, social engineering ataklarında başarılı olur. Uyumlu olabilme yeteneğine yaygın olarak art of manipulation denir.

Art of Manipulation kullanımına örnek olarak şunu verebiliriz :
Bir Computer Security Instute yöneticisinin canlı gösterisi, bir telefon şirketi telefon ile aranmak istendiğinde, telefonun istenen kişiye aktarılması ve help desk’e ulaşıldığında help desklerin saldırıya açık olduğunu gösteriyor. Konuşma şöyle geçiyor : “Bu gece kim sorumlu”,”Oh,Betty sorumlu”, “Betty ile görüştür beni”,[Betty’ye aktarır],”Merhaba Betty, berbat bir gece dimi?” “Hayır, Neden?...Sistemleriniz çökmüş” Betty; “benim sistemlerim çökmedi, gayet güzel çalışıyor”, Bizim eleman;”Sen en iyisi sistem çık”, Betty sistemden çıkar. Bizim eleman;” tekrar sisteme gir”, Betty tekrar sisteme girer. Bizim eleman;”Bir sinyal bile görünmüyor, değişiklik görmüyoruz”. Bizim eleman tekrar sistemden çıkmasını söyler ve Betty denileni yapar.”Betty, senin ID ile ne gibi bir sorun olduğunu anlayabilmek için senin adına sisteme girmem gerekiyo. Bana kullanıcı adın ve şifren lazım”. Böylece ordaki yönetici kullanıcı adını ve şifresini verir. Bir kaç dakika içinde hacker, kendisi için günlerce sürebilecek olan bilgiyi, trafiği yakalayarak ve şifre kırarak elde eder. Social engineering ile bilgiyi elde etmek teknik araçlardan çok daha kolaydır.


İnsanlar güvenlik zincirindeki en zayıf halkadır. Başarılı bir savunma, uygun politikalara sahip olma ve bunları çalışanlara anlatmaktır. Social engineering, savunmaya karşı saldırının en sert şeklidir, çünkü şirket kendini donanım veya yazılım ile koruyamaz.

En Yaygın Saldırı Çeşitleri :

Social engineering iki çeşide ayrılabilir :

Human based (İnsan temelli): Bu tür social engineering, gerekli bilgiyi alabilmek için yüz yüze etkileşime girilmesidir. Örnek olarak help desk’in aranılıp, şifre istenmesi gibi.

Computer based (Bilgisayar temelli) : Bu tür social engineering ise, bilgisayar yazılımı ile istenilen bilgiyi almaya çalışmaktır.Örnek olarak, bir mail gönderilip bu mail içindeki web sitesi link’ine tıklatarak, onaylamak için şifresini tekrar girmesini istemek. Bu social engineering yöntemine phishing’de denir.

İnsan Temelli Social Engineering :

İnsan Temelli social engineering, aşağıdaki gibi geniş bir şekilde kategorilere ayrılabilir :

Bir çalışan veya geçerli bir kullanıcı gibi davranmak : Bu tür social engineering ataklarında hacker, sistem üzerinde geçerli bir kullanıcıymış gibi davranır. Hacker, sorumlu kimse, çalışan veya sözleşmeli biriymiş davranarak sisteme fiziksel olarak erişim sağlar.Bir kez içeri girdiğinde çöp kutularından,masaüstlerinden veya bilgisayar sistemlerinden bilgileri toplar.

Önemli biriymiş gibi davranmak : Bu atak şeklinde hacker, acil olarak sisteme veya dosyalara erişmek isteyen yüksek seviyede yönetici veya idareci gibi davranır. Hacker, tehdit ve gözdağı vererek help deskteki bir çalışan gibi kendinden düşük seviyedeki çalışanın sisteme girmesi için yardımını sağlar.Bir çok çalışanda yetkili görünen kişilere soru sormaktan çekinir.

3.Şahsı Kullanmak : Bu tür yaklaşımda, hacker sistemi kullanmak için yetkili bir kaynaktan izinlere sahipmiş gibi davranır. Bu atak özellikle yetkili kaynağın tatile çıktığı düşünüldüğünde veya doğrulamanın yapılabilmesi için ulaşılamaz olduğunda daha etkili olur.

Teknik Desteğin Aranması : Yardım için teknik desteğin aranması klasik bir social engineering yöntemidir. Help desk ve teknik destek personeli insanlara yardım etmeleri yönünde eğitilirler ve buda onları social engineering saldırıları için iyi birer kurban yapmaktadır.

Sholder Surfing (Çaktırmadan Bakmak): Bu yöntem, bir kullanıcı sisteme girerken omuz üstünden daha doğrusu çaktırmadan şifreleri toplamaktır.

Çöp Karıştırma (Dumpster Diving): Dumpster Diving, bilgilere erişimde parça kağıtlara veya bilgisayar çıktılarına bakmak için çöp kutularını karıştırmak şeklinde gerçekleşir.Hacker, sıklıkla şifreler, dosya isimleri veya bazı önemli bilgilere bu şekilde ulaşabilir.

İllegal bilgiye ulaşmanin daha gelişmiş yöntemi reverse social engineering olarak bilinir. Bu teknik kullanılarak, hacker yetkili bir posizyondaki bir karakter yaratır ve böylece çalışanlar hacker’a bilgiyi verirler. Örneğin, hacker help desk çalışanı gibi davranıp, şifreler gibi bilgileri isteyebilir.

Bilgisayar Temelli Social Engineering :

Bilgisayar Temelli saldırılar, aşağıdakileri içerebilir :

• E-Mail aklentileri
• Sahte Web siteleri
• Popup pencereleri

İçerdeki Kişilerden Saldırılar :

Eğer bir hacker, şirketi hacklemek için herhangi başka bir yöntem bulamazsa, diğer en iyi seçenek bir çalışan olarak işe girmek veya saldırıda yardımcı olacak hoşnut olmayan bir çalışan bulmaktır. İçerden yapılan saldırılar güçlü olabilir çünkü çalışanlar fiziksel olarak erişime sahiptir ve serbestçe şirket içinde dolaşabilirler. Örnek olarak, hacker,bir uniforma giyerek teslimatçı biriymiş gibi davranılabilir ve teslimat odasına veya yükleme bölümüne girilebilir. Diğer bir muhtemel içerden kişi olma örneği ise temizleme elemanı olarak davranmaktır. Bu sayede şirket içinde, odalarda rahatça dolaşabilir. Son çare olarak, hacker rüşvet verebilir veya bir çalışanı saldırının bir parçası olması için mecbur edebilir.

Kimlik Hırsızlığı :

Bir hacker saldırıyı gerçekleştirmek için bir çalışan gibi davranabilir veya çalışanın kimliğini çalabilir. Çöp kutularını karıştırarak veya omuz üstünden çaktırmadan bakarak toplanan bilgi sahte ID’li kimlik kartı yaratılarak şirket içine girilebilir. Binaya girebilen bir kişi yaratmak, kimlik kartı çalmanın tartışılmaz amacıdır.

Phishing Saldırıları :

Phishing, genellikle bir banka, kredi kartı firması veya başka bir finansal firmadan gönderilmiş gibi mail gönderilmesi şeklinde yapılır. E-mail içinde maili alan kişinin banka bilgilerini doğrulaması veya şifresini veya PIN numarasını sıfırlaması istenir. Kullanıcı mail içindeki link’e tıklar ve sahte bir web sitesine yönlendirilir. Hacker daha sonra bu bilgileri yakalayabilir ve bir saldırı başlatmak için kullanabilir. Bu saldırılar sıradan insanı avlar ve banka hesaplarına erişimi veya gizli bilgilere erişimi amaçlar.


Online Dolandırıcılık :

Bazı siteler, ücretsiz teklifler veya başka özel teklifler yaparak kurbanı ayartıp belkide sisteme giriş yaptığı aynı kullanıcı adı ve şifresini girmesini ister. Hacker kullanıcının web sitesinden girdiği geçerli kullanıcı adı ve şifreyi kullanabilir.
Mail ekleri, kurbanın sistemine, otomatik olarak çalışan, şifreleri çalan keylogger gibi kötü niyetli kod gönderebilir. Virüsler, worm’lar ve trojanlar mailler içine ustalıkla yerleştirilip kurbanın ekleri açması ikna edilebilir. Mail ekleri bilgisayar temelli social engineering saldırılarında görülür.

Güvenli olmayan bir mail ekinin alıcı tarafından açılmasına bir örnek :

Mail server report.

Firewall’ımız sizin bilgisayarınızdan worm barındıran bir mail gönderildiğini belirledi.

Bugünlerde bir çok bilgisayardan bu olay meydana gelmektedir, çünkü bu yeni bir virüs çeşididir (Network worms).

Windows içindeki yeni bir bug’ı kullanan bu virüsler farkında olmadan bilgisayara bulaşmaktadır.
Virüs bilgisayara nüfuz ettikden sonra tüm email’leri bulup topladıktan sonra bu adreslere kendini kopyalayıp göndermektedir.

Worm’u bertaraf etmek ve bilgisayarınızı eski haline getirmek için lütfen güncellemelerinizi yükleyin .

En iyi dileklerimle,
Müşteri Destek Servisi


Popup pencereleride ayrıca bilgisayar temelli saldırılarda mail ekleri ile benzer amaçla kullanılır. Pop-up pencereleri özel teklifler veya ücretsiz bir şeyle kullanıcıyı teşvik edip istemeyerek kötü niyetli yazılımın yüklenmesine neden olur.

URL Şaşırtma :

URL’nin açılımı Uniform Resource Locator’dır ve genellikle web tarayıcısının adres çubuğuna yazılarak bir web sitesine ulaşmak için kullanılır. Terim olarak web sitesi adresidir. URL şaşırtma, URL’yi saklama veya fake web adresini gerçek gibi göstermektir. Örnek olarak ; 204.13.144.2 / Citibank web adresi Citibank’ın gerçek adresi gibi görünebilir fakat aslında gerçek değil. URL şaşırtmaca phishing saldırılarında kullanılır ve bazen online dolandırıcılık, dolandırıcılığı yasal gibi gösterir. Bir web sitesi adresi firmanın gerçek ismi ve logosu gibi görünebilir fakat içerdeki link sahte bir web sitesi veya Ip adresidir. Kullanıcı link’e tıkladığında hacker’ın sitesine yönlendirilir. Adresler, hexadecimal veya decimal yazımlar kullanılarak kötü niyetli linkler olarak gizlenebilir. Örnek olarak ;192.168.10.5 adresi decimal olarak 3232238085 şeklinde gösterilir.

Açıklama :

3232238085
Aynı adres hex değer olarak C0A80A05 gibi görünür. Bu dönüştürme 3232238085 sayısını 16’ya bölümler ile gerçekleşir.
Açıklama : 3232238085/16 = 202014880.3125 (.3125 * 16 = 5)
202014880/16 = 12625930.0 (.0 * 16 = 0)
12625930/16 = 789120.625 (.625 * 16 = 10 = A)
789120/16 = 49320.0 (.0 * 16 = 0)
49320.0/16 = 3082.5 (.5 * 16 = 8 )
3082/16 = 192.625 (.625 * 16 = 10 = A)
192/16 = 12 = C”

Social Engineering’e Karşı Önlemler :
Social Engineering’e karşı nasıl mücadele edileceğini belirlemek her ethical hacker için kritik öneme sahiptir. Bunu yapmak için bir kaç yol var.

Dökümantasyon ve güvenlik ilkelerinin uygulanmasını zorlamak ve güvenlik bilinci programları, her bilgi güvenlik programı içinde en kritik bileşenlerdir. İyi politikalar ve prosedürler eğer çalışanlara öğretilmez ve sağlamlaştırılmaz ise verimli olmayacaktır. İlkeler, çalışanlar ile iletişime geçilip önlemleri vurgulanmalı ve yöneticiler tarafından uygulanmalıdır. Güvenlik bilinci (Farkındalığı) eğitimi alındıktan sonra, çalışanlar şirketin güvenlik ilkelerinin destekçisi olacaklardır.

Şirket güvenlik ilkesi, hesapların ne zaman nasıl oluşturulacağı ve kaldırılacağını, şifrelerin ne sıklıkla değiştirileceğini, kimin ne tür bilgiye erişebileceğini ve ihlallerin veya ilkelerin nasıl ele alınacağını göstermek zorundadır. Ayrıca deminki görevler için help desk prosedürlerinin aynı zamanda çalışanlara da açıklanmalıdır, örneğin,çalışan kişinin numarası veya başka bilgi isteyerek şifre değişiminin yapılması. Kağıt dökümanlarının yokedilmesi ve güvenlik ilkesine tabi ek bölgelere fiziksel erişimin kısıtlanmasıda tanımlanmalıdır.S on olarak şirket güvenlik politikası, modem kullanımları ve virüs kontrolü gibi teknik bölgeleride tanımlamalıdır.

Güçlü güvenlik politikasının avantajlarından biride çalışanların hackerların isteklerine karşılık karar verme sorumluluklarını kaldırmasıdır. Eğer istek politikalara karşı bir istek ise çalışan bu isteği redetmek için bir rehbere sahip olacaktır.

Social engineering’e karşı en önemli tedbir çalışanların eğitilmesidir. Tüm çalışanlar önemli bilgilerin nasıl korunacağı konusunda eğitilmek zorundadır.Yönetici takımları güvenlik politikalarını yaratmak ve yönetme işindedir. Bu sayede politikaları tam olarak anlayabilir ve uygulayabilirler. Şirket güvenlik bilinç politikası, tüm yeni çalışanların bir güvenlik programına gitmesini gerektirmelidir. Yıllık olarak açılacak sınıflar ile çalışanların bilgilerinin güncellenmesi ve kuvvetlendirilmesi gerekir.
İlginin artırılmasının diğer bir yoluda aylık olarak çıkartılabilecek güvenlik bilinci ile ilgili yazılar içeren gazetedir.

Hiç yorum yok:

Yorum Gönder