arkası - wordpress.com · 2010. 9. 17. · gİrİŞ bu kitap, bilgi güvenliği ve toplum...
TRANSCRIPT
GİRİŞBu kitap, bilgi güvenliği ve toplum mühendisliğiyle ilgili yoğun bilgiler
içermektedir. Yolunuzu bulmanızı kolaylaştırmak için, işte size kitabın .içeriğine hızlı bir bakış:
Perde Arkası başlığında güvenliğin en zayıf halkasını açıklayacak,sizin ve şirketinizin neden toplum mühendisliği saldırılarına maruz kala-bileceğinizi göstereceğim.
Saldırı Sanatı başlığında, toplum mühendislerinin istediklerini eldeetmek için güveninizle, yardımcı olma isteğinizle, sevecenliğinizle veinsanî saflıklarınızla nasıl oynadıklarım göreceksiniz. Sık görülensaldırılarla ilgili hayalî öyküler toplum mühendislerinin pek çok kimliğeve yüze bürünebildiklerini size gösterecek. Eğer daha önce bir toplummühendisiyle karşılaşmadığınızı düşünüyorsanız, büyük olasılıklayanılıyorsunuzdur. Bakalım, bu öykülerde daha önce sizin deyaşadığınız bir senaryo görecek ve toplum mühendisliğinin sizedokunup dokunmadığını merak edecek misiniz? Bu olmayacak bir şeydeğil. Ancak ikinci bölümden dokuzuncu bölüme kadar okuduktansonra, sizi arayan ilk toplum mühendisinin nasıl hakkından geleceğiniziöğrenmiş olacaksınız.
Davetsiz Misafirlere Dikkat adlı başlıkta İse, toplum mühendis-lerinin, şirket alanınıza girerek, şirketinizi batıracak ya da çıkaracak sır-'lan çalıp, sizin yüksek teknoloji güvenlik önlemlerinizi atlatarak riskinasıl artırdığını, uydurma öykülerle göreceksiniz. Bu başlık altındaanlatılan senaryolar, bir çalışanın intikam almasından tutun da, sanalterörizme kadar oluşabilecek çeşitli tehditlerin farkına varmanızı sağlay-acaktır. Eğer işletmenizi ayakta tutan bilgilere ve verilerinizin güven-liğine değer veriyorsanız, onuncu ve on dördüncü bölümleri baştansona okumak isteyeceksiniz.
Aksi belirtilmediği takdirde, bu kitapta kullanılan tüm öykülerinuydurma öyküler olduklarını vurgulamakta yarar var.
Çıtayı Yükseltmek başlığında şirket yaklaşımını ele alıp kuru-munuza yapılan toplum mühendisliği saldırılarının başarıya ulaş-malarının nasıl engellenebileceğinden söz edeceğiz. On beşinci bölümbaşarılı bir güvenlik eğitimi programı için bir taslak sunmaktadır. Ve onaltıncı bölüm tam hayatınızı kurtaracak şey olabilir; kurumunuzauyarlayabileceğiniz, şirketinizi ve bilgilerinizi emniyette tutmak içinhemen uygulamaya geçirebileceğiniz, her yönüyle tam bir güvenlikkuralları metni.
En sona, işbaşında karşılaştıkları bir toplum mühendisliği saldırısınıönleyebilmeleri için çalışanlarınıza yol göstermekte kullanabileceğinizkilit bilgileri özetleyen kontrol listeleri, tablolar ve şemalar içeren
xiv Aldatma Sanatı .
Bir Bakışta Güvenlik adında bir bölüm ekledim. Bu araçlar aynızamanda, kendi güvenlik eğitimi programlarınızı oluşturmakta kullan-abileceğiniz değerli bilgiler de içermektedir.
Kitapta pek çok faydalı unsurla karşılaşacaksınız: Terim kutuları,toplum mühendisliği ve bilgisayar korsanlığı terimlerinin açıklamalarınıİçerirler; Mitnick Mesajları güvenlik stratejinizi güçlendirmenize yardım-cı olacak kısa bilgiler sunmaktadır; notlarda ise ek bilgiler ve ilginçayrıntılar bulunmaktadır. 1
PerdeArkası
GÜVENLİĞİN EN ZAYIF HALKASI
Bîr şirket paranın alabileceği en iyi güvenlik teknolojilerini satınalmış; çalışanlarını, akşam eve giderken her şeylerini kilit altına alacakşekilde son derece iyi eğitmiş ve bina güvenlik görevlilerini sektörün eniyi güvenlik şirketinden kiralamış olabilir.
Bu şirket yine de tamamen savunmasızdır.
Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarınıçalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilir-ler ve uygun sistem yapılandırmasını ve güvenlik yamaların! kullanmakkonularında son derece dikkatli davranabilirler.
Bu bireyler yine de tamamen savunmasızdırlar. \ .-•- • : .,•
İnsan UnsuruYakın bir geçmişte Kongre'ye ifade verirken, başka birisi gibi davra-
narak ve yalnızca bu bilgiyi isteyerek, şifreleri ve diğer hassas bilgileriçoğu zaman şirketlerden alabildiğimi anlattım.
Tam anlamıyla güvende olduğunu bilmeyi istemek doğal birduygudur ama bu, pek çok İnsanın sahte bir güvenlik hissiyle yetinme-sine de neden olur. Karısını, çocuklarını ve evini korumak için ön kapısı-na, maymuncukla açılamaz olarak bilinen, Medico marka bir silindirli kilittaktırmış, sorumluluk sahibi ve sevecen bir ev sahibini düşünün.Davetsiz misafirlere karşı ailesini güvenceye aldığı için içi rahat. Amapencereyi kıran ya da garaj kapısının şifresini bozan hırsızlara ne ola-cak? Güçlü bir aiarm sistemi yerleştirmek daha iyi olurdu ancak yine debir garantisi yok. Pahalı kilitler olsun ya da olmasın, ev sahibininsaldırıya açık olma hali devam ediyor.
Neden? Çünkü İnsan unsuru aslında güvenliğin en zayıf halkasıdır.
Güvenlik çoğu zaman bir yanılgıdan ibarettir, jşin içine dikkatsizlik,saflık ve cahillik de girince daha da kötü olur. Yirminci yüzyılın en saygınbilimadamı olan Albert Einstein şöyle demiştir: "Yalnızca iki şey sonsuz-dur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan okadar da emin değilim." Sonuç olarak, insanlar aptailarsa ya da dahasık görülen şekliyle, doğru güvenlik uygulamaları konusunda bilgisiz-lerse, toplum mühendisliği saldırıları başarılı olmaktadır. Pek çok bi-lişim teknolojileri (BT) sektörü çalışanı, güvenlik bilincine sahip aile
A Aldatma Sanatı
reisimizle aynı yaklaşımı kullanarak, güvenlik duvarları, müdahaleleriortaya çıkarma sistemleri ya da daha güçlü tanıma sistemleri olanzaman tabanlı kartlar ve biyometrik akıllı kartlar gibi herkesçe kabul gör-müş güvenlik ürünleri kullandıkları için şirketlerini saldırılara karşı büyükölçüde güvende tuttukları doğrultusunda yanlış bir kanıya sahiptirler.Güvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağınainanan biri, güvenlik konusunda kendini kandırıyor demektir. Bu ancakhayal aleminde görülebilecek bir durumdur. Bu insanlar er ya da geç,kaçınılmaz olarak bir güvenlik sorunu yaşayacaklardır.
Tanınmış bir güvenlik danışmanı olan Bruce Schneier'ın da dediğigibi, "Güvenlik bir ürün değil, bir süreçtir." Dahası, güvenlik bir teknolojisorunu değildir; bir insan ve yönetim sorunudur.
Araştırmacılar sürekli olarak daha iyi güvenlik teknolojileri geliştiripteknik açıkları sömürmeyi giderek zoriaştırınca, saldırganlar insanunsurunu sömürme yoluna daha çok gideceklerdir, insanların güvenlikduvarını kırmak genellikle daha kolaydır ve bir telefon görüşmesindenbaşka yatırım istemediği gibi riski de çok düşüktür.
Klasik Bir Aldatma Olayıİşletmenizin mal varlığının güvenliğine karşı en büyük tehdit nedir?
Yanıtlaması kolay: toplum mühendisi; siz sağ eline bakarken sol eliylesırlarınızı çalan acımasız bir sihirbaz. Bu kişi çoğu zaman o kadararkadaş canlısı, samimi ve yardımseverdir ki onunia karşılaştığınızaşükredebilirsiniz bile.
Bîr toplum mühendisliği örneğine bakalım: Bugün pek çok insanStanley Mark Rifkin adındaki genç adamı ve artık var olmayan LosAngeles'taki Pasifik Hisseleri Ulusal Bankası'yla olan macerasını hatır-lamaz. Gerçekte ne olduğuyla ilgili çeşitli rivayetler vardır ve Rifkin de,benim gibi, hikâyesini kendi ağzından hiçbir zaman anlatmamıştır. Buyüzden aşağıdakiler yayımlanmış makalelerden derlenmiştir.
Şifre Kırmak1978 yılında bir gün Rifkin, Pasifik Hisseteri'nin yalnızca yetkili per-
sonelinin girebildiği ve odadakilerin her gün milyarlarca dolar tutarındahavale gönderip aldıkları havale odasına doğru yollandı.
Ana bilgisayarın çökmesi olasılığına karşı, havale odasının verileri içinyedekieme sistemi geliştirecek bir şirkette sözleşmeli olarak çalışıyordu.Bu görevi, banka yetkililerinin havaleleri nasıl gönderdikleri de dahil olmaküzere, tüm havale süreçlerini öğrenmesini sağlamıştı. Her sabah havaleyapmaya yetkili banka çalışanlarına, havale odasını aradıklarında kullan-maları için, özenle korunan günlük bir şifrenin verildiğini öğrenmişti.
Güvenliğin En Zayıf Halkası
Havale odasındaki memurlar her gün değişen şifreyi ezberlemek içinkendilerini yormuyorlardı: Şifreyi küçük bir kâğıda yazıp kolayca görebile-cekleri bir yere asıyorlardı. Kasım ayının tam o gününde Rİfkin'in odayıziyaret etmesinin özel bir nedeni vardı. O kâğıda bakmak istiyordu.
Havale odasına gelerek, çalışma süreçleriyle ilgili notlar aldı; güyayedekieme sisteminin olağan sistemlerle tam olarak Örtüştüğündenemin olmak istiyordu. Bu sırada asılı kâğıttaki güvenlik şifresini gizliceokudu ve ezberledi. Birkaç dakika sonra dışarı çıktı. Daha sonrasöylediğine göre, o an kendini piyangoda büyük ikramiyeyi kazanmışgibi hissetmişti.
Bir De İsviçre'deki Şu Banka Hesabına...Öğleden sonra saat üç sularında odadan çıkmış, doğruca binanın
mermer kaplamalı girişindeki telefon kulübelerine gitmiş, telefona jetonatarak havale odasının numarasını çevirmişti. Sonra, telefonda başkabir kılığa bürünmüş, kendini, banka danışmanı Stanley Rifkin'den,bankanın Uluslararası İşlemler Birimi'nin bir çalışanı olan MikeHansen'a dönüştürmüştü.
Bir kaynağa göre, yapılan görüşme aşağıdaki gibi gelişmişti:
"Merhaba, ben Uluslararası İşlemler'den Mike Hansen," dedi Rifkin,telefonun diğer ucundaki genç kadına.
Kadın ofis numarasını istedi. Bu olağan bir soruydu ve Rifkin hazır-lıklıydı: "286," dedi.
Kadın sonra "Peki, şifre nedir?" diye sordu.
Rİfkin'in adrenalinin etkisiyle zaten hızlı atan kalbi o anda iyice hız-landı. Duraksamadan yanıtladı, "4789." Sonra havale talimatlarını ver-meye başladı: New York Irving Yatırım Ortaklığı'ndan Zürih VVozchodHandels Bankası'ndaki hesaba yatırılmak üzere "tam olarak on milyoniki yüz bin dolar." Bü hesabı önceden kendisi açtırmıştı.
Kadın söylenenleri not edip, "Tamam, bilgileri aidim. Şimdi de birim-ler arası takas numarasına ihtiyacım var." dedi
Rİfkin'in başından aşağı kaynar sular döküldü; bu beklemediği birsoru, araştırmasında unuttuğu bir ayrıntıydı. Ama soğukkanlılığınıkoruyup her şey yolundaymış gibi davrandı ve hiç beklemeden cevapverdi, "Bir kontrol edeyim; sizi hemen ararım." Bu kez bankanın başkabir birimini aramak için tekrar telefonda kılık değiştirerek havale odasın-daki bir çalışan gibi davrandı. Takas numarasını öğrendi ve genç kadınıyeniden aradı.
Genç kadın numarayı aldı ve, "Teşekkürler" dedi. (Bu koşullar altında,teşekkür etmesi gerekenin aslında Rifkin olması gerektiği söylenebilir.)
6 Aldatma Sanatı
Amaca UlaşılmasıBirkaç gün sonra Rifkin İsviçre'ye uçtu, parasını aldı ve 8 milyon
dolarını bir yığın elmas karşılığında bir Rus acentasına verdi. Tekraruçağa bindi ve taşları bir para kuşağına saklayarak A.B.D. gümrüğün-den geçti. Tarihteki en büyük banka soygununu yapmıştı ve bunu birsilah, hattâ bir bilgisayar bile kullanmadan gerçekleştirmişti. Tuhaf olan,işlediği suçun bir süre sonra "en büyük bilgisayar dolandırıcılıkları"başlığı altında Güinness Rekorlar Kitabı'nın sayfalarında yer almasıydı.
Stanley Rifkin'in insanları aldatma sanatında kullandığı bu beceri veteknikler bütününe artık toplum mühendisliği diyoruz. Aslında bu iş içingerekenler özenli bir planlama ve iyi laf yapma yeteneğinden ibaret.
Ve bu kitabın konusu işte bu -bendenizin ustası olduğu- toplummühendisliği teknikleri ve şirketiniz üzerinde kullanılmaları durumundanasıl karşı savunma yapacağınız.
Tehlikenin BoyutuRifkin'in öyküsü, güvende olduğumuz hissinin ne kadar.yanlış bir
düşünce olduğunu mükemmel bir şekilde açıklıyor. Bu tarz olaylar -belki10 milyon dolarlık vurgunlar değil ama- her gün oluyor. Şu anda pa-ralarınız gidiyor olabilir ya da birileri yeni ürünlerinizin tasartmlartnıçalıyor olabilir ve siz bunun farkında bile değilsiniz. Eğer şirketinizinbaşına henüz böyle bir olay gelmediyse, sormanız gereken şey bununolup olmayacağı değil, ne zaman olacağı.
Artan EndişeBilgisayar Güvenliği Enstitüsü'nün, 2001 yılında bilgisayar suçlarıy-
la ilgili yaptığı araştırmaya göre, geçen on iki ay içerisinde araştırmayakatılan kuruluşların yüzde 85'inin bilgisayarlarına yetkisiz giriş yapılmış.Bu şaşırtıcı bîr rakam: Araştırmaya katılan her yüz kuruluştan yalnızcaon beşi yıl boyunca güvenlik ihlâfi yaşamadığını söyleyebilmiş. Bir okadar şaşırtıcı olan başka bir veri de bilgisayarlarına izinsiz girişlersonucunda mali zarara uğrayan kuruluşların oranı: yüzde 64. Tek bir yıliçerisinde kuruluşların yansından fazlası mali zarara uğramış.
Kendi deneyimlerim bu tarz araştırmalardaki rakamların birazabartılı olduğunu söylüyor. Araştırmayı yapan kişilerin niyetlerindenkuşkuluyum. Ama bu, zararın az olduğu anlamına gelmez. Zarar büyük.Güvenlik ihlâllerine karşı hazırlıklı olmayanlar, aslında kaybetmeyehazırlanıyorlar.
Pek çok şirkette kullanılan ticari güvenlik ürünleri, çoğunlukla,yazılımcı veletler olarak bilinen amatör bilgisayar korsanlarına karşı
Güvenliğin En Zayıf Halkası
koruma sağlamayı amaçlamaktadırlar. İnternetten indirilmiş programlarkullanan bu yeniyetme korsanlar çoğu zaman biraz rahatsızlık vermek-ten öteye gidemiyorlar. Büyük kayıplar ve gerçek tehlike, maddi birkazanç sağlamaya güdülenmiş, hedefleri iyi tanımlanmış, planlı saldır-ganlardan geliyor. Bu İnsanlar, amatörler gibi birçok sisteme birdengirmeye çalışmaktansa, her seferinde tek bir hedef üzerinde yoğun-laşıyorlar. Amatör korsanlar sayıyı çok tutmayı amaçlarken, profes-yoneller kaliteli ve değerli bilgiyi hedefliyorlar.
Kimlik tespiti için kullanılan tanıma araçları, sistem özkaynaklannave dosyalara erişimin yönetilmesi için erişim kontrolü sistemleri ve hırsızalarmlarının elektronik karşılığı olan izinsiz girişleri tespit sistemleri gibiteknolojiler, bir şirket güvenlik programı için önemlidirler. Yine de şir-ketler, güvenlik önlemlerine yatırım yapmaktansa, kahveye para harca-mayı yeğliyorlar.
Suçluların aklı nasıl suç işlemeye yönelik çalışıyorsa, bilgisayar kor-sanının da aklı güçlü güvenlik teknolojilerinin açıklarını bulmaya yönelikçalışır. Çoğu zaman da bunu teknolojiyi kullanan kişileri hedefleyerekyaparlar.
Yanıltıcı UygulamalarEn emniyetli bilgisayarın kapalı bir bilgisayar olduğuna dair yaygın bir
söz vardır. Akıllıca ama yanlış: Art niyetli bir kişi ofise gidip bilgisayarıaçması için birini ikna ederek işi bitirir. Elinizdeki bilgiye sahip olmakisteyen bir rakibiniz, çoğu zaman var olan pek çok farklı yoldan birini kul-lanarak onu elde edebilir. Bu iş yalnızca zamana, sabırlı olmaya, kişiliğeve ısrarcılığa bakar. İşte bu noktada aldatma sanatı devreye girer.
Bir saldırganın, davetsiz misafirin ya da toplum mühendisinin güven-lik önlemlerini atlatmak amacıyla, bilgisini paylaşacak güvenilir bir kul-lanıcıyı kandırması ya da hiçbir şeyden kuşkulanmayan bir hedefi onagiriş hakkı tanıması için aldatması gerekir. Güvenilir çalışanlar, hassasbilgileri paylaşmaları için ya da saldırganın içeri sızmasını sağlayacakbir güvenlik açığı yaratmaları için kandırılabildiklerinde, ikna edilebildik-lerinde ya da yönlendırilebildiklerinde dünyadaki hiçbir teknoloji bir şir-keti koruyamaz. Tıpkı şifre çözümleyicilerinin şifre teknolojisini bertarafedecek bir açık bularak, şifrelenmiş bir mesajın içeriğini öğrenebildiklerigibi, toplum mühendisleri de güvenlik teknolojilerini bertaraf etmek içinçalışanlarınızı aldatma yöntemi kullanılan
Güvenin Kötüye KullanılmasıÇoğu durumda, başarılı toplum mühendislerinin güçlü İnsan ilişkileri
vardır. Hızlı dost olup güven sağlayabilmek için gerekli kişilik özellikle-rine sahip; yani etkileyici, nazik ve sevimli kişilerdir. Deneyimli bir toplum
8 Adatma Sanatı
mühendisi, sanatının stratejilerini ve taktiklerini kullanarak neredeysehedeflediği her bilgiye ulaşabilir.
Yetenekli teknoloji uzmanları alın teri dökerek bilgisayar kullanımınabağlı riskleri en aza indirgemek için bilgi güvenliği çözümleri üretmişler,ancak en zayıf halka olan insan unsuruna dokunmamışlardır. Tümzekâmıza karşın, biz insanlar -siz, ben ve diğer herkes- birbirimizingüvenliğine yönelik en büyük tehdidi oluşturuyoruz.
Ulusal KarakterimizÖzellikle Batı dünyasında, bu tarz tehditlerin üzerinde durmuyoruz.
Bize birbirimizden şüphelenmemiz öğretilmiyor. Bu en çok daAmerika'da böyle. Bize "komşumuzu sevmemiz", birbirimize güven-memiz ve inanmamız öğretilir. Yerel güvenlik örgütlerinin, insanlarıevlerini ve arabalarını kilitlemeye ikna etmelerinin ne kadar zorolduğunu bir düşünün. Bu tarz açıkların verilebileceği gün gibi ortadadırve haya! dünyasında yaşamayı tercih eden pek çokları tarafından gözardı edilmektedir; ta ki ağızları yanana kadar.
Her insanın iyi niyetli ve dürüst olmadığını biliyoruz, ancak çoğuzaman sanki öyle değillermiş gibi davranıyoruz. Bu muhteşem saflık,Amerikalıların yaşamlarının temel taşıdır ve bundan vazgeçmek acıverici olacaktır. Bir ulus olarak, özgürlük anlayışımızın içine, yaşanacaken İyi yerin anahtarların ve kilitlerin en az gerekli olduğu yer anlayışınıda koymuşuz.
Çoğu insan, kandırılma olasılığının çok düşük olduğu İnancınadayanarak, başkaları tarafından kandıramayacağı varsayımıyla hareketeder; bu ortak inancın bilincinde oian saldırgan, isteğini o kadar akıllıcasunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür.
Kurumsal SaflıkUlusal karakterimizin bir parçası olan bu saflık, bilgisayarlar ilk
olarak uzaktan birbirlerine bağlandıklarında da görülüyordu. Hatırlayın,İntemet'ın ilk şekli olan ARPANet {Savunma Bakanlığı ileri AraştırmaProjeleri Birimi Ağı} devlet, araştırma ve eğitim kurumlan arasında bilgipaylaşmanın bir yolu olarak tasarlanmıştı. Amaç, teknolojik ilerlemeninyanısıra bilgi özgürlüğüydü. Böylece pek çok eğitim kurumu, ilk bilgisa-yar sistemlerini ya hiç ya da çok az güvenlik sağlayarak kurdular.Tanınmış bir yazılım Özgürlükçüsü olan Richard Stallman, kendihesabını bir şifreyle korumayı bile reddetmişti.
Ancak internet'in elektronik ticaret için kullanılmaya başlanması,zayıf güvenlik Önlemlerinin, her şeyin biribirine kablolarla bağlı olduğudünyamızda yaratacağı tehlikeleri ciddi şekilde açığa çıkardı.
Güvenliğin En Zayıf Halkası
Bugünün havaalanlarına bir bakın. Güvenlik en üst düzeye ulaşmışdurumda ancak güvenliği aşıp, kontrol noktalarından tehlikeli olabileceksilahlar geçiren yolcularla ilgili basında duyduğumuz haberlerle dehşetedüşüyoruz. Hava alanlarımız böyle bir alarm durumundayken bu nasılmümkün olabiliyor? Metal dedektörleri mi doğru çalışmıyor? Hayır.Sorun makinelerde değil. Sorun insan unsurunda: Makineleri çalıştıraninsanlarda. Hava alanı yetkilileri Ulusa! Muhafızlar1! kapıya koyup, metaldedektörleri ve yüz tanıma sistemleri yerleştirebilirler ama aktif güvenlikgörevlilerini, yolcuları nasıl kontrol edecekleri konusunda eğitmek dahayararlı olur gibi görünüyor.
Aynı sorun, dünya çapında, tüm devlet kurumları, eğitim kuruluşları veticari işletmeler için de geçerli. Güvenlik uzmanlarının çabalarına karşınbilgiler savunmasız kalıyor ve güvenlik zincirinin en zayıf halkası olanİnsan halkası güçlendirümediği sürece, toplum mühendisliği becerileriolan saldırganlarca iştah açıcı bir hedef olarak görülmeye devam ediyor.
Her zamankinden çok şu anda, pembe gözlüklerimizi çıkarıp, bil-gisayar sistemlerimizin ve ağlarımızın gizliliğine, bütünlüğüne ve varliğı-na saldırmaya yeltenecek olanların kullandığı yöntemlere karşı dahagözü açık olmalıyız. Trafikte diğer arabaların herşeyi yapabileceğiolasılığına karşı geliştirilen korunmacı sürücülüğün gerekliliğine zaman-la inandık; artık korunmacı programcılık uygulamalarını da öğreniponlara da inanma zamanımız geldi.
Özel yaşantınızı, aklınızı ya da şirketinizin bilgi sistemlerini ihialeden bir saldırı tehlikesi, başınıza gelene kadar gerçekleşecekmiş gibigörünmeyebilir. Maliyetleri yüksek olan böylesi bir gerçekle yüzleşmek-ten kaçınmak için, bilgi varlıklarımızı, kendi kişisel bilgilerimizi veulusumuzun hassas alt yapılarını korumak konusunda hepimizin bilinçli,eğitimli ve uyanık olmamız gerekmektedir. Ve bu önlemleri bugündenalmamız şarttır.
Teröristler ve AldatmacalarAldatma sanatı, doğal olarak, yalnızca toplum mühendisine özgü bir
araç değildir. FizikseMerörizm büyük yankılar uyandırıyor ve dünyanıntehlikeli bir yer olduğunun daha önce hiç varmadığımız kadar farkına var-mamıza yol açıyor. Sonuçta, medeniyet yalnızca ince bir kaplama gibi.
Eylül 2001'de, New York ve VVashington'a yapılan saldırılar her bi-rimizin -yalnızca Amerikalıların değil, tüm ulusların iyi niyetli insanlarınında- yüreğine hüzün ve korku saldı. Dünyanın her tarafında, iyi eğitilmişve yeni saldırılar yapmanın fırsatını kollayan, takıntılı teröristlerin olduğugerçeğine karşı uyarıldık.
Devletlerin son zamanlarda artan çabalan, güvenlik bilinci düze-yimizi artırdı. Her tür terörizme karşı uyanık ve tetikte olmalıyız.
10 Aldatma Sanatı
Teröristlerin nasıl büyük bir hainlikle sahte kimlikler yarattıklarını, öğren-ci ve komşu rollerine büründüklerini ve kalabalığa karıştıklarını iyiceanlamamız gerekir. Entrikalar çevirirlerken, bu sayfalarda okuyacak-larınıza benzer aldatma numaraları çekerek asıl niyetlerini gizliyorlar.
Bildiğim kadarıyla, teröristler şirketlere, içme suyu tesislerine, elekt-rik üretme tesislerine ya da ulusal altyapımızın başka yaşamsal Önemiolan parçalarına sızmak için henüz toplum mühendisliği teknikleri kul-lanmadılarsa da, asıl sorun orada yatıyor. Bunu yapmak son derecekolay. Bu kitap sayesinde, şirket üst yönetimlerinin güvenlik bilincini yer-leştirip yeni güvenlik politikalarını uygulamaya koyacağını umuyorum.
Bu Kitap HakkındaŞirket güvenliği bir denge konusudur. Yetersiz güvenlik, şirketinizi
çok savunmasız bırakırken, güvenliğin üzerinde fazla durmak ise işleilgilenilmesini engelleyip, şirketin büyümesini ve kazancını kısıtlar. Asılzor iş güvenlik ve üretkenlik arasındaki dengeyi kurmaktır.
Şirket güvenliğiyle İlgili başka kitaplar yazılım ve donanım teknoloji-leri üzerine odaklanırlar ve en ciddi tehlikeye yeterince yer vermezler:insanların aldatılması. Bu kitabın amacı, diğerlerinden farklı olarak,sizin, beraber çalıştığınız insanların ve şirketinizin diğer çalışanlarınınnasıl yönlendirilebileceğini anlamanıza yardımcı olmak ve kandırılankişi konumundan çıkmak için ne gibi önlemler alabileceğinizi göster-mektir. Elinizdeki kitap, çoğunlukla, saldırganların bilgi çalmak, güvenilirolduğu düşünülen ama aslında öyle olmayan bir bilgiyi doğrulamak yada bir şirket ürününü tahrip etmek için kullandıkları, teknik olmayan yön-temler üzerinde duruyor.
Benim görevim, var olan basit bir gerçek nedeniyle daha da zor-laşıyor: Her okuyucu, toplum mühendisliğinin en büyük ustaları olananne-babalar tarafından zaten yönlendirilmiş durumda. Anne vebabanız "sizin iyiliğiniz için," diyerek en doğru olduğunu düşündüklerişeyleri size yaptırmanın yoifannı buldular. Toplum mühendisleri, hedef-lerine ulaşmak için hikâyelerin, nedenlerin ve gerekçelerin üzerindenasıl özenle ve maharetle oynuyorîarsa, anne-babalar da aynı yöntem-leri kullanan başarılı birer hikâye anlatıcısıdırlar. Evet, hepimiz, iyi niyetli(ve bazen o kadar da iyi niyetli olmayan) toplum mühendisleri olananne-babalarımtz tarafından yoğrulduk.
Bu eğitimle şartlanmış olarak yönlendirilmeye açık hale geldik. Eğerher zaman tetikte olup başkalarına güvenmeseydik, bizden yararlan-mak isteyen birinin kuklası olacağımız endişesiyle dolu olsaydık, zor biryaşam sürüyor olurduk. Kusursuz bir dünyada kuşku bile duymadanbaşkalarına güvenir, karşılaştığımız insanların dürüst ve güvenilir olduk-larından emin olurduk. Ama kusursuz bir dünyada yaşamıyoruz ve bu
Güvenliğin En Zayıf Halkası 11
yüzden rakiplerimizin yanıltıcı çabalarını engellemek için bir dereceyekadar ihtiyatlı olmalıyız.
Kitabın ana parçalarını oluşturan ikinci ve üçüncü ana başlıklar,toplum mühendislerini iş başında gösteren hayalî öykülerden oluşuyor.Bu bölümlerde şunları göreceksiniz:
. Telefon beleşçilerinin yıllar önce buldukları, telefon şirketindenrehberde geçmeyen bir numarayı almanın sağlam bir yolunu.
• Saldırganların kullandıkları, uyanık ve kuşkucu çalışanları bilebilgisayar kullanıcı adlannı ve şifrelerini vermeye ikna edecekçeşitli yöntemleri,
• Bir İşlem Merkezi yöneticisinin şirketinin en gizli ürün bilgisiniçalabilmesi için bir saldırgana nasıl yardım ettiğini,
• Bir hanımı, her tuşa basışım kaydeden sonra da ayrıntılarısaldırgana e-postalayan bir yazılım indirmesi için kandıran birtoplum mühendisinin kullandığı yöntemleri,
• Özel dedektiflerin şirketinizle ve sizinle ilgili nasıl bilgi topladıklarınıokuyacaksınız. Bu sonuncunun içinizi ürperteceğinden eminim.
İkinci ve üçüncü ana başlıklarda geçen bazı hikâyeleri okurken, bun-ların mümkün olmadığını bu sayfalarda yazılı yalanların, aşağılıknumaraların ve dalaverelerin hiç kimsenin yanına kalmayacağınıdüşünebilirsiniz. Gerçek şu ki, her olayda anlatılan hikâyeler olmuş veolabilecek olayları yansıtmaktadırlar: Pek çoğu dünyanın bir köşesindeher gün olmaktadır; hattâ siz bu kitabı okurken sizin kurumunuzun bilebaşına geliyor olabilir.
Kitabın içeriği, işinizi korumak söz konusu olduğunda gerçektenibret verici olacaktır; kişisel yönden bakıldığında ise özel yaşamınızdabilginizin bütünlüğünü korumak için toplum mühendislerinin hamlelerinibertaraf etmenize de fayda sağlayacaktır.
Kitabın dördüncü ana başlığında konuyu farklı bir açıdan ele alı-yoruz. Buradaki amacım, çalışanlarınızın toplum mühendisleri tarafın-dan kandırılmaları ^olasılığını en aza indirgemek için gerekli işletmekurallarını ve bilinçlendirme eğitimlerini oluşturmanıza yardım etmek.Toplum mühendislerinin stratejilerini, yöntemlerini ve taktiklerini anla-mak, şirketinizin üretkenliğini düşürmeden BT varlıklarınızı korumak içinuygun kontroller yerleştirmenize yardımcı olacaktır.
Kısacası, bu kitabı, toplum mühendisliğinin oluşturduğu ağır tehlike-ye karşı sizleri bilinçlendirmek ve şirketinizin ve çalışanlarınızın bu yollasömürülmesi olasılığını en aza indirgemenize yardım etmek için yazdım.
Ya da belki şöyle söylemeliyim, bu olasılık bir daha hiç sömürüle-meyecekleh kadar azalacaktır.
2
Sanatı
ZARARSIZ GİBİ GÖRÜNENBİLGİLER
Çoğu insana göre toplum mühendislerinden kaynaklanacak enbüyük tehdit nedir? Kendinizi korumak için ne yapabilirsiniz?
Eğer amaç çok değerli bir ödül ele geçirmekse -diyelim ki, bir şirketinfikrî sermayesinin önemli bir parçasıysa- o zaman belki de gerekli olanşoy, mecazî olarak, yalnızca daha güçlü bir kasa ve daha iyi silahlanmışbekçilerdir. Öyle değil mi?
Ama aslında bir şirketin güvenliğinin aşılması, genellikle kötüadamın şirketteki pek çok insanın korunması ve sınırlandırılması için birneden görmediği, son derece masum, günlük ve önemsiz görünen birbilgiyi ya da bir belgeyi elde etmesiyle başlar.
Bilginin Gizli DeğeriÇoğu toplum mühendisleri, bir şirketin elinde olan ve zararsız gibi
görünen bilgileri el üstünde tutarlar çünkü bu bilgiler, kendilerini dahainandırıcı kNabilmelerinde can alıcı bir rol oynayabilir.
Bu sayfalarda, toplum mühendislerinin saldırılarına sizin de "tanık"olmanızı sağlayarak işlerini nasıl yaptıklarını göstereceğim; bazen olayıkurban rolündeki kişilerin bakış açısından sunacağım, böylece kendinizionların yerine koyabilecek ve siz (belki de çalışanlarınızdan ya da işarkadaşlarınızdan biri) olsaydınız nasıl bir yanıt verebileceğinizi tarta-bileceksiniz. Çoğu durumda aynı olayları toplum mühendisinin bakışaçısından da göreceksiniz.
İlk öykü finans endüstrisindeki bir açık noktaya değinmektedir.
Creditchexİngilizler, tutucu bir bankacılık sistemine uzun bir süre katlanmak
zorunda kaldılar. Sıradan ve dürüst bir vatandaş olarak bir bankadaniçeri girip bir hesap açtıramazdınız. Hatırlı müşterilerden biri sizin için birtavsiye mektubu yazmadığı sürece banka sizi müşteri olarak kabuletmeyi düşünmezdi biie.
ingilizlerin bu sistemi günümüzün görünüşte eşitlikçi bankacılığın-dan doğal olarak oldukça farklı. İş yapmaktaki çağdaş rahatlığımız,neredeyse herkesin bir bankaya girip kolaylıkla vadesiz çek hesabı
16 Aldatma Sanatı
açtırabildiği, arkadaş canlısı ve demokratik Amerika'dan başka hiçbiryerde bu kadar göze çarpmıyor, öyle mi? Tam olarak değil. Gerçek şuki, bankaların anlaşılabilir nedenlerden ötürü, geçmişte karşılıksız çekyazmış olabilecek biri adına -ki bu, kişinin adli sicilinde banka soygunuya da zimmete geçirme suçlarının olması kadar kötü bir durumdur-hesap açmak konusunda doğal bir çekingenlikleri vardır. Bu yüzden,müstakbel bir müşteriyle ilgili hızlı bilgiler edinmek pek çok banka içinolağan bir uygulamadır.
Bu tarz bilgileri edinmek için bankaların iş yaptıkları başlıca şirketler-den biri de bizim CreditChex adını vereceğimiz bir kuruluş. Müşterilerineçok önemli bir hizmet sunmakla birlikte, birçok şirkette olduğu gibi, İşinibilen toplum mühendislerine de farkında olmadan kullanışlı bilgilersağlayabiliyorlar.
İlk Görüşme: Kim Andrevvs- Ulusal Banka, ben Kim. Size nasıl yardımcı olabilirim?
- Merhaba Kim. Sana bir sorum olacaktı. Sizler CreditChex kullanı-yor musunuz?
- Evet.
- CreditChex'i aradığınız zaman, onlara verdiğiniz numaraya ne adveriyorsunuz? Üye İşyeri Numarası mı?
Kız bir an duraksadı; soruyu tartıp, bunun neyle ilgili olduğunu veyanıt verip vermemesi gerektiğini düşündü.
Bu arada, telefondaki ara vermeden konuşmayı sürdürdü:
• Sormamın nedeni şu: özel dedektiflik konusunda bir kitapyazıyorum.
- Evet, dedi kız, soruyu gönül rahatlığıyla yanıtlayarak. Bir yazarayardımcı olabildiği İçin memnun'olmuştu.
- Üye İşyeri Numarası deniyor, öyle mi?
- Ht ki.
- Tamam, harika. Terimleri doğru kullanabilmek için sormuştum.Yani kitap için. Yardımların için teşekkürler. Hoşçakal, Kim.
İkinci Görüşme: Chrİs Ta I bert- Ulusal Banka, Yeni Hesaplar, ben Chris.
- Merhaba, Chris. Ben Alex, dedi arayan. CreditChex'in müşteri tem-silcisiyim. Hizmetlerimizi geliştirebilmek için bir araştırma yapıyoruz.
1 ••••••• Bana birkaç dakikanı ayırabilir misin?
Chris memnuniyetle ayırabileceğini söyledi ve arayan konuşmayadevam etti:
Zararsız Gibi Görünen Bilgiler 17
- Pekâlâ. Şubenizin çalışma saatleri nedir? Kadın yanıtladı ve ardar-
da gelen somları yanıtlamaya devam etti.
- Şubenizin kaç çalışanı bizim hizmetlerimizden yara} lanı\ or9
- Bilgi talebi için bizi ne sıklıkta arıyorsunuz?
- Sizin İçin ayırdığımız 800'lü numaralardan hangisini
kullanıyorsunuz?
- Müşteri temsilcilerimiz her zaman size karşı nazikle/ mı *
- Talebinize yanıt verme süremiz ne kadar?
- Ne kadar süredir bankada çalışıyorsunuz?
- Şu anda kullandığınız Üye İşyeri Numarası nedir?
- Size sağladığımız bilgilerde hiç tutarsızlığa rastladınız mı''
- Hizmetlerimizi geliştirmemiz doğrultusunda önsrileı iniz olsavdı
bunlar neler olurdu?
Ve:
- Şubenize düzenli olarak göndereceğimiz anketleri doldurmak ister
misiniz?
Kadın yapabileceğini söyledi, biraz konuştular, arayan telefonu kapattı
ve Chris işinin basma döndü.
Üçüncü Görüşme: Henry McKinsey- CreditChex, ben Henry McKinsey, size nasıl yardımcı olabilirim?
Arayan, Ulusal Banka'dan aradığını söyledi. Doğru Üye İşyeri
Numarasını, sonra da bilgi istediği kişinin adını ve sosyal güvenlik
numarasını verdi. Henry kişinin doğum gününü sordu ve arayan onu da
verdi.
Biraz sonra Henry bilgisayar ekranından kayıtları okudu.
- Wells Fargo 1998'de, bir kerelik, 2.066 dolar tutarında YB rapor
etmiş.YB (Yetersiz Bakiye), yazılan çeke karşılık hesapta yeterince paraolmadığı durumlar için kullanılan bankacılık terimidir.
- O zamandan beri başka hareket olmuş mu?
- Hayır, olmamış.
- Başka sorgulama olmuş mu?
- Bir bakalım. Evet, iki tane olmuş, ikisi de geçen ay. Chicago,
Üçüncü Birleşik Kredi Birliği.
Bir sonraki adı, Schenectady Yatırım Ortaklığı'nı, okurken bocaladı ve
harf harf kodlamak zorunda kaldı.
- New York Eyaleti'nde, diye de ekledi.
18 Aldatma Sanatı
Özel Dedektif İş Başında
Bu görüşmelerin üçü de aynı kişi tarafından, adına Oscar Gracediyeceğimiz bir özel dedektif tarafından yapılmıştı. Grace'in yeni birmüşterisi vardı ve bu onun ilk müşterilerinden biriydi. Birkaç ay öncesinekadar polis olan Grace, yeni işlerin bazılarını rahatlıkla çözebildiğin) farketmişti, ancak diğerleri kaynaklarını ve yaratıcılığını sonuna kadar kul-lanmasını gerektirecek kadar zorluydu. Bu seferki iş kesinlikle zorlularsınıfına giriyordu.
Polisiye romanların tanıdık özel dedektifleri -Sam Spades ve PhilipMarlovves- eşini aldatan birini yakalayabilmek için saatlerce arabaların-da oturup gece yarılarına kadar beklerlerdi. Gerçek hayattaki özeldedektifler de aynısını yapıyorlar. Özel dedektifler polisiye romanlaradaha az konu olmuş ama didişen eşlerin işlerine burun sokmanın bir okadar önemli başka bir çeşidini, yani gece nöbetleriyle cebelleşmektençok, büyük ölçüde toplum mühendisliği becerilerine dayanan bir yöntemde kullanıyorlar.
Grace'in yeni müşterisi, giysiler ve mücevherler için oldukça genişbir bütçe ayırabiliyor gibi görünen bir hanımdı. Bir gün ofisine gelmiş veüstünde kağıt yığılı olmayan tek deri koltuğa oturmuştu. Gucci markabüyük el çantasını, markası ona dönük kalacak şekilde masaya koymuşve boşanmak istediğini kocasına söylemeyi tasarladığını açıklamıştı,ancak "küçük bir sorun" olduğunu da itiraf etmişti.
Görünüşe göre kocası bir adım öndeydi. Tasarruf hesaplarındakiparayı ve yatırım hesaplarında duran daha da büyük bir tutarı çoktançekmişti. Kadın paraların nereye kaçırıldığını bilmek istiyordu ve boşan-ma avukatı hiç yardımcı olmuyordu. Grace, avukatın, paranın nereyegittiği gibi pis işlere elini bulaştırmayacak, hızlı yükselen, yüksek gelirlidanışmanlardan biri olduğunu tahmin etti.
Acaba Grace ona yardımcı olabilir miydi?
Bu işin çocuk oyuncağı olduğuna kadını ikna etti, bir fiyat verdi, mas-rafların, gerçekleştikçe faturalandırılacağını söyledi ve ilk ödeme için birçek aldı.
Sonra da çözmesi gereken sorunla yüzleşji. Daha Önce hiç böyle biriş yapmadıysanız ve para İzi sürmek konusunda pek bir şey bilmiyor-sanız ne yaparsınız? Ufak adımlar atarak işe başlarsınız. İşte, bizeaktarıldığı kadarıyla Grace'in öyküsü:
CreditChex'in ne olduğunu ve bu şirketin bankaların hangi konudaişine yaradığını -eski karım bir bankada çalışırdı- biliyordum. Ama kul-lanılan terimleri ve süreçleri bilmiyordum ve eski karıma sormak zamankaybı olacaktı.
Birinci adım: Bankacılık terimlerini öğren ve İstenen şeyin konuya
Zararsız Gibi Görünen Bilgiler 19
TerimlerHEDEF: Bir dalaverenin
kurbanı.
KA YNA ĞI KUR UTMA K:Bir saldırgan, gerçek-leştirdiği saldırıyı kur-
banının anlamasına izinverirse, o zaman buna kay-
nağı kurulmak denir.Kurban bir kez durumu
anlar ve diğer çalışanlarave yönetime bu girişimden
söz ederse, geleceksaldırılarda aynı kaynağı
sömürmek çok güçleşecektir.
hakim biri tarafından istendiği izleniminiyaratmanın bir yolunu bul. Aradığımbankada, adı Kim olan genç hanımCreditChex'İ aradıkları zaman kendileri-ni nasıl tanıttıklarını sorduğumda kuşku-landı. Duraksadı ve bana söyleyip söyle-memekten emin olamadı. Bu beni cay-dırdı mı? Elbette hayır. Üstelik bu durak-sama bana önemli bir ipucu, onun içininandırıcı olacak bir neden bulmamgerektiğine dair bir işaret verdi. Ona birkitap için araştırma yaptığım oyununuoynadığımda, bu, kuşkularını giderdi. Birkitap ya da senaryo yazarı olduğunuzusöyleyin, herkesin dili çözülüverır.
Elimde Kim'in üzerinde işe yaraya-bilecek başka bilgiler de vardı; hakkındabilgi istediğiniz kişiyle ilgili CreditChex'İnne tür bilgiler istediğini, sizin o kişiyleilgili neler isteyebileceğinizi ve en önemlisi Kim'in çalıştığı bankanın Üyeİşyeri Numarası'nı biliyordum. Bu soruları sormaya hazırdım amaduraksaması bir tehlike işaretiydi. Kitap araştırması hikâyesini yutmuş-tu, ancak işin başında biraz kuşkuianmıştı. Eğer başından yardımcıolmaya hevesli olsaydı, süreçlerle ilgili daha fazla şey anlatmasınıondan isteyebilirdim.
İçinizden gelen sese kulak vermeli, hedefin söylediklerini ve nasılsöylediğini dikkatle dinlemelisiniz. Bu hanım, çok fazla olağandışı sorusoracak olsaydım, kafasında alarm zilleri çalacak kadar zeki görünüyor-du. Her ne kadar kim olduğumu ve hangi numaradan aradığımı bilmesede, eğer bu işin içindeyseniz, telefon ederek şirketle ilgili bilgi almayaçalışan birine karşı, birilerinin ortalığı ayağa kaldırmasını istemezsiniz.Bunun nedeni kaynağı kurutmak istememenizdir; aynı işyerini başka birzaman bir kez daha aramak isteyebilirsiniz.
Bir insanın bana "Buyrun emrinize amadeyim," diyerek yardımcı mıolacağını yoksa "Bu adamın niyeti bozuk, polisi arayayım," diye ortalığıuyağa mı kaldıracağını anlamak amacıyla bana ipucu verecek küçükişaretleri yakalayabilmek için gözümü-kulağımı hep açık tutarım.
Kim'i biraz diken üstünde biri olarak derecelendirdim, bu yüzdenl;ırklı bir şubedeki başka birini aradım. Chris'le yaptığım ikinciıjürüşmede, araştırma numarası çok iyi iş gördü. Buradaki yöntem,inandırıcılığı artıracak ilgisiz soruların arasına önemli sorulan sıkıştır-mnkta yatıyor. CredİtChex'deki Üye İşyeri Numarası'nı sormadan önce,İKinkada ne kadar süredir çalıştığıyla ilgili ona kişisel bir soru yönelterekhır son dakika kontrolü yaptım.
20 Aldatma Sanatı
Kişisel bir soru mayın gibidir; bazıları üzerinden geçer ve hiçbirzaman farketmezler; bazılarında ise patlar ve güvenli bir yer bulmak içintelaş içinde kaçmalarına neden olur. Bu yüzden, eğer kişisel bir sorusorarsam, karşı taraf soruyu yanıtlarsa ve ses tonunda bir değişiklikolmazsa, büyük olasılıkla talebin içeriğinden şüphelenmemiş demektir.Yanıtlanmasını istediğim soruyu ona, kuşku uyandırmadan rahatlıklasorabilirim ve büyük olasılıkla bana istediğim cevabı verir.
İyi bir özel dedektifin bildiği bir şey daha vardır: Hiçbir zaman, kilitbilgiyi elde ettikten sonra görüşmeyi hemen bitirme. Bir-iki soru, birazsohbetten sonra veda etmek yerinde olabilir. Eğer kurban sorduklarınız-la ilgili bir şeyleri daha sonra hatırlarsa, bunlar büyük olasılıkla sonbirkaç soru olacaktır. Kalanı genellikle unutulur.
Böylece Chris bana Üye İşyeri Numarası'nı ve taleplerini bildirmekiçin kullandıkları telefon numarasını verdi. CreditChex'ten ne kadar bilgiedinilebildiğini öğrenebileceğim sorular da sorabilseydim daha mutluolurdum. Ancak şansımı zorlamak istemedim.
Bu, CreditChex!ten tutar hanesi boş bir çek almak gibi bir şeydi. Artıkistediğim zaman arayıp bilgi elde edebilirdim. Aldığım hizmet için paraödememe bile gerek yoktu. Görünüşe göre CreditChex temsilcisi İste-diğim bilgileri benimle paylaşmaya hazırdı. Müşterimin kocasının hesapaçtırmak için son zamanlarda başvurduğu iki yer vardı. O zaman, yakın-da eski eşi konumuna gelecek olan kadının aradığı paralar neredeydi?CreditChex'teki adamın saydığı bankalardan başka nerede olabilirdi ki?
Aldatmacanın İncelenmesiTüm bu düzen toplum mühendisliğinin temel taktiklerinden birinin
üzerine kurulmuştur: Öyle olmadığı halde, bir şirket çalışanının, zararsızolduğunu düşündüğü bir bilgiye ulaşmak.
ilk banka memuru CreditChex'İ ararken kullanılan tanımlayıcı sayıyıanlatan Üye İşyeri Numarası terimini doğruladı. İkincisi, CreditChex'intelefon numarasını ve en can alıcı bilgi olan bankanın Üye İşyeriNumarası'nı sağladı. Tüm bu bilgiler memura zararsız görünüyordu. Busayıyı başkasına söylemenin ne zararı olabilirdi ki?
Tüm bunlar üçüncü görüşme için gereken zemini hazırladı. Grace'in
Mitnick Mesajı: x
Üye İşyeri Numarası, bu durumda, bir şifre kadar önem. taşır. Eğer bankaçalışanları onu bir ATM şifresi olarak görürlerse, bilginin hassaslığınıkavrayabilirler. Şirketinizde insanların yeterli özeni göstermedikleri kurumiçi bir şifre ya da numara var mı?
Zararsız Gibi Görünen Bilgiler 21
i'lındı; CreditChex'i arayıp, kendini müşteri bankalardan biri olan UlusalHiinkH'nın bir çalışanı gibi tanıttıktan sonra istediği bilgiyi alabilmesi içinılıliyncı olan her şey vardı.
Bilgi çalarken, iyi bir dolandırıcının paranızı çalmada gösterdiğihtıcorikliliğe benzer bir beceriklilik gösteren Grace'in, insanları okumakd,:in geliştirilmiş yetenekleri vardı. Sıkça uygulanan, masum sorularınat.ısına anahtar soruları katma yöntemini o da biliyordu. Üye İşyeriNumarası'nı her şey yolundaymış gibi sormadan önce kişisel bir soru-nun ikinci memurun işbirliği yapma eğilimini ölçeceğini de biliyordu.
İlk memurun, CredİtChex üye numarası için kullanılan terimi onayla-y.ırak yaptığı hataya karşı korunmaya neredeyse olanak yoktu. Bu bil-ginin bankacılık sektöründe o kadar geniş bir kullanımı var ki önemsiz(jthi görünüyor; zararsız görünümlü bilgilere en iyi örnek. Ancak ikincimemur Chris, arayanın gerçekte söylediği kişi olup olmadığını doğrula-madan soruları yanıtlamaya bu kadar hevesli olmamalıydı. En azından,itlini ve telefon numarasını alıp onu geri aramalıydı; böylece daha sonraViıphe uyanırsa, karşı tarafın hangi telefon numarasını kullandığının birknydını tutmuş olabilirdi. Bu durumda, böyle bir arama yapmak, saldır-ganın CreditChex görevlisi gibi davranmasını daha da güçleştirirdi.
Daha da iyisi, CreditChex'i, arayanın verdiği numaradan değil,hnnkanın kayıtlarında bulunan bir numaradan arayıp, kişinin gerçektenDf;ıda çalışıp çalışmadığını ve şirketin gerçekten müşteri araştırması yapıpyapmadığını doğrulamak olurdu. Gerçek dünya uygulamalarını ve bugünçoğu insanın içinde bulunduğu zaman baskısını göz önüne aldığınızda,çalışanın bir çeşit saldırı gerçekleştirildiğinden kuşkulandığı durumlardışında, bu tarz bir kontrol araması yapması beklentilerin çok ötesindedir.
Mühendislik Tuzağıİnsan avcısı firmaların şirket içi yetenekleri bulmak için toplum
mühendisliği taktiklerini kullandıkları yaygın olarak bilinir, İşte bununnasıl olabileceğine dair bir Örnek.
1990'ların sonlarında, pek de ahlağa uygun çalışmayan bir iş bulma^contası, telefon endüstrisinde deneyimli elektrik mühendisleri arayanbir şirketi yeni müşterisi olarak aldı. Bu görevin sorumlusu, buğulu birses tonuna ve çekici tavırlara sahip bir hanımdı. Bu yeteneklerini tele-fon üzerinden, güven veren ve dostça bir izlenim uyandırmak amacıylakullanmayı da öğrenmişti.
Kadın, rakip bir şirkette çalışmak için ayartılabilecek mühendislerbulup bulamayacağına bakmak amacıyla bir cep telefonu hizmetîüiglayıcısını yoklamaya karar verdi. Santralı arayıp, "Beş yıllıkmühendislik deneyimi olan herhangi biriyle görüşmek istiyorum" diye-mezdi. Bunun yerine, biraz sonra göreceğiniz nedenlerle, yetenek avına
22 Aldatma Sanatı ,•
hiçbir hassasiyeti yokmuş gibi görünen ve şirket çalışanlarınınneredeyse isteyen herkese verdiği bir bilgiyi arayarak başladı.
İlk Görüşme: Danışma GörevlisiSaldırgan, Didi Sands adını kullanarak, cep telefonu hizmetsağlayıcısının şirket binasına telefon etti. Konuşma, kısmen şöylegeçti:
Danışma Görevlisi: İyi günler. Ben Marie, size nasıl yardıma olabilirim?
Didi: Beni Nakliyat Bölümü'ne bağlar mısınız?
.< DG: Öyle bir bölümümüz olduğundan emin değilim, rehberime
bakayım. Kim arıyordu?
D: Didi
DG: Binada mısınız, yolma ...?
D: Hayır, dısardayım.
DG: Dİdi, soyadınız?
D: Didi Sands. Nakliye'nin dahilisini biliyordum ama unutmuşum.
DG: Bir .saniye.
Kuşku uyandırmamak için, bu noktada Didi, sohbeti sürdürmekamacıyla, "içerden" olduğunu ve şirket binalarının yerlerini bildiğinigöstermek üzere tasarlanmış sıradan gibi görünen bir soru sordu.D: Hangi binadasınız? Lakeview'da mı yoksa ana binada mı?DG: Ana binada (duraksama). Numara 805 555 6469,Nakliye Bölümü'nü aramanın işe yaramayabileceğim de dikkate alarakkendini sağlama almak amacıyla Didi, Gayrimenkul Bölümü'yle degörüşmek istediğini söyledi. Danışma görevlisi o numarayı da verdi veonu Nakliye Bölümü'ne bağlamayı denedi ama hatlar meşguldü.Bu aşamada Didİ üçüncü bir telefon numarasını, Austin-Texas'taki şir-ket binasında bulunan Tahsilat Ofısi'nin numarasını da istedi. Danışmagörevlisi ondan biraz beklemesini rica etti ve hattan çıktı. Şüpheli birtelefon geldiğini ve bir şeylerin ters gittiğini düşündüğünü güvenliğeanlatıyor olabilir miydi? Kesinlikle olamaz, Didi'nin içinde en küçükbir endişe bile yoktu. Yalnızca biraz kızın başına bela olmuştu amadanışma görevlisi için bu sıradan bir iş gününün bir parçasıydı. Birdakika sonra, danışma görevlisi yeniden hattı aldı, Tahsilat Ofısi'ninnumarasına bakıp orayı aradı ve Didi'yi bağladı.
İkinci Görüşme: PeggySonraki konuşma şöyle geçti;
Peggy: Tahsilat Ofisi, Pegg)>.
Didi: Merhaba Peggy. Ben Didi, Thousand Oaks'dan.
Zararsız Gibi Görünen Bilgiler 23
/-'. Merhaba Didi.
D: Nasıl gidiyor7 '. " . • " " • " .
P: İyi.
Sonra Didi, iş dünyasında iyi bilmen ve belirli bir kuruluşun ya daçalışma grubunun bütçesine harcamaları mal etmek için kullanılanişlem kodunu ifade eden terimi kullandı.D: Mükemmel. Sana bir sorum olacak. Belli bir bölümün maliyet
1 merkezi kodunu nasıl öğrenebilirim?
P: O bölümün bütçe sorumlusuna ulaşman gerek.D: Thousand Oaks'un bütçe sorumlusunun kim olduğunu biliyormusun? Bir form doldurmaya çalışıyorum ve doğru maliyet merkezikodunu bilmiyorum.
P: Tek bildiğim, maliyet merkezi kodunu öğrenmen gerektiği zaman,bütçe sorumlusunu araman gerektiği.
D: Texas'daki bölümünüz için bir maliyet merkezi kodu var mı?
P: Burada bir maliyet merkezi var ama bize hepsinin listesini vermiyorlar.
D: Maliyet merkezi kodu kaç basamaklı? Örneğin, sizin maliyet
merkezi kodunuz ne?
P: Şey, şöyle, sen 9WC'yle misin yo/csa SAT'la mısın?
Bunlann hangi bölümlere ya da gruplara karşılık geldiği konusunda
Didi'nin en küçük bir fikri yoktu ama bu önemli değildi. Soruyu yanıtladı:
D: 9WC
P: O zaman genellikle dört basamaklıdırlar. Nereden olduğunu
söylemiştin?
D: Thousand Oaks, Genel Müdürlük.
P: Evet, Thousand Oaks için bir tane söyleyebilirim. ÎA5N, Nancy'nin N'si.Yardım etmeye istekli biriyîe yeterince uzun süre sohbet ederek, Didiihtiyacı olan maliyet merkezi kodunu aldı; dışardan birinin işine yara-yacakmış gibi görünmediği için kimsenin korumayı düşünmediği bilgiparçacıklarından biri daha.
Üçüncü Görüşme: İse Yarayan Yanlış NumaraDidi'nin bir sonraki adımı, elindeki maliyet merkezi kodunu bir pokermarkası gibi kullanarak daha değerli bir şeye dönüştürmek olacaktı.Gayrimenkul bölümünü arayıp, yanlış numara çevirmiş gibi yaptı. "Sizirahatsız ettiğim için özür dilerim, ama ..." ile söze başlayarak şirketrehberini kaybetmiş bir çalışan olduğunu söyledi ve yeni bir rehber ala-bilmek İçin kiminle konuşması gerektiğini sordu. Adam rehberkitapçığının eski tarihli olduğunu ama şirketin intranet sitesinde telefonnumaralanmn bulunduğunu söyledi.
24 Aldatma Sanatı Zararsız Gibi Görünen Bilgiler 25
Didi basılmış bir rehber kullanmayı tercih ettiğini anlatınca, adam onamatbaayı aramasını söyledi ve sonra, hiçbir talep olmadan -belki deyalnızca çekici sesli kadını telefonda biraz daha uzun süre tutabilmekiçin- numarayı buldu ve kadına verdi.
Dördüncü Görüşme: Mcttbaa'dan BartMatbaa bölümünde Bart adında biriyle konuştu. Didi, ThousandOaks'dan aradığını ve çalıştıkları yeni danışmanın şirket rehberineihtiyacı olduğunu söyledi. Eski tarihli olsa da basılı bir rehberin danış-manın daha çok işine yarayacağını da vurguladı. Bart, bir talep formudoldurması ve kendisine göndermesi gerektiğini söyledi.Didi elinde form kalmadığını, biraz acelesi olduğunu söyledi ve acabaBart bir incelik yapıp formu onun yerine doldurabilir miydi? Adambiraz fazlaya kaçan bir hevesle kabul etti ve Didi ona ayrıntıları anlat-tı. Hayali danışmanın adresi olarak da, toplum mühendislerinin postadeliği dedikleri, Didi'nın şirketinin bu tarz durumlar için, Mail BoxesEte. tülünden ticari şirketlerden kiraladığı posta kutusunu verdi.Edindiği ilk bilgi şimdi işine yarayacaktı: Rehberin maliyeti ve kargoiçin bir ücret alınacaktı. Didi, Thousand Oaks için maliyet merkezikodunu verdi.
- 1A5N, Nancy'nin N'si. :
Şirket rehberi birkaç gün sonra geldiğinde, Didi beklediğinden daha dabaşarılı olduğunu gördü: Rehberde yalnızca adlar ve telefon numaralarılistelenmekle kalmamış, kimin kimin için çalıştığı da gösterilmişti.Tüm şirketin kuruluş şeması elindeydi.
Boğuk sesli kadın insan avlayan telefon görüşmelerini yapmayahazırdı. Her yetenekli toplum mühendisinin sonuna kadar geliştirdiğilaf yapma becerisini kullanarak, akınlarını başlatmak için gerekli olanbilgileri dalavere yoluyla elde etmişti. Şimdi de semeresini toplamaya
• • h a z ı r d ı . . • • • . • • . • . • • • • • • . • • • • . '•:: . . • : : :• • ; ••
A S d a t m a e a n s n İ n c e l e n m e s i ' . ' •".•••
Bu toplum mühendisliği saldırısında Didi, hedef şirketin üç ayrıDölümünün telefon numaralarını elde ederek işe koyuldu, istediğinumaralar sır olmadığı için bu kolaydı, özellikle de çalışanlar için. Birtoplum mühendisi içerden biriymiş gibi konuşmayı öğrenir ve Didi buoyunda becerikliydi. Telefon numaralarından biri onu bir maliyet merkezikoduna yönlendirmiş, o kodu da şirketin telefon rehberinden bir kopyaalmak için kullanmıştı.
ihtiyacı olan temel araçlar; arkadaşça davranmak, biraz şirket içi te-rimleri kullanmak ve son kurbanda uyguladığı, işin içine küçük, sözelgöz kırpmalar karıştırmaktı. ••-.• '•••
Ve kolay elde edilemeyen önemli birdlflor araç da, toplum mühendisininyofluıı çalışmalarla ve geçmiş nesillerinİyi dolandırıcılarının kâğıda dökülmemişılnriüyimlerinden ders alarak geliştirdiğiInlfuanlık becerileridir.
Başka DeğersizBilgiler
TerimlerPOSTA DELİĞİ: Toplummühendislerinin kiralık
posta kutusu için kullandık-ları terim. Yaygın olaraksahte isimle kiralanır ve
kurbanın göndermeye iknaedildiği evrakları ya da
paketleri almak içinkullanılır.
Maliyet merkezi kodu ve dahili telefonnumaralarının dışında, işe yaramaz gibii|orünen başka hangi bilgiler rakibiniz için son derece değerli olabilir?
Peter Abel'in Telefon Görüşmesi- Merhaba, der hattın öbür ucundaki ses.
- Ben Parkhurst Seyahat Acentası'ndan Tom. San Francisco bilet-leriniz hazır. Onları size gönderelim mi yoksa kendiniz mi gelip almakistersiniz?
- San Francisco mu? der Peter.
- Ben San Francisco'ya gitmiyorum ki.
- Siz Peter Abel mısınız?
- Evet, ama yapmayı düşündüğüm bir yolculuk yok.
- Hım, der arayan, dostça gülerek.
- Yani San Francisco'ya gitmek istememekte kararlısınız, öyle mi7
- Eğer patronumu kandırabilirseniz ... der Peter, oluşan tatlı sohbeteuyum sağlayarak. .
- Bir karışıklık var gibi görünüyor, der arayan.
- Sistemlerimizde yolculuk ayrıntılarını özlük numarasına göresıralıyoruz. Belki birileri yanlış numarayı kullanmıştır. Sizin SosyalGüvenlik Numaranız nedir?
Peter nazik bir şekilde numarayı verir. Neden olmasın? Doldurduğu,neredeyse her çalışan fc-munun üzerine bu numarayı yazar ve şirkette-
Mitnick Mesajı: —'Tıpkı bir bulmacanın parçaları gibi her bilgi kendi başına ilgisiz durabilir.Ancak parçalar bir araya getirildiğinde, açık bir resim oluşur. Bu olaydatoplum mühendisinin gördüğü resim şirketin iç yapısının tamamı olmuştur.
26 Aldatma Sanatı
Mitnick Mesajı:Öykünü ana fikri: İstekte bulunan kişinin sesini tanımıyorsanız ve istemekiçin bir nedeni yoksa, hiç kimseye kişisel ya da şirket içi bilgileri ve tanım-layıcıları vermeyin.
ki pek çok insanın bunu öğrenme şansı vardır; insan kaynaklarının,maaş servisinin ve doğal olarak dışarıdaki bir seyahat acentasının da.Kimse Sosyal Güvenlik Numarası'm sır gibi saklamaz. Ne fark eder ki?
Yanıtı bulmak zor değil. Etkili bir canlandırma (toplum mühendisininkendini başka birinin kılığına sokması) için iki-üç parça bilgi fazlasıy-la yeterlidir. Yarı yeterlilikte bir toplum mühendisi, bir çalışanın adını,telefon numarasını, Sosyal Güvenlik Numarası'nı -ve işi sağlamaalmak için yöneticisinin adını ve telefon numarasını- elde ettiktensonra, sıradaki hedefine yönelirken kendini inandırıcı göstermek içinihtiyacı olabilecek her şeyle donanmış olacaktır.
Eğer şirketinizin başka bir bölümünden olduğunu söyleyen biri dünaramış, makul bir neden vermiş ve özlük numaranızı sormuş olsaydı,bu bilgiyi ona vermekte tereddüt eder miydiniz?
- Bıı arada, Sosyal Güvenlik Numaranız neydi?
Aldatmacanın EngellenmesiŞirketinizin, herkese açık olmayan bilgilerin kötüye kullanılmasından
doğabilecek ciddi sorunlara karşı çalışanlarını bilgilendirme sorumluluğuvardır. Üzerinde düşünülmüş bir bilgi güvenliği politikası, düzgün bir bil-gilendirme ve eğitimle birleşince şirket bilgilerinin doğru kullanımıyla ilgiliçalışan bilinci görünür şekilde artacaktır. Bir veri sınıflandırma politikası,bilgi vermeye yönelik uygun denetimler getirilmesine yardımcı olacaktır.Veri sınıflandırma politikası olmadan, tüm şirket içi bilgilerin -aksi belir-tilmediği sürece- gizli olarak değerlendirilmesi gerekecektir.
Şirketinizi zararsız gibi görünen bilgilerin dışarı sızmasından koru-mak için şunları yapın:
• Bilgi Güvenliği Birimi'nin, toplum mühendislerinin kullandığı yön-temleri anlatan bilgilendirme eğitimleri düzenlemesi gerekir.Yukarıda anlatıldığı üzere, yöntemlerden biri, hassasmış gibidurmayan bir bilgiyi elde etmek ve bunu kısa vadede güvenyaratmak için bir poker markası gibi kullanmaktır. Telefonlaarayan birinin, şirket süreçleri, terimler ve şirket içi tanımlayıcılarkonusunda bilgili olmasının ne şekil ve tarzda olursa olsun isteksahibini gerçek kılmadığından ya da bir şeyi bilmesi gerektiği
Zararsız Gibi Görünen Bilgiler 27
konusunda onu yetkili konuma getirmediğinden tek tek herçalışanın haberdar olması gerekir. Arayan kişi eski bir çalışan ya<l;ı gerekli şirket içi bilgilere sahip bir sözleşmeli olabilir. Bunailörc, her kuruluş, tanımadığı insanlarla telefonda ya da yüzyüzeiletişim kurarken çalışanlarının kullanması gereken uygun kimliktospit yöntemini belirleme sorumluluğuna sahiptir.
Mir veri sınıflandırma politikası tasarlamakla yükümlü kişi ya dakimiler, zararsız gibi görünen ama hassas bilgilere erişimi olançalışanlara ulaşılmasını sağlayabilecek ayrıntıları gözdengeçirmelidirler. ATM kartınızın şifresini hiçbir zaman dışarı ver-memenize karşın, şirket yazılım ürünlerini geliştirmek için kul-landığınız sunucunun hangisi olduğunu birine söyler misiniz? Bubilgi, şirket ağına erişim hakkı varmış gibi davranan biri tarafın-dan kullanılabilir mi?
na/en şirket içi terimleri bilmek bile toplum mühendisinin dahaotoriter ve bilgili görünmesini sağlayabilir. Saldırgan, kurbanlarınıikna etmek için her an olabilecek bu yanlış anlamaya sık sıkbaşvurur. Örneğin, Üye İşyeri Numarası, bir bankanın YeniHesaplar biriminde insanların her gün, üzerinde pek fazla düşün-moden kullandıkları bir tanımlayıcıdır. Ancak böyle bir tanım-layıcının bir paroladan farkı yoktur. Eğer her bir çalışan bu tanım-layıcının anlamını kavramışsa -yani istek sahibinin gerçek olupolmadığını kanıtlamak için kullanılıyorsa- o zaman bu veriyedaha saygıyla bakabilirler.
Hiçbir şirket -en azından birkaç tanesi- genel müdürlerinin ya dayönetim kurulu başkanlarının doğrudan telefon numaralarınıdışarı vermezler. Buna karşın, çoğu şirkette, çoğu birim ve çalış-ma grubunun telefon numaralarını dışarı -özellikle de diğer birçalışana ya da çalışan gibi görünen birine- vermekle ilgili bir çe-kince yoktur. Alınabilecek bir önlem: Çalışanların, sözleş-melilerin, danışmanların ve geçici görevlilerin dahili telefonlarınınbaşkalarına verilmesini yasaklayan bir yönetmeliği yürürlüğekoyun. Daha da önemlisi, telefon numarası soran kişinin gerçek-ten bir çalışan olup olmadığını tam olarak belirlemek için adımadım bir süreç geliştirin.
Çalışma gruplarının ve birimlerin muhasebe hesap numaralarıda, (ister basılı, ister veri dosyası ya da intranet üzerinde elekt-ronik telefon defteri olsun) telefon rehberleri kadar sık, toplummühendislerinin hedefi olmaktadırlar. Her şirketin bu tarz bilgi-lerin dışarı verilmesiyle ilgili iyi anlatılmış, yazılı bir kurallarInilününe ihtiyacı vardır. Alınacak önlemler arasında, hassas bil-gilerin şirket dışından insanlara verildiği durumların not edildiğibir kayıt defterinin tutulması da olmalıdır.
28 Aldatma Sanatı
Mitnick Mesajı:Eski bir deyişte de ifade edildiği gibi: Gerçek paranoyakların bile biivükolasılıkla düşmanları vardır. Her işletmenin de düşmanları olduğunu, şirketsırlarını tehlikeye sokmak amacıyla ağ altyapısına saldırabilecek saldırgan-lar bulunduğunu varsaymalıyız. Sonunuz bir bilgisayar suçları istatistiğiolmasın, iyi düşünülmüş güvenlik kuralları ve süreçleri aracılığıyla uygundenetimleri yerleştirerek gerekli savunmaları kurmanın zamanı geldi degeçiyor bile.
• Sosyal Güvenlik Numarası gibi bilgiler, tek başlarına bir tanımla-ma aracı olarak kullanılmamalıdırlar. Her çalışan yalnızca isteksahibinin kimliğini doğrulamakla kalmamalı, aynı zamandaisteğin nedenini de sorgulamalıdır. Güvenlik eğitimleriniz sırasın-da çalışanlarınıza şu yaklaşımı öğretmeyi deneyin: Ne zamantanımadığınız biri size bir soru sorar ya da sizden yardım isterse,herşeyden önce istek onaylanana kadar nazikçe geri çevirmeyiöğrenin. Sonra -bay ya da bayan Yardımsever olma yönündekidoğal dürtünüze yenik düşmeden önce- onaylama ve şirket içiverilerin dışarıya verilmesiyle ilgili yönetmelikleri ve süreçleriuygulayın. Bu yaklaşım, başkalarına yardım etmeye yönelikdoğal eğilimimize ters düşebilir, ancak sağlıklı, azıcık bir şüphe-cilik, toplum mühendisinin bir sonraki kurbanı olmaktan kurtul-manızı sağlayabilir.
Bu bölümdeki öykülerin de gösterdiği gibi zararsız zannettiğiniz bil-giler şirketinizin en önemli sırlarının anahtarı olabilirler.
DOĞRUDAN SALDIRI:YALNIZCA İSTEYİVERMEK
I'ek çok toplum mühendisliği saldırısı karmaşıktır. Bir teknik bilgi vedtılavore karışımının kullanıldığı bir dizi aşama ve ayrıntılı planlamalı.tıııı.
Ama becerikli bir toplum mühendisinin zaman zaman amacınalüi'.ilço, kolayca ve lafı dolandırmadan ulaşmasını da her zaman çarpıcılııılmuijumdur. Göreceğiniz gibi, bilgiyi doğrudan isteyivermek bile tek|ı« ı:,.ııı.) yeterli olabilir.
Bir MHBM MarifetiBirinin rehberde geçmeyen telefon numarasını mı öğrenmek istiyor-
MIMII/? Bir toplum mühendisi size, bir kısmını bu kitabın sayfalarında dabulabileceğiniz, çeşitli yöntemler sıralayabilir, ancak büyük olasılıkla enh.ısil yöntem tek bir telefon konuşması yapmaktır. Tıpkı aşağıda.ıııl,ılıklığı gibi.
Numara LütfenSaldırgan özel bir telefon şirketinin MHBM (Mekanik Hat Belirleme
Mm kezi) numarasını çevirir ve telefonu açan kadına şöyle der:
"Merhaba, ben Paul Anthony. Kablo tamircisiyim. Bir sorunum var,burudaki bir terminal kutusu bir yangında yanmış. Polisler, manyağınbirinin sigortadan para alabilmek için evini yaktığını düşünüyorlar. Bütünbu iki yüz hatlık terminalin tümünü yeniden bağlamam için beni buradalok başıma bıraktılar. Şu anda gerçekten çok yardıma ihtiyacım var.(i/23 South Main'de hangi hatların çalışır durumda olması gerektiğinibana söylebilir misin?"
Telefon şirketinin diğer birimlerinde, aranan kişi, rehberdedeğmeyen numaralarla ilgili ters sorgulama bilgilerini yalnızca şirketinyi «ikili personeline vermeleri gerektiğini bilirler. Ancak MHBM'nin de yal-nızca şirket çalışanları tarafından biliniyor olması gerekir. Dışarıya hiç-bir zaman bilgi vermiyor olsalar da, ağır bir işin altından kalkmayaçalışan başka bir şirket çalışanına biraz yardım edilmesine kim itirazodelıilir ki? Kadın, adamın durumuna üzülür. Kendisinin de işbaşında/,«ı günler geçirdiği olmuştur ve zor durumda olan başka bir çalışanayardım edebilmek için kuralları birazcık esnetir. Ona kablo çiftlerinisöyler ve o adrese bağlı tüm açık numaraları verir.
30 Aldatma Sanatı
AAitnick Mesajı:Yanımızdaki adama güvenmek insan doğasının bir parçasıdır, özellikle detalep sağduyulu olup olmadığımızı ölçüyorsa. Toplum mühendisleri bubilgiyi, kurbanlarını sömürmek ve amaçlarına ulaşmak için kullanırlar.
A l d a t m a c a ' n ı n İncelenmesi •• • ••
Bu öykülerde sık sık göreceğiniz gibi, b'r şirkette kullanılan termi-nolojiyi ye şirket yapısını -çeşitli bürolarını ve birimlerini, her birinin neyaptığını ve hangi bilgileri tuttuklarını- bilmek başarılı bir toplum mühen-disinin kullandığı araçların önemli bir kısmını oluşturur.
Genç Bir Kanun KaçağıKendisine Frank Parsons diyeceğimiz bir adam yıllardır polisten kaç-
maktaydı ve Federal Hükümet tarafından, hâlâ, 1960'larda savaş karşıtıbir yeraltı örgütünün üyesi olduğu gerekçesiyle aranıyordu. Lokantalardakapıya dönük otururdu ve diğer insanların sıkıntı verici bulduğu, arada biromuzunun üzerinden geriye bakma huyu vardı. Birkaç yılda bir taşınırdı.
Arada bir yerde, Frank kendini daha önce bulunmadığı bir şehirdebuldu ve iş aramaya koyuldu. Gelişmiş bilgisayar becerilerine sahip olan(aynı zamanda gelişmiş toplum mühendisliği becerilerine de sahipti, ancakbunları iş başvurularında hiç belirtmiyordu) Frank gibi biri için iyi bir iş bul-mak genellikle sorun olmuyordu. Ekonominin sıkışık olduğu zamanlardışında iyi bilgisayar bilgisi olan kişilerin yeteneklerine olan talep genellik-le yüksek oluyordu ve böyleleri çoğu zaman dört ayak üstüne düşüyorlardı.Frank, yaşadığı yerin yakınlarındaki gelir düzeyi yüksek insanlara hizmetveren büyük bir bakım yurdunda yüksek gelirli bir işe girme fırsatı buldu.
Bu işin kendisi için biçilmiş kaftan olduğunu düşündü. Ancak başvu-ru evrakıyla boğuşmaya başlayınca bir noktada durmak zorunda kaldı,işveren ondan Adli Sicil Belgesi istiyordu ve bunu eyalet polisinden şah-sen alması gerekiyordu. İş başvuru evraklarının arasında bu belgeninistenmesi için kullanılan matbu dilekçe de vardı ve dilekçenin üzerindeparmak izi basmak için küçük bir kutucuk bulunuyordu. Her ne kadaryalnızca sağ işaret parmağının izini istiyor olsalar da, eğer parmak iziniFBI veritabanındaki parmak iziyle karşılaştırırlarsa kısa süre içerisindeparasını devletin ödediği bir tatil köyünde yemek servisi yapıyor olurdu.
Öte yandan Frank, küçük bir olasılıkla da olsa, bundan sıyrılabileceği-ni düşünüyordu. Belki de eyalet polisi parmak izi örneklerini FBI'ya hiçgön-dermiyordu. Bu durumda gönderip göndermediklerini nasıl öğrenebilirdi?
Nasıl mı? O bir toplum mühendisiydi; nasıl öğrendi sanıyorsunuz?
Doğrudan Saldırı: Yalnızca isteyivermek 31
Mifnick Mesajı:Akıllı bilgi dolandırıcıları, emniyet teşkilatının asayişi sağlama süreçleriyleilgili bilgi almak için devlet, eyalet ya da yerel yetkilileri aramaktan çekin-mezler. Elinde böyle bir bilgiler varken toplum mühendisi şirketinizinsıradan güvenlik uygulamalarını atlatabilir.
Eyalet polisine telefon etti: "Merhaba. Adalet Bakanlığı için bir çalışmayapıyoruz. Yeni bir parmak izi tespit sistemi yerleştirmek için gerekli önkoşulları araştırıyoruz. Yapılan işi iyi bilen ve bize yardım edebilecekbiriyle görüşebilir miyim?"
Yerel uzman telefona geldikten sonra Frank, kullandıkları sistemler-le ve parmak izi verilerini saklama ve tarama kapasiteleriyle ilgili bir dizisoru sordu. Kullandıkları donanım hiç onlara sorun çıkarmış mıydı?Ulusal Suç Bilgileri Merkezi'nin (USBM) Parmak izi Tarama Ağı'na mıbağlıydılar yoksa yalnızca eyaletinkine mi? Donanım herkesinöğrenebileceği kadar kolay bir kullanıma sahip miydi?
Anahtar soruyu diğerlerinin arasına kurnazca sıkıştırmıştı.
Aldığı yanıt kulağına müzik gibi geldi. Hayır, USBM'ye bağlı değiller-di, ellerindekini yalnızca eyaletin Suç Bilgileri Dizini'yle karşılaştırıyor-lardı. Frank'in de tüm bilmek istediği buydu. Bulunduğu eyalette suçkaydı yoktu, böylece başvurusunu yaptı, işe alınmıştı ve hiç kimse birgün masasının başına dikilip de ona, "Bu beyler FBI'dan geliyorlar,seninle konuşmak istiyorlarmış," demedi.
Ve kendi söylediğine bakılırsa işyerindeki herkese örnek birçalışanın nasıl olması gerektiğini göstermişti.
Kapının önüKâğıt kullanılmayan ofis inancına karşın şiketler her gün yüzlerce
sayfa kâğıt tüketiyorlar. Şirketinizdeki basılı bilgiler, güvenlik önlemlerialıp üzerine "gizlidir" damgası vursanız da, açık bir nokta oluşturabilirler.
işte size, toplum mühendislerinin en gizli belgelerinizi nasıl elegeçirdiklerini anlatan bir hikâye.
Hat Çevirme DalaveresiTelefon şirketi her yıl Deneme Numaralan Rehberi adında bir
kitapçık çıkarır (ya da en azından eskiden çıkarırlardı, şartlı tahliyesürem henüz dolmadığı için çıkarmaya devam edip etmediklerini sor-mayacağım). Bu kitapçık, telefon beleşçilerinin el üstünde tuttukları birbelgedir, çünkü şirket görevlilerinin, teknisyenlerinin ve diğerlerinin
Miînick Mesajı:Bilgi varlıklarını korumaya ilişkin şirket kurallarıyla ilgili güvenlik eğitim-leri, yalnızca şirketin BT varlıklarına elektronik ya da maddi erişimi olarıçalışanlara değil, şirketteki herkese yönelik olmalıdır.
sürekli meşgul çalan numaralan ya da şehirlerarası hatları kontroletmek için kullandıkları, özenle korunan telefon numaralarıyla doludur.
Bu numaralardan, telefon beleşçileri argosunda hat çeviren olarakbilinen bir tanesi özellikle çok kullanışlıydı. Telefon beleşçileri, kendileritek kuruş para ödemeden, konuşacak başka telefon beleşçileri bulmakiçin bunu kullanırlardı. Bu numara aynı zamanda, örneğin bir bankayavermek üzere, geri arama numarası yaratmak için de kullanılırdı. Birtoplum mühendisi bankadaki birine ona ofisinden ulaşılabileceğinisöyleyerek bu numarayı verirdi. Banka, numarayı kontrol etmek üzeretelefon ettiğinde (hat çevirme), telefon beleşçisi telefona cevap verebilir,izi sürülemeyecek bir telefon numarası kullanmanın sağladığı koru-madan da yararlanmış olurdu.
Bir Deneme Numaralan Rehberi, bilgiye aç ve testosteronu tavana vur-muş herhangi bir telefon beleşçisi tarafından kullanılabilecek bir sürü hari-ka bilgi içerir. Bu yüzden her yıl yeni rehberler çıktığında, hobileri telefonağını keşfetmek olan bir yığın genç derhal bu rehberlerin peşine düşer.
Stevie'nin Oyunu , "' ." . • : ' ' 'Telefon şirketleri doğal olarak bu kitapçıkları kolay ulaşılabilir yerlere
koymaz, bu yüzden telefon beleşçilerinin bir tane elde edebilmeleri içinyaratıcı olmaları gerekir. Bunu nasıl yaparlar? Kafasını rehberi elegeçirmeye takmış hevesli bir genç aşağıdaki gibi bir oyun oynayabilir.
Bir gün, güney California sonbaharının serin akşamlarından birinde,kendisine Stevie diyeceğimiz biri, küçük bir telefon şirketinin genelmüdürlüğünü arar. Hizmet bölgesi içerisindeki tüm evlere ve iş yerlerinetelefon hatları da bu binadan dağılmaktadır. ,
Görev başındaki teknisyen telefonu açtığında, Stevie telefon şirke-tinin basılı malzemelerini basıp dağıtan bölümünde çalıştığını açıklar."Yeni Deneme Numaraları Rehberiniz hazır," der. "Ancak güvenlikgerekçeleriyle eskisini geri almadan yenisini veremiyoruz.Dağıtımcımızın işi de oldukça uzadı. Eğer sizdeki rehberi kapınızınönüne bırakabilirseniz, geçerken eskisini alıp yenisini bırakabilir, sonrada kendi işine bakar."
Hiçbir şeyden kuşkulanmayan teknisyen bunun uygun olduğunudüşünmüş olmalıdır ki, isteneni tam olarak yapar. Kapağında büyük kır-
Doğrudan Saldırı: Yalnızca isteyivermek 33
- zı harflerle, "GİZLİDİR VE ŞİRKET İÇİ KULLANIM İÇİNDİR-İHTİYAÇKALMADIĞI TAKDİRDE, BU BELGE KAĞIT ÖĞÜTME MAKİNASINDACGÜTÜLMELİDİR," uyarısı bulunan rehberi binanın önüne koyar.
Stevie arabasıyla gelir ve park edilmiş arabaların içinde bekleyen ya;s ağaçların arkasına saklanmış polis ya da şirket güvenlik elemanları-na karşı etrafı dikkatle kolaçan eder. Görünürde kimse yoktur. Rahattavırlarla ihtiyacı olan rehberi alır, arabasına biner ve gider.
işte size, bir toplum mühendisinin "yalnızca isteyivermek" gibi basitDir yöntemi kullanarak istediklerini ne kadar kolay elde edebildiğinigösteren bir hikâye daha.
Gaz SaldırısıBir toplum mühendisliği senaryosunda tehlikede olan yalnızca şirket
varlıkları değildir. Bazen kurbanlar şirket müşterileridir. Müşteri hizmettemsilcisi olarak çalışmanın getirdiği sıkıntılar, neşeli anlar ve masumhatalar vardır. Ancak bu hataların bazıları şirket müşterileri için kötüsonuçlar doğurabilir.
Janie Acton'un ÖyküsüJanie Acton, üç yıldan biraz fazla bir süredir, Washington'dakiHometown Elektrik Şirketi'nde müşteri hizmet temsilcisi olarak bir ofisbölmesini işgal etmektedir. Aklı ve çalışkanlığıyla, en iyi müşterihizmet temsilcilerinden biri olarak görülmektedir.
Söz konusu telefon geldiğinde Şükran Haftası'dır. Arayan şöyle der,"Ben Eduardo, Faturalama Bölümü'nden. Telefonda bir hanım var,genel müdür yardımcılarından birinin özel kaleminde sekreter. Birbilgiye ihtiyacı var ve ben bilgisayarımı kullanamıyorum. İnsanKaynaklarındaki şu kızdan 'SENİSEVİYORUM' diyen bir e-postaaldım ve ekini açtığımda, bir daha bilgisayarımı kullanamaz oldum.Vırüsmüş. Basit bir virüs tarafından avlandım. Herneyse, benim içinbazı müşteri bilgilerine bakabilir misin?
"Elbette," diye yanıtladı Janie. "Bilgisavarını mı çökertti? Korkunçbir şey bu."
"Evet."
"Nasılyardımcı olabilirim?" diye sordu Janie.
Bu noktada saldırgan kendim inanılır kılmak için daha önce yaptığıaraştırmalara başvurdu. İstediği bilginin Müşteri Fatura BilgileriSistemi denen bir yerde tutulduğunu ve çalışanların bu sisteme ne adverdiklerim öğrenmişti. "MFBS'den bir hesap numarasına bakabilirmisin?" diye sordu telefondaki adam.
"Evet, hesap numarası nedir?"
: "Numarayı bilmiyorum. İsimden sorgulaman gerekecek. " •'.
"Tamam, isim nedir?"
"Heather Marning. " İsmin harflerini kodladı ve Janie de ismi bilgisa-yara girdi.
"Tamam. Geldi." ' '
"Harika. Hesap geçerli mi?" , , .
"Hı hı, geçerli."
.••'., "Hesap numarası nedir?" diye sordu adam. ,:
"Kalemin var mı?"
"Hazırım." ' • . .
"Hesap numarası, BAZ6573NR27Q."
Adam numarayı tekrarladı, sonra da, "Hizmet adresi nedir?" diyesordu.
, Kadın ona adresi verdi. ,
"Telefon numarası nedir?" • ; •'..;.
Janie nazik bir şekilde o bilgiyi de okudu.
Arayan teşekkür etti, hoşçakal dedi ve telefonu kapadı. Janie bek-lemedeki aramaya yanıt verdi ve konunun üstünde de hiç durmadı.
Art Sealy'nin Araştırma Projesi
Art Sealy, yazarlar ve işletmeler için araştırma yaparak daha çokpara kazanabileceğini öğrenince, küçük yayınevleririe serbest editörolarak çalışmayı bırakmıştı, işin onu, yasallık ve yasadışılık arasındakiince çizgiye yaklaştırdığı oranda ücretinin de artabileceğini kısa süredefark etti. Art, hiç farkında olmadan ve kesinlikle yaptığına bir isim verme-den bir toplum mühendisi olmuştu. Her bilgi simsarının bildiği bütünteknikleri kullanıyordu. Yaptığı işe yönelik doğal bir yeteneğinin olduğuortaya çıktı. Pek çok toplum mühendisinin başkalarından öğrendiğiteknikleri kendi başına keşfediyordu. Bir süre sonra en ufak bir suçlulukduymadan o ince çizgiyi aştı:
Nixon dönemi kabinesiyle ilgili kitap yazan bir adam beni aradı.Nixon'un Hazine Müsteşarı olan VVİlliam E. Simon'la igili özel bilgilereulaşabilecek bir araştırmacı arıyordu. Bay Simon artık yaşamıyorduama yazarın elinde onunla birlikte çalışmış bir kadının adı vardı.Kadının başkentte oturmaya devam ettiğinden de oldukça emindi,ancak adresini bulamamıştı. Kadının adına, en azından rehberde olan-lar arasında, kayıtlı bir telefon yoktu, işte o zaman beni aramıştı. Onakesinlikle-yapabilebileceğimi, sorun olmayacağını söyledim.
Eğer ne yaptığınızı biliyorsanız, çoğunlukla bir-iki telefon görüşme-siyle bulabileceğiniz bir bilgiydi bu. Her yerel hizmet şirketinin bu bilgiyi
itnick Mesajı:Bütün toplum mühendisliği saldırılarının, tamamlanmadan farkedilecek kadar
karmaşık düzenler içerdiklerini sakın düşünmeyin. Bazıları gir-çık ya da vıır-
kaç şeklinde çok basit saldırılardır ve . . . kısacası, yalnızca istemek üzerine
kuruludurlar.
çoğu zaman paylaşacağından emin olabilirsiniz. Doğal olarak biraz zır-valamanız gerekir. Arada bir küçük beyaz yalanlar söylemenin kime nezararı dokunabilir ki?
işleri ilginç kılmak için her seferinde farklı bir yöntem kullanmakhoşuma gider.
"Ben yönetim katından bilmem kim," numarası bende hiç şaş-mamıştır. "Genel müdür yardımcısı bilmem kimin ofisinden biri şu andadiğer hattâ bekliyor," numarası da iyidir ve bu olayda da işe yaramıştır.
Telefonun diğer ucundaki kişinin işbirliği yapmaya ne kadar eğilimliolduğunu hissedecek kadar toplum mühendisliği içgüdünüzü geliştirmişolmanız gerekir. Bu kez arkadaş canlısı yardımsever bir hanıma rastgeldim. Tek bir görüşmede adresi ve telefon numarasını almıştım.Görev tamamlanmıştı.
Aldatmacanın İncelenmesiJanie müşteri bilgilerinin ne kadar hassas olduğunu kesinlikle bili-
yordu. Bir müşterinin bilgilerini başka bir müşteriyle hiçbir zaman pay-laşmaz ya da özel bilgileri dışarı vermezdi.
Ancak doğal olarak şirket içinden arayan biri için farklı kurallargeçerliydi. Bir mesai arkadaşı için bu birtakım oyunu meselesiydi ve işibitirmek karşılıklı yardımlaşmaya dayanıyordu. Faturalamadaki adameğer bilgisayarı bir virüs yüzünden çökmemiş olsaydı ilgili bilgileri kendide bulabilirdi; bu yüzden Janie bir iş arkadaşına yardım edebilmişolmaktan memnundu.
Art, peşinde olduğu kilit bilgilere ulaşırken yavaş yol aldı ve hesapnumarası gibi aslında ihtiyacı olmayan şeylerle ilgili sorular da sordu.Ancak, aynı zamanda hesap numarası bilgisi emniyet sübabı görevi degörüyordu. Eğer görevli kuşkulanacak olsaydı, ikinci bir görevliyi araya-caktı ve böylece başarı şansı daha yükselecekti, çünkü hesapnumarasını bilmek ulaşacağı bir sonraki görevliye kendini daha dainandırıcı göstermesine yardımcı olacaktı.
Birilerinin bu bilgiler için yalan söyleyebileceği, yani arayanıngerçekte faturalama bölümünden biri olmayabileceği, Janie'nin hiç aklı-
36 Aldatma Sanatı
na gelmemişti. Suç elbetteki Janie'nin değildi. Bir müşteri dosyasındakibilgileri paylaşmadan önce kiminle konuştuğundan emin olmasıkonusunda kimse onu bilgilendirmemişti. Kimse ona Art'ın yaptığı gibibir telefon görüşmesinin oluşturabileceği tehlikelerden söz etmemişti.Şirket kuralları arasında da yoktu, eğitimini de almamıştı ve yöneticiside bundan hiç bahsetmemişti. ,
Aldatmacanın EngellenmesiGüvenlik eğitimlerinde aktarılması gereken bir nokta: Telefonla
arayan birinin ya da bir ziyaretçinin, şirketteki bazı kişilerin adlarını yadş şirket içi terimleri ya da süreçleri biliyor olması, onun iddia ettiği kişiolduğunu göstermez. Ve bu onu kesinlikle ticari bilgilerin ve bilgisayarsistemine ya da ağına erişim hakkının verilebileceği, yetkili biri durumu-na da getirmez.
Güvenlik eğitiminin şunu vurgulaması gerekir: Bir kuşkun varsa,kontrol et, kontrol et, kontrol et.
ilk zamanlarda şirket içinde bir bilgiye ulaşmak bir konum gösterge-siydi ve bir ayrıcalıktı. İşçiler kazanları doldururlar, makineleri çalıştırır-lar, mektupları yazarlar ve evrakları dosyalarlardı. Ustabaşı ya dapatron onlara neyin, ne zaman ve nasıl yapılacağını söylerdi. Birvardiyada her işçinin kaç alet yapacağını; bu haftayı, gelecek haftayı veayın sonunu çıkarmak için fabrikanın hangi boyut ve renklerde ve kaçtane alet üretmesi gerektiğini ustabaşı ya da patron bilirdi.
İşçiler makineleri, araç ve gereçleri; patronlar ise bilgiyi kullanırlardı,işçilerin yalnızca, yaptıkları işe özgü bilgilere ihtiyaçları vardı.
Günümüz tablosu biraz farklı, öyle değil mi? Pek çok fabrika işçisi birçeşit bilgisayar ya da bilgisayarla çalışan makine kullanmaktadır.Sorumluluklarını yerine getirerek işleri yürütebilmeleri için, hassas bil-giler iş başındaki kullanıcıların bilgisayarlarına kadar iner. Bu durum işgücünün büyük çoğunluğu için aynıdır. Bugünün ortamında çalışanlarınyaptığı neredeyse her şey bilgi kullanımını içermektedir. • ..
Bu yüzden şirket güvenlik kurallarının konumdan bağımsız olaraktüm kurum içine dağıtılması gerekmektedir. Bir saldırganın peşindeolduğu bilgilere yalnızca amirlerin ve üst yöneticilerin sahip olmadığınıherkesin anlaması şarttır. Bugün her düzeydeki çalışanlar, hattâ bilgisa-yar kullanmayanlar bile, hedef olmaya açıktırlar. Müşteri hizmetleribölümünde işe yeni başlamış bir müşteri temsilcisi, bir toplum mühen-disinin amacına ulaşmak için kırmak isteyeceği zayıf halka olabilir.
Güvenlik eğitimi ve şirket güvenliği kuralları bu halkayı güçlendirmelidir.
GÜVEN UYANDIRMAK
Bu öykülerden bazıları, iş dünyasındaki herkesin süzme salakolduğuna ve mesleğiyle ilgili her sırrı dışarı vermeye hazır, hattâ istekliolduğuna inandığımı düşünmenize neden olabilir. Toplum mühendisiDunun doğru olmadığını bilir. Neden toplum mühendisliği saldırıları bukadar başarılı oluyor? İnsanlar salak ya da sağduyusuz olduğu içindeğil. Ancak bizler aldatılmaya fazlasıyla açığız, çünkü insanlar bellişekillerde yönlendirilirlerse yanlış şeylere güven duyabiliyorlar.
Toplum mühendisi, karşı taraftan kuşku ve direniş bekler ve herzaman güvensizliği güvene dönüştürmeye hazırdır, iyi bir toplummühendisi, saldırısını bir satranç oyunu gibi planlar ve doğru yanıtlarıverebilmek için hedefinin sorabileceği soruları önceden tahmin eder.
En çok kullanılan yöntemlerden biri, kurbanda güven duygusuuyandırmaktır. Bir dolandırıcı ona inanıp güvenmenizi nasıl sağlayabilirki? inanın bana, bunu yapabilir.
Güven: Aldatmanın AnahtarıBir toplum mühendisi, kurduğu iletişimi ne kadar olağan bir işmiş gibi
gösterebilirse, oluşan şüpheleri de o kadar kolay bastırabilir. İnsanlarınkuşkulanmak için bir nedenleri olmazsa, toplum mühendisinin, onlarıngüvenini kazanması daha kolay olur.
Bir kez güvenlerini kazandıktan sonra, köprü iner ve kalenin kapıları ardı-na kadar açılır. Böylece toplum mühendisi içeri girip istediği bilgiyi alabilir.
I Öykülerin çoğunda, toplum mühendislerine, telefon beleşçile-rine ve dolandırıcılara bir erkekmiş gibi gönderme yaptığım dikkatiniziçekmiş olabilir. Bu şovenizm değildir; yalnızca, bu alanlarda çalışanlarınçoğunun erkek olduğu gerçeğini vurgular. Her ne kadar çok fazla kadıntoplum mühendisi olmasa da, sayılan giderek artmaktadır. Dışarıda,sadece telefonda bir kadın sesi duyduğunuz için yelkenleri suya indirme-menizi sağlamaya yetecek kadar çok dişi toplum mühendisi vardır.Doğrusunu isterseniz, kadın toplum mühendisleri, işbirliği sağlamak içincinselliklerini kullanabildiklerinden, belirgin bir üstünlükleri de yokdeğildir. Bu sayfalarda bu kadınların birkaçından söz edildiğini de göre-ceksiniz.
İlk Görüşme: Andrea LopezAndrea Lopez, çalıştığı video kiralama mağazasında çalan telefonabaktı ve kısa bir süre sonra gülümsemeye başladı. Bir müşterinin işinigücünü bırakıp hizmetten ne kadar memnun kaldığını söylemek için
, aradığını duymak gibisi yoktu. Bu arayan, mağazayla iş yapmaktan çokmemnun kaldığını ve yöneticiye bir mektup göndermek istediğinisöylemişti.
Yöneticinin adını ve adresini sormuş, Andrea da ona yöneticinin adınınTommy Allison olduğunu söylemiş ve adresi vermişti. Arayan tam tele-fonu kapayacakken aklına başka bir şey gelmiş ve,
- Şirket genel müdürlüğüne de birkaç satır yazabilirim. Mağazakodunuz nedir, diye sormuştu. Kadın ona mağaza kodunu da verdik-ten sonra adam teşekkür etmişti. Kendisine çok yardımcı olduğu içingörevliye güzel bir şeyler daha söyledikten sonra iyi günler dileyerektelefonu kapatmıştı.
"Böyle bir telefon, her zaman mesainin daha hızlı geçmesini sağlıyor.İnsanlar bunu daha sık yapsalar ne kadar güzel olur." diye düşünmüştüAndrea.
İkinci Görüşme: Ginny- Stııdio Video'yu aradığınız için teşekkürler. Ben Ginny, nasıl
, yardımcı olabilirim?
- Merhaba, Ginny, dedi arayan, heyecanla. Sesi Ginny'le daha önceher hafta konuşmuş gibi geliyordu.
- Ben Tommy Allison, Forest Park, 863 kodlu mağazanın müdürü.Burada Roclcy V'i kiralamak isteyen bir müşterimiz var ve bizdeki tümkopyalar dışarıda. Sende olup olmadığına bakabilir misin?
Ginny biraz sonra yeniden telefonu eline aldı ve,
- Evet, bizde üç kopya var, dedi.
- Tamam. Müşteriye oraya gidip gidemeyeceğini soracağım. Teşekkürederim. Eğer bizim mağazadan bir şeye ihtyiacm olursa, arayıpTommy'i istemen yeterli. Senin için elimden geleni yapmaktan mem-nun olacağım.
Sonraki birkaç hafta boyunca Tommy, bir takım konularda yardımetmesi için Ginny'i üç-dört kere daha aradı. İstekleri mantıklı şeylerdive kendisine asıldığı duygusunu uyandırmadan her zaman Ginny'earkadaşça davranıyordu. Arada biraz gevezelik de ediyordu. "OakPark'taki büyük yangını duydun mu? Bir sürü yolu kapatmışlar" gibişeylerden söz ediyordu. Bu aramalar günün durağanlığından biraz uzak-laşma fırsatı tanıyordu ve Ginny onun aramasından her zaman memnunkalıyordu.
Bir gün Tommy'nin sesi gergindi.
. Güven Uyandırmak 39
- Sizin bilgisayarda bir sorun var mı? diye sordu.
- Hayır, diye yanıtladı Ginny.
- Neden?
- Adamın biri arabasını bir telefon direğine çarpmış. Telefon şir-ketinden gelen tamircinin söylediğine göre şehrin bit bölgesi onarımtamamlanana kadar telefonlarım ve internet bağlantılarım kullana-mayacakmış.
- Oh, çok kötü. Adam yaralanmış mı?
- Cankurtaranla götürdüler. Her neyse biraz yardımını isteyebilirim.Burada Godfather H'yi kiralamak isteyen bir müşteriniz var ve kredikartı yanında değil. Bilgileri benim için kontrol edebilir misin?
- Elbette.
Tommy müşterinin adını ve adresini verir. Ginny de adamı bilgisa-yardan bulup, müşteri numarasını Tommy'e söyler.
- Geç getirmeleri ya da mağazaya borcu var mı?" diye sorar Tommy.
- Görünen bir şey yok.
- Tamam, harika. Ona burada kağıt üzerinde bir müşteri numarasıvereceğim. Daha sonra bilgisayarlarımız yeniden çalışmayabaşladığında veritabanımıza da eklerim. Ödemesini sizin mağazadakullandığı kredi kartıyla yapmak istiyor ama kartı yanında değilmiş.Kart numarası ve son kullanma tarihi nedir?
Ginny son kullanma tarihiyle birlikte kart numarasını da ona verir.
- Yardımın için teşekkürler. Yakında görüşürüz, der Tommy ve tele-
fonu kapatır.
Doyle Lonnegan'sn ÖyküsüLonnegan, kapınızı açtığınızda karşınızda görmek isteyeceğiniz tür-
den bir adam değil. Bir zamanlar ödenmeyen kumar borçlarını toplamaişini yapan Doyle Lonnegan, kendi başını belaya sokmadığı sürece,arada bir birilerine yardım etmeyi de sürdürmekteydi. Bu olayda, birvideo mağazasını birkaç kez telefonla araması için ona hatırı sayılır birmiktar para önerilmişti. Kulağa oldukça kolay geliyordu. Sorun "müşte-rilerinden" hiçbirininin böyle bir dolabın nasıl çevrileceğini bilmemesin-den kaynaklanıyordu. Lonnegan'ın yeteneğine ve bilgisine sahip birineihtiyaçları vardı.
İnsanlar poker masasında şanssız olduklarında ya da saçmaladık-larında bahislerini karşılamak için çek yazmazlar. Bunu herkes bilir.Benim arkadaşlarım, elindeki parayı masaya koymayan bir üçkağıtçıylaneden sürekli kumar oynarlar ki? Sormayın. Belki de kafalarında birkaçtahta eksiktir. Ama onlar benim arkadaşlarım; elden ne gelir?
• Adamın parası yokmuş; bu yüzden de çek almışlar. Şu işe bakın!
40 Aldatma Sanatı
Onu alıp bir ATM'ye götürmeliydiler. Yapmaları gereken şey buydu. Amahayır; çek aldılar. Hem de tam 3.230 dolarlık!
Doğal olarak, çek karşılıksız çıktı. Ne bekliyordunuz ki? O zamanbeni aradılar; yardım edebilir miymişim? Üzerlerine kapı kapayarakinsanların ellerini ezme işini artık bıraktım. Dahası artık çok daha iyiyöntemler var. Yüzde 30 komisyon alarak, onlara elimden geleniyapacağımı söyledim. Böylece bana adamın adını ve adresini verdilerve ben de bilgisayardan ona en yakın video kiralama mağazasının nere-si olduğuna baktım.
Çok acelem yoktu. Mağaza müdürünü hoş tutmak için dört telefongörüşmesi yapmış ve sonra, hop, üçkağıtçının kredi kartı numarasınıalıvermiştim.
Başka bir arkadaşım yarı çıplak kızların dans ettiği bir bar işletiyor-du. Elli dolar karşılığında adamın poker parasını bardaki POS maki-nasından çekti. Bakalım üçkâğıtçı bunu karısına nasıl açıklayacak?Bankaya bu harcamanın kendisine ait olmadığını söyleyeceğini midüşünüyorsunuz? Bir daha düşünün. Bizim onu çok iyi tanıdığımızı bili-yor. Ve eğer kredi kartı numarasına ulaşabiliyorsak, bunun yanısıradaha pek çok şeye de ulaşabileceğimizi anlayacaktır. İşin o tarafındaendişelenecek hiçbir şey yok.
Aldatmacanın İncelenmesiTommy'nin Ginny'le yaptığı ilk konuşmalar tamamen güven uyandır-
maya yönelikti. Asıl saldırı zamanı geldiğinde, kadın savunmayageçmemiş ve Tommy'i iddia ettiği kişi, yani zincirdeki başka birmağazanın müdürü olarak kabul etmişti.
Hem neden kabul etmesin ki; onu zaten tanıyordu. Doğal olarakonunla yalnızca telefonda görüşmüştü ama güven duymasını sağlaya-cak kadar bir iş arkadaşlığı yapısı kurulmuştu. Kadın onu bir kez birmüdür, aynı şirkette çalışan bir yönetici olarak gördükten sonra istenengüven sağlanmış ve gerisi tereyağından kıl çeker gibi olup bitmişti.
Mitnîck Mesajı:Belalılar (The Sting) filmindeki güven uyandırma tekniği toplum mühendis-lerinin en etkili taktiklerinden biridir. Konuştuğunuz kişiyi gerçekten tanıyıptanımadığınızı düşünmeniz gerekir. Az da olsa bazı durumlarda karşı taraftakisöylediği kişi olmayabilir. Bu nedenle hepimizin düşünmesi, incelemesi ve yet-kili olduğunu söyleyenleri sorgulamayı öğrenmesi gerekmektedir.
Güven Uyandırmak 41
Konuya Farklı Bir Bakış: Kredi KartıEle GeçirmeGüven duygusu uyandırmak, bir önceki hikâyede anlatıldığı gibi, her
zaman bir dizi telefon görüşmesi yapmayı gerektirmez. Bunun topu topubeş dakika tuttuğu bir olay hatırlıyorum.
S ü r p r i z ! • ' • " • . .
Bir keresinde bir lokantada Henry ve babasıyla birlikte oturuyordum.Sohbet sırasında Henry, kredi kartı numarasını telefon numarası gibisağa sola verdiği için babasına kızdı. "Bir şey alırken tabi ki kartnumaranı vereceksin" dedi. "Ama kart numaranı, onu kayıtlarındatutan bir mağazaya vermek; bu çok aptalca."
"Bunu yaptığım tek yer Studio Video" dedi Bay Conklin, aynı videokiralama mağazaları zincirinin adım vererek. "Ama fazla para çekişivar mı diye her ay kredi kartı ekstremi kontrol ediyorum."
"Elbette anlardın" dedi Henry, "ama kart numaranı onlara bir kereverdin mi, numarayı birinin çalması işten bile değil."
"Kötü niyetli bir çalışan gibi mi?"
"Hayır, herhangi biri; sadece çalışanlar değil."
"Saçmalıyorsun" dedi Bay Conklin.
"Şimdi onları arayıp, bana senin Visa numaranı vermelerini sağlaya-bilirim" diye hemen atıldı Henry.
"Hayır, bunu yapamazsın" dedi babası.
"Beş dakika içinde yapabilirim, hem de tam burada, karşında. Masayıhiç terk etmeden."
Bay Conklin gözlerini kısmış ona bakıyordu. Kendinden emin olup dabunu göstermek istemeyen birinin havası vardı. "Sen ne söylediğininfarkında değilsin" diyerek güldü ve cüzdanını çıkarıp içinden çıkardığıbir elli dolarlık banknotu masaya çarptı. "Eğer söylediğini yapa-bilirsen, şu senin."
"Paranı istemiyorum baba" dedi Henry.
Cep telefonunu çıkardı, babasına hangi mağazayı kullandığını sordu veoranın telefon numarasının yanısıra Sherman Oaks yakınlarındakimağazanın telefonunu da öğrenmek amacıyla Bilinmeyen Numaralar'ıaradı.
Sonra Sherman Oaks'daki mağazayı aradı. Önceki öyküde anlatılan
yaklaşıma oldukça yakın bir yöntem kullanarak, hemen müdürün adını
ve mağazanın kodunu öğrendi.
Sonra da babasının müşterisi olduğu mağazayı aradı, müdürün adını
kendi adıymış gibi kullanıp, az önce elde ettiği mağaza kodunu da ve-rerek, herkesin bildiği yönetici ayağına yatma numarasını çekti. Veaynı oyunu yaptı. "Bilgisayarlarınız düzgün çalışıyor mu? Bizimkilergidip geliyor." Karşı tarafın yanıtını dinledi ve sonra, "Sizin müşteriler-den biri buradan bir video kiralamak istiyor ama bizim bilgisayarlarşu anda çökmüş durumdalar. Müşteri numarasına bakıp mağazanızınmüşterisi olup olmadığını kontrol etmenizi rica edebilir miyim?" diyesordu.
Henry karşı tarafa babasının adını verdi. Ardından yöntemde küçük birdeğişiklik yaparak, adresi, telefon numarasını ve müşteri numarasınınverildiği tarihi de okumasını istedi. Sonra da, "Burada bekleyen biryığın müşterim var. Kredi kartı numarası ve son kullanma tarihinedir?" diye sordu.
Henry bir eliyle cep telefonunu kulağında tutarken diğer eliylepeçetenin üzerine numarayı yazdı. Konuşmayı bitirirken peçeteyibabasının önüne doğru itti. Babası ise ağzı açık bakakaltnıştı. Zavallıadam tamamen şok olmuştu; sanki tüm emniyet hissi bir darbedeyıkılıp gitmişti. , •
Aldatmacanın İncelenmesi :. '. •
Tanımadığınız biri sizden bir şey istediği zaman kendi vereceğiniztepkiyi düşünün. Pejmürde görünümlü bir yabancı kapınıza geldiğindeonu içeri alma olasılığınız düşüktür; eğer iyi giyimli, ayakkabıları boyalı,saçları taralı, nazik tavırlı ve gülümseyen bir yabancı kapınıza gelirse,herhalde o kadar şüpheci olmazsınız. Belki de gelen aslında OnüçüncüCuma filmlerinden çıkmış Jason'dır, ama olağan görünümlü ve elindekeskin bir bıçak taşımayan biri varsa karşınızda işe ona güvenerekbaşlarsınız.
Bu kadar belirgin olmamakla birlikte telefonda konuştuğumuz insan-lar hakkında da benzer bir şekilde hüküm veririz. Bu kişi bana bir şeylermi satmaya çalışıyor? Arkadaşça ve açık mı davranıyor yoksa bir baskıve saldırganlık seziyor muyum? Eğitimli biri gibi mi konuşuyor? Tümbunları ve farkında olmadan bir düzine başka şeyi daha, göz açıpkapayıncaya kadar, konuşmanın ilk anlarında tartıveririz.
işteyken insanlar sürekli bizden bir şeyler isterler. Bu adamıne-posta adresi sende var mı? Müşteri listesinin en son şekli nerede?Projenin bu kısmının taşeronu kim? Bana en son proje güncellemesinigönderir misin lütfen. Kaynak kodun yeni sürümüne ihtiyacım var.
Ve tahmin edin ne olur: Bu istekleri aldığınızın insanlar bazen şah-sen tanımadığınız kişiler, şirketin başka bir bölümünde çalışan ya daorada çalıştıklarını söyleyen şahıslar olurlar. Ama eğer verdikleri bilgidoğruysa ve konu üzerinde bilgili gibi görünüyorlarsa ("Marianne dedi ki. . ."; "Dosya K-16 sunucusundaymış . . ."; "Yeni ürün planlarının 26
Güven Uyandırmak 43
Mitnîck Mesajı:Aksi yönde düşünmemizi gerektirecek bir şey yol<sa, kurduğumuz herhangi biriletişimde kandırılma olasılığımızın düşük olduğunu düşünmek insandoğasının bir gereğidir. Riskleri tartarız sonra da çoğu zaman insanlaragüvenmeyi tercih ederiz. Medeni insanların davranış biçimi budur...en azındandaha önce hiç dolandırma, yönlendirme ve kandırma yoluyla büyük paralarkaptırmamış olan medeni insanlar için.
Çocukken anne-babamız bize yabancılara güvenmememizi öğretmişlerdi.Belki de bu eski nasihati bugünün iş ortamlarında hepimiz hatırlamalıyız.
numaralı tashihi . . ."), güven çemberimizi, onları da içine alacak şekildegenişletiriz ve hiç endişe duymadan istediklerini onlara veririz.
Arada bir duralayıp, kendi kendimize, "Dallas fabrikasından birineden yeni ürün planlarını görmeye ihtiyaç duysun ki?" ya da "Hangisunucuda olduğunu söylemek herhangi bir şeye zarar verir mi ki?" diyesorabiliriz. Böyle bir-iki soru daha sorarız. Eğer yanıtlar mantıklı görünürve karşı tarafın tavrı da güven verici olursa kuşkulanmayı bırakır,karşımızdaki adama ya da kadına güvenme yolundaki doğal eğilimimizegeri döneriz. Makul sınırlar içerisinde, bizden istenen neyse onuyaparız.
Bir an için bile saldırganın yalnızca şirket bilgisayar sistemlerindeçalışan kişileri hedefleyeceğini düşünmeyin. Ya haberleşme bürosunda-ki adam ne olacak? "Bana bir iyilik yapar mısın? Bunu şirket içi kuryetorbasına atabilir misin?" Haberleşme odasında çalışan memur torbayaattığı şeyin, içine genel müdürün sekreteri için özel olarak hazırlanmışküçük bir program kaydedilmiş bir disket olduğunu biliyor mudur acaba?Artık saldırgan, genel müdürün e-postalarının bir kopyasını da kendinealabilecektir, inanılmaz! Bu gerçekten sizin şirketinizde de olabilir mi?Neden olmasın?
Bir Sentlik Cep TelefonuPek çok insan bir mal alacakları zaman daha ucuzunu bulana kadar
araştırırlar; toplum mühendisleri ise daha ucuzunu aramazlar, birürünün fiyatını daha aşağı çekmenin yollarını ararlar. Örneğin bazen birşirket öyle bir pazarlama kampanyası düzenler ki göz ardı edemezsiniz.Buna karşın toplum mühendisi teklifi inceler ve bu alışverişten nasıldaha kazançlı çıkabileceğine bakar.
Bir süre önce, ülke çapında iş yapan bir GSM operatörü büyük bir pro-mosyon yapmıştı. Şirketin tarifelerinden bir tanesine abone olduğunuzdabir sent ödeyerek yeni bir cep telefonuna sahip oluyordunuz.
Birçok insanın oldukça geç farkettiği üzere, bir cep telefonu tarife-sine abone olmadan önce dikkatli bir müşterinin sorması gereken biryığın soru vardır. Hizmetin analog, dijital ya da her ikisi birden olupolmadığı; sabit ücretlerin ne kadar olduğu gibi sorular, işin başından,abonelik taahhüdü süresinin ne kadar olduğunun bilinmesi özellikleönemlidir. Yani, kaç ay ya da yıl abone kalmanız gerekecek?
Philadelphia'da oturan bir toplum mühendisini hayal edin. Bir ceptelefonu şirketinin abone olunduğunda vereceğini söylediği ucuz ceptelefonunu çok beğenmiş, ancak telefonla birlikte sattıkları tarifeden hiçhoşlanmamış. Sorun değil. İşte bu işi kotarmanın yollarından biri.
İlk Görüşme: TedToplum mühendisi ilk iş olarak, bir elektronik eşya mağazalarzincirinin West Girard'daki mağazasına telefon eder.
- Electron City. Ben Ted.
- Merhaba, Ted. Ben George. Birkaç gün önce bir cep telefonuylailgili olarak bir satış görevlisiyle konuşmuştum. Hangi tarifeyi iste-diğime karar verdiğimde onu arayacağımı söylemiştim ama adınıunuttum. O bölümde akşam mesaisinde çalışan adamın adı nedir?
- Birden fazla kişi var. JVilliam olabilir mi?
- Emin değilim. Belki.de fVilliam'dır. Görünüşü nasıl?
- Uzun boylu. Zayıfça. '''•'".
- Sanırım o. Soyadı ne demiştin? •;,''.. '
- Hadley. H-A-D-L-E-Y. •'•••.' .̂ , ; : ' : '
- Tamam, oydu. Ne zaman orada olacak? ! :ı ;
- Bu haftaki mesai çizelgesini bilemiyorum ama akşamcılar beş gibigelirler.
- Çok iyi. Onu bu gece bulmaya çalışırım o zaman. Teşekkürler, Ted.
İkinci Arama: KatieBir sonraki görüşme, aynı mağazalar zincirinin North BroadCaddesi'ndeki mağazasıyla yapılır.
- Merhaba, Electron City. Ben Katie, size nasıl yardımcı olabilirim?
- Katie, merhaba. Ben fVilliam Hadley, West Girard mağazasından.İşler nasıl bugün?
- Biraz yavaş. Ne oldu? . • .
- Şu bir sentlik cep telefonu promosyonu için gelmiş bir müşterimvar. Hangisini kastettiğimi biliyorsun değil mi?
- B i l i y o r u m . G e ç e n hafta o n l a r d a n b i r k a ç t a n e s a t t ı m . .'.,•••,"
Güven Uyandırmak 45
- O promosyon kapsamındaki telefonlardan elinde daha var mı?
- Bir yığın.
- Harika, çünkü az önce bir müşteriye ondan bir tane sattım. Adamkredi kartıyla ödedi; kontratı da imzaladık. Sonra depoya baktım kielimizde hiç telefon kalmamış. Çok mahcup oldum. Bana bir iyilikyapabilir misin? Telefonu almak için müşteriyi sizin mağazaya gön-dereceğim. Ona bir sent karşılığında telefonu satıp, fatura düzenlermisin? Bir de, nasıl programlayacağını anlatabilmem için, telefonualdıktan sonra beni araması gerekiyor.
- Elbette. Gönder onu buraya.
- Tamam. Adı Ted. Ted Yancy.
Adının Ted Yancy olduğunu söyleyen bir adam North Broad Caddesimağazasına geldiğinde, Katie bir fatura düzenler ve adama bir sentkarşılığında cep telefonunu satar. Her şey "mesai arkadaşının" ondanrica ettiği şekilde gelişir. Kadın zokayı yutmuştur.
Ödeme zamanı geldiğinde müşterinin cebinde hiç bozuk para yoktur.Bu yüzden kasada bir sentlerin durduğu küçük bölmeye uzanır, bir tanealır ve ödeme yaparken bunu kadına verir. Telefonu bir senti bileödemeden almıştır.
Artık aynı marka telefonu kullanan başka bir GSM operatörüne git-mekte ve istediği tarifeyi seçmekte özgürdür. Tercihen hiçbir taahhütgerektirmeyen aydan aya bir tarife seçecektir.
Aldatmacanın İncelenmesi •Çalışan olduğunu öne süren ve şirket içi süreçleri ve terimleri bilen
kişilere karşı insanların daha yüksek bir güven duyması doğaldır. Buhikâyedefcf toplum murterratsr, çc<3<Tt<3$Y<?<?}art3)>g)üayx)Jû)\as\ öjjrenerek,kendini bir şirket çalışanı olarak tanıtmış ve başka bir şubeden birkolaylık yapmasını rica ederek bundan yararlanmıştır. Böyle şeyler pe-rakende zincirlerinin farklı mağazaları arasında ve bir şirketin farklı bi-rimleri arasında olur. İnsanlar farklı ortamlardadırlar ve hiç karşılaş-madıkları mesai arkadaşlarıyla sürekli beraber çalışırlar.
Federal Ajanlardıinsanlar, kurumlarının internet üzerinde neleri tuttuğunu şöyle bir
durup düşünmezler. Los Angeles, KFI Talk Radyosu'ndaki haftalık prog-ramım için yapımcı, internet üzerinde bir tarama yapmış ve Ulusal SuçBilgileri Merkezi'nin veri tabanına erişmek için kullanılan USBMkılavuzunun bir kopyasını elde etmişti. Bu kılavuzun içinde FBl'ın ulusalsuç veritabanından bilgi almaya yönelik tüm açıklamalar bulunuyordu.Yapımcı daha sonra internet üzerinde veri tabanının kendisini de bul-muştu. ."••".-'••••
Bu kılavuz, ulusal veri tabanından suç ve suçlulara yönelik bilgiçekebilmek için kullanılacak biçemleri ve komutları içeren, emniyet teş-kilatı için hazırlanmış bir el kitabıdır. Ülke çapındaki tüm emniyet birim-leri, kendi yetki bölgeleri içerisinde suçluları yakalamalarına yardımcıolması için aynı veri tabanından sorgulama yapabilirler. Kılavuz,dövmelerden tutun da, gemi omurgalarına ve çalıntı para ve senetlerinnominal değerlerine kadar, veri tabanı içerisinde herhangi bir şey içinkullanılan kodları da kapsıyordu.
Kılavuza erişebilen biri ulusal veri tabanından bilgi çekebilmek içingerekli biçemlere ve komutlara bakabilir. Sonra da süreçler kılavuzun-daki açıklamaları izleyerek, biraz da cesareti varsa, veri tabanından bilgiçekebilir. Kılavuzda ayrıca sistemi kullanırken danışabileceğiniz telefonnumaraları da vardır. Sizin şirketinizde de ürün kodlarını ya da hassasbilgilere erişim kodlarını içeren benzer el kitapları olabilir.
FBI hassas kılavuzlarının ve süreç bilgilerinin internete bağlanabilenherkese açık olduğunu kesinlikle hiç fark etmedi. Eğer durumu bilseler-di bundan memnun kalacaklarını da pek sanmıyorum. Bir kopyasıOregon'daki bir devlet dairesi tarafından, bir diğeri de Texas'daki biremniyet bürosu tarafından internete konmuştu. Neden? Herhalde biri-leri, bu bilginin önemli olmadığını ve onu internete koymanın birzararının olmayacağını düşünmüştü. Belki de biri, kendi çalışanlarınakolaylık olması için onu intranete koymuştu. Bunu yapan, veri tabanını,internet üzerinde, Google gibi iyi bir arama motoruna erişimi olan,aralarında meraklıların, polis olma heveslilerinin, bilgisayar korsan-larının ve organize suç patronlarının da bulunduğu bir sürü insanaaçtığını hiçbir zaman fark etmemiştir.
S i s t e m e A ç ı l m a k • • " . . . . V "
Böyle bir bilgiyi kamuda ya da özel sektörde çalışan bir kişiyi kandır-mada kullanmanın kuralı aynıdır. Belirli veri tabanlarına ve uygula-malara nasıl erişileceğini, bir şirketin bilgisayar sunucularının adlarını yada bunun gibi şeyleri bildiği için toplum mühendisi, inandırıcılığını artırır,inandırıcılık ise güven doğurur.
Toplum mühendisinin elinde böyle kodlar olduktan sonra istediği bil-giyi elde etmesi kolay bir süreçtir. Örnek vermek gerekirse, bir yerelemniyet müdürlüğünün teleks bürosundaki bir memuru arayıp kılavuz-daki komutlardan biriyle ilgili bir soru sorarak işe başlayabilir. Örneğinişlenen suçlar koduyla ilgili birşey sorabilir. "USBM'de bir OFF sorgula-ması yaptığımda, 'Sistem Arızalı' mesajı veriyor. Siz de OFF sorgula-ması yaptığınızda aynı mesajı alıyor musunuz? Benim için deneyebilirmisiniz?" Bundan başka belki bir AKD -aranan kişi dosyası için polislerarasında kullanılan kısaltma- aradığını da söyleyebilirdi.
Telefonun diğer ucundaki teleks memuru, arayanın USBM verita-
Güven Uyandırmak 47
banın çalışma süreçlerine ve arama komutlarına aşina olduğu mesajınıalacaktır. USBM kullanma konusunda eğitilmiş biri dışında başka kim busüreçleri bilebilir ki?
Memur, sistemin düzgün çalıştığını doğruladıktan sonra, konuşma
şöyle devam edebilir.
"Biraz yardıma ihtiyacım var."
"Ne arıyordun?"
"Martin Reardon adına bir OFF komutu çalıştırmanı isteyeceğim.
Doğum tarihi 18/10/66."
"SOS nedir?" (ABD Emniyet teşkilatı çalışanları Sosyal Güvenlik
Numarası'na bazen kısaca SOS derler.)
"700-14-7435."
Listeye baktıktan sonra, memur şöyle bir sonuç elde edebilir,
"2602'si varmış."
Sayının anlamını öğrenmek için saldırganın çevrim içi USBM'yebakması yeterli olacaktır: Adamın sicilinde bir dolandırıcılık suçu vardır.
Aldatmacanın İncelenmesiBaşarılı bir toplum mühendisi, USBM veri tabanına girmenin yol-
larını bulmakta hiç zorlanmaz. İstediği bilgiyi almak için tek yapmasıgereken, yerel emniyet müdürlüğüne bir telefon açıp, içerden biriymişgibi ikna edici bir şekilde konuşmakken, neden tereddüt etsin ki? Herseferinde başka bir polis bürosunu arayıp aynı bahaneyi öne sürebilir.
Emniyet müdürlüklerini, karakolları ya da trafik şubelerini aramanınriskli olup olmadığını merak edebilirsiniz. Saldırgan kendini büyük birrisk altına sokmuyor mu?
Cevap: hayır. Ve bunun da bir nedeni var. Tıpkı ordu mensuplarınaolduğu gibi, emniyet teşkilatı çalışanlarına da, rütbeye saygı kavramıakademideki ilk günlerinden beri yoğun bir şekilde benimsetilmiştir.Toplum mühendisi, bir komiser, komiser yardımcısı ya da konuştuğukişiden daha yüksek rütbeli biri gibi davranırsa; kurban, üstlerinin söz-
lerini sorgulamaması gerektiğini söyle-yen, iyi işlenmiş bir dersin etkisiylehareket edebilecektir. Diğer bir deyişle,rütbenin, özellikle de alt rütbeliler tara-fından sorgulanmamak gibi yararlarıvardır.
TerimlerSOS: Sosyal güvenlik
numarası için ABD emniyetteşkilatında kullanılangaynresmi kısaltma.
Ancak emniyet teşkilatının veordunun, bir toplum mühendisinin rüt-
beye olan saygıyı sömürülebileceği tek yer olduğunu düşünmeyin. Busayfalarda geçen birkaç öyküde de göreceğiniz gibi, toplum mühendis-leri, şirketlere yaptıkları saldırılarda da kurum içi unvan ve yetki makam-larını sık sık kullanırlar.
A l d a t m a c a n ı n E n g e l l e n m e s i ;:.;: . •••Toplum mühendislerinin, çalışanlarınızın insanlara güvenmeye
yönelik doğal eğilimlerinden yararlanma olasılığını düşürmek için, kuru-luşunuz ne gibi önlemler alabilir? işte size birkaç öneri.
M ü ş t e r i l e r i z i K o r u y u n ••••••••••••••••; ••••'••• •••••••••••
İçinde bulunduğumuz bilgi çağında müşteriye doğrudan satış yapanpek çok şirket, kredi kartı numaralarını bir dosyada tutmaktadır. Bununçeşitli nedenleri vardır: Alışveriş yapmak için mağazayı ya da internetsitesini her ziyaret edişinde, müşteriyi kredi kartı bilgilerini yenidenverme sıkıntısından kurtarır. Ancak bu uygulamadan vazgeçilmelidir.
Eğer kredi kartı numaralarını bir dosyada tutmanız gerekiyorsa,şifreleme ve erişim sınırlamalarının ötesine çıkan güvenlik koşullarınınbu işleme eşlik etmesi şarttır. Çalışanların, kitabın bu bölümde anlatılantürden toplum mühendisliği oyunlarını tespit edebilecek şekilde eği-tilmeleri de gerekmektedir. Telefonda iyi ahbaplık kurduğunuz ama şah-sen karşılaşmadığınız mesai arkadaşınız, aslında söylediği kişi olmaya-bilir. Hassas müşteri bilgilerine nasıl erişileceğini o kadar da bilmesigerekmiyor olabilir, çünkü aslında şirket için çalışmıyordun
. K i m e G ü v e n e c e ğ i n i z i B i l i n ; •. •••••••••'• •
Müdahalelere karşı uyanık olması gerekenler, yalnızca yazılımmühendisleri, Ar-Ge çalışanları ve bunun gibi hassas bilgilere erişimi olankişiler değildir. Kuruluşunuzdaki neredeyse herkes, kurumu sanayi casus-larına ve bilgi hırsızlarına karşı korumaya yönelik olarak eğitilmelidir.
Böyle bir çalışmanın başlangıcında, kurum çapında bilgi varlıklarıincelenmeli; her bilgi, hassaslığı, ciddiyeti ve değeri açısından değer-lendirilmeli ve bir saldırganın bu varlıkları tehdit etmek için hangi toplummühendisliği yöntemlerini kullanacağı sorgulanmalıdır. Bu soruların
fVUtnick Mesajı:Toplum mühendisinin temel çalışma yönteminden herkes haberdar olmalıdır:Hedefle ilgili mümkün olduğu kadar çok bilgi topla ve bu bilgiyi içerden biriningüvenini kazanmak için kullan. Sonra da onun gırtlağına yapış!
Güven Uyandırmak 49
anıtları göz önüne alınarak, bu tarz bilgilere erişim hakkı verilmişî ere yönelik eğitimlerin tasarlanması gerekmektedir.
Şahsen tanımadığınız biri bir bilgi ya da belge istediğinde ya da bii-: sayarda bir işlem gerçekleştirilmesini rica ettiğinde, çalışanların bazısoruları kendilerine sormalarını sağlayın. Eğer bu bilgiyi en büyük düş-manıma verirsem, bu, bana ya da çalıştığım şirkete zarar vermek için• .^anılabilir mi? Bilgisayarıma girmem istenen komutların olası etki-sinin tamamen bilincinde miyim?
Karşılaştığımız her yeni insandan kuşkulanarak yaşantımızı sürdü-remeyiz. Yine de, ne kadar güven duymaya meyilli olursak, karşımızaçıkacak bir toplum mühendisinin bizi şirketimize ait bilgileri vermeyekandırabilme olasılığı da o kadar yüksek olur.
Intranet'© Neler Koyulabilir?intranetin bazı bölümleri dışarıya açık, bazı bölümleri de çalışanlara
kapalı olabilir. Şirketiniz, hassas bilgilerin yanlış kişilerin de erişebileceğioir yere konması olasılığına karşı ne kadar dikkatli? Herhangi bir has-sas bilginin dikkatsizlik nedeniyle internet sitenizin herkese açık böl-gelerinde de sunulup sunulmadığı, kuruluşunuzdan biri tarafından enson ne zaman kontrol edildi?
Eğer şirketiniz elektronik güvenlik tehditlerinden korunmak için aragüvenlik olarak proxy sunucular kurmuşsa, bu sunucular, doğru ayarlandık-larından emin olmak amacıyla yakın zamanda kontrol edildiler mi?
Aslına bakarsanız, şimdiye dek intranet güvenliğinizi hiç kontroleden oldu mu?
SİZE YARDIMCI OLABİLİRİM
Sorunla boğuştuğumuz bir sırada bize yardım etmek için bilgili,oecerikli ve istekli biri çıkageldiğinde çok memnun oluruz. Toplummühendisi bunun farkındadır ve bundan nasıl yararlanacağını da bilir.
Size nasıl sorun çıkaracağını da bilir... sonra sorunu çözdüğündeona minnettar kalmanızı sağlar... ve sonunda sizden, bu karşılaşmadanşirketinizi (belki de sizi) zararlı çıkaracak bir bilgi ya da küçük bir işkoparmak için bu minnettarlığınızı kullanır. Ama siz değerli birşey kay-oettiğinizin hiçbir zaman farkına varmazsınız.
işte size, toplum mühendislerinin "yardım etmek" için öne çıktıklarıtipik yollardan bazıları.
Bilgisayar Ağı ZayiatıGün/Zaman: 12 Şubat, Pazartesi, öğleden sonra 3:25
Yer: Starboard Tersane İşletmeleri
İlk Görüşme: Tom D e Lav- Tom DeLay, muhasebe.
- Selam Tom. Ben Yardım Masası 'ndan Eddie. Bir bilgisayar ağısorununu çözmeye çalışıyoruz. Ekibinde kimsenin çevrimiçi kalmaklailgili bir sorunu var mı?
- Bildiğim kadarıyla hayır.
~ Sen de hiçbir sorunla karşılaşmadın, öyle mi?
- Hayır, her şey yolunda görünüyor.
- Tamam, iyi o zaman. Dinle, etkilenmiş olabilecek insanları bulmayaçalışıyoruz. Eğer ağ bağlantın kesilirse bize hemen haber vermen çokönemli.
- Bu, kulağa hiç hoş gelmiyor. Sence böyle birşey olabilir mi?
- Umarım olmaz; ama olursa ararsın, değil mi?
- Bundan emin olabilirsin.
- Ağ bağlantısının kopması senin için gerçek bir sorun olacakmışgibi görünüyor.
- Kesinlikle.
- ... o zaman, hazır biz bunun üstünde çalışırken, sana cep telef omuvereyim. Böylece ihtiyacın olursa bana doğrudan ulaşabilirsin.
- Bu çok iyi olur. Numaranı alayım.
- 5 5 5 5 2 1 0 8 7 1 '•••' '•••' > , . v • • • • • ' • • ••'•••''• ••''• •'•'• '•••••• ••••• • ' '
- 555 521 0871. Tamam, Teşekkürler. Adın neydi?
- Eddie. Bir şey daha; ağa hangi noktadan bağlandığını kontroletmem gerekiyor. Bilgisayarının bir yerlerinde, üzerinde 'BağlantıNoktası Numarası'gibi birşey yazan bir etiket olup olmadığına baka-bilir misin?
- Dur bakayım. Hayır, öyle birşey görmüyorum. ,, ,
- Peki, bilgisayarın arkasındaki ağ kablosunu biliyor musun?
- Evet.
- Onu bağlı olduğu yere kadar takip et. Bak bakalım fişin takılıolduğu girişte bir etiket var mı.
- Bir saniye. Evet. Bir dakika, okuyabilmek için yere çömelmemgerekecek. Tamam, şöyle yazıyor: Bağlantı Noktası 6 tire 47.
- İyi. Elimdeki kayıtlarda da öyle geçiyorsun, emin olmak istemiştim.
İkinci Görüşme: Sistem Sorumlusu : ':':: ;
İki gün sonra aynı şirketin Ağ Hizmetleri Merkezi'ne bir telefon gelir.
- Merhaba, ben Bob. Muhasebeden Tom DeLay'in ofisimdeyim. Birkablo sorununu çözmeye çalışıyoruz. 6-47 numaralı bağlantıyı devredışı bırakmanızı isteyecektim.
Sistem sorumlusu birkaç dakika içinde yapabileceğim söyledi ve işleribittiğinde bağlantının tekrar açılması için ona haber vermeleri gerek-tiğini hatırlattı.
Üçüncü Görüşme: Düşmandan Yardım AlmaBir saat kadar sonra adının Eddie Martin olduğunu söyleyen adamındışarda gezinirken telefonu çaldı. Eddie aramanın tersanecilikişletmesinden geldiğini görünce telefonunu açmadan önce hızla sessizbir yer buldu.
- Yardım M a s a s ı , E d d i e . •: .... . :, .,:•. •„. .
- Selam Eddie. Senin tarafında bir yankı var, neredesin?
- Bir kablo dolabının içindeyim. Kim.arıyordu?
- Ben Tom DeLay. Seni bulabildiğime çok sevindim. Hatırlarsangeçen gün beni aramıştın. Söylediğin gibi ağ bağlantım az önce kesil-di. Ne yapacağım şimdi?
- Evet, ekip olarak şu anda bunun üstünde çalışıyoruz. Akşama kadarbitirmiş oluruz. Bu uygun mu? ., , ,
. Size Yardımcı Olabilirim 53
- HAYIR! Olmaz! Bu kadar uzun süre bağlantısız kalırsam isimdegeri kahrım. En erken ne zaman halledebilirsin bu işi?
t- - Çok mu sıkışık durumdasın?
- Şu anda başka birkaç şeyle de ilgilenebilirim. Yarım saat içindebunu halletmeniz mümkün olur mu?
- YARIM SAAT Mİ? Çok da birşey istemiyorsun. Peki, elimdeki işibırakıp, senin sorununu çözmeye çalışacağım.
- Çok müteşekkir kalırım, Eddie.
Dördüncü Arama: Yakaladım Seni!Kırk beş dakika sonra ...
- Tom? Ben Eddie. Ağ bağlantım bir deneyebilir misin?
Biraz sonra:
- Oh, çok iyi; çalışıyor. Harika.
- İyi, sorununu çözebildiğime sevindim.
- Evet, çok teşekkürler. .
- Dinle, bağlantının yeniden kopmasını istemiyorsan çalıştırmangereken bir program var. Yalnızca birkaç dakika sürer.
- Şu an çok iyi bir zaman değil.
- Anlıyorum ama bu ağ sorunu yine ortaya çıkarsa ikimizi de büyükdertlerden kurtarır.
- Peki... birkaç dakika sürecekse.
- Yapman gereken şu...
Eddie, Tom'u bir web sitesinden küçük bir program indirmesi için adımadım yönlendirdi. Program indirildikten sonra, Tom'a programınüzerinde çift tıklamasını söyledi. Tom denedi ama:
- Çalışmıyor. Hiçbir şey yapmıyor, diye karşılık verdi.
- Of, çok kötü. Programla ilgili bir sorun olmalı. Silelim onu, başkabir zaman tekrar deneriz. Sonra Tom'a programı hem indirdiği yerdenhem de çöp kutusundan sildirdi.
Toplam geçen zaman: on iki dakika. - -
Saldırganın öyküsüBobby VVallace, bunun gibi iyi bir iş aldıktan sonra, bilginin neden
istendiğiyle ilgili açık bir soruya müşterinin kaçamak yanıtlar vermesininher zaman gülünç olduğunu düşünmüştü. Bu işte de aklına yalnızca ikineden geliyordu. Müşteri, hedef şirket olan, Starboard Tersane İşlet-melerini satın almayı düşünen başka bir şirketi temsil ediyor ve şirketinmali durumunun gerçek yüzünü öğrenmek istiyor olabilirdi. Özellikle de,hedef şirketin olası bir alıcıdan saklamak isteyebileceği bilgileri. Ya da
TerimlerTRUVA ATI: Kurbanın bil-
gisayarından ve içindebulunduğu ağdan bilgi
toplamak ya da kurbanınbilgisayarına ve dosyaları-
na zarar verebilmek içintasarlanmış, kötü huylu yada zararlı kod içeren prog-ramdır. Bazı Truva Atlan
bilgisayarın işletim sistemi-nin içinde saklanıp herişlemin ya da her tuşabasışın kaydını tutacak
veya belirli işlevleri gerçek-leştirebilmek için ağ
bağlantısı üzerinden talimatalabilecek şekilde tasarlan-mışlardır ve bunların hepsi-
ni, kendi varlıklarını kur-bana sezdirmeden yaparlar.
belki para yönetiminde karanlık işlerindöndüğünü düşünen ve bazı üst düzeyyöneticilerin yolsuzluk yapıp yapmadık-larını öğrenmek isteyen şirket ortaklanda olabilirlerdi.
Belki de müşterisi ona gerçek nedenisöylemek istememişti, çünkü bilginin nekadar değerli olduğunu bilirse Bobby işiyapmak için daha çok para isteyebilirdi.
Bir şirketin en gizli dosyalarını elegeçirmenin pek çok yolu vardır. Bobbybirkaç gün seçeneklerin üzerindedüşünmüştü ve bir plan üstünde kararkılmadan önce küçük de bir araştırmayapmıştı. Sonunda özellikle sevdiği biryöntemi, kurbanın saldırgandan yardımistemek üzere tuzağa düşürüldüğüoyunu oynamayı seçmişti.
Başlangıç olarak bir mağazadan 39dolar 95 sente bir cep telefonu almıştı.Hedef olarak belirlediği adamı aramış vekendini şirket yardım masasından birigibi tanıtarak, ağda bir sorun çıktığı
anda Bobby'i cep telefonundan araması doğrultusunda adamıayarlamıştı.
Kendini açık etmemek için araya iki gün koymuştu ve sonra da şir-ketin Ağ Hizmetleri Merkezi'ne (AHM) telefon etmişti. Tom'un, yanihedefinin, bir sorununu çözmeye çalıştığını söyleyerek Tom'un ağbağlantısının devre dışı bırakılmasını istemişti. Bobby çektiğinumaranın bu aşamasının en aşılması zor bölüm olduğunu biliyordu;pek çok şirkette yardım masası çalışanları AHM'yle yakın temas içindeçalışırlar; hattâ, yardım masası çoğu zaman bilgi işlem biriminin birparçasıdır. Ancak konuştuğu vurdum duymaz AHM görevlisi, olayısıradan bir işlem yerine koyup bilgisayar ağı sorununu çözmekleuğraşan ve yardım masasında çalıştığını söyleyen kişiye adını sor-madan hedefin bağlantı noktasını devre dışı bırakmayı kabul etmişti. İştamamlandığında Tom şirketin intranetinden bütünüyle yalıtılmıştı.Sunucudaki dosyalara erişmesi olanaksız hale gelmişti. Mesaiarkadaşlarıyla dosya alıp verememekte, e-postalarını okuyamamakta,hattâ yazıcıya bir çıktı bile gönderememekteydi. Bu durum, günümüzdünyasında mağarada yaşamak gibi bir şeydi.
Bobby'nin de tahmin ettiği üzere cep telefonunun çalması uzunsürmemişti. Doğal olarak sıkıntılı bir durumda olan bu zavallı "mesai
T^Bff
Size Yardımcı Olabilirim 55
i nadasına" yardımcı olmak konusunda hevesli görünüp sonra AHM'yiF »ayarak adamın ağ bağlantısını yeniden açtırmıştı. Kurbanı tekrar ara-
yarak onu bir kez daha kandırmıştı. Bu kez, Bobby ona yardım ettiktenr sonra "hayır" dediği için Tom'un kendini suçlu hissetmesini sağlamıştı.
Bunun üzerine Tom, bilgisayarına bir yazılım indirme önerisini kabuletmişti.
Doğal olarak, yapmayı kabul ettiği şey tam olarak göründüğü şeydeğildi. Tom'un ağ bağlantısını çökmekten koruyacağı söylenen yazılımaslında bir Truva Atı'ydı. Bobby, Yunanların Truvalılara yaptığını Tom'unbilgisayarına yapmıştı; yani düşmanı kalenin içine sokmuştu. Tom yazılımsimgesine çift tıkladığında hiçbir şey olmadığını söylemişti. Zaten küçükprogram, tasarımı gereği, bilgisayara erişime izin verecek gizli bir yazılımyüklerken bile herhangi birşey olduğunu göstermezdi.
Program, Bobby'nin uzaktan erişimle Tom'un bilgisayarı üzerinde:am bir hakimiyet kurmasını sağlamıştı. Bobby Tom'un bilgisayarınagirdiğinde onu ilgilendirebilecek muhasabe kayıtlarını arayabilir veonları kendine kopyalayabilirdi. Sonra canı istediği zaman müşterilerininaradığı bilgiyi bulabilmek için dosyalara bakabilirdi.
Her şey bununla da bitmiyordu. Her zaman geri dönüp, ilginç bilgilersunabilecek anahtar sözcükleri kullanarak bir metin araması yapıp, şir-ket yöneticilerinin elektronik mesajlarını ve özel notlarını tarayabilirdi.
Hedefini Truva Atı yazılımını yüklemesi için kandırdığı günün akşamıBobby cep telefonunu bir çöp bidonuna attı. Elbette, atmadan öncehafızasını temizledi ve bataryasını çıkardı, isteyebileceği en son şeybirinin cep telefonunu yanlışlıkla araması ve telefonun çalmaya başla-masıydı!
A l d a t m a c a n ı n i n c e l e n m e s i . ••••-•
Saldırgan, hedefini, aslında var olmayan bir sorunu olduğunainandırarak kendi ağına düşürür. Sorun, bu olayda olduğu gibi, henüzgerçekleşmemiş ama saldırganın gerçekleşeceğini bildiği çünkü ken-disinin neden olacağı bir sorun da olabilir. Sonra da kendisini sorunuçözebilecek kişi olarak tanıtır.
Bu tarz saldırıda kullanılan düzen, saldırganın özellikle işine gelir,çünkü önceden ekilen tohum sayesinde hedef, bir sorunu olduğunu
Mitnick Mesajı: x —Eğer tanımadığınız biri size bir iyilik yapıyorsa ve sonra da karşılığında siz-den bir iyilik bekliyorsa, istenen şeyin ne olduğu üzerinde dikkatle düşünmedenkarşılık vermeyin.
TerîmîerUZAKTAN ERİŞİMLİ
KOMUT KABUĞU: Belirliişlevleri gerçekleştirmek yada programları çalıştırmakiçin metin tabanlı komutlarkabul eden grafik içerikliolmayan bir arayüzdür.
Teknik açıkları sömürebilenya da kurbanının bilgisa-
yarına bir Truva Atıyükleyebilen bir saldırganbir komut kabuğuna uzak-
tan erişim sağlayabilir.
TERS TOPLUMMÜHENDİSLİĞİ:
Kurbanın bir sorunlakarşılaştığı ve yardım içinsaldırganı aradığı şeklinde
gelişen toplum mühendisliğisaldırısı.
Ters toplum mühendis-liğinin başka bir türü de
saldırganın aleyhindeolanıdır. Hedef, bir saldırıyapıldığını anlar ve işlet-menin varlıklarım güvenc-eye alabilmek için psikolo-
jik etkileme unsurları kulla-narak saldırgandan
mümkün olduğu kadar çokbilgi almaya çalışır.
anladığında yardım istemek için kendiayağıyla gelir. Saldırgan yalnızca oturuptelefonun çalmasını bekler. Bu yönteme,meslekte büyük bir sevecenlikle terstoplum mühendisliği denmiştir. Hedefinkendisini aramasını sağlayan saldırgan,anında inanılırlık kazanır. Yani eğer benyardım masasında çalıştığını düşün-düğüm birini ararsam ondan kimliğinikanıtlamasını istemem. İşte o zamansaldırgan başarmış demektir.
Böyle bir dolap çevirirken toplummühendisi bilgisayarlarla ilgili sınırlı bil-giye sahip olan bir hedef seçmeyeçalışır. Hedef ne kadar çok bilirseşüphelenme olasılığı o kadar çoktur; yada onunla oyun oynandığını hemenanlayabilir. Zaman zaman bilgisayarlasavaşan çalışanlar olarak söz ettiğim,teknoloji ve süreçleriyle ilgili konulardaaz bilgili olan kişiler her söylenene inan-maya daha eğilimlidirler. Bir yazılımınverebileceği zararla ilgili olarak hiçbirfikirleri olmadığı için "şu küçük programıyükleyiver," gibi bir hileyi yutma olasılık-ları da yüksektir. Dahası, bilgisayar ağıüzerinden tehlikeye soktukları bilginindeğeri konusunda fikir sahibi olmaolasılıkları da azdır.
'İ-Z-Î-Â Başlayan KızaKüçük Bir Yardım
Yeni işe başlayanlar, saldırganlar için en iyi hedeflerdir. Henüz çokinsan tanımazlar, şirketin süreçlerini, yapılması ve yapılmamasıgereken şeyleri bilmezler. Ve iyi bir izlenim bırakmak adına ne kadaryardımsever ve hızlı olduklarını göstermek için de heveslidirler.
Y a r d ı m s c w e r A n d r e o " " -• i-•.,.' •;•,,..: ••.•/•\.-:. >:
- İnsan Kaynakları, A n d r e a C a l h o u n .
- Andrea, merhaba, b e n A l e x ; Şirket G ü v e n l i ğ i ' n d e n . " ••••':':
•• - E v e t ? ' , : . • " • ' • • : ' • : ' • ' • ' " • ' ' : • •' '
Size Yardımcı Olabilirim 57
- Bugün işler nasıl?
- İyi. Sizin için ne yapabilirim?
- Yeni başlayanlar için bir güvenlik semineri düzenliyoruz ve denemeiçin birkaç kişiyi biraraya getirmemiz gerekiyor. Geçen ay işebaşlayan herkesin adlarına ve telefon numaralarına ihtiyacım var.Bana bu konuda yardımcı olabilir misin?
- Ancak öğleden sonra çıkarmam mümkün olabilir. Bu uygun mu?Dahili numaran nedir?
- Elbette olur, dahilim 52... aah, günün çoğunda toplantıda olacağım.Ofise döndükten sonra seni ararım, bu herhalde dörtten sonra olur.Alex 16:30'da aradığında Andrea listeyi hazırlamıştı ve adları ve dahilinumaralan orsa okudu.
Rosemary'e Bîr MesajRosemary Morgan yeni işinden çok memnundu. Daha önce hiçbir dergiiçin çalışmamıştı ve insanları beklediğinden daha arkadaş canlısı bul-muştu. Her ay sonunda bitmesi gereken bir başka sayıyı çıkarabilmekiçin çalışanların çoğunun bitmek bilmeyen bir baskı altında olduklarıdüşünülünce bu şaşırtıcı bir durumdu. Bir Perşembe sabahı aldığı tele-fon bu dostça izlenimi pekiştirdi
- Rosemary Morgan'la mı görüşüyorum?
- Evet.
- Merhaba Rosemary. Ben Bili Jorday; Bilgi Güvenliği Grubu 'ndan.
- Evet?
- Bizim birimden kimse sizinle güvenlik uygulamaları hakkındagörüştü mü? .
- Sanmıyorum.
- Peki. Bakalım. Öncelikle kimsenin şirket dışından getirdiği prog-! ramları yüklemesine izin vermiyoruz. Bunun nedeni lisanslı olmayan
yazılım kullanımından sorumlu olmak istemememiz ve solucan ya davirüs içeren yazılımların çıkarabileceği sorunlardan uzak durmak.
- Tamam.
- E-posta uygulamamızdan haberdar mısınız?
- Hayır. ,
- Şu anda kullandığınız e-posta adresi nedir? ....'••
- [email protected]. •
- Kullanıcı adı olarak Rosemary'i mi kullanıyorsunuz?
- Hayır, R altçizgi Morgan'ı kullanıyorum.
- Tamam. Tüm yeni çalışanlarımızı beklemedikleri e-posta ekleriniaçmalarının oluşturacağı tehlikelere karşı uyarmak istiyoruz. Pek çoksolucan ve virüsler ortalıkta geziniyor ve tanıdığınız insanlardan
geliyor gibi görünen e-posta eklerinde geliyorlar. Bu yüzden bek-lemediğiniz bir ekli e-posta alırsanız, gönderici olarak görünenkişinin mesajı size gerçekten gönderip göndermediğini her zamankontrol edip emin olmalısınız. Anlıyor musunuz?
- Evet. Bunu duymuştum.
- İyi. Uygulama her doksan günde bir parolanızı değiştirmeniz şek-linde. Parolanızı en son ne zaman değiştirdiniz?
- Yalnızca üç haftadır burada çalışıyorum, ve daha ilk aldığım şifreyikullanıyorum.
- Tamam, bu iyi. Do/csan gün dolana kadar bekleyebilirsin. Amainsanların, tahmin edilmesi kolay olmayan şifreler kullandığından daemin olmak istiyoruz. Hem sayı hem de harf içeren bir şifre mi kul-lanıyorsunuz?
- Hayır. . . . • • • '
- Bunu düzeltmeliyiz. Şu anda kullandığınız şifre nedir?
- Kızımın adı, Annette.
- Bu çok güvenli bir şifre değil. Hiçbir zaman aile bilgilerinizedayanan şifreler seçmemelisiniz. Peki... benim yaptığımın aynısınıyapabilirsiniz. Şifrenizin bir parçası olarak şu anda kullandığınızıkullanmanın bir sakıncası yok ama her değiştirdiğinizde içinde bulun-duğunuz ayın sayısını ekleyin.
- Bunu şimdi yaparsam, yani Mart için, üç mü kullanmalıyım, sıfır-üçmü?
- Nasıl isterseniz. Hangisi sizin için daha rahat olur?
- Sanırım Annette-üç.
- İyi. Değişikliğin nasıl yapılacağı konusunda size yardımcı olmamıister misiniz?
- Hayır, nasıl yapılacağını biliyorum.
- Güzel. Söylemem gereken birşey daha var. Bilgisayarınızda birvirüs koruma yazılımı var ve onu güncel tutmanız önemli. Arada birbilgisayarınız yavaşladığında bile otomatik güncellemeyi devre dışıbırakmamalısınız. Tamam mı?
- Elbette.
- Çok iyi. Bilgisayarla ilgili bir sorununuz olduğunda aramanız içinburanın telefon numarası sizde var mı?
Yoktu. Adam ona numarayı verdi, kadın özenle not aldı ve bir kez dahaona ne kadar iyi baktıklarını düşünerek işine geri döndü.
Aldatmacanın İncelenmesiBu öykü, elinizdeki kitabın temelinde yatan anafikri güçlendiriyor.
Asıl amacından bağımsız olarak bir toplum mühendisinin bir çalışandanisteyeceği en temel bilgiler, hedefin tanımlama verileridir. Şirketin doğru
Mitnick Mesajı:: -; işe başlayanların, şirket bilgisayar sistemlerine girişlerine izin verilmeden
_.;.e, özellikle şifrelerini başkalarına kesinlikle söylememekle ilgili olangüvenlik uygulamaları konusunda eğitilmeleri gerekir.
roümünden tek bir çalışana ait kullanıcı adı ve şifre varsa saldırganınçeri girebilmek için ve peşinde olduğu herhangi bir bilgiye ulaşmak içinhtiyacı olan her şeyi vardır. Bu bilgiyi edinmek, krallığın anahtarını bul--ıak gibidir. Onlar elindeyken şirket bünyesinde özgürce dolaşabilir ve3radığı hazineyi bulabilir.
sunduğunuz"Hassas bilgilerini korumak için çaba göstermeyen bir şirket düpedüzihmalcidir." Pek çok insan bu görüşe katılacaktır. Gerçek şu ki gizli bil-gilerini korumaya yönelik çaba gösteren şirketler bile ciddi bir tehlikealtında olabilirler.
İşte size şirketlerin, deneyimli ve başarılı profesyoneller tarafındantasarlanmış güvenlik uygulamalarının aşılamayacağını düşünerek hergün kendi kendilerini nasıl kandırdıklarını gösteren bir öykü daha.
Steve Cramer'in öyküsü
Steve'in pahalı tohumlarla çimlendirilmiş ve herkesin gıptayla baktığıbir bahçesi yoktu. Çimleri biçmek için büyük bir makine da gerekmi-yordu. Zaten böyle bir makine olsa bile kullanmazdı. Çünkü bu küçükçim biçme makinesiyle işinin daha uzun sürmesi sayesinde Anna'nınçalıştığı bankadaki insanlarla ilgili hikâyeler anlatmasından ya da onayaptıkları işleri açıklamasından kurtulup kendi düşüncelerine odakla-nabiliyordu. Hafta sonlarının ayrılmaz bir parçası haline gelen'sevgilim şunu da yapar mısın?' listelerinden nefret ediyordu.
Bazıları Steve'in GeminiMed Tıbbî Cihazlar Şirketi için yeni cihazlartasarlama işinin sıkıcı olduğunu düşünebilirdi. Ancak Steve hayat kur-tardığını biliyordu. İşinin yaratıcı olduğunu düşünüyordu. Sanatçılar,besteciler, mühendisler de Steve'in yaptığına benzer işler yapıyorlar vedaha önce kimsenin yapmadığı bir şeyler yaratıyorlardı. Son yaptığı veoldukça zekice tasarlanmış yeni bir çeşit kalp stenti şu ana dek en gururduyduğu eseriydi.
O cumartesi, saat neredeyse 11:30 olmuştu. Steve çim biçme işini dahabitiremediği ve kalp stentinin tamamlanmasında son engel olan güçgereksiniminin düşürülmesi sorununa ciddi bir çözüm bulamadığı içinhuzursuzdu. Çim biçerken üzerinde düşünmek için harika bir konuyduama hiçbir çözüm üretememişti. .. . .
Anna kapıda belirdi; saçmı her zaman toz alırken takdığı kırmızı desen-
li kovboy eşarbıyla Örtmüştü. "Telefon" diye bağırdı, "işten arıyorlar. "
"Kim?" diye geri bağırdı Steve.
"Ralph diye biri sanırım."
"Ralph mı?" Steve GeminiMed'de çalışan ve onu hafta sonu arayabile-cek Ralph isimli birini tanımıyordu. Anna adı yanlış anlamış olmalıy-dı. Steve bunları düşünerek telefona gitti
"Steve, ben Teknik Destek'ten Ramon Perez." Steve, Anna'nın Ramongibi bir İspanyol adını Ralph'a nasıl çevirdiğini merak etti.
"Bu nezaket icabı yapılan bir arama" diyordu Ramon. "Sunuculardanüçü çöktü. Bir solucandan şüpheleniyoruz ve diskleri temizleyip yedek-leri yükleyeceğiz. Çarşamba ya da Perşembe'ye kadar dosyalarınızıyükleyip çalıştırılabilir duruma getiririz. Yani her şey yolunda giderse."
"Bu kesinlikle mümkün değil" dedi Steve sert bir şekilde ve sıkıntısınıbelli etmeye çalışarak. Bu insanlar nasıl bu kadar aptal olabiliyorlardı?Tüm haftasonu ve gelecek haftanın çoğunda dosyalarına erişemeden işyapamayacağı akıllarına gelmiyor muydu? "Olmaz. İki saate kadarevdeki bilgisayarımın başına oturacağım ve dosyalanma erişmemgerekecek. Bilmem anlatabiliyor muyum?"
"Evet, tabi, şimdiye kadar aradığım herkes listenin başında olmakistiyor. Buraya gelip bunun üstünde çalışmak için hafta sonumu harcı-yorum ve konuştuğum herkesin bana püskürmesi hiç hoş olmuyor. "
"Teslim tarihim yaklaşıyor ve şirket çıkacak ürüne çok güveniyor.Benim bu işi bu öğleden sonra bitirmem lâzım. Bunu kafana sok. ""Başlamadan önce aramam gereken daha bir sürü insan var." dediRamon. "Dosyalarınızı salıya kadar hazır etsek nasıl olur?"
"Salı değil, çarşamba değil. ŞİMDİ!" dedi Steve. Bu kalın kafalı adamdurumun önemini anlayamazsa mutlaka başka birini aramasıgerekecekti.
"Tamam, tamam" dedi Ramon ve Steve onun asabi bir şekilde içgeçirdiğini duydu. "Senin işini görebilmek için neler yapmam gerek-tiğine bir bakayım. RM22 sunucusunu kullanıyorsun, değil ini?"
"RM22 ve GM16. Her ikisini de."
"Peki. Tamam, bazı işleri kısa yoldan yapıp zaman kazanabilirim.Kullanıcı adına ve parolana ihtiyacım olacak." -:'.'••..,
Eyvah, diye düşündü Steve. Ne demek oluyor bu? Benim parolamaleden ihtiyaç duysun ki? Herkes bir tarafa sistem sorumluları nedensorsun ki bunu? , ;: ; , ,
"Soyadın ne demiştin? Ve müdürün kim?"
"Ramon Perez. Bak sana ne diyeceğim, ilk işe başladığında kullanıcıidi alırken doldurduğun bir form vardı ve oraya parolanı da yazmıştın.
Size Yardımcı Olabilirim 61
O parolayı bulup dosyaların burada olduğunu sana gösterebilirim.Olur mu?"
Steve bunun üzerinde birkaç saniye düşündü sonra da kabul etti.Ramon dosya dolabından formları almaya giderken, o artan bir sabırsız-lıkla telefonun öbür ucunda bekledi. Steve Ramon'un bir kağıt yığınınıkarıştırdığını duyuyordu.
"İşte burada" dedi Ramon sonunda. "Janice diye bir şifre koymuşsun."
"Janice", diye düşündü Steve. Annesinin adıydı ve gerçekten de onubazen şifre olarak kullanırdı. İşe girme belgelerini doldururken buşifreyi pekala koymuş olabilirdi.
"Evet, bu doğru" diyerek onayladı.
"Tamam, zaman kaybediyoruz. Gerçek olduğumu biliyorsun. Kısa yolukullanıp en çabuk şekilde dosyalarını kurtarmamı istiyorsan banayardım etmen gerekecek."
"Kullanıcı adım s, d, altçizgi, cramer C-R-A-M-E-R. Şifre: pelikanl."
"Hemen işe koyulacağım" dedi Ramon; sonunda sesi yardımcı olabile-
cekmiş gibi geliyordu. "Bana birkaç saat ver."
Steve çim biçme işini bitirdi, öğle yemeğini yedi ve bilgisayarının başı-na geçtiğinde dosyalarının geri yüklenmiş olduklarını gördü. O huysuzsistem sorumlusunu bağırarak yola getirdiği için kendiyle gurur duyduve Anna'nıri da ne kadar sert konuştuğunu duymuş olmasını diledi.Adama ya da patronuna teşekkür etmek iyi olurdu ama böyle şeyleriyapacak biri olmadığının da farkındaydı.
Craig Cogburne'ün Öyküsü ' ":
Craig Cogburne yüksek teknoloji ürünleri üreten bir şirkette pazarla-macı olarak çalışıyordu ve işinde de oldukça iyiydi. Bir süre sonra müş-teriyi okumak konusunda bir becerisi olduğunu fark etti. Kişinin hangikonularda dirençli olduğunu, satışı kapatmayı kolaylaştıracak bazızayıflıklarını ve açıklarını görebiliyordu. Yeteneğini kullanmanın başkayollarını bulmaya çalıştı ve izlediği yol onu sonuç olarak daha kazançlıbir alana götürdü: sanayi casusluğu. Kendi ağzından dinleyelim:
Bu seferki çok sıkı bir işti. Çok fazla zamanımı almadı ve Hawaii'yehattâ belki Tahiti'ye bir gezi yapacak kadar da çok kazanç sağladım.
Beni tutan adam, doğal olarak bana müşterinin kim olduğunu söyleme-di; ama atılacak hızlı, büyük ve kolay bir adımla rekabeti yakalamakisteyen bir şirket olduğunu anladım. Tüm yapmam gereken kalp stentidenen yeni bir zamazingoya ait ürün özelliklerini ve tasarımlarını elegeçirmekti. Bunun ne olduğu konusunda hiçbir fikrim yoktu. Şirketinadı GeminiMed'di. Bu adı hiç duymamıştım ama yarım düzine yerdeofisleri olan Fortune 500 şirketlerinden biriydi; bu da işi küçük bir şir-kete göre daha kolay, kılıyordu çünkü küçük şirkette konuştuğun
kişinin olduğunu iddia ettiğin ve aslında olmadığın adamı tanıma şansıoldukça yüksek oluyordu.
Müşterim bana bir faks yolladı. Gönderilen bir doktor dergisinden alın-mıştı ve GeminiMed'in farklı ve yeni bir tasarımı olan bir stentüzerinde çalıştığını, admm da STH-100 olduğunu yazıyordu. Doğruyusöylemek gerekirse bir gazeteci benim için büyük bir ayak işini hallet-mişti. İşe koyulmadan önce ihtiyacım olan tek bir şey vardı ve o da yeniürünün adıydı.
Birinci sorun: Şirkette STH-100 üzerinde çalışan kişilerin ya datasarımlan görme yetkisine sahip insanların adlarını öğren. Santralıaradım ve, "Mühendislik ekibinizden biriyle bağlantı kuracağıma sözvermiştim ve soyadını hatırlamıyorum, ama adı S'yle başlıyordu,"dedim. Ve santraldaki kız dedi ki, "Scott Archer ve Sam Davidson adın-da birileri var." Hangisi STH-100 ekibinde çaitşıyor bilmiyordu; buyüzden rastgele_ Scott Archer'i seçtim, kız benLona bağladı.
Adam telefonu açtığında, "Merhaba, ben Mike, posta odasından.Elimizde STH-100 Kalp Stenti proje ekibine gelmiş bir kargo paketivar. Bunun kime gideceği konusunda bir fikriniz var mı? " diye sordum.Bana ekip liderinin adını verdi, Jerry Mendel. Benim için Mendel'innumarasını bulmasını bile sağladım.
Aradım. Mendel yerinde yoktu ama telesekreterindeki mesaj ayın onüçüne kadar tatilde olacağını söylüyordu. Bu, kayağa mı, her neye git-tiyse bir hafta daha yerinde olmayacağı anlamına geliyordu ve bu sürezarfından birilerinin birşeye ihtiyacı olursa 9137'den Michelle'i ara-maları gerektiğini söylüyordu. Bu insanlar çok yardımsever oluyor-lardı. Hem de çok.
Telefonu kapattım ve Michelle'i aradım. Telefonu açtığında ona dedimki, "Ben Bili Thomas. Jerry bana şartnameyi bitirdiğimde ekibindeki-lerin inceleyebilmesi için sizi aramam gerektiğini söylemişti. Kalpstenti üzerinde çalışıyorsunuz, öyle değil mi?" Kadın öyle olduğunusöyledi.
Şimdi oyunun en zorlu kısmına gelmiştik. Eğer kadın kuşkulanır gibiolursa, Jerry'nin benden yapmamı rica ettiği bir iyiliği yerine getirmeyeçalıştığımla ilgili kozumu oynamaya hazırdım. "Hangi sistemebağlısınız?" diye sordum.
"Sistem?"
"Ekibiniz hangi bilgisayar sunucularını kullanıyor?"
"Oh," dedi kadın, "RM22. Ekibin bazıları da GMlö'yı kullanıyorlar."
Buna ihtiyacım vardı ve bu onu kuşkulandırmadan alabileceğim bir bil-giydi. Elimden geldiği ölçüde olağan bir tavır takınmış ve bir sonrakiadım için onu biraz yumuşamıştım. "Jerry bana geliştirme ekibindeçalışanların e-posta adreslerini verebileceğinizi söylemişti" dedim venefesimi tuttum.
"Elbette. Evrak dağıtım listesi, okumak için çok uzun; size onue-posta'yla gönderebilir miyim?"
Eyvah. Sonu GeminiMed.com'la bitmeyen herhangi bir e-posta adresiişleri yokuşa sürerdi. "Bana listeyi falcslasanız nasıl olur? " dedim.
Bunu yapabileceğini söyledi.
"Faks makinemizin ışığı yanıp sönüyor. Başka bir tanesinin numarasınıalmam gerekecek. Sizi biraz sonra ararım." dedim ve telefonu kapattım.
Bu noktada tatsız bir durumda kaldığımı düşünebilirsiniz ama bu daişin bir parçası. Danışmada oturan kadına sesim tanıdık gelmesin diyebir süre bekledim sonra da onu arayıp, "Merhaba, ben Bili Thomas,buradaki faks makinemiz çalışmıyor, sizin makinenize benim için birfaks gönderebilirler mi?" dedim. Mümkün olduğunu söyledi ve bananumarayı verdi.
Sonra da oraya gidip faksı alacaktım, öyle mi? Tabi ki hayır! Birincikural: Çok gerekmedikçe mekâna asla girme. Yalnızca telefondaki birses olarak kalırsan senin kimliğini belirlemeleri çok daha güç olur. Veeğer senin kimliğini belirleyemezlerse, seni tutuklayamazlar. Bir sesekelepçe takmak kolay değildir. Bu yüzden bir süre sonra danışmayıyeniden aradım ve kıza faksımın gelip gelmediğini sordum. "Evet,"diye yanıtladı.
"Peki" dedim ona, "Onu birlikte çalıştığımız bir danışmana vermemgerekiyor. Benim için gönderebilir misin?" Sorun olmayacağını söyle-di. Hem neden sorun olsundu ki; danışmada çalışan birinin neyin has-sas bilgi olduğunu bilmesi beklenemezdi. Danışma görevlisi "danış-mana" faksı gönderirken, ben de vitrininde "Faks Gönderilir/Al mır"yazan yakınlardaki bir kırtasiyeye doğru yürüyerek günlük sporumuyaptım. Faksın benden önce oraya gelmiş olması gerekiyordu ve bek-lediğim gibi içeri girdiğimde beni bekliyordu. Altı sayfaya 1.75 dolarverdim. Bir dolarlık bir banknot ve biraz bozukluk karşılığında tümekibin adlarına ve e-posta adreslerine sahip olmuştum.
İçeri GirmekPeki, birkaç saat içinde üç ya da dört kişiyle konuştum ve şirket bilgisa-yarlarına girebilmek için dev bir adım attım. Ama olayı kalbinden vur-mak için birkaç parça bilgiye daha ihtiyacım vardı.
Birincisi, mühendislik sunucusuna dışardan bağlanmak için gereklitelefon numarasıydı. GeminiMed'i tekrar aradım ve santral memurun-dan Bilgi İşlem Birimi'ni bağlamasını istedim. Telefona çıkan adamabilgisayarlar konusunda yardımcı olabilecek biriyle görüşmek istediği-mi söyledim. Beni aktardı ve teknik konularla ilgili olarak kafamkarışmış, biraz da aptalmış gibi davrandım. "Evdeyim, yeni bir diziistübilgisayar aldım ve dışardan bağlanabilecek şekilde onu ayarlamakistiyorum."
64 Aldatma Sanatı
Süreç çok açıktı ama bağlantı için gerekli telefon numarasına gelenekadar her şeyi bana tek tek anlatmasına izin verdim. Numarayı banaherhangi bir önemsiz bilgiymiş gibi verdi. Sonra numarayı denerkenonu beklettim. Her şey yolundaydı.
Ağa bağlanma engelini aşmıştım. Numarayı çevirdim ve arayanındahili ağ üzerindeki bilgisayarlara bağlanmasına izin veren bir uçbirimsunucusuyla donanmış olduğunu gördüm. Birkaç denemeden sonraparolasız konuk hesabı olan bir bilgisayara denk geldim. Bazı işletimsistemleri ilk kurulduklarında kullanıcıyı bir kullanıcı adı ve parolabelirlemesi için yönlendirirler, ancak aynı zamanda bir de konuk hesabıaçarlar. Kullanıcının konuk hesabı için ya bir parola belirlemesi ya dahesabı bütünüyle kapatması gerekir ama çoğu insan bunu bilmez ya daumursamaz. Bu sistem büyük olasılıkla yeni kurulmuştu ve sahibikonuk hesabını kapatmakla uğraşmamıştı.
Çok şükür bir konuk hesabı varmış ki, şu anda UNIX işletim sistemi-nin eski bir sürümünü çalıştıran bir bilgisayara erişimim var. UNIXaltındaki işletim sistemi, o bilgisayara giriş hakkı olan herkesin şifre-lenmiş parolalarım bir parola dosyasında saklar. Parola dosyası her kul-lanıcının tek yönlü karıştırılmış (bu geri döndürülemez bir çeşitşifreleme yöntemidir) parolalarını içerir. Tek yönlü bir karıştırma sonu-cunda "haydiyap" gibi bir parola şifrelenmiş bir karmaşayla temsiledilir. Bu durumda parola UNIX tarafından on üç alfanümefik simge-den oluşan bir karışıma dönüştürülecektir.
Bir kişi bir bilgisayara dosya aktarmak isterse, bir kullanıcı adı ve paro-la girerek kendini tanıtması istenir. Tanıtım bilgilerini kontrol eden sis-tem yazılımı girilen parolayı şifreler sonra da sonucu, parola dosyasın-daki şifrelenmiş parolayla (yani karışımla) karşılaştırır. Eğer ikisiaynıysa, kullanıcıya erişim hakkı verilir.
Dosyada yazılı parolalar şifreli oldukları için dosya, şifreleri çözmeninbilinen bir yolu olmadığı gerekçesine dayanarak tüm kullanıcılara açık-
tır. Çok saçma! Dosyayı indirdim ve üze-rinde bir sözlük saldırısı yaptım (Bu yön-temle ilgili bilgi için 12. bölüme bakınız) vegeliştirme ekibindeki mühendislerden biri,Steven Gramer adında bir adamın bilgisayar-da parolası "Janice" olan bir hesabı oldu-ğunu öğrendim. Şansımı deneyip bu paro-layı kullanarak adamın geliştirme sunucu-larından birindeki hesabına girmeye çalış-tım. İşe yarasaydı, bana biraz zaman kazan-dırır ve başka bir risk daha almama gerekkalmazdı. Ama olmadı.
TerimlerPAROLA KARMAŞASI: Bir
parolayı tek yönlü birşifreleme sürecinden
geçirdikten sonra ortayaçıkan anlamsız harf dizili-mi. Bu sürecin güya geridöndürülemez bir süreçolduğu, yani karışımdan
tekrar parolayı eldeetmenin mümkün olmadığı
düşünülür.
Bu, adamı bana kullanıcı adını ve parolasınıvermesi için kandırmam gerektiği anlamına
Size Yardımcı Olabilirim 65
TerimlerÖLÜ NOKTA: Bilginin
bırakılabileceği ve başkalarıtarafından bulunma
olasılığının düşük olduğuyer. Geleneksel casusların
olduğu bir dünyada bu,duvarda yerinde oynamış birtaşın arkası olurdu; bilgisa-yar korsanlarının dünyasın-
da bu çoğunlukla uzak birülkedeki bir internet
sitesidir.
kullanabileceğim uzun bir isim
geliyordu. Bunun için haftasonunubekleyecektim.
Kalam zaten biliyorsunuz. Cumar-tesi günü Cramer'i aradım ve şüphe-lerini yenmek için bir solucanla vesunucuların yedekten geri yüklen-mesi gerektiğiyle ilgili bir hikâyeuydurdum.
Ya ona anlattığım işe giriş formların-da parolasının yazdığıyla ilgili öykütutmasaydı? İşe girerken doldurduğuformlarla ilgili bir şey hatırlamaya-cağından emindim. Yeni işe girenbiri o kadar çok form doldurur ki yıl-lar sonra bu formların neler oldu-ğunu kim hatırlayabilir? Ne olursaolsun, eğer onda çuvallasaydım, elimdelistesi vardı.
Cramer'in kullanıcı adını ve parolasını kullanarak sunucuya girdim,biraz ortalığa bakındım ve sonunda STH-100'ün tasarım dosyalarınıbuldum. Hangilerinin anahtar dosyalar olduklarını bilmiyordum, buyüzden tüm dosyalan bir ölü noktaya, kimseyi kuşkulandırmadan dura-bilecekleri Çin'deki ücretsiz bir FTP sitesine aktardım. Ivır zıvırm için-den neye ihtiyacı varsa müşteri kendi arayıp bulsun.
• • Aldatmacanın İncelenmesi - - : ..
Hırsızlık gibi olan ama her zaman yasadışı olmayan toplummühendisliği sanatında, kendisine Craig Cogburne dediğimiz adam yada en az onun kadar becerikli bir kişi için burada anlatılan zorluklarneredeyse sıradan şeylerdir. Bu adamın amacı, güvenlik duvarlarıyla veofağan güvenlik teknolojileriyle korunan bir şirket bilgisayarında durangizli dosyalan bulup indirmekti.
• İşin çoğu çocuk oyuncağıydı. İşe posta odasından biri gibi davra-narak başladı ve teslim edilmeyi bekleyen bir kargo paketi olduğunusöyleyerek konuya biraz aciliyet kattı. Bu kandırmaca, kalp stentigeliştirme ekibinin tatilde olan liderinin adını öğrenmesini sağladı amaekip lideri düşünceli davranmış ve bilgi çalmaya çalışan toplummühendislerinin işini kolaylaştırmak için yardımcısının adını ve telefonnumarasını bırakmıştı. Craig ekip liderinin yardımcısı olan kadınıaramış ve ekip liderinin isteği üzerine aradığını söyleyerek bütünşüpheleri ortadan kaldırmıştı. Ekip lideri şehir dışındayken Michelle'insöylenenleri doğrulamasına da olanak yoktu. Bunu gerçek olarak kabuletti ve ekip üyelerinin bir listesini vermek konusunda tereddüt etmedi.Craig için bu oldukça önemli ve değerli bir bilgiydi.
Craig listeyi, genellikle her iki taraf için de daha kullanışlı olane-posta yerine faksla göndermesini istediğinde bile kuşkulanmadı.Kadın neden bu kadar kolay kanmıştı? Pek çok çalışan gibi, patronununişe dönüp de yapılmasını istediği bir işi yapmaya çalışan birininengellerle karşılaştığını duymasını istememişti. Dahası, arayanınsöylediğine göre patronu yalnızca adamın isteklerini onaylamaklakalmamış, aynı zamanda ondan yardım da istemişti. Bir kez daha, çoğuinsanı kandırılmaya açık hale getiren, takım oyuncusu olma isteğiyledolup taşan biriyle karşı karşıyayız.
Craig, danışmadaki kızın yardımcı olacağını bilerek faksın danış-maya gönderilmesini sağlamış ve böylece binaya girme gereğinden dekurtulmuştu. Ne de olsa danışma görevlileri etkileyici kişilikleri ve iyi birizlenim yaratmadaki becerileri nedeniyle seçilirler. Faks alıp göndermekgibi küçük iyilikleri yapmak danışmada çalışan birinin görev alanınagirer ve Craig de bundan nasıl yararlanacağını biliyordu. Kızın dışarıgönderdiği şey, o bilginin ne kadar değerli olduğunu bilen biri için alarmzillerinin çalmasına neden olabilirdi; ama danışmada çalışan birininhangi bilginin hassas, hangi bilginin sıradan olduğunu bilmesi nasıl bek-lenebilir ki?
Farklı bir yönlendirme kullanan Craig, şirketin uçbirim sunucusuna,yani dahili ağ üzerinde diğer bilgisayar sistemlerine erişim sağlayandonanıma bağlanmak için kullanılan telefon numarasını vermesi içinbilgi işlemdeki adamı ikna etmek amacıyla saf ve şaşkın davranmıştı.
Craig, hiç değiştirilmemiş ve güvenlik duvarıyla korunan pek çokdahili ağda var olup doğrudan göz önündeki açıklardan birini, yanivarsayılan parolalardan birini deneyerek kolaylıkla bağlanmayı başardı.Aslında pek çok işletim sisteminin, yönlendiricinin ve başka benzerürünün, hattâ özel santralların varsayılan parolaları çevrimiçi olarakbulunabilir. Herhangi bir toplum mühendisi, bilgisayar korsanı ya dasanayi casusunun yanısıra yalnızca konuya meraklı olanlar bile listeyihttp://www.phenoelit.de/dpl/dpl.html adresinden bulabilirler. (Nereyebakması gerektiğini bilenler için internetin yaşamı bu kadar kolaylaştır-ması inanılmaz. Artık siz de nereye bakmanız gerektiğini biliyorsunuz.)
Daha sonra Cogburne, kalp stenti geliştirme ekibinin kullandığısunucuya girebilmek için, dikkatli ve şüpheci bir adamı bile ("Soyadın nedemiştin? Ve müdürün kim?") kullanıcı adını ve parolasını vermeye ikna
JVUtnick Mesajı:Çalışan herkesin birinci önceliği eldeki işi bitirmektir. Böyle bir baskı altında,güvenlik uygulamaları sık sık ikinci sıraya düşer veva gözden kaçar. Toplummühendisleri, işlerini yaparken buna güvenirler.
Size Yardımcı Olabilirim 67
etti. Bu, Craig'in şirketin en iyi korunan sırlarını karıştırması ve yeni ürün:asanmlarını indirmesi için kapıyı açık bırakmak gibi bir şeydi.
Ya Steve Cramer şüphelenmeyi sürdürseydi? Pazartesi sabahı işegidene kadar kuşkularını dile getirmek adına birşey yapma olasılığıdüşüktü, o zaman da zaten saldırıyı engelleyebilmek için çok geç kalmışolacaktı.
Oynanan son oyunun kilit kısmı şuydu: Craig ilk başta Steve'inendişelerine karşı gayretsiz ve ilgisiz bir rol takınmış, sonra da sestonunu değiştirip Steve'in işini bitirebilmesi için ona yardım etmeyeçalışıyormuş gibi bir hava yaratmıştı. Çoğu zaman kurban, ona yardımettiğinize ya da bir iyilik yapmaya çalıştığınıza inanırsa, başka zaman-larda özenle koruyacağı gizli bilgileri sizinle paylaşacaktır.
Aldatmacanın EngellenmesiToplum mühendisinin kullandığı en güçlü numaralardan biri olayların
gidişini değiştirmektir. Bu bölüm kapsamında gördüğünüz şey budur.Toplum mühendisi sorunu yaratır, sonra da mucizevi bir şekilde sorunu•çözerek kurbanı şirketin en gizli bilgilerine erişim sağlamakta kendisineyardımcı olması için kandırır. Sizin çalışanlarınız da böyle bir oyunagelirler miydi? Bunu önlemek için belirli güvenlik kurallarını bir kâğıdadöküp dağıtmayı hiç denediniz mi?
Eğitim, Eğitim, Eğitim...New York'u görmeye gelmiş bir adamla ilgili eski bir fıkra vardır.
Adam yoldan birini çevirir ve sorar, "Camegie Hall'a nasıl ulaşabilirim?"Öteki cevap verir, "Çalışarak, çalışarak, çalışarak." Toplum mühendisliğisaldırılarına herkes o kadar açıktır ki, bir şirketin tek etkili savunmasıçalışanlarını eğitmek, bilgilendirmek ve bir toplum mühendisini tanımakiçin gerekli altyapıyı onlara vermektir. Sonra da insanlara sürekli olarakeğitim sırasında öğrendikleri hatırlatılmalıdır ama bunların hepsi unutlur.
Kuruluştaki herkes, şahsen tanımadığı biriyle görüştüğü zamanlarda-özellikle de bu kişi bir bilgisayara ya da ağa nasıl erişileceğini soruyor-sa- makul düzeyde şüpheci ve dikkatli olmak konusunda eğitilmelidir.Başkalarına inanmayı istemek insan yaratılışında vardır ama Japonlarındediği gibi, iş dünyası bir savaş alanıdır. İşiniz savunmadaki bir boşluk-tan büyük zarar görebilir. Şirket güvenlik kuralları uygun olan veolmayan davranışları açıkça tanımlamalıdır.
Güvenliğin herkese uygun tek bir kalıbı yoktur. Çalışanların çoğun-lukla farklı görevleri ve sorumlulukları, her şirket içi konumun da kendineözgü açık noktaları vardır. Şirketteki herkesin tamamlamakla yükümlüolduğu bir temel eğitim olmalıdır. Daha sonra insanlar sorunun bir
parçası olma olasılıklarını düşürecek belirli süreçlere bağlı kalabilmeleriiçin iş profillerine göre de eğitim görmelidirler. Hassas bilgileri kullananya da sorumluk gerektiren konumlardaki kişilere ayrıca özel eğitim ve-rilmelidir. .
Hassas Bilgileri Emniyete AlmakBu bölümdeki öykülerde de gördüğünüz gibi, biri yanlarına gelip
yardım etmeyi teklif ettiğinde insanların, iş gereklerine, büyüklüğe veşirket kültürüne uygun olarak tasarlanmış şirket güvenlik kurallarınabaşvurmaları gerekir.
Sizden bir bilgiyi taramanızı, bilgisayarınıza bilmediğiniz komutlargirmenizi, yazılım ayarlarınızı değiştirmenizi ve -hepsinin arasında entehlikeli olanı- bir e-posta ekini açmanızı ya da kaynağı belirsiz biryazılımı indirmenizi isteyen bir yabancıyla hiçbir zaman işbirliği yap-mayın. Hiçbir şey yapmıyormuş gibi görünse bile herhangi bir yazılımprogramı göründüğü kadar masum olmayabilir.
Eğitiminiz ne kadar iyi olursa olsun zaman içinde uygulamakta dikkat-siz davrandığımız belirli süreçler vardır. Sıkışık bir zamanda, tam da onaihtiyacımız olduğu anda eğitimi unutuveririz. Kullanıcı adını ve parolayıvermemenin, neredeyse herkesin bildiği (ya da bilmesi gerektiği) ve hatır-latılmasına pek de gerek olmayan bir şey olduğunu düşünebilirsiniz.Mantıklı olan budur. Ama aslında her çalışana ofis bilgisayarlarında, evbilgisayarlarında, hattâ posta odasındaki sayılandırma makinasında kul-landıkları kullanıcı adını ve parolayı dışarıya vermelerinin, ATM kartlarınınşifresini vermekle eş değer olduğu sık sık hatırlatılmalıdır.
Bazen -ama çok ender olarak- gizli bilgileri bir başkasına vermeninzorunlu hattâ önemli olduğu durumlar söz konusu olabilir. Bu nedenle"hiçbir zaman" konusunda katı kurallar oluşturmak, yerinde olmayacak-tır. Yine de güvenlik kurallarınız ve süreçlerinizde, bir çalışanın paro-lasını başkasına verebileceği durumların ve -daha da önemlisi- bu bil-giyi kimin sormaya yetkili olduğunun açıkça belirtilmesi gerekmektedir.
Pek çok kuruluşta, kural, şirkete ya da başka bir çalışana zarar vere-bilecek bilgilerin yalnızca yüz yüze bilinen kişilere ya da kuşkuya yerbırakmadan sesinin tanınabildiği kişilere verilebileceği şeklinde olmalıdır.
Üst düzey güvenlik gerektiren durumlarda, sadece kişisel olarakgetirilen ya da güvenilir bir yetkilendirmeyle -örneğin önceden karar-laştırılmış gizli bir şifreyle ve zaman ayarlı kartlar gibi iki farklı unsur kul-lanılarak- gelen talepler değerlendirilmelidir.
., Veri koruması süreçleri, şirketin hassas işlevleri olan bir bölümün-
İN O t * Şahsen hiç bir işletmede parola değiştokuşuna izin verilmesigerektiğine inanmıyorum. Çalışanların kişisel parolalarını değiştokuşetmesini ya da paylaşmasını yasaklayan katı bir kural yerleştirmek çokdaha kolaydır. Üstelik de çok daha güvenlidir. Ancak her işletmenin bukararı verirken, kendi kültürünü ve güvenlik yaklaşımlarını göz önündebulundurması gerekmektedir.
aen kişisel olarak tanınmayan ya da herhangi bir şekilde kefil olun--namış birine bilgi aktarılmamasım ifade etmelidir.
Bu durumda başka bir şirket çalışanından kulağa gerçek gibi gelenoir talebi, örneğin ekibinizdekilerin adlarının ve e-posta adreslerinin üs-tesinin istendiği bir durumu nasıl ele alırsınız? Ya da bazı evraklarınsadece şirket içinde dolaşabileceğini çalışanların kafasına nasılsokarsınız? Çözümün önemli bir parçası, dışarı gönderilecek bilgilerideğerlendirmek üzere her birimden birini görevlendirmek olabilir. Budurumda, görevlendirilen çalışanlara izlemeleri gereken özel kontrolsüreçlerinin anlatılacağı bir ileri güvenlik eğitimi verilmelidir.
Kimseyi UnutmayınHepimiz çalıştığımız şirketteki yüksek güvenlik gerektiren birimleri
ezbere sayabiliriz. Ama çoğunlukla göz önünde olmayan, buna karşınsaldırılara oldukça açık olan yerlere dikkat etmeyiz. Bu olaylardanbirinde, şirket içindeki bir numaraya faks çekilmesi yeterince masum vegüvenli görünebilir; ancak saldırgan, bu güvenlik açığından yararla-nabilir. Buradaki ders: Sekreterler ve idari memurlardan, şirket yönetici-leri ve üst düzey idarecilere kadar herkesin bu tarz oyunlara karşı uyanıkolmaları için özel güvenlik eğitimleri alması gerektiğidir. Ön kapıyı kolla-mayı da unutmayın: Danışma görevlileri de toplum mühendislerininöncelikli hedefleri arasındadır ve bazı ziyaretçiler ve arayanlar tarafındankullanılabilecek aldatma yöntemlerine karşı uyarılmaları gerekir.
Şirket güvenliği tarafından, bir toplum mühendisliği oyununa hedefolduğunu düşünen çalışanlar için bir çeşit bilgi birikim merkezi niteliğindetek bir iletişim noktası oluşturulması gerekmektedir. Güvenlik olaylarınınbildirileceği tek bir noktanın olması, planlı bir saldırı sırasında saldırınınortaya çıkması için etkili bir ön uyarı sistemi oluşmasını sağlayacak,böylece zaman kaybedilmeden durum kontrol altına alı-nabilecektir.
_̂ s
!N| Ot i Şaşılacak bir şekilde, arayanın adını ve telefon numarasını şir-ket çalışanları veri tabanından kontrol etmek ve geri aramak bile kesin birçözüm değil. Toplum mühendisleri şirket veritabanına ad eklemenin ya datelefon aramalarını yönlendirmenin yollarını bilirler.
BANA YARDIMCIOLABİLİR MİSİNİZ?
Yardım teklif ederek toplum mühendislerinin insanları nasılkandırdıklarını gördünüz. Başka bir sevilen yöntemde ise roller değişirve toplum mühendisi karşı tarafın yardımına ihtiyacı olduğunu söyle-yerek yönlendirme yapar. Zor durumda olan insanlara hep acımışızdır;bu yüzden bu yaklaşım toplum mühendisinin amacına ulaşmasında et-{dîi olduğunu tekrar tekrar kanıtlamıştır.
ZiyaretçiÜçüncü bölümde anlatılan öykülerden biri, bir saldırganın Sosyal
3./enlik Numarası'nı elde edebilmek için kurbanını nasıl kandırdığın-dan söz ediyordu. Bu seferki toplum mühendisimiz aynı sonucu eldestmek için farklı bir yol izliyor ve sonra da bu bilgiyi kullanıyor.
Jones'Iann Çetelesini TutmakSilikon Vadisi'nde, adım vermeyeceğimiz bir uluslararası şirket var.Dünyanın her tarafına dağılmış satış bürolarının ve diğer tesislerininhepsi de bir geniş alan ağı (WAN-Wide Area Netvvork) aracılığıyla şir-ketin genel müdürlüğüne bağlı. Brian Atterby adında, zeki, kıpır kıpırbir saldırgan, bu tip bir ağa, güvenliğin, genel müdürlüğe göre dahagevşek olduğu en uç noktalarından birinden girmenin daha kolayolduğunu biliyordu.
Saldırgan, Chicago bürosunu aradı ve Bay Jones'la görüşmek istediği-ni söyledi. Danışmadaki kız ona Bay Jones'un ilk adını bilip bilmediği-ni sordu; o da, "Bir yere yazmıştım, bulmaya çalışıyorum. Orada Jonesadlı kaç kişi çalışıyor?" diye sordu. Kız, "Üç," diye yanıtladı. "Hangibölümde çalışıyor?"
"Adlan okursanız belki hatırlayabilirim", dedi adam ve kız adlarıokudu, "Barry, Joseph ve Gordon."
"Joseph. Evet adının bu olduğuna eminim" dedi adam. "Ve şeydeydi...hangi bölümdeydi?"
"İş geliştirme."
"Hah işte o. Beni ona bağlayabilir misiniz?"
Kız telefonu aktardı. Jones telefonu açtığında saldırgan, "Bay Jones?Merhaba ben bordro servisinden Tony. Maaş çekinizin doğrudan vakıfhesabınıza yatırılmasıyla ilgili talebinizi az önce yerine getirdik" dedi.
için dışarı neon tabelalar asmıyorlardı.Doğru yerde bulunmak çoğunlukla içerigirebilmek için yeterliydi. Benzer birgüvenlik yöntemi, şirket dünyasında da
TARZI GÜVENLİK: n e y a z | k k j s | k ç a ku||am| lyor v e 'beni-şu-
Tersmler"BENİ ŞU GÖNDERDİ"
Bilginin nerede olduğunubilmeye ve o bilgiye ya da
bilgisayar sistemineerişmek için bir kelime ya
da ad kullanmaya dayanangüvenlik şeklidir.
gönderdi' tarzı güvenlik adını vereceğim,işe yaramaz bir koruma sağlıyor.
Filmlerde Gördümİşte size pek çok insanın hatırlaya-
cağı güzel bir filmden bir örnek.Akbabanın'ın Üç Günü'nde (Three Days
of the Condor) Robert Redford'un oynadığı baş karakter Turner, CIAadına iş yapan küçük bir araştırma şirketinde çalışmaktadır. Bir gün öğleyemeğinden döndüğünde tüm arkadaşlarını vurularak öldürülmüş bulur.Kim olduklarını bilmediği kötü adamların kendisini aradıklarını bilerek buolayı kimin ve neden yaptığını bulmaya çalışır.
Hikâyenin ilerisinde Turner kötü adamlardan birinin telefonnumarasını öğrenmeyi başarır. Ancak bu adam kimdir ve Turner onunnerede olduğunu nasıl bulabilir? Tumer'ın şansı yaver gider, çünküsenaryo yazarı David Rayfiel, Turner'ın geçmişine muhabere bölüğündetelefon hattı teknisyeni olarak eğitim almış olma özelliğini koymuş,böylece onu telefon şirketinin yöntemleri ve uygulamaları hakkında bil-gili kılmıştı. Turner, kötü adamın telefon numarasıyla ne yapması gerek-tiğini gayet iyi biliyordu. Senaryo metninde sahne şöyle anlatılır:
TURNER YENİDEN BAĞLANIR ve BAŞKA BİR NUMARA ÇEVİRİR.
ZIRR! ZIRR! Sonra:
KADIN SESİ (FİLTRELENMİŞ)
MAA, Bayan Coleman konuşuyor.
TURNER (ahizeye konuşur)
Ben Harold Thomas, Bayan Coleman. Müşteri Hizmetleri.202-555-7389 için MAA lütfen.
KADIN SESİ (FİLTRELENMİŞ)
Bir dakika lütfen.
(hemen sonra)
Leonard Atwood, 765 MacKensie Yolu, Chevy Chase, Maryland
Senaryo yazarının bir Maryland adresi için yanlışlıkla bir Washingtonalan kodu kullanıyor olması dışında burada ne olduğunu anlayabildiniz mi?
Bana Yardımcı Olabilir Misiniz? 75
Mifnick Mesajı:Gizlilik- üzerinden güvenlik sistemleri toplum mühendisliği saldırılarınıengellemekte etkisizdirler. Dünyadaki herhangi bir bilgisayar sistemini kul-lanan en az bir insan yardır. Bu yüzden, eğer saldırgan, sistemleri kullananinsanları etkileyebilirse, sistemin gizliliği anlamsız olacaktır.
Aldığı telefon hattı teknisyenliği eğitimi nedeniyle Turner, bir telefonşirketinin MAA (Müşteri Ad ve Adresi) bürosuna ulaşmak için hanginumarayı çevirmesi gerektiğini biliyordu. MAA, tesisatçılar ve diğeryetkili telefon şirketi çalışanlarına kolaylık sağlaması için kurulmuştu. Birtesisatçı MAA'yı arar ve telefon numarasını verirdi. MAA memuru ise".elefon numarasının ait olduğu kişinin adını ve adresini bulup tesisatçıyaverirdi. . '
Telefon Şirketini KandırmakGerçek dünyada MAA'nın telefon numarası çok iyi saklanan bir sırdır.
Her ne kadar telefon şirketleri şimdilerde işi sıkıya almış ve bilgi vermekkonusunda pek cömert davranmıyor olsalar da, o zamanlar güvenlikuzmanlarının gizlilik üzerinden güvenlik adını verdikleri bir çeşit 'beni şugönderdi' tarzı güvenlik uygulaması kullanıyorlardı. MAA'yı arayan veterminolojiyi bilen herhangi birinin ("Müşteri Hizmetleri. 555-1234'le ilgiliMAA lütfen" gibi) bilgi almak için yetkili olduğunu varsayıyorlardı.
Ne kendinizi tanıtmaya, ne kimliğinizi kanıtlamaya, ne SosyalGüvenlik Numaranızı vermeye, ne de hergün değişen bir parola gir-meye gerek yoktu. Eğer aramanız gereken numarayı biliyorsanız vesesiniz inandırıcı geliyorsa, o zaman bubilgiyi almaya hakkınız var demekti.
Bu, telefon şirketi açısından çokyerinde bir varsayım değildi. Güvenliğisağlamak yolundaki tek çabaları yılda birkereden az olmamak üzere dönem dönemtelefon numarasını değiştirmekti. Bunarağmen bu numaralar hangi dönemdeolursa olsun bu kullanışlı bilgi kaynağın-dan yararlanmaktan ve başka beleşçiarkadaşlarıyla yaptıklarını paylaşmaktanhoşlanan telefon beleşçileri arasındayaygın olarak bilinen numaralardı. MAAbürosu dalaveresi, gençliğimde hobiolarak telefon beleşçiliği yaptığım zaman-larda ilk öğrendiğim şeylerden biriydi.
TerimlerGİZLİLİK ÜZERİNDEN
GÜVENLİK: Sistemin (pro-tokollerin, algoritmaların
ve dahili sistemlerin) çalış-ma bilgileriyle ilgili ayrın-tıları gizli tutmaya dayananetkisiz bir bilgisayar güven-
lik yöntemidir. Gizliliküzerinden güvenlik, güve-
nilir bir grup insan dışındakimsenin sisteme giremeye-ceği gibi bir yanlış inanışa
dayanır.
iş dünyasında ve devlet dairelerinde 'beni şu gönderdi' tarzı güven-lik sistemleri kullanılmaya devam edilmektedir. Şirketinizin birimleri,çalışanları ve terminolojisiyle ilgili yeterli bilgiyi toplamış o kadar dabecerikli olmayan herhangi bir saldırganın kendini yetkili biri olaraktanıtması olasıdır. Bazen daha azı bile yeterli olur. Tüm gereken şeydahili bir telefon numarasıdır.
Her ne kadar şirketlerde çalışan pek çok kişi güvenlik açıklarınakarşı ihmalkâr, ilgisiz ve dikkatsiz olsa da, Fortune 500 şirketleri arasın-da bulunan bir bilgisayar merkezinde yönetici unvanıyla bulunan birininen iyi güvenlik uygulamaları konusunda bilgili olmasını beklersiniz, öyledeğil mi?
Şirketinin Bilişim Teknolojileri birimine bağlı olarak çalışan bir bil-gisayar merkezi yöneticisinin basit ve bariz bir toplum mühendisliğidalaveresine kurban gideceği aklınızın ucundan bile geçmez. Özelliklede toplum mühendisi ergenlik çağından yeni çıkmış, hâlâ çocuk sayıla-bilecek biriyse. Ancak bazen beklentilerimizde yanılabiliriz.
Yıllar önce radyoları yerel polis ya da itfaiye telsiz konuşmalarınıdinleyecek şekilde ayarlamak ve her zaman rastlanmayan türdenoldukça heyecanlı bir banka soygununu, bir işyeri yangınını ya da süratlibir kovalamacayı daha olaylar olurken dinlemek, vakit geçirmenineğlenceli yollarından biriydi. Polis teşkilatının ve itfaiyenin kullandığıradyo frekansları köşedeki kitapçıdan alabileceğiniz kitapçıklarda bilebulunuyordu; bugün ise internet üzerinde listeler Yıallnâe âuruyofıai \ebir kitapçıdan alabileceğiniz kitaplardan, yerel teşkilatların, ilçe, eyaletve hattâ bazı durumlarda federai büroların bile radyo frekanslarını bula-bilirsiniz.
Bunları dinleyenler doğal olarak yalnızca meraklılar değildi. Geceninbir yarısında market soyan hırsızlar o tarafa doğru bir polis arabasınıngelip gelmediğini öğrenmek için polis kanalını dinlerlerdi. Uyuşturucukaçakçıları Uyuşturucu Masası polislerinin yerel hareketlerini buralar-dan öğrenirlerdi. Bir kundakçı, önce bir kibrit çakıp sonra da itfaiyecilersöndürmeye çabalarken tüm radyo konuşmalarını dinleyerek hastazevkini tatmin edebilirdi.
Günümüzde bilgisayar teknolojisindeki gelişmeler ses mesajlarınışifreleme olanağı sağladı. Mühendisler tek bir mikroyongaya daha fazlaişlem gücü tıkmanın yollarını bulurlarken, bir yandan da kötü adamlar vemeraklıların dinlememesi için polis kuvvetlerine yönelik küçük, şifreli tel-sizler üretmeye başladılar.
Kulak Misafiri Dantıy " " ' . /Adına Danny diyeceğimiz anten meraklısı ve yetenekli bir bilgisayar
korsanı, bu tür telsiz sistemleri üreten büyük firmaların birinden, gizlişifreleme yazılımının kaynak kodunu ele geçirmenin bir yolunu bulupbulamayacağını denemeye karar verirdi. Kodu incelemenin, polis teşki-latını dinleyebilmesine olanak sağlayacağını ve belki de, en gelişmişteknolojiye sahip devlet kurumlarının bile arkadaşlarıyla yaptığı konuş-maları dinlemesini güçleştirecek şekilde teknolojiyi kullanabileceğiniumuyordu.
Bilgisayar korsanlarının karanlık dünyanın Danny'leri yalnızca me-raklı -ve tamamıyla- zararsız türden adamlarla tehlikeli adamlar arasın-da özel bir sınıflandırmaya tabidirler. Danny'ler, sunduğu heyecan içinsistemlere ve ağlara giren ve teknolojinin nasıl çalıştığını görmeninkeyfini çıkaran muzip bir korsanın merakının yanı sıra bir uzmanın bilgi-sine de sahiptirler. Ancak onların elektronik ortamları kırma ve o alanagirme maceraları gerçekten de yalnızca bir maceradır. Bu adamlar, buzararsız korsanlar, zevk için sitelere yasadışı giriş yaparlar.Yaptıklarından para kazanmazlar; dosyalara zarar vermezler, ağrağlantılarını bozmazlar ya da bilgisayar sistemlerini çökertmezler.Dnların yalnızca orada olup, güvenlik ve sistem yöneticilerinin sırtı;onükken dosyaları kopyalaması ve parolaları öğrenmek için e-posta-arı taraması, kendileri gibi davetsiz misafirleri dışarda tutmakla sorum-j adamların kulaklarını bükmektedir, işin en keyifli yanı karşı tarafa
üstünlük sağlamaktır.
Bu tanımlara uygun olarak bizim Danny'miz, yalnızca kendiDastırılamaz merakını tatmin etmek ve üreticinin bulduğu akıllıca yeni-kleri takdir etmek için, hedef şirketin en iyi korunan ürününün ayrın-
: arını incelemek istiyordu.
Bilindiği üzere, ürün tasarımları şirketin elindeki herhangi bir şey•adar değerli, korunması gereken ve özenle saklanan ticari sırlardır,lanny bunu biliyordu ama zerre kadar.•nurunda değildi. Ne de olsa, hedefteki,sadece büyük ve isimsiz bir şirketti.
Ancak yazılım kaynak kodunu nasıli de edecekti? işlerin gidişine bakılırsa,î 'ketin Güvenli iletişim Grubu'na ait<raliyet mücevherlerini" ele geçirmek
: dukça kolay olmuştu. Üstelik şirket,asanların kendilerini tanıtmaları için bir.erine iki ayrı anahtar gerektiren ikizasamakl! bir kimlik belirleme sistemi• ..Hanıyordu.
TerimlerİKİ BASAMAKLI
TANIMLAMA: Kimliğibelirlemek için iki farklıtanımlama şekli kullanıl-
masıdır. Örneğin, birkişinin kendini tanıtabilmekiçin belirli, tanımlanabilirbir noktadan ve parolayı
bilerek araması gerekebilir.
78 Aldatma Sanatı
işte size, büyük olasılıkla artık aşina olduğunuz bir örnek. Yeni kredikartınız geldiğinde, kartın doğru kişinin elinde olduğundan ve birilerininzarfı posta kutusundan çalmadığından emin olmak için kartı veren şir-ket onları aramanızı ister. Şu sıralar kartla birlikte gelen talimatlar genel-likle evden aramanızı öneriyor. Aradığınızda, kredi kartı şirketindekiyazılım, şirketin ödediği ücretsiz aramaların yapıldığı santralın sağladığıONT'yi (Otomatik Numara Tanımlayıcısfnı) çözümlüyor.
Kredi kartı şirketindeki bir bilgisayar, arayan tarafın numarasını şir-ketin kart sahipleri veri tabanında bulunan numarayla karşılaştırır.Görevli, telefonu açana kadar müşterinin veri tabanından çekilen bilgilerekranda görünür. Böylece görevli, bilgileri gördüğü anda, aramanın birmüşterinin evinden yapıldığını anlar. Bu, kimlik belirlemenin birbasamağıdır.
Sonra görevli sizinle ilgili önüne çıkan bilgilerden birini seçer -buçoğunlukla Sosyal Güvenlik Numarası, doğum tarihi ya da anneninkızlık soyadı olur- ve bu bilgiyi doğrulamak için size soru sorar. Eğerdoğru yanıtı verirseniz, bu da kimlik belirlemenin, sizin bildiğiniz bir şeyedayanan ikinci basamağını oluşturur.
Hikâyemizde geçen güvenli telsiz sistemlerini üreten şirketin herçalışanının bilgisayara girmek için kullandığı kullanıcı adı ve parolanınyanı sıra bir de Güvenli Kimlik dedikleri küçük bir elektronik cihazıvardır. Buna zaman tabanlı anahtar denir. Bu cihazlar iki çeşittir: Biri birkredi kartının yarısı boyutundadır ama biraz daha kalındır; diğeri iseinsanların anahtarlıklarına takabilecekleri kadar küçüktür.
Şifreleme dünyasının bir eseri olan bu aletin üzerinde altı basamak-lı bir sayı gösteren küçük bir ekran vardır. Her altmış saniyede bir ekran-da farklı bir altı basamaklı sayı görünür. Yetkili bir kişinin, dışarıdan ağagireceği zaman, önce gizli bir kişisel kimlik numarası sonra da anahtarcihazında görünen sayıları girerek kendini yetkili biri olarak tanıtmasıgerekir. Dahili sistem tarafından tanındıktan sonra kullanıcı adını veparolasını yazarak girişi gerçekleştirir.
Genç korsan Danny'nin istediği kaynak kodunu alabilmesi için yal-nızca bir çalışanın kullanıcı adını ve parolasını bulması yetmiyor (ki bu,deneyimli bir toplum mühendisi için çok zor bir iş değildir), aynı zaman-da zaman tabanlı anahtar kontrolünü de atlatması gerekiyordu.
Gizli kişisel kimlik numarasıyla birleşmiş zaman tabanlı anahtar kul-lanılan iki basamaklı bir kimlik belirleme sistemini alt etmek kulağa tamGörevimiz Tehlike'den fırlamış bir iş gibi geliyor. Ama toplum mühendisiiçin böyle bir işte karşılaşacağı zorluk, özel bir beceriye sahip bir pokeroyuncusunun rakiplerinin yüzlerini okumada karşılaştığı zorlukla ben-zerdir. Şansı yaver giderse, oturduğu masadan, diğer insanlardan aldığıtomarla parayla birlikte kalkabileceğini bilir.
Kaleyi FethetmekDanny hazırlıklarını yapmaya başladı. Çok geçmeden gerçek bir
çalışan rolünü oynayacak kadar bilgi toplamıştı. Elinde bir çalışanın adı,rolümü, telefon numarası ve Sosyal Güvenlik Numarası'nın yanı sıra
rneticisinin adı ve telefon numarası da vardı.
O anda kelimenin tam anlamıyla fırtına öncesi sessizlik hakimdi.Yaptığı planı uygulayarak bir sonraki adımı atmadan önce Danny'ninyapması gereken birşey daha kalmıştı. Bu, kendi çabalarıyla yapama-yacağı bir şeydi. Bir kar fırtınasına ihtiyacı vardı. Danny'nin, çalışanların--"islerine ulaşmasını engelleyecek kadar kötü bir hava için Tabiat^na'dan küçük bir yardım alması gerekiyordu.
Söz konusu fabrikanın bulunduğu Güney Dakota'da kış mevsiminde<ötü hava dileyen birinin çok beklemesi gerekmez. Cuma gecesi fırtınakoptu. Kar şeklinde başlayan yağış, soğuk bir yağmura dönüştü veoöylece sabaha kadar tüm yollar kaygan ve tehlikeJi bir buz tabakasıy-a kaplandı. Danny için bu harika bir fırsattı.
Fabrikayı arayıp, bilgisayar odasını bağlattırdı ve bilgi işlemin işçiarılarından birine, kendini Roger Kovvalski olarak tanıtan bir bilgisayarişletmenine ulaştı.
Danny, ele geçirdiği ve gerçek bir çalışana ait olan adı vererekKonuştu. "Ben Bob Billings. Güvenli İletişim Grubu'nda çalışıyorum. Şuanda evdeyim ve fırtına yüzünden işe gelemiyorum. Bilgisayarıma vesunucuya evden ulaşmam gerekiyor ama Güvenli Kimlik Kartı'mımasamda unutmuşum. Onu benim için alır mısınız? Ya da başka biri dealabilir. Sonra ağa girmem gerektiğinde ekranında yazanı bana okuya-bilirsiniz. Ekibimin yetiştirmesi gereken önemli bir teslimat var ve budurumda işi bitirmem mümkün değil. Ofise gelemiyorum, bu taraflarda-ki yollar çok tehlikeli bir hale geldi."
"Ben Bilgisayar Merkezi'nden ayrılamam" dedi bilgisayar işletmeni.
Danny hemen atladı, "Sizin bir Güvenli Kimlik Kartınız var mı?
"Bilgisayar Merkezi'nde bir tane var," dedi işletmen. "Acil bir durum-da işletmenlerin kullanması için."
"Tamam" dedi Danny. "Bana büyük bir iyilik yapabilir misin? Ağagirmem gerektiği zaman Güvenli Kimlik Kartı'nı kullanabilir miyim?Yalnızca yollar düzelene kadar."
"Adınız ne demiştiniz?" diye sordu Kovvalski
"Bob Billings." • • • .
"Kimle çalışıyorsunuz?"
"Ed T r e n t o n ' l a . " ••-• ' o /< :- . .,-• v
Zor bir durumda kalma tehlikesi varsa, iyi bir toplum mühendisi,yapılması gerekenden daha fazla araştırma yapar. "İkinci kattayım" diyedevam etti Danny. "Roy Tucker'in yanında oturuyorum."
Adam bu adı da biliyordu. Danny onu işlemeye devam etti. "Masamagidip Güvenli Kimlik Kartı'mı alıp gelirseniz çok daha kolay olabilir."
Danny adamın bunu yapmayacağından oldukça emindi. Her şeydenönce mesaisinin ortasında işi bırakıp koridorlardan geçip merdivenler-den çıkıp binanın öbür köşesine gitmek istemeyecekti. Ayrıca başkabirinin masasının başına geçip özel eşyalarını karıştırır gibi bir durumdakalmak da istemezdi. Evet, bunu yapmayacağı üstüne oynamak yerindeolacaktı.
Kowalski yardıma ihtiyacı olan birine hayır demek istemiyordu amaevet deyip başını belaya sokmak da istemiyordu. Bu yüzden karar ver-mekten çekinerek yana adım attı. "Müdürüme sormam gerekecek. Birazbekler misiniz?" Telefonu bıraktı ve Danny onun başka bir telefonu alıp,bir numara çevirdiğini sonra da isteğini birine anlattığını duydu. O andaKovvalski açıklaması güç birşey yaptı. Bob Billings adını kullananadama kefil olmuştu. "Onu tanıyorum" dedi yöneticisine. "Ed Trentoniçin çalışıyor. Bilgisayar Merkezindeki Güvenli Kimlik Kartı'nı kullan-masına izin verebilir miyiz?" Danny telefon elinde amacına verilen buolağanüstü ve beklenmedik destek karşısında şaşırıp kalmıştı. Ne şan-sına ne de kulaklarına inanamıyordu. .-.;. •-••• --•
Birkaç dakika sonra Kovvalski telefonu yeniden eline aldı. "Müdürümsizinle şahsen konuşmak istiyor" dedi ve ona müdürünün adını ve ceptelefonu numarasını verdi.
Danny müdürü aradı ve üzerinde çalıştığı projenin ayrıntılarını veekibinin önemli bir teslimatı yetiştirmesi gerektiğini de ekleyerek tümhikâyeyi bir kez daha anlattı. "Biri gidip kartımı alabilirse daha kolayolur" dedi. "Masamın kilitli olduğunu sanmıyorum, sol üst çekmecedeolmalı."
"Peki" dedi müdür," Yalnızca hafta sonu için olmak kaydıyla sanırımBilgisayar Merkezi'ndekini kullanmanıza izin verebiliriz. Görevliarkadaşlara aradığınızda erişim şifresini size okumalarını söyleye-ceğim" dedi ve onunla birlikte kullanılacak kişisel tanıtım numarasını daverdi.
Tüm hafta sonu boyunca şirket bilgisayarına girmek istediği zamanDanny'nin yaptığı tek şey Bilgisayar Merkezi'ni aramak ve Güvenli KimlikKartı'nda yazan altı basamaklı sayıyı okumalarını rica etmek oldu.
Bana Yardımcı Olabilir Misiniz? 81
İşi İçerden BitirmekŞirketin bilgisayar sistemine girdikten sonra ne olacaktı? Danny
î'adığı yazılımın bulunduğu sunucuya girmenin yolunu nasıl bulacaktı?
Bunun için zaten hazırlıklıydı.
Bilgisayar kullanıcılarının çoğu tartışma guruplarını bilirler. Bunlar,insanların yanıt aradıkları sorularını koydukları ya da müzik, bilgisayarve daha yüzlerce başka konuda sanal arkadaşlar edinmek için kul-andıkları elektronik bülten panolarıdır.
Bir tartışma gurubu sitesine mesaj bıraktıklarında, mesajlarının yıl-arca çevrimiçi ve erişilebilir kalacağını pek az kişi bilir. Örneğin3oogle'ın, bazılarının tarihi yirmi yıl öncesine dayanan yedi yüz milyonmesajlık bir arşivi vardır! Danny işe http://groups.google.com adresinegirmekle başladı.
Arama metni olarak "şifreli telsiz iletişimi" ve şirketin adını girip birçalışana ait yıllar öncesinden kalmış bir mesaj buldu. Şirketin bu ürünügeliştirmeye başladığı yıllarda, herhalde polis teşkilatlarının ve federalDuraların telsiz sinyallerini karıştırmayı düşünmelerinden çok önceDirakılmış bir mesajdı.
Mesajda gönderenin adı da bulunuyordu. Yalnızca adı değil, telefonnumarası ve hattâ çalıştığı grubun adını vardı; Güvenli İletişim Grubu.
Danny telefonu açıp numarayı çevirdi. Yaptığı çok uzun bir atış gibigörünüyordu. Adam, yıllar sonra da aynı kuruluş için çalışmaya devamediyor muydu? Böyle fırtınalı bir hafta sonunda iş yerinde olabilir miydi?Telefon bir kez, iki kez, üç kez çaldı ve sonunda açıldı. Açan kişi, "BenScott" dedi.
Danny, şirketin Bilgi İşlem Bölümü'nden olduğunu söyleyerekgeliştirme işleri için kullanılan sunucuların adını vermeye (önceki bölüm-lerden artık aşina olduğunuz yollardan birini kullanarak) Scott'u ikna etti.Bu sunucularda, şifreli telsizlerde kullanılan, şirkete özgü algoritmalarınve yazılımların kaynak kodlarının bulunduğunu düşünüyordu.
Danny gittikçe yaklaşıyor ve heyecanı da giderek artıyordu. Çok azinsanın başarabileceğini bildiği bir şeyi başardığında hissedeceği heye-canın ve büyük coşkunun beklentisi içindeydi.
Yine de henüz hedefine ulaşmamıştı. Yardımsever bilgisayar merkezimüdürü sayesinde tüm hafta sonu boyunca şirketin ağına istediği zamangirebiliyordu. Ayrıca hangi sunuculara erişmesi gerektiğini de biliyordu.Ancak bağlanmaya çalıştığında, oturum açtığı uçbirim sunucusu Güvenliiletişim Grubu geliştirme sistemlerine girmesine izin vermedi. O grubunbilgisayar sistemlerini koruyan bir iç güvenlik duvarı ya da yönlendiriciolmalıydı. Girmek için başka bir yol bulması gerekiyordu.
Bir sonraki adım gözünü karartmasını gerektirmişti. Danny,Bilgisayar Merkezi'nde çalışan Kovvalski'yi aradı ve, "Sunucum bağlan-mama izin vermiyor" diye şikâyet etti. "Telnet kullanarak kendi sis-temime bağlanabilmem için sizin bölümün bilgisayarlarında benim içinbir hesap açabilir misiniz?"
Müdür zaten zaman tabanlı anahtarın sağladığı erişim şifresinin ve-rilmesini onaylamıştı, bu yüzden böyle bir istek tuhaf karşılanmadı.Kovvalski, Bilgisayar Merkezi bilgisayarlarından birinde geçici bir hesapaçtı ve bir de parola verdi. Danny'e de, "ihtiyacınız kalmadığı zamanhaber verirseniz, hesabı kaparım." dedi.
Geçici hesaba girdikten sonra Danny, ağ üzerinden Güvenli iletişimGrubu'nun bilgisayar sistemlerine bağlanmayı başardı. Ana geliştirmesunucusuna bağlanabilmek, amacıyla teknik bir açık bulabilmek için birsaat boyunca çevrimiçi arama yaptı ve sonunda turnayı gözündenvurdu. Görünüşe göre sistem ya da ağ yöneticileri işletim sistemlerindeuzaktan erişime izin veren güvenlik hatalarıyla ilgili gelişmelerden ha-berdar değillerdi. Ama Danny haberdardı.
Kısa süre içerisinde, aradığı kaynak kodlarını buldu ve ücretsiz sak-lama alanı veren bir e-ticaret sitesine aktardı. Dosyalar bulunsa bile busiteden kimse onun izini süremezdi.
Açtığı oturumu kapatmadan önce atması gereken bir adım dahavardı: Bıraktığı izleri dikkatle temizlemesi gerekiyordu. Cumartesi gece-si Jay Leno'nun programı bittiğinde o da kendi işini bitirdi. Danny bununçok verimli bir hafta sonu olduğuna karar verdi. Üstelik de kendini hiçriske atması gerekmemişti. Baş döndürücü bir heyecandı, hattâ kayaksörfünden (snowboard) ve serbest atlayıştan (sky diving) bile dahaheyecan vericiydi.
Danny o gece sarhoş oldu ama viski, cin, bira ya da sake içerekdeğil. Aşırdığı dosyalara bakarken, parmaklarının arasından kaymayaçalışan son derece gizli telsiz yazılımına yaklaşmanın verdiği güç vebaşarı duygusuyla sarhoş olmuştu. :
Aldatmacanın İncelenmesi . . .Bir önceki öyküde olduğu gibi, bu oyunun da işe yaramasının tek
nedeni, bir şirket çalışanının, arayan kişinin söylediği kişi olduğunu,sorgulamadan kabullenmesidir. Sorunu olan bir mesai arkadaşınayardım etmek sanayi tekerinin dönmesini sağlayan ve bazı şirketlerinpersoneliyle çalışmayı diğerlerine göre daha keyifli hale getiren birunsurdur. Öte yandan bu yardımseverlik, bir toplum mühendisininsömürebileceği önemli bir zaaf da olabilir.
Danny'nin kullandığı başka bir yöntem ise nefisti. Birinin masasın-dan Güvenli Kimlik Kartı'nı alıp gelmesi talebinde bulunurken sürek;:
Bu öyküde anlatılanlar zaman tabanlı anahtarların ve benzer tanımlama yön-temlerinin kurnaz bir toplum mühendisine karşı koruma sağlamadıklarını bizegösteriyor. Tek savunma, güvenlik politikalarım bilen ve başkalarının kötü niyetle
'. davranışlarını etkileyebileceğinin farkında olan sağduyulu bir çalışandır.
olarak emreder gibi konuşuyordu. Kimse emir almaktan hoşlanmaz. Butavrıyla Danny o isteğinin geri çevrilmesini sağladı ve başka bir çözümönerisini kabul etti. Bu da tam istediği şeydi.
Bilgisayar Merkezi işletmeni Kovvalski, Danny'nin adlarını verdiğiKişileri tanıması nedeniyle tuzağa düşmüştü. Ama neden Kowalski'ninmüdürü, hem de bir bilgi işlem yöneticisi, tanımadığı birinin şirketindahili ağına girmesine izin verdi? Çünkü toplum mühendisinin araçlarıarasında yardım talebi en güçlü silahlardan biridir.
Böyle bir şey sizin şirketinizde de olabilir mi? Yoksa çoktan oldu mu?
Aldatmacanın EngellenmesiYardımcı olan kişinin, arayanın gerçek bir çalışan olup olmadığını
kontrol etmeden ve gerekli önlemleri almadan saldırgana şirket ağınadışarıdan girebilme hakkını tanıması bu öykülerde sık sık tekrarlananbir konu gibi görünüyor. Neden bu konuya bu kadar fazla değiniyorumdersiniz? Çünkü bu, pek çok toplum mühendisliği saldırısının en önem-li unsuru, bir toplum mühendisinin amacına ulaşmasının en kolayyoludur. Neden bir saldırgan basit bir telefon konuşmasıyla bu işihalledebilecekken saatlerce güvenlik duvarlarını (firevvall) kırmayauğraşsın?
Toplum mühendisinin bu tarz bir saldırıyı gerçekleştirmek için kul-landığı en güçlü yöntemlerden biri, saldırganlar tarafından sıkça kul-lanılan, yardıma ihtiyacı olduğu oyununu oynamaktır. Çalışanlarınızınmüşterilere ve mesai arkadaşlarına yardımcı olmalarını engellemekistemeyeceğinize göre onları, bilgisayar erişimi ya da gizli bilgiler talepeden kişilere karşı kullanmaları için özel kontrol süreçleriyle donatmanızgerekmektedir.
Şirket güvenliği süreçleri, çeşitli durumlarda ne tür kontrol mekaniz-malarının kullanılacağını ayrıntılı olarak anlatmalıdır. On yedincibölümde süreçlerin ayrıntılı bir listesini bulabilirsiniz, ancak işte size gözönünde bulundurulabilecek bir takım kurallar:
• İstekte bulunan kişinin kimliğini kontrol etmek için kullanılabile-cek en iyi yollardan biri o kişinin şirket rehberindeki telefonunu
84 Aldatma Sanatı
aramaktır. Eğer kişi bir saldırgansa, o zaman kontrol telefe _sahte çalışan diğer hattâ beklerken gerçek kişiyle konuşma"ya da çalışanın bıraktığı sesli mesaja ulaşıp çalışanın sessaldırganın sesiyle karşılaştırmanızı sağlar.
• Eğer kimlik kontrolü için şirketinizde Sosyal Güvenlikkullanılıyorsa, bu durumda bu numaraların hassas bilgi sa>ması ve özenle korunup yabancılara verilmemesi gerekmektecAynı şey dahili telefon numaraları, birim fatura bilgileri, har;e-posta adresleri gibi her türlü dahili tanımlayıcı için de geçerlic
• Şirket eğitimleri herkesin dikkatini, yetkili ve bilgili göründükle"için bilinmeyen kişilerin şirket çalışanı varsayılmaları uygula-masına çekmelidir. Bir kişinin şirket uygulamalarını bilmesi ya esşirket içi terimleri kullanması kimliğinin kontrol edilmemesi içryeterli neden değildir.
• Güvenlik görevlileri ve sistem yöneticileri sadece herkesirgüvenlik kurallarına ne kadar uyduğunu görecek şekilde konuyaodaklanmamalıdırlar. Aynı kurallara, süreçlere ve uygulamalarakendilerinin uyduğundan da emin olmalıdırlar.
• Parola ve benzeri şeyler, doğal olarak, hiçbir zaman başkasınaverilmemelidir. Başkalarına verilmeyle ilgili kural, zaman tabananahtarlar ve diğer tanımlama yöntemleri söz konusu olduğundadaha da önemli olmaktadır. Bu unsurlardan herhangi birininbaşkalarına verilmesinin, şirketin bu sistemleri kurma amacınabütünüyle aykırı olduğunun herkesçe bilinmesi gerekmektedir.Başkalarına verilmesi, izinin sürülemeyeceği anlamına gelir.Eğer bir güvenlik sorunu yaşanırsa ya da bir şeyler ters giderse,kimin sorumlu olduğunu bulamazsınız.
• Bu kitapta hep vurguladığım gibi, çalışanların kendilerine gelentalepleri dikkatle değerlendirebilmeleri için toplum mühendisliğihilelerinin ve tekniklerinin bilincinde olmaları gerekmektedir.Güvenlik eğitiminin bir parçası olarak rol yapma eğitimlerini degöz önüne alabilirsiniz, böylece çalışanlarınız toplum mühen-disinin nasıl çalıştığını daha iyi anlayabilirler.
7 DÜZMECE SİTELERTEHLİKELİ EKLER
"Karşılıksız hiçbir şey olmaz" diye eski bir söz vardır. Buna karşınbedava bir şeyler sunma tuzakları hem yasal ("Ama durun-dahası var!Hemen arayın ve yanında bir bıçak seti bir de mısır patlatma makinasıverelim!") hem de o kadar da yasal olmayan ("Florida'da bir dönümbataklık arazisi alın, ikinci dönüm bedavaya gelsin!") işler için önemli birilgi çekme yolu olmayı sürdürüyor.
Pek çoğumuz bedava birşeyler elde etmeye o kadar hevesliyiz kiyapılan öneri ya da verilen söz üzerinde mantıklı düşünemeyecekdurumda olabiliyoruz. Şu yaygın uyarıyı hepimiz biliyoruz; "müşterilerindikkatine"; ama artık başka bir uyarıyı daha dikkate almanın zamanıgeldi: Bedava yazılımlara ve "hadi tıkla" diyen e-posta eklerine dikkat.Bilinçli bir saldırgan, bir şirket ağına girebilmek için bedava bir hediyeyekarşı duyduğumuz doğal dürtüye hitap etmek dahil, neredeyse her yolukullanacaktır. İşte birkaç örnek.
Bedava Bir (Boşluk) İstemez Miydiniz?Tıpkı virüslerin zamanın başlangıcından bu yana insanoğlunun ve
tıp uzmanlarının başına bela olmaları gibi, çok isabetli biçimdeadlandırılmış bilgisayar virüsleri de teknoloji kullanıcılarının başına ben-zer bir bela açmışlardır. En çok zarar veren virüsler, -hiç de tesadüfolmayan bir biçimde- en çok ilgiyi toplayan ve göz önünde bulunanlarolmuştur. Bunlar bilgisayar varidatlarının ürünleridir.
Kötü huylu bilgisayar vandallarına dönüşen bilgisayar hastaları, nekadar zeki olduklarını gösterebilmek için uğraşıp didinirler. Bazen yaptık-larıyla bir kabul törenindeymiş gibi daha yaşlı ve deneyimli bilgisayar kor-sanlarını etkilemek amacındadırlar. Bu insanlar, zarar vermek üzere tasar-lanmış bir virüs ya da solucan yaratmaya güdülenmişlerdir. Eğer yaptıklarıiş dosyaları yok edip, sabit sürücüleri göçertiyorsa ve kendini gizlice bin-lerce insana gönderebiliyorsa, Vandallar başarıları karşısında gururlakabarırlar. Eğer virüs, gazetelerin yazacağı kadar ve ana haberlerde onakarşı uyarılar yayınlanacak kadar kargaşa yarattıysa daha da iyi olur.
Vandallar ve virüsleriyle ilgili pek çok şey yazıldı; kitaplar: yazılımlar;ayrıca koruma sağlamak için şirketler kuruldu ama biz burada onlarınteknik saldırılarına karşı savunmalardan sözetmeyeceğiz. Bizim şu ankiilgi noktamız vandalın yıkıcı hareketlerinden çok onun uzaktan akrabasıolan toplum mühendisinin maksatlı çabaları üzerinde olacak.
86 Aldatma Sanatı
E-posfayla GeldiHer gün reklam mesajları içeren ya da ne istediğiniz, ne de ihti-
yacınız olan birşeyleri bedava olarak sunan istenmeyen e-postalar alı-yorsunuzdur. Nasıl şeyler olduklarını biliyorsunuz. Yatırım danışmanlığı,bilgisayarlar, televizyonlar, kameralar, vitaminler ya da seyahatler içinindirimler; ihtiyacınız olmayan kredi kartları için fırsatlar; ücretli televiz-yon kanallarını bedava seyretmenizi sağlayacak bir cihaz; sağlığınızı yadJ15QKs gücünüzü artırmanın yolları ve daha neler neler.
Ama arada bir, elektronik posta kutunuzda sizin de ilginizi çeken birteklif gözünüze ilişebilir. Belki bedava bir oyundur, en sevdiğiniz yıldızın 94fotograflık albümüdür, bedava bir takvim programıdır ya da bilgisayarınızıvirüslere karşı koruyacak çok uygun fiyatlı bir paylaşım yazılımıdır.Sunulan herneyse, denemeniz için sizi ikna etmeye çalıştığı dosyayı indir-meniz için sizi yönlendirir.
Ya da belki konu satırında "Dan, seni özledim" ya da "Anna, nedenbana yazmadın" ya da "Selam Tom, işte sana söz verdiğim seksifotoğraf gibi şeyler yazan mesajlar alırsınız. Böylece fotoğrafa bakmakya da mesajı okumak için eki açarsınız.
Tüm bu hareketler -reklam e-postalarından öğrendiğiniz yazılımlarıindirmek, sizi daha önce duymadığınız bir siteye yönlendirecek birbağlantıya tıklamak, tanımadığınız birinden gelen bir eki açmak- belayadavetiye çıkarmaktır. Şu da var ki, çoğu zaman ne bekliyorsanız tamolarak onu görürsünüz ya da daha kötüsü ümitleriniz boşa çıkar ya dasevimsiz şeylerle karşılaşırsınız ama bunlar zararsızdır. Ama bazen,karşınıza çıkan şey bir vandalın eseridir.
Bilgisayarınıza kötü huylu bir kod göndermek saldırının yalnızcaküçük bir parçasıdır. Saldırının başarılı olabilmesi için saldırganın sizieki indirmeye ikna etmesi gerekir.
En çok zarar veren kötü huylu solucanların birkaçını belirtmekgerekirse, Love Letter, SirCam ve Anna Koumikova gibi, hepsi de yayıla-bilmek için toplum mühendisliği aldatma tekniklerine dayanmışlar vebirşeyleri karşılıksız elde etme isteğimizden yararlanmışlardı. Solucan,gizli bilgiler ve bedava porno gibi ilgi çekici bir şey sunan ya da çokzekice bir hileyle, sizin güya sipariş etmiş olduğunuz çok pahalı bireşyanın faturasının ekte olduğunu söyleyen bir mesaj içeren bir
IXI vj i * Bilgisayar dünyasında Uzaktan Erişindi TruvaAtı (RemoteAccess Trojan) olarak bilinen bir çeşit program, saldırganın bilgisayarınızüzerinde tam bir kontol kurmasını sağlar, tıpkı sizin klavyenizin başındaoturuyormuş gibi!
Düzmece Siteler ve Tehlikeli Ekler 87
e-postanın eki olarak gelir. Bu son tuzak i Z. ' 7 • "~ ikredi kartınızdan sipariş etmediğiniz bir ı T © r i m l © r |ürünün parasının çekildiği endişesiylesizi eki açmaya yönlendirir.
Ne kadar çok insanın bu tuzaklaradüştüğünü bilmek şaşırtıcıdır; e-posta
MALWARE (Kötü huylu \yazılımın argo karşılığı) bir jvirüs, solucan ya da Truva I
Atı gibi zarar verici işlemler jeklerini açmanın tehlikeleri konusunda \ yapan bilgisayar programı.tekrar tekrar uyarılmamıza rağmentehlikeye karşı duyarlılığımız zamaniçinde azalır ve her birimizi savunmasız bırakır.
Z a r a r l ı Y a z ı l ı m l a r ı n B e l i r l e n m e s i • '• ;•• • •
Başka türlü bir zararlı yazılım (malvvare-malicious softvvare) ise sizinbilginiz ya da onayınız dışında çalışan ve siz farkında olmadan görevi-ni yerine getiren bir programı bilgisayarınıza yükler. Zararlı yazılımlarbaşta oldukça masum görünebilir hattâ bir VVord™ dokümanı ya daPovverpoint™ sunumu ya da makro işlevleri olan herhangi bir programolabilir ama bunlar başka bir programı gizlice yükleyeceklerdir. Örneğin,zararlı yazılım, Bölüm 6'da sözü edilen Truva Atı'nın bir çeşidi olabilir.Bu yazılım makinanıza bir kez kuruldu mu, yazdığınız her karakteri -tümparolalarınız ve kredi kartı numaralarınız dahil- saldırgana bildirir.
Şok edici bulabileceğiniz başka iki tür zararlı yazılım daha var. Birtanesi saldırgana bilgisayar mikrofonunuzun civarında konuştuğunuzher kelimeyi bildirir (mikrofonunuzun kapalı olduğunu düşündüğünüzzaman bile). Daha da kötüsü, bilgisayarınıza bağlı bir kameranız varsa,bir saldırgan, benzer bir teknik kullanarak terminalinizin önünde olupbiten her şeyi, kameranın kapalı olduğunu düşündüğünüz zaman bile,gece ya da gündüz, seyredebilir.
Kötü bir şaka anlayışı olan bir korsan, hınzırlıklarıyla rahatsız ediciolmak üzere tasarlanmış küçük bir programı bilgisayarınıza kurmayaçalışabilir. Örneğin CD sürücünüzü ansızın açabilir ya da üzerindeçalıştığınız dosyayı sürekli simge durumuna küçültebilir. Ya da geceninortasında çığlık yüklü bir ses dosyasının en yüksek sesle çalmasınaneden olabilir. Uyumaya ya da iş yapmaya çalşırken bunların hiçbirieğlenceli gelmeyecektir... ama en azından kalıcı zarar vermezler.
Mitnick Mesajı:Hediye veren saçmalıklara dikkat edin, yoksa şirketinizin başına Truva ken-tinin başına gelenler gelebilir. Ne yapmanız gerektiğini bilemiyorsanız, bir şey-lerin bulaşmasını engellemek için koruma kullanın.
88 Aldatma Sanatı
Bir Arkadaştan MesajAldığınız önlemlere karşın senaryolar daha da vahimleşebilir. Düşünün:
Şansınızı hiç zorlamamaya karar verdiniz. Artık bildiğiniz ve güvendiğiniz,SecurityFocus.com ya da Amazon.com gibi, güvenlikli siteler dışında hiçbiryerden dosya indirmemeye karar verdiniz. Bilinmeyen kaynaklardan gelene-postalardaki bağlantılara artık tıklamıyorsunuz. Beklemediğiniz hiçbire-postadak\ eta açmamaya karar verdmiz.. Ve e-ticaret işlemleri yapmak yada kişisel bilgiler alıp vermek için girdiğiniz sitelerde güvenli site simgesiolduğundan emin olmak için internet tarayıcınızı kontrol ediyorsunuz.
Ve bir gün bir dostunuzdan ya da iş arkadaşınızdan, eki olan bire-posta alıyorsunuz. İyi tanıdığınız birinden geliyorsa zararlı bir şey ola-maz, değil mi? Özellikle de bilgisayar verileriniz zarar görürse kimi
bildiğiniz, sürece.
Eki açıyorsunuz ve... GÜÜM! Az önce bir solucan ya da Truva Atıtarafından vuruldunuz. Tanıdığınız biri neden size bunu yapsın? Çünküherşey göründüğü gibi değildir. Şunu okumuştunuz: Birinin bilgisayarınagiren ve sonra da kendini o kişinin adres listesindeki herkese postalayansolucan. Tüm bu insanlar da bildikleri ve güvendikleri birinden bir e-postaalmışlardı ve bu güvenilir e-postaların her birinde, durgun bir göle atılmışbir taşın yarattığı halkalar gibi kendi kendini dağıtan solucanlar da vardı.
Bu tekniğin bu kadar etkili olmasının nedeni bir taşla iki kuş vurmakuramına dayanır: Diğer kuşkulanmayan kurbanlara yayılma becerisi vegüvenilir birinden geliyormuş gibi görünmesi.
Teknolojinin bugünkü seviyesinde, yakın birinden gelen bir e-postanınbile güvenli olup olmayacağını düşünüyor olmanız yaşamın üzücü birgerçeğidir.
içinde bulunduğumuz bilgi çağında, görmeyi beklemediğiniz birinternet sitesine yönlendirilmeyi de içeren bir dolandırıcılık çeşidi dahavar. Bu sık sık olur ve değişik şekillerde karşımıza çıkar. Aşağıdakiörnek, intemet'te dolaşan gerçek bir dümene dayanan tipik bir örnektir.
İnsan, dünyayı ve kendi yaşam tarzım değiştiren pek çok harika şey keşfet-miştir. Ancak teknolojinin her iyi kullanımı için, ister bilgisayar, ister tele-
fon ya da internet olsun, birileri her zaman bunu kendi çıkarları için kötüyekullanmanın yolunu bulurlar.
Düzmece Siteler ve Tehlikeli Ekler 89
Mutlu Noeller . . .Edgar adında emekli bir sigorta satıcısı bir gün PayPal'dan bir
e-posta alır. PayPal, hızlı ve elverişli koşullarla çevrim içi ödemeolanakları sunan bir şirkettir ve bu tarz bir hizmet, özellikle ülkenin (hattâdünyanın) herhangi bir yerinde oturan biri, tanımadığı birinden bir malsatm alırken kullanışlıdır. PayPal, alıcının kredi kartından tutarı çeker veparayı doğrudan satıcının hesabına aktarır.
Bir antika cam kavanoz koleksiyoncusu olarak Edgar çevrim içimüzayede şirketi olan eBay aracılığıyla birçok kez iş yapmıştır. PayPal'ısık sık kullanır, bazen haftada birkaç kere de kullandığı olur. Bu yüzden2001 tatil döneminde aldığı, PayPal'dan geliyor gibi görünen ve PayPalhesabını güncellemesi karşılığında bir ödül sunan bir e-posta Edgar'ınilgisini çeker. Mesaj şöyledir:
Mutlu Yıllar Değerli PayPal Müşterisi;Yeni yıl yaklaşırken ve hepimiz bir yıl daha ilerlerken PayPal size hesabınıza5 dolar kredi eklemek istiyor!
5 dolarlık ödülünüzü alabilmeniz için tüm yapmanız gereken, 1 Ocak 2002tarihine kadar bilgilerinizi güvenli Pay Pal sitemizden güncellemektir.Bizdeki bilgilerinizi güncelleyerek siz değerli müşteri hizmetlerimizemükemmel bir hizmet verme olanağı tanımış ve bu sırada kayıtlarımızıdoğru tutmamızı sağlamış olacaksınız!
Bilgilerinizi şimdi güncellemek ve PayPal hesabınıza 5 dolar eklemek içinbu bağlantıyı tıklayınız: http://www.paypal-secure.com/cgi-bin.
PayPal.com sitesini kullandığınız ve bize türümüzün en büyüğü olmadayardımcı olduğunuz için teşekkür ederiz!
En içten dileklerimizle çok "Mutlu Noeller ve Mutlu Yıllar,"
PayPal Ekibi
Edgar e-postayla ilgili birşeylerin ters olduğunu gösteren hatalıayrıntıları da farketmemişti (örneğin, selamlama cümlesinden sonrakinoktalı virgül ve "değerli müşteri hizmetlerimize mükemmel bir hizmet"diyen bozuk cümle gibi). Linki tıkladı, istenen bilgileri -ad, adres, telefonnumarası ve kredi kartı bilgileri- girdi ve beş dolarlık kredisini bir sonra-ki kredi kartı ekstresinde görmek için oturup beklemeye başladı. Onunyerine gördüğü, hiçbir zaman almadığı eşyalara ait bir ödeme listesiydi.
Ç 2\vim içi alışveriş yapmaya yanaşmayan, Amazon \«r- ..;• 'T3rKa olmuş şirketlerden ya da Old Navy, Target ya 6-. . "S,
o , . . . : . . • . . - • " ' " ' " ' 3 i r
90 Aldatma Sanatı
ta'aft^p b ^ ı n c a kuşkuıartiYıiaMS» naKİıiai1. c M w , i . ^ , : . . - . .::..-'••.•::.:.zbuaünün sian.-ıardı olan 128-bit şifreleme kullanıyor OÜV^H; oırs»^,o .«ö-Hpajjğiniz bilgiler bilgisayarınızdan şifreli o.c.-s.. •....'..;• -d'û7^w-- :- büyük bir çaba sarfedilerek deşifre odı.ooıli.ife.- -Yıab n v ^ s - K - a makul bir süre içerisinde kırılmazlar; bunu belKi birtek Ulusal Güvenlik Ajansı (NSA> başarabilir (ve bildiğimiz kad&ny-la NSA'n.n ne Amerikan vatandaşlarının kredi kart numara arın. cal-r',1;-.,? -e de kimlerin pornografik video kasetler yp -3 fantezi iççamaşırları aldıâını bulmaya yönelik bir ilgisi vardır).
jQI c.ifr ^valar, aslın*. • m~J "*' "'"\\
hernsV.J-i Jtf UYS findan kırılabilir. Ama gerçeğe • >* >v ŞPıal, u,r ,<, so.kcrt, mİmaras! çalmak için tüm bu emeği saıfsd&r; V'.csc d? ps:? ÇOKe"Lica,:ef «irfcs^ müşterilerinin ftnansal bilgilerini şifrelenmemiş verı-f o ^ ^ n n d a saklama hatasm, yaparken? Daha da kötüsü, beli, birsVv3,-.taban. kullanan bazı e-ticaret şirketleri sorunu, fena halden e n d i r l e r : Programın imalattan gelen sistem yönet.cs, şjfresınıhıç;•,= •:-•-.o^iciprriir Yazılımı kutusundan çıkardıklannda, şrfresı«bo^İ'^u.-"^ ^ "boşluk" olarak kalmaya devam eder. Bu
R e ^ : . ! . »opo^nırım içeriği veritabanı sunucusuna bağlanmayıdenemeye ka.*,- vermiş internet'teki herkese açiKc.r ^ ^ ^z a m a n S3.!d!r! a l t ındadır «e aııoııer oe\çeKıe.: Co y ^ . •••-••' -••- •"•• •
senin ruhu GUVMÎC.:''L."..'3ğı korkuş''"i'5 üver-
yapmayan aynı insanlar, kredi kartlarını tuğla vei bir dükkândan al.şveriş ederken kullanmakta ya
ği i k i l i i ödemek .çın anneler-beionoan yapıımış u« UUMOIMOM ™«C""S . -.„.; w* - — ğ i akşam yemeği veya içkilerini ödemek için anneler-nî"bîle ^üin.eyeceMeri arka sokak barlarında ve lokantalarında kul-ı-nm-'V b'«- «adınca görmezler. Kredi kartı sliplerı bu \acz\-- "-~-r-s1jre;d! çai'ir...- --s d= arka sokaktaki çöp kutularından arakıar.n. ve" l r h , n o : bir «hiaks.z kasiyer ya da garson, admız, ve kred, kan,_n,,-âiio'.^ :-: •-•••- •-- ^ r a not edebilir ya da içinden geçirilen herhangi birkr«rti"i^n-in& »=x bilgileri sonradan rahatça kullanılmak üzere sak-i s i . - vs T.^T.stte kolayca bulunabilen bir kart tokatlama aleti kul-
r^,r^ içi alışveriş etmenin tehliKeieri vatu» an-.a UÜ/Ü,; GIŞS:|::'.la ûâ* v betondan yapılmış bir dükkândan alışveriş yapmak kadar. n v ^ H i ^ r w-o kredi kartı şirketleri, kartınızı çevrim içi kullanırkende size aynı korumayı sağlarlar -eğer hesabınızdan size ait olmayanharcamalar yapılmışsa bunun yalnızca
Su vüzden benim görüşüme göre çsv.im içi SI^-MÜ? v^n'iaı^a..çeklpme!; başka bir kuruntu olmaktan öteye gu.r.c:.:.
Düzmece Siteler ve Tehlikeli Ekler 91
Mitnick Mesajı:Tam anlamıyla mükemmel bir gösterge olmasa da, her ne zaman bir site siz-den özel olduğunu düşündüğünüz bir bilgi istiyorsa, bağlantının belgeli veşifreli olduğundan mutlaka emin olun. Ve daha da önemlisi, geçersiz, süresidolmuş ya da iptal edilmiş dijital sertifikalar gibi, bir güvenlik sorunu gösterenherhangi bir iletişim kutusunda hemen Evet'i tıklamayın.
Aldatmacanın İncelenmesi
Edgar yaygın kullanılan bir internet dümenine yakalanmıştı. Bu, çeşitlisekilerde karşımıza çıkan bir dolandırıcılık türü. Dokuzuncu bölümdeanlatılan bir tanesi tıpkı aslı gibi olup, saldırgan tarafından yem olarakyaratılmış bir bağlanma sayfasını içerir. Farkı, sahte sayfanın, kullanıcınınulaşmak istediği bilgisayar sistemine erişim sağlamamasıdır; bunun ye-rine kullanıcı, adını ve parolasını bilgisayar korsanına vermiş olur.
Edgar, haydutların "paypal-secure.com" adında -yasal PayPal site-sine ait, güvenli bir sayfa olması gerekirmiş gibi görünen ama öyleolmayan- bir internet adresi satın aldığı bir dümene yakalanmıştır.Bilgileri o siteye girdiğinde, saldırganlara tam istedikleri şeyi vermiştir.
Çeşitleme Üzerine ÇeşitlemelerBilgisayar kullanıcılarını gizli bilgilerini girebilecekleri düzmece inter-
net sitelerine gitmeleri için kandırmanın kaç değişik yolu olabilir?Kimsenin geçerli, kesin bir yanıtı olduğunu sanmıyorum ancak "çok amaçok" diye bir cevap verebiliriz.
Kayıp Bağlantı . ~ \ ' . • -
Bir hile sürekli karşımıza çıkar: Bir siteyi ziyaret etmek için çekici birneden sunan bir e-posta gönderip doğrudan oraya yönlendiren birbağlantı sağlamak. Farklı olarak, bağlantı sizi gittiğinizi düşündüğünüzsiteye götürmez çünkü bağlantı aslında gerçek site için olan bağlantıyıtaklit eder. işte internette gerçekten kullanılmış başka bir örnek, yineçok suistimal edilen PayPal'ın adını kullanmaktadır:
www.PayPai.com . •
Hemen bakıldığında burada PayPal yazıyormuş gibi görünüyor.Kurban farketse bile yazıdaki küçük bir hatanın " I" harfini" i" gibi gös-terdiğini düşünebilir. Ve kim, bakar bakmaz aşağıdaki linkte küçük harfL yerine 1 sayısının kullanıldığını farkedebilir?
www.PayPal.com
92 Aldatma Sanatı
Bu dalavereyi kredi kartı haydutları arasında sürekli popüler kılacakkadar çok yanlış yazımları ve hatalı yönlendirmeleri doğruymuş gibikabullenecek insan var. İnsanlar düzmece siteye gittiklerinde, orası git-meyi umdukları yer gibi görünür ve kredi kartı bilgilerini huzur içinde gi-rerler. Bu dalaverelerden birini kurmak için saldırganın tek yapmasıgereken, düzmece bir site adı almak, e-postalarını göndermek ve ena-yilerin dolandırılmak için siteye girmelerini beklemektir.
2002'nin ortalarında bir e-posta aldım; görünüşe göre"[email protected]"dan, bir defada pek çok adrese gönderilmişti. MesajŞekil 7.1'de sunulmuştur.
Bağlantıyı tıklayan kurbanlar eBay sayfasına çok benzeyen bir websayfasına gittiler. Aslında sayfa, özgün eBay amblemi ve "Ara", "Sat"gibi, tıklandığında ziyaretçiyi gerçek eBay sayfasına götüren diğer ge-zinme bağlantılarıyla iyi tasarlanmıştı. Sağ alt köşede bir güvenlik sim-gesi de bulunmaktaydı. Bilgisiz kurbanı kandırmak amacıyla tasarımcı,kullanıcının sağladığı bilgilerin nereye gönderildiğini gizlemek içinHTML şifrelemesi bile kullanmıştı.
Kötü niyetli, bilgisayar tabanlı toplum mühendisliği saldırısınınmükemmel bir örneğiydi. Yine de kusursuz değildi.
E-posta mesajı çok iyi yazılmamıştı; özellikle de "Bu duyuruyueBay'den aldınız"la başlayan paragraf acemice ve saçmaydı (bu oyun-lardan sorumlu kişiler yazdıklarını kontrol etmesi için hiçbir zamandeneyimli birini tutmazlar ve bu hemen farkedilir). Ayrıca dikkatli birieBay'in ziyaretçine PayPal bilgilerini sormasından kuşkulanırdı; eBay'ınmüşterisine başka bir şirketle ilgili özel bilgilerini sorması için hiçbirneden olamaz.
Ve internet konusunda bilgili herhangi biri bağlantının eBay sayfası-na değil, ücretsiz bir internet hizmet sağlayıcısı olan tripod.com sayfası-na yönlendirildiğini anlayacaktır. Bu, e-postanın yasal olmadığının tambir göstergesidir. Yine de eminim pek çok insan, kredi kartı numaralarıdahil, istenen bilgileri bu sayfaya girmişlerdir.
|N| \J i î Neden insanların yanıltıcı veya uygunsuz alan adlarıalmalarına izin veriliyor? Çünkü geçerli kanun ve çevrimiçi çalışmakuralları uyarınca, isteyen, kullanımda olmayan bir site adını alabilir.Şirketler taklit adreslerin kullanımıyla mücadele etmeye çalışıyorlar amaneye karşı olduklarını bir de siz düşünün. General Motors, f**kgeneral-motors.com adresini (yıldızlar olmadan) alıp URL'yi General Motors'uninternet sitesine yönlendiren bir şirkete dava açtı. G.M. kaybetti.
Düzmece Siteler ve Tehlikeli Ekler 93
msj: Sevgili eBay Kullanıcısı,
Başka şahısların eBay hesabınızı uygunsuz oiarak kullandıkları
oldukça fark edilir bir hal almıştır ve Kullanıcı Anlaşması'nın şu maddesi
ihlal edilmiştir:
4. Fiyat Verme ve Satın Alma •
Sabit fiyatlı düzenlemelerimizden biri aracılığıyla bir mal aldığınız veya
aşağıda açıklandığı üzere en yüksek fiyatı verdiğiniz takdirde satıcıyla
aranızdaki işlemi tamamlamanız gerekmektedir. Eğer bir açık artırma
sonunda en yüksek fiyatı vermişseniz (geçerli en düşük fiyat ve ihtiyat
yükümlülüklerini karşılamak kaydıyla) ve verdiğiniz fiyat satıcı tarafından
kabul edilmişse, satıcıyla İşleminizi tamamlamanız gerekmektedir. Aksı
halde, işlem kanunen veya bu Anlaşma gereğince yasaklanır.
Bu duyuruyu eBay'den aldınız çünkü şu anki hesabınızın diğer eBay
üyeleriyle uyuşmazlıklar yaratması dikkatimizi çekti ve eBay, hesabınızın
en kısa sürede onaylanmasını gerekli bulmaktadır. Lütfen hesabınızı
onaylayınız aksi halde hesap iptal edilebilecektir. Hesabınızı Onaylamak
için Burayı Tıklayınız - http://error__ebay.tripod.com , • .
Belirtilen ticari markalar ve işaretler sahiplerine aittir. eBay ve eBay
amblemi eBay Inc.'e ait ticari markalardır.
Şekil 7.1 Bu ve benzeri e-postalardaki bağlantılar dikkatle kullanılmalıdır.
İnternetin bireysel kullanıcıları olarak hepimizin uyanık olmamız;
kişisel bilgilerin, şifrelerin, hesap numaralarının, PIN'lerin ve bunun gibi
şeylerin ne zaman girileceğine bilinçli bir şekilde karar vermemiz
gerekir.
Baktıkları belli bir internet sayfasının, güvenli bir sayfanın taşıması
gereken şartlara uyup uymadığını söyleyebilecek kaç kişi tanıyor-
sunuz? Şirketinizin kaç çalışanı neye bakması gerektiğini biliyor?
İnternet kullanan herkes genellikle sitelerin bir yerlerinde beliren ve
bir asma kilide benzeyen ufak şeklin ne olduğunu bilmeli. Kilit kapalı
olduğunda sitenin güvenli olarak sertifikalandığını anlamalıdır. Kilit açık
olduğu zaman ya da kilit gözükmediğinde site özgün bir site olarak bel-
gelenmemiştir ve gönderilen herhangi bir bilgi açıktadır; yani, şifrelen-
memiştir.
94 Aldatma Sanatı
TerimlerARKA KAPI: Kullanıcınınbilgisi dışında bilgisayaragizli bir yol sağlayan üstü
kapalı bir giriş noktası. Biryazılım programı
geliştirirken programcılartarafından da kullanılır,
böylece sorunları çözmekiçin programa girebilirler.
Her şeye karşın bir şirket bilgisa-yarının yönetimsel ayrıcalıklarını eldeetmeyi başarmış bir saldırgan, kul-lanıcının gerçekte ne olduğu doğrul-tusundaki görüşünü değiştirmek içinişletim sistemi koduna yamalar yapabilirya da üzerinde oynayabilir. Örneğin, birinternet sitesinin dijital sertifikasınıngeçersiz olduğunu belirleyen İnternettarayıcısı yazılımındaki program kod-larını, kontrolü aşabilmek için değişti-rilebilir. Ya da sistem kök donanımı adı
verilen birşeyle değiştirebilir; işletim sis-temi düzeyinde bir ya da daha fazla,
bulunması daha güç arka kapı yükleyebilir.
Güvenli bir bağlantı, siteyi özgün olarak tanımlar ve iletilen bilgiyişifreler, böylece bir saldırgan elde ettiği verileri kullanamaz. Bir internetsitesine, hattâ güvenli bağlantı kullanan birisine güvenebilir misiniz?Hayır, çünkü site sahibi gerekli tüm güvenlik yamalarını uygulamakta yada kullanıcıları ve yöneticileri doğru şifre uygulamaları konusunda zor-lamakta yetersiz kalabilir. Bu yüzden güvenli görünen bir siteninsaldırıya açık olmadığını varsayamazsınız.
Güvenli HTTP (hypertext transfer protocol) veya SSL (secure socketslayer) dijital sertifikaları yalnızca uzaktaki siteye gönderilen bilgiyişifrelemekte kullanılmaz, aynı zamanda belgeleme yapmak için de(doğru internet sitesiyle iletişim kurduğunuzu doğrulamak amacıyla)otomatik bir mekanizma sağlar. Ancak bu koruma mekanizması, adresçubuğunda görünen site'adının, gerçekten de ulaşmak istediği site olupolmadığına dikkat etmeyen kullanıcılar söz konusu olduğunda işeyarayamaz.
Genellikle göz ardı edilen başka bir güvenlik konusu, karşımızaşunun gibi bir uyarı mesajıyla çıkar "Bu site güvenli değil ya da güven-lik sertifikasının süresi dolmuş. Yine de devam etmek istiyor musunuz?"Pek çok internet kullanıcısı mesajı anlamaz ve ortaya çıktığında hemen"Tamam" ya da "Evef'e tıklayarak, bir batağın içinde olabileceğininfarkında olmadan işine devam eder. Dikkat edin; güvenlik protokolü kul-lanmayan bir internet sitesinde adresiniz, telefon numaranız, kredi kartıveya banka hesap numaranız gibi kişisel bilgilerinizi ya da özelkalmasını istediğiniz herhangi bir şeyleri kesinlikle girmemelisiniz.
Thomas Jefferson özgürlüğümüzü sürekli tutmanın "her zamantetikte" olmaktan geçtiğini söylemiştir. Bilgiyi değiştokuş aracı olarakkullanan bir toplumda özel yaşamı korumak ve güvenliği sağlamak dabir o kadar özen gerektirir. .
Düzmece Siteler ve Tehlikeli Ekler 95
Virüslere Duyorİi Olmak
Virüs yazılımlarıyla ilgili özel bir not: Virüs yazılımları şirket intranetiiçin önemlidir ama aynı zamanda bilgisayar kullanan her çalışan için deönemlidir. Makinalarına virüs koruma yazılımı yüklemiş olmak bir yana,kullanıcıların yazılımı açık tutmaları da gerekir (bu pek çok insanınsevmediği bir şeydir çünkü bilgisayarın bazı işlevlerini kaçınılmaz olarakyavaşlatır).
Virüs koruma yazılımlarıyla ilgili akılda tutulması gereken bir başkaönemli nokta daha vardır: Virüs tanımlarını güncel tutmak. Şirketiniz,yazılımı ya da güncellemelerini ağ üzerinden dağıtmak üzere yapı-landırmadığı sürece, her birey en son virüs tanımları dosyasını kendibaşına indirme sorumluluğunu, taşımalıdır. Kendi kişisel önerimherkesin virüs yazılımı seçeneklerini ve virüs tanımlarını her gün gün-cellenecek şekilde ayarlamalarıdır.
Basitçe söylemek gerekirse, virüs tanımlarınız düzenli olarak gün-cellenmiyorsa savunmasızsınızdır. Böyleyken bile, virüs korumayazılımı geliştiren şirketlerin henüz bilmediği ya da bir tanımlama mo-deli çıkarmadıkları virüs ve solucanlara karşı tam olarak korunuyorsayılmazsınız.
Evdeki bilgisayarları ya da dizüstü bilgisayarları üzerinden uzaktanerişim hakkı tanınmış tüm çalışanların bu makinalar üzerinde en azın-dan güncellenmiş virüs yazılımı ve bir kişisel güvenlik duvarı bulundur-ması gerekir, işini bilen bir saldırgan en zayıf noktayı bulmak için büyükresme bakıp oradan saldıracaktır. Uzaktan erişimleri olan kişilerinkişisel güvenlik duvarları ve güncellenmiş antivirüs yazılımının gereklerikonusunda düzenli olarak uyarılmaları bir şirket sorumluluğudur; çünküBT müdürlüğünden uzak olan bireysel çalışanların, yöneticilerin, satışsorumlularının ve diğerlerinin bilgisayarlarını korumasız bırakmalarınıngetireceği tehlikeleri hatırlamalarını bekleyemezsiniz.
Bu adımların dışında, daha az yaygın ama daha az önemli olmayan,Truva Atı saldırılarına karşı koruma sağlayan yazılım paketlerinin, diğeradıyla anti-Trojan yazılımlarının kullanılmasını şiddetle öneririm. Bu
kitap yazıldığı sırada iyi bilinen program-lardan iki tanesi şunlardır: The Cleaner(www.moosoft.com) ve Trojan DefenceSweep (www.diamondcs.com.au).
TerimlerSSL (Güvenli Yuva
Katmanı): Hem istemcininhem de sunucunun internetüzerinden güvenli iletişimle
belgelenmesini sağlayanNetscape tarafından
geliştirilmiş bir protokol.
Sonuç olarak, ağ geçitlerindetehlikeli e-postalara karşı tarama yap-mayan tüm şirketler için olabilecek enönemli güvenlik mesajı şu olabilir:Hepimiz unutma eğilimli olduğumuzaveya işimizi yaparken kenarda kalan
96 Aldatma Sanatı
şeyleri ihmal ettiğimize göre, güvenilebilecek bir kişi ya da kuruluştangelmediği sürece e-posta eklerini açmamaları konusunda çalışanların,farklı şekillerde, tekrar tekrar uyarılmaları gerekir. Yönetim, faal virüskoruma yazılımlarını ve içinde yıkıcı bir yük taşıyabilen, görünüştegüvenli e-postalara karşı değeri ölçülemez bir koruma sağlayan anti-Trojan yazılımlarını kullanmaları gerektiğini çalışanlarına hatırlatmalıdır.
O ACINDIRMA, SUÇLULUK DUYURMA° | VE SİNDİRME TEKNİĞİ KULLANMAK
On beşinci bölümde de söz edileceği gibi, bir toplum mühendisisteklerini yerine getirmesi için hedefini yönlendirmek amacıyla etkilemepsikolojisini kullanır. Yetenekli toplum mühendisleri, korku, heyecan ya;a suçluluk gibi duyguları uyandıracak bir yöntem bulma konusunda:ok ustadırlar. Bunu, elde olan bilgileri derinlemesine incelemedennsanları isteklerini yerine getirmeye yönlendiren istemsiz mekanizmalarolan psikolojik tetikleyicileri kullanarak yaparlar.
Hem kendimiz hem de başkaları adına zor durumlardan kaçınmaeğilimindeyizdir. Bu olumlu dürtüden yola çıkarak, saldırgan, kişininacıma duygusuyla oynayabilir; onun kendini suçlu hissetmesinisağlayabilir ya da silah olarak sindirmeyi kullanabilir.
işte size, duygularla oynama konusunda en sevilen manevralarlailgili birkaç üst düzey ders. " - . . - • •
Bazı insanların bir toplantının, özel bir eğlencenin ya da bir kitaptanıtım kokteylinin yapıldığı bir otelin balo salonunun kapısında durangörevliye gittiklerini, sonra da bilet ya da davetiye sorulmadan adamınyanından geçtiklerini hiç gördünüz mü?
Çok benzer bir şekilde bir toplum mühendisi de lafazanlıkla, girilme-si mümkün değilmiş gibi görünen yerlere girebilir. Tıpkı aşağıdaki, filmendüstrisiyle ilgili öyküde anlatıldığı gibi.
Telefon Görüşmesi- Ron Hillyard'ın bürosu, ben Dorothy.
- Merhaba Dorothy. Benim adım Kyle Bellamy. CanlandırmaTasarım'da Brian Glassman'ın ekibinde işe başladım. Sizler buradaişleri kesinlikle farklı yürütüyorsunuz.
- Sanırım. Daha önce başka bir film şirketinde çalışmadığım için pekbilemiyorum. Sana nasıl yardımcı olabilirim?
- Doğruyu söylemek gerekirse kendimi biraz aptal gibi hissediyorum.Öğleden sonra fikir alışverişi için bir yazar gelecek ve ben onu içerialmak için kiminle konuşmam gerektiğini bilmiyorum. Burada,Brian'ın ofisinde çalışanlar çok iyiler ama onları çok sıkboğaz edi-yormuşum gibi geliyor, şunu nasıl yaparım, bunu nasıl yaparım...Sanki yeni okula başlamışım da tuvaletin nerede olduğunu bilmiyor-
98 Aldatma Sanatı
muşum gibi. Durumumu anlatabiliyor muyum?
Dorothy güldü. . ' / '
- Sen güvenlikle konuşmak istiyorsun. Önce 7'yi, sonra da 6138'içevir. Eğer telefonu Lauren açarsa, ona, sana iyi bakması gerektiğinisöylediğimi ilet.
- Teşekkürler, Dorothy. Ve eğer erkekler tuvaletini bulamazsam, seniyine arayabilirim!
Bu fikre birlikte güldüler ve telefonu kapattılar.
David Haroid'un Hikâyesi 'Film seyretmeye bayılırım ve Los Angeles'a taşındığımda film
endüstrisinde çalışan bir yığın insanla tanışacağımı ve onların beni par-tilere götüreceğini ya da film stüdyolarında öğle yemeği yiyeceğimizifalan düşünmüştüm. Neyse, Los Angeles'ta bir yıl kaldım, yirmi altıyaşımı doldurmak üzereydim ve film dünyasıyla en büyük yakınlaşmamPheonix ve Cleveland'dan gelen cici insanlarla birlikte yaptığımUniversal Studios turu oldu. Sonunda, işleri, beklediğim gibi kendi elimealmam gerektiğini anladım. Eğer onlar beni davet etmezlerse, benkendimi davet edecektim. Yaptığım da bu oldu.
Bir Los Angeles Times aldım ve birkaç gün boyunca sinema say-fasını okuyup farklı stüdyolardan bazı yapımcıların adlarını not ettim.Önce büyük stüdyolardan birini vurmaya karar verdim.
Santralı aradım ve gazetede okuduğum bu yapımcının ofisinebağlanmak istediğimi söyledim. Telefonu açan sekreter anaç birine ben-ziyordu. Şanslı olduğumu düşündüm, çünkü eğer oradaki keşfedilmekiçin bekleyen genç bir kız olsaydı büyük olasılıkla bana saatin kaçolduğunu bile söylemezdi.
Ama Dorothy öyle değildi, sokakta kalmış bir kedi yavrusunu evine ala-cak birine benziyordu. Yeni işinde kendini biraz mahcup hisseden yeniçocuğa acıyacak biriydi. Ben de kesinlikle doğru noktasına dokunmuştum.Birilerini kandırmaya çalışırken, onların size istediğinizden daha fazlasınıvermeleri durumu her gün başınıza gelmez. Bana acıyıp yalnızca güven-likte çalışan insanlardan birinin adını vermekle kalmadı, aynı zamanda ohanıma, bana iyi bakması gerektiğini tembihlediğini de söylememi istedi.
Dorothy'nin adını kullanmayı zaten planlamıştım. Bu, işi daha dakolaylaştırdı. Lauren hemen açıldı ve verdiğim adın çalışan veritabanın-da olup olmadığına bakmaya bile yeltenmedi.
Öğleden sonra kapıya gittiğimde adımı ziyaretçi listesine eklemeklekalmamışlar benim için bir park yeri bile ayırmışlardı. Film stüdyosu kan-tininde geç bir öğle yemeği yedim ve akşama kadar etrafı gezdim. Hattâbirkaç ses stüdyosuna bile girdim ve film çekimlerini seyrettim. Saat 7'yekadar oradan ayrılmadım. Geçirdiğim en heyecan verici günlerden biriydi.
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 99
Aldatmacanın İncelenmesiHerkes bir zamanlar yeniydi. Hepimizin, özellikle genç ve deneyim-
siz olduğumuz zamanlardan kalan ilk günlerle ilgili anılarımız vardır. Buyüzden yeni bir çalışan yardım istediğinde pek çok insanın -özellikle deişe gireli çok olmamış olanların- kendi yeni yetmelik duygularını hatır-lamalarını ve yardımcı olmak için her işi bir kenara bırakmalarınıbekleyebilirsiniz. Toplum mühendisi bunu bilir ve kurbanlarının acımaduygularıyla oynamak için bunu kullanabileceğinin farkındadır.
Tanımadığımız insanların şirketimizin binalarına ve bürolarına dala-vere yapıp girmelerini çok kolaylaştırıyoruz. Girişte güvenlik görevlileriolsa ve çalışan olmayan herhangi biri için içeri alınma işlemleri yapılsabile, bu öyküde anlatılan oyunun çeşitli şekillerde kullanılması saldır-ganın bir ziyaretçi kartı almasını ve içeri girmesini sağlayacaktır. Ya şir-ketiniz ziyaretçilere eşlik edilmesi şartını koymuşsa? Bu iyi bir kural;ancak sadece, çalışanlarınız, ziyaretçi kartı olsun olmasın, tek başınagelen herkesi durdurup ona sorular sorma konusunda gerçekten bi-linçliyse etkili olur. Eğer alınan yanıtlar tatmin edici olmazsa, çalışan-larınız güvenliğe haber vermek konusunda da istekli olmalıdırlar.
Dışardan gelenlerin lafazanlıkla tesislerinize girmesi şirketinizin hassasbilgilerini tehlikeye sokar. Bugünün ortamında, toplumumuzun üzerinde gezi-nen terör tehdidiyle birlikte, bilgiden çok daha fazlası tehlike altında olabilir.
Şimdi Yap'Toplum mühendisliği teknikleri kullanan herkes gerçek bir toplum
mühendisi olmak zorunda değildir. Belli bir şirketin iç işlerini bilen her-hangi biri de bir tehdit oluşturabilir. Dosyalarında ve veritabanlarındaeleman bilgilerinin tümünü tutan şirketler için tehlike daha da büyüktür.Tahmin edeceğiniz gibi, çoğu şirket de böyle yapar.
Çalışanlar toplum mühendisliği saldırılarını fark edecek şekilde eği-tilmediği ve yetiştirilmediği sürece, aşağıdaki öyküde geçen terkedilmişkadın gibi kararlı insanlar, pek çok dürüst insanın olanaksız olduğunudüşündüğü şeyleri yapabilirler. . . . . . . .
Doug'ın Hikâyesi ' .Linda'yla işler zaten iyi gitmiyordu ve Erinle tanıştığım anda onun
benim için yaratıldığını anladım. Linda, biraz, nasıl desem, tam olarak den-gesiz sayılmasa da kafası bozulduğu zaman ipin ucunu kaçırabilen biri.
Mümkün olduğu kadar nazik bir şekilde artık taşınması gerektiğiniona söyledim ve eşyalarını toplanmasına yardım ettim. Hattâ aslındabenim olan birkaç Queensryche CD'sini almasına bile izin verdim.
100 Aldatma Sanatı .
O gider gitmez anahtarcıya gidip ön kapı için yeni bir kilit aldım vehemen o gece takdirdim. Ertesi sabah telefon şirketini aradım venumaramı değiştirtip kayıtlarda görünmemesini istedim.
Artık Erin'in peşinden gitmek için özgürdüm.
Linda'nın HikâyesiZaten ayrılmaya hazırdım, sadece daha karar vermemiştim. Ama
kimse geri çevrilmekten hoşlanmaz. Bu durumda iş, "ne kadar iğrençbiri olduğunu ona nasıl gösterebilirirn"e geldi.
Bulmam çok uzun sürmedi. Başka bir kız olmalıydı, yoksa beni bukadar alelacele başından atmazdı. Böylece bir süre daha bekleyecek,sonra da gece geç saatlerde onu arayacaktım. Tam da en az aranmakistedikleri saatlerde.
Ertesi hafta sonuna kadar bekledim ve Cumartesi gecesi saat 11 gibiaradım. Numarasını değiştirmişti ve yeni numara kayıtlarda yoktu. Buda onun ne kadar adi biri olduğunu gösteriyordu.
Bu çok da büyük bir engel değildi. Telefon şirketindeki işimden ayrıl-madan önce eve getirdiğim evrakları karıştırmaya başladım. Ve işteburadaydı; Doug'ın telefon hattında oluşan bir arızadan kalan tamirmakbuzunu saklamıştım ve makbuzun üzerinde telefona ait kablo ve çiftnumaraları yazıyordu. Telefon numaranızı istediğiniz kadar değiştirin,aynı bakır tel çifti evinizden çıkıp telefon şirketinin merkez ofis ya da MOdenen ana santralına bağlanır. Her evden ve daireden çıkan bakır tellerkablo ve çift adı verilen sayılarla tanımlanır. Eğer telefon şirketinin işlerinasıl yürüttüğünü bilirseniz, ki ben biliyorum, hedefin kablo ve çiftsayılarını bilmek telefon numarasını bulmak için gerekli olan tek şeydir.
Kentteki tüm merkez ofislerin adresleri ve telefon numaralarının bir-likte bir listesi elimde vardı, iğrenç Doug'la yaşadığım yerin yakınların-daki bir MO'nun numarasını buldum ve aradım ama doğal olarak kimseaçmadı. Tam da ihtiyacınız olduğu anda bu santral görevlisi nerededir?Yeni bir plan yapmak yaklaşık yirmi saniyemi aldı. Diğer merkez ofisleriaramaya başladım ve sonunda birini buldum. Ama kilometrelerceötedeydi ve görevli büyük olasılıkla ayaklarını uzatmış oturuyordu.Yapmasını istediğim şeyi yapmak istemeyecekti. Planım hazırdı.
"Ben Linda, onarım merkezinden," dedim. "Acil bir durum var. Hastaneacil servisinin telefonu arızalanmış. Bir teknisyen onarmaya çalışıyor amasorunun nerede olduğunu bulamıyor. Hemen VVebster Merkez Ofisi'negidip MO'dan ayrılan hattâ çevir sesi olup olmadığına bakılması gerek." '
Sonra ona, "Oraya vardığında seni ararım" dedim. Çünkü onarımmerkezini arayıp beni sormasını istemiyordum.
Merkez ofisin rahat ortamından çıkıp arabasının ön camından buzu ,
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 101
Mitnick Mesajı:Hedef şirkette islerin nasıl yürüdüğünü öğrendikten sonra, toplum mühendisininbu bilgiyi kullanarak gerçek çalışanlarla ahbaplık kurması kolaylaşır. Şirketlerinkendilerine diş bileyen eski ve yeni çalışanlarından gelebilecek toplummühendisliği saldırılarına karşı hazırlıklı olmaları gerekir. Kişilerin geçmişinitaramak, bu tarz davranışlara eğilimi olan şahısları belirlemeye yardımcı ola-bilir. Ancak çoğu durumda bu insanları tespit etmek oldukça zordur. Böyledurumlarda en uygun koruma, şirkette çalışıp çalışmadıkları şahsen bilinmeyenkişilere bilgi vermeden önce aralarında kişinin iş durumunun kontrolü de olmaküzere kimlik belirleme işlemlerini denetlemek ve sıklaştırmaktır.
kazıyıp gecenin bir yarısı ıslak sokaklarda gezinmek istemeyeceğininfarkındaydım. Ama acil bir durum vardı ve bu yüzden ne kadar meşgulolduğuyla ilgili bir şey söyleyemedi.
Kırk beş dakika sonra onu VVebster Merkez Ofisi'nden aradığımda,ona 29 numaralı kabloyu ve 2481 numaralı çifti kontrol etmesini söyle-dim. Kutuya gitti, kontrol etti ve evet, çevir sesi geliyordu. Ben bunuzaten biliyordum.
Sonra ona, "Tamam, şimdi bir HK yapmanı istiyorum," dedim. Bu hatkontrolü ve aynı zamanda telefon numarasını tespit etmesi anlamınageliyordu. Bunu, aradığı numarayı geri bildiren özel bir numarayı ara-yarak yapıyordu. Numaranın kayıtsız bir numara olduğunu ya da dahayeni değiştiğini falan bilmiyordu, bu yüzden istediğimi yaptı venumaranın okunduğunu duydum. Harika. Her şey tıkır tıkır yürümüştü.
Ona, sanki numarıyı biliyormuşum gibi "Sorun herhalde arada biryerde" dedim. Adama teşekkür ettim ve bunun üzerinde çalışmayadevam edeceğimizi söyleyip iyi geceler diledim.
Doug'ın kayıtlarda gözükmeyen bir telefon numarasının arkasınasaklanarak benden kaçmaya çalışması buraya kadardı. Eğlence başla-mak üzereydi.
Aldatmacanın İncelenmesiBu öyküdeki genç hanım intikam almak için istediği bilgiyi elde
etmeyi başarmıştı, çünkü işlerin işleyişiyle ilgili bilgisi vardı, telefonnumaralarını, süreçleri ve telefon şirketinde kullanılan terimleri biliyordu.Bu bilgileri kullanarak yalnızca istediği numarayı elde etmeklekalmamış, bunu soğuk bir kış gecesi bir santral görevlisini şehrin diğerucundan işini görmesi için getirterek yapmıştı.
102 Aldatma Sanatı
İmasını İstiyor"Oldukça etkili ve popüler bir sindirme şekli -popülerliği basit olmasın-
dan kaynaklanır- yetki kullanarak insan davranışlarını etkilemeyedayanır.
Genel müdür asistanının adı bile çok iş görebilir. Özel dedektifler ve hattâinsan avcıları bunu her zaman yaparlar. Santralı ararlar ve genel müdürlegörüşmek istediklerini söylerler. Sekreter ya da asistan telefonu açtığındagenel müdür için bir evrak veya paket geldiğini söylerler ya da bir elektronikposta eki gönderdiklerini ve onu basıp basamayacağını sorarlar. Ya da faksnumarasını öğrenmek isterler. Bu arada adınız neydi diye de sorarlar.
Sonra bir sonraki adamı ararlar ve: "Bay Bigg'in ofisinden Jeanniesizi aramamı ve bana bir konuda yardımcı olabileceğinizi söyledi."
Bu yönteme ad düşürme denir ve genellikle saldırganın üst düzeybiriyle bağlantısı olduğuna hedefi inandırarak hızlı bir ahbaplık kurul-ması için kullanılan bir taktiktir. Kurban, ortak tanıdıkları olan birine dahaçok yardım etme eğilimindedir.
Eğer saldırgan oldukça hassas bilgilere göz koyduysa, kurbanda,müdürleriyle başının derde girmesi korkusu gibi işe yarar duygularuyandırmak için böyle bir yaklaşıma başvurabilir. İşte bir örnek.
S c o f f ' u n Ö y k ü s ü , • • . . • • • -
"Buyrun ben Scott Abrams."
"Scott, ben Christopher Dalbridge. Az önce Bay Biggley'le konuştumve sesi biraz kızgın geliyordu. Tüm pazar payı araştırma raporlarınınbirer kopyasını incelenmemiz için bize göndermeniz doğrultusunda ongün önce size bir talimat vermiş. Elimize hiçbir şey geçmedi."
"Pazar payı araştırmaları mı? Bana kimse bununla ilgili bir şeysöylemedi. Siz hangi birimdesiniz?"
"Biz danışmanlık flrmasıyız ve şimdiden takvimin oldukça gerisindeyiz."
• "Dinle, şu anda bir toplantıya girmek üzereyim. Bana telefonnumaranızı verin ve..."
O anda saldırgan iyice canı sıkılmış gibi konuşur. "Bay Biggley'eböyle mi söylememi istiyorsunuz? Bakın, analizlerimizi yarın sabahgörmek istiyor ve bu gece onlar üstünde çalışmamız gerek. Şimdi,raporları sizden alamadığımız için yapamadığımızı ona ben misöyleyeyim yoksa bunu kendiniz mi söylemek istersiniz?"
Öfkeli bir genel müdür bütün haftanızı mahvedebilir. Hedef büyükolasılıkla toplantıya gitmeden önce bu işin halledilmesi gerektiğine kararverecektir. Toplum mühendisi bir kez daha istediği yanıtı almak içindoğru düğmeye basmıştır.
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 103
Aldatmacanın İncelenmesiÜst düzey yöneticilerin adını kullanarak sindirme numarası özellikle
karşı taraf, şirkette oldukça alt seviyelerdeyse çok işe yarar. Önemlibirinin adının geçmesi yalnızca olağan isteksizliğin ya da şüpheciliğinüstesinden gelmekle kalmaz, kişiyi yardımcı olmak için daha istekliyapar: Yardım ettiğiniz kişinin önemli ya da etkili biri olduğunu düşünü-yorsanız, var olan yardımcı olma güdünüz doğal olarak katlanacaktır.
Ancak toplum mühendisi bu oyunu oynarken, kişinin kendi patro-nunun adını kullanmak yerine daha üst düzey birinin adını kullanmanınen iyisi olduğunu bilir. Ayrıca bu yöntemin küçük bir kuruluşta uygulan-ması çok güçtür. Saldırgan, kurbanının kazara pazarlama genel müdüryardımcısıyla karşılaşıp ona, "Beni aramasını söylediğiniz adama ürünpazarlama planlarını gönderdim" deyivermesini istemez. Böyle bircümle rahatlıkla, "Ne pazarlama planı? Hangi adam?" gibi bir tepkidoğurabilir. Bu da şirketin bir oyuna kurban gittiğinin anlaşılmasınaneden olabilir.
Sosyal Güvenlik İdaresi Sizinle İlgiliNe BiliyorEllerinde bizlerle ilgili dosyalar olan devlet dairelerinin, görmeye
yetkili olmayan insanlardan uzak tutmak için bilgilerimizi kilit altında tut-tuklarını düşünmek isteriz. Gerçek şu ki, federal hükümet bile saldırılarakarşı, hayal ettiğimiz kadar güvende değildir.
May Linn'in TelefonuYer: Sosyal Güvenlik îdaresi'nin bölge ofislerinden biri.Zaman: Perşembe, sabah 10:18.
Mitnick Mesajı:Sindirme yöntemi, bir cezalandırılma korkusu yaratarak insanları iş birliği yap-maya zorlar. Sindirme aynı zamanda küçük düşme korkusunu ya da bir sonrakiikramiye için yetersiz görülme gibi korkulan da uyandırır.
İnsanlar, söz konusu güvenlik olduğunda yetkiyi sorgulamanın kabul edilebilir,hattâ beklenen bir hareket olduğu doğrultusunda yetiştirilmelidirler. Bilgi güven-liği eğitimleri, ilişkileri zedelemeden, müşteri memnuniyeti yöntemlerini kulla-narak yetkinin nasıl sorgulanman gerektiğini de vermelidir. Dahası bu beklentiyukarıdan aşağıya doğru da desteklenmelidir. Eğer konumlarına bakmadaninsanları sorgulayan bir çalışanın arkasında durulmuyorsa, oluşacak tepki,sorgulanmanın durması, yani olmasını istediğiniz şeyin tam tersi olacaktır.
104 Aldatma Sanatı
- Mod üç. Ben May Linn Wang."
Telefonun diğer tarafındaki ses çekingen, neredeyse utangaç geliyordu.
- Bayan Wang, ben Arthur Arondale, Genel Müfettişlik makamından.Size 'May' diyebilir miyim?"
- May Linn lütfen, dedi kadın.
- Durum şu May Linn. Burada, henüz bilgisayarı olmayan yeni birarkadaşımız var ve şu anda önemli bir projede çalıştığı için benimbilgisayarımı kullanıyor. Şu işe bakar mısın, bir Birleşik Devletlerdevlet dairesiyiz ve bu adamın kullanması için bir bilgisayar alacakkadar bütçede para olmadığını söylüyorlar. Şimdi de müdürüm işimdegeri kaldığımı düşünüyor ve bahane duymak istemediğini söylüyor.Anlatabiliyor muyum?
- Demek istediğini çok iyi anlıyorum.
- MCS üzerinde bir küçük arama yapmada bana yardımcı olabilirmisin, diye sordu adam, vergi mükelleflerinin bilgilerinin tutulduğubilgisayar sisteminin adını kullanarak.
- Elbette. Ne gerekiyor?
- İlk önce Joseph Johnson, doğum tarihi 4/7/69 adıyla bir harf tara-ması yapmam istiyorum." (Harf taraması bilgisayara vergi mükelle-flerinin adlarına göre hesap aratmaktır. Arama doğum tarihiylegenişletilir.)
May Linn kısa bir duraksamadan sonra sordu:
- Ne öğrenmek istiyorsun?"
- Hesap numarası nedir, dedi adam, Sosyal Güvenlik Numarası içinkurum içinde kullanılan terimi kullanarak. Kadın numarayı okudu.
- Tamam. Bu hesapla ilgili bir de sayı taraması yapmanı isteyeceğim,dedi arayan.
Bu, temel vergi mükellefi bilgilerini okumasını istediği anlamına geli-yordu ve May Linn vergi mükellefinin doğum yerini, annesinin kızlıksoyadını ve baba adını verdi. Kadın kartın veriliş ay ve yılını ve hangibölge bürosu tarafından verildiğini söylerken arayan sabırla dinledi.
Sonra bir AKAS yapmasını istedi, ("ayrıntılı kazanç sorgusu"nunkısaltılmışı.)
. AKAS taraması şu soruyu getirdi:
- Hangi yıl?
Arayan cevap verdi,
- 2001 yılı.
- Miktar 190.286 dolar; yatıran Johnson MicroTech, dedi May Linn.
- Başka ücret var mı?
- Hcsvw? , :
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 105
- Tefekkürler, çok yardımcı oldun, dedi adam.
Sonra bilgiye ihtiyacı olduğunda ve bilgisayarını kullanamadığındayeniden arayabilmek için ondan izin aldı. Yine toplum mühendis-lerinin en sevdiği numaralardan birini, her seferinde yeni bir hedefbulmakla uğraşmayıp sürekli aynı kişiyle görüşebilmek için birbağlantı kurmaya çalışma yöntemini kullanmıştı.
- Önümüzdeki hafta arayamazsın", dedi kadın; çünkü Kentucky'yekızkardeşinin düğününe gidiyordu. Başka ne zaman isterse elindengeleni yapacaktı.
Telefonu kapadığında May Linn, kendi gibi değeri bilinmeyen başkabir devlet memuruna biraz olsun yardım edebildiği için kendini iyihissediyordu. .
Keith Carter'in Öyküsü .Filmlere ve çok satan polisiye romanlara bakılacak olursa, özel
dedektifler, etik konusunda eksikleri, insanlardan istediklerini almakkonusunda da fazlaları olan kişiler, işlerini tamamen yasadışı yöntemlerkullanarak,yürütüyorlar ve yakalanmaktan kıl payı sıyrılıyorlar. Aslındaözel dedektiflerin büyük bir kısmı tamamen yasal işler yürütürler. Pekçoğu iş yaşamlarına yeminli polis memurları olarak başladıkları içinneyin yasal olup neyin olmadığını gayet iyi bilirler ve pek çoğu çizgiyiaşmaya hevesli değillerdir.
Ancak istisnalar da vardır. Bazı özel dedektifler -hem de sayılarıazımsanmayacak kadar çok- polisiye öykülerde çizilen karakterleretıpatıp uyarlar. Meslekte bu adamlara bilgi simsarları denir. Kurallarıçiğnemeye istekli insanlar için kullanılan nazik bir deyimdir. Bazı kısa-yollara başvurduklarında işlerini daha hızlı ve daha kolay yapabilecek-lerini bilirler. Bu kısayolların, onları birkaç yıl parmaklıkların arkasınatıkacak suçlar olması, en ahlaksız olanlarını caydırmamaktadır.
Yüksek gelirli özel dedektifler -kentin kiraların yüksek olduğu birsemtinde havalı bir apartman dairesinde çalışanlar- bu tarz işleri kendi-leri yapmazlar. Bu işleri yapması için bilgi simsarlarını tutmakla yetinirler.
Kendisine Keith Carter diyeceğimiz kişi etikle kendini yormayan tür-den bir özel dedektifti.
Elindeki iş tam bir "Kocam parayı nerede saklıyor?" işiydi. Ya daarada bir olduğu şekliyle, "Karım parayı nerede saklıyor?". Bazen zen-gin bir kadın gelir ve kendisine ait paralan kocasının nereye sakladığınıöğrenmek ister (paralı bir kadının neden parasız bir adamla evlendiğibilmecesi Keith Carter'in zaman zaman aklını kurcalasa da, buna hiçbirzaman iyi bir yanıt bulamamıştır).
Bu olayda adı Joe Johnson olan koca, paranın üstüne oturan taraftı.Karısının ailesinden borç aldığı on bin dolarla yüksek teknoloji şirketi
106 Aldatma Sanatı
kuran ve bunu yüz milyon dolarlık bir şirkete dönüştüren akıllı bir adamdı.Kadının boşanma avukatına göre adam mallarını saklamak konusundamuazzam bir iş yapmış ve avukat mal varlığı beyanı talep etmişti.
Keith başlangıç noktasının Sosyal Güvenlik İdaresi olmasına karar ver-mişti. Böyle bir durumda Johnson'la ilgili, işe yarayacak bilgilerle dolu ola-bilecek dosyaları hedefliyordu. Bu bilgiyle donanmış olarak Keith kendinihedef olarak tanıtabilir ve bankaların, komisyoncu firmaların ve off-shorebankacılığı yapan kurumların ona her şeyi anlatmasını sağlayabilirdi.
ilk olarak, yerel bir ilçe bürosunu, herhangi birinin şehir telefonrehberinde bulabileceği 800'lü numarayı kullanarak aradı. Telefona çıkanmemura istihkak şubesinden biriyle görüşmek istediğini söyledi. Birazbekledi sonra telefon açıldı. O anda Keith vites değiştirdi ve "Merhaba"diyerek söze girişti. "Ben Gregory Adams, 329 numaralı BölgeBürosu'ndan. Sonu 6363'le biten bir hesapla ilgilenen bir tasfiye memu-runa ulaşmaya çalışıyorum. Bendeki numarayı çevirdiğimde faks çıkıyor."
"O Mod iki", dedi adam. Telefon numarasına baktı ve Keith'e verdi.
Keith sonra Mod iki'yi aradı. Telefonu May Linn açtığında yine tarzdeğiştirdi ve Genel Müfettişlik makamından aradığı ve başka birininkendi bilgisayarını kullandığıyla ilgili sıradan oyununu oynadı. Kadınona istediği bilgiyi verdi ve gelecekte yardıma ihtiyacı olursa elindengeleni yapacağını söyledi.
Aldatmacanın İncelenmesiBu yaklaşımı etkili kılan şey, başka birinin bilgisayarını kullanması
ve "müdürüm benden memnun değil" hikâyesini kullanarak çalışanınduygularıyla oynaması oldu. İş yerinde insanlar duygularını pek sıkaçığa vurmazlar, vurduklarındaysa birilerinin toplum mühendisliğinekarşı koyduğu savunmaların üstünden aşıverirler. "Çok zor durum-dayım, bana yardım eder misin?" gibi duygusal bir hile, kazançlı çıkmakiçin yapılan tek şeydi.
Saldırgan, bu bilgiyi halktan gelen telefonlara bakan bir memurdanalamazdı. Keith'in kullandığı tarzda bir saldırı yalnızca karşı tarafta tele-fonu halka açık olmayan ve dolayısıyla arayanın içerden biri olduğubeklentisi içinde olan biri varsa geçerlidir. Bu da "beni şu gönderdi" tarzıgüvenliğe başka bir örnektir.
Bu saldırının işe yaramasına yardımcı olan unsurlar arasında şunlar vardı:
• Mod'un telefon numarasının bilinmesi.
• Kullanılan terimlerin bilinmesi; sayı tarama, harf tarama ve AKAS.
• Genel Müfettişlik makamından olduğunu söylemek. Her federalhükümet çalışanı oranın geniş yetkilere sahip hükümet çapındabir kurum olduğunu bilir ve bu, saldırgana itibarlı bir hava verir.
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 107
Sosyal Güvensizlik
İlginç bir şekilde, Sosyal Güvenlik idaresi, kendi çalışanları içinyararlı bilgilerle dolu ancak aynı zamanda toplum mühendisleri içinde oldukça değerli olan idari işlemler Talimatnamesi'nin bir kop-yasını internete koydu. Bu öyküde geçtiği şekliyle kısaltmalar, terim-ler ve istenilen şeyin nasıl dile getirileceği orada açıkça anlatılıyor.
Sosyal Güvenlik İdaresi'yle ilgili daha çok şey mi öğrenmek isti-yorsunuz? Googie'da aratmanız ya da aşağıdaki adresi tarayıcınızagirmeniz yeterli: http://policy.ssa.gov/poms.nsf/. Eğer idare buöyküyü okumuş ve siz bunu okuyana kadar talimatnameyi kaldır-mamışsa, bir SGİ memurunun emniyet teşkilatına verebileceği bilgi-lerin neler olduğuyla ilgili ayrıntılı bilgilerde dahil olmak üzere birçokçevrimiçi açıklama bulacaksınız. Kullanım açısından bakılacak otur-sa, teşkilat kavramı, bir SGİ memurunu emniyet teşkilatındanolduğuna ikna edebilecek toplum mühendislerini de kapsıyor.
Başka bir ilginç ayrıntı ise -mantıksal olarak bakıldığında tamamenfarklı bir bölümden bambaşka biriyle görüşülseydi çok daha uygun ola-cak bir durumda bile- toplum mühendislerinin kimseyi, "Neden beni arı-yor?" diye düşündürmeyecek şekilde isteklerini sunuyor olmaları. Belkide arayana yardım etmek günlük döngünün sıradanlığında bir değişik-lik yarattığı için kurban isteğin ne kadar olağandışı olduğuna dikkatetmiyordur.
Sonuç olarak bu olaydaki saldırgan, elde olan işe yetecek kadar bilgitoplamakla yetinmeyerek sürekli başvurabileceği bir bağlantı kurmak daistedi. Acındırma saldırısı için, "klavyeme kahve döktüm" gibi sıradan birhile de kullanabilirdi. Ancak klavye bir günde değiştirilebileceği için,burada işe yaramazdı. Bu nedenle başka birinin kendi bilgisayarını kul-landığıyla ilgili öyküyü yazdı. Bunu haftalarca sürdürebilirdi: "Evet, bil-gisayarın dün geleceğini sanmıştım. Bir tane geldi ama başka biri birnumara çekip aleti kendine almış. Bu yüzden bu soytarı yine benimodamda bitiverdi." Ve bu iş böyle devam edebilir.
"Zavallı ben, yardıma ihtiyacım var." Çok iyi iş görür.
Basit Bîr TelefonBir saldırganın başlıca enstrümanlarından biri, isteğini makul bir
şekilde sunmaktır. Kurbanın günlük işlerinin arasında gelen isteklerebenzeyen, kurbanı fazlaca zorlamayacak türden bir şey olmalıdır.Yaşamda, pek çok başka şeyde olduğu gibi, bir gün bir isteği mantıklıbir şekilde sunmak zorken, başka bir gün bu iş çocuk oyuncağı olur.
108 Aldatma Sanatı
M a r y H ' n i n T e l e f o n u • ' . " ' ' ' " . .-"--.Tarih/Saat: 23 Kasım, Pazartesi, sabah 7:49.Yer: Mauersby & Storch Müşavirlik, New York.
Pek çok insan için muhasebe işi sayılarla boğuşmaktan ve fasulyesaymaktan ibarettir ve genellikle kanal tedavisi kadar eğlenceli (!)olduğu düşünülür. Neyse ki herkes işi böyle görmez. Örneğin MaryHarris; kıdemli muhasebecilik görevini ilgi çekici bulan biridir ve çalıştığıfirmada konuya en hakim muhasebecilerinden biri olmasının neden-lerinden biri de budur.
O pazartesi sabahı Mary uzun bir gün olmasını beklediği için işe biran önce başlamak amacıyla ofise erken geldi. O saatte telefonununçaldığını duyunca şaşırdı. Ahizeyi kaldırdı:
"Merhaba, ben Peter Sheppard. Arbuckle Destek Hizmetleri'ndeçalışıyorum, şirketinize teknik destek veriyoruz. Hafta sonunda bilgisa-yarlarında sorun olan insanlardan birkaç şikâyet aldık. Bu sabah herkesişe gelmeden önce kontrol etmek istedim. Bilgisayarınızı kullanırken yada ağa bağlanırken sorun yaşıyor musunuz?"
Mary hünüz böyle bir sorunla karşılaşmadığını söyledi. Bilgisayarınıaçtı ve önyükleme yapılırken Peter ne yapmak istediğini ona anlatmayabaşladı.
"Birkaç test yapmak istiyorum", dedi. "Bastığınız tuşları kendiekranımda görebiliyorum ve ağ üzerinden doğru aktarıldığından eminolmak istiyorum. Her tuşa basışınızda bana onun ne olduğunu söyle-menizi istiyorum, böylece burada da aynı harf ya da sayının görünüpgörünmediğine bakabilirim. Tamam mı?"
Bilgisayarının çalışmamasıyla ve hiçbir işin bitmediği sıkıcı bir günleilgili kâbusları olan biri olarak Mary bu adamın kendisine yardımcıolmasından fazlasıyla memnun kalmıştı. Biraz sonra ona, "Girişekranındayım ve kullanıcı adımı gireceğim. Şimdi giriyorum-M...A...R...Y...D."
"Şimdiye kadar gayet iyi" dedi Peter. "Onu burada görebiliyorum.Şimdi parolanı gir ama ne olduğunu bana söyleme. Hiç kimseyeparolanı söylernemelisin, teknik servise bile. Parolan korumalı olduğuiçin burada yıldızlar çıkacak, yani parolanı göremem." Bunların hiçbiridoğru değildi ama Mary'nin aklına yattı. Sonra Peter, "Bilgisayarınaçıldığında haberim olsun" dedi.
Mary açıldığını söylediğinde Peter ona uygulamalardan iki tanesiniaçmasını söyledi. Kadın her ikisinin de gayet iyi çalıştıklarını haber verdi.
Mary her şeyin doğru bir şekilde çalışmasından memnun olmuştu."Bilgisayarının sağlam olup olmadığını kontrol edebildiğim iyi oldu.
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 109
Birşey daha var" dedi Peter ve devam etti, "Çalışanların parolalarınıdeğiştirebilmesi için bir güncelleme yaptık. Bana birkaç dakikanı ayırıpdoğru çalışıp çalışmadığını görmeme yardımcı olabilir misin?"
Mary, yardım etmesinden dolayı adama müteşekkirdi ve hemeno b u l etti. Peter ona, kullanıcıların parolalarını değiştirebilmesinisağlayan uygulamayı çalıştırmak için yapması gerekenleri adım adımanlattı. Parola değiştirme aslında VVindovvs 2000 işletim sistemininsıradan unsurlarından biridir. "Hadi şimdi parolanı gir", dedi kadına."Sesli bir şekilde söylememen gerektiğini unutma."
Kadın bunu da yaptığında, Peter, "Hızlı bir deneme yapmak için,sana yeni parolanı sorduğunda, 'testi23' gir. Sonra doğrulama kutu-cuğuna bir kez daha gir ve ENTER'e bas", dedi.
Sunucu bağlantısını çözme işleminde Mary'e yardımcı oldu. Sonrabirkaç dakika bekletip, yeni parolasını deneyerek yeniden bağlanmasınıistedi. Her şey saat gibi işliyordu, Peter çok memnun kalmıştı ve -kadını birkez daha parolasını açıkça söylememesi için uyararak- Mary'nin eski paro-lasına dönmesi ya da yeni bir tane seçmesi konusunda yardımcı oldu.
"Çok iyi, Mary", dedi Peter. "Hiçbir sorun çıkmadı, bu çok iyi. Dinle,eğer herhangi bir sorun çıkarsa Arbuckle'dan bizi ara. Ben çoğunluklaözel projelerde çalışıyorum ama burada telefonu açan herkes sanayardımcı olabilir." Mary ona teşekkür etti ve vedalaştılar.
Peter'in Öyküsü •Peter'le ilgili söylentiler alıp başını gitmişti. Mahallesinde onunla bir-
likte okuia giden birileri, başkalarının bulamadığı şeyleri bulabilen zekibir bilgisayar manyağı olduğunu duymuşlardı. Alice Conrad ondan birkonuda yardım istediğinde önce hayır dedi. Neden yardım edecekti ki?Bir keresinde o kızla bir yerlerde karşılaştığında ona çıkma teklif etmiş,kız da onu geri çevirmişti.
Ancak yardım etmeyi reddetmesi kızı şaşırtmış gibi görünmüyordu.Zaten Peter'in yapabileceği birşey olduğunu düşünmediğini söyledi. Bubir meydan okumaydı, çünkü yapabileceğinden emindi. Böylece Peterişi yapmayı kabul etti.
Alice'e bir pazarlama şirketine danışmanlık yapması için sözleşmeteklif edilmişti ama sözleşme koşulları çok iyi değildi. Daha iyi koşullartalep etmeden önce diğer danışmanların sözleşmelerinin ne türkoşullan içerdiğini öğrenmek istiyordu.
Peter'in anlattığı şekliyle hikâye şöyle:
Alice için bunu söyleyemem ama yapabileceğimi düşünmedikleribirşeyi yapmamı isteyen insanlardan yaka silkmiştim. Üstelik de ben işinkolay olduğunu bilirken. Peki, o kadar da kolay değildi, en azından busefer. Biraz çaba gerektirecekti ama sorun olmayacaktı. ; . : .
110 Aldatma Sanatı
Ona akıllının ne demek olduğunu gösterecektim.
Pazartesi sabahı 7:30'u biraz geçe pazarlama şirketinin bürosunuaradım ve danışmayla görüşüp onlara muhasabeden biriyle konuşmamgerektiğini söyledim. Muhasebeden kimsenin gelip gelmediğini biliyormuydu acaba? Danışma görevlisi bana, "Sanırım birkaç dakika önceMary'nin geldiğini gördüm, sizi ona bağlamaya çalışayım" dedi.
Mary telefonu açtığında ona bilgisayar sorunlarıyla ilgili küçükhikâyemi anlattım. Hikâye tüyleri diken diken etmek üzere tasarlanmıştı.Böylece bana büyük bir memnuniyetle yardımcı olacaktı. Parolasınıdeğiştirmesine yardımcı olur olmaz kullanmasını istediğim geçici parolaolan "testi23"le hemen sisteme girdim.
Ustalık burada işin içine giriyordu; şirketin bilgisayar sistemine iste-diğim zaman kendime ait gizli bir parolayla girmemi sağlayacak küçükbir program yükledim. Mary'le konuşmam bittikten sonra, ilk işim sis-teme girdiğimi kimsenin anlamaması için denetim tarihçesini silmekoldu. Bu kolay bir şeydi. Sistem yetkilerimi artırdıktan sonra güvenlikleilgili www.ntsecurity.nu adlı bir internet sayfasında bulduğum clearlogsadında bedava bir programı indirdim.
Asıl işe sıra gelmişti. Dosya adında "sözleşme" kelimesi geçen bel-geleri arattırdım ve dosyalan indirdim. Sonra biraz daha arama yaptımve ana damarı, danışman ücret bilgilerinin olduğu klasörü buldum.Böylece tüm sözleşme dosyalarını biraraya getirdim ve bir ödemeler lis-tesi yaptım.
Alice sözleşmelere bakabilir ve diğer danışmanlara ne kadar verdik-lerini görebilirdi. Tüm bu dosyaları arama hamallığını kendisi yapsın.Ben onun benden istediği şeyi yapmıştım.
Verileri kaydettiğim disketlerden, kanıtları Alice'e gösterebilmek içinbirkaç dosyanın çıktısını aldım. Onu benimle buluşmaya ve akşamyemeğe çıkmaya zorladım. Kâğıtları karıştırırken yüzünün aldığı şekligörmeliydiniz. "Olamaz" dedi. "Olamaz."
Disketleri yanımda getirmemiştim. Onlar yemdi. Disketleri almak içinbana gelmesi gerektiğini söyledim; ona yaptığım iyilikten dolayı banaduyduğu minneti göstereceğini umuyordum.
Aldatmacanın İncelenmesiPeter'in pazarlama şirketini araması en temel toplum mühendisliği
şekline bir örnektir. Çok az hazırlık gerektiren, ilk denemede işleyen vebirkaç dakikada başarılı olan basit bir girişimdir.
Daha da iyisi, kurban Mary'nin bir oyuna ya da bir hileye kurban git-tiğini düşünmesi, durumu bir yerlere bildirmesi ya da yaygara koparmasıiçin hiçbir neden yoktu.
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 111
AAitnick Mesajı:İsteğini dile getirme şekline bağlı olarak bir toplum mühendisinin insanlara bir
i şeyler yaptırmasının ne kadar kolay olduğunu görmek şaşırtıcı. Temel şart,• psikolojik kurallara dayalı istemsiz bir tepkiyi tetiklemek ve arayanı bir mütte-- fik olarak gördükleri zaman insanların zihinlerinde oluşan kısayollara güven-i mektir.
Plan, Peter'in üç toplum mühendisliği taktiğini kullanması üstünekuruluydu. Önce korku uyandırıp -bilgisayarının çalışmayabileceğimdüşündürerek- Mary'nin işbirliği yapmasını sağladı. Sonra kadının kul-landığı uygulamalardan ikisini çalıştırmasını bekledi, böylece kadınonların çalıştığından emin olacaktı ve ikisinin arasındaki ilişkiyigüçlendirecek, bir müttefiklik duygusu uyandıracaktı. En sonunda, bil-gisayarının sağlam olduğundan emin olmak için gösterdiği yardımdanduyduğu minnettarlıkla oynayarak işinin en önemli kısmını gerçek-leştirmek için biraz daha yardım etmesini sağladı.
Ona parolasını kendisine bile açıklamamasını söyleyerek Peterkusursuz bir ustalıkla şirket dosyalarının güvenliğiyle ilgili endişesikonusunda Mary'i ikna etti. Bu davranışı da, şirketi ve kendisinikoruduğu için Peter'in bir sahtekâr olmadığı yolundaki güvenini artırdı.
Polis BaskınıŞöyle bir sahne hayal edin: Polis, internet üzerinden bedava film dağı-
tan Arturo Sanchez adında birini kapana kıstırmak ister. Hollyvvood stüd-yoları adamın telif haklarını ihlal ettiğini söylemektedir, adam ise kaçınıl-maz olarak girecekleri bir pazarı görmeleri ve yeni filmleri indirilebilir şeklesokmak için bir şeyler yapmaya başlamaları için onları dürtmeye çalış-maktadır. Arturo bunun stüdyolar için, tamamen göz ardı edilen, büyük birgelir kaynağı olacağına (haklı olarak) parmak basmaya uğraşmaktadır.
Amma İzni LütfenBir gece geç saatte eve döndüğünde yolun karşısından evinin
pencerelerine bakar ve tüm ışıkların sönük olduğunu fark eder. Halbukidışarı çıkarken birini hep açık bırakmaktadır.
Kapısını çalarak komşusunu uyandırır ve binaya bir polis baskınıyapıldığını öğrenir. Ancak herkesi aşağıda bekletmişlerdir ve komşusupolislerin hangi evi aradıklarından emin değildir. Tek bildiği, ellerindebazı ağır şeylerle dışarı çıktıklarıdır, ancak her şey sarılı olduğu için neolduklarını anlayamamıştır ve kimseyi kelepçeleyip götürmemişlerdir.
112 Aldatma Sanatı -
Arturo oturduğu daireyi kontrol eder. Kötü haber: polislerin bıraktığıve üç gün içerisinde arayıp bir randevu alması gerektiğini söyleyen birkâğıt bulur. En kötü haber ise: bilgisayarlarını götürmüşlerdir.
Arturo ortalıktan kaybolur ve bir arkadaşının yanında kalmaya başlar
Ama belirsizlik içini kemirmektedir. Polis ne bilmektedir? Sonunda onuyakalamışlar ama kaçması için de bir fırsat mı tanımışlardır? Yoksa bu, kentiterk etmesine gerek kalmadan çözebileceği, tamamen farklı bir konu mudur?
Devam etmeden önce bir an durup düşünün: Polisin sizinle ilgilineler bildiğini öğrenmenin bir yolunu hayal edebiliyor musunuz?Politikacı tanıdıklarınız, Emniyet Müdürlüğü'nde arkadaşlarınız ya dasavıcılıkta dostlarınız olmadığını varsayarsak, sıradan bir vatandaşolarak sizin bu bilgiyi elde edebilmeniz için bir yol olabilir mi? Ya datoplum mühendisliği becerileri olan biri böyle bir şeyi başarabilir mi?
Polisi oyuna Getirmek - - :
Arturo bilgilenme isteğini şöyle tatmin eder: Başlangıç olarak yakın-lardaki bir fotokopi dükkânının telefon numarasını bulur, onlan arar vefaks numaralarını ister.
Sonra bölge savcılığını arar ve evrak bölümünü ister. Evrak büro-suna bağlandığında kendini Lake Bölgesi'nden gelen bir dedektif olaraktanıtır ve halihazırda geçerli arama emirlerini takip eden memurlagörüşmek istediğini söyler.
"Ben ilgileniyorum" der kadın. "Çok iyi", diye karşılık verir Arturo."Dün gece bir suçluya baskın yaptık, baskının yazılı beyanına ulaşmayaçalışıyorum."
"Adreslere göre tutuyoruz", der kadın.
Adresi verir. Kadının sesi oldukça heyecanlı gelmiştir. "Ah, evet", derkadın coşkuyla. "Biliyorum bunu. Telif suçlusu."
"Tamam, o", der Arturo. "Yazılı beyanın ve arama emrinin bir kop-yasına ihtiyacım var."
"Burada, önümde."
"Çok iyi", der adam. "Şu anda dışarıdayım ve bu konuyla ilgili on beş '•dakika sonra Gizli Servis'le bir toplantıya gireceğim. Bugünlerde birazdalgınım, dosyayı evde unutmuşum ve gidip almaya kalkarsam yetişe-meyeceğim. Sizden bir kopyasını alabilir miyim?"
"Elbette, sorun olmaz. Fotokopilerini çekerim, buraya gelip ala-bilirsiniz."
"Harika", der Arturo. "Çok iyi oldu ama şu anda şehrin diğer uçun-dayım. Bana fakslamanız mümkün mü?"
Bu biraz sorun yaratır ama aşılamaz birşey değildir. "Evrak bürosun-
Acındırma, Suçluluk Duyuıma ve Sindirme Tekniği Kullanmak 113
:a faksımız yok", der kadın. "Ama aşağıda sekreter odasında bir tane.ar. Kullanmama izin verebilirler."
"Ben sekreter odasını arayıp, gerekli ayarlamaları yaparım", deradam.
Sekreter odasındaki kadın bu işle memnuniyetle ilgilenecektir ama bunukimin ödeyeceğini bilmek istemektedir. Bir fatura numarasına ihtiyacı vardır.
"Ben numarayı alıp, sizi yine ararım", der kadına.
Sonra bölge savcılığını arar, yine kendini bir poiis memuru olaraktanıtır ve danışmadaki görevliye soruverin "Bölge savcılığının faturanumarası nedir?" Görevli duraksamadan numarayı söyler.
Sekreter odasını geri arayıp fatura numarasını verir.
Fatura numarasını vermek için sekreter odasını geri araması ohanımı biraz daha işlemek için bahane olur. Kadını yukarı çıkıp fak-slanacak evrakları almaya ikna eder.
Arturo'nun birkaç adım daha atması gereklidir. Her zaman birilerininbirşeylerden kuşkulanması olasılığı vardır ve fotokopi mağazasına gidipbelli bir faksı almak üzere birinin gelmesini bekleyen, sıradan giyimlibirkaç polis memuruyla karşılaşabilecektir. Biraz bekler, sonra da faksıngönderilip gönderilmediğini kontrol etmek için sekreter odasına telefoneder. Şimdiye dek her şey yolunda gitmiştir.
Aynı mağaza zincirine bağlı, şehrin diğer tarafındaki başka birfotokopi mağazasını arar ve işlerinin görülmesinden ne kadar memnunkaldığını ve müdüre bir teşekkür mektubu yazmak istediğini söyleyipmüdürün adını sorar. Bu önemli bilgiyi kullanarak ilk fotokopi mağazası-na telefon eder ve müdürle konuşmak istediğini söyler. Karşı taraf tele-fonu açtığında Arturo, "Merhaba, ben 628 Hartfield mağazasındanEdward. Müdürüm. Anna sizi aramamı söyledi. Biraz kızgın bir müşte-rimiz var; biri ona yanlış mağazanın faks numarasını vermiş. Buradaönemli bir faks bekliyor ve ona verilen faks sizin mağazanın numarası."Müdür, mağaza çalışanlarından birine faksı buldurup hemen Hartfieldmağazasına gönderteceğine söz verir.
Faks ikinci mağazaya geldiğinde Arturo orada beklemektedir.Belgeleri aldıktan sonra sekreter odasındaki hanıma teşekkür etmek içinarar ve "Elinizdeki kopyaları yukarı çıkarmanıza gerek yok, onları ata-bilirsiniz." der. Sonra ilk mağazanın müdürüne de telefon eder ve ona daellerindeki faksı atabileceklerini söyler. Böylece birilerinin gelip sorularsorması olasılığına karşı, olan bitenle ilgili ortalıkta hiçbir iz kalmayacak-tır. Toplum mühendisleri tedbirin elden bırakılmaması gerektiğini iyi bilirler.
Böyle bir düzmeceyle Arturo ilk fotokopi mağazasına gelen faks için
114 Aldatma Sanatı v, •
ve ikinci mağazaya faks göndermek için para vermek zorundakalmamıştır. Eğer polis ilk mağazaya gelmiş olsaydı, ikinci noktayaadam gönderene kadar o çoktan gitmiş olurdu.
Öykünün sonu: Yazılı beyan ve arama emrinde yazdığına göre, polisinelinde Arturo'nun film kopyalama faaliyetleriyle ilgili belgelenmiş delillervardır. Arturo'nun bilmek istediği şey budur. Geceyarısı olmadan eyaletsınırını geçer. Arturo yeni bir yaşama başlamak üzere yola çıkmıştır vebaşka bir yerde yeni bir kimlikle işine yeniden başlamaya hazırdır.
Aldatmacanın İncelenmesiBölge savcılığında çalışan insanlar sürekli emniyet teşkilatı mensup-
larıyla temas halindedirler; sorular sorarlar, düzenlemeler yaparlarmesajlar alırlar. Telefonu açıp da kendine polis memuru, komiseryardımcısı ya da başka birşey deme cesareti olan herkesin sözünegüvenilir. Kullanılan terimleri bilmemesi, gergin olması, söylediklerinikarıştırması ya da sesinde bir terslik olması gibi durumlar yoksa kimliği-ni doğrulaması için ona tek bir soru bile sorulmaz. Burada, iki farklımemurla yaşanan da tam olarak budur.
Eksik fatura numarası tek bir telefonla halledilmişti. Sonra Artura"On beş dakika sonra Gizli Servisle bir toplantıya gireceğim, bugün-lerde biraz dalgınım ve dosyayı evde unutmuşum", gibi bir öyküyleacındırma kartını oynamıştı. Kadın doğal olarak ona acımış ve işinigücünü bırakıp ona yardım etmişti.
Daha sonra Arturo bir değil iki fotokopi mağazası kullanarak faks almakkonusunda kendini sağlama almıştı. Bunun üzerinde bir çeşitleme yapmakfaksın izlenmesini daha da zorlaştırırdı: Saldırgan belgeyi başka bir fotokopimağazasına göndermek yerine, faks numarası gibi gözüken ama aslındasizin adınıza faksları alan ve e-posta adresinize gönderen ücretsiz bir inter-net hizmetini kullanabilirdi. Böylece belge doğrudan saldırganın bilgisayarı-na indirilir, saldırganın yüzünü göstermesi hiç gerekmezdi, iş tamamlanırtamamlanmaz da e-posta adresi ve elektronik faks numarası terk edilirdi.
Rollerin DeğişmesiKendisine Michael Parker diyeceğimiz genç bir adam yüksek gelirli
işlerin üniversite mezunlarına gittiğini geç anlayan insanlardan biriydi.
İN \J I '. Nasıl oluyor da bir toplum mühendisi emniyet müdürlükleri,savcılıklar, telefon şirketleri uygulamaları, saldırılarında işine yarayacakiletişim ve bilgisayar şirketlerinin yapıları gibi, bu kadar çok işleme yöne-lik ayrıntıyı bilebiliyor? Çünkü bu onun işi. Bu bilgiler toplum mühen-disinin sermayesidirler ve kandırma çabalarında ona yardımcı olurlar.
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 115
İşin gerçeği, kimsenin iyi bir toplum mühendisi tarafından kandırılmaya karşıbağışıklığı yoldur. Günlük yaşamın hızı nedeniyle, bizim için önemli olan konu-larda bile, her zaman üzerinde düşünülmüş kararlar veremeyiz. Karışık durum-lar, zaman kısıtlamaları, ruh hali ya da zihin yorgunluğu dikkatimizin dağıl-masına neden olabilir. Bu yüzden zihinsel kısayollar oluşturur, bilgiyi tam veözenle incelemeden kararlarımızı veririz. Bu zihinsel sürece otomatik tepkiverme denir. Tüm federal, eyalet ve yerel emniyet görevlileri için bile geçerlidir.Hepimiz insanız.
Yarım burs artı eğitim kredileriyle yerel bir üniversiteye gitme olanağıvardı ama bu, kirayı, yemeği, benzini ve araba sigortasını ödemek içingeceleri ve hafta sonlan çalışması anlamına geliyordu. Her zamanKisayolları bulmayı seven Michael, daha hızlı olan ve daha az çabaylasonuç veren başka bir yol olabileceğini düşündü. On yaşında ilk kez biroilgisayarla oynadığından beri bu aletlerle ilgili pek çok şey öğrenmiş venasıl çalıştıkları konusuna kafayı takmıştı. Hızlandırılmış bir bilgisayarDilimleri lisans diploması yaratmayı denemeye karar verdi.
Üstün Başarısız MezuniyetEyalet üniversitesinin bilgisayar sistemlerine girip, temiz bir B+ ya da
A- ortalamayla mezun olmuş birinin kayıtlarını bulabilir, kayıtları kop-yalar, adını değiştirir ve o yılın mezuniyet sınıfı listesine ekleyebilirdi.Düşününce bu fikirden rahatsız oldu. Kampüste bulunan bir öğrenciyeait başka kayıtların da olması gerektiğine karar verdi; harç ödeme kayıt-ları, yurtlar ofisi ve daha kim bilir başka neler. Yalnızca derslerin ve not-arın kaydını çıkarmak çok fazla açık oluşmasına neden olacaktı.
Düşünüp üzerinde kurdukça aklına uygun bir geçmişte bilgisayar bi-limlerinden mezun kendiyle aynı adı taşıyan biri olup olmadığına bakmakgeldi. Eğer varsa, iş başvuru formlarına onun Sosyal GüvenlikNumarası'nı girebilirdi, böylece adını ve sosyal güvenlik numarasınıüniversiteden kontrol etmek isteyen biri, "Evet, söz konusu diplomayıalmıştır", yanıtım alırdı. (Kendinin bildiği ama çoğu insanın farketmeye-ceği birşey yapıp, işe başvururken diğer Parker'in Sosyal GüvenlikNumarası'nı girip sonra işe alınırsa, başlama formlarına kendi gerçeknumarasını yazabilirdi. Çoğu şirket, yeni işe giren birinin iş başvurusun-da farklı bir numara kullanıp kullanmadığını kontrol etmeyi akıl etmezdi.)
Belaya BağlanmakÜniversite kayıtlannda Michael Parker'i nasıl bulacaktı? Şöyle bir
şey yaptı:
116 Aldatma Sanatı
Üniversitenin ana kütüphanesine giderek bir bilgisayar uçbirimininbaşına oturdu, üniversitenin internet sitesine girdi. Sonra Öğrenci İşleri'niaradı. Telefona çıkan kişiye artık iyice aşina olduğunuz toplum mühendis-liği taktiklerinden birini uyguladı. "Bilgi işlem Merkezi'nden arıyorum. Ağyapılandırmasında değişiklikler yapıyoruz ve erişiminizi engelle-mediğimizden emin olmak istiyoruz. Hangi sunucuya bağlısınız?"
"Sunucuyla ne demek istiyorsunuz?" diye sordu karşı taraf.
"Öğrenci akademik verilerine ulaşmak istediğinizde hangi bilgisa-yara bağlanıyorsunuz?"
Aldığı yanıt, admin.rnu.edu oldu. Konuştuğu kişi öğrenci kayıtlarınıntutulduğu bilgisayarın adını ona vermişti. Bu, bulmacanın ilk parçasıydı.Artık hangi makineyi hedef alacağını biliyordu.
Adresi bilgisayara girdi ve bir yanıt alamadı. Bu, beklediği bir durumdu,erişimi engelleyen bir güvenlik duvarı vardı. O bilgisayar üzerinde çalışanhizmetlerden herhangi birine bağlanıp bağlanmadığını kontrol etmek içinbir program çalıştırdı ve bir bilgisayarın uzaktan başka bir bilgisayarabağlanmasını ve ona bir basit uçbirim olarak erişmesini sağlayan bir Telnetservisinin çalıştığı açık bir bağlantı noktası buldu. Oraya girmek için ihti-yacı olan tek şey standart bir kullanıcı adı ve parolaydı.
Öğrenci İşleri'ni tekrar aradı ve bu kez farklı biriyle konuştuğundanemin olmak için önce dikkatle dinledi. Bir kadın çıktı ve ona yine üniver-site Bilgi İşlem Merkezi'nden olduğunu söyledi. İdari kayıtlar için yeni birişletim sistemi yüklediklerini anlattı. Bir ayrıcalık yapıp, deneme kipindeolan yeni sisteme onun bağlanmasını ve öğrenci akademik kayıtlarınaerişip erişemediğine bakmasını istedi. Bağlanacağı adresin İP numa-rasını verdi ve ona neler yapması gerektiğini anlattı.
Aslında İP adresi kadını Michael'ın kütüphanede önünde oturduğu bil-gisayara yönlendirmişti. Sekizinci bölümde açıklanan sürecin aynısını kul-lanarak, öğrenci kayıtlarına bakmak için girdiği sistemde görmeye alışıkolduğunun tıpatıp aynısı bir giriş benzetimcisi, yani sahte bir giriş ekranıyaratmıştı. "Çalışmıyor" dedi kadın. "Sürekli 'Giriş Hatalı' mesajı veriyor."
Giriş benzetimcisi, kullanıcı adı ve parola girilirken kullanılan tuşlarıçoktan Michael'in uçbirimine kaydetmişti bile. Kadına, "Bazı hesaplarhenüz bu makinaya aktarılmadı. Size bir hesap açayım, sonra yineararım" dedi. Her yetenekli toplum mühendisi gibi açık uçları bağlamakkonusuna dikkat ederek, kadını aramayı unutmamayı bir kenara not etti.Telefon edip test sisteminin henüz tam olarak çalışmadığını ve eğeronun için bir sorun olmayacaksa sorunun nereden kaynaklandığını bul-duklarında arkadaşlarının onu arayacaklarını söyleyecekti.
Artık Michael hangi bilgisayar sistemine bağlanması gerektiğini bili-
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 117
BASİT UÇBİRİM: Kendimikroişlemcisi olmayan
uçbirim. Basit uçbirimleryalnızca basit komutlarkabul ederler ve sadeceharf ve sayılan göstere-
bilirler.
yordu ve elinde bir kullanıcı adı ve paro-la vardı. Ancak doğru ad ve mezuniyettarihine sahip bir bilgisayar bilimlerimezununu aratabilmek için hangi ko-mutlara gereksinimi olacaktı? Öğrenciveri tabanı bunun için çok uygundu. Üni-versitenin ve öğrenci işlerinin ihtiyaçları-na göre hazırlanmıştı ve veri tabanınaerişim için kendine özgü bir kullanımıvardı.
İlk adım bu son engeli kaldırmaktı:Öğrenci veri tabanını taramanın gizemleri konusunda ona kimin yolgösterebileceğini bulmalıydı. Öğrenci işlerini tekrar aradı ve yine başkabiriyle konuştu. Kadına, Mühendislik Fakültesi Dekanlığı'ndan aradığınısöyledi ve, "Öğrenci akademik dosyalarına ulaşmakta sorun yaşadı-ğımız zaman kimi aramamız gerekiyordu?" diye sordu.
Bir süre sonra üniversitenin veri tabanı yöneticisiyle telefondagörüşüyor, ona bir acındırma numarası çekiyordu: "Ben Mark Sellers,öğrenci işlerinden. Yeni işe başlayan birine yardım eder misin? Seniaradığım için özür dilerim ama şu anda herkes toplantıda ve etraftabana yardım edebilecek kimse yok. 1990 ve 2000 yılları arasındaki bil-gisayar bilimleri mezunlarının listesine ihtiyacım var. Bu akşama kadaristiyorlar ve bunu onlara veremezsem, bu işte uzun süre kalamayabili-rim. Başı dertte olan birine yardım etmek ister misin?" insanlara yardımetmek bu veri tabanı yöneticisinin işinin bir parçası olduğu için Michael'ayapması gerekenleri adım adım anlatırken iki kat fazla sabır göstermişti.
Konuşmaları bitene kadar Michael o yıllara ait tüm bilgisayar bilim-leri mezunlarını içeren listeyi indirmişti. Birkaç dakika içinde bir aramayapmış ve iki Michael Parker birden bulmuştu. Bir tanesini seçti veadamın Sosyal Güvenlik Numarası'nın yanı sıra veri tabanında bulunanbaşka işe yarar bilgileri de aldı.
Az önce, "Michael Parker, Bilgisayar Bilimleri Lisans Derecesi'ni1998 yılında üstün başarı ile tamamlamıştır" unvanını almıştı. Budurumda 'Lisans Derecesi' sahibi olması çok yerinde bir sonuç olmuştu.
Aldatmacanın İncelenmesiBu saldırıda daha önce sözünü etmediğim bir yöntem kullanıldı:
Saldırganın, kuruluşun veri tabanı yöneticisine nasıl işleyeceğini bilmediği birbilgisayar sürecinin adımlarını tek tek anlattırması. Rollerin güçlü ve etkili birşekilde değiştirilmesi. Bu, raflarından mal arakladığınız dükkânın sahibindenkutuyu arabanıza kadar taşımanıza yardım etmesini istemek gibi bir şey.
1 1 8 A l d a t m a Sanat ı ^ : -..••'
Aldatmacanın EngellenmesiAcındırma, suçluluk duyurma ve sindirme, toplum mühendilerinin en
çok kullandığı üç psikolojik yöntemdir ve bu öyküler bu taktiklerin kul-lanım şeklini göstermiştir. Siz ve bilgisayarınız bu tarz saldırılardankaçınmak için neler yapabilirsiniz, biliyor musunuz?
Verilerin KorunmasıBu bölüm kapsamında anlatılan bazı öyküler, kişi şirketinizde
çalışıyor (ya da öyle görünüyor) ve belge, şirket içi bir elektronikpostaya ya da faks makinasına gönderiliyor olsa da tanımadığınız birinebir dosya göndermenin tehlikelerini vurguluyor.
Şirket güvenlik kuralları, göndericinin şahsen tanımadığı birineönemli bilgileri teslim etmesiyle ilgili son derece net olmalıdır. Hassasbilgiler içeren dosyaların aktarılmasına yönelik zorunlu süreçler belirlen-melidir. Şahsen tanınmayan birinden gelen bir talep durumunda, kontroletmek için tanımlanmış açık adımlar olmalıdır ve bunları bilginin has-saslığına göre farklı düzeylerde yetkiler gerektirmelidir.
işte göz önüne alınacak birkaç teknik:
• Bilginin neden istendiğini öğrenin \\OTIYÎTI'I\ tesV^ s>&WteU\d.er\ yetkialınmasını gerektirebilir).
• Bu işlemlere ait kişisel ya da birim içi günlük tutun.
• Süreçler konusunda eğitilmiş ve hassas bilgileri dışarı vermeküzere yetkilendirilmiş kişilerin bir listesini bulundurun. Çalışmagrubunun dışına gönderilecek bilgilerin yalnızca bu kişilertarafından gönderilmesini zorunlu kılın.
• Eğer istek yazılı olarak yapılmışsa (e-posta, faks ya da posta),isteğin, gönderdiğini düşündüğünüz kişiden geldiğinden eminolmak için gerekli önlemleri alın.
Parolalara İlişkinHassas bilgiye erişimi olan tüm çalışanların -bugün bu neredeyse
Mitnick Mesajı:Bilgisayar kullanıcıları bu teknolojik dünyada var olan toplum mühendisliğineilişkin tehditler ve zayıflıklardan bazen bütünüyle habersiz oluyorlar. Bilgiyeerişimleri var, ancak yine de neyin bir güvenlik tehdidi olabileceğiyle ilgiliayrıntılı bilgileri yok. Toplum mühendisi, aradığı bilginin değerini tam olarakbilmeyen bir çalışanı hedefleyecektir; böylece hedef, tanımadığı birinin isteğiniyerine getirmeye daha meyilli olacaktır.
Acındırma, Suçluluk Duyurma ve Sindirme Tekniği Kullanmak 119
bilgisayarla çalışan herkes anlamına geliyor- parola değiştirmek gibibasit işleri birkaç saniyeliğine bile olsa yapmalarının büyük güvenlikaçıklarına neden olabileceğini bilmeleri gerekiyor.
Güvenlik eğitimleri parola konusunu da içermelidir ve konu,parolanın ne zaman ve nasıl değiştirilebileceği, nelerin geçerli parolalarolacağı ve bu sürece başkalarını da katmanın oluşturabileceğitehlikelere odaklanmalıdır. Eğitim, tüm çalışanlara, özellikle paro-lalarının sorulduğu isteklere karşı şüpheyle yaklaşmaları gerektiğini vur-gulamalıdır.
Dışarıdan bakıldığında bunun çalışanlara aktarmak için çok basit birmesaj olduğu düşünülebilir. Öyle değildir. Böyle bir fikri takdir etmeleriiçin çalışanların, parolanın değiştirilmesi gibi basit bir işin nasıl güvenlikaçıklarına yol açacağını anlamış olmaları gerekir. Bir çocuğa, "Karşıdankarşıya geçerken her iki yöne de bak" diyebilirsiniz ama çocuk bununneden önemli olduğunu anlayana kadar olaya at gözlükleriyle bakması-na göz yummanız gerekir. At gözlükleriyle bakılan kurallar ya göz ardıedilir ya da unutulur.
Merkezî Bîr Bildirim NoktasıGüvenlik politikanız, kuruluşunuza girme teşebbüsleri gibi görünen
şüpheli faaliyetlerin bildirileceği bir kişi ya da guruptan oluşan merkezîbir nokta da oluşturmalıdır. Tüm çalışanlar elektronik ya da fiziksel birmüdahaleden kuşkulandıklarında kimi aramaları gerektiğini bilmelidirler.Bildirimin yapılması gereken noktanın telefon numarası her zaman elatında olmalıdır; böylece çalışanlar bir saldırı gerçekleştiğinden şüphe-lenirlerse numarayı bulmaya çalışmak zorunda kalmazlar.
Bilgisayar Âğını KoruyunÇalışanlar bir bilgisayar sunucusu ya da ağ adının önemsiz bir bilgi
olmadığını bilmelidirler. Aksine, güven uyandırabilmesi ya da istediği bil-ginin yerini öğrenmesi için saldırgana önemli bir kaynak oluşturabilirler.
Özellikle veri tabanı yöneticileri gibi, yazılımlarla çalışan kişilerteknik uzmanlığı olanlar grubuna girerler ve onların, kendilerinden bilgive tavsiye isteyen kişilerin kimliklerini doğrulamak konusunda çok katıve özel kurallar çerçevesinde çalışmaları gereklidir.
Sürekli olarak bilgisayar desteği veren kişiler, ne tür isteklerin kırmızı
Parolalar toplum mühendisliği saldırılarının o kadar önemlibir odak noktasıdır ki on altıncı bölümü tamamıyla buna ayırdık. Oradaparolaların yönetilmesiyle ilgili önerilen kuralları bulabileceğiniz.
120 Aldatma Sanatı . -
ışık yaktığını, diğer bir deyişle, arayanın bir toplum mühendisliğisaldırısı gerçekleştirdiğini gösteren durumlara karşı çok iyi bir eğitimdengeçirilmelidirler.
Bu bölümün en son öyküsünde veri tabanı yöneticisinin bakışaçısından, arayanın gerçek birinin kıstaslarına uyduğunu da belirt-meden geçemeyeceğim. Kampüsten arıyordu ve içinde bulunduğu sitekesinlikle kullanıcı adı ve parola gerektiren bir siteydi. Bilgi talep edenbirinin kimliğini doğrulamak için standart süreçlerin olmasının öneminibu durum bir kez daha vurguluyor. Özellikle de, arayanın gizli kayıtlaraulaşmak konusunda yardım istediği böyle bir olayda.
Tüm bu öneriler, üniversiteler ve yüksekokullar için ikiye katlanıyor.Bilgisayar korsanlığının pek çok üniversite öğrencisinin en sevdiği uğraşolduğu yeni bir haber sayılmaz ve öğrenci kayıtlarının ve bazen defakülte kayıtlarının çekici hedefler teşkil etmeleri de şaşırtıcı değildir. Busömürü o kadar büyük boyutlardadır ki bazı şirketler kampüsleri tehlike-li bölgeler olarak değerlendirirler ve sonu .edu ile biten öğretim kurum-larının erişimini engellemek için güvenlik duvarları oluştururlar.
Uzun lafın kısası her türlü öğrenci ve personel kayıtları başlıca hedef-ler olarak görülmeli ve hassas bilgi kapsamında çok iyi korunmalıdır.
• Eğitim İpuçlarıÇoğu toplum mühendisliği saldırıları -nereye bakacağını bilenler
için- savunulması komik olacak kadar kolay şeylerdir.
Şirket bakış açısından baktığımızda iyi bir eğitim verilmesi içinönemli bir gereksinim vardır. Ancak aynı zamanda, insanlara öğrendik-lerini hatırlatacak çeşitli yollar da olmalıdır.
Kullanıcının bilgisayarı açılırken her gün başka bir mesaj içeren birekran çıkabilir. Mesaj öyle tasarlanmış olmalıdır ki, kendiliğinden kay-bolmamalı ve kullanıcının okuduğuna dair bir çeşit onay kutucuğuna tık-lamasını gerektirmelidir.
Önerebileceğim bir başka yaklaşım ise bir dizi güvenlik mesajıdır.Sık sık görülen hatırlatma mesajları önemlidir çünkü bir bilinçlilik prog-ramı sürekli ve sonsuz olmalıdır. İçerikleri sunarken mesajlar herseferinde aynı şekilde dile getirilmemelidir. Araştırmalara göre farklı bir•cümleyle sunulduğunda ya da farklı örnekler kullanıldığında bu mesajlardaha etkili olmaktadır.
Bir diğer kusursuz yaklaşım ise şirket bültenine kısa ilanlar vermek-tir. Her ne kadar bir güvenlik köşesi çok yerinde olacaksa da bu ilanlartam bir köşe oluşturmamalıdır. Onun yerine, okuduğunuz gazetedekiküçük ilanlar gibi, iki ya da üç sütun genişliğinde bir ilan kutusu tasar-lanabilir. Bültenin her baskısında, bu kısa ve dikkat çekici yöntemle yenibir güvenlik unsuru hatırlatılabilir.
9 TERS DALAVERE
Bu kitabın başka bir yerinde de sözü edilen Belalılar (The Sting) filmi-ki bana göre dolandırıcılıkla ilgili yapılmış herhalde en iyi filmdir- zorlubir kumpası büyüleyici bir ayrıntılıkta anlatır. Fimdeki dalavere, "büyükdalavereler" olarak bilinen üç büyük dolandırıcılık çeşidinden biri olan"telleme" işinin nasıl yürütüldüğünün açık bir örneğidir. Profesyonel birekibin bir oyun çevirip bir gecede nasıl büyük paralar hortumladığımöğrenmek istiyorsanız bundan iyi bir ders kitabı yoktur.
Ancak geleneksel dolandırıcılıklar, ne tür bir ayak oyunu kullanır-larsa kullansınlar, belli bir yol izlerler. Bazen oyun ters yönde oynanır,buna da ters dalavere denir. Saldırganın, kurbanın yardım için saldır-ganı arayacağı ya da kurbanın bir mesai arkadaşının isteğine saldır-ganın yanıt vereceği şekilde ortamı düzenlediği karmaşık bir dolaptır.
Bu iş nasıl mı yapılır? Şimdi göreceksiniz.
Tatlı Diife İkna SanatıSıradan biri bir bilgisayar korsanını gözünde canlandırdığında
çoğunlukla ilk akla gelen, en iyi arkadaşı bilgisayar olan ve anlıkmesajlar dışında konuşma özürlü olan, yalnız, içine kapanık birgerzeğin sevimsiz görüntüsüdür. Genellikle bilgisayar korsanlığı bece-rileri de olan toplum mühendisinin öbür cebinde insanî becerileri devardır, insanları kullanıp yönlendirerek kesinlikle aklınıza gelmeyecekyollarla bilgi toplamasını sağlayacak iyi geliştirilmiş yeteneklere sahiptir.
Angela'yı Arayan KişiYer: Federal Sanayi Bankası, Valley Şubesi.
Zaman: Sabah 11:27.
Angela Wisnowski, kendisine büyük bir miras kalmak üzere olduğunuve tasarruf hesaplan, mevduat sertifikalanve önerebileceği güvenli ama iyi faiz verenbaşka yatırım araçları olup olmadığıkonusunda bilgi almak istediğini söyleyenbir adamdan bir telefon aldı. Angela adamaoldukça çok seçenek olduğunu ve bankayakadar gelip karşılıklı görüşmek isteyip iste-meyeceğini sordu. Adam para eline geçer
TerimlerTERS DALAVERE:
Saldırıya uğrayan kişininsaldırgandan yardım iste-
diği bir dolandırıcılık şekli.
Ters Dalavere 123
Bu iyi diye düşündü arayan. İnsanların en küçük bir dürtmeyledüşüvermemeleri iyi oluyor. Eğer biraz direnmezlerse iş çok kolay-laşıyor ve ben tembelleşmeye başlıyorum.
- Dışarıya birşey göndermeden önce onay almamız konusunda kafayıüşütmüş bir şube müdürüm var, hepsi bu. Ama bilgiyi fakslamamızıistemiyorsanız önemli değil. Onaya gerek yok.
- Angela yarım saat kadar sonra burada olur. Ona seni aramasınısöyleyebilirim, dedi Louis.
- Şifreyi vererek bunun geçerli bir istek olduğunu gösteremediğiniziçin ona bugün gönderemediğimi söylerim. Eğer yarın doktor banarapor vermezse, onu yeniden ararım. ':
- Tamam, olur.
- Mesaj, acil, diyordu. Neyse boş ver, onay olmadan elim kolumbağlı. Ona göndermeye çalıştığımı ama senin şifreyi veremediğinisöylersin değil mi?
Louis sonunda baskıya dayanamadı. Ahizeden sıkıntılı bir iç geçirmeduyuldu.
-Peki, dedi. Biraz bekle, bilgisayarıma kadar gitmem gerekiyor.Hangi şifreyi istiyorsun?
- B, dedi arayan.
Louis aramayı beklemeye aldı, biraz sonra yeniden açtı.
- 3184. .
- Bu doğru şifre değil. . •
- Bu doğru. B şifresi 3184..
- Ben B demedim, E dedim.
- Kahretsin. Bir dakika bekle.
Louis yeniden şifrelere bakarken biraz daha bekledi.
- E şifresi 9697.
- 9697, tamam. Faksı hemen gönderiyorum. Tamam mı?
- Tamam. Teşekkürler.
WaUervı Arayan Kişi- Federal Sanayi Bankası, ben Walter.
- Merhaba, Walter, ben Studio City 38 nolu şubeden Bob Grabowski,dedi arayan. Bir müşteri hesabına ait imza kartonuna ihtiyacım var,bana onu fakslayabilir misin?
, İmza kartonu yalnızca müşterinin imzasını içermez, sosyal güvenliknumarası, doğum tarihi, annesinin kızlık soyadı ve bazen de ehliyetnumarasına gibi diğer tanımlayıcı bilgileri de içerir. Bir toplummühendisi için çok kullanışlıdır.
124 Aldatma Sanatı
- Elbette. C şifresi nedir?
- Şu anda bilgisayarımı başka biri kullanıyor, dedi arayan. Ama azönce B'yi ve E'yi kullanmıştım ve onları hatıhyorum. Onlardan birinisorabilirsin.
- Tamam, E şifresi nedir?
- E şifresi 9697.
Birkaç dakika sonra Waiter istenen imza kartonunu fakslar.
Donncs Plaiee'i Arayan Kişi- Merhaba, ben Bay Anselmo.
- Size bugün nasıl yardımcı olabilirim?
- Hesabıma para yattığını öğrenebilmek için aramam gereken 800'lünumara hangisiydi?
- Bankanın bir müşterisi misiniz?
- Evet, ama numarayı uzun süredir kullanmadım ve şimdi de nereyeyazdığımı hatırlamıyorum.
- Numara 800-555-8600. •
- Tamam, teşekkürler.
Vince Capelli'nin öyküsüSpokane'li bir polis memurunun oğlu olan Vince, saatlerce köle gibiçalışıp, asgarî ücret alabilmek için kelleyi koltuğa almayacağını erkenyaşlardan beri biliyordu. Yaşamının iki temel amacı Spokane'den ayrıl-mak ve kendi işini kurmak oldu. Okul yılları boyunca arkadaşlarınınonunla alay etmesi onu daha da kızıştırmıştı. Kendi işini kurmayahevesli olması ama bir işin nasıl yürütüleceğiyle ilgili hiçbir fikri olma-ması onlara gülünç geliyordu.
İçten içe Vince arkadaşlarının haklı olduğunu da biliyordu. İyi olduğutek şey okulun beyzbol takımının tutucusu olarak yaptığı işti. Amabunda da burs kazanacak ya da profesyonel beyzbol oynayacak kadariyi değildi. O zaman nasıl bir işe girişecekti?
Vince'in grubundaki arkadaşları bir şeyi tam olarak anlamamışlardı:Aralarında birinin olan bir şey -yeni bir sustalı çakı, şık bir çift sıcaktutan eldiven, çekici bir kız arkadaş- eğer Vince'in hoşuna gitmişse çokgeçmeden onun oluyordu. Ne çalıyor ne de birilerini arkadan vuruyor-du, bunu yapmasına gerek yoktu. Çocuklar ellerindekileri isteyerekveriyorlardı ve sonra da bunun nasıl olduğunu düşünüyorlardı. Vince'esormak da bir işe yaramıyordu, çünkü kendi de bilmiyordu. Görünüşegöre her ne isterse insanlar ona bunları veriyordu.Vince Capelli, bu adı hiç duymamış olsa bile, erken yaşlardan beri birtoplum mühendisiydi.
Ters Dalavere 125
Okul diplomalarım ellerine aldıktan sonra arkadaşları gülmeyi kestiler.Diğerleri, şehirde dolaşıp "Yanında patates kızartması ister misiniz?"diye sormak zorunda kalmayacakları bir iş bulmaya çalışırlarkenVince'in babası, teşkilattan ayrılıp kendi özel dedektiflik işini kuraneski bir polis arkadaşıyla konuşması için onu San Francisco'ya gönder-mişti. Adam, Vince'in bu işe çok uygun olan yeteneğini görmüş vehemen onu işe almıştı.
Bu altı yıl önceydi. İşin, oturup beklemeyi gerektiren can sıkıcı saatler-le dolu sadakatsiz eşlerle ilgili bilgi toplama kısmından nefret ediyor-du, ancak zavallı bir müteveffanın dava açılacak kadar zengin olupolmadığım öğrenmeye çalışan avukatların verdiği mal varlıklarınıöğrenme işlerini her zaman heyecan verici buluyordu. Bu tarz işler onaaklını kullanması için pek çok fırsat sunuyordu.
Tıpkı Joe Markowitz adında bir adamın banka hesaplarına bakmasıgerektiği zaman olduğu gibi. Joe'nun eski bir arkadaşını dolandırmışgibi bir durumu vardı ve şu anda arkadaşı, dava açarsa para alabilecekkadar Markowitz'in yüklü olup olmadığını öğrenmek istiyordu.
Vince'in ilk adımı bankanın güvenlik şifrelerinden en az bir, ama terciheniki tanesini ele geçirmekti. Bu kulağa neredeyse imkânsız bir işmiş gibigeliyor. Nasıl bir numara bir banka çalışanını şifreleri vermesi konusundaikna edebilirdi ki? Kendi kendinize sorun; eğer siz bu işi yapmak istiyorolsaydınız, bunu nasır yapacağınızla ilgili bir fikriniz olur muydu?
Vince gibi insanlar için bu iş çok kolaydır.
İşlerinde ve şirketlerinde kullandıkları terimleri biliyorsanız insanlarsize güvenirler. Yakın çevrelerinin bir parçasıymış gibi görünürsünüz.Gizli bir tokalaşma gibidir. Vince'den dinleyelim:
Böyle bir iş için o kadar çok şeye ihtiyacım yoktu. Bu iş beyin cerrahisideğil. İşe başlamak için tek gereken şey bir şube mımarasıydı. BuffaloBeacon Street şubesini aradığımda telefona çıkan adamın sesi bir gişegörevlisi gibi geliyordu.
"Ben Tim Ackerman" dedim. Herhangi bir ad olurdu, nasıl olsa bir yer-lere yazmayacaktı. "O şubenin numarası nedir?"
"Telefon numarası mı, şube numarası mı?" diye bilmek istedi ama buoldukça aptalcaydı, çünkü zaten telefon ediyordum, değil mi?
"Şube numarası."
"3182", dedi adam hiç duraksamadan. Ne, "Neden bilmek istiyor-sunuz?" diye sordu, ne de başka bir şey. Hassas bilgi olmadığı için, kul-landıkları her kâğıt parçasının üstünde yazılıydı.
İkinci adım hedefimin çalıştığı şubeyi aramak, orada çalışanlardanbirinin adını ve onun ne zaman öğle yemeğine çıkacağını öğrenmekti.Angela 12:30'da yemeğe çıkıyordu. Her şey oldukça iyi gidiyordu.
Üçüncü adımda Angela öğle tatilindeyken aynı şubeyi tekrar arayacak,Boston'daki şu ve şu numaralı şubeden aradığımı söyleyecek, Angela'nm
126 Aldatma Sanatı
bu bilginin fakslanmasını istediğini belirterek günlük şifreyi alacaktım.En zorlu kısım buydu, tekerler dönmeye buradan başlayacaktı. Eğertoplum mühendisliği becerisini sınayacak bir sınav yapıyor olsaydım,kurbanın haklı olarak kuşkulandığı benzer bir durum koyardım ve onukırıp istediğiniz bilgiyi alana kadar orada kalmak zorunda kalırdınız.Bunu bir senaryodaki satırları tekrarlayarak ya da belli kalıpları ezberle-yerek yapamazsınız; kurbanınızı okumanız, ne hissettiğini anlamanız,oltayı suya atıp çekerek bir balığı yakahyormuş gibi onunla oynamanızgerekir. Ta ki zokayı yutturup, onu kayığa çekene kadar.
Böylece onu ağıma düşürdüm ve günlük şifrelerden birini aldım. Çoğubankada yalnızca tek bir tane kullanırlar, öyle olsaydı işim bitmişsayılırdı. Federal Sanayi Bankası'nda beş tane kullanıyorlar ve beşin-den birini bilmek işi çok fazla şansa bırakmak olurdu. Beşte iki olursabu küçük oyunun bir sonraki sahnesini tamamlamak için daha fazlaşansım olacaktı. "B demedim, E dedim," kısmına bayılıyorum. İşeyaradığı zaman harika oluyor. Ve çoğu zaman da işe yarıyor.
Üçüncü bir tane almak daha da iyi olurdu. Tek bir aramada üç tane bir-den almayı başarmışlığım da vardır. B, D ve E'nin okunuşları sizi yan-lış anladıklarını iddia edebileceğiniz kadar birbirlerine benzerler. Amagerçek bir şaşkınla konuşuyor olmanız gerekir. Bu kadın öyle değildi.İki taneyle yetinecektim.
Günlük şifreler imza kartonunu almak için benim kozum olacaklar.Arıyorum ve adam benden bir şifre istiyor. C'yi istiyor ve ben de yal-nızca B ve E var. Ama bu dünyanın sonu değil. Böyle anlarda sakinolmalısınız, kendinize güvenmeli ve işinize devam etmelisiniz. Hiçistifimi bozmadan ona, "Biri benim bilgisayarımı kullanıyor, banadiğerlerinden birini sor" oyununu oynadım.
"Hepimiz aynı şirketin çalışanlarıyız, hepimiz bu işin içindeyiz; adamıyokuşa sürme". Böyle bir anda kurbanınızın bu şekilde düşündüğünüümit edersiniz. Adam tam kitabına göre oynadı. Sunduğum seçenekler-den birini sordu, ona doğru yanıtı verdim ve imza kartonunu faksladı.
İş neredeyse bitmişti. Bir görüşme daha yapıp elektronik bir sesin iste-diğiniz bilgiyi okuduğu ve müşterilerin otomatik hizmet için kullandık-ları 800'lü numarayı buldum. İmza kartonunda hedefimin tüm hesapnumaralan ve kişisel kimlik numarası vardı, çünkü bu banka SosyalGüvenlik Numarası'nın son dört ya da beş basamağını kullanıyordu.Elimde kalem 800'lü numarayı çevirdim ve birkaç dakikamı tuşlarabasarak geçirerek adamın dört hesabının birden son durumlarınıöğrendim. İşi sağlama almak için her birine en son yatırdığı ve çektiğiparalan da bir kenara not ettim.
Müşterimin aradığı her şey fazlasıyla tamamdı. Her olasılığa karşı herzaman biraz fazla bilgi vermek hoşuma gider. Müşteri velinime-timizdir. Ne de olsa sürekli gelen işler işletmenin varlığını sürdürmesi-ni sağlayan şeylerdir, öyle değil mi?
Ters Dalavere 127
Aldatmacanın İncelenmesiTüm bu olayın kilit noktası o çok önemli günlük şifreleri almaktı ve
ounu yapmak için saldırgan, yani Vince, pek çok farklı teknik kullandı.
Biraz laf ebeliği yaparak işe başlamıştı ki Louis ona şifreyi vermekteisteksiz davrandı. Louis şüphelenmekte haklıydı, şifreler diğer yönde kul-lanılmak üzere tasarlanmışlardı. İşlerin olağan sürecinde onu arayan,tanımadığı kişinin güvenlik kodunu vermesi gerekirdi. Bu Vince için çokkritik bir andı, tüm çabalarının başarıya ulaşıp ulaşmaması buna bağlıydı.
Louis'in şüphesi karşısında Vince adamı etkileme çabasını artırarakacındırma ("doktora gitme"), baskı ("yapacak yığınla işim var ve saatneredeyse dört oldu") ve etkileme ("ona bana şifreyi vermediğini söyle")yöntemlerine başvurdu. Akıllılık edip Vince aslında hiç tehdit kullanmadı,yalnızca ima etti: Eğer bana güvenlik şifresini vermezsen arkadaşınınihtiyacı olan müşteri bilgilerini gönderemem ve ona aslında gönderebile-cek durumda olduğumu fakat senin işbirliği yapmadığını söylerim.
Yine de kabahati Louis'e atmakta acele etmeyelim. Ne de olsa tele-fondaki kişi, arkadaşı Angela'nın bir faks beklediğini biliyordu; en azın-dan biliyormuş gibi görünüyordu. Arayan, güvenlik şifrelerinden de hab-erdardı ve onlara atanmış harflerle tanımlandıklarını biliyordu. Arayan,şube müdürünün daha fazla güvenlik için bunun yapılmasını istediğinisöylemişti, istediği doğrulamayı ona vermemek için ortalıkta bir nedengörünmüyordu.
Louis yalnız değildi. Banka çalışanları neredeyse her gün güvenlikşifrelerini toplum mühendislerine verirler. İnanılmaz ama gerçek.
Özel bir dedektifin kullandığı yöntemlerin yasal olmaktan çıkıpyasadışı olmaya başladığı ince bir çizgi vardır. Şube numarasınıaldığında Vince henüz yasadışı değildi. Louis'i günlük güvenlikşifrelerinden ikisini vermeye kandırdığında da yasadışı birşey yap-mamıştı. Bir banka müşterisinin bilgilerini kendisine fakslanmasını iste-diği anda çizgiyi aştı.
Ama Vince ve patronu için bu düşük riskli bir suçtu. Para ya da malçaldığınızda birileri onun kaybolduğunu anlarlar. Bilgi çaldığınızda çoğuzaman bunu kimse fark etmez, çünkü bilgi hâlâ ellerindedir.
AAitnick Mesajı:Sözel güvenlik şifreleri, verilerin korunması için elverişli ve güvenilir bir yön-tem sunmada parolalara denktirler. Ancak çalışanların toplum, mühendislerininkullandığı dalavereler konusunda bilgili olmaları ve krallığın anahtarlarını tes-lim etmemek üzere yetiştirilmeleri gerekir.
128 Aldatma Sanatı
Dalavereye Âlet Olan PolislerHilebaz bir özel dedektif ya da toplum mühendisi için birinin ehliyet
numarasını bilmesinin gerektiği durumlar sık sık ortaya çıkar. Örneğin, birininbanka hesaplarıyla ilgili bilgi almak için onun kimliğine bürünmek istiyorsanız.
Birinin cüzdanını yürütmek ya da uygun bir anda omuzununüzerinden göz ucuyla bakmak dışında ehliyet numarasını öğrenmekolanaksıza yakın olmalıdır. Ancak çok fazla toplum mühendisliği bece-rilerine sahip olmayan biri için bile bu pek zor bir iş sayılmaz.
Düzenli olarak ehliyet numaraları ve araç plaka numaralan öğren-mesi gereken -kendisine Eric Mantini diyeceğim- bir toplum mühendisivar. Eric, Motorlu Taşıtlar Müdürlüğü'nü aramanın ve bilgi alması gerek-tiğinde hep aynı oyunu oynamanın, içinde bulunduğu tehlikeyi gereksizölçüde artırdığına karar verdi ve bu süreci kolaylaştırmanın bir yolununbulunup bulunmadığını araştırdı.
Büyük olasılıkla daha önce kimse düşünmemişti ama istediği andabu bilgiyi almanın bir yolunu buldu. Bu işi Bölge Motorlu TaşıtlarMüdürlüğü'nün yürürlüğe koyduğu bir hizmetten yararlanarak yaptı. Pekçok bölge müdürlüğü, ayrıcalıklı bilgiler olmadıkları sürece, vatandaşlar-la ilgili bilgileri sigorta kurumlarına, özel dedektiflere ve eyalet yasalarıuyarınca ticaretin ve genel toplumun lehine olmak kaydıyla paylaş-manın uygun olduğu belli başka kuruluşlara açmışlardı.
Motorlu Taşıtlar Müdürlüğü'nün, doğal olarak, hangi tür verilerin ve-rileceğine ilişkin uygun kısıtlamaları vardır. Sigorta sektörü dosyalardanbelli tür bilgiler alabilir ama diğerleri alamaz. Özel dedektifler için farklısınırlamalar geçerlidir ve bu böyle gider.
Emniyet teşkilatı mensupları için de farklı bir kural geçerlidir. MotorluTaşıtlar Müdürlüğü, kendini uygun şekilde tanıtan yeminli bir polismemuruna kayıtları ndaki tüm bilgileri açacaktır. Eric'in yaşadığı eyaletteMotorlu Taşıtlar Müdürlüğü'nün bir emniyet görevlisinden istediği tanım-lamalar Talep Kodu ve memurun ehliyet numarasıydı. MTM çalışanı,bilgi vermeden önce her zaman memurun adını ehliyet numarasıyla vebaşka bir bilgiyle -genellikle doğum tarihiyle- karşılaştıracaktı.
Toplum mühendisi Eric'in yapmak istediği, kendini bir emniyet teşki-latı mensubunun kimliğine büründürmekten başka birşey değildi. Bununasıl başaracaktı? Polislere bir ters dalavere uygulayarak!
Eric'in DalaveresiÖnce bilinmeyen numaralan aradı ve eyalet başkentindeki MotorluTaşıtlar Genel Müdürlüğü'nün telefon numarasını istedi. Aldığı numara503-555-5000'di ve doğal olarak, vatandaşın araması için ayrılmış tele-
Ters Dalavere 129
fondu. Sonra yakınlardaki bir karakolu arayarak haberleşme bürosunu-diğer emniyet teşkilatı birimleriyle, ulusal suç veri tabanıyla, yerelyetkililerle ve benzeri yerlerle iletişimin kurulduğu birimi- istedi.Haberleşme bürosunda telefona çıkan memura Eyalet Motorlu TaşıtlarGenel Müdürlüğü'nün emniyet teşkilatını araması için ayrılmışnumarayı öğrenmek istediğini söyledi.
"Sen kimsin?" diye sordu haberleşmedeki polis.
"Ben Al. 503-555-5753'ü arıyordum" dedi Eric. Bu yarı yarıyavarsayım ve yarı yarıya uydurulmuş bir numaraydı. Emniyet teşkilatın-dan gelecek telefonlar için MTM'de kurulan özel büro numarasınınhalka açık numarayla aynı bölge koduna sahip olması gerekirdi ve son-raki üç basamağın da aynı olacağı neredeyse kesindi. Tüm bilmesigereken son dört basamaktı.
Karakol haberleşme bürolarına dışardan telefon gelmezdi ve arayankişi numaranın çoğunu biliyordu. Teşkilattan biri olduğu açıktı.
"Numara 503-555-6127" dedi memur.
Artık Eric'in elinde emniyet teşkilatı mensuplarının kullanımına özelMTM numarası vardı. Ama yalnızca telefon numarası onun işini gör-müyordu; o büronun birden fazla telefon hattı olmalıydı ve Eric'in kaçhat olduğunu ve her birinin numarasını öğrenmesi gerekiyordu.
SantralPlanını uygulamaya koymak için, emniyet teşkilatından arayanlarınaramalarım yönlendiren MTM santralına erişmesi gerekiyordu.Telekomünikasyon Müdürlüğü'nü aradı ve en çok kullanılan ticari tele-fon santrallerinden biri olan DMS-100'leri üreten Nortel'den aradığınısöyledi. "DMS-100 üzerinde çalışan santral teknisyenlerinden biriylegörüşebilir miyim?"
Teknisyen telefonu açtığında, Teksas Nortel Teknik Destek Merkezi'ndenaradığını ve tüm santralları en son yazılımla güncelleyebilmek içinmerkezî bir veri tabanı oluşturduklarını anlattı. Her şey uzaktan yapıla-caktı ve santral teknisyenlerinin müdahalesine gerek olmayacaktı. Ancaksantralın bilgisayar bağlantı numarasına ihtiyaçları vardı, böylece gün-cellemeleri doğrudan Destek Merkezi'nden yapabileceklerdi.
Oldukça akla yatkın görünüyordu ve teknisyen, Eric'e telefonnumarasını verdi. Artık eyaletin telefon santrallarmdan birine doğrudanbağlanabilecekti.
Tıpkı her şirket bilgisayar ağında olduğu gibi saldırganlara karşı korun-mak için bu tarz ticari santraller de parola korumalıdır. Telefonbeleşçiliği geçmişi olan her iyi toplum mühendisinin bildiği üzereNortel santrallerin yazılım güncellemeleri için kullandığı standart birkullanıcı adı vardı: NTD (Nortel Teknik Destek'in baş harfleri, yani
. çok gizli bir şey değil). Peki ya parola? Eric pek çok kez bağlanmaya
130 Aldatma Sanatı
çalışarak, her seferinde bariz ve sık kullanılan olasılıkları denedi.Kullanıcı adıyla aynı harfleri, NTD, girmek de işe yaramadı."Yardımcı" kelimesi de olmadı, "yama" da.
Sonra "güncelleme"yi denedi... ve girdi. Başka ne beklenirdi ki! Bariz,kolayca tahmin edilebilen bir parola kullanılması, hiç parola olma-masından yalnızca bir nebze daha iyidir.
Konunuzda bilgili olmak iyidir. Eric'in o santralin nasıl programlandığıve sorunların nasıl çözüldüğü hakkında büyük olasılıkla o telaıisyenkadar bilgisi vardı. Yetkili bir kullanıcı olarak santrale eriştikten sonrahedefi olan telefon hatları üzerinde tam kontrol sağlayabilecekti.Emniyet teşkilatı mensuplarının MTM'yi aramak için kullandıklarınumarayı, 555-6127, bilgisayarından arattırdı. Aynı müdürlükte ondokuz tane daha hat olduğunu gördü. Görünüşe göre arayanları çoktu.
Her gelen aramada santral meşgul olmayan birini bulana kadar yirmihattı taramaya programlanmıştı.
Sıradaki on sekiz numaralı hattı seçti ve bu hattan aramaları başka birtelefona yönlendirecek şifreyi girdi. Yönlendirilen telefon numarasıolarak da yeni ve ucuz, hazır kartlı cep telefonu numarasını kullandı.Bunlar, iş bittikten sonra atacak kadar ucuz oldukları için uyuşturucukaçakçılarının tercih ettiği türden telefonlardı.
On sekizinci hattâ arama yönlendirme çalışır durumdayken, büronunardarda gelen on yedi telefonla uğraştığı bir sırada bir sonraki telefonMTM bürosunda çalmayacak onun yerine Eric'in cep telefonuna yön-lendirilecekti. Arkasına yaslandı ve beklemeye başladı.
MTM'ye gelen arama
O sabah saat sekizden biraz önce telefon çaldı. Bu işin en iyi ve en ke-yifli bölümüydü. Toplum mühendisi Eric oturmuş, onu gelip tutukla-maya yetkili ya da bir arama emri çıkarıp aleyhine delil toplamak içinbaskın yapabilecek bir polisle konuşuyordu.
Ve yalnızca tek bir polis aramayacaktı, bir biri ardına bir sürü polisarayacaktı. Bir keresinde Eric bir lokantada arkadaşlarıyla öğle yemeğiyerken her beş dakikada bir telefon gelmiş, ödünç aldığı bir kalemlebilgileri bir kağıt peçetenin üstüne yazmıştı. Buna hâlâ durup durupgüler.
Ancak polis memurlarıyla konuşmak iyi bir toptan m\ı\"\«\4\s.mt teçsıkıntı vermez. Aslında emniyet teşkilatı birimlerini kandırmanın heye-canı Eric'in oynadığı oyunu büyük olasılıkla daha eğlenceli kılmıştır.
Eric'in anlattığı kadarıyla görüşmeler şöyle geçiyordu:
"MTM, yardımcı olabilir miyim?"
"Ben Dedektif Andrew Cole."
"Merhaba dedektif. Bugün sizin için ne yapabilirim?"
Emniyet teşkilatında fotoğraf istemek için kullanılan terimi kullanarak
Ters Dalavere 131
"005602789 nolu ehliyet için soundex gerekiyor" diyebilirdi. Bu, işeyarar bir şeydi; örneğin polisler bir şüpheliyi tutuklamaya giderlerkenadamın neye benzediğini görmek için kullanırlardı.
"Elbette, hemen kayıtlara bakayım" diyordu Eric. "Detektif Cole, bağlıolduğunuz yer neresi?"
"Jefferson Bölgesi." Sonra Eric asıl sorulan sormaya başlıyordu:"Dedektif, talep kodunuz nedir?", "Ehliyet numaranız?", "Doğum tari-hiniz?"
Arayan, kişisel tanımlama bilgilerini veriyordu. Eric bilgileri doğrula-makla uğraşıyormuş gibi yapıp, sonra da arayana bilgilerinin doğru-landığını söylüyordu. En sonunda arayanın MTM'den istediği şeylerinayrıntılarını soruyordu. İstenen adı arıyormuş gibi yapıp, arayanıntuşların tıklamasını duymasını sağlıyor sonra da şöyle bir şey diyordu."Kahretsin, bilgisayarım yine çöktü. Kusura bakma, dedektif, bilgisa-yarım bu hafta hep gidip geliyor. Tekrar arayıp başka bir görevlininsize yardımcı olmasını isteyebilir misiniz?'"
Böylece neden isteğinde yardımcı olamadığıyla ilgili memur beydeherhangi bir şüphe uyandırmadan açık uçları bağlıyordu. Bu arada Ericbir kimlik çalmıştı. Bunlar, ihtiyacı olduğu zaman gizli MTM bilgileri-ni almakta kullanabileceği ayrıntılardı.
Eric birkaç saat telefonlara yanıt verip düzinelerce talep kodu eldeettikten sonra santrale bağlandı ve yönlendirme işlemini iptal etti.
Sonraki aylarda, bilgiyi nasıl aldığını bilmek istemeyen yasal özeldedektiflik firmalarının ona verdiği işleri yapmayı sürdürdü. Gerektiğizaman yeniden santrala bağlanıyor, yönlendirmeyi açıyor ve bir yığınpolis memuru bilgisi daha topluyordu.
Aldatmacanın İncelenmesiEric'in bu dalavereyi yapmak için bir dizi insan üstünde oynadığı
oyunları bir gözden geçirelim. İlk başarılı adımda haberleşme bürosun-daki bir memurun, karşısındakini başka bir polis memuru varsayıp, hiç-bir kimlik tespiti yapmadan tamamıyla yabancı birine gizli MTM telefonnumarasını vermesini sağladı.
Sonra Eyalet Telekomünikasyon Müdürlüğü'ndeki kişi de aynı şeyiyaptı. Eric'in santral üreticisi firmada çalıştığı iddiasını olduğu gibi kabuletti ve MTM'ye hizmet veren telefon santralının dışarıdan bağlanmanumarasını bir yabancıya verdi.
Eric'in santrala erişebilmesinin nedeni, büyük ölçüde, santral üreti-cisinin tüm santrallarında aynı kullanıcı adını kullanmasından kay-naklanan zayıf güvenlik uygulamasıydı. Bu dikkatsizlik, toplum mühen-disinin parolayı tahmin etmesini kolaylaştırdı, çünkü santral teknisyen-lerinin herkes gibi hatırlaması kolay olacak parolalar seçeceğini biliyordu.
132 Aldatma Sanatı
Santrala eriştikten sonra MTM'nin emniyet teşkilatı telefon hatların-dan birini kendi cep telefonuna yönlendirdi.
Hepsinin üstüne en cüretkâr kısım olarak, birbiri ardına polismemurlarını kandırıp yalnızca talep kodlarını almakla kalmadı, aynızamanda onların kendi kişisel bilgilerini vermelerini de sağladı. BöyleceEric onların kimliğine bürünebilecekti.
Bu dolabı çevirmek için her ne kadar teknik bilgi gerekse de, birsahtekârla konuştuklarını bilmeyen bir grup insanın yardımı olmasaydıbu dolap işe yaramazdı.
Bu öykü, insanların, "Neden ben?" diye sormadıkları bir durumun birbaşka örneği. Haberleşme bürosu memuru neden tanımadığı bir polismemuruna -ya da bu durumda olduğu gibi kendini polis memuru olaraktanıtan birine- bu bilgiyi versin ki? Bilgiyi kendi mesai arkadaşlarındanya da amirinden almasını da söyleyebilirdi. Verebileceğim tek yanıt,insanların bu soruyu kendilerine sık sık sormamaları şeklinde olur.Sormak akıllarına gelmiyor mu? Meydan okuyan ya da yardım etmeyeisteksiz biri gibi gözükmek mi istemiyorlar? Belki de. Diğer açıklamalartahminden öteye gitmez. Ama toplum mühendisleri nedenlerle ilgilen-mezler; yalnızca bu küçük gerçeğin, aksi durumda alınması zor olacakbilgileri almalarını kolaylaştırmasıyla ilgilenirler.
Aldatmacanın EngellenmesiDoğru kullanıldığı takdirde bir şifre çok önemli bir güvenlik önlemidir.
Yanlış kullanılan bir güvenlik şifresi, hiç olmaması kadar kötü olabilir;çünkü aslında var olmayan sahte bir güven hissi uyandırır. Eğer çalışan-larınız onları gizli tutamıyorlarsa şifrelerin ne anlamı var?
Sözel güvenlik şifreleri kullanması gereken herhangi bir şirketin,çalışanlarına bu şifreleri ne zaman ve nasıl kullanacaklarını açıkçaanlatması gerekmektedir. İyi bir eğitimle, bu bölümün ilk öyküsündegeçen karakter, yabancı birine güvenlik şifresi vermesi istendiğinde,kolaylıkla aşılabilen içgüdülerini dinlemek zorunda kalmazdı. Bukoşullar altında bu bilginin ona sorulmaması gerektiğini hissetti amaaçık bir güvenlik politikasının olmaması -ve güçlü bir sağduyu- yelken-leri suya indirmesine neden oldu.
Mitnick Mesajı:Şirketinizde bir telefon santralı olsaydı, sorumlu kişi satıcıdan gelen ve bağlan-tı numarasını isteyen bir telefon karşısında ne yapardı? Ve bu arada, bu kişisantralın standart parolasını hiç değiştirmiş miydi? O parola herhangi birsözlükte bulunabilecek, kolay tahmin edilebilir bir parola mıydı?
Ters Dalavere 133
Güvenlik süreçlerinde, bir çalışanın doğru olmayan bir güvenlik şifre-si talebinde bulunduğu durumları da içeren adımlar olmalıdır. Tümçalışanlar, günlük şifre ya da parola gibi tanımlama bilgileriyle ilgili gelenşüpheli talepleri hemen bildirecek şekilde eğitilmelidirler. Ayrıca istektebulunan kişinin kimliğinin onaylanmadığı durumları da haber vermelidirler.
En azından, çalışan, arayanın adını, telefon numarasını, ofis ya dabirimini not etmeli, sonra telefonu kapatmalıdır. Geri aramadan önce şir-kette o isimde çalışan birinin olup olmadığını ve arayacağı telefonunçevrimiçi ya da basılı rehberdeki numarayla uyuşup uyuşmadığını kont-rol etmelidir. Çoğu zaman bu basit yöntem bile arayanın söylediği kişiolup olmadığını anlamak için yeterlidir.
Şirketin çevrimiçi bir rehber yerine basılı bir telefon rehberi varsakimlik tespiti işlemi biraz güçleşir. İşe yeni başlayanlar olur; iştenayrılanlar; insanların birimleri, konumları ve telefon numaraları değişe-bilir. Basılı rehberler basıldıkları gün, hattâ daha dağıtılmadan öncegüncelliklerini yitirirler. Çevrimiçi rehberler bile her zaman güvenilirdeğillerdir, çünkü toplum mühendisleri onlarla nasıl oynayacaklarınıbilirler. Eğer bir çalışan, bağımsız bir kaynaktan telefon numarasınıdoğrulayamıyorsa, ona, ilgili kişinin yöneticisini aramak gibi farklı bir yolkullanması konusunda talimatlar da verilmelidir.
r
i-
Davetsiz
Dihhati
iln İÇERİYE GİRMEK
Dışarıdan birinin bir şirket çalışanının kimliğine bürünmesi ve güven-lik konusunda en duyarlı olanları bile inandıracak kadar başarılı bir tak-lit yapması neden bu kadar kolaydır? Peki, güvenlik süreçlerini çok iyibilen, tanımadıkları insanlara şüpheyle bakan ve şirketlerinin çıkarlarınıkorumak konusunda titiz davranan kişileri kandırmak neden bu kadarkolaydır?
Bu bölümde anlatılan öyküleri okurken bu sorulan aklınızda tutun.
Mahcup Olmuş Güvenlik GörevlisiGün/Saat: 17 Ekim, Salı, sabah 02:16.Yer: Skywatcher Havacılık Şirketi'nin Tucson-Arizona dışındaki fabrikası.
Güvenlik Görevlisinin ÖyküsüDeri ayakkabılarının topuklarının, içinde neredeyse hiç kimseninbulunmadığı fabrikanın zemininde tıklayışmı duymak Leroy Greene'egece saatlerini güvenlik odasında video monitörlerini seyrederekgeçirmekten daha iyi gelmişti. Orada ekranlara bakmaktan başka birşey yapmasına, hattâ bir dergi ya da ciltli İncil'ini okumasına dahi izinverilmiyordu. Oturup hiçbir şeyin hareket etmediği sabit görüntülerebakması gerekiyordu.
Ama koridorlarda gezinirken en azından bacaklarım açıyor ve işin içinekollarım ve omuzlarını da kattığı zaman biraz egzersiz yapmış oluyor-du. Lise Amerikan futbolu takımında şehir şampiyonasında sağ kanatoynamış biri için bu pek de bir egzersiz sayılmazdı. Yine de iş iştir, diyedüşündü.
Güneybatı köşesini döndü ve bir kilometre uzunluğundaki üretimalanına bakan köprüden yürümeye başladı. Aşağıya baktı ve iki kişinin,yapımı tamamlanmamış helikopterlerin üretim hattının yanındangeçtiklerini gördü. Gecenin bu saati için tuhaf bir görüntüydü. "Kontroletsem iyi olacak" diye düşündü.
Leroy, onu üretim alanında ikilinin arkasına çıkaracak merdivenleredoğru yöneldi ve o tam yanlarına gelene kadar adamlar onun geldiğinihissetmediler. "Günaydın. Güvenlik kartlarınızı görebilir miyim lütfen"dedi. Leroy böyle anlarda hep sesini yumuşak tutmaya çalışırdı; sadececüssesinin bile ürkütücü gözükebileceğim biliyordu.
138 Aldatma Sanatı
"Merhaba Leroy", dedi bir tanesi, yaka kartından adını okuyarak. "BenTom Stilton, Phoenbc'deki Genel Müdürlük pazarlama bölümünden.Toplantı için şehre geldim ve arkadaşıma dünyanın en iyi helikopter-lerinin yapıldığı yeri göstermek istedim."
"Evet. Kartınız lütfen" dedi Leroy. Ne kadar genç oldukları gözündenkaçmamıştı. Pazarlamada olduğunu söyleyen, liseyi yeni bitirmiş gibiduruyordu, diğerinin saçları omuzlarına kadar iniyor ve on beşyaşlarında görünüyordu.
Kısa saçlı olan, kartım çıkarmak için elini cebine attı sonra tüm cepleri-ni yoklamaya başladı. Leroy birdenbire bu işle ilgili kötü bir hissekapıldı. "Kahretsin" dedi adam. "Arabada bırakmış olmalıyım. Gidipalabilirim; park yerine gidip gelmem on dakika sürmez."
Leroy bu arada not defterim çıkarmıştı. "Adınız ne demiştiniz?" diyesordu ve aldığı cevabı dikkatle not etti. Sonra da Güvenlik Ofısi'nekadar onunla gelmelerini rica etti. Tom, asansörde altı aydır şirketteçalıştığını ve bu yüzden başının belaya girmesini istemediğini söyledi.
Güvenlik odasında Leroy ikiliyi sorgularken gece devriyesinden ikikişi daha onlara katıldı. Stilton kendi telefon numarasını verdi vemüdürünün Judy Undenvood olduğunu söyleyerek onun telefonnumarasını da verdi. Bilgiler bilgisayardaki verilerle uyuyordu. Leroydiğer iki güvenlik görevlisini bir kenara çekti ve aralarında ne yap-maları gerektiğini konuştular. Kimse bu işte yanlış birşey yapmakistemiyordu. Üçü de, kadını gecenin bir yansında yatağından kaldır-mak anlamına gelse de müdürü aramanın en iyisi olduğunu düşünüyor-lardı.
Leroy Bayan Undervvood'u kendisi aradı, kim olduğunu anlattı ve ken-disiyle birlikte çalışan Tom Stilton adlı birinin olup olmadığını sordu.Kadının sesi yarı uykulu geliyordu. "Evet" dedi.
"Sabah 2:30'da onu üzerinde kimlik kartı olmadan üretim hatlarınınbulunduğu alanda bulduk."
"Onunla konuşayım" dedi Bayan Undenvood.
Stilton telefona çıktı ve "Judy, gecenin ortasında bu adamlar seniuyandırdığı için çok üzgünüm. Umarım bu benim aleyhime bir durumolmaz." dedi.
Adam dinledi ve sonra devam etti. "Yeni basın açıklamasıyla ilgilitoplantı için zaten sabah erkenden burada olmam gerekiyordu. Herneyse, Thompson anlaşmasıyla ilgili e-postayı aldın mı? Bu işi kaybet-memek için Pazartesi sabahı Jim'le görüşmemiz gerekiyor. Ve sai:günkü öğle yemeği planımız hâlâ geçerli, değil mi?"
Biraz daha dinledi, hoşçakal dedi ve telefonu kapattı.
Bu Leroy'u şaşırttı; kadmm her şeyin yolunda olduğunu kendisine desöylemesi için telefonu geri alacağını düşünüyordu. Müdürü tekrararayıp ona bunu sorup sormaması gerektiğini düşündü ama sonıv.
içeriye Girmek 139
vazgeçti. Gecenin ortasında onu zaten bir kere rahatsız etmişti, ikincibir kere arayacak olursa sinirlenebilir ve kendisini müdürüne şikayetedebilirdi. "Ortalığı karıştırmaya ne gerek var?" diye düşündü.
Stilton, "Üretim hattının kalanını arkadaşıma göstermemde bir salan-ca var mı?" diye sordu Leroy'a. "Bizimle gelip yanımızda durmak istermisiniz? "
"Gidebilirsiniz" dedi Leroy. "Gezin ama bir dahaki sefere kartınızıunutmayın. Ve mesai saatleri dışında fabrikada kalacaksanız güvenliğihaberdar edin. Kural böyle."
"Bunu unutmam Leroy", dedi Stilton ve gittiler.
Daha on dakika geçmemişti ki Güvenlik Ofısi'ndeki telefon çaldı.Arayan Bayan Undenvood'du. "O adam kimdi?", diye sordu. Süreklisoru sormaya çalıştığını ama adamın konuşmasını kesmeyip öğlenyemeğe çıkmaktan falan söz ettiğini anlattı ve kadm onun kimolduğunu bilmiyordu.
Güvenlik görevlileri danışmayı ve park yeri girişinde görevli bekçiyiaradılar. Her ikisi de birkaç dakika önce iki genç adamın çıktığınısöylediler.
Sonradan öyküyü anlatırken Leroy her zaman şöyle bitiriyordu; "Tanrıbiliyor patron beni baştan aşağı fırçaladı. Hâlâ bir işim olduğu içinçok şanslıyım."
Joe Harper'ın ÖyküsüOn yedi yaşındaki Joe Harper yalnızca neler bulabileceğini merak
ettiği için bir yıldan uzun süredir, bazen gece bazen gündüz binalaragiriyordu. Her ikisi de gece çalışan, müzisyen bir babanın ve kokteylgarsonu bir annenin oğlu olarak Joe'nun kendi başına geçirecek çokzamanı vardı. Aynı olaya ait kendi öyküsü her şeyin nasıl geliştiğineeğitici bir ışık tutmaktadır:
Helikopter pilotu olmak isteyen Kenny adında bir arkadaşım var.Helikopterleri yaptıkları üretim alanım görmek için onu Skywatcherfabrikasına sokup sokamayacağımı sordu. Daha önce başka yerleregirdiğimi biliyordu. Girmemem gereken yerlere girmeye çalışmakbenim için tam bir heyecan fırtmasıdır.
Ancak bir fabrikaya ya da ofis binasına elini kolunu sallayarak gire-mezsin. Üzerinde düşünmeli, planlar ve hedefle ilgili tam bir keşif yap-malısın. Adlar, unvanlar, raporlama yapısı ve telefon numaraları içinşirketin internet sayfasına bakar, gazete kupürlerini ve dergi yazılarınıokursun. Benim güvenlik anlayışımı titiz bir araştırma oluşturur; buyüzden bana meydan okuyan herkesle, bir çalışan kadar bilgili bir şe-kilde konuşabilirim.Bu durumda nereden başlayacaktım? Önce internetten şirketin nerel-
140 Aldatma Sanatı
erde bürolarının olduğuna baktım ve şirket Genel Müdürlüğü'nünPhoenix'de olduğunu öğrendim. Mükemmel. Arayıp pazarlamabölümünü istedim; her şirketin bir pazarlama bölümü vardır. Telefonubir hanım açtı ve ona Blue Pencil Graphics'den aradığımı söyleyerek,hizmetlerimizden yararlanmak isteyip istemeyeceklerini öğrenmek içinkiminle konuşmam gerektiğini sordum. İlgilinin Tom Stilton olduğunusöyledi. Telefon numarasını istedim ama kadın bana bu bilgiyi dışarıvermediklerini ancak beni ona bağlayabileceğini söyledi. Stilton'mtelefonunu telesekreter açtı ve sesli mesaj şöyle dedi, "Ben GrafikBölümü'nden Tom Stilton, dahilî 3147, lütfen mesaj bırakınız." Dışarıdahili numara vermiyorlardı ama bu adam bıraktığı sesli mesajda ken-disinkini veriyordu. Bu iyiydi. Artık elimde bir ad ve bir dahilî numaravardı.
Aynı ofisi bir kez daha aradım. "Merhaba, Tom Stilton'u arıyordumama yerinde yok. Müdürüne birkaç küçük soru sormak istiyordum. 'y
Müdürü de dışardaydı, ama işim bittiğinde müd'irünün de adını öğren-miştim. Ve o da nazik bir şekilde sesli mesajında dahilî numarasınıbırakmıştı.
Herhalde danışma görevlisinden zorlanmadan geçebilirdim ama fab-rikanın oradan arabayla geçmiştim ve park yerinin çevresinde tel çitolduğunu hatırlıyordum. Çit demek, içeri girmeye çalıştığınızda sizikontrol etmek isteyen bir bekçi demektir. Geceleri plakaları not ediyorolabilirlerdi; bu yüzden bit pazarından eski bir plaka almak zorundakaldım.
Ama önce bekçi kulübesinin telefon numarasını bulmam gerekiyordu.Yeniden aradığımda aynı santral memuru çıkarsa beni tanımaması içinbiraz bekledim. Sonra aradım ve dedim ki, "Ridge Caddesi bekçikulübesindeki telefonun sürekli gidip geldiği yolunda bir şikâyetalmıştık; sorun devam ediyor mu?" Santral memuru kadın bilmediğinisöyledi ama beni oraya bağlayacaktı.
Telefonu bir adam açtı. "Ridge Caddesi kapısı, ben Ryan." "MerhabaRyan, adım John." dedim. "Orada telefonlarla ilgili bir sorun yaşıyormusunuz? " Adam yalnızca düşük ücretli bir güvenlik görevlisiydi amasanırım biraz eğitim almıştı; çünkü hemen, "Adınız John muydu?Soyadınız neydi?" diye sordu. Sanki onu duymamış gibi konuşmayısürdürdüm. "Daha önce biri arayıp bir sorun olduğunu söylemişti".
Telefonu ağzından uzakta tutup bağırdığım duyabiliyordum. "Hey,Bruce, Roger. Bu telefonda bir sorun olmuş muydu?" Tekrar ahizeyikulağına götürdü ve "Hayır, bildiğimiz kadarıyla hiç sorun çıkmamış."dedi.
"Orada kaç hat var? "
Adımla ilgilenmeyi tamamen bırakmıştı. "İki" dedi.
"Şu anda hangisini kullanıyorsun?"
İçeriye Girmek 141
"3140."
Yakaladım! "Her ikisi de çalışıyor mu?"
"Öyle görünüyor."
"Tamam" dedim. "Tom, eğer herhangi bir sorunla karşılaşırsanız,teknik servisi aramanız yeterli. Seve seve yardımcı oluruz."
Arkadaşım ve ben hemen ertesi gece fabrikayı ziyaret etmeye kararverdik. Akşamüstüne doğru pazarlamadaki adamın adını kullanaraknöbetçi kulübesini aradım. "Merhaba, ben Grafik bölümünden TomStilton. Zorlu bir teslim tarihi yaklaşıyor ve bize yardım etmek içinşehre gelecek birkaç arkadaş var. Büyük olasılıkla sabah birden ikidenönce orada olmazlar. O saatte vardiyanız devam ediyor mu?"
Hayır dediği için mutluydu; gece yarısı çıkıyordu.
"Bir sonraki adam için bir not bırak" dedim. "İki kişi gelip de TomStilton'u görmek istediklerini söylerlerse, onları içeri alsın, olur mu?"
Evet, dedi adam sorun olmazdı. Adımı, bölümümü ve dahili numaramıaldı ve ilgileneceğini söyledi.
İkiyi biraz geçe arabayla kapıya gittik, Tom Stilton'ın adını verdim veuykulu bir bekçi içeri girmemiz gereken kapıyı işaret etti ve nereyepark etmemiz gerektiğini gösterdi.
Binaya girdiğimizde, danışmada, her zamanki mesai saatleri dışıimzalarının atıldığı bir güvenlik noktası daha vardı. Görevliye sabahabitirmem gereken bir rapor olduğunu ve bu arkadaşımın fabrikayıgörmek istediğini söyledim. "Helikopterlere bayılır" dedim "Sanırımhelikopter kullanmayı öğrenmek istiyor." Benden kartımı istedi. Elimicebime attım sonra üstümü yokladım ve arabada bırakmış olabileceği-mi söyledim. "Gidip alayım" dedim. "On dakika sürer." Adam ise, "Boşver, sorun yok, imzalaman yeterli." dedi.
Üretim hattı boyunca yürümek çok iyiydi. Ta ki o çam yarması Leroybizi durdurana kadar.
Güvenlik ofisinde, şirket çalışanı olmayan birinin çok sinirli ve kork-muş davranacağını anladım. İşler iyice karıştığında gerçekten kızmışgibi davrandım. Sanki gerçekten söylediğim kişiymişim de bana inan-mamalarına bozulmuşum gibi.
Müdürüm olduğunu söylediğim kadını arayıp aramayacaklarına kararvermeye ve ev numarasını bilgisayardan bulmaya çalışırlarken bir aniçin, "Tabana kuvvet kaçmanın tam zamanı" diye düşündüm. Ama işiniçinde park yeri kapısı vardı, binadan çıkmayı basarsak bile. kapıyıkapatırlardı ve biz hepten içerde kalırdık.
Leroy, Stilton'un müdürü olan kadını arayıp sonrasında telefonu banaverdiğinde kadın bana bağırmaya başladı. "Kimsiniz, kiminle konuşu-yorum ? " dedi ama ben de sanki tatlı bir sohbet ediyormıışcasına konuş-maya devam ettim, sonra da telefonu kapattım.
142 Aldatma Sanatı
Gecenin ortasında şirket numarasını verebilecek birini bulmak ne kadarzaman alır? Kadın güvenlik ofisini arayıp adamları uyarmadan önceburadan çıkmak için on beş dakikadan az zamanımız olduğuna kararverdim.
Çok acelemiz varmış gibi görünmeden oradan çıkabildiğimiz kadarhızlı çıktık. Kapıdaki bekçi bize el sallamakla yetindiğinde kesinlikleçok ferahlamıştık.
Aldatmacanın İncelenmesiBu hikâyenin dayandığı gerçek olayda saldırganların gerçekten
ergenlik çağında gençler olduklarını vurgulamakta yarar var. içeri girmegirişimi bu işten sıyrılıp sıyrılmayacaklarını görmek için yaptıkları bireğlenceydi. Ama bir çift genç için bu kadar kolay olduysa yetişkin hırsız-lar, sanayi casusları ya da teröristler için çok daha kolay olurdu.
Üç deneyimli güvenlik görevlisi bir çift davetsiz misafirin ellerini kol-larını sallayarak gitmelerine nasıl izin verdiler? Üstelik bunlar herhangiiki kişi değil, makul birini kuşkuya düşürecek kadar genç bir ikiliyken.
Leroy önceleri doğru bir hareket yapıp şüphelenmişti. OnlarıGüvenlik Ofisi'ne götürmekte ve adının Töm Stilton olduğunu söyleyenadamı sorgulayarak, verdiği adları ve telefon numaralarını kontroletmekte haklıydı. Yöneticisine telefon etmek konusundaki kararı da sonderece yerindeydi.
Ama sonunda genç adamın kendine güvenine ve öfkesine aldandı.Bir hırsız ya da içeri zorla girmeye çalışan birinden beklenecek türdenbir davranış değildi; yalnızca bir çalışan böyle davranabilirdi... Ya daLeroy öyle olacağını varsaymıştı. Leroy hislerine değil, sağlam kimliktespitine inanacak şekilde eğitilmeliydi.
Genç adam telefonu, kendisine vermeden kapattığında neden dahafazla kuşkulanmamıştı? Böylece Leroy, kimliğin doğrulunu doğrudanJudy Underwood'dan öğrenebilir ve çocuğun gece geç saatte fabrikadabulunmasının bir nedeni olduğuna dair ondan güvence alabilirdi.
Mitnick Mesajı:Etkileyici insanların çoğu zaman çekici kişilikleri vardır. Genellikle hızlıharekete geçerler ve oldukça konuşkandırlar. Toplum mühendisleri de işbirliğiyaptıracak şekilde insanların düşünce süreçlerini bozmakta ustadırlar.Herhangi birinin bu tarz bir etkilemeye açık olmadığını düşünmek toplummühendisinin becerilerini ve avlanma güdüsünü hafife almak olur.
Öte yandan iyi bir toplum mühendisi hiç bir zaman hasmını hafife almaz.
içeriye Girmek 143
Leroy öyle cüretkâr bir dalavereye gelmişti ki durumu şak diyegörmesi gerekirdi. Ama bir de onun bakış açısından bakalım: Bir lisemezunu, iş endişesi, gecenin ortasında bir şirket yöneticisini ikinci kezrahatsız etmenin kendi başını derde sokup sokmayacağı düşüncesiningetirdiği kararsızlık. Eğer siz onun yerinde olsaydınız, ikinci aramayıyapar mıydınız?"
Ancak doğal olarak ikinci arama tek olası hareket değildi. Güvenlikgörevlisi başka ne yapabilirdi?
Müdüre telefon etmeden önce ikiliden resimli kimlik belgeleri göster-melerini isteyebilirdi. Fabrikaya arabayla gelmişlerdi, yani en azındanbirinin sürücü ehliyeti vardı. İşin başında sahte isim verdikleri hemenortaya çıkardı (profesyonel biri elinde sahte bir kimlikle gelebilirdi amabu gençler öyle bir önlem almamışlardı). Her koşulda Leroy kimlik bel-gelerini inceleyip bilgiyi not etmeliydi. İkisi de üzerlerinde kimlikolmadığını söyleyecek olsalardı, bu durumda onları arabaya kadargötürüp "Tom Stilton"un orada bıraktığını söylediği şirket kimlik kartınıalacaklardı.
Telefon görüşmesinin ardından, güvenlik ekibinden biri, binadanayrılana kadar ikisiyle birlikte kalmalıydı. Sonra arabalarına kadar onlar-la birlikte gitmeli ve plakalarını not etmeliydi. Eğer yeterince dikkatlibiriyse (saldırganın bit pazarından aldığı) plakanın geçerli bir kayıt pulu-na sahip olmadığını görürdü. Bu da durumu daha derinlemesine incele-mek üzere ikisini alıkoymak için yeterli bir nedendi.
Çöp DalışıÇöp dalışı terimi, işe yarar bilgiler bulmak için hedefin çöpünü
karıştırma işi için kullanılır. Bu yöntemi kullanarak bir hedefle ilgili eldeedebileceğiniz bilgi miktarı şaşırtıcıdır.
Çoğu insan neleri attığına pek dikkat etmez: telefon faturaları, kredikartı ekstreleri, reçeteli ilaç kutuları, banka faturaları, işle ilgili belgelerve daha neler neler.
İş yerlerinde çalışanlar, birilerinin, işlerine yarayacak bilgileri bulmakiçin çöpleri karıştırdıkları konusunda uyarılmalıdırlar.
Lise yıllarımda yerel telefon şirketi binalarının arkasındaki çöplerikarıştırmaya giderdim. Genellikle yalnız olurdum ama arada bir telefonşirketlerine benzer bir ilgi duyan başka arkadaşlarla da gittiğim olurdu.Çöp dalışında bir kere ustalaştınız mı, birkaç numara kapıyordunuz;örneğin tuvaletlerden gelen çöp torbalarından uzak durmak için özengöstermeyi ve eldiven giymenin önemini kavramak gibi.
Çöp dalışı eğlenceli değildir, ama getirişi inanılmazdır-şirketin dahlî
144 Aldatma Sanatı
TerimlerÇÖP DALIŞI: Ya kendi
başına değerli olan ya dadahilî telefon numaraları ve
unvanlar gibi toplummühendisliği sırasında kul-lanılabilecek araçlar olan
atılmış bilgileri bir şirketinçöpünden (genellikle dışarı-
da ve korumasız olan birçöplükten) toplama işi.
telefon rehberleri, bilgisayar kullanımkılavuzları, çalışan listeleri, santral cihaz-larının nasıl programlandığını gösterenatılmış çıktılar ve daha fazlası- hepsiorada durmuş alınmayı beklerler.
Yeni rehberlerin çıktığı akşamlardaçöp ziyaretleri yapardım, çünkü çöpbidonlarında düşünmeden atılmış yığın-la eski rehber olurdu. Başka tuhafzamanlarda da bazı ilginç bilgi cevher-leri içerebilecek not kâğıtları, mektuplar,raporlar gibi şeyler bulmak için giderdim.
Gittiğimde önce mukavva kutularbulur, bunları çekip çıkarır, bir kenara koyardım. Biri bana ne yaptığımısoracak olursa, ki bu arada sırada olurdu, bir arkadaşımın taşındığını veona yardımcı olmak için kutu topladığımı söylerdim. Bekçiler, götürmekiçin kutulara koyduğum belgeleri hiçbir zaman fark etmezdi. Bazı durum-larda bana çekip gitmemi söylerlerdi, ben de başka bir telefon şirketininmerkez binasına giderdim.
Bugün nasıl bilmiyorum ama o zamanlar hangi torbalarda ilginç birşeylerin olabileceğini anlamak kolaydı. Yerden süpürülen tozlar ve kan-tin çöpleri doğrudan büyük torbalara koyulurken, ofis çöp kutularındatemizlikçilerin bir bir çıkarıp ağızlarını bağladıkları beyaz, tek kullanım-lık çöp torbaları kullanılırdı.
Bir keresinde, arkadaşlarla birlikte karıştırırken elle yırtılmış kağıtlarbulduk. Sadece yırtılmakla kalmamış, birileri üşenmeyip kağıtları küçükparçalara da ayırmıştı. Hepsi birden, kullanışlı bir şekilde tek bir yirmilitrelik çöp torbasına doldurulmuştu. Torbayı civardaki çörek dükkân-larından birine götürdük, parçalan bir masaya yaydık ve hepsini tek tekbirleştirmeye başladık.
Hepimiz yapboz yapan kişilerdik, o yüzden bu bize dev bir yapbozunheyecan verici meydan okumasını yaşatıyordu... Ama sonucuna bakılır-sa, çocuksu bir heyecandan daha fazlasını içeriyordu. Tamamlandığın-da, şirketin kritik bilgisayar sistemlerinden birine ait tüm kullanıcı adlarıve parolalarının bulunduğu bir liste ortaya çıkmıştı.
Çöp dalışı maceralarımız gösterdiğimiz çabaya ve aldığımız riskedeğer miydi? Kesinlikle değerdi. Düşündüğünüzden daha da fazlasınadeğerdi, çünkü bu işin tehlikesi sıfırdı. O zamanlar böyleydi, bugün deböyle. Arazilerine izinsiz girmediğiniz sürece başkalarının çöpünükarıştırmak yüzde yüz yasaldır.
Doğal olarak kafalarını çöpe sokanlar bir tek telefon beleşçileri vebilgisayar korsanları değildir. Ülkedeki tüm polis kuvvetleri, düzenli
içeriye Girmek 145
aralıklarla çöplerden bilgi toplarlar ve mafya babalarından tutun da basithırsızlara kadar bir yığın insan çöplerden toplanan kanıtlaradayandırılarak hüküm giymiştir. Bizimki de dahil, istihbarat örgütleri buyola yıllardır başvurmaktadırlar.
James Bond için aşağılık bir yöntem olabilir. Sinemaseverler onudizlerinin üstünde çöp karıştırırken değil de kurnazca düşmanını alt edipbir fıstığı yatağa atarken görmeyi tercih edeceklerdir. Değerli bir şeymuz kabuklarının ve kahve artıklarının arasından çıkarabildiğindegerçek casuslar o kadar müşkülpesent değildirler. Özellikle çöpten bilgitoplamak tehlikeye atılmalarını önleyecekse.
Şirketler de çöp dalışı oyununu oynarlar. Gazetelerin Haziran 2000'debayram ettikleri bir gün vardı, Oracle şirketinin (Oracle Genel Müdürü LarryEllison herhalde ülkenin en lafını esirgemeyen Microsoft karşıtıydı) biraraştırma şirketi tuttuğunu ve araştırma şirketinin suçüstü yakalandığınıyazıyorlardı. Görünüşe göre, araştırmacılar, Microsoft'un desteklediği ACTadlı bir halkla ilişkiler şirketinin çöpünü istiyorlardı ama yakalanmatehlikesini göze alamadılar. Basında çıkanlara göre araştırma şirketi birkadın göndermiş ve kadın ACT çöpü karşılığında kapıcılara 60 dolar teklifetmişti. Kapıcılar teklifi geri çevirmişlerdi. Ertesi gece kadın yine gelmiş veteklifini 500 dolara çıkarmış, başlarındaki adama da 200 dolar teklif etmişti.
Kapıcılar kadına "hayır" demişler, sonra da polise haber vermişlerdi.
Önde gelen internet gazetecilerinden Declan McCullah, edebiyattanesinlenerek, konuyla ilgili VVired News yazısının başlığını şöyle atmıştı,"MS'yi Gözetleyen Oracle Olmasın?" Time dergisi doğrudan OracleGenel Müdürü Ellison'u mimleyip, yazısını başlığını basitçe, "DikizciLarry," şeklinde belirlemişti.
Aldatmacanın İncelenmesi 'Benim yaşadıklarıma ve Oracle'ın yaptığına bakarak neden biri-
lerinin başkalarının çöpünü çalmak isteyeceğini merak edebilirsiniz.
Yanıt, sanırım, tehlike boyutunun sıfır ama kazancın hatırı sayılırolması olurdu. Tamam, belki kapıcılara rüşvet vermek sonuçlarınistendiği gibi olma olasılığını artırır ama biraz kirlenmeyi göze alan biriiçin rüşvet gerekli değildir.
Bir toplum mühendisi için çöp dalışlarının kendi faydaları da vardır.Hedef şirkete yapacağı saldırıyı yönlendirebilecek kadar isim, bölümler,unvanlar, telefon numaralan ve proje görevlendirmeleri gibi bilgileribulabileceği, aralarında not defterleri, ajandalar, mektuplar ve benzerişeyler olan eşyalar toplayabilir. Çöplerden, şirket kuruluş şemaları, şir-
146 Aldatma Sanatı
Mitnick Mesajı:Sizin çöpünüz düşmanınızın hazinesi olabilir. Özel yaşamımızda attığımız eşya-ların çok üzerinde durmayız; o zaman neden iş yerindeki insanların farklı biryaklaşımı olması gerektiğine inanıyoruz? Her şey işgücünü tehlikeler (değerlibilgiler arayan ahlaksızlar) ve verilen açıklara (öğütücüden geçirilmemiş ya dadoğru dürüst silinmemiş hassas bilgiler) konusunda eğitmekte bitiyor.
ket yapısıyla ilgili notlar, yolculuk tarihleri ve bunun gibi bilgiler çıkabilir.Tüm bu ayrıntılar içeriden birine önemsiz gibi görünebilir, ancak birsaldırgan için fazlasıyla değerli bilgiler olabilir.
Mark Joseph Edvvards, Internet Security with Windows NT adlıkitabında kimilerine sadece çöp gibi görünen materyallerden "yazımhataları yüzünden atılmış raporlar, kâğıt parçalarına yazılmış parolalar,üzerlerinde telefon numarası olan 'seni surdan aradılar' gibi notlar,içinde hâlâ evrak olan klasörler, silinmemiş ya da imha edilmemişdisketler ve bantlar; hepsi de olası bir saldırgana yardımcı olacakşeylerdir." diye bahseder.
Yazar devam eder ve şu soruyu sorar: "... temizlikçi olarak çalışankişiler kimlerdir? Temizlikçilerin bilgisayar odasına girmemesine kararvermişsinizdir; ama unutmayın ki çöp kutuları girebilir. Eğer federalkurumlar çöp kutularına ve kâğıt öğütücülerine erişimi olan insanlarasicil soruşturması yapmayı gerekli görüyorlarsa, belki siz de bunu yap-malısınız."
Küçük Düşen AAüdürHarlan Fortis her zamanki gibi Bölge Otoyol Dairesi'ndeki işine
geldiği zaman kimse bir tuhaflık olduğunu düşünmemişti. Evden aceleyleçıktığını ve kartını unuttuğunu söyledi. Güvenlik görevlisi, buradaçalıştığı iki yıllık süre boyunca Harlan'ın hafta içi her gün ofise girip çık-tığını görmüştü. Geçici bir çalışan kartı vererek bir imza attırdı ve adamişinin başına gitti.
iki gün sonra işler karışmaya başladı. Hikâye tüm bölüme samanalevi gibi yayıldı. Duyan insanların yarısı olayın doğru olamayacağınıdüşünüyordu. Kalanlar ise kahkahalarla gülsünler mi yoksa zavallıadama acısınlar mı bilemiyorlardı.
Ne de olsa George Adamson nazik ve sevecen biri ve başlarınagelen en iyi bölüm yöneticisiydi. Yaşadıklarını hak etmemişti. Yanihikâyenin gerçek olduğu düşünülürse.
Sorun, George'un bir cuma günü geç saatte Harlan'ı odasına
içeriye Girmek 147
çağırıp, elinden geldiği kadar nazik bir şekilde pazartesi günü yeni bi-rimine gitmesinin gerektiğini söylemesiyle başladı; Sağlık HizmetleriDairesi'ne. Harlan için bu işten atılmak gibi değildi. Daha da kötüydü;küçük düşürücüydü. Sesini kısıp bunu sineye çekmeyecekti.
Aynı akşam, sundurmasında oturmuş, evlerine dönen insanlarıseyrediyordu. Sonunda aynı mahallede oturan David adındaki çocuğugördü. Okuldan mobiletiyle eve dönen o çocuğa herkes "SavaşOyunlan'ndaki Çocuk" diyordu. David'i durdurdu; bu amaç için aldığıMountain Dew Code Red içeceğini verdi ve ona bir iş teklif etti:Bilgisayarlarla ilgili yardım ve ağzını sıkı tutması karşılığında en yenivideo oyun konsolu ve altı yeni oyun.
Harlan -şüphe uyandırabilecek ayrıntılara girmeden- projesini anlattık-tan sonra David yardım etmeyi kabul etti. Harlan'a ne yapması gerektiğiniaçıkladı. Bir modem satın alacak, ofise gidecek, fazladan bir telefon girişiolan birinin bilgisayarına modemi bağlayacaktı. Cihazı kimsenin göre-meyeceği bir şekilde masanın altına saklayacaktı. Sonra tehlikeli kısımgeliyordu. Harlan'ın, bilgisayarın başına oturup, bir uzaktan erişim yazılımpaketini indirip çalıştırması gerekiyordu. Her an masanın sahibi gerigelebilir ya da başka biri geçerken Harlan'ı adamın ofisinde görebilirdi. Okadar huzursuzdu ki çocuğun onun için yazdığı listeden yapması gereken-leri güçlükle okuyabiliyordu. Ama işi bitirdi ve farkedilmeden binadan çıktı.
Bombayı Yerleştirmek . .David o gece yemekten sonra ona uğradı, ikisi birlikte Harlan'ın bil-
gisayarının başına oturdular ve oğlan birkaç dakika içinde modemebağlanıp erişim sağlayarak George Adamson'ın makinasına ulaştı. Çokzor olmamıştı, çünkü George parolasını değiştirmek gibi emniyetönlemlerini hiçbir zaman almazdı ve sürekli birilerinden bir dosyayıindirmesini ya da elektronik postayla göndermesini isterdi. Zamaniçinde ofisteki herkes adamın parolasını öğrenmişti.
David biraz gezindikten sonra bilgisayarda BütçeSlaytları2002.pptdosyasını buldu ve onu Harlan'ın bilgisayarına indirdi. Harlan sonraçocuğa eve gitmesini ve birkaç saat sonra geri gelmesini söyledi.
David geri geldiğinde, Harlan ondan Otoyol Dairesi'nin bilgisayarsistemine bağlanmasını ve aynı dosyayı, eskisini silerek, bulduklarıyere koymasını istedi. Harlan David'e video oyun konsolunu gösterdi veher şey yolunda giderse aletin yarın onun olacağına söz verdi.
George'u ŞaşırtmakBütçe görüşmeleri gibi kulağa sıkıcı gelen bir şeyin pek kimsenin
ilgisini çekeceğini düşünmezsiniz ama Bölge Konseyi'nin toplantı odası,gazeteciler, özel ilgi guruplarının temsilcileri, halktan insanlar ve hattâ ikitelevizyon haber ekibiyle tıkabasa dolmuştu.
148 Aldatma Sanatı
George bu görüşmelerde her zaman çok şeyin risk altında olduğunudüşünmüştü. Kesenin ağzını açacak olan İlçe Konseyi'ydi ve Georgeikna edici bir sunum yapmazsa Otoyol Bütçesi kısalacaktı. Sonra daherkes yollardaki çukurlardan, çalışmayan trafik lambalarından vetehlikeli dörtyol ağızlarından şikâyetçi olmaya başlayacak ve onusuçlayacaktı. Ertesi yıl yaşam daha da sefil bir hal alacaktı. Kürsüyeçıkacak kişi olarak tanıtıldığında kendine güveniyordu. Bu sunumüzerinde altı hafta çalışmıştı ve PovverPoint slaytlarını karısına, diğeryöneticilere ve bazı yakın arkadaşlarına göstermişti. Herkes bununşimdiye kadar yaptığı en iyi sunum olduğunda hemfikirdi.
ilk üç slayt çok iyi gitti. Her zamankindan farklı olarak bütün Konseyüyeleri dikkatlerini ona vermiş gibiydiler. Vurgulamak istediği noktalarıetkili bir şekilde belirtiyordu.
Ve sonra birden her şey ters gitmeye başladı. Dördüncü slayttageçen yıl açılan yeni otoyolun günbatımında çekilmiş bir fotoğrafınınolması gerekiyordu. Onun yerine başka bir şey vardı, fazlasıyla küçükdüşürücü bir şey: Penthouse ya da Hustler türü bir dergiden alınma birresim. Dinleyicilerin hayret dolu seslerini duydu ve bir sonraki slaytageçmek için hemen dizüstü bilgisayarının düğmesine bastı.
Bu daha da kötüydü. Hayal gücüne hiçbir şey bırakılmamıştı.
Tıklayarak bir sonraki slayta geçmeye çalışıyordu ki dinleyicilerdenbiri projektörün fişini çekti ve bu sırada toplantı başkanı tokmağınısertçe vurarak gürültünün içinde toplantının ertelendiğini duyurdu.
Aldatmacanın İncelenmesiBu tepesi atmış çalışan, genç bir bilgisayar korsanının bilgilerini kul-
lanarak, daire yöneticisinin bilgisayarına girmeyi başarmış, önemli birPovverPoint sunumunu indirmiş ve bazı slaytları kesinlikle küçükdüşürücü başka resimlerle değiştirmişti. Sonra da sunumu adamın bil-gisayarına geri koymuştu.
Modem bir fişe takılı ve ofis bilgisayarlarından birine bağlıykengenç korsan telefon hattını kullanarak dışarıdan bağlanabilmişti.Çocuk, uzaktan erişim yazılımını önceden kurmuştu, böylece bilgisa-yara bağlandıktan sonra sistemde duran her dosyaya tam erişimsağlayabilecekti. Bilgisayar, kuruluşun ağma bağlı olduğu ve çocukmüdürün kullanıcı adını ve parolasını bildiği için kolaylıkla müdüründosyalarına erişebilirdi.
Dergi resimlerini tarayıcıdan geçirmek de dahil, tüm iş yalnızcabirkaç saat sürmüştü. Sonuç olarak iyi bir adamın şerefine sürülen lekeise akıl almaz bir büyüklüktedir.
içeriye Girmek 149
Mitnick Mesajı:işten atılan, başka bir birime aktarılan ya da küçülme nedeniyle işine son ve-rilen çalışanların büyük bölümü hiç sorun yaratmazlar. Ancak bir şirketin
felaketi önlemek için ne gibi önlemler alabileceğini anlaması için bir tane sorunçıkması yeter.
Deneyimlerin ve istatistiklerin açıkça gösterdiğine göre şirkete en büyük tehlikeiçerden gelmektedir. Değerli bilgilerin nerede durduğuyla ilgili ayrıntılı bilgiyive şirketi nereden vurmanın en büyük zararı vereceğini ancak içerdekilerbilebilirler.
Terfi İsteyen BiriGüzel bir sonbahar günü öğleden önce Peter Milton, Honorable Oto
Yedek Parçalan'nın Denver'daki bölge ofisi binasının lobisine girdi. Buşirket, araba piyasası için ulusal boyutta bir yedek parça toptancısıdır.Peter danışmada beklediği sırada danışma görevlisi genç hanım onuziyaretçi olarak kaydetti, arayan birine arabayla geliş yolunu anlattı vekargo şirketinden gelen bir adamla ilgilendi. Bunların hepsi aşağı yukarıaynı zamanda oldu.
Kadın ona yardımcı olmak için zaman bulunca, "Bu kadar çok şeyibir arada yapmayı nasıl öğrendiniz?", diye sordu Peter. Kadın gülümse-di; görünüşe göre bunu farketmesinden memnun olmuştu. Ona DallasBürosu pazarlamadan olduğunu ve Atlanta bölge satışları sorumlusuMike Talbott'un kendisiyle görüşeceğini söyledi. "Bugün ziyaret ede-ceğimiz bir müşterimiz var" dedi. "Burada, lobide bekleyeceğim."
"Pazarlama", dedi genç kadın neredeyse arzu dolu bir şekilde vePeter ona gülümsedi. Ardından ne geleceğini duymak istiyordu. "Üniver-siteye gitseydim, bu konuda eğitim alırdım." dedi. "Pazarlamada çalış-mayı çok isterdim."
Peter yeniden gülümsedi. "Kaila", dedi, masanın üstündeki levhadankadının adını okuyarak. "Dallas büromuzda eskiden sekreter olan birhanım vardı. Kendini üç yıl önce pazarlamaya aldırdı. Şimdi pazarlamamüdür yardımcısı ve eskiden kazandığının iki katını kazanıyor."
Kaila ışıltılı gözlerle baktı. Adam devam etti, "Bilgisayar kullanabilirmisin?"
"Elbette", dedi kadın.
"Pazarlamada bir sekreterlik işi için yukardakilere seni önermemene dersin?"
Birden yüzü aydınlandı. "Bunun için Dallas'a bile giderim."
150 Aldatma Sanatı
"Dallas'a bayılacaksın." dedi adam. "Şu anda bir açık olup olmadığı-na dair birşey söyleyemem ama elimden geleni yapacağım." |
Kaila, takım elbiseli, kravatlı, düzgün kesimli ve iyi taralı saçları olanbu cici adamın iş yaşamında büyük bir değişiklik yaratabileceğinidüşündü. 1
Peter lobide oturdu, dizüstü bilgisayarını açtı ve iş yapmaya başladı.On-on beş dakika sonra yeniden masaya geldi. "Görünüşe göre Mike'inişi uzadı. Beklerken e-postalarıma bakabileceğim bir konferans salonuvar mı?" ı
• • - • - i
Kaila konferans salonlarının kullanım saatlerini ayarlayan adamıaradı ve Peter'in ayırtılmamış bir tanesini kullanabilmesi için gerekliayarlamaları yaptı. Silikon Vadisi şirketlerinden gelen bir geleneğisürdürerek (Apple herhalde bu uygulamayı ilk başlatandır), bazı konfe-rans salonlarına çizgi film kahramanlarının, lokanta zincirlerinin, filmyıldızlarının ya da çizgi roman kahramanlarının isimleri verilmişti. FareMinnie salonunu bulması söylendi. Kadın giriş işlemlerini yaptı ve FareMinnie salonuna nasıl gideceğini anlattı.
Peter odayı buldu, içeri yerleşti ve bilgisayarını ethemet girişini kul-lanarak ağa bağladı.
Neler olup bittiğini anlayabildiniz mi?
Doğru; saldırgan şirketin güvenlik duvarının arkasına geçerek şirketağına bağlanmıştı.
Anîhony'nin Öyküsü '*"Sanırım Anthony Lake'in tembel bir işadamı olduğu söylenebilirdi.
Ya da belki "düzenbaz" demek daha yerinde olabilir. j
Başka insanlar için çalışmak yerine kendi işini kurmak istemişti; ha-yali sabit bir yerde duracağı ve tüm ülkede koşturup durmasını gerek-tirmeyecek bir dükkân açmaktı. Ancak para getireceğinden emin olduğubir iş yapmak istiyordu. d
Ne tür bir dükkân olabilirdi acaba? Bulması uzun sürmedi. Arabatamiratından anlıyordu, böylece araba yedek parçaları dükkânındakarar kıldı. 1
Başarılı olmayı nasıl garantiye alabilirdi? Yanıt aklına şimşek gibigeldi: Honorable Oto Yedek Parça Toptancısı'nı tüm mallarını kendisinemaliyetine satmaya ikna etmek. -i
Doğal olarak böyle bir şeyi isteyerek yapmazlardı. Ancak Anthonyinsanları nasıl kandıracağını, arkadaşı Mickey ise başkalarının bilgisa-yarlarına nasıl gireceğini biliyordu. İkisi birlikte zekice bir plan yaptılar.
içeriye Girmek 151
Mitnick Mesajı:Çalışanlarınızı, bir kitabı yalnızca kapağına bakarak değerlendirmemelerikonusunda eğitin. Bir kişiye, yalnızca iyi giyimli olduğu ve saçı başı yapılıolduğu için inanılmamak.
O sonbahar günü kendini inandırıcı bir şekilde Peter Milton adındabir çalışan olarak tanıttı ve çalışanları dalavereye getirip Honorable OtoYedek Parça binasına girerek, dizüstü bilgisayarını ağa bağladı.Şimdiye kadar her şey yolunda gitmişti. Bundan sonra yapmasıgerekenler kolay olmayacaktı, özellikle de Anthony kendine on beşdakikalık bir limit belirlemişken. Daha uzun sürerse farkedilmetehlikesinin giderek artacağını düşünüyordu.
Bilgisayar aldıkları şirkete bağlı bir destek personeli gibi davranarakdaha önce yaptığı bir telefon görüşmesinde onlara uzun bir terane oku-muştu. "Şirketinizin bizimle iki yıllık bir destek kontratı var, bu yüzdensizi veri tabanımıza ekliyoruz böylece kullandığınız bir yazılım için biryama ya da yeni bir yükseltilmiş sürüm çıktığında haberiniz olacak.Hangi uygulamaları kullandığınızı öğrenebilir miyim?" Gelen yanıt birprogram listesi şeklindeydi ve muhasebeci bir arkadaş MAS 90 adlıprogramın aradıkları -perakende dükkânların listesi ve her birine verilenindirimler ve ödeme koşullarını içeren- program olduğunu söyledi.
Bu kilit bilgiden yararlanarak, ağdaki tüm geçerli terminalleri tanım-layan bir yazılım kullandı ve muhasebe bölümünün kullandığı doğrusunucuyu bulması çok zamanını almadı. Dizüstü bilgisayarına yüklükorsanlık araçları takımından bir program çalıştırdı ve onu hedefsunucuda bulunan yetkili kullanıcıları belirlemek için kullandı. Başka birprogramla, "boşluk" ve "parola" gibi sık kullanılan parolaları denemeyebaşladı. "Parola" işe yaradı. Şaşılacak bir durum değildi. İş parolaseçmeye gelince insanlar tüm yaratıcılıklarını kaybediyorlardı.
Yalnızca altı dakika geçmişti ve oyunun yarısı bitmiş, içeri girmişti.
Bir üç dakikayı da yeni şirket adını, adresini, telefon numarasını vebağlantı numarasını dikkatle müşteri listesine eklemekle geçirdi. Ve sıraen kritik, her şeyin temel amacı olan değişikliğe geldi. Bu, tümHonorable Oto Yedek Parçaları'nın ona %1 kazançla satılacağınıbelirleyen değişiklikti.
Yaklaşık on dakika içinde işi bitmişti. Kaila'ya teşekkür edip e-posta-larını okuma işini bitirdiğini söyleyecek kadar oyalandı. Ayrıca MikeTalbot'un kendisine ulaştığını, planda bir değişiklik olduğunu ve müş-terinin ofisinde buluşacaklarını söyledi. Kaila'ya onu pazarlamadaki o işiçin önereceğini söylemeyi de ihmal etmedi ekledi.
152 Aldatma Sanatı
Kendini Peter Milton olarak adlandıran saldırgan iki psikolojik tahriptekniği kullanmıştı; biri planlıydı diğeri de o anda uydurulmuştu.
İyi para kazanan bir yönetici gibi giyinmişti. Kravat, ceket, düzgünkesimli saçlar; bunlar küçük ayrıntılar gibi görünebilirler ama kesinliklebir etki bırakırlardı. Bunu ben istemeden keşfetmiştim. GTE Kaliforniyaofisinde -artık var olmayan büyük bir telefon şirketinde- çalıştığım kısasüre içerisinde kartım olmadan rahat ama düzgün giyimli -örneğin, sporbir gömlek, pilisiz pantolon ve Dockers ayakkabılarla- bir şekilde işegelirsem durdurulup sorguya çekilirdim. Kartın nerede, kimsin, neredeçalışıyorsun? Başka bir gün ise, yine kartsız ama takım elbise ve kravattakıp iş adamı gibi giderdim. Eskiden kalma, hemen arkasından geçmeyönteminin bir türünü kullanıp, binanın içine ya da güvenlikli bir girişedoğru yürüyen insan kalabalığının arasına karışırdım. Ana girişe yak-laşırlarken bazı insanlara takılıp onlardan biriymiş gibi sohbet ede edeyürürdüm. Kapıdan geçerdim ve güvenlik görevlileri kartımın olmadığınıanlasalar bile yönetici gibi gözüktüğüm ve kartları olan insanlarla birlik-te yürüdüğüm için bana birşey demezlerdi.
Bu deneyimim sayesinde güvenlik görevlilerinin davranışlarının nekadar tahmin edilebilir olduğunu öğrendim. Onlar da hepimiz gibigörünüşe bakıp karar veriyorlardı. Bu da toplum mühendislerinin kullan-mayı öğrendikleri ciddi bir zayıflıktı.
Saldırganın ikinci psikolojik silahı danışmada görevli kızın gösterdiğolağanüstü çabayı görmesiyle devreye girdi. Pek çok işi aynı andayaparak, telaşa kapılmadan, herkese tüm dikkatini verdiği hissini yaratı-yordu. Peter, kızın, kendini kanıtlamaya çalışan, yükselmek isteyen biriolduğu kanısına vardı. Pazarlama bölümünde çalıştığını söyleyince kızıntepkisine bakıp onunla bir yakınlık kurup kuramayacağına dair ipuçlararadı. Saldırgan için bu, daha iyi bir işe kaydırılması için yardım etmeyeçalışacağına söz vererek etkileyebileceği insanlar listesine birinin dahaeklenmesi anlamına geliyordu. (Eğer Muhasebe bölümüne gitmek iste-diğini söylemiş olsaydı, doğal olarak Peter da orada bir iş bulmasındayardımcı olabilecek bağlantılarının olduğunu söyleyecekti.)
Saldırganlar bu öyküde kullanılan başka bir psikolojik silahı dahskullanmayı çok severler: İki kademeli bir saldırıyla güven yaratmakÖnce pazarlamadaki işle ilgili biraz sohbet etti ve sonra da gerçekbirinin "ismini bırakma" -başka bir çalışanın adını verme- tekniğini ku -landı. Sırası gelmişken, kendi kullandığı ad da gerçek bir çalışana aitt:
Açılış sohbetinden sonra konferans salonuna geçmeyi hemeristeyebilirdi. Ama onun yerine biraz oturup çalışırmış gibi yaptı; güya bı-arkadaşını bekliyordu. Olası şüpheleri bastırmanın başka bir yolu dabuydu, çünkü saldırganlar ortalıkta fazla dolaşmazlardı. Yine de ortalık-
Mitnick Mesajı:
içeriye Girmek 153
X
Yabancı birinin şirket ağma dizüstü bilgisayarını bağlayabileceği bir yeregirmesine izin vermek güvenlik sorunları oluşma tehlikesini artırır. Br çalışanın,özellikle de şehir dışından gelmiş birinin, konferans salonundan e-postalannabakması son derece makuldür. Ama ziyaretçi güvenilir bir çalışan değilse ya daağ, yetkisiz bağlantıları engelleyecek şekilde yapılandırılmamışsa, bu durumşirket dosyalarının tehlikeye girmesine olanak tanıyan zayıf halka olabilir.
ta fazla dolaşmadı; toplum mühendisleri suç mahalinde gereğindenuzun kalmanın doğru birşey olmadığını bilirler. ;
Şunu da eklemek gerekir ki: Bu yazının hazırlandığı dönemdekiyasalara göre Anthony lobiye girerek bir suç işlememiştir. Gerçek birçalışanın adını kullandığı zaman da suç işlememiştir. Ayrıca konferanssalonunu kendisi için açmalarını sağlamasında da bir suç unsuru bulun-mamaktadır. Şirket ağına bağlandığında ve hedef bilgisayarı aradığındada henüz bir suç işlememiştir.
Bilgisayar sistemini kırana kadar herhangi bir suç işlememiştir.
Kevin'î Merak EdenlerYıllar önce küçük bir işte çalışırken, bilgi işlem bölümünü oluşturan
diğer üç bilgisayarcıyla birlikte oturduğum ofise ne zaman girsem,adamlardan biri (burada ona Joe diyeceğim) bilgisayarındaki görüntüyühızla değiştiriyordu. Bunun şüpheli bir durum olduğunu hemen anladım.Aynı gün içerisinde bu olay iki kere daha tekrarlanınca, bilmem gerekenbir şeyler olduğundan emin olmuştum. Bu adam benim görmemiistemediği nasıl bir iş yapıyor olabilirdi?
Joe'nun bilgisayarı şirketin minibilgisayarlarına erişimi olan bir uçbirimgibi çalışıyordu, böylece neler yaptığını izleyebileceğim bir takip programıyükledim. Program omuzunun üstünden bakan bir televizyon kamerasıgibi çalışıyor, bilgisayarında ne görüyorsa aynısını bana da gösteriyordu.
Benim masam Joe'nun masasının yanındaydı; görmesini zorlaştır-mak için kendi monitörümü mümkün olduğunca döndürdüm ama her anbakabilir ve onun yaptıklarını izlediğimi anlayabilirdi. Ancak bu sorunolmayacaktı, çünkü yaptığı işe kendini fazlasıyla kaptırmıştı.
Gördüğüm şey karşısında çok şaşırdım. Alçak herifin benim bordrobilgilerimi karıştırdığını görünce ağzım açık kaldı. Adam benim maaşı-ma bakıyordu!
O sırada orada üç aylıktım ve Joe'nun ondan daha fazla maac
aldığım fikrine dayanamadığını düşündüm.
154 Aldatma Sanatı
Birkaç dakika sonra, programlama bilgisi olmayan deneyimsiz bil-gisayar korsanlarının kullandığı türden araçlar indirdiğini gördüm.Demek Joe dünyadan habersizdi ve Amerika'nın en deneyimli bilgisayarkorsanlarından birinin yanında oturduğu konusunda en küçük bir fikriyoktu. Bu çok gülünç bir durumdu.
Maaşımla ilgili bilgileri çoktan almıştı, bu yüzden onu durdurmak içinçok geçti. Ayrıca vergi dairesinde ya da Sosyal Güvenlik Dairesi'ndeçalışan ve bilgisayar erişimi olan herhangi biri de maaşınıza bakabilirdi.Ne işler karıştırdığını bildiğimi söyleyerek elimdeki kozu kaybetmekistemiyordum. O zamanlar en büyük amacım fazla su yüzüne çıkma-maktı, iyi bir toplum mühendisi, becerilerinin ve bilgisinin reklamını yap-maz. İnsanların her zaman sizi hafife almalarını istersiniz, tehlike olarakgörmelerini değil. :
Böylece olayın üstünde durmadım ve Joe benimle ilgili bir sır bildiği-ni sanırken ben kendi kendime güldüm, halbuki her şey tam tersiydi.Onun neler karıştırdığını bilerek kozları ben elimde tutuyordum.
Zamanla, Bi grubunda çalıştığımız üç mesai arkadaşımın hepsininde -ekipteki tek kız için de geçerli olmak üzere- gördükleri şu ya da buşirin sekreterin ya da yakışıklı bir oğlanın eve götürdükleri maaşlarınabakıp eğlendiklerini keşfettim. Merak ettikleri herkesin maaşına ve prim-lerine bakıyorlardı. Bunların arasında üst düzey yöneticiler de vardı.
Aldatmacanın İncelenmesi
Bu öykü ilginç bir sorunu yansıtmaktadır. Bordro dosyaları şirketinbilgisayar sisteminin yönetiminden sorumlu kişiler tarafından erişilebile-cek bir konumdadırlar. İş yine bir personel sorunu durumuna gelir: kimingüvenilir olduğuna karar vermek. Bazı durumlarda Bİ çalışanları sağasola göz atmak fikrini çekici bulurlar. Bunu yapacak olanakları da vardırçünkü bu dosyalara erişimi kısıtlayan kontrolleri aşmak için özel haklarasahiptirler.
Alınacak bir önlem, bordro dosyalan gibi özellikle hassas dosyalaraerişimi denetlemek olabilir. Gerekli haklara sahip herhangi biri denetimikaldırabilir ya da takip edilmelerini sağlayacak yerleri temizleyebilir,ancak atılacak her adım ahlâksız bir çalışanın izlerini saklayabilmesiiçin daha fazla çaba harcamasını gerektirecektir.
Aldatmacanın EngellenmesiToplum mühendisleri, çöpleri karıştırmaktan tutun da bir güvenlik
görevlisini ya da danışma memurunu kandırmaya kadar çeşitli yöntem-lerle şirket alanınıza girebilirler. Ama bunlara karşı da alabileceğinizönlemler olduğunu duymak hoşunuza gidecektir.
içeriye Girmek 155
Mesai Saatleri Dışında Güvenlikişyerine kartları olmadan gelen tüm çalışanların, lobide ya da güven-
lik ofisinde, o gün için geçici bir kart vermek amacıyla durdurulmalarıgerekir. Personel kartı yanında olmayan biriyle karşılaştıklarında şirketgüvenlik görevlilerinin izleyecekleri belirli adımlar olsaydı, bu bölümdeanlatılan ilk olay çok daha farklı bir şekilde sonuçlanabilirdi.
Güvenliğin öncelik taşımadığı şirketlerde ya da şirket içi alanlardaherkesin kartını görünür bir yerde taşımasında ısrar etmek önemliolmayabilir. Ama hassas bölgelere sahip alanlarda bu kural, katı bir şe-kilde uygulanan, standart bir kural olmalıdır. Çalışanlar kart göster-meyen kişileri durdurmak konusunda eğitilmeli ve teşvik edilmelidirler.Üst düzey çalışanlara da kendisini durduran kişiyi küçük düşürmedenbu tarz kontrolleri kabullenmeleri öğretilmelidir.
Şirket kuralları, sürekli kartını takmayı unutan kişilere verilecekcezalar konusunda çalışanları uyarmalıdır. Cezaların arasında çalışanınbir günlüğüne ücretsiz uzaklaştırılması ya da siciline geçecek biruyarının verilmesi olabilir. Bazı şirketler giderek artan sert cezalarıyürürlüğe koymuşlardır. Bu cezalar, kişinin müdürüne durumuniletilemesi, sonra da resmî bir ihtar şeklinde olabilir.
Ek olarak, korunması gereken hassas bilgilerin olduğu yerlerde,mesai saatleri dışında işe gelecek kişilere izin verilebilmesi için gereklisüreçler oturtulmalıdır. Bir çözüm, bu ziyaretlerin şirket güvenliği ya dabu işe bakan birim aracılığıyla yapılması olabilir. Bu birim mesai dışıçalışma talebiyle arayan herhangi bir çalışanın kimliğini kişininmüdürünü arayarak ya da başka makul bir güvenlik yöntemi izleyerekdüzenli olarak kontrol edebilir.
Çöplere Saygılı OlmakÇöp dalışı öyküsü, şirket atıklarınızın olası kötüye kullanım yol-
larının üstünde durdu. İşte çöpler konusunda akıllı olmanın sekizanahtarı:
• Tüm hassas bilgileri hassaslık derecesine göre sınıflandırın.
• Hassas bilgilerin atılmasına yönelik olarak şirket çapında işsüreçleri oluşturun.
• Atılacak tüm hassas bilgilerin önce kâğıt öğütücüden geçirilmesikonusunda ısrarlı davranın ve öğütücüden geçmeyecek kadarküçük olup önemli bilgiler içeren kağıt parçalarından kurtulmaküzere güvenli bir yöntem belirleyin. Kâğıt öğütücüler, kararlı birsaldırganın biraz sabırla bir araya getirebileceği kâğıt şeritle.;çıkaran ucuz makinelerden olmamalıdırlar. Onlar yerine çaprazöğütücü denen türler ya da çıktıyı işe yaramaz bir küspeyedönüştüren makineler kullanılmalıdır.
156 Aldatma Sanatı
• Atılmadan önce veri kayıt ortamlarını -disketler, sıkıştırılmışdiskler, dosya saklamak için kullanılan CD'ler ve DVD'ler, bant-lar, eski sabit sürücüler ve diğerlerini- tamamen silecek ya dakullanılmaz hale getirecek bir yöntem oluşturulmasını sağlayın.Dosyaları silmenin onları gerçek anlamda ortadan kaldır-madığını, silinen dosyaların yeniden kurtarılabildiklerini unut-mayın. Enron yöneticileri ve pek çok başkaları bunu acı bir şe-kilde öğrendiler. Kaydedilebilir ortamları yalnızca çöpe atmakmahallenizin arkadaş canlısı çöp dalıcısına davetiye çıkarmaktır.(Kaydedilebilir ortamların ve araçların atılmasına yönelik belirlikurallar için 16. bölüme bakınız.)
• Temizlik ekiplerinizin seçiminde uygun ölçüde bir kontrolsağlayın, gerekirse sicillerine bakırı.
• Çalışanlarınızı, çöpe attıkları şeyin içeriğine dikkat etmelerikonusunda düzenli olarak uyarın.
• Büyük çöp bidonlarını kilitleyin.
• Hassas malzemeler için farklı atık varilleri kullanın ve bu tarzişlerde uzmanlaşmış bir şirketle anlaşarak malzemelerinimhasını sağlayın.
Çalışanlara Güle Güle DerkenHassas bilgilere, parolalara, dışarıdan erişim numaralarına ve ben-
zer şeylere erişimi olan bir çalışan işten ayrılırken uyulması gereken katıkurallar olması gerektiği bu sayfalarda daha önce vurgulanmıştı.Güvenlik süreçleriniz kimlerin hangi sistemlerde yetkili olduğunu takipedecek yollar içermelidir. Kararlı bir toplum mühendisinin güvenlik bari-yerlerinizden geçmesini engellemek zor bir iştir ama eski çalışanlarınıziçin de bunun kolay olmaması gerekir.
Kolaylıkla göz ardı edilebilen başka bir ayrıntı ise arşivden yedeklemebantlarını almaya yetkili bir çalışan işten ayrıldığında görülür. Kâğıdadökülmüş bir kurallar bütünü, kişinin adının yetki listesinden silinmesi içinhemen arşivleme şirketinin aranması gerektiğini vurgulamalıd'ır.
Kitabın on altıncı bölümünde bu önemli konuyla ilgili ayrıntılı bilgi ve-rilmektedir, ancak bu öyküde de görüldüğü üzere, yerleştirilmesi gerekenbazı kilit güvenlik önlemlerini burada belirtmek yerinde olacaktır:
• Bir çalışan ayrıldığında atılacak adımların tam ve ayrıntılı birkontrol listesi tutulmaiidır ve hassas bilgilere erişimi olan çalışan-lar için özel maddeler bulunmalıdır.
• Çalışanın bilgisayar erişiminin zaman kaybetmeden -hattâ kişidaha binayı terk etmeden önce- kapatılmasına yönelik bir kuralbelirlenmelidir.
içeriye Girmek 157
• Kişinin tanıtım kartının ve eğer varsa, anahtarların ve elektronikerişim cihazlarının geri alınmasıyla ilgili bir süreç oluşturulmalıdır.
• Güvenlik görevlilerinin giriş kartı olmayan çalışanları içerialmadan önce resimli bir kimlik kartı görmeleri ve kişinin şirketteçalışıp çalışmadığının bir listeden kontrol edilmesi kurallarınıgetiren maddeler olmalıdır.
Bazı adımlar kimi şirketler için aşırı ya da daha pahalı olabilirkenbaşkaları için uygun olabilir. Bu tarz katı güvenlik önlemleri arasındaaşağıdakiler bulunabilir:
« Elektronik kimlik kartlarıyla çalışan manyetik giriş kapıları bulun-malıdır. Kişinin şirket personeli olduğunun ve binaya girmeyeyetkili olup olmadığının elektronik olarak anında belirlenebilmesiiçin her çalışan, kartını tarayıcıdan geçirir. (Şu da unutulma-malıdır ki, her şeye karşın güvenlik görevlileri hemen arkasındangeçmelere -yetkisiz birinin gerçek bir çalışanın hemen arkasın-dan içeriye sızmasına- karşı uyanık olacak şekilde eğitilmelidir.)
e Ayrılan kişiyle (özellikle bu kişi işten atılmışsa) aynı iş ekibindeçalışan herkese parolalarını değiştirme zorunluluğu getirilmelidir.(Bu çok abartılı gibi mi görünüyor? General Telephone şir-ketindeki kısa süreli hizmetimden uzun yıllar sonra, Pacific Bellgüvenlik sorumlularının General Telephone'un beni işe aldığınıöğrendiklerinde "gülmekten kırıldıklarını" duydum. Bu GeneralTelephone'un yararına oldu, çünkü beni işten çıkardıktan sonraünlü bir bilgisayar korsanın onlarla çalışmış olduğunu öğrendik-lerinde, şirketteki herkesin parolalarını değiştirmesini zorunlukılmışlar!)
Binalarınızın hapishane gibi olmasını istemezsiniz ama aynı zaman-da dün işten atılıp bugün zarar vermeye niyetli olarak geri gelen birinekarşı da korunmanız gerekir. ,
K i m s e y i U n u t m a y ı n ' • •• -
Güvenlik politikaları işe yeni girmiş çalışanları ve hassas bilgiylehaşır neşir olmayan, danışma görevlisi gibi kişileri göz ardı etme eğili-mindedirler. Daha önce gördüğümüz gibi, danışma görevlileri saldırgan-lar için elverişli hedeflerdir ve araba yedek parçalan şirketine girişi anla-tan öykü de bu konuda örnek oluşturuyor. Şirketin farklı bir tesisindeçalıştığını söyleyen ve bir profesyonel gibi giyinmiş arkadaş canlısı birkişi göründüğü gibi olmayabilir. Danışma görevlileri yeri geldiğinde şir-ket kimliğini nazikçe soracak şekilde eğitilmiş olmalıdırlar ve bu eğitimyalnızca ana girişte duran danışma görevlisine değil, öğle saatlerindeya da kahve molalarında onların yerine bakan kişilere de verilmelidir.
Şirket dışından gelen ziyaretçiler için güvenlik kuralları resimli bir
158 Aldatma Sanatı
kimlik gösterilmesini ve bilginin kaydedilmesini zorunlu tutmalıdır. Sahtekimlik üretmek zor değildir, ancak kimliğin gösterilmesi olası saldırgan-lar için bahane üretme işini bir derece zorlaştırmaktadır.
Bazı şirketlerde ziyaretçilerin lobiden alınıp toplantıdan toplantıyagiderken kendilerine eşlik edilmesi zorunluluğu getiren bir kural uygula-mak mantıklı olabilir. Eşlik eden görevlinin ziyaretçiyi ilk toplantısınagötürdüğünde bu kişinin binaya çalışan olarak mı yoksa dışardan birziyaretçi olarak mı girdiğini açıkça belirtme koşulu olmalıdır. Neden buönemlidir? Çünkü, daha önceki hikâyelerde de gördüğümüz gibi, birsaldırgan sık sık ilk karşılaştığı kişiye kendini belirli bir kişi olaraktanıtırken ikinci karşılaştığına tamamen farklı biri olarak tanıtmaktadır.Bir saldırganın lobide kendini göstermesi, danışma görevlisini birmühendisle randevusu olduğuna inandırması... sonra mühendisinodasına kadar götürülmesi ve orada kendini şirkete bir ürün satmakisteyen bir satış temsilcisi olarak tanıtması... ve en sonunda damühendisle görüşmesi bittiğinde binada serbestçe gezinme fırsatı bul-ması son derece kolaydır.
Başka bir ofisten gelen bir çalışanı içeri almadan önce kişiningerçekten bir çalışan olup olmadığının tespiti için uygun süreçler bulun-malıdır. Danışma ve güvenlik görevlileri, saldırganların şirket binalarınagirebilmek için kullandıkları, bir çalışanın kimliğine bürünme yöntem-lerinin bilincinde olmalıdırlar.
Binanın içine girmeyi başaran ve dizüstü bilgisayarını şirket güven-lik duvarının arkasından ağa bağlayan bir saldırgana karşı korunmakiçin ne yapılabilir? Bugünün teknolojileri göz önüne alındığında bu güçbir iştir. Konferans salonları, eğitim odaları ve benzeri yerlerde kilit altı-na alınmamış ağ girişleri bulunmamalıdır; ya da en azından, bu girişlergüvenlik duvarları ya da routerlarla koruma altına alınmış olmalıdırlar.Ama en iyi koruma, ağa bağlanan herkesin kendini tanıtması için güven-li bir yol oluşturmaktır
Bilgiyi Sağlama Âlın!Küçük bir uyarı: Şirketinizin her Bİ çalışanı ne kadar maaş aldığınızı,
genel müdürün ne kadar para aldığını ve kayak tatiline giderken kiminşirket jetini kullandığını büyük olasılıkla biliyordur ya da çok geçmedenöğrenecektir.
Bazı şirketlerde Bİ ya da muhasebe çalışanlarının kendi maaşlarınıyükseltmeleri, sahte bir satıcıya ödeme yapmaları, insan kaynaklarıkayıtlarından olumsuz sicilleri silmeleri ve bunun gibi şeyler yapmalarıbile mümkündür. Bazen yalnızca yakalanma korkusu onları dürüstolmaya iter... sonunda bir gün gelir ve adamın açgözlülüğü ya da ahlâk-sız ruhu tehlikeyi bir kenara iterek, götürebildiği kadar para götürmesineneden olur.
içeriye Girmek 159
Elbette buna karşı da çözümler vardır. Hassas dosyalara, uygunerişim kontrolleri yerleştirilerek yalnızca yetkili kişilerin onları açmasısağlanabilir. Bazı işletim sistemleri belli olayları, örneğin başarılı olsunolmasın korumalı bir dosyaya ulaşmaya çalışan herkesi, kaydedecekşekilde ayarlanabilen denetim kontrolleri içerir.
Eğer şirketiniz konunun bilincindeyse ve hassas dosyaları koruyanuygun denetim mekanizmaları ve erişim sınırlamaları yerleştirmişse,doğru yönde güçlü adımlar atıyorsunuz demektir.
'1 TEKNOLOJİYİ VE TOPLUMMÜHENDİSLİĞİNİ BİRLEŞTİRMEK
Bir toplum mühendisi, amacına ulaşmasına yardımcı olması içininsanları birşeyler yapmaya yönlendirebilirle yeteneğiyle yaşar; ancakbaşarılı olabilmek için, çoğu zaman hatırı sayılır bir bilgi birikimine sahipolmasının yanısıra bilgisayar ve telefon sistemleriyle haşır neşir olmasıda gerekir.
İşte size teknolojinin önemli bir rol oynadığı özgün toplum mühendis-liği dolaplarından bir örnek.
Parmaklıkların arasından korsanlıkFiziksel, iletişimsel ya da elektronik olarak zorla içeri girmelere karşı
korunan en güvenli yerler arasında sizce nereler vardır? Fort Knox*mu? Doğru. Beyaz Saray mı? Kesinlikle. Bir dağın altına gömülü KuzeyAmerika Hava Savunma Üssü, NORAD mı? Şüphesiz.
Ya hapishaneler ve tutukevlerine ne dersiniz? Ülkedeki herhangi biryerden daha korunaklı olmalılar, öyle değil mi? İnsanlar ender olarakkaçarlar, kaçtıklarında da genellikle kısa sürede yakalanırlar. Federal birtesisin toplum mühendisliği saldırılarına karşı dayanıklı olacağınıdüşünürsünüz. Ancak yanılırsınız, hiçbir yerde kusursuz güvenlik diyebirşey yoktur.
Birkaç yıl önce bir çift düzenbaz (aslında profesyonel dolandırıcılar)bir sorunla karşılaştılar. En son kaldırdıkları yüklü paranın bir bölgeyargıcına ait olduğu ortaya çıktı. İkilinin geçen yıllarda zaman zamanyasayla başları derde girmişti ama bu kez federal yetkililer durumladaha çok ilgilendiler. Düzenbazlardan birini, Charles Gondorff uenselediler ve onu San Diego yakınlarındaki bir tutukevine attılar.Federal sulh hakimi, kaçma olasılığı olduğu ve topluma zararlı olduğugerekçesiyle Gondorff un göz altına alınmasına karar verdi.
Arkadaşı Johnny Hooker, Charlie'nin bir savunma avukatına ihtiyacıolacağını biliyordu. Ama parayı nereden bulacaktı? Pek çok dolandırıcıgibi o da paraları güzel giysilere, havalı kameralara ve kadınlara yatır-mış, böylece para, geldiği kadar hızla suyunu çekmişti. Johnny'nin,üzerinde, yaşamasına yetecek kadar para nadiren bulunurdu.
iyi bir avukat tutacak kadar parayı başka bir dolap çevirerek bulmasıgerekiyordu. Johnny bunu tek başına başaramazdı. Oynadıkları oyun-ların arkasındaki adam hep Charlie Gondorff olmuştu. Ama Johnny,
162 Aldatma Sanatı
TerimlerDOĞR UDAN BAĞLANTI
HİZMETİ: Ahizekaldırıldığında doğrudan
sabit bir numarayabağlanan telefonlar için
telefon şirketlerindekullanılan bir terim.
REDDET-KES: Belirli birtelefon numarasında gelenaramaların engellenmesişeklinde gerekli ayarla-
malar yapılarak sunulanbir telefon şirketi hizmet
seçeneği.
Federaller işin içinde iki kişinin olduğunubilirken ve diğerini de yakalamak için bukadar heveslilerken ne yapacağını sor-mak için tutukevine gitmeye cesaretedemezdi. Yalnızca ailesinin ziyaretetmesine izin veriliyordu, bu da sahtekimlik belgesi gösterip ailenin bir ferdiolduğunu öne sürmesi gerekecekdemekti. Federal bir hapishanede sahtekimlik kullanmaya çalışmak pek iyi birfikir gibi gelmedi.
Hayır, Gondorffla bağlantı kurmakiçin başka bir yol bulması gerekecekti.
Kolay olmayacaktı. Herhangi bir fed-eral, eyalet ya da yerel hapishanedetutuklu bulunan birinin gelen telefonlaraçıkmasına izin verilmezdi. Federal birtutukevinde her tutuklu telefonunun
yanında asılı duran levhada şöyle bir şey yazılıdır: "Bu levha buraya, butelefondan yapılan tüm görüşmelerin dinlendiğini ve telefonu kullan-manın konuşmanın dinleneceğinin kabul edilmesi anlamına geldiğinihatırlatmak için koyulmuştur." Eğer suç işlemek gibi bir planınız varsa,devlet görevlilerinin telefonu dinlemesinin tek bir sonucu vardır:Hapishanedeki tatilinizin süresinin biraz daha uzaması.
Ancak Johnny belli aramaların dinlenmediğini biliyordu. Örneğinmüvekkil-avukat görüşmesi gibi. Aslında Gondorffun tutulduğu yerdedoğrudan Federal Kamu Savunma Bürosu'na (KSB) bağlı telefonlarvardı. O telefonlardan birini kaldırıyordun ve KSB'deki bağlı olduğu tele-fona doğrudan ulaşıyordun. Telefon şirketleri buna Doğrudan BağlantıHizmeti adını verir. Hiçbir şeyden kuşkulanmayan yetkililer bu hizmetingüvenli ve kurcalanmaya dayanıklı olduğunu varsayıyorlardı, çünküdışarıya yapılan aramalar yalnızca KSB'ye gidiyor, gelen aramalar iseengelleniyordu. Biri telefon numaralarını bulmayı basarsa bile numar-alar telefon şirketindeki santralda reddet-kes şeklinde programlan-mışlardı.
Johnny bu sorunu çözmenin bir yolu olması gerektiğine karar verdi.Gondorff zaten içerden, KSB telefonlarından birini kaldırıp şunu söyle-meyi de denemişti: "Ben Tom, telefon şirketi onarım bölümünden. Bi-ri at üstünde bir test yapıyoruz, önce dokuz sonra da sıfır sıfır tuşla-manız gerekiyor." Dokuz dış hattâ erişimi sağlayacak, sıfır sıfır daşehirlerarası santrale bağlayacaktı, işe yaramadı. KSB'de telefonu açarkişi bu numarayı zaten biliyordu.
Johnny'nin işleri daha iyi gidiyordu. Tutukevinde on hücre birir
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 163
oulunduğunu ve bunların her birinin Kamu Savunma Bürosu'yla doğru-dan bağlantılı olduğunu kolaylıkla öğrenmişti. Bazı engellerle karşılaşıy-ordu ama iyi bir toplum mühendisi olarak ayağa takılıp duran bu cansıkıcı taşların çevresinden dolaşmanın yollarını da buluyordu. AcabaGondorff hangi birimdeydi? O hücre biriminde bulunan doğrudan bağlan-tı hattının telefon numarası neydi? Ve hapishane yetkilileri tarafındanengellenmeden ilk mesajı Gondorff a nasıl ulaştıracaktı?
Federal kurumlarda bulunan gizli telefonların numaralarını eldeetmek, sıradan insanlara olanaksız gibi görünen bir şey iken ancak birdalavereci için çoğunlukla birkaç telefon görüşmesiyle ele geçirebilecekbir bilgidir. Kafasında oluşturduğu planı birkaç gece yatağında dönerekgözden geçirdikten sonra Johnny bir sabah her şey kafasında beş adımolarak planlanmış bir şekilde uyandı.
Önce, KSB'ye doğrudan bağlı on telefonun numaralarını öğrenecekti.
On telefonu birden gelen aramaları alacak şekilde değiştirecekti.
Gondorffun hangi hücre biriminde olduğunu bulacaktı.
Sonra hangi telefonun bu birime bağlı olduğunu öğrenecekti.
En sonunda, yetkileri kuşkulandırmadan Gondorffla bir telefongörüşmesi ayarlayacaktı.
Çocuk oyuncağı, diye düşündü.
Bell Ânct'yı Arıyor... •Johnny, federal hükümet adına mal ve hizmet satın alan Genel
Hizmet İdaresi'nden arıyormuş numarası yaparak telefon şirketi müdür-lüğünü aramakla işe başladı. Bir ek hizmet sözleşmesi üzerindeçalıştığını ve kullanılan doğrudan bağlantı hizmetlerinin fatura bilgilerineihtiyacı olduğunu söyledi. Bu listeye San Diego tutukevinin telefonnumaralarının ve aylık giderlerinin de dahil olması gerektiğini ekledi.Karşıdaki hanım yardımcı olmaktan memnun olacaktı.
Numaraları elde ettikten sonra emin olmak için bu hatlardan biriniçevirdi ve karşılığında duyduğu şey tipik bir kaydı oldu. "Bu hattınbağlantısı kesilmiştir ya da hat hizmet dışıdır." işin aslının bu kayıttasöylenenle uzaktan yakından bir ilgisi olmadığını biliyordu, tam bek-lediği gibi, hat, gelen aramaları engellemek üzere programlanmıştı.
Telefon şirketinin çalışma şekilleri ve süreçleriyle ilgili geniş bilgisisayesinde RCMAC, Recent Change Memory Authorization Center(Kısa Süreli Hafıza Değişim Yetki Merkezi - bu adları kimin uydurduğunuhep merak etmişimdir!) adında bir bölüme ulaşması gerektiğini biliyor-du. Telefon şirketinin İşlemler Ofisi'ni aramakla işe başladı ve onarım-dan aradığını söyleyip, verdiği alan kodu ve önekin ait olduğu bölgeye
164 Aldatma Sanatı
bakan RCMAC'nin telefon numarasını istedi. Tutukevindeki tüm telefonhattı hizmetleri aynı merkez ofisten veriliyordu. Bu, onanma gitmiş veyardıma ihtiyacı olan teknisyenlerin her zaman yaptığı türden, sıradanbir istekti ve memur ona numarayı vermekte tereddüt etmedi.
RCMAC'yi aradı, sahte bir ad verdi ve yine onarım bölümündeçalıştığını söyledi. Telefonu açan kadından, daha önce işlemler ofisin-den aldığı numaralardan birine ulaşmasını istedi. Kadın numarayı bul-duğunda Johnny sordu: "Numara reddet-kes olarak mı ayarlanmış?"
"Evet", dedi kadın.
"Eh, bu, müşteriye neden hiç telefon gelmediğini açıklıyor!", dediJohnny. "Bana bir iyilik yapabilir misin? Hat sınıf numarasını değiştir-meni ya da reddet-kes özelliğini kaldırmanı isteyeceğim, olur mu?"Kadın, değişimi gerçekleştirebilmek için bir hizmet emri gerekipgerekmediğini kontrol etmek için başka bir bilgisayar sisteminebakarken kısa bir sessizlik oldu. "Bu numaranın yalnızca arama yap-maya açık olması gerekiyor. Değişiklik yapmak için hizmet emri yok."
"Doğru, bir yanlışlık oldu. Emri dün çıkarmamız gerekiyordu ama bumüşteriyle her zaman ilgilenen abone temsilcisi hastalanıp eve gitti vebu işi yapmayı başkasına söylemeyi de unuttu. Bu yüzden müşteri şuanda küplere binmiş durumda."
Kadın bir an duralayıp, standart çalışma şekline aykırı ve olağan dışıbu isteği değerlendirdi, sonra da, "Tamam", dedi. Kadının değişikliğigirmek için tuşlara bastığını duyabiliyordu. Birkaç saniye sonra iş bit-mişti.
Buzlar çözülmüş, aralarında bir çeşit yakınlaşma oluşmuştu.Kadının tavırlarını ve yardım etme isteğini tartarak, Johnny hepsini yap-tırmakta tereddüt etmedi. "Bana yardım edebileceğiniz birkaç dakikanızdaha var mı?" diye sordu.
"Var", diye yanıtladı kadın. "Ne gerekiyordu?"
"Aynı müşteriye ait başka numaralar da var ve hepsinde de aynısorun mevcut. Ben numaraları size okursam, siz de reddet-kes ayarlarınıdüzeltebilir misiniz?" Kadın bunun sorun olmayacağını söyledi.
Birkaç dakika sonra telefon hatlarının hepsi de gelen aramaları ala-cak şekilde "düzeltilmişti."
Gondorffun bulunmasıBir sonraki adım Gondorffun hangi hücre biriminde olduğunu bul-
maktı. Hapishane ve tutukevlerini yönetenler bu bilgiyi dışarıdan biri-lerinin öğrenmesini kesinlikle istemezler. Johnny'nin bir kez daha toplummühendisliği becerilerine güvenmesi gerekiyordu.
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 165
Başka bir şehirdeki bir federal hapishaneyi aradı; Johnny Miami'yiaramıştı -ama başka herhangi bir yer de iş görürdü- ve New York'takitutukevinden aradığını söyledi. Müdürlüğün tutuklu bilgisayarındaçalışan biriyle konuşmak istedi. Tutuklu bilgisayarı, ülkenin herhangi biryerinde Hapishaneler Müdürlüğü'ne bağlı tesislerde tutulan mahkûmlar-la ilgili bilgilerin saklandığı bilgisayar sistemiydi.
İlgili kişi telefona çıktığında Johnny, Brooklyn aksanıyla konuşmayabaşladı. "Merhaba," dedi. Ben New York Federal Tutukevi'ndenThomas. Tutuklu bilgisayarıyla bağlantımız gidip geliyor, bir tutuklununyerini bulmama yardımcı olabilir misin, sanırım sizin orada tutuluyor" veGondonTun adını ve kayıt numarasını verdi.
"Hayır, burada değil", dedi adam birkaç saniye sonra. "SanDiego'daki tutukevinde."
Johnny şaşırmış gibi yaptı. "San Diego mu? Geçen hafta korumalıbir uçakla Miami'ye aktarılması gerekiyordu! Aynı adamdan mı söz ediy-oruz? Adamın doğum tarihi nedir?"
"3/12/60", dedi adam ekrandan okuyarak.
"Evet, aynı adam. Hangi hücre biriminde tutuluyor?"
"Hücre On Kuzey", dedi adam. Her ne kadar New York'taki bir hapis-hane görevlisinin böyle bir şeyi öğrenmek istemesinin anlaşılır birnedeni olmasa da soruyu neşeyle yanıtlamıştı.
Johnny tüm telefonları gelen aramalar için açtırmış ve Gondorffunhangi hücre biriminde olduğunu da öğrenmişti. Bir sonraki adım hangitelefon numarasının Hücre On Kuzey olduğunu bulmaktı.
Bu biraz zor olacaktı. Johnny numaralardan birini aradı. Telefon zilikapalı olacağı için kimsenin telefonun çaldığını anlamayacağını biliyor-du. Oturdu ve Fodor'un Avrupa'nın Büyük Kentleri adlı gezi rehberinegöz gezdirirken bir yandan da ahizeden çalma sesini dinliyordu.Sonunda biri telefonu açtı. Diğer uçtaki tutuklu doğal olarak mahkemecebelirlenmiş avukatına ulaşmaya çalışıyordu. Johnny karşı tarafın bek-lentisine karşılık verecek yanıtı hazırlamıştı. "Kamu Savunma Bürosu",dedi.
Adam avukatıyla görüşmek istediğini söylediğinde, Johnny, "Buradaolup olmadığını bakayım, hangi hücre biriminden arıyorsun?" dedi.Adamın yanıtını not etti, bekletme düğmesine bastı, otuz saniye sonrayeniden açtı ve, "Mahkemedeymiş, daha sonra araman gerekecek",diyerek kapattı.
Sabahının çoğunu bunu yaparak geçirdi ama daha kötüsü de ola-bilirdi. Dördüncü denemesinde Hücre On Kuzey"\ buldu. BöyleceJohnny artık Gondorffun birimine ait KSB numarasını biliyordu.
166 Aldatma Sanatı
Saatlerinizi ayarlayın • ''Şimdi iş Gondorffa tutukluları doğrudan Kamu Savunma Bürosu'yla
görüştüren telefonu ne zaman açacağını söyleyen bir mesaj gönderm-eye kalıyordu. Bu göründüğünden daha kolay bir işti.
Johnny tutukevini arayarak, en resmi sesiyle kendini bir çalışanolarak tanıttı ve Hücre On Kuzey'le görüşmek istediğini söyledi. Aramahemen aktarıldı. İnfaz koruma memuru telefonu açtığında Johnny, yenitutukluların giriş ve çıkışlarını düzenleyen Dağıtım ve Tahliye Birimi'nin içgörüşmelerde kullanılan kısaltmasını kullanarak memuru kandırdı. "BenDT'den Tyson", dedi. "Tutuklu Gondorffla görüşmem gerek.Göndermemiz gereken ona ait eşyalar var, nereye gönderilmesini istiy-orsa oranın adresini vermesi gerekiyor. Onu telefona çağırabilir misiniz?"
Johnny memurun oturma salonuna bağırdığını duydu. Birkaçdakikalık sabırsız bir bekleyişten sonra, telefona tanıdık bir ses çıktı.
Johnny ona, "Konuşmam bitene kadar sakın sesini çıkarma", dedi.Eşyaların nereye gönderilmesini istediğini konuşuyorlarmış gibi görün-mesi için Johnny ona söylemesi gerekenleri anlattı, sonra da, "Bugünöğleden sonra saat birde Kamu Savunma Bürosu telefonunun başındaolabileceksen, yanıt verme. Olamayacaksan, o zaman orada olabileceğinbir saati söyle", dedi. Gondorff yanıt vermedi. Johnny devam etti. "iyi.Saat birde orada ol. Seni arayacağım. Ahizeyi kaldır. Eğer telefonotomatik olarak Kamu Savunma Bürosu'nu aramaya başlarsa her yirmisaniyede bir telefonun düğmesine bas. Sesimi duyana kadar bunu yap-mayı sürdür."
Saat birde Gondorff telefonu açtı ve Johnny orada onu bekliyordu.Sohbet eder gibi, aceleye getirmeden, keyifle konuştular ve benzetgörüşmeler Gondorffun mahkeme masraflarını karşılamak için çevire-cekleri dolabın ayrıntılarını konuşmak amacıyla birkaç kere daha tekrar-landı. Hepsi de devlet gözetiminin dışında gerçekleşmişti.
Aldatmacanın incelenmesiBu olay, bir toplum mühendisinin, her biri tek başına önemsiz gibi
duran işleri yapmaları için farklı insanları kandırarak, olanaksızzannedilen bir işi nasıl başardığını gösteren çarpıcı bir örnektir. Aslında,yapılan her hareket, dalavere tamamlanana kadar bulmacanın birparçasını oluşturur.
ilk telefon şirketi çalışanı, federal hükümete bağlı Genel Hizmetlerİdaresi'nden birine bilgi verdiğini düşünüyordu...
Bir sonraki telefon şirketi çalışanı, telefon hizmet sınıfını bir hizmetemri olmadan değiştirmemesi gerektiğini biliyordu ama yine de sevimi,adama yardımcı oldu. Böylece tutukevindeki Kamu Savunma Bürosu
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 167
telefonlarının tümü dışarıdan aranabilir duruma geldi.
Miami tutukevindeki adam için başka bir federal merkezde çalışan vebilgisayarla sorun yaşayan birine yardım etmek gayet mantıklıydı. Her nekadar hücre birimini öğrenmek istemesi için bir neden yokmuş gibi gözüksede, soruya yanıt vermemesi için de bir neden yoktu, öyle değil mi?
Ve arayanın aynı tesis içinden biri olduğunu sanan Hücre OnKuzej/de görevli memur, adamın resmi bir iş için aradığını düşünüyor-du, istediği oldukça mantıklıydı, bu yüzden Gondorff isimli tutukluyutelefona çağırdı. Sorun olmadı.
Bir dizi iyi planlanmış adımı bir araya getirip dalavereyi tamam-lamışlardı.
Hızlı dosya indirmeHukuk fakültesini bitirmelerinden on yıl sonra Ned Racine hâlâ, fat-
urasını ödeyecek kadar parası olmayan insanların kıytırık işleriyleuğraşırken, sınıf arkadaşları, bahçeleri olan güzel evlerde yaşıyor, şehirklüplerine üye oluyor, haftada bir-iki kez golf oynuyorlardı. Sonunda birgün Ned'in canına tak etti.
Şimdiye kadar elde ettiği tek iyi müşterisi, şirket birleşmeleri vedevirler konusunda uzmanlaşmış, küçük ama oldukça başarılı birmuhasebe şirketiydi. Uzun süredir Ned'le iş yapmıyorlardı. Ned müşter-ilerinin, gazetelerde çıkması halinde birkaç halka açık şirketin hissesenedi fiyatlarını etkileyebilecek bazı işlere karıştıklarını anlamıştı.Önemsiz, doğrudan işlem görmeyen hisselerdi ama bazı açılardan budaha iyiydi; fiyatlardaki küçük bir fırlama yatırımlardan elde edilen büyükyüzdeli bir getiri anlamına geliyordu. Adamların dosyalarına ulaşıp neyleuğraştıklarını bir bulabilirse iş tamam olacaktı.
Alışılmadık yöntemler konusunda akıllı birini tanıyan bir arkadaşı vardı.Adam planı dinledi, gaza geldi ve yardım etmeyi kabul etti. Ned'in port-föyündeki hisse senetleri yüzdesine bakıp her zaman aldığından dahaküçük bir ücret karşılığında Ned'e ne yapması geveteğOT. aulattı. Ayrıca onapiyasaya çıkalı çok az zaman olmuş küçük ve kullanışlı bir alet de verdi.
Birkaç gün boyunca Ned, muhasebe şirketinin gösterişsiz, mağaza
Mitnick Mesajı:Sanayi casusları ve bilgisayarlara giren kişiler, hedef işletmelere bazen fiziksel
olarak da girerler. İçeri girmek için bir demir sopa kullanmak yerine, toplum
mühendisi kapının diğer tarafındaki insanı etkilemek için aldatma sanatını kullanır.
168 Aldatma Sanatı
vitrinine benzeyen bürosunun bulunduğu küçük iş hanının araba parkyerini gözetledi. Çoğu insan beş buçuk, altı gibi çıkıyordu. Yediye doğrupark yeri tamamen boşalıyordu. Temizlikçiler yedi buçuk gibi geliyor-lardı. Mükemmel.
Ertesi gece, sekize birkaç dakika kala, Ned otoparkın kaşısındakiyola arabasını park etti. Beklediği gibi temizlik hizmetleri şirketininkamyonu sayılmazsa park yeri boştu. Ned kapıya kulağını koydu veelektrikli süpürgenin gürültüsünü duydu. Sertçe kapıyı çaldı ve beklem-eye başladı. Takım elbise giymiş, kravat takmıştı ve elinde yıpranmışçantasını taşıyordu. Yanıt gelmedi ama o sabırlıydı. Bir daha çaldı.Sonunda kapıda temizlikçilerden biri belirdi. "Merhaba", dedi Ned, camkapının arkasından bağırarak ve daha önce şirket ortaklarındanbirinden aldığı kartviziti göstererek. "Anahtarlarımı arabama kilitlemişim,masama gitmem gerekiyor."
Adam kapıyı açtı, sonra Ned'in arkasından tekrar kilitledi ve korido-ra giderek Ned'in gittiği yeri görebilmesi için ışıkları açtı. Neden olmasın;ekmeğini kazanmasını sağlayan insanlardan birine yardımcı olmayaçalışıyordu. Böyle düşünmesi için her nedeni vardı.
Ned ortaklardan birinin bilgisayarının başına oturdu ve makinayıaçtı. Bilgisayar açılırken ona verilen küçük aleti bilgisayarın USB girişinetaktı. Bir anahtarlıkta taşınabilecek kadar küçük bir aletti, ancak yine de120 megabayt veri taşıyabiliyordu. Ortağın sekreterinin bir Post-it kâğı-da yazıp ekrana yapıştırdığı kullanıcı adını ve parolasını kullanarak ağagirdi. Beş dakikadan az bir sürede bilgisayarda ve ortakların ağklasöründe yüklü tüm çizelge ve belge dosyalarını indirmiş evine gidiy-ordu.
Kolay paraLisede ilk defa bilgisayarlarla tanıştığımda, Los Angeles'taki tüm
okulların paylaştığı merkezi bir DEC PDP 11 minibilgisayarına modemaracılığıyla bağlanıyorduk. O bilgisayarda kurulu işletim sisteminin adıRSTS/E'ydi ve ilk kullanmayı öğrendiğim işletim sistemiydi.
O zamanlar, yani 1981'de DEC firması ürün kullanıcıları için yıllık bir kon-ferans düzenliyordu ve bir yerde konferanslardan birinin Los Angeles'tadüzenleneceğini okudum. Bu işletim sisteminin kullanıcıları için hazırlanantanınmış bir dergide LOCK-11 adlı yeni bir güvenlik ürününün duyurusu vardı.Ürün akıllıca hazırlanmış bir reklam kampanyasıyla sunuluyordu. "Saatsabah 3:30 ve sokağın ilersinde oturan Johnny sizin bağlantı numaranızı 336.denemesinde bulmuş, 555-0336. O içeri girmiş, sizi de dışarı sepetlemişSizin de bir LOCK-11'iniz olsun." Reklamın anlattığına göre ürün bilgisayarkorsanlarına karşı tam koruma sağlıyordu. Ve konferansta tanıtılıyor olacaktı
Ürünü görmeyi ben de çok istiyordum. Yıllardır birlikte korsanlık yap-
F
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 169
tığımız, liseden sınıf arkadaşım ve dostum ama sonradan bana karşıçalışan bir federal ihbarcı olan Vinny, yeni DEC ürününe yönelik ilgimipaylaşıyordu ve konferansa onunla birlikte gitmem için ısrar etti.
Peşin para 'Ürün tanıtımına gittiğimizde LOCK-11'in çevresindeki kalabalıkta bir
çalkalanma vardı. Görünüşe göre tasarımcılar kimsenin ürünlerini kıra-mayacağına dair anında ödeme yapacakları bir bahis oluşturmuşlardı.Bu reddedemeyeceğim bir meydan okumaydı.
Doğrudan LOCK-11'in tanıtım masasına gittik ve başında ürününtasarımcıları olan üç adamın durduğunu gördük. Onları tanımıştım veonlar da beni tanımışlardı; yetkililerle yaşadığım ilk gençlik sürtüşmeler-imle ilgili Los Angeles Times gazetesinde çıkan büyük bir yazınedeniyle, gençliğimde bile bir telefon beleşçisi ve bilgisayar korsanıolarak belli bir ünüm vardı. Yazıda anlatıldığına göre, gecenin biryarısında Pasifik Telefon şirketi binasına girebilmek için kapıdakileriikna etmiş ve güvenlik görevlilerinin burunlarının dibinden elimde bil-gisayar kullanım kılavuziarıyla çıkıp gitmiştim. (Görünüşe göre LosAngeles Times çarpıcı bir öykü çıkarmak istemişti ve adımı yayınlamakişlerine yaramıştı. Daha ergenlik çağında olduğum için, yazı suç işleyençocukların isimlerinin saklanması yasasını çiğnemese de geleneklereaykırı bir durumu vardı.)
Vinny ve ben oraya gittiğimizde, bu her iki tarafta da bir ilgi uyandı.Karşı tarafta bir ilgi uyandırmıştı, çünkü benim gazetede okudukları kor-san olduğumu anlamışlardı ve beni gördüklerine biraz şaşırmışlardı.Bizim tarafta da şaşkınlık yaratmıştı, çünkü tasarımcılardan her birininyaka kartının arkasına bir 100 dolarlık banknot sıkıştırılmıştı. Sistemlerinikırabilecek kişiye verecekleri ödül 300 dolardı. Bu, bir çift okul çocuğuiçin çok para gibi görünüyordu. İşe koyulmak için sabırsızlanıyorduk.
LOCK-11 iki katlı güvenliğe dayanan bilindik bir yöntemle yapılmıştı.Her zamanki gibi kullanıcının geçerli bir kimliği ve parolası olmalıydı,ama buna ek olarak kimlik ve parola yal-nızca yetkili uçbirimlerden girildiğinde .işe yarıyordu. Bu yaklaşıma uçhirim \ T © r İ f T i l © f itabanlı güvenlik deniyordu. Sistemi kıra- | ibilmek için bir korsanın yalnızca kimlik \ UÇBİRİM TABANLI \ve parolayı bilmesi yeterli değildi, bilgiyi j GÜVENLİK: Kısmen belirli Idoğru uçbirimden giriyor olması da j bir uçbirimin tanımlan- \gerekiyordu. İyi kurulmuş bir sistemdi ve i masına bağlı olarak kul- iLOCK-11'in yaratıcıları kötü adamları j landan güvenlik; bu güven- Idışarıda tutacağından emindiler. Onlara | tik yöntemi özellikle IBM in jbir ders verecek ve üstüne üstlük üç yüz I büyük bilgisayarlarında çok \dolar kazanacaktık. i kullanılırdı. i
170 Aldatma Sanatı
Mitnick Mesajı: ^| İşte, akıllı insanların rakiplerini hafife almalarına bir örnek daha. Siz ne dersiniz:
Siz de şirketinizin güvenlik önlemlerine, üzerlerine 300 dolar bahse girecek kadar
güveniyor musunuz? Bazen teknolojik bir güvenlik önleminin çevresinden dolaş-
I manın tek yolu sizin düşündüğünüz şekilde değildir.
RSTS/E üstadı olarak bilinen ve benim de tanıdığım adamlardan biribizden önce tanıtım masasına gelmişti. Yıllar önce kendi arkadaşlarıbeni geri çevirdikten sonra DEC dahilî geliştirme bilgisayarına girmemkonusunda bana meydan okuyan adamlardan biriydi. O günden bu yanasaygın bir programcı olmuştu. Biz gelmeden önce LOCK-11'i kırmayıdenediğini fakat başaramadığını öğrendik. Olay tasarımcılara, ürün-lerinin gerçekten güvenli olduğu konusunda büyük güven vermişti.
Yarışma çok basitti: Kırıyordun, parayı alıyordun. İyi bir tanıtım gös-terisiydi; biri onları küçük düşürüp parayı almadığı sürece. Ürünlerindeno kadar eminlerdi ki tanıtım masasına sistemdeki bazı hesaplara aithesap numaralarını ve parolan içeren bir listeyi asma cüretini bilegöstermişlerdi. Hiçbiri de öyle sıradan hesaplar değildi, hepsi de yetkil-erle donatılmış ayrıcalıklı hesaplardı.
Bu aslında kulağa geldiği kadar çarpıcı birşey değildi. Böyle birdüzenekte, her uçbirimin doğrudan bilgisayarın üstündeki girişlerdenbirine bağlandığını biliyordum. Konferans salonuna bir ziyaretçinin yal-nızca ayrıcalıkları olmayan bir kullanıcı olarak bağlanabilmesine izinveren beş uçbirim kurduklarını anlamak için dâhi olmaya gerek yoktu.Diğer bir deyişle bu uçbirimierden bağlanmak yalnızca sistem yöneticisiolmayan hesaplarla mümkündü, iki yol varmış gibi görünüyordu: Yagüvenlik yazılımını olduğu gibi bertaraf edecektik -ki bu LOCK-11'intasarlanış amacıydı- ya da bir şekilde tasarımcıların düşünmediği birşekilde yazılımın çevresinden dolaşacaktık.
Meydan okumaya karşılık vermekVinny ve ben oradan uzaklaşıp bahsi konuşmaya başladık ve benim
aklıma bir plan geldi. Masum masum ortalıkta gezinip uzaktan tanıtımmasasını gözlüyorduk. Öğlen olduğunda ve kalabalık azaldığında üçtasarımcı aralıktan yararlanıp birlikte yemeğe gittiler ve geride araların-dan birinin karısı ya da kız arkadaşı olabilecek bir kadın bıraktılar.Tekrar geri gittik ve ondan bundan konuşarak ben kadını oyalamayabaşladım. "Ne kadar zamandır şirkette çalışıyorsunuz? Şirketinizinpazarda başka hangi ürünleri var?" gibi şeyler.
Bu sırada Vinny kadının görebileceği alanın dışında işe koyulmuş,her ikimizin de geliştirdiği bir becerisini kullanıyordu. Bilgisayarlara
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 171
girme çılgınlığımız ve sihirbazlığa duyduğum kendi ilgim dışında, ikimizde kilit açmakla çok ilgileniyorduk. Küçükken San Femando Vadisi'nde,kilit açma, kelepçelerden kurtulma, sahte kimlik yaratma gibi konularda-bir çocuğun bilmemesi gereken her şeyle ilgili aykırı kitapların bulun-duğu bir kitapçının raflarını didik didik etmiştim.
Vinny de benim gibi hırdavatçıdan alınmış herhangi bir sıradan kili-di açmak konusunda oldukça iyi olana kadar çalışmıştı. Bir ara kilitlerleilgili şakalar yapmaya bayılırdım. Örneğin daha güvenli olsun diye ikikilit birden kullanan birini görürsem iki kilidi de açar, yerlerinideğiştirirdim, bu da her birini yanlış anahtarla açmaya çalışan kilit sahib-inin kafasını karıştırıp canını sıkardı.
Sergi salonunda ben genç kadını oyalarken Vinny masanıngerisinde görülmeyecek şekilde yere çökmüş, adamların PDP-11 mini-bilgisayarlarının ve kablo sonlarının durduğu dolabın kilidini açıyordu.Dolabın kilitli olduğunu düşünmeleri şaka gibiydi. Çilingirlerin gofret kilitdedikleri, bizim gibi oldukça acemi kilit açıcılar tarafından bileanahtarsız açması çok kolay olan kilitler kullanıyorlardı.
Vinny'nin kilidi açması bir dakika kadar sürdü. Dolabın içinde tamaradığı şeyi bulmuştu. Kullanıcı uçbirimlerini bağlamak için bir dizibağlantı noktasının yanı sıra konsol uçbirimi için de ayrı bir bağlantınoktası vardı. Bu uçbirim bilgisayar işletmeninin ya da sistem yöneti-cisinin tüm bilgisayarları yönetmesi için kullanılıyordu. Vinny konsolbağlantısından çıkan bir kabloyu tanıtım masasındaki uçbirimlerdenbirine taktı.
Bu, bu uçbirimin artık bir konsol uçbirimi olarak tanınacağı anlamınageliyordu. Yeni bir kablo takılmış makinanın başına oturdum ve tasarım-cıların korkusuzca verdikleri parolalardan birini kullanarak sistemegirdim. LOCK-11 yazılımı artık beni yetkili bir uçbirimden bağlanıyorolarak gördüğü için bana giriş izni vermişti ve bir sistem yöneticisininyetkileriyle bağlanmıştım. Buradaki tüm uçbirimlerden ayrıcalıklı kul-lanıcı olarak bağlanmamı sağlayacak şekilde değiştirerek işletim sis-temini yamaladım.
Gizli yamam yüklendikten sonra Vinny uçbirim kablosunu çıkarıp ilktakılı olduğu yere geri takma işini yaptı. Sonra kilidi yeniden kurcalayıpbu sefer dolabın kapısını kilitledi.
Bilgisayarda hangi dosyaların olduğunu görmek için bir dizindökümü aldım. LOCK-11'in programına ve ilgili dosyalara bakarken çokşaşırtıcı bulduğum bir şeyle, bu bilgisayarda bulunmaması gereken birdizinle karşılaştım. Tasarımcılar kendilerinden ve yazılımlarının aşıla-maz olduğundan o kadar eminlerdi ki, yeni ürünlerinin kaynak kodlarınıkaldırmaya bile yeltenmemişlerdi. Hemen yanındaki çıktı alma uçbirim-ine geçerek, kaynak kodunun parçalarını, o zamanlar kullanılan yeşilşeritli sürekli formlara bastırmaya başladım.
172 Aldatma Sanatı
Vinny kilidi kapamayı yeni bitirmiş ve yanıma gelmişti ki adamlaröğle yemeğinden dönüyorlardı. Yazıcı yazmasını sürdürürken, beni bil-gisayarın klavyesine birşeyler girerken buldular. "Ne yapıyorsun,Kevin?" diye sordu bir tanesi.
"Sadece kaynak kodlarınızın çıktısını aldırıyorum" dedim. Doğalolarak şaka yaptığımı düşündüler. Ta ki yazıcıya bakıp çıktıların gerçek-ten titizlikle korudukları ürünlerinin kaynak kodu olduğunu görünceye
. kadar.
Ayrıcalıklı kullanıcı olarak girdiğime inanamadılar. "Bir Kontrol-T gir",dedi tasarımcılardan biri. Girdim. Ekranda çıkan görüntü söylediklerimidoğruluyordu. Vinny, "Üç yüz dolar, lütfen", derken adam alnına vuruyordu.
Adamlar parayı ödediler. Günün kalanında Vinny ve ben konferanskartlarımıza taktığımız yüz dolarlık banknotlarla dolaştık. Herkes par-aların ne anlama geldiğini biliyordu.
Vinny ve ben, doğal olarak, yazılımı yenmiştik ve eğer tasarım ekibiyarışma için daha iyi kurallar belirleselerdi ya da daha iyi bir kilit kul-lansalardı ya da teçhizatlarının başında dursalardı, o gün bir çiftçocuğun elinden çektiklerini çekmeyeceklerdi.
Sonradan öğrendim ki tasarım ekibi para çekmek için bankaya uğra-mak zorunda kalmış. Bize verdikleri yüz dolarlık banknotlar yanlarındagetirdikleri tüm paraymış.
Bir saldırı aracı olarak sözlükEğer biri parolanızı ele geçirirse sisteminizi işgal edebilir. Çoğu
durumda neyin ters gittiğini bile anlamazsınız.
Adına İvan Peters diyeceğim genç bir saldırganın yeni bir oyununkaynak kodunu ele geçirmek gibi bir hedefi vardı. Şirketin geniş alanağına (WAN) girmekte zorlanmamıştı, çünkü bilgisayar korsanıarkadaşlarından biri şirketin internet sunucularından birini çoktanaşmıştı. Arkadaşı internet yazılımında güncellenmemiş bir açık bulduk-tan sonra sistemin iki yönlü sunucu olarak kurulduğunu anlayıncaneredeyse küçük dilini yutmuştu. Yani dahilî ağa girmek için de bir girişnoktası bulunuyordu.
Ama ivan bağlandıktan sonra, Louvre müzesine girmek ve MonaLisa'yı bulmaya çalışmakla eş değer bir zorlukla karşılaşmıştı. Müzeharitası elinizde yoksa orada haftalarca gezinebilirdiniz. Şirket, yüzlerceofisi ve binlerce bilgisayar sunucusu olan dünya çapında bir şirketti vetam olarak geliştirme sistemlerine ait bir dizin sunmuyor ya da onudoğru yere götürecek bir tur rehberi de sağlamıyordu.
Hedeflediği sunucuyu bulmak için teknik bir yaklaşım kullanmak yer-
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 173
ine ivan bir toplum mühendisliği yaklaşımı kullandı. Bu kitapta açıklananyöntemlere dayanan telefon görüşmeleri yaptı. Önce, Bl teknik destekservisini arayarak ekibiyle tasarladıkları üründe arayüz sorunu yaşayanbir şirket çalışanı olduğunu söyledi ve oyun geliştirme ekibinin proje lid-erinin telefon numarasını istedi.
Sonra kendisine verilen adı, Bi'den biri gibi davranarak aradı. "Bugece geç saatlerde bir routerı değiştireceğiz ve ekibinizin sunucuylabağlantısının kopmayacağından emin olmak istiyoruz. Bunun için ekib-inizin hangi sunucuyu kullandığını bilmemiz gerekiyor." Ağ sürekliyenileniyordu ve sunucunun adını vermenin hiçbir zararı olmazdı, öyledeğil mi? Sunucu parola korumalı olduğuna göre yalnızca adını bilmekiçeri girmeye çalışan birinin işine yaramazdı. Böylece adam saldırganasunucunun adını verdi. Arayanın anlattıklarının doğru olup olmadığınıkontrol etmeye ya da adamın adını soyadı ve telefonunu almaya yelten-medi bile. Yalnızca sunucu adlarını verdi; ATM5 ve ATM6.
P a r o l a s a l d ı r ı s ı ......._. ;. ;. . .. ... -Bu noktada ivan tanımlama bilgilerini almak için teknik bir yaklaşım
kullandı. Uzaktan erişim kabiliyeti sunan sistemlere yapılan tekniksaldırıların çoğunda ilk adım sisteme ilk giriş noktasını oluşturacak zayıfparolalı bir hesap bulmaktır.
Bir saldırgan parolaları uzaktan tanımlayacak korsanlık araçları kul-lanmaya kalkarsa, bu çabası onun şirketin ağma saatlerce bağlıkalmasını gerektirebilirdi. Açıkçası bunu yapması pek akıllıca olmazdı,çünkü ne kadar uzun süre bağlı kalırsa farkedilme ve yakalanma riskide o kadar artardı. - • - . . . . . •
Hazırlık adımı olarak ivan hedef sistemin ayrıntılarını gösteren birsayım yapacaktı. Bir kez daha internet bu amaç için gerekli yazılımıkolayca sağlıyordu (http://ntsleuth.Ocatch.com; "catch" kelimesininbaşındaki sıfır). İvan, internet'te sayım sürecini otomatikleştiren veherkese açık pek çok korsanlık aracı buldu. Kuruluşun çoğunluklaWindows tabanlı sunucular kullandığını bilerek, bir NetBIOS (temelgiriş/çıkış sistemi) sayım programı olan NBTE'nin yazılımını indirdi.
ATM5 sunucusunun İP adresini girdi veprogramı çalıştırmaya başladı. Sayımprogramı sunucuda tanımlı pek çok
1 hesap bulmuştu.SAYIM: Hedef sistemde
sunulan hizmetleri, işletimsistemi tabanını ve sistemeerişimi olan kullanıcılarınhesap adlarının listesini
veren bir süreç.
Var olan hesaplar belirlendiktensonra, aynı sayım aracının bilgisayarsistemine sözlük saldırısı yapma özelliğikullanılabilirdi. Sözlük saldırısı çoğu bil-gisayar güvenliği çalışanının ve saldır-ganların oldukça yakından bildikleri bîr
174 Aldatma Sanatı :
şeydir ama pek çok kişi bunun mümkün olduğunu, duyunca herhaldeşaşkına uğrayacaktır. Bu tarz bir saldırı, sistemdeki her kullanıcınınparolasını sıkça kullanılan kelimeleri tarayarak ortaya çıkarmaya yöne-liktir.
Bazı şeyleri yapmak konusunda tembellik edebiliyoruz ama paro-lalarını seçerlerken insanların yaratıcılıklarının ve hayal güçlerinin kay-bolduğunu görmek beni hep hayrete düşürmüştür. Çoğumuz bize koru-ma sağlayan bir parola isteriz ama aynı zamanda kolay hatırlanmasınıda isteriz ve bu genellikle kendimize yakın şeyler olması anlamına gelir.Adımızın baş harfleri, göbek adımız, lâkabımız, eşimizin adı, ensevdiğimiz şarkı, film ya da yemek olabilir. Oturduğumuz sokağın adı yada yaşadığımız şehrin adı, kullandığımız arabanın markası, Havvai'dekalmak istediğimiz sahildeki tatil köyünün adı ya da en iyi alabalıklarıavladığımız en sevdiğimiz akarsuyun adı. Burada çıkan desenigördünüz mü? Bunlar çoğunlukla kişi adları, yer adları ya da sözlüktebulunabilecek sözcükler. Bir sözlük saldırısı, sık kullanılan kelimelerihızlı bir şekilde girerek her birinin bir ya da daha fazla kullanıcıhesabının parolası olup olmadığına bakar.
İvan sözlük saldırısını üç basamakta çalıştırdı. İlkinde yaklaşık 800kelimelik en sık kullanılan parolalardan oluşan basit bir liste kullandı. Bulistede gizli, iş ve parola kelimeleri de vardı. Program ayrıca sözlükkelimelerinin yanına sayı ekleyerek ya da içinde bulunan ayın sayısınıgirerek sıra değişiklikleri de yapıyordu. Program her kelimeyi belirlenmiştüm kullanıcı hesaplarında deniyordu. İşe yaramadı.
Sonraki denemesinde ivan, Google arama motoruna gitti ve "sözcüklisteleri sözlükler" anahtar kelimeleriyle arama yaptı, ingilizce ve pekçok yabancı dil için kapsamlı sözcük listeleri ve sözlükler bulunan bin-lerce site buldu. Bir İngilizce sözlüğün tümünü indirdi. Sonra Google'dabulduğu bazı sözcük listelerini de indirerek elindekileri zenginleştirdi.İvan www.outpost9.com/filesAA/ordLists.html sitesini seçmişti.
Bu site ona, aralarında soyadların, adların, kongre üyelerinin adlarınınve ilgili kelimelerin, oyuncuların adlarının, incil'den kelimelerin ve adlarınolduğu, indirilebilecek (hepsi de ücretsiz) bir dizi dosya sunuyordu.
Sözcük listeleri sunan pek çok siteden biri de aslında Oxford Üniver-sitesinin sitesiydi; ftp://ftp.ox.ac.uk/pub/wordlists.
Diğer siteler çizgi film karakterlerini, Shakespeare'in kullandığısözcükleri, Odyssea'da geçen kelimeleri, Tolkien ve Uzay Yolu dizisininyanı sıra bilim ve dinle ilgili olanları da içeren başka listeler de sunuyor-lardı. (Bir şirket 4,4 milyon sözcük içeren bir listeyi yalnızca 20 dolara sat-maktadır.) Saldırı programı sözlükteki kelimelerin anagramlarını -pek çokbilgisayar kullanıcısının güvenliklerini artırdığını düşündüğü, sevilen Wyöntemdir- deneyecek şekilde de programlanabilir. «,
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 175
Düşündüğünden daha hızlıivan hangi sözcük listesini kullanacağına karar verdikten sonra saldırıya
geçti. Yazılım otomatik olarak çalışıyordu ve İvan dikkatini başka şeylere.erebilirdi. İşin inanılmaz tarafı ise şuydu: Böyle bir saldırı sırasında bilgisa-.ar korsanının Rip van Winkle gibi uykuya dalacağını ve uyandığındayazılımın daha küçücük bir yol katetmiş olacağını düşünebilirsiniz. Aslında,saldırılan işletim sistemi tabanına, sistemin güvenlik ayarlarına ve ağ bağlan-tısına bakılarak ingilizce sözlükte bulunan bütün sözcükler -şaşılacak şek-"ide- otuz dakikadan az bir süre içerisinde denenebilir!
Bu saldırı sürerken ivan başka bir bilgisayardan geliştirme grubununkullandığı diğer sunucu olan ATMö'ya benzer bir saldırı başlattı. Yirmidakika sonra saldırı yazılımı hiçbir şeyin farkında olmayan kullanıcılarınçoğunun olanaksız olduğunu düşündüğü bir işi başardı. Yazılım kul-lanıcılardan birinin, Yüzüklerin Efendisi kitabındaki Hobbitlerden birininadı olan "Frodo" kelimesini parola olarak kullandığını bulmuştu.
ivan, elinde bu parolayla bu kullanıcının hesabından ATM6sunucusuna bağlandı.
Saldırganımız için hem iyi hem de kötü haberler vardı. İyi haber,kırdığı hesabın, bir sonraki adımda önemli olacak yönetici özellikleriolmasıydı. Kötü haber ise oyunun kaynak kodu hiçbir yerde yoktu. Ozaman diğer makinada, sözlük saldırısına karşı dirençli olduğunuanladığı ATM5'te olmalıydı. Ama ivan'ın vazgeçmeye niyeti yoktu, den-emediği birkaç numarası daha vardı.
Bazı Windows ve Unix işletim sistemlerinde şifrelenmiş oarolalar,yüklü oldukları bilgisayara erişimi olan herkese açıktır. Bunun nedenişifreli parolaların kınlamaması ve bu yüzden korumaya gerek olma-masıdır. Bu kuram yanlıştır. Yine internette bulunabilen pwdump3 adlıbaşka bir araçla İvan, ATM6 makinasındaki şifrelenmiş parolaları bulupindirdi.
Tipik bir şifrelenmiş parola dosyası aşağıdaki gibidir:
Administrator:500:95E4321A38AD8D6AB75EOC8D76954A50:2E48927AOBO4F3BFB341E26F6D6E9A97:::
akasper:1110:5A8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357F157873D72D0490821: : :
digger:llll:5D15COD58DD216C525AD3B83FA6627C7:17AD564144308B42B8403DOIAE256558: : :
ellgan:1112:2017D4A5D8D1383EFF17365FAFIFFE89:O7AEC950C22CBB9C2C734EB89320DB13: : :
tabeck:1115:9F5890B3FECCAB7EAAD3B435B51404EE:lFOl5A728447212FCO5EID2D820B35B: : :
176 Aldatma Sanatı :
vkantar:1116:81A6A5DO35596E7DAAD3B435B51404EE;B933D36DD12258946FCC7BD153F1CD6E : ; :
vwallwick:1119:25904EC665BA30F4449AF42E1054F192:15B2B7953FB632907455D2706A432469 : : :
mmcdonald:1121:A4AEDO98D29A3217AAD3B435B51404EE:E40670F936B79C2ED522F5ECA9398A27 : : :
kworkman:1141:C5C598AF45768635AAD3B435B51404EE:DEC8E827A121273EFO84CDBF5FD1925C : : :
İvan bilgisayarına indirdiği şifrelenmiş parolalara, başka bir araç kul-lanarak kaba kuvvet (brüte force) olarak bilinen farklı bir parola saldırısıyaptı. Bu tarz saldırılar alfanümerik karakterlerin ve çoğu özel simgeninkombinasyonlarını dener.
ivan, L0phtcrack3 adlı bir yazılım kullandı, ("loft-krak şeklindeokunur ve www.atstake.com sitesinde bulunabilir; bazı mükemmel paro-la ele geçirme araçları için başka bir kaynak da www.elcomsoft.com'dur.) Sistem yöneticileri L0phtcrack3 yazılımını zayıf parolaları denetle-mek için, saldırganlar ise parolaları kırmak için kullanırlar. LC3 harf, sayıve aralarında !@#$%A& gibi simgelerin de bulunduğu karakter kombi-nasyonlarıyla parolaları yoklar (Ancak, dikkat edilmelidir ki, yazıcıdanbastırılamayacak karakterler kullanıldığında LC3 parolayı bulmayıbaşaramaz).
Programın neredeyse inanılmaza yakın bir hızı vardır. İşlemcisi 1GHz olan bir makinada hızı saniyede 2,8 milyon denemeye kadar çıka-bilmektedir. Bu hızda bile, eğer sistem yöneticisi Windows işletim siste-minde doğru ayarlamaları yaptıysa (LANMAN şifreli parolalarının kul-lanılmasını iptal etmek gibi), bir parolanın kırılması yine de oldukçauzun bir zaman alabilir.
Bu nedenle saldırgan sık sık parola dosyalarını indirir ve hedef şir-ketin ağına bağlı kalıp farkedilme riskini artırmaktansa saldırıyı kendibilgisayarında ya da başka bir bilgisayarda yapar.
İvan için, bekleyiş o kadar uzunsürmedi. Birkaç saat sonra, kullandığıyazılım, geliştirme ekibi üyelerinin herbirine ait parolaları verdi. Ama bunlarATM6 makinasının kullanıcılarının paro-lalarıydı ve ivan peşinde olduğu kaynakkodlarının bu sunucuda olmadığını
TerimlerKABA KUVVET
SALDIRISI: Harfsayısalkarakterlerin ve özel
simgelerin mümkün olanher kombinasyonunu
deneyen bir parola belir-leme stratejisi.
zaten biliyordu.
Şimdi ne olacaktı? Daha ATM5 maki-nesinde bulunan bir hesabın parolasınbulmayı başaramamıştı. Bilgisayar kor-
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 177
sanlarına özgü düşünme şeklini kullanarak ve sıradan kullanıcılarınzayıf güvenlik alışkanlıklarını anlamış biri olarak, ekip üyelerindenbirinin her iki makina için de aynı parolayı kullanıyor olabileceğinidüşündü.
Tam tahmin ettiği gibiydi. Ekip üyelerinden biri "oyuncular" olanparolasını hem ATM5'de hem de ATM6'da kullanıyordu.
Aradığı programları bulabilmesi için kapı ardına kadar açılmıştı.Kaynak kodu klasörünü bulduktan ve onu zevkle indirdikten sonra sis-tem kıranlara özgü bir adım daha attı. İleride yazılımın güncellenmişsürümünü almak isteyebileceğini düşünerek yönetici hakları olan amakullanılmayan bir hesabın parolasını değiştirdi.
Aldatmacanın incelenmesiHem teknik hem de insan kaynaklı açıklardan faydalanan bu saldırı-
da saldırgan, tescilli bilgileri tutan geliştirme sunucularının adlarını veyerlerini öğrenmek için sahte bir telefon görüşmesi yapmıştı.
Sonra, geliştirme sunucusunda hesabı olan herkesin geçerli hesapadlarını belirlemek için bir yazılım kullandı. Sonra da birbiri ardına ikiparola saldırısı gerçekleştirdi. Bunların arasında, bir İngilizce sözlüktebulunan tüm kelimeleri deneyerek sıkça kullanılan parolaları arayansözlük saldırısı da vardı. Bazen bu sözlük, adlar, yerler ve özel ilgi alan-ları içeren pek çok başka sözcük listesiyle desteklenebilir.
Hem ticari hem de halka açık korsanlık araçları, akla gelen herhan-gi bir amaç için kullanabilmek üzere herkes tarafından elde edilebildik-lerinden, yatırımlarınız olan bilgisayar sistemlerini ve ağ altyapınızıkorurken uyanık davranmanız oldukça önemlidir.
Bu tehlikenin boyutu abartılmış değildir. Computer VVorld dergisinegöre, New York merkezli Oppenheimer Fonları'nın incelenmesindenşaşırtıcı bir bulgu elde edilmiştir. Şirketin Ağ Güvenliğinden SorumluGenel Müdür Yardımcısı, standart yazılım paketleri kullanarak şirketçalışanlarına bir parola saldırısı yapmıştır. Dergideki yazıya göre üçdakika içerisinde 800 çalışanın parolası kırılmıştır.
Mitnick Mesajı:Monopol oyununun terimleri gibi, parolanız için sözlükten aldığınız bir kelime kul-
lanırsanız sonuç, Hemen Hapse Git; Başlanmıştan Geçme, 200 Dolar Alma şek-
linde olur. Çalışanlarınızı, varlıklarınızı gerçekten koruyacak parolalar seçmeleri
konusunda eğitmelisiniz.
178 Aldatma Sanatı
Aldatmacanın engellenmesiToplum mühendisliği saldırıları teknolojik bir unsur eklendiğinde
daha tehlikeli bir hal alabilmektedir. Bu tarz bir saldırıyı engellemek,genellikle hem insan boyutunda hem de teknik boyutta önlem almayıgerektirir.
Hayır demeyi öğrenin •Buradaki ilk öyküde telefon şirketinin RCMAC memuru, değişimi
onaylayan hizmet emirleri yokken on telefon hattının reddet-kes duru-munu kaldırmamalıydı. Çalışanların güvenlik kurallarını ve süreçlerinibilmeleri yeterli değildir; bu kuralların, zararın oluşmasını engellemekiçin ne kadar önemli olduğunu da anlamış olmaları gerekir.
Güvenlik kuralları süreçlerinin uygulanması bir ödül-ceza sistemiiçerisinde teşvik edilmelidir. Doğal olarak kurallar esnek olmalı ancakgöz ardı edilme olasılıkları yüksek, sorumluluk gerektiren adımları atmaişini çalışanlara bırakmamalıdır. Ayrıca bir güvenlik bilinci programı,güvenlik süreçlerinin çevresinden dolaşan kısayollar kullanmanın -herne kadar alınan işleri zamanında tamamlamak önemli olsa da- şirket veçalışanlar için yıkıcı olabileceği konusunda ikna edici olmalıdır.
Aynı dikkat telefonda yabancı birine bilgi verirken de gösterilmelidir.Arayan kendini ne kadar ikna edici bir tarzda tanıtırsa tanıtsın, şirkette-ki deneyiminden ve konumundan bağımsız olarak, kimliği onaylananakadar, ona herkese açık olarak belirlenmiş bilgiler dışında bilgi ver-ilmemelidir. Eğer bu kurala sıkı bir şekilde uyulsaydı, bu öyküde geçentoplum mühendisliği oyunu başarısız olur ve federal tutuklu Gondorff birdaha arkadaşı Johnny'le birlikte kimseye yeni bir oyun oynayamazdı.
Şu husus o kadar önemli ki bu kitapta bunu sürekli yineliyorum:Kontrol, kontrol, kontrol. Yüzyüze yapılmamış herhangi bir istek, isteksahibinin kimliğini kontrol etmeden yerine getirilmemelidir; nokta.
TemizlikYirmi dört saat çalışan güvenlik görevlileri olmayan şirketler için
saldırganın mesai saatlerinden sonra ofise girmesi ciddi bir sorundur
Temizlikçiler, şirketten gibi görünen ve bir tuhaflık görmedikleri herkeseçoğunlukla saygıyla davranırlar. Ne de olsa bu kişi onların başını belayasokabilecek ya da onları işten attırabilecek biridir. Bu yüzden ister şirketelemanı olsunlar ister taşeron bir temizlik şirketinden geliyor olsunla^temizlik ekipleri fiziksel güvenlik konularında eğitilmelidirler.
Temizlik işinin üniversite diploması gerektirdiği söylenemez, hattâingilizce konuşmayı bile gerektirmez ve verilen eğitimler, eğer varssfarklı işler için ne tür temizlik malzemeleri kullanılacağı gibi güvenlik e
Teknolojiyi ve Toplum Mühendisliğini Birleştirmek 179
ilgisi olmayan konularda olurlar. Genellikle bu insanlar, "Eğer mesaisaatleri dışında kendisini içeri almanızı isteyen biri olursa, şirket kimlikkartını göstermesi şarttır. Sonra sizin temizlik şirketini arayıp, durumuanlatmanız ve karşı tarafın size izin vermesini beklemeniz gerekir", gibitalimatlar almazlar.
Bir kuruluşun -başına gelmeden önce- bu bölümde anlatılan durum-lara karşı hazırlıklı olması ve çalışanlarını ona göre eğitmesi gerekir.Gördüğüm kadarıyla, hepsi olmasa da, özel sektör işletmelerinin çoğufiziksel güvenliğin bu boyutu konusunda fazlasıyla gevşek davranıyor-lar. Soruna diğer yönden yaklaşıp sorumluluğu şirketin kendi çalışan-larına da yükleyebilirsiniz. Yirmi dört saat güvenlik hizmeti olmayan birşirket, mesai saatleri dışında iş yerine gelen çalışanlarına kendianahtarlarını ve manyetik giriş kartlarını getirmelerini şart koşabilir.Temizlik görevlilerine hiçbir zaman birini içeri almamaları konusundakesin talimatlar verebilir. Temizlik şirketine de içeriye kimseyi alma-maları konusunda çalışanlarının her zaman eğitimli olmaları gerektiğinihatırlatabilirsiniz. Şu basit bir kuraldır: Kapıyı kimseye açmayın. Eğer buuygunsa, temizlik şirketi sözleşmesinin maddelerinden biri olarakyazıya dökülebilir.
Temizlik ekipleri aynı zamanda birinin arkasından geçmeteknikleriyle ilgili de eğitilmelidirler. Ayrıca birinin, bir şirket çalışanınabenziyor diye, hemen peşlerinden binaya girmeye çalışmasına izin ver-meyecek şekilde de bilgilendirilmeliler.
Arada bir -örneğin yılda üç ya da dört kere- içeri girme testleri veaçıklık değerlendirmeleri yapın. Temizlik ekibi çalışırken kapıya birinigönderin ve o kişi temizlikçileri ikna ederek içeri girmeye çalışsın. Bu işiçin kendi çalışanlarınızı kullanmaktansa bu tarz içeri girme testlerindeuzmanlaşmış şirketlerle çalışmayı tercih edin.
Kulaktan kulağa: Parolalarınızı gizli tutunGiderek daha çok şirket teknik yöntemlere dayanan güvenlik kural-
larını uygulamaya geçiriyor. Örneğin, parola kurallarını denetleyecekşekilde işletim sistemi ayarlanabilir ve hesabı kilitlemeden öncebaşarısız parola giriş denemelerinin sayısı sınırlandırılabilir. AslındaMicrosoft VVİndovvs'un işletmelere yönelik sürüm paketlerine bu özellikgenellikle mevcuttur. Ancak daha fazte çaba gerektiren özelliklerdenmüşterilerin ne kadar çabuk sıkıldığı görülünce, ürünler güvenlikayarları kapalı olarak sunulmaya başlandı. Yazılım şirketlerinin -tamtersi olması gerekirken- ürünlerini güvenlik ayarları kapatılmış olarakteslim etmeyi durdurmasının tam zamanıymış gibi görünüyor. (Sanırımyakında bunu kendileri de anlayacaklar.)
Şirket güvenlik kurallarının, kolay yanılabilen insanlara gereğindenfazla bel bağlamamak amacıyla, mümkün olduğunca teknolojik güven-
180 Aldatma Sanatı
lik unsurlarını uygulamaları konusunda sistem yöneticilerine dayatmadabulunması son derece doğaldır. Örneğin belirli bir hesapta birbiri ardınayapılan başarısız giriş denemelerinin sayısını sınırlamanın bir saldır-ganın işini oldukça zorlaştıracağını görmek çok fazla kafa yormayıgerektirmez.
Her kuruluş, sağlam güvenlik ve çalışan üretkenliği arasındaki has-sas dengeyi korumak zorundadır. Bu, bazı çalışanların güvenliği hiçesaymalarına, alman önlemlerin hassas şirket bilgilerini korumada nekadar önemli olduğunu görememelerine neden olur.
Eğer şirket kurallarının değinmediği bazı konular varsa, çalışanlaren az zorluk çekecekleri yoldan, işlerini kolaylaştıracak en uygunhareketi yaparak görevlerini yerine getirebilirler. Bazı çalışanlardeğişime direnç gösterebilir ve doğru güvenlik alışkanlıklarını açık açıkhiçe sayabilir. Basit olmayan ve uzun parola kurallarına uyan ama sonrada parolasını bir not kâğıdına yazıp meydan okurcasına bilgisayarınınekranına yapıştıran çalışanlarla karşılaşmışsınızdır.
Şirketinizi korumanın en etkili yollarından biri, teknik altyapınızda,güçlü güvenlik ayarlarının yanı sıra keşfedilmesi zor parolalar kullan-maktır.
Parola kurallarıyla ilgili ayrıntılı değerlendirmeleri 16. bölümde bula-bilirsiniz.
1 2 İŞE YENİ GİRENLERE SALDIRILAR
Burada anlatılan öykülerin çoğunun da gösterdiği gibi becerikli birtoplum mühendisi çoğunlukla kurum içi yetki sıralamasında alt seviyedeolan çalışanları hedefler. Bu insanları, hassas şirket bilgilerine saldır-ganı bir adım daha yaklaştıracak, zararsız gibi görünen bilgileri ver-meleri doğrultusunda yönlendirmek kolaydır.
Bir saldırganın işe yeni başlamış çalışanlara saldırmasının nedeni,onların çoğu zaman belirli şirket bilgilerinin ya da bazı hareketlerin olasısonuçlarının farkında olmamalarıdır. Ayrıca en bilinen toplum mühendis-liği tekniklerinden bazılarıyla kolayca etki altına girme eğilimindedirler;yetkili kişi izlenimi uyandıran biri, arkadaş canlısı ve sevimli duran biri,şirkette kurbanın da tanıdığı kişileri tanıyan biri, saldırganın isteklerininçok acil olduğuyla ilgili bir talep ya da kurbanın bir yardım göreceğine yada göze gireceğine yönelik edindiği bir kanı gibi.
Şimdi de iş başındaki alt seviye çalışanlara yapılan saldırılara bazıörnekler verelim.
Yardımsever Güvenlik GörevlisiDolandırıcılar açgözlü birini bulmaya çalışırlar çünkü dolandırılma
olasılıkları yüksek olanlar onlardır. Toplum mühendisleri temizlikekibinden ya da güvenlik görevlilerinden birini seçerken iyi huylu,arkadaş canlısı ve güvenilir birini bulmayı umarlar. Çünkü en büyükolasılıkla yardım etmeyi isteyebilecekler onlardır. Aşağıda anlatılanöyküde saldırganın aklından geçen de tam böyle bir şeydir.
Elliot'un Bakış Açısı • . ..,Gün/Saat: Şubat 1998, Salı, sabah 03:26.Yer: Marchand Mikrosistemler tesisi, Nashua-New Hampshire
Elliot Stanley saat başı çıkması gereken devriyeler dışında yerindenayrılmaması gerektiğini biliyordu. Ama gecenin bir yansı olmuştu vemesaisi başladığından beri tek bir kişi bile görmemişti. Telefondakizavallı adamın sesi gerçekten yardıma ihtiyacı varmış gibi geliyordu. Vebirilerine küçük bir iyilik yapmak insanın her zaman kendini daha iyi his-setmesini sağlıyordu.
182 Aldatma Sanatı
'in Öyküsü
Bili Goodrock'un çok basit, hiç değişmeden on iki yaşından beri bağ-landığı tek bir amacı vardı: Yirmi dört yaşına gelmeden ve kendi birikim-lerinin tek kuruşuna dokunmadan emekli olmak. Kendi başına dabaşarılı olabileceğini, her şeye kadir, huysuz babasına gösterecekti.
İki yıl kalmıştı ve gelecek yirmi dört ayda başarılı bir iş adamı ve zekibir yatırımcı olarak zengin olamayacağı oldukça açıktı. Bir ara silahlabanka soymayı da düşünmüş ama bunun hikâyelerde kalması gerek-tiğine ve tehlike-kazanç dengesinin berbat olduğuna karar vermişti.Onun yerine, Rifkin gibi, bir bankayı elektronik olarak soymanın hayal-lerini kuruyordu.
Bili en son ailesiyle birlikte Avrupa'ya gittiğinde Monaco'da 100franklık bir banka hesabı açtırdı. Yüz frank orada duruyordu ama oparanın bir anda yedi basamaklı olmasını sağlayacak bir planı vardı.Eğer şansı yaver giderse bu miktar sekiz basamaklı bile olabilirdi.
BiH'in kız arkadaşı Annemarie büyük bir Boston bankasında birleşmeve devirler bölümünde çalışıyordu. Bir gün kız arkadaşının ofisinde, onungeç saatlere kalmış bir toplantıdan çıkmasını beklerken, merakını yene-medi ve kendi dizüstü bilgisayarını, içinde beklediği konferans salonun-daki ethernet girişine bağladı, işte! Dahili ağa, bankanın ağına bağlan-mıştı... hem de güvenlik duvarının arkasından. Aklına bir fikir.geldi.
Başarılı bir bilgisayar mühendisliği doktorası yapmakta olan veMarchand Microsystems'da staj yapan Julia adında genç bir kadınıtanıyan bir sınıf arkadaşıyla yeteneklerini bir araya getirdiler. Julia içer-den önemli bilgiler edinmek için iyi bir kaynak gibi görünüyordu. Kadınabir film senaryosu yazdıklarını söylediler ve Julia onlara inandı. Onlarlabir öykü yazmanın eğlenceli olduğunu düşünüyordu ve anlattıklarıdümenin nasıl çevrileceğiyle ilgili tüm ayrıntıları onlara anlattı. Fikrin çokiyi olduğunu düşünüyor ve film yazılarında adının geçmesi için süreklikafalarını ütülüyordu. Onu senaryoların nasıl sık sık çalındığıyla ilgiliuyardılar ve bunları kimseyi anlatmaması için yemin ettirdiler.
Julia tarafından iyi yetiştirilmiş olarak işin tehlikeli kısmını Bili kendiyaptı ve işi kotarabileceğinden hiç kuşku duymadı. Kendi ağzındandinleyelim:
Öğleden sonra telefon ettim ve gece güvenlik amirinin adının isaiahAdams olduğunu öğrenmeyi başardım. Gece 21:30'da binayı aradım vegiriş güvenlik masasında duran bekçiyle konuştum. Hikâyem tamamenaciliyete dayalıydı ve biraz telaşa kapılmış gibi konuştum. "Arabamlailgili bir sorun çıktı ve tesise gelemiyorum" dedim. "Acil bir durum var vegerçekten yardıma ihtiyacım var. Güvenlik amiri isaiah'ı aramayı dene-dim ama evde değil. Bana bir kerelik yardımcı olabilir misiniz, çok mak-bule geçecek."
İşe Yeni Girenlere Saldırılar 183
Geniş tesisteki odaların her biri numaralıydı, böylece adama bilgisa-yar laboratuvarının numarasını verdim ve yerini bilip bilmediğini sor-dum. Bildiğini söyledi ve benim için oraya gitmeyi kabul etti. Odayagitmesi birkaç dakikasını alacaktı. Tek bir telefon hattım olduğunu veonu da sorunu çözmek için ağa bağlanmakta kullandığım gibi bir baha-neyi öne sürerek onu laboratuvardan arayacağımı söyledim.
Aradığımda oraya varmış beni bekliyordu. Ona üzerinde "elmer"yazan bir etiket olan uçbirimi nerede bulacağını açıkladım. Bu, Julia'nınanlattığına göre, şirketin pazarladığı işletim sistemlerinin piyasa sürüm-lerinin yapıldığı ana bilgisayardı. Bekçi bilgisayarı bulduğunusöylediğinde Julia'nın bize doğru bilgi verdiğini anladım ve içim bir hoşoldu. Birkaç kere Enter tuşuna basmasını söyledim, o da bana ekranapound (£) işaretlerinin çıktığını söyledi. Bu bilgisayara kök hesaptan,yani tüm sistem yetkilerinin olduğu süper-kullanıcı hesabından girildiği-ni gösteriyordu. Bekçi, klavyede tek parmak yazıyordu ve ben ona, birazzorlu olan bir sonraki komutu söylerken kan ter içinde kaldı.
echo 'fix'.x:0:0::/:/bin/sh' >> /etc/passwd
Sonunda doğru girmeyi başardı ve böylece hesaplardan birinin adınıdeğiştirdik. Sonra ona şu komutu girmesini söyledim:
echo 'fix: : 10300;0:0' 55 /etc/shadow
Bu komut, iki nokta üst üstelerin arasındaki şifreli parolayı oluşturdu,iki nokta üstüstelerin arasına hiçbir şey koymamak parolanın olmaya-cağı anlamına gelir. Bu yüzden, hesaptaki düzeltmeyi boş bir parola kul-lanarak parola dosyasına eklemek için bu iki komut yetmişti. Daha daiyisi, bu hesap da süper-kullanıcı yetkilerine sahip olacaktı.
Bunun ardından ondan yapmasını istediğim şey, dosya adlarınınuzun bir listesini çıkaran tekrarlanan bir dizin komutu oldu. Sonra kâğıdıileri doğru beslemesini, yırtmasını ve yanına alıp bekçi kulübesine dön-mesini söyledim, çünkü daha sonra oradan bana birşeyler okumasınıisteyebilirdim.
işin güzel yanı bekçinin yeni bir hesap açtığından haberi yoktu. Onadizinlere göre dosya adlarını bastırtmıştım, çünkü daha önce yazdığı
N O T t Burada kullanılan arka kapı, işletim sistemi giriş programınıdeğiştiren türden değil. Daha doğrusu giriş programının kullandığıdinamik kitaplıktaki belirli bir işlev, gizli bir giriş noktasını yaratacak şe-kilde değiştiriliyor. Sıradan saldırılarda saldırganlar çoğunlukla ya girişprogramını değiştirirler ya da doğrudan ona yama yaparlar ama dikkatlisistem yöneticileri programı yükleme cd'sinde ya da başka dağıtım ortam-larında bulunan şekliyle karşılaştırarak değişikliği fark edebilirler.
•184 Aldatma Sanatı
YAMA: Çalıştırılabilir birprograma yerleştirildiğinde,
var olan sorunu çözen birprogram parçacığı.
komutların bilgisayar odasından onunlabirlikte çıkmasını istiyordum. Böylece sis-tem yöneticisi ya da işletmeni ertesisabah bir güvenlik ihlali olduğuna dairhiçbir şey fark etmeyecekti.
Artık bir hesabım, parolam ve tamyetkim vardı. Geceyarısından az öncesisteme telefonla bağlandım ve Julia'nın
"film senaryosu için" özenle yazdığı komutları girmeye başladım. Gözaçıp kapayıncaya kadar şirketin işletim sistemi yazılımının yeni sürümü-nün kaynak kodunun ana kopyasının durduğu geliştirme sistemineerişmiştim.
Julia'nın yazdığı ve işletim sistemi kitaplıklarından birindeki bir alt-programı değiştirdiğini söylediği yamayı yükledim. Aslında bu yama, sis-teme gizli bir parola kullanarak uzaktan erişim sağlayacak bir arka kapıoluşturuyordu.
Julia'nın benim için yazdığı talimatları özenle uygulayarak, önceyamayı yükledim; sonra da, yaptıklarımdan geriye hiçbir iz kalmayacakşekilde düzeltme hesabını kaldıran ve tüm denetleme günlüklerinitertemiz eden adımlar atıp etkili bir şekilde izlerimi yokettim.
Yakında şirket yeni işletim sistemi güncellemelerini, dünya çapındafinansal kuruluşlar olan müşterilerine göndermeye başlayacaktı. Vegönderdikleri her kopya, gönderilmeden önce ana dağıtım sürümüneyerleştirdiğim arka kapıyı içerecekti. Böylece güncellemeyi yükleyen herbankanın ve menkul değerler şirketinin bilgisayar sistemine erişmemisağlayacaktı.
Henüz tam olarak hedefime varmamıştım, yapacak daha çok işimvardı. "Ziyaret" etmek istediğim her finansal kurumun dahili ağınagirmem gerekiyordu. Sonra hangi bilgisayarlarını para havaleleri içinkullandıklarını bulmam ve yaptıkları işlemlerin ayrıntılarını ve parayı tamolarak nasıl havale ettiklerini öğrenebilmek için gözetleme yazılımlarıyüklemem gerekecekti.
Bunları tümünü uzaktan, herhangi bir yerdeki bir bilgisayardan yapa-bilirdim. Örneğin bir deniz kıyısından. Bekle beni Tahiti, geliyorum.
Yeniden bekçiyi aradım, yardımları için teşekkür ettim ve onadökümü çöpe atabileceğini söyledim.
Güvenlik görevlisinin görevleriyle ilgili aldığı talimatlar vardı ama nekadar ayrıntılı ve iyi düşünülmüş de olsalar bu talimatlar her olası durumuöngörmüyordu. Şirket çalışanı olduğunu düşündüğü biri için bir bilgisayara
Mitnick Mesajı:
işe Yeni Girenlere Saldırılar 185
Bir saldırgan bir bilgisayar sistemine ya da ağına İçendi ulaşamıyorsa, bunu yap-
ması için başka birisini bulmaya çalışacaktır. Planın yürümesi için fiziksel giriş-
lerin zorunlu olduğu durumlarda kurbanı aracı olarak kullanmak, işi kendisinin
yapmasından daha iyi bile olabilir, çünkü saldırgan böylece farkedilme ve yakalan-
ma tehlikesini oldukça azaltabilir.
oirkaç komut girmesinin yaratabileceği zarardan kimse ona söz etmemişti.
Her ne kadar güvenli bir laboratuvarın kilitli kapısının arkasında daolsa, bekçinin de işbirliğiyle, dağıtım kopyasınının saklandığı kritik sis-teme erişim oldukça kolay olmuştu. Bekçinin elinde, doğal olarak, tümkilitli kapıların anahtarları vardı.
Aslında dürüst olan bir çalışan bile (hikâyemizde doktora öğrencisive şirket stajyeri olan Julia) bir toplum mühendisliği saldırısı için canalıcı öneme sahip bilgileri vermesi için kandırılabilirya da bunu yapmasıiçin ona para yedirilebilir. Örneğin hedef bilgisayar sisteminin neredeolduğu ve -bu saldırının başarısı için çok önemli olan- yazılımın yenisürümünün ne zaman dağıtıma çıkacağı gibi bilgileri verebilirler, işletimsisteminin temiz bir kaynaktan yeniden yapılandırıldığı durumda, bu tarzbir değişikliğin çok erken yapılması, fark edilme ya da geçersiz olmatehlikesini getirdiği için zamanı bilmek önemlidir.
Bekçinin çıktıyı girişteki masasına götürmesini sağlamanın, sonra daonu orada çöpe attırmanın altındaki nedeni görebildiniz mi? Bu önemli biradımdı. Bir sonraki iş gününde bilgisayar işletmenleri işe geldiklerinde,saldırgan, çıktı alma uçbiriminde ya da laboratuvarın çöpünde onların bukanıtı görmelerini istemiyordu. Bekçiye akla yatkın bir açıklama yaparakdökümü yanında götürmesini sağlaması bu riskten kurtulmasına yetmişti.
Acil YamaTeknik destek biriminde çalışan birinin dışardan birine bilgisayar
ağına giriş hakkı tanımanın doğuracağı sakıncaların bilincinde olmasınıbeklersiniz. Ancak bu dışardan biri, yardımsever bir yazılım satıcısı gibidavranan akıllı bir toplum mühendisi ise, sonuçlar pek beklediğiniz gibiçıkmayabilir.
Faydalı Bir Telefon Görüşmesi -; ' ' • \ •
Arayan, orada bilgisayarlardan kimin sorumlu olduğunu bilmek isti-yordu ve santral memuru onu teknik destek sorumlusu Paul Ahearn'abağladı.
186 Aldatma Sanatı
Arayan, kendini Edward olarak tanıtarak, veritabanı satıcısıSeerVVare'dan aradığını söyledi. "Görünüşe göre bazı müşterilerimizacil güncellemeyle ilgili e-postamızı almamışlar, bu yüzden yamanınyüklenmesinde sorun çıkıp çıkmadığını kontrol etmek için bazılarınıarıyoruz. Yeni güncellemeyi yükleyebildiniz mi?"
Paul öyle birşey görmediğinden oldukça emin olduğunu söyledi.
Edvvard, "Program zaman zaman büyük veri kayıplarına neden olabilir,bu nedenle en kısa sürede yüklemenizi öneririz" dedi. "Evet" dedi Paul, bukesinlikle yapmak isteyeceği bir şey olurdu. "Tamam" diye karşılık verdiarayan. "Size yamayı bir bant ya da CD'ye yüklenmiş olarak gönderebilirizve şunu da eklemek isterim ki bu gerçekten önemli çünkü iki şirket, şimdi-den pek çok güne ait verilerini kaybettiler. Bu yüzden, bu olay sizin debaşınıza gelmeden, elinize geçer geçmez yamayı yüklenmelisiniz."
"internet sitenizden indirmem mümkün değil mi?" diye sordu Paul.
* "Yakında hazır olacağını sanıyorum; teknik ekip hasarı düzeltmeyeçalışmakla meşgul. İsterseniz müşteri destek hizmetlerinin yamayıuzaktan yüklemesini sağlayabiliriz. Sisteminize bağlanmak için telefonhattını kullanabilir ya da, destekliyorsanız, Telnefi deneyebiliriz."
"Özellikle internetten Telnet'e izin vermiyoruz; güvenli değil" diyekarşılık verdi Paul. "Eğer SSH kullanabilirseniz, bu olabilir".
"Evet, SSH'imiz var. İP adresiniz nedir?"
Paul ona İP adresini verdi ve Edvvard hangi kullanıcı adını ve paro-layı kullanabileceğini sordu. Paul ona bu bilgileri de verdi.
Aldatmacanın incelenmesiBu telefon gerçekten de veritabanı üreticisinden gelmiş olabilirdi.
Ancak o zaman bu öykü bu kitapta yer almazdı.
Topjum mühendisi kritik verilerin yok olabileceği gibi bir korkuuyandırarak kurbanını etkiledi ve sorunu halledecek hızlı bir çözüm önerdi.
Ayrıca bir toplum mühendisinin, bilginin değerini bilen birini hedef-lediği zaman, uzaktan erişim elde edebilmek için çok inandırıcı ve iknaedici nedenler bulması gerekir. Bazen işin içine aciliyet katarak kur-banını hızlı hareket etmeye zorlayıp konuyu fazla düşünmesine izin ver-meden isteğini kabul etmesini sağlar.
Bir saldırgan, şirketinizin dosyalarında duran hangi tür bilgiye ulaş-mak isteyebilir? Bazen hiç korumaya ihtiyacınız olmadığını düşündü-ğünüz bir şey olabilir.
işe Yeni Girenlere Saldırılar 187
Kara h 'y.q_ Ge 1 en Te I el o n- İnsan Kaynakları, ben Sarah.
- Merhaba Sarah. Ben George, şirket otoparkında görevliyim.Asansörlere binmek ve otoparka girmek için kullandığınız erişim kart-larını hatırlıyor musun? Bir sorun çıktı ve son on beş gün içinde yenigirenler için açtığımız bütün kartları yeniden programlamamı:gerekiyor.
- Adlarına mı ihtiyacınız var?
- Ve telefon numaralarına.
- Yeni işe alınanlar listesine bakıp seni geri arayabilirim. Tele]onnumaran nedir?
- 73... Ah, az sonra kahve molasına çıkacağım, yarım saat sonr ı benseni arasam nasıl olur?
- Tamam, olur.
Adam geri aradığında, kız~.
- Evet, yalnızca iki kişi var. Finans bölümünden Anna Myrtle,sekreter, ve yeni genel müdür yardımcısı Bay Undenvood, dedi.
- Telefon numaraları?
- Evet, tamam. Bay Undenvood 6973. Anna Myrtle. 2127.
- Çok yardımcı oldun, teşekkürler.
Anna'ya Gelen Telefon- Finans bölümü, Anna'yla görüşüyorsunuz.
- Geç saatlere kadar çalışan birini bulabildiğim için çok memnunum.Ben Ron Vittaro. Ticaret bölümünün ağ sorumlusuyum. Sanırım henvztanıştırılmadık. Şirkete hoşgeldin.
- Teşekkür ederim.
- Anna, Los Angeles'tayım ve bir krizi çözmeye çalışıyorum. Banaayırabileceğin bir on dakikan var mı?
- Elbette. Ne yapmam gerekiyor?
- Ofisime çık. Nerede olduğunu biliyor musun?
- Hayır.
- Peki, on beşinci katta köşedeki oda; oda numarası 1502. Birkaçdakika içinde seni oradan ararım. Ofise gittiğinde aramamın doğru-dan sesli mesaja bağlanmaması için ileri tuşuna basman gerekecek.
- Tamam, şimdi gidiyorum.
On dakika sonra Ron'un odasına varmış, arama aktarma işlevini iptaletmiş bekliyordu ki telefon çaldı. Adam, kıza oturmasını ve internettarayıcısını çalıştırmasını söyledi. Açıldığında yazması için www.geoc-ities.com/ron-insen/eser.doc.exe adresini verdi.
188 Aldatma Sanatı
Bir iletişim kutusu çıktı ve adam "Aç" düğmesini tıklamasını söyledi.Bilgisayar yazıyı indiriyormuş gibi gözüktü ama sonra ekran karardı.Anna birşeylerin ters gidiyor gibi göründüğünü söylediğinde adamkarşılık verdi:
- Ah, hayır. Sürekli o web sitesinden bir şeyler indirmekte güçlükçekiyorum ama düzeltildiğini sanmıştım. Peki, boş ver o zaman,dosyayı daha sonra başka bir şekilde indiririm.
Oluşan sorundan sonra bilgisayarının düzgün çalışıp çalışmadığındanemin olmak için Anna'dan bilgisayarını yeniden başlatmasını istedi.Yeniden başlatması için gerekli adımları kıza anlattı.
Bilgisayar yeniden düzgün bir şekilde çalışmaya başladığında, onaiçtenlikle teşekkür etti ve telefonu kapattı. Anna üzerinde çalıştığı işibitirmek için fmans bölümüne geri döndü.
Kurt Dillon'un ÖyküsüMillard-Fenton yayıncılık, iş yapmak üzere oldukları yeni yazarları
konusunda oldukça heyecanlıydılar. Bu yazar, bir Fortune 500 şirke-tinin, anlatacak ilginç öyküleri olan emekli genel müdürüydü. Biri,görüşmeleri ayarlaması için adamı bir yazar manajerine yönlendirmişti.Menajer, yayınevi sözleşmelerinin nasıl yapıldığıyla ilgili hiçbir şey
bilmediğini itiraf etmek istemiyordu; bunedenle, bilmesi gerekenleri öğrenme-sine yardımcı olması için eski bir arka-daşını tutmuştu. Bu eski arkadaş, neyazık ki, pek iyi bir seçim değildi. KurtDillon araştırmalarında olağandışı ola-rak adlandırabileceğimiz, pek de etikolmayan yöntemler kullanırdı.
CASUS YAZILIM: Hedefinbilgisayar faaliyetlerinigizlice izlemesi için özelolarak yapılmış program.
Bunun bir çeşidi de,çevrimiçi reklamların inter-
nette gezinme alışkanlık-larına göre tasarlanabilme-si için internetten alışverişedenlerin ziyaret ettikleri
siteleri takip etmek için kul-lanılır. Yazılım, kullanıcının,aralarında girilen parolalar
ve klavyeden yazdığıyazılar, e-postalar, soh-betler, anında mesajlar,
ziyaret edilen tüm ağ say-faları ve ekran resimleri
olan tüm faaliyetleriniyakalar.
Kurt, Ron Vittaro adıyla Geocities'denücretsiz bir site aldı ve yeni siteye bircasus yazılım yükledi. Yazılımın adınıeser.doc.exe olarak değiştirdi, böylecedosya bir Word belgesi olarak gözükecekve kuşku uyandırmayacaktı. Aslında işlerKurt'un beklediğinden daha iyi yürümüştü,çünkü gerçek Vittaro, Windows işletim sis-temindeki "Bilinen dosya türleri için dosyauzantılarını gizle" seçeneğinin varsayılarayarını hiç değiştirmemişti. Bu ayar yü-zünden dosyanın adı zaten eser.docolarak çıkmıştı.
Sonra hanım arkadaşlarından birininVittaro'nun sekreterini aramasını sağ-
işe Yeni Girenlere Saldırılar 189
SESSİZ YÜKLEME:Bilgisayar kullanıcısının ya
da işletmeninin farketmeyeceği şekilde bir
yazdım uygulaması yüklemeyöntemi.
I
ladı. Dillon'un yönlendirmeleriyle kadınVittaro'nun sekreteriyle konuştu. "UltimateKitabevleri, Toronto'nun başkanı PaulSpadone'un yönetici asistanıyım. BayVittaro patronumla bir süre önce bir kitapfuarında tanışmış ve ortak yürütülebile-cek bir projeyle ilgili konuşmak için ara-masını istemiş. Bay Spadone sürekliseyahatlerde, bu yüzden benden BayVittaro'nun ne zaman ofisinde olacağınıöğrenmemi istedi."
İkisi ajandaları karşılaştırmayı bitirdiklerinde, Kurt'un bayan arkadaşıBay Vittaro'nun ofisinde olacağı tarihlerle ilgili saldırgana yeterince bilgisağlamıştı. Bu aynı zamanda Vittaro'nun yerinde olmayacağı tarihleri debildirdiği anlamına geliyordu. Vittaro'nun sekreterinin de onun yokluğun-dan faydalanıp biraz kayak yapmaya gideceğini öğrenmek için de uzunuzun sohbet etmesi gerekmemişti. Kısa bir süre için ikisi de ofiste olma-yacaklardı. Mükemmel.
ikisinin birden olmadıkları ilk gün, emin olmak için uyduruk, acil birmesajla telefon ettiğinde danışma görevlisi ona, "Bay Vittaro ofisindedeğil, sekreteri de bugün yok. ikisi de bugün, yarın ve sonraki gün bura-da olmayacaklar" dedi.
Yeni bir çalışanı oyununa alet etme konusunda ilk denemesindebaşarılı olmuştu ve aslında herkesçe bilinen, ticari olarak bulunabilen vesaldırganın sessiz yükleme için üzerinde oynadığı bir casus yazılımolan bir "eseri" indirmesini istediğinde kız gözünü kırpmadan indirmişti.Sessiz yükleme yöntemiyle kurulum hiçbir virüs koruma yazılımı tarafın-dan farkedilmez. Tuhaf bir nedenden ötürü virüs koruma programlarıyapan üreticiler halihazırda varolan casus yazılımları bulacak bir ürünüpazara sürmüyorlar.
Genç kadının, yazılımı Vittaro'nun bilgisayarına yüklemesinin hemenardından, Kurt, Geocities sitesine geri gitti ve doc.exe dosyasını inter-nette bulduğu bir kitapla değiştirdi. Birileri oyunu farkeder ve ne olduğunuanlamak için siteye gelip bakacak olurlarsa tüm bulabilecekleri zararsız,acemice yazılmış, basılamaz bir kitap metninden ibaret olacaktı.
Program, yüklendikten ve bilgisayar yeniden başlatıldıktan sonrahemen harekete geçmek üzere ayarlanmıştı. Ron Vittaro birkaç güniçinde dönecek, işe başlayacak ve casus yazılım klavyeden bilgisayarı-na girdiği her şeyi, gönderdiği e-postaları ve o anda ekranından gördük-lerinin bir resmini ona iletecekti. Hepsi düzenli aralıklarla Ukrayna'dakiücretsiz elektronik posta hizmeti veren bir siteye gönderilecekti.
Vittaro'nun dönüşünden birkaç gün sonra Kurt, Ukrayna'daki postakutusuna birikmiş günlük dosyalarını karıştırıyordu ve çok geçmeden
190 AJdatma Sanatı
Millard-Fenton Yayıncılığın o yazarla anlaşmak için tam olarak nereyekadar gitmek istediğini anlatan gizli e-postalar buldu. Bu bilgiyle dona-narak yazarın menajerinin anlaşmayı bütünüyle kaybetme riski oluş-madan, ilk teklif edilenden çok daha iyi koşullar için pazarlık etmesikolay olacaktı. Bu da doğal olarak menajer için daha dolgun bir komis-yon anlamına geliyordu.
Aldatmacanın İncelenmesiBu oyunda saldırgan, aracı olarak yeni bir çalışan seçerek, onun
işbirliği yapma ve iyi birtakım oyuncusu olma isteğine güvendi ve başarışansını artırdı. Yeni elemanın şirket, çalışanlar ve dalavere teşeb-büsünü aksatacak güvenlik uygulamaları konusunda daha az bilgiliolma olasılığı vardı.
Kurt, fınans bölümünde bir memur olan Anna'yla görüşmesindegenel müdür yardımcısı gibi davrandığı için, kızın, kendisinin yetkisinisorgulama olasılığının çok düşük olduğunu biliyordu. Aksine, bir genelmüdür yardımcısına hizmet ederek göze girebileceğini de düşünebilirdi.
Anna'ya adım adım anlattığı, casus yazılım kurmaya yönelik süreçdışarıdan bakıldığında zararsız görünüyordu. Anna'nın, zararsız gibi görü-nen davranışlarının bir saldırgana şirketin çıkarlarıyla ters yönde kullanıla-bilecek değerli bilgiler sağladığı konusunda en küçük bir fikri yoktu.
Ve neden genel müdür yardımcısının mesajlarını Ukrayna'daki bire-posta adresine göndermeyi seçmişti? Pek çok nedenden ötürü uzakyerler bir saldırganın izinin sürülmesi ya da ona karşı harekete geçilme-si şansını azaltır. Bunun gibi ülkelerde bu tarz suçlar genellikle düşükönceliklidirler ve internet üzerinden işlenen bir suç kaydadeğer bir suçdeğildir. Bu yüzden Amerikan emniyet birimiyle işbirliği yapma olasılığıdüşük olan ülkelerden e-posta adresleri almak çekici bir stratejidir.
Aldatmacanın EngellenmesiBir toplum mühendisi, her zaman isteklerinde yanlış bir şeyler
olduğunu anlama şansı düşük çalışanları hedeflemeyi tercih eder. Bu,işini kolaylaştırmakla kalmaz, bu bölümde anlatılan öykülerde olduğugibi tehlikeyi de azaltır.
Gafili KandırmakDaha önce bir yabancının talimatlarını yerine getirmeye ikna olma-
maları için çalışanların yoğun bir şekilde eğitilmeleri gerektiğini vurgu-lamıştım. Tüm çalışanlar ayrıca bir isteği, başka birinin bilgisayarındayerine getirmenin tehlikesini de anlamak zorundadırlar. Şirket kuralları,yöneticiler tarafından özellikle onaylanmadığı sürece bunu yasakla-
işe Yeni Girenlere Saldırılar 191
Mitnick Mesajı:Mesai arkadaşınızdan ya da bir astınızdan yardım istemek olağan bir durumdur.
Toplum mühendisleri insanların yardım etmeye ve iyi bir talam oyuncusu olmaya
yönelik isteklerim sömürmeyi bilirler. Saldırgan, amacına yaklaşabilmek için hiç bir
şeyin farkında olmayan çalışanları kandırıp çeşitli işleri yapmalarını sağlayarak bu
olumlu ve insanî niteliği kullanır. Birilerinin sizi kandırmaya çalışıp çalışmadığım
anlayabilmeniz için bu basit nohayı anlamış olmanız gereklidir.
malıdırlar. Mümkün olabileceği durumlar arasında şunlar olabilir:
• İstek iyi tanıdığınız birinden gelıiVyse, yto. vüx.e tur görüşmededile getirildiyse ya da arayanın sesini tanıdığınızdan eminolduğunuz bir telefon görüşmesi sırasında alındıysa.
« Denenmiş yöntemler kullanarak istek sahibinin kimlik tespitiolumlu bir şekilde yapılmışsa.
• Yapılacak işlem, istek sahibini şahsen tanıyan bir yönetici ya dabenzeri bir yetkili tarafından onaylandıysa.
Bir şeyler isteyen kişi üst düzey bir yönetici olduğunu iddia etse bileçalışanlar şahsen tanımadıkları kişilere yardım etmemeleri konusundaeğitilmelidirler. Kimlik tespitiyle ilgili güvenlik süreçleri yürürlüğe konduk-tan sonra yönetim, bir kuralı bertaraf etmesini isteyen üst düzey biryöneticiye meydan okuması anlamına gelse bile çalışanların bu kural-lara uymalarını desteklemelidir.
Her şirketin, bilgisayarlar ya da bilgisayar donanımlarıyla ilgili talep-lere yanıt vermek konusunda çalışanlara yol gösterecek kural ve süreç-leri olmalıdır. Yayıncılık şirketiyle ilgili öyküde toplum mühendisi bilgigüvenliği kuralları ve süreçleriyle i\giV\ b\r eğ\t\m almamış yeni bir çalışanıseçti. Bu tarz bir saldırının önüne geçmek için yeni ya da eski herçalışanın basit bir kurala uyması sağlanmalıdır: Tanımadığınız birininisteğini yerine getirmek için bilgisayar sistemini kullanmayınız. Nokta.
Bir bilgisayara ya da bilgisayarla ilgili bir donanıma fiziksel ya daelektronik erişimi olan bir çalışanın bir saldırgan adına zararlı hareketleryapmak üzere yönlendirilmeye açık olduğunu unutmayınız.
Çalışanlar ve özellikle Bi elemanları, dışarıdan birinin bilgisayarağına erişmesine izirfvermenin, banka hesap numarasını telefonla satışyapan birine vermekle ya da telefon kartı kodunu hapisteki biryabancıya vermekle arasında bir fark olmadığının bilincinde olmalıdır-lar. Çalışanlar bir isteği yerine getirmenin, hassas bilgilerin açığa çık-masına ya da şirket bilgisayar sisteminin paylaşıma açılmasına nedenolup olmadığı konusu dikkatle tartmalıdırlar.
192 Aldatma Sanatı
Bi personeli de satıcı gibi arayan tanımadıkları kişilere karşı tetikteolmalıdırlar. Genel olarak bir şirket her teknoloji satıcısının bağlantıkuracağı belli kişiler görevlendirmen ve diğer çalışanların telefon ya dabilgisayar donanımlarına yönelik satıcılardan gelen bilgi ya da değişikliktaleplerine yanıt vermemesi için bir kural koymalıdır. Bu yolla belirlenenkişiler, arayan ya da ziyaret eden satıcılara aşina olurlar ve sahtekârtarafından kandırılma olasılıkları düşer. Şirketin destek sözleşmesininolmadığı bir satıcı aradığında bile buna kuşkuyla bakılmalıdır.
Kuruluştaki herkesin, bilgi güvenliğinin zayıflıkları ve gelebilecektehditler konusunda uyarılmaları gerekmektedir. Güvenlik görevlileri vebenzer çalışanlara yalnızca güvenlik eğitiminin değil aynı zamanda bilgigüvenliği eğiliminin de verilmesi gerektiği unutulmamalıdır. Güvenlikgörevlileri, tüm tesise fiziksel erişimleri olduğu için, kendilerine karşı kul-lanılabilecek toplum mühendisliği tekniklerini tanıyabilmelidirler.
Casus Yazılımlara DikkatCasus yazılımlar bir zamanlar çoğunlukla çocuklarının internette ne
yaptığını merak eden ana-babalar tarafından ya da hangi çalışanlarıninternette gezerek işten kaytardığını belirlemeye çalışan işverenlertarafından kullanılırdı. Daha ciddi bir kullanımı bilgi varlıklarına karşıolası hırsızlıkları ya da sanayi casusluğunu belirlemeye yönelikti.Tasarımcılar casus yazılımlarını çocukları korumak için bir araçolduğunu söyleyerek pazarlarlar ama asıl pazar başkalarını gözetlemekisteyen insanlardır. Bugünlerde, casus yazılım satışları insanlarıneşlerinin ya da benzer önemli kişilerin kendilerini aldatıp aldatmadık-larını öğrenmek istemeleriyle büyük ölçüde artmıştır.
Bu kitaptaki casus yazılım öyküsünü yazmaya başlamadan kısa birsüre önce, benim adıma e-postalarıma bakan kişi (internet kullanmamyasak olduğundan) bir dizi casus yazılımın reklamını yapan bir spame-posta bulmuş. Reklamı yapılan programlardan biri şöyle birşey:
EN ÇOK İSTEYECEĞİNİZ ŞEY: Bu güçlü gözetleme vecasus programı, geri planda kendisini farkettirmeden çalışırken :
tüm klavye girişlerini ve tüm açık pencerelerin zaman ve başlık-larını gizlice kaydeder. Günlükler şifrelenip sizin belirlediğinizbir e-posta adresine otomatik olarak gönderilebilir ya da sabitdiske kaydedilebilirler. Programa erişim parola korumalıdır veCTRL+ALT+DEL menüsünde gözükmesi engellenebilir.
Yazılan ınternet adreslerini görmek, sohbet oturumlarını,e-postaları ve pek çok başka şeyi (hattâ parolaları ;-)) izlemekiçin kullanabilirsiniz.
Farkedilmeden HERHANGİ BİR PC'ye yükleyin ve gün-lükleri kendinize göndertin'.'.î
işe Yeni Girenlere Saldırılar 193
Virüs Koruma Boşluğu : :Virüs koruma yazılımları ticarî casus yazılımları bulamazlar ve
böylece amacı başkalarını gözetlemek bile olsa yazılıma kötü huylubir yazılım değilmiş gibi yaklaşmış olurlar. Böylece telefon dinle-menin bilgisayar karşılığı farkedilmez ve hepimiz için sürekliyasadışı bir gözlem altında olma riskini yaratır. Virüs koruma prog-ramlan üreticileri, doğal olarak, casus yazılımların yasal amaçlar içinde kullanıldığını ve bu nedenle kötü huylu olarak nitelendirilmemesigerektiğini öne sürebilirler. Ancak, bir zamanlar bilgisayar korsanlarıtarafından kullanılmış araçların, artık serbestçe dağıtılan ya dagüvenliğe yönelik yazılım olarak satılan gelişmiş şekilleri yine dekötü huylu yazılım olarak muamele görebiliyor. Burada bir çifte stan-dart var ve ben bunun nedenini merak ediyorum.
Aynı e-postada tanıtılan başka bir ürün, kullanıcının bilgisayarından,tıpkı kullanıcının omuzunun üzerinden bakan bir video kamera gibiekran resimleri alabileceğini söylüyordu. Bu yazılımlardan bazıları kur-banın bilgisayarına fiziksel erişim sağlamayı bile gerektirmez. Kur, prog-ramı uzaktan ayarla ve anında bilgisayarı dinleyebilir duruma geç! FBIbu teknolojiye bayılıyor olmalı.
Casus yazılımlar bu kadar kolay bulunurken, şirketinizin iki korumadüzeyi oluşturması gerekmektedir. Tüm bilgisayarlara SpyCop gibi(www.spycop.com adresinden sağlanabilir) casus yazılımları tespiteden bir program yüklemeli ve çalışanlarınızın düzenli olarak taramayaptırmalarını sağlamalısınız. Buna ek olarak, çalışanlarınızı bir prog-ram indirmeye ya da kötü huylu bir yazılım kurabilecek bir e-posta ekiaçmaya yöneltecek dalaverelerin oluşturduğu tehlikelere karşı eğit-meniz de gerekir.
Bir çalışanın kahve molası, öğle yemeği ya da bir toplantı içinmasasında bulunmadığı durumlarda casus yazılımların yüklenmesiniengellemek için alınacak önlemlere ek olarak, tüm çalışanların bilgisa-yar sistemlerini şifreli bir ekran koruyucu ya da benzer bir yöntemle kilit-lemeleri de yetkisiz birinin çalışanın bilgisayarına erişmesi tehlikesinibüyük ölçüde azaltacaktır. Kişinin odasına ya da bölmesine sızan hiçkimse dosyalarına erişip, e-postalarını okuyup casus yazılımlar ve kötühuylu programlar yükleyemeyecektir. Ekran koruyucu parolasını dev-reye sokmak için gerekli kaynak yok denecek kadar az, çalışanların bil-gisayarlarını korumada sağladığı kazançsa muazzam ölçüde büyüktür.Bu koşullarda fayda-maliyet analizini yapmak için çok kafa yormayagerek yoktur.
ZEKİCE OYNANMIŞ OYUNLAR
Hassas bilgiler talep eden ya da bir saldırganın işine yarayabilecekbir şeyler isteyen yabancı biri aradığında, telefonu açan kişinin,arayanın telefon numarasını alacak ve kişinin gerçekten söylediği kişi-şirket çalışanı ya da ortak çalışılan bir firma personeli ya da satıcılar-dan birinden gelen bir teknik destek görevlisi- olup olmadığını kontroletmek için onu geri arayacak şekilde eğitilmesi gerektiğini artık iyicegörmüş olmalısınız.
Arayanların kimliğinin tespiti için şirket çalışanlarının özenle izleme-si gereken oturmuş bir süreç olsa bile, çok yönlü saldırganlar kurban-larını söyledikleri kişiler olduklarına inandırmak için yine de çeşitli oyun-lar oynayabilirler. Aşağıda anlatıldığı gibi, güvenlik bilinci yerleşmişçalışanlar bile bu tarz yöntemlerle tuzağa düşürülebilirler.
Yanıltıcı Arayan KimliğiCep telefonuna arama gelen herkes, arayan kimliği olarak bilinen,
arayanın numarasını görme özelliğini bilir, iş dünyasında, aramanın şir-ket içinden mi yoksa dışından mı geldiğini bir bakışta anlamak gibi debir faydası vardır.
Yıllar önce, telefon şirketlerinin bu hizmeti halka sunmalarına izinverilmediği zamanlarda bazı hırslı telefon beleşçileri arayan numarayıgörmenin sağladığı olanaklarla tanışmışlardı. Daha arayan kişi bir şeysöyleyemeden onu adıyla selamlayıp insanları hayrete düşürerekeğleniyorlardı.
Güvende olduğunuzu düşündüğünüz bir anda, gördüğünüzegüvenerek -yani telefonun ekranında, arayanın numarasını görerek-kimlik tespiti uygulaması, aslında saldırganın tam da yapmanızı istediğişey olabilir.
Lînda'mn Telefon GörüşmesiGün/Saat: 23 Temmuz, Salı, saat 15:12Yer: Starbeat Havacılık, Finans Dairesi
Tam patronuna bir not yazarken Linda HİH'in telefonu çaldı. Arayanınnumarasına baktığında aramanın New York Genel Müdürlük binasından,Victor Martin adlı birinden geldiğini gördü. Bu tanıdığı bir isim değildi.
196 Aldatma Sanatı
Yazdığı notla ilgili düşünce akışını kaybetmemek için aramayı tele-sekretere bırakmayı düşündü. Ama merakına yenildi ve telefonu açtı.Arayan kendini tanıttı ve Ürün Araştırma'dan olduğunu, Genel Müdür'ünistediği bir şeyler üzerinde çalıştığını söyledi. "Bazı bankacılarla toplantıiçin Boston'a gidiyor, içinde bulunduğumuz üç aylık döneme ait başlıcafinansal verilere ihtiyacı var" dedi. "Ve bir şey daha. Apache projesiyle ilgilifinansal tahminlere de gereksinimi var" diye ekledi Victor, şirketin bahar-da piyasaya süreceği önemli ürünlerden birinin kod adını kullanarak.
Kadın ona e-posta adresini sordu ama adam e-posta almakla ilgilibir sorunu olduğunu, teknik servisin bunun üzerinde çalıştığını söyledive bu yüzden verileri fakslayıp fakslayamayacağını sordu. Kadın bununsorun olmayacağını söyledi ve Victor ona dahili faks numarasını verdi.
Birkaç dakika sonra Linda ona faksı yolladı.
Ama Victor, Ürün Araştırma'da çalışmıyordu. Aslında o şirkette bileçalışmıyordu.
" J a c k ' ı n Ö y k ü s ü • . . " - . .
Jack Davvkins profesyonel yaşamına erken yaşlarda YankeeStadyumu'nda oynanan maçlarda, kalabalık metro istasyonlarında veTimes Meydanı'na gece gelen turist kalabalığının arasında yankesicilikyaparak başladı. O kadar çevik ve becerikliydi ki adama fark ettirmedenkolundan saatini bile alabilirdi. Ama sarsak ergenlik çağında han-tallaşmış ve yakalanmıştı. Islahevinde, yakalanma tehlikesi çok dahadüşük olan yeni bir meslek edinmişti.
Şu anki işi, bir şirketin üç aylık kâr-zarar durumunu ve nakit akım bil-gilerini, veriler ABD Sermaye Piyasası Kurulu'na verilmeden ve halkaaçılmadan önce ele geçirmesini gerektiriyordu. Müşterisi, bu bilgilerineden istediğini söylemeyen bir diş hekimiydi. Jack'e kalırsa adamıngizliliği komikti. Böylelerini daha önce de görmüştü; adamın büyükolasılıkla bir kumar sorunu vardı ya da daha karısının bilmediği masraflıbir kız arkadaşa sahipti. Ya da belki hisse senetleriyle oynamada nekadar akıllı olduğuyla ilgili karısına hava atarken bir tomar para kaybet-miş ve çeyrek dönemlik sonuçlarını açıkladıklarında şirket hisse senet-lerinin ne yöne gideceğini öğrenenerek, kesin bir şeye büyük oynayıpçok kazanmak istiyordu.
İnsanlar, dikkatli bir toplum mühendisinin daha önce karşılaşmadığıbir durumu çözmek için ne kadar az zamana ihtiyacı olduğunu öğrendik-lerinde şaşırıyorlar. Jack diş hekimiyle yaptığı toplantıdan eve dönenekadar çoktan bir plan yapmıştı. Arkadaşı Charles Bates kendi telefonsantralı diğer bir deyişle PBX'İ olan Panda ithalat adlı bir şirkette çalışıyordu.
Telefon sistemleri konusunda bilgili insanların aşina olduğu terimler-
rr-[ Zekice Oynanmış Oyunlar 197i
I
le ifade edersek, PBX, Tl olarak bilinen bir dijital telefon hizmetinebağlıydı ve PRI ISDN olarak ayarlıydı. Bu, Panda'dan yapılan her ara-mada kurulum ve diğer görüşme bilgileri veri kanalından telefon şirketisantralına gidiyor anlamına geliyordu. Bu bilgiler arasında (eğer engel-lenmemişse) alıcı uçta numara görüntüleme arayüzüne aktarılan,arayanın telefon numarası da vardı.
Jack'in arkadaşı, aranan kişinin arayan numarayı görebileceği şekilde santralı nasıl programlayacağını biliyordu. Üstelik Panda ofisindenkullanılan gerçek telefon numarasını değil, santrala her ne telefonnumarası programlandıysa karşı tarafın onu görmesini sağlayabiliyordu.Bu dümenin işlemesinin nedeni, yerel telefon şirketlerinin müşterininkullandığı telefon numarasıyla müşterinin parasını ödediği telefonnumarasını karşılaştırmaya yanaşmamasıydı.
Jack Davvkins'in ihtiyacı olan tek şey böyle bir telefon hizmetini kul-lanabilmekti. Neyseki arkadaşı ve kısa bir süre için suç ortağı olanCharles Bates küçük bir ücret karşılığında her zaman yardım etmeyehazırdı. Bu durumda Jack ve Charles şirket telefon santralını geçiciolarak programlamışlardı. Böylece Panda şirketinin içindeki belli birtelefondan arandığında Victor Martin'in telefon numarasını gösterecekve arama Starbeat Havacılık'tan geliyor gibi görünecekti.
Görünen numaranın istediğiniz numarayla değiştirilebileceği fikri okadar az bilinir ki bu yüzden çok az sorgulanır. Bu olayda Linda, ÜrünAraştırma'dan olduğunu düşündüğü kişiye istediği faksı memnuniyetlegönderdi.
Jack telefonu kapattığında Charles şirket telefon santralını yenidenprogramlayıp telefon numarasını asıl ayarlarına geri döndürdü.
Aldatmacanın İncelenmesiBazı şirketler müşterilerinin ya da mal aldıkları şirketlerin çalışan-
larının telefon numaralarını bilmelerini istemez. Örneğin, Ford firmasıMüşteri Destek Merkezi'nden arayan her müşteri temsilcisinin doğrudantelefon numarasını görmek yerine, Merkezden gelen tüm aramalarınMerkezin 800'lü numarasını ve "Ford Destek" gibi bir bilgi göstermesiniisteyebilir. Microsoft, çalışanlarının aradığı herkesin arayan numarayabakıp dahili numaralan öğrenmemesi için, çalışanlarına telefon numaralarını yalnızca kendi seçtikleri muhataplarına verme seçeneğinitanıyabilir. Bu yolla şirket dahilî numaralarının gizliliğini koruyabilir.
Ancak bu yeniden programlanma özelliği, şakacılar, fatura tahsildar-ları, telefonla satış yapanlar ve tabii, toplum mühendisleri için çok kul-lanışlı bir araç oluşturmaktadır.
198 Aldatma Sanatı
Çeşitleme: Amerika BirleşikDevletleri Başkanı ArıyorLos Angeles, KFI Talk Radio adındaki bir radyoda "internetin
Karanlık Yüzü" adlı bir programın ikinci sunucusu olarak radyonun prog-ram yönetmeniyle birlikte çalışıyordum. Tanıdığım en işine bağlı veçalışkan insanlardan biri olan David, çok meşgul olduğu için telefonlaulaşılması zor biriydi. Arayan numara göstergesine bakıp konuşmakistediği biri değilse telefonu açmayan insanlardandı.
Cep telefonumda arama engeli olduğu için ben aradığımda kiminaradığını göremiyor ve telefonu açmıyordu. Telesekreter devreye giri-yordu ve bu benim için çok can sıkıcı oluyordu.
Yüksek teknoloji şirketlerin ofis bulan bir emlak şirketinin sahibi olaneski bir arkadaşımla bu konuda ne yapılabileceğini görüştüm. Birlikte birplan yaptık. Şirketine ait bir Meridian telefon santralına erişimi vardı vebir önceki öyküde anlatıldığı gibi, arayan tarafın numarasını yenidenprogramlayabiliyordu. Ne zaman program yönetmeniyle konuşmamgerekse ve ona ulaşamazsam, arkadaşımdan, seçtiğim bir numaranınarayan numara olarak gözükmesi için gerekli programlamayı yapmasınırica ederdim. Bazen aramayı David'in yardımcısından ya da radyo istas-yonunun sahibi olan holdingden geliyormuş gibi göstermesini isterdim.
Ama en sevdiğim, aramayı David'in kendi evinden geliyormuş gibigöstermekti. Böyle olduğu zaman telefonu hep açıyordu. Ancak adamahakkını vermek lâzım. Telefonu açıp onu bir kez daha kandırdığımıgörünce olayı şaka yollu karşılamayı biliyordu. Bunun en iyi tarafı iseistediğim şeyin ne olduğunu anlayıp sorunu çözene kadar telefondakalmasıydı.
Bu küçük numarayı Art Bell Shovv'da gösterdiğimde, arayan kimliği-mi FBI Los Angeles genel merkezinin adı ve numarası olarakdeğiştirdim. Art tüm bu olanLra oldukça şaşırdı ve yasadışı bir şey yap-tığım konusunda beni uyardı. Sahtecilik yapmadığım sürece bununtamamıyla yasal olduğunu ona anlattım. Programdan sonra bunu nasıiyaptığımı soran yüzlerce e-posta aldım. Artık siz biliyorsunuz.
Toplum mühendisinin inanılırlığını artırması için bu kusursuz biraraçtır. Örneğin, toplum mühendisliği saldırı sürecinin araştırma aşa-masında hedefin arayan numaraları görebildiği anlaşılırsa, saldırgankendi numarasını güvenilir bir şirketten ya da çalışandan geliyormuşgibi gösterebilir. Bir fatura tahsildarı, yaptığı aramaları işyerinizdengeliyor gibi gösterebilir.
Ama durup bunun etkilerini düşünmek gerek. Bir bilgisayar saldır-ganı, şirketinizin Bİ biriminden olduğunu söyleyerek sizi evinizdenarayabilir. Telefondaki kişi, çöken bir sunucudan dosyalarınızı kurtarmak
Zekice Oynanmış Oyunlar 199
JVÜtnick Mesajı:Bir daha size bir telefon geldiğinde ve telefonun göstergesine bakıp arayanın sevgili
anneniz olduğunu gördüğünüzde, hiç belli olmaz, sevimli, yaşlı bir toplum mühen-
disiyle karşılaşabilirsiniz.
için acilen parolanıza ihtiyaç duymaktadır. Ya da arayan numara olarakbankanızın veya menkul kıymet danışmanınızın adı ve numarasıgözükebilir ve o tatlı sesli kız hesap numaralarınızı ve annenizin kızlıksoyadını kontrol etmesi gerektiğini söylemektedir. İşi sağlama almakiçin sistemde oluşan bir sorun nedeniyle ATM kart numaranızı da elin-deki bilgiyle karşılaştırması gerekmektedir. Şüpheli hisse senetlerininalınıp satıldığı bir yer, aramalarını Merrill Lynch ya da Citibank'tanyapılıyormuş gibi gösterebilir. Kimlik bilgilerinizi çalmaya çalışan biriVisa'dan arıyormuş gibi görünüp, sizi kredi kartı numaranızı vermeyekandırabilir. Size diş bileyen biri, arayıp vergi dairesinden ya da FBI'danolduğunu söyleyebilir.
Bir PRI'ya bağlı bir telefon sistemine erişiminiz ve satıcı şirketininternet sayfasından edinebileceğiniz küçük bir programlama bilginizvarsa, bu taktiği arkadaşlarınıza sıkı oyunlar oynamak için kulla-nabilirsiniz. Tanıdığınız abartılı politik eğilimleri olan biri var mı?Gösterilecek numarayı 202 456-1414 programlayıp, arayan numaralar-da gösterilen arayan kimliğini "BEYAZ SARAY" olarak değiştirebilirsiniz.
Başkanın onu aradığını düşünecektir!
Hikâyenin ana fikri basittir: Dahilî aramaları gördüğünüz durumlardışında arayan kimliğine güvenilmez. Hem işte hem de evde, herkesarayan numara üçkâğıdının farkında olmalı ve telefonda gözüken adınve numaranın kimlik tespiti için güvenilir bir veri olmadığının bilincindeolmalıdır.
Görünmez ÇalışanShirley Cutlass hızlı para kazanmanın yeni ve heyecanlı bir yolunu
bulmuştu. Artık para kazanmak için yırtınma devri kapanmıştı. Son yıl-ların en sık işlenen suçunu işleyen yüzlerce dalavereciden biri olmuştu.Shirley bir kimlik hırsızıydı.
Bugün gözünü bir kredi kartı şirketinin müşteri hizmetleri bölümün-den gizli bilgi almaya dikmişti. Her zamanki ödevlerini yerine getirdiktensonra, hedef şirketi aradı ve telefonu açan santral memuruna Telekomü-nikasyon birimine bağlanmak istediğini söyledi. Telekomünikasyonabağlandığında sesli mesaj yöneticisiyle konuşmak istedi.
200 Aldatma Sanatı
Araştırmalarından edindiği bilgileri kullanarak adının Norma Toddolduğunu ve Cleveland bürosundan aradığını söyledi. Artık size de tanıdıkgelen bir kılıf uydurarak bir haftalığına şirket genel müdürlüğüne geleceği-ni ve şehirlerarası telefon görüşmesi yapmadan sesli mesajlarını kontroletmek için orada bir sesli mesaj kutusuna ihtiyacı olduğunu anlattı. Adamkonuyla ilgileneceğini ve gerekli düzenlemeleri yaptıktan sonra ihtiyacıolan bilgileri vermek için onu arayacağını söyledi.
Şuh bir ses tonuyla kadın, "Şu anda bir toplantıya gidiyorum, sizi birsaat sonra yeniden arayabilir miyim?" diye sordu.
Tekrar aradığında adam her şeyin ayarlandığını söyledi ve ona dahilinumara ve geçici paroladan oluşan bilgiyi verdi. Adam, sesli mesajparolasını nasıl değiştireceğini bilip bilmediğini sordu ve kadın yapıl-ması gerekenleri adam kadar iyi bilse de yine de anlatmasına izin verdi.
"Ha, birde", dedi kadın ve sordu, "mesajlarımı otelden kontrol etmekiçin hangi numarayı çevirmem gerekiyor?" Adam ona numarayı verdi.
Shirley o numarayı aradı, parolayı değiştirdi ve arayanlar için yenibir selamlama mesajı kaydetti.
, Shirley Saldırır
Şimdiye kadar yaptığı, altyapıyı oluşturmaktan ibaretti. Artık aldatmasanatını kullanmaya hazırdı.
Şirketin müşteri hizmetleri bölümünü aradı. "Cleveland bürosu.Tahsilatta çalışıyorum" dedi ve artık aşina olduğunuz bahanenin birbaşka çeşidini anlatmaya girişti. "Teknik destek ekibi bilgisayarımı tamiretmeye uğraşıyor, bu yüzden bir bilgiyi bulmak için yardımınıza ihti-yacım var." Ve kimliğini çalmaya niyetli olduğu kişinin adını ve doğumtarihini verdi. Sonra istediği bilgileri sıraladı: Adresi, annesinin kızlık so-yadı, kart numarası, kredi limiti, kullanabileceği kredi miktarı ve geçmişödemeleri. "Beni bu numaradan arayabilirsiniz", diyerek ses mesajyöneticisinin onun için ayırdığı dahili numarayı verdi. "Eğer yerimde yok-sam, bilgiyi sesli mesaj olarak bırakabilirsiniz."
Sabah başka işlerle uğraşmayı sürdürdü ve öğleden sonra sesmesajını kontrol etti. İstediği her şey oradaydı. Telefonu kapamada"önce kendi selamlama mesajını sildi. Geride sesinin kaydını bırakma-dikkatsiz bir hareket olacaktı.
Amerika'nın en hızlı artan, yeni yüzyılın en popüler suçu olan kimi -hırsızlığına bir kurban daha verilmişti. Shirley az önce ele geçirdiği kre:kartını ve kimlik bilgilerini kullanarak kurbanın kartından harcama yak-maya başlamıştı bile. . -.,- .
rr. Zekice Oynanmış Oyunlar 201
Mitnick Mesajı:Arada bir itendi sesli mesaj kutunuzu aramayı deneyin; eğer size ait olmayan bir selam-
lama mesajı duyarsanız, hayatınmn ilk toplum mühendisiyle karşılaştınız demeldir.
Aldatmacanın İncelenmesi .Çevirileri bu dalaverede saldırgan önce şirketin sesli mesaj yöneti-
cisini, geçici bir sesli mesaj kutusu açması için bir şirket çalışanı olduğuyolunda kandırdı. Eğer adam kimlik tespiti yapacak olsaydı, kadınınverdiği adın ve telefon numarasının şirket çalışanları veri tabanındakilistelerle uyuştuğunu görecekti.
Geriye kalan, yalnızca bilgisayar sorunuyla ilgili geçerli bir mazeretvermek, ihtiyacı olan bilgileri karşı taraftan istemek ve bilgilerin seslimesaja bırakılmasını rica etmekten ibaretti. Neden bir çalışan başka birşirket mensubuna yardım etmesin ki? Shirley'nin verdiği numaranındahili bir numara olduğu açık bir şekilde görülürken kuşkulanmak içinhiçbir neden yoktu.
SekreterRobert Jorday adındaki bilgisayar korsanı küresel bir şirket olan
Rudolfo Gemicilik Inc.'in bilgisayar sistemlerine düzenli olarak giriyordu.Şirket, sonunda birilerinin uçbirim sunucularına bağlandığını ve busunucular üzerinden kullanıcının şirketteki herhangi bir bilgisayara gire-bildiğini anladı. Şirket ağını korumak için, her uçbirim sunucusuna tele-fon hatlı modem takılmasına karar verildi. .-. • •
Robert, Ağ Hizmetleri Merkezi'ni, Hukuk işleri'nden arayan biravukatmış gibi aradı ve ağa bağlanmakta güçlük çektiğini söyledi.Konuştuğu ağ yöneticisi ona birkaç güvenlik sorunu yaşadıklarını bu yüz-den tüm telefon bağlantılı kullanıcıların aylık parolayı yöneticilerindenalması gerektiğini belirtti. Robert her ayın parolasının yöneticilere nasılaktarıldığını ve parolayı nasıl ele geçirebileceğini düşündü. Öğrendiğikadarıyla aradığı yanıt, bir sonraki ayın parolasının ofis postasıaracılığıyla bir not olarak her şirket yöneticisine iletilmesinde yatıyordu.
Bu, işleri kolaylaştırmıştı. Robert küçük bir araştırma yaptı, hemenayın birinden sonra şirketi aradı ve yöneticilerden birinin, adının Janetolduğunu söylediği sekreteriyle görüştü. "Merhaba, Janet. Ben Araştırmave Geliştirme'den Randy Goldstein. Şirket dışından uçbirim sunucusunabağlanmak için kullanılan yeni parola notunu aldığıma emin gibiyim amahiçbir yerde bulamıyorum. Bu ayın notunu siz aldınız mı?"
Evet, dedi kadın, almışlardı.
202 Aldatma Sanatı
Mitnick Mesajı:Becerikli toplum mühendisi, insanları etkileyerek kendisine iyilikyapmalarım sağla-
mak konusunda çok akıllıdır. Bir faks alıp sonra onu başka bir yere göndermek o
kadar zararsız görünür ki bir danışma görevlisini ya da başka birini bunuyapmaya
Uma etmek çok kolaydır. Biri sizden bilgi talep ederek bir iyilik yapmanızı istiyorsa
ve siz o kişiyi tanımıyor ya da lamliğini kontrol edemiyorsanız, "hayır" deyin.
Onu kendisine fakslayıp fakslayamayacağını sordu ve kız kabul etti.Ona şirket alanında başka bir binanın danışma faks numarasını verdi.Burada faksların kendisi adına bekletimesi için gerekli düzenlemeleriçoktan yapmıştı. Daha sonra da parola faksının kendisine yön-lendirilmesini sağlayacaktı. Ancak bu kez Robert farklı bir faks yön-lendirme yöntemi kullandı. Danışma görevlisine bir çevrimiçi fakshizmetinin numarasını vermişti. Bu numaraya faks gönderdiğinizdeotomatik sistem onu abonenin e-posta adresine gönderiyordu.
Yeni parola Robert'm Çin'deki bir ücretsiz e-posta hizmetinden aldığıe-posta ölü noktasına geldi. Faksın nereye gittiği izlenecek olursa,soruşturmayı yürüten kişi Çinli yetkililerle işbirliği sağlayabilmek içinsaçını başını yolacaktı. Böyle konularda Çinlilerin pek yardımcı olma-yacaklarını Robert biliyordu. En güzeli ise faks makinasının başında hiçbulunmamış olmasıydı.
Trafik MahkemesiAşırı hız cezası kesilen herkes herhalde cezadan sıyrılmanın bir yolu-
nu bulmayı hayal etmiştir. Ehliyet kursuna giderek, cezayı ödeyerek ya dayargıcı polis hızölçerinin ya da radar cihazının en son ne zaman bakım-dan geçtiğini değerlendirmeye ikna etmeye çalışarak bu iş olmaz. Hayır,en güzel senaryo sistemi ait ederek ceza makbuzundan kurtulmaktır.
DalavereHer ne kadar bir trafik cezasından kurtulmak için bu yöntemi öner-
mesem de (her zaman söylendiği üzere, bunu kendiniz yapmayı dene-meyin), toplum mühendislerinin aldatma sanatını kullanmalarına iyi birörnek oluşturmaktadır.
Bu trafik ihlalcisinin adı Paul Durea olsun.
İlk Adımlar- Los Angeles Emniyet Müdürlüğü, Hollenbeck birimi.
- Merhaba, Celp Bürosu'ndan biriyle görüşmek istemiştim.
Zekice Oynanmış Oyunlar 203
- Mahkeme celplerine ben bakıyorum.
- Çok iyi. Ben avukat John Leland; Meecham, Meecham ve TalbottAvukatlık Bürosu'ndan. Bir memuru bir davaya çağırmam gerekiyor.
- Peki, hangi memuru?
- Büronuzda Memur Kendall adında biri var mı?
- Sicil numarası nedir?
- 21349
- Evet, var. Ne zaman ihtiyacınız var?
- Gelecek ay bir ara ama bu dava için başka tanıklar da davet etmemve sonra da mahkemeye hangi günlerin bizim için daha uygunolduğunu söylemem gerekiyor. Gelecek ay Memur Kendall'm müsaitolabileceği günler hangileri?
- Bakalım...Yirmisinden yirmi üçüne kadar tatilde ve sekiziyle onaltısı arasında da eğitimde olacak.
- Teşekkürler. Öğrenmek istediğim buydu. Mahkeme tarihi belliolduğu zaman sizi yine ararım.
Bölge Mahkemesi, Kâtip MasasıPaul: Bu trafik cezası için bir mahkeme tarihi belirlemek istiyorum.
Kâtip: Tamam. Size, gelecek ayın yirmi altısını verebilirim.
- Bir tebligat ayarlamak istiyordum.
- Trafik cezası için tebligat mı istiyorsunuz? ' • •
- Evet.
- Tamam. Tebligatı varın sabah ya da öğleden sonra yapabiliriz.Hangisini tercih edersiniz?
- Öğleden sonra.
- Tebligat yarın öğleden sonra 13:30'da 6 numaralı mahkeme salonunda.
- Teşekkürler, orada olacağım.
Bölge Mahkemesi, Altı Numaralı MahkemeTarih: Perşembe, öğleden sonra 13:45
Katip: Bay Durea, lütfen kürsüye yaklaşın.
Yargıç: Bay Durea, bugün öğleden sonra size açıklanan seçeneklerianladınız mı?
Paul: Evet, sayın yargıç.
Yargıç: Trafik okuluna gitme seçeneğini kullanmak ister misiniz?Sekiz saatlik bir kursu başarıyla tamamladıktan sonra davanız düşe-cektir. Kayıtlarınızı inceledim ve şu anda gerekli niteliklere sahipgörünüyorsunuz.
104 Aldatma Sanatı
Paul: Hayır, sayın yargıç. Davamın görülmesini talep ediyorum. Birşey daha var sayın yargıç, ülke dışına çıkmam gerekiyor ama ayınsekizinde ve dokuzunda uygun olacağım. Davamın o günlerdenbirinde görülmesi mümkün olabilir mi? Yarın Avrupa'ya iş gezisinegidiyorum ve dört hafta sonra döneceğim.
Yargıç: Pekala. Dava 8 Haziran, sabah 08:30'de dört numaralımahkeme salonunda görülecektir.
Paul: Teşekkürler, sayın yargıç.
Bölge Mahkemesi, Dört Numaralı MahkemePaul ayın sekizinde mahkemeye erken geldi. Yargıç geldiğinde katipona polis memurlarının gelmediği davaların bir listesini verdi. Yargıç,aralarında Paul'tin de olduğu davalıları çağırdı ve onlara davalarınındüştüğünü söyledi.
Aldatmacanın İncelenmesiPolis ceza kestiği zaman ceza makbuzunun üzerine adını ve sicil
numarasını da yazar (ya da çalıştığı kurumda bu kişiye özgü numarayane ad veriliyorsa onu yazar). Görevli olduğu karakolu bulmak çok kolayolur. Bilinmeyen numaralan arayıp makbuzun üstünde yazan emniyetmüdürlüğü karakolunun adını (otoyol devriyesi, bölge şerifi ya da her-neyse) vermeniz ayağınızı kapıdan içeri sokmanız için yeterlidir.Karakolu aradıktan sonra, trafik cezasının kesildiği bölgeyle ilgilimahkeme celplerine bakan memura sizi yönlendirebilirler.
Emniyet mensupları düzenli olarak mahkemelere çağırılırlar; bu,yaptıkları işin bir parçasıdır. Bir bölge savcısı ya da savunma avukatı birpolis memurunun tanıklığına ihtiyaç duyarsa ve sistemin nasıl işlediğinibiliyorsa, önce memurun ne zaman uygun olduğunu öğrenir. Bunu yap-mak kolaydır, karakoldaki celp memurunu aramak yeterli olur.
Çoğunlukla bu görüşmelerde avukat memurun şu ve şu tarihlerdeuygun olup olmadığını sorar. Bu oyunu oynayabilmek için Paui'un duru-ma göre davranması, celp görevlisinin polis memurunun dolu olduğuzamanlan vermesi için elle tutulur bir neden bulması gerekiyordu.
Mahkeme binasına gittiğinde neden Paul kâtibe doğrudan istediöşeyi söylemedi? Basit; anladığım kadarıyla çoğu yerde trafik mahkeme-si kâtipleri halkın mahkeme tarihi seçmesine izin vermezler. Eğer kâti-bin önerdiği bîr tarih kişiye uymuyorsa, kâtip bir iki tarih önerisinde dahabulunur ama daha fazlasını yapmaz. Öte yandan tebligatta kendirgösterecek zamanı ayırabilmiş birinin şansı daha yüksektir.
Paul bir tebligat hakkı olduğunu biliyordu. Yargıçların gün taleplerineçoğunlukla olumlu baktığını da biliyordu. Polis memurunun eğitim günleriredenk gelen günleri özellikle seçti. Polisin durumu göz önüne alındığına.-
Zekice Oynanmış Oyunlar 205
Mitnick Mesajı*.İnsan aklı muhteşem bir eser. Biçimsiz bir durumdan sıyrılmak ya da istediklerini elde
etmek için dolambaçlı yolla üretmekte insanların ne kadar yaratıcı olduğunu görmek
ilginç. Kamu ve özel sektörde bilgi ve bilgisayar sistemlerini korumak için sizin de
aynı yaratıcılığı ve hayal gücünü göstermeniz gerekir. Bu yüzden dostlarım, şirke-
tinizin güvenlik politikalarını oluştururken yaratıcı olun ve olaylara dışardan bakın.
eğitime gitmek bir trafik mahkemesinde bulunmaktan daha önemli olacaktı.
Trafik mahkemelerinde, polis memuru mahkemeye gelmezse davadüşer. Ne para cezası, ne trafik okulu, ne ceza puanı... hiçbir şey olmaz.Daha da iyisi trafik suçu kayda da geçmez!
Tahminime göre bazı polis yetkilileri, mahkeme görevlileri, bölgesavcıları ve benzeri kişiler bu öyküyü okuyacaklar ve bu numaranınişlediğini bildikleri için başlarını sallayacaklar. Ama baş sallamakla kala-caklar ve hiçbir şey değişmeyecek. Bu konuda bahse girebilirim. 1992'deçıkan Sneakers adlı filmdeki Cosmo karakterinin de söylediği gibi, "Herşey ya birdir ya sıfırdır", yani sonuç olarak her şey bilgiye dayanıyor.
Emniyet müdürlüğü birimleri bir polis memurunun aylık programını,arayan neredeyse herkese vermeye istekli oldukları sürece trafikcezalarından kurtulmak her zaman mümkün olacaktır. Şirketinizin ya dakurumunuzun yaptığı işlemlerde de akıllı bir toplum mühendisininalmalarını pek de istemeyeceğiniz bilgileri almak için kullanabileceğibenzer açıklar var mı?
Samantba'nın İntikamı -. , ... . ..Samantha Gregson kızgındı.
Üniversiteden işletme diploması alabilmek için çok çalışmış ve bunubaşarmak için bir yığın öğrenci kredisi almıştı. Büyük paralar kaza-nabileceği bir kariyer sahibi olmak için üniversite diploması gerektiği herzaman beynine kazınmıştı. Sonunda mezun olmuş ama hiçbir yerde eliyüzü düzgün bir iş bulamamıştı.
Lambeck İmalattaki işe girebildiği için çok memnun olmuştu.Sekreterlik işi yapmak küçük düşürücü olabilirdi ama Bay Cartright onuişe almaktan ne kadar memnun olduklarını ve şu anda işe sekreterliklebaşlamasının, açılacak ilk idari olmayan konuma onun gelmesinisağlayacağını söylemişti.
İki ay sonra Cartright'ın en alttaki ürün yöneticilerinden birinin ayrıla-cağını duydu. O gece gözünü kırpmadı ve kendini beşinci katta, kapısıolan bir odada, toplantılara katılıp kararlar alırken hayal etti.
206 Aldatma Sanatı
Ertesi sabah ilk iş olarak Bay Cartright'ın odasına gitti. Cartright ona,profesyonel bir konuma geçmeden önce yaptıkları işin piyasasını dahaiyi öğrenmesi gerektiğini düşündüklerini söyledi. Sonra da gidip,piyasayı ondan çok daha az tanıyan şirket dışından bir amatörü işealdılar.
O zaman yavaş yavaş anlamaya başladı. Şirkette çalışan pek çokkadın vardı ama neredeyse hepsi de sekreter konumundaydılar. Onayöneticilik görevi vermeyeceklerdi. Hiçbir zaman.
Ödeşme -Onlara bunu nasıl ödeteceğini planlaması neredeyse bir haftasını
aldı. Bir ay kadar önce yeni bir ürün tanıtımı için bir ticaret dergisindengelen adam ona asılmıştı. Birkaç hafta sonra adam Samantha'yı iştenaramış ve Cobra 273 ürünüyle ilgili biraz ön bilgi verebilirse ona çiçekgöndereceğini ve gerçekten çok sıkı bir bilgi olursa onu yemeğe çıkar-mak için Şikago'dan kalkıp geleceğini söylemişti.
Bu konuşmadan kısa bir süre sonra şirket ağına bağlanmayaçalışan genç Bay Johannson'un yanında durmuştu. Hiç düşünmedenadamın parmaklarını seyretti (buna omuz gezintisi de denir). Parolaolarak "marty63" girmişti.
Planı oluşmaya başlıyordu. Şirkete geldikten sonra yazdığı bir notuhatırladı. Dosyaların arasında bir kopyasını buldu ve ilkinin tarzını kulla-narak yeni bir tane daha yazdı. Şöyle bir şey olmuştu:
KİME: C. Pelton, Bİ Bölümü ' ;
KİMDEN: L. Cartright, Geliştirme
Martin Johansson, bölümümdeki bir özel projeler ekibiyle birlikteçalışacaktır.
Bu nedenle kendisine, mühendislik grubunun tüm sunucularınaerişmek üzere yetki vermiş bulunuyorum. Bay Johansson'un güvenlikprofilinin bir ürün geliştiricisiyle aynı haklara sahip olacak şekildegüncellenmesi gerekecektir.Louis Cartright
Herkes yemeğe çıktıktan sonra Bay Cartright'ın imzasını ilk nottarkesip yenisine yapıştırdı ve kenarlarını daksilledi. Elde ettiği şeyin b'~fotokopisini çekti ve sonra fotokopinin fotokopisini çekti. İmzanı"çevresindeki kâğıt kenar izleri güçlükle seçilebiliyordu.
Bay Cartrigth'ın odasının yakınındaki makinadan faks çekti.
Üç gün sonra mesaiye kaldı ve herkes gidene kadar bekle;Johannson'un odasına girdi ve ağa adamın kullanıcı adını ve parolası"marty63'ü, girerek bağlanmayı denedi. İşe yaradı.
Zekice Oynanmış Oyunlar 207
TerimlerOMUZ GEZİNTİSİ:
Klavyeye bilgi giren birini,parolasını ya da başka kul-lanıcı bilgilerini görüp çal-mak amacıyla seyretmek.
Dakikalar içerisinde Cobra 273'ünürün özelliklerini içeren dosyayı buldu veonları sıkıştırarak bir disketin içine kay-detti.
Serin gece esintisinde park yerinedoğru yürürken disket güvenli bir şekildeçantasında duruyordu. Disketi o gecedergi muhabirine yollayacaktı.
Aldatmacanın İncelenmesi - .-. -.Canı sıkılmış bir çalışan, dosyalan tarar, hızlı bir kes-yapıştır ve dak-
silleme işleminin ardından biraz yaratıcı bir fotokopicilik yapar ve ardın-dan faks gider. Ve bingo! Gizli pazarlama ve ürün bilgilerini dışarı çıkar-mıştır.
Birkaç gün sonra bir ekonomi dergisi muhabiri çok yeni bir ürününözellikleri ve pazarlama planlarıyla ilgili büyük bir haber patlatır. Buhaberi içeren dergi, ürünün piyasaya sürülmesinden aylar öncepiyasadaki dergi abonelerinin elinde olacaktır. Rekabetçi firmalar aylaröncesinden benzer ürünler geliştirmeye başlayacaklar ve Cobra 273'üköstekleyecek reklam kampanyaları hazırlayacaklardır.
Doğal olarak dergi hiçbir zaman haber kaynağını açıklamayacaktır.
Aldatmacanın EngellenmesiRekabetçi bir şirketin ya da başkalarının işlerine yarayabilecek
değerli, hassas ve önemli bilgiler istendiğinde, çalışanlar, arayannumaraya bakmanın kabul edilebilir bir kimlik tespit yöntemiolmadığının bilince olmalıdırlar. Talebin geçerliliğinin ve arayanın bu bil-giyi almaya yetkili olup olmadığının, kişinin yöneticisine sorularakdoğrulanması gibi farklı kontrol yöntemleri de kullanılmalıdır.
Kontrol süreci her şirketin kendisi için tanımlaması gereken birdenge unsuru içerir: Güveniik-Üretkenlik dengesi. Bağlayıcı güvenlikönlemlerine hangi öncelikler tanınacaktır? Çalışanlar güvenlik işlemleri-ni uygulamaya direnecekler ve hattâ iş yükümlülüklerini yerine getire-bilmek için güvenliği bir kenara mı bırakacaklardır? Çalışanlar güven-liğin kendileri ve şirketleri için taşıdığı önemin farkındalar mıdır? Şirketkültürüne ve ticari gereksinimlere göre geliştirilecek bir güvenlik poli-tikasının bu soruları yanıtlaması gerekmektedir.
Çoğu insan, işlerini yapmalarını geciktiren şeylere kaçınılmaz olaraksıkıntı gözüyle bakar ve zaman kaybı gibi görünen herhangi bir güven-lik önlemini ciddiye almayabilir. Bu işte kilit unsur, güvenliğin günlüksorumluluklarının bir parçası olduğu konusunda çalışanları eğitimlerleteşvik etmektir.
208 Aldatma Sanatı
Arayan kimliği hizmeti, şirket dışından gelen sesli aramaları tanım-lamak için hiçbir zaman kullanılmasa da ONT (otomatik numara tanım-layıcısı) yöntemi kullanılabilir. Gelen tüm aramaların ücretinin şirkettarafından ödendiği bir ücretsiz arama hizmetine abone olunursa ONThizmeti şirkete verilir ve bu, kimlik tespiti için güvenilir bir araç oluşturur.Arayan kimliğinin aksine telefon şirketi santralı arayan numarayıverirken müşterinin gönderdiği bilgiyi kullanmaz. ONT tarafındanaktarılan numara arayan tarafa ait fatura numarasıdır.
Pek çok modem üreticisinin ürünlerine arayan kimliği görme özelliğieklediklerine de dikkat ediniz, böylece yalnızca önceden yetkilendirilmişbir telefon numarası listesine uzaktan erişim hakkı tanıyarak şirket ağınıkorumaktadırlar. Arayan numarayı tanıyan modemler düşük güvenliklibir ortamda kabul edilebilir tanımlama yöntemleridir, ancak şu ana kadarda açıkça görülebildiği üzere, görünen numarayı değiştirmek bilgisayarkırıcıları için nispeten kolay bir tekniktir ve bu nedenle yüksek güvenlik-li bir ortamda arayanın kimliğini ve aradığı yeri tanımlamak konusundagüvenilir değildir.
Şirket telefon sisteminde bir sesli mesaj kutusu oluşturması için sis-tem yöneticisinin kandırıldığı hikâyedeki şekliyle kimlik hırsızlığı olayınıçözmek için tüm telefon hizmetlerinin, tüm sesli mesaj kutularının vegerek basılı gerekse çevrimiçi şirket rehberinde geçen tüm numaralarınbu amaç için hazırlanmış bir form doldurularak yazılı talep edilmesinizorunlu tutun. Çalışanın yöneticisi talebi imzaiamalı ve sesli mesajyöneticisi imzayı kontrol etmelidir.
Şirket güvenlik kuralları, yeni bilgisayar hesaplarının açılmasının yada yetkilerin artırılmasının sadece talepte bulunan kişinin olumluonayının alınmasından sonra gerçekleştirilmesini zorunlu kılmalıdır.Talep onayı, sistem yöneticisini ya da onun yerine bakan kişiyi basılı yada çevrimiçi şirket rehberinde geçen numarasından aramak şeklindeolabilir. Eğer şirket, çalışanların dijital olarak mesajlarını imzalayabildik-leri güvenli e-posta sistemi kullanıyorsa, bu tanımlama yöntemi degeçerli bir yöntem olarak kullanılabilir.
Şirket bilgisayar sistemlerine erişimi olsun olmasın, her çalışanın birtoplum mühendisi tarafından kandırılabileceğini unutmayın. Güvenlik bilineeğitimlerine herkesin katılmasını sağlayın. İdari yardımcılar, danışmagörevlileri, santral memurları ve güvenlik görevlileri kendilerine yöneltilebîle^cek toplum mühendisliği saldırı tekniklerinin bilincinde olmalıdırlar. Böylecebu saldırılara karşı kendilerini savunmaya hazır olabilirler.
SANAYI CASUSLUĞU
Devlete, şirketlere ve üniversite sistemlerine karşı oldukça yoğun birbilgi saldırısı tehdidi vardır. Basın neredeyse her gün, yeni bir bilgisayarvirüsünden, "hizmet dışıdır (denial of service)" saldırısından ya da inter-netteki bir e-ticaret sitesinden kredi kartı bilgilerinin çalınmasından sözetmektedir. •••-••- :
Borland'ın Symantec'i ticari sırlarını çalmakla suçlaması, CadenceTasarım Sistemleri'nin bir rakibini kaynak kodlarını çalmakla suçlayarakdava açması gibi sanayi casusluğu olaylarını basında görüyoruz.
Bunlar her gün oluyor.
Bîr Dalavere Üzerine ÇeşitlemeAşağıdaki öyküde anlatılan dalavere, her ne kadar Köstebek (The
Insider) gibi bir Hoilyvvood filminden ya da John Grisham'ın bir romanın-dan fırlamış gibiyse de herhalde birçok kereler başarıyla uygulanmıştır.
Toplu DavaÖnemli bir eczacılık şirketi olan Pharmomedic'e karşı açılmış büyük
bir toplu dava hayal edin. Davanın konusu, şirketin çok kullanılan ilaçların-dan birinin, ancak bir hastanın ilacı yıllarca kullanmasıyla ortaya çıkabile-cek, yıkıcı bir yan etkisi olduğunun şirket tarafından bilinmesidir, iddiayagöre bu tehlikenin varlığını gösteren çeşitli araştırma sonuçları şirketinelinde vardır ama bu kanıtlar saklanmış ve olması gerektiği gibi FDA'ya(Food and Drug Administration - Gıda ve ilaç idaresi) teslim edilmemiştir.
Toplu davayı açan New York hukuk firmasının başındaki yetkiliavukat VVilliam ("Billy") Chaney'in elinde iddiayı destekleyen ikiPharmomedic doktoruna ait görevden alınma belgeleri vardır. Ancak heriki doktor da emekli olmuş ve ne ellerinde dosya ya da belge vardır, nede güçlü ve ikna edici bir şekilde tanıklık yapacak konumdadırlar. Billydurumunun sallantıda olduğunun farkındadır. Sonuç raporlarındanbirinin bir kopyasını ya da yöneticiler arasında gidip gelmiş bir yazışmaya da bilgi notunu elde edemezse, dava düşecektir.
Böylece, daha önce de kendilerine iş verdiği, Andreeson ve Oğullarıözel dedektiflik acentasına yeni bir işle gider. Billy, Pete ve adamlarınıno bilgileri nasıl elde ettiklerini bilmez, bilmek de istemez. Tek bildiği,Pete Andreeson'un iyi bir dedektif olduğudur.
210 Aldatma Sanatı
Andreeson için bu tarz bir görev, kendisinin karanlık işler dediği tür-den bir iştir. Birinci kural, onu tutan şirketler ve hukuk firmaları hiçbirzaman bilgiyi nasıl elde ettiğini öğrenemeyeceklerdir ve böylece herzaman tam ve akla yatkın bir inkâr nedenleri olacaktır. Eğer elini taşınaltına sokacak biri varsa bu da Pete'tir ve büyük işlerde aldığı ücretlerebakılırsa bu tehlikeye girdiğine değer gibi görünmektedir. Ayrıca insan-ları tongaya düşürmekten de kişisel bir zevk almaktadır.
Eğer Chaney'in bulmasını istediği dosyalar gerçekten varlarsa veimha edilmemişterse, Pharmomedic'in dosyalan arasında bir yerlerdeolmalan gerekir. Ama onları koca şirketin dev dosya yığınının arasındabulmak büyük bir iş olacaktır. Öte yandan dosyaların kopyalarını kendihukukçularına, Jenkins ve Petry'e de vermiş olabilirler. Eğer savunmaavukatları bu belgelerin varlığından haberdarlarsa ve araştırmasafhasında onları geri çevirmedilerse, o zaman hukukçuluk mesleğininetiğine aykırı davranmışlar ve yasaları çiğnemişlerdir. Pete'in kitabında,böyle bir durum her saldırıyı mubah kılmaktadır.
Pete'in SaldırısıPete adamlarından bazılarını bu konuyu araştırmaları için
görevlendirir ve birkaç gün içinde Jenkins ve Petry'nin kendibünyelerinde tutmadıkları yedeklemelerini hangi şirkette sakladıklarınıöğrenir. Ayrıca saklama şirketinin elinde, hukuk firmasının bantları almakiçin yetkilendirdiği kişilere ait bir liste olduğunu da öğrenir. Bu insanlarınher birinin kendilerine ait parolaları olduğu da bilinen şeyler arasındadır.Pete, adamlarından ikisini karanlık bir iş yapmaları için yollar.
Adamlar internette www.southord.com adresinden sipariş edilebilecekbir maymuncukla kilidi açarlar. Birkaç dakika içinde, sabaha karşı üçsularında saklama şirketinin bürolarına sızarlar ve bir bilgisayarı açarlar.Windows 98 logosunu görmek hoşlarına gider, çünkü bu, işin çok kolayolacağı anlamına gelmektedir. Windows 98 kendini tanıtmanı gerektirmez.Kısa bir aramadan sonra saklama şirketi müşterilerinden her birinin, bant-ları alması için yetkilendirdiği insanların adlarının bulunduğu bir MicrosoftAccess veritabanı bulurlar. Jenkins ve Petry yetki listesine sahte bir adeklerler. Bu ad, adamlardan birinin bulduğu sahte ehliyetlerden birindekiadla aynıdır. (Kilitli depo bölgesine zorla girip müşterinin istediği bantları dao anda bulabilirler miydi? Kesinlikle; ama o'zaman, aralarında hukuk fir-masının da olduğu tüm müşteriler şirkete girildiğini öğrenirler ve saldırgan-lar üstünlüklerini kaybederlerdi. Profesyoneller "gerekirse" diye her zamargelecekte ulaşabilecekleri açık bir kapı bırakırlar.)
Sanayi casuslarının gelecekte kullanmak üzere arka cepte tutmauygulamasını uyarak, her ihtimale karşı, yetkilendirme listesinin olduğudosyayı bir diskete kopyalarlar. Hiçbirinin bunun nerede işe yarayabile-ceği konusunda bir fikri yoktur ama bu da arada bir işe yarayan, "Hazrgelmişken şunu da alsak", türünden bir bilgidir.
Zekice Oynanmış Oyunlar 211
Mitnick Mesaj;:Değerli bilgiler ne şekilde olurlarsa olsunlar ya da nerede dururlarsa dursun-lar korunmalıdırlar. Bir kuruluşun müşteri listesi kâğıt üzerinde ya da elektro-nik dosya olarak ofisinizde veya bir kasada dursa da aynı değere sahiptir.Toplum mühendisleri, çevresinden en kolay dolaşacakları ve en az korunansaldırı noktasını her zaman tercih ederler. Bir şirketin şirket dışı yedeklemebantlarını sakladığı yer, farkedilme ya da yakalanma tehlikesinin düşük olduğubir nokta olarak görülmüştü. Değerli, hassas ve önemli verilerini üçüncü şahıs-lara emanet eden her kuruluş gizliliğini korumak için verilerini şifremelidir.
Ertesi gün adamlardan biri saklama şirketini arayarak, yetki listesineekledikleri adı ve ada ait parolayı verir. Geçen aya ait tüm Jenkins vePetry bantlarını ister ve paketi bir kurye servisinin gelip alacağını söyler.İkindi vaktinde bantlar Andreeson'un elindedir. Adamları, istediklerizaman tarama yapacak şekilde, tüm verileri kendi bilgisayar sistemlerineaktarmışlardır. Pek çok başka şirket gibi, hukuk firmasının da yedekien-miş verilerini şifrelemeyle uğraşmaması Andreeson'u memnun eder.
Bantlar ertesi gün saklama şirketine teslim edilir ve kimseninoperasyondan haberi olmaz.
Aldatmacanın İncelenmesiGevşek fiziksel güvenlik nedeniyle, kötü adamlar saklama şirketinin
kilidini kolaylıkla açmışlar, bilgisayarına ulaşmışlar ve saklama depo-suna ulaşmaya yetkili kişilerin listesinin bulunduğu veri tabanıylaoynamışlardır. Listeye bir ad eklemek sahtekârların, şirketin saklamadeposuna zorla girmelerine gerek bırakmadan istedikleri yedeklemebantlarını elde etmelerini sağlamıştır. Çoğu şirket, yedeklemedosyalarını şifrelemediğinden bilgi, almaları için orada durmaktadır.
Bu olay, geçerli güvenlik önlemleri almayan bir hizmet şirketinin,saldırganların müşterisinin bilgi varlıklarına ulaşmasını nasıl kolay-laştırdığına bir örnek daha oluşturuyor.
Yeni İş OrtağıToplum mühendislerinin sıradan dolandırıcılara ve üçkâğıtçılara göre
bir üstünlüğü vardır, bu da uzaklıktır. Bir üçkâğıtçı, yalnızca yanınızdaykensizi kandırabilir ve eğer oyuna geldiğinizi yeterince erken anlarsanız, onuiyice tarif edebilir hattâ polisleri zamanında çağırabilirsiniz.
Toplum mühendisleri çoğunlukla bu tehlikeden hastalıkmış gibi uzakdururlar. Ancak bazen bu tehlikeye de girmek gerekir.
212 Aldatma Sanatı
Jessica'nın Öyküsü -Jessica Andover gösterişli bir robotik şirketinde çalıştığı için çok
mutluydu. Yalnızca yeni nesil bir teknoloji şirketiydi ve pek de iyi paravermiyor olabilirdi ama küçüktü ve insanlar arkadaş canlısıydı. Ayrıcakendisine verilen şirket hisse senetlerinin her an onu zengin edebile-ceğini bilmenin heyecanı da vardı. Belki şirket kurucuları gibi milyonerolmazdı ama yeterince zengin olurdu.
Ağustos'ta bir Salı sabahı lobiden girdiğinde Rick Daggot'un ışıl ışılgülümsemesine neden olan şey de aynen buydu. Pahalı görünümlütakım elbisesi (Armani), ağır altın kol saati (Rolex President) vekusursuz saç kesimiyle, lise yıllarında Jessica gibi kızları çılgına çevirentürden, erkeksi, kendi güvenen bir havaya sahipti.
"Merhaba", dedi adam. "Ben Rick Daggot. Larry'yle randevum vardı."
Jessica'nın gülümsemesi birden kayboldu. "Larry mi?" deyiverdi."Larry bu hafta tatilde."
Rick, elektronik ajandasını çıkarıp açtıktan sonra ona göstererek,"Saat birde onunla randevum var. Onunla buluşmak için Louisville'denburaya uçtum", dedi. Jessica ona baktı ve başını olumsuz bir şekilde ikiyana salladı. "Yirmisi" dedi. "Bu gelecek hafta." Adam avuç içi bilgisa-yarını kendine çevirip baktı. "Ah, hayır!" diye inledi. "Yaptığım aptallığainanamıyorum."
"En azından sizin için dönüş biletinizi ayarlayabilir miyim?" diyesordu kız, adam için üzülerek.
Kız telefon görüşmesini yaparken Rick, Larry'yle birlikte bir stratejikpazarlama ortaklığı kurmayı tasarladıklarını itiraf etti. Rick'in şirketi üre-tim ve montaj bandı için ürünler üretiyordu. Bu parçalar yeni ürünlerC2Alpha'yı mükemmel bir şekilde tamamlayacaktı. Rick'in ürünleri veC2Alpha birlikte, her iki şirket için de önemli sanayi pazarları açaca-güçlü bir çözüm oluşturacaktı.
Jessica öğleden sonra geç bir saate uçak reservasyonunu yapma;,bitirdiğinde, Rick, "En azından, eğer buradaysa Steve'le görüşebilirimdedi. Ama şirketin genel müdür yardımcısı ve kurucularından biri ola"Steve de ofis dışındaydı.
Jessica'ya çok iyi davranan ve biraz da asılan Rick, burada olduğ.-na ve öğleden sonra geç saatlere kadar eve dönemeyeceğine göre bazkilit kişileri öğle yemeğine götürmek istediğini söyledi. Sonra da ekle:"Sen de tabii; öğle saatinde yerine bakabilecek biri var mı?"
Kendisinin de aralarına katılacağı düşüncesiyle mahcup caJessica sordu, "Kimlerin gelmesini istiyorsun?" Adam, yeniden avuç :bilgisayarına baktı ve birkaç kişinin -AR-GE'den iki mühendisin, ye"
Zekice Oynanmış Oyunlar 213
satış ve pazarlama sorumlusunun ve projeye atanan finans müdürünün-adını verdi. Rick, Jessica'ya şirketle olan ilişkisini onlara anlatmasınıönerdi ve kendini onlara tanıtmak istediğini söyledi. Jessica'nın herzaman gitmek istediği, çevredeki en iyi lokantaya gideceklerini ve saat12:30 için bir masa ayırtacağını da ekledi. Her şeyin yolunda olupolmadığından emin olmak için öğleden önce arayacaktı.
Lokantada buluştuklarında -dördü ve Jessica- masa henüz hazırdeğildi, böylece bara oturdular ve Rick içkileri ve yemeği kendisininödeyeceğini bir kez daha vurguladı. Rick, tarzı ve kalitesi olan biradamdı. İlk tanıştığınız andan itibaren onun yanında kendinizi yıllardırtanıdığınız birinin yanında olduğunuz kadar rahat hissediyordunuz. Herzaman ne söylemesi gerektiğini iyi biliyormuş gibi görünüyor, sohbetdurulduğunda neşeli ya da komik bir yorum yapabiliyor ve onun yakın-larında olduğunuz için kendinizi iyi hissetmenizi sağlıyordu.
Kurmakta çok hevesli göründüğü ortak pazarlama çözümünü hep-sinin gözlerinde canlandırmasına yetecek kadar, kendi şirketinin ürün-leriyle ilgili de yeterince ayrıntı anlatmıştı. Şirketinin satış yapmaktaolduğu pek çok Fortune 500 şirketinin adını da vermiş, masadakiherkese, fabrikadan çıktığı andan itibaren, ürünlerinin çok iyi işyapacağı hayalini kurdurmayı başarmıştı.
Sonra Rick mühendislerden biri olan Brian'ın yanına geçti. Diğerlerikendi aralarında sohbet ederlerken, Rick bazı fikirlerini Brian'la özelolarak paylaştı ve ondan C2Alpha'nın kendine özgü nitelikleri ve onupiyasadaki benzerlerinden neyin ayırdığı gibi bilgiler aldı. Brian'ın gururduyduğu ve çok "sıkı" olduğunu düşündüğü bir iki özelliği şirketin önem-sizmiş gibi göstermeye çalıştığını da öğrendi.
Rick, tarzını sürdürüp her biriyle küçük sohbetler etti. Pazarlamasorumlusu, piyasaya sürüm tarihi ve pazarlama planlarından bahsetmeolanağı bulduğu için mutluydu. Cebinden bir zarf çıkardı. Malzeme veimalat maliyetlerinin ayrıntılarını, fiyat noktası ile beklenen kâr payını,adlarını sıraladığı satıcılarla ne tür anlaşmalar yaptığını bir bir anlattı.
Masaları hazır olduğunda Rick herkesle görüş alışverişinde bulun-muş ve herkesi kendine hayran bırakmıştı. Yemeğin sonunda hepsiRick'le tokalaşıp teşekkür ettiler. Rick her biriyle kartvizit alıp verdiktensonra, mühendis olan Brian'a Larry döner dönmez daha uzun birgörüşme yapmak istediğini de söyledi.
Ertesi gün Brian telefonu açtığında arayanın Rick olduğunu gör-müştü. Rick az önce Larry'le konuştuğunu söylüyordu. "Bazı özelliklerigörüşmek için Pazartesi geri geleceğim", dedi. "Sizin ürünle ilgili en kısasürede bilgi sahibi olmamı istiyor. En son tasarımları ve özellikleri onae-postalamanı istediğini söyledi. Bilmemi istediği kısımları çıkarıp, banayollayacak."
214 Aldatma Sanatı
Mühendis bunun uygun olacağını söyledi. "İyi", diye karşılık verdiRick. Sonra sürdürdü, "Larry e-postasına ulaşmakta bir sorun yaşıyor-muş. Otelin iş merkezinden kendisine bir Yahoo adresi almalarını ricaetmiş. Belgeleri onun her zaman kullandığı e-posta adresine gönder-mek yerine dosyaları [email protected] adresine göndermengerekiyormuş."
Ertesi Pazartesi sabahı Larry güneşten yanmış ve rahatlamış olarakgirdiğinde Jessica ilk haberi vermek ve Rick'i öve öve anlatmak için çokheyecanlıydı. "Ne müthiş bir adam. Bazılarımızı yemeğe götürdü, benibile." Larry anlamamış gibi duruyordu. "Rick mi? Rick de kim ya?"
"Neden söz ediyorsun? Yeni iş ortağın."
"Ne!!!???"
"Sorduğu sorulardan herkes çok etkilendi."
"Rick diye birini tanımıyorum ..."
"Senin neyin var? Şaka mı bu, Larry? Benimle dalga geçiyorsundeğil mi?".
"Yöneticileri konferans salonuna topla. Hemen şimdi. Ne işleri varsabırakıp gelsinler. O gün öğle yemeğine gelenleri de çağır. Sen de dahil."
Kasvetli bir havada, pek konuşmadan masanın çevresine top-landılar. Larry içeri girip oturdu ve konuşmaya başladı. "Rick adındakimseyi tanımıyorum. Sizden sakladığım bir iş ortağım da yok. Bununen azından açık olduğunu düşünüyordum. Eğer aramızda şaka yap-maktan hoşlanan biri varsa, şimdi ortaya çıkmasını istiyorum."
Hiç ses çıkmadı. Her an oda daha kararıyormuş gibiydi.
Sonunda Brian konuştu. "Ekinde ürün özellikleri ve kaynak koduolan e-postayı sana gönderdiğimde neden birşey söylemedin?"
"Ne e-postası?!"
Brian gerildi. "Ah ... hayır!"
Cliff, diğer mühendis, araya girdi. "Hepimize kartvizitini verdi. Tekyapmamız gereken onu arayıp neler olup bittiğini öğrenmek."
Brian avuç içi bilgisayarını çıkardı, bir bilgiye baktı ve aleti masanı"üstünden kaydırarak Larry'e doğru itti. Ümitlerini kesmeden hepsi hipno-tize gibi Larry'nın telefonu çevirişini seyrediyorlardı. Bir an sonra telefo-nun hoperlörünü açan düğmeye bastı ve hepsi meşgul sesini duydula'Yirmi dakika boyunca numarayı defalarca çevirdikten sonra, canı iyicesıkılmış Larry acil bir kesinti yaratmasını rica etmek için santralı aradı
Biraz sonra santral yeniden hattâ geldi. Meydan okur bir tonca"Beyefendi bu numarayı nereden buldunuz?" diye sordu. Larry aci e-
Zekice Oynanmış Oyunlar 215
görüşmesi gereken bir adamın kartvizitinden aldığını söyledi. Santral,"Üzgünüm", dedi. "O bir telefon şirketi test numarası. Her zamanmeşgul çalar."
•* Larry, Rick'le paylaşılan bilgilerin bir listesini çıkarmaya başladı.Görüntü hiç iyi değildi.
iki polis dedektifi gelip tutanak tuttular. Hikâyeyi dinledikten sonra,eyalet kanunlarına göre herhangi bir suç işlenmediğini ve yapabilecek-leri bir şey olmadığını söylediler. Larry'e FBI'la görüşmesini önerdiler,çünkü eyaletler arası ticaretle ilgili suçlar onların yetki alanına giriyordu.Rick Daggot kendini farklı tanıtarak mühendisten test sonuçlarını gön-dermesini istediğinde federal bir suç işlemiş olabilirdi ama bunu öğren-mek için FBI'la konuşması gerekiyordu.
Üç ay sonra Larry mutfakta oturmuş, kahvaltı edip gazetesiniokurken az kalsın kahvesini döküyordu. "Rick" adını ilk duyduğu andanberi olmasından korktuğu şey, en büyük kâbusu gerçekleşmişti.Ekonomi sayfasında büyük puntolarla verilen haberde, daha önce adınıhiç duymadığı bir şirketin, geçen iki yıldır kendi şirketinin geliştirdiğiC2Alpha'nm tıpatıp aynısı gibi görünen yeni ürününü piyasayasürdüğünü duyuruyordu.
Kandırmaca yoluyla o insanlar pazarda öne geçmişlerdi. Rüyalarıyıkılmıştı. Araştırmaya ve geliştirmeye yatırılan milyonlarca dolar ziyanolmuştu. Ve onlara karşı tek bir •kanıtı bile yoktu.
Scirtirny Sanford'un Öyküsü
Düzgün bir işte çalışıp büyük paralar kazanacak kadar akıllı ama birdolandırıcı olarak hayatını kazanmayı tercih edecek kadar da sahtekârbir adam olan Sammy Sanford kendini çok iyi idare ediyordu.Zamanında içki sorunu olduğu için erken emekliliğe zorlanmış bircasusun dikkatini çekmişti. Adam kızgın ve intikam doluydu ve devletinonu uzmanlaştırdığı yetenekleri satmanın bir yolunu bulmuştu. Herzaman kullanabileceği insanlara karşı gözü açıktı ve ilk karşılaştıkların-da Sammy'nin yeteneğini görmüştü. Sammy bu işi kolay bulmuş ve ilginoktasını insanların paralarını çarpmaktan şirket sırlarını çarpmayadoğru çevirmenin oldukça kazançlı olduğunu da görmüştü. Devamınıkendisinden dinleyelim:
Çoğu insanın benim yaptığım işleri yapacak cesareti yoktur, insan-ları telefondan ya da internet üzerinden kandırmaya çalışırsınız vekimse sizi görmez. Ama eski usul, yüz yüze türünden iyi bir dolandırıcı(ve onlardan, ortalıkta düşündüğünüzden daha çok var) gözünüzüniçine bakıp kuyruklu bir yalan söyler ve siz ona inanırsınız. Bunun suçolduğunu düşünen bir iki savcı biliyorum. Ben buna yetenek derdim.
Ama gözünüzü kapatıp işe dalamazsınız, önce ortalığı yoklamanız
216 Aldatma Sanatı
gerekir. Sokakta tavcılık yaparken dostça bir sohbetle ve dikkatle kurul-muş cümlelerle adamın nabzını yoklayabilirsiniz. Doğru yanıtlarıalırsınız ve şak!., kuşu kafese alırsınız.
Şirket işi, büyük dalavere dediğimiz türden bir iştir. Önden hazırlıkyapmanız gerekir. Hassas noktalarının ne olduğunu, ne bilmek istedik-lerini, neye ihtiyaçları olduğunu bilmelisiniz. Bir saldırı planlayın, sabırlıolun, ödevinizi yapın. Oynayacağınız rolü belirleyin ve ne söyleye-ceğinizi iyi çalışın. Hazır olana kadar kapılarına gitmeyin.
Bu iş için hız kazanana kadar üç haftadan fazla zaman harcadım.Müşteri, "şirketimin" ne yaptığını ve bunun neden iyi bir pazarlamaortaklığı olacağını nasıl anlatacağımı bana iki günde öğretti.
Sonra şansım yaver gitti. Şirketi aradım ve bir girişim sermayesi şir-ketinden aradığımı, bir toplantı ayarlamak istediğimizi söyledim.Önümüzdeki bir iki ay içinde tüm ortaklarımızın bulunabileceği birzaman ayarlamaya çalışıyorum. Uzak durmam gereken, Larry'ninşehirde olmayacağı herhangi bir zaman aralığı var mıydı acaba? Vekadın "evet" dedi. Şirketi kurduğundan beri iki yıldır hiç tatil yapmamıştı;ancak karısı Ağustos'un ilk haftasında onu bir golf tatiline sürüklüyordu.
Yalnızca iki hafta sonraydı. Bekleyebilirdim.
Bu sırada bir ekonomi dergisinden, şirketin halkla ilişkilerini yürütenfirmanın adını buldum. Robotik şirketi müşterileri için topladıkları ilgininhoşuma gittiğini ve onların işini kim görüyorsa kendi şirketimle ilgiliolarak onunla konuşmak istediğimi belirttim. Yeni bir müşteri kazanmafikrinden hoşlanan cıvıl cıvıl genç bir hanım olduğu ortaya çıktı. Pahalıbir öğle yemeğinde, niyetlendiğinden bir kadeh fazla içti ve "müşteri-lerinin sorunlarını anlamakta ve doğru halkla ilişkiler çözümleri bulmak-ta ah ne kadar iyi" olduklarına beni ikna etmek için elinden geleni yaptı,ikna edilmesi güç birini oynuyordum. Bazı ayrıntılara ihtiyacım vardı.Biraz dürtüklemenin ardından masa temizlenene kadar bana yeni ürünve şirketin karşılaştığı sorunlar hakkında beklediğimden daha çok şeyanlatmıştı. • • .
Her şey tıkır tıkır yürüdü. Buluşmanın gelecek hafta olmasıyla ilgiliçok mahcup olduğum ama gelmişken ekiple tanışabileceğim öyküsünüdanışma görevlisi olduğu gibi yutmuştu. Hattâ arada bana acımıştı bileÖğle yemeği, bahşiş dahil, bana 150 dolara mal oldu ve istediğimialdım. Telefon numaraları, unvanlar ve söylediğim kişi olduğuma inanankilit bir mühendis.
Brian'ın beni şaşırttığını itiraf etmeliyim. Ne istesem gönderecek tür-den bir adama benziyordu. Konuyu açtığımda, bir şeyleri söylemiyor-muş gibi gelmişti. Beklenmeyeni beklemek her zaman işe yarar. Larryadına alınmış e-posta adresi, her olasılığa karşı arka cebimde duruyor-du. Yahoo güvenlik sorumluları, izleyebilmeleri için adresi birinin kullan-
Zekice Oynanmış Oyunlar 217
masını herhalde hâlâ bekliyorlardır. Daha çok bekleyecekler. İş iştengeçmişti. Ben yeni bir projeye atılmıştım bile.
Aldatmacanın İncelenmesiYüz yüze dalavere çeviren kişi kendini hedefe kabul ettirebilecek bir
şekilde göstermelidir. Yarışlara giderken kendini başka bir şeklesokarken, mahallenin barına giderken başka, havalı bir otelin şık barınagiderken daha başka görünecektir.
Sanayi casusluğunda da aynı şekildedir. Eğer casus, oturmuş bir fir-manın yöneticisi, bir danışman ya da satış sorumlusu kılığına girecekseyapacağı saldırı ceket giyip kravat takmayı ve pahalı bir çanta taşımayıgerektirebilir. Bir yazılım mühendisi, teknik eleman ya da posta odasın-dan biri gibi davranacağı başka bir işte giysiler, üniforma, her şey farklıgörünmelidir.
Şirkete sızabilmek için kendini Rick Daggot olarak tanıtan kişinin şir-ketin ürünü ve piyasayla ilgili ayrıntılı bilgiyle donanmış, bir güven vebaşarı görüntüsü oluşturması gerekiyordu.
Önceden bilmesi gereken bilgiyi edinmekte çok güçlük çekmemişti.Genel müdürün ne zaman yerinde olmayacağını öğrenmek için basit biroyun oynamıştı. Çok zor olmasa da, biraz dikkat gerektiren konu, yap-tıklarıyla ilgili "konuya hakim" görünecek kadar projeye yönelik bilgitoplamaktı. Bu tarz bilgiler çoğu zaman mal aldıkları şirketlerin, yatırım-cıların, para toplamak için konuştukları girişim sermayecilerinin, çalıştık-ları bankanın ve hukuk şirketinin bildikleri şeylerdi. Ancak saldırgandikkatli olmalıydı. Şirket içi bilgileri paylaşabilecek birini bulmak zor birişti ve bilgi alınabilecek birini bulmak için iki ya da üç kaynağı yoklamak
itnick Mesajı:Her ne kadar çoğu toplum mühendisliği saldırısı telefon ya da e-posta üzerindengerçekleşse de gözükara bir saldırganın işyerinizde şahsen belirmeyeceğinidüşünmemelisiniz. Çoğu zaman sahtekâr, Photoshop gibi kolayca bulunabilenbir yazılımı kullanarak bir personel kartının sahtesini hazırladıktan sonra şirketbinasına girebilmek için bazı toplum mühendisliği tekniklerini kullanır. Ya tele-fon şirketinin test numarasının yazılı olduğu kartvizitlere ne demeli? Bir özeldedektiflik dizisi olan Rockford Dosyaları adlı televizyon programında akıllıca veeğlenceli sayılabilecek bir teknik gösterilmişti. Aktör James Garner'ın oynadığıRodçford karakterinin arabasında, gerektiği hallerde uygun kartı basmak içinkullandığı, taşınabilir bir kartvizit basma makinası vardı. Bu günlerde toplummühendisleri kartvizitlerini bir saat içinde bir fotokopicide bastırabilir ya da birlazer yazıcıdan çıktı alabilirler.
218 Aldatma Sanatı
'. Soğuktan Gelen Casus, Son Casus ve daha pek çok dikkatedeğer romanın yazarı olan John Le Carre, itinalı, yaşam boyudolandırıcılıkla uğraşmış bir babanın oğlu olarak büyüdü. Daha Le Carrebir çocukken, babasını başkalarını kandırmakta başarılı olmasına rağmen,ahmak durumuna düşüp başka bir dolandırıcının kurbanı olduğunuöğrendiğinde çok şaşırmıştı. Bu da herkesin, hattâ bir toplum mühen-disinin bile, başka bir toplum mühendisi tarafından avlanabileceğini bizegösteriyor.
insanların oynanan oyunu farketmelerine neden olabilirdi. O taraftehlikeliydi. Dünyadaki Rick Daggot'lar seçimlerini dikkatle yapmalı veher bilgi patikasından bir kez geçmelidirler. :
Öğle yemeği de başka bir zorlu girişimdi. Öncelikle her şeyi öyleayarlamalıydı ki, diğerlerine duyurmadan herkesle birkaç dakika yalnızkalabilmel'ıydi. Jessica'ya 12:30 dedi ama masayı saat 13:00 için ayırt-tı. Yemek yiyecekleri yer, hesabı şirket masraflarına ekleyebileceğiniztürden, şık bir lokantaydı. Saat oynamasının birer içki için bara otur-malarını gerektireceğini umuyordu, tam da böyle olmuştu. Tek tekherkesin yanlarına gidip sohbet etmek için kusursuz bir fırsattı.
Yine de Rick'in bir sahtekâr olduğunu ortaya çıkaracak, atabileceğibir sürü yanlış adım vardı. Ancak kendine fazlasıyla güvenen ve kurnazbir sanayi casusu kendini böyle bir tehlikeye maruz bırakırdı. Ama yıllar-ca sokaklarda tavcı olarak çalışmak Rick'in yeteneklerini geliştirmiş vedili sürçse de tüm kuşkuları yatıştıracak kadar iyi bir şekilde olayı kapa-tabileceğine dair kendine güvenmesini sağlamıştı. Burası tüm sürecinen zorlu ve en tehlikeli kısmıydı ve böyle bir dalavereyi çevirirken duy-duğu kıvanç neden hızlı arabalar kullanmadığı, gök dalışı (skydiving1
yapmadığı ya da karısını aldatmadığını anlamasını sağlamıştı. İşiniyaparken yeterince heyecanlanıyordu. Kaç kişi, diye merak etti, kaç kişbu kadar şanslı olabilirdi ki?
Aklı başında bir avuç kadın ve erkeğin aralarına bir sahtekâ'almalarının nedeni ne olabilir? Oluşan bir durumu hem aklımızla hem deiçgüdülerimizle tartarız. Eğer anlattığı hikâye tutarlıysa -bu, akılla yapılarkısımdır- ve dolandırıcı inanılır bir görüntü çizdiyse çoğu zaman yelker-leri suya indiririz. Başarılı bir dolandırıcıyı ya da toplum mühendisini par-maklıkların arkasına düşenlerden ayıran unsur inanılır görüntüdür.
Kendi kendinize sorun: Rick'in anlattığı gibi bir öyküyü asla yutrr-a-yacağımdan ne kadar eminim? Eğer yutmayacağınızdan eminseniz :zaman kendinize birinin size böyle bir numara yapmaya kalkıp kak-madığını sorun. Eğer ikinci soruya verdiğiniz yanıt evetse, bü\-olasılıkla birinci sorunun doğru yanıtı da bu olacaktır.
Zekice Oynanmış Oyunlar 219
BirdirbirSize bir soru: Aşağıdaki öyküde sanayi casusluğuyla ilgili bir şey
yoktur. Okurken, bakın bakalım, neden bu öyküyü bu bölümde anlat-tığımı anlayabilecek misiniz!
Harry Tardy evine dönmüştü ve canı sıkkındı. Askere yazılmak,acemi birliğinden atılana kadar, çok iyi bir fikir gibi gelmişti. Şimdi nefretettiği bu yere geri dönmüş yerel yüksekokulda bilgisayar dersleri alıyorve dünyaya bir tokat patlatmanın yollarını arıyordu.
Sonunda bir plan yaptı. Sınıfındaki adamlardan biriyle bir kadeh birşey içerlerken, herkesi küçümseyen, çok bilmiş bir herif olan hocaların-dan şikâyet ediyorlardı. Birlikte adamı yakacak kurnaz bir plan yaptılar.Çok kullanılan bir PDA'nın (personal digital asistant - kişisel dijitalyardımcı) kaynak kodunu ele geçirecekler ve şirketin, kötü adamın bil-gisayar hocası olduğunu düşüneceği şekilde geride iz bırakarak,hocanın bilgisayarına göndereceklerdi.
Yeni arkadaş Kari Alexander, birkaç numara bildiğini söylemişti vebu işin nasıl kotarılacağını Harry'ye gösterecekti. Tabii, yakalanmadan.
Ödevlerini YapıyorlarYaptığı ilk araştırmada Harry, ürünün, PDA üreticisinin deniz aşın bir
yerdeki Genel Müdürlüğü'ne bağlı Geliştirme Merkezi'nde yapıldığınıöğrenmişti. Ama Birleşik Devletler'de de bir Ar-Ge merkezi vardı. Karl'ınsöylediğine göre bu iyi bir şeydi, çünkü yaptıkları işin yürümesi içinBirleşik Devletler'de de kaynak koduna ihtiyaç duyan bir şirkete ait birtesis olması gerekiyordu.
Bu noktada Harry deniz aşın Geliştirme Merkezi'ni aramaya hazırdı.Burada devreye kendini acındırma girecekti. "Aman tanrım, başımdertte, yardıma ihtiyacım var, lütfen, lütfen bana yardım edin." Yapacak-ları acındırma doğal olarak bundan daha üstü kapalı olacaktı. Kari birmetin yazdı ama Harry onu okumaya çalışırken sahte olduğu çıkardığıher sesten belli oluyordu. Sonuç olarak söylemek istediğini sohbet edergibi söyleyebilmesi için Karl'la oturup çalıştılar.
Sonunda, Kari yanında otururken,Harry'nin söylediği şey aşağıdaki gibiydi, r
i"Minneapolis Ar-Ge'den arıyorum. |
Sunucumuza tüm bölümü etkileyen bir [ GZIP- Bir Linux GNUsolucan girdi, işletim sistemini yeniden | uyguıaması kullanarakyüklememiz gerekti ve yedekleri geri j dosyaların tek biryükleyeceğimiz zaman yedeklemeler-den hiçbirinin sağlam olmadığını gördük.
sıkıştırılmış dosyadatoplanması.
220 Aldatma Sanatı
HERKESE A ÇIK FTP: FTP(file transfer protocol -
dosya aktarım protokolü)kullanma hesabınız olmasada bir bilgisayara uzaktan
erişmenizi sağlayan birprogramdır. Her ne kadar
herkese açık FTP'lere paro-lanız erişim mümkünse degenellikle belli kalsörlerin
kullanıcı hakları sınır-landırılmıştır.
Bilin bakalım yedeklerin sağlamlığınıkimin kontrol etmesi gerekiyor? Bende-nizin. Bu yüzden patronumdan bir arabadolusu fırça yedim ve yöneticiler verikaybettik diye veryansın ettiler. Mümkünolduğu kadar hızlı, kaynak koduklasörünün en son haline ihtiyacım var.Ne kadar hızlı gönderebilirseniz o kadariyi. Kaynak kodunu zip'leyip bana gön-dermenizi rica ediyorum."
Bu aşamada Kari bir kâğıda bir notyazıp verdi ve Harry telefonun diğerucundaki adama dosyayı dahilî olarakMinneapolis Ar-Ge'ye yollamasını iste-diğini söyledi. Bu önemli bir ayrıntıydı.Telefonun ucundaki adam, dosyanın şir-
ketin başka bir bölümüne gönderilmesinin istendiğinden emin olunca,rahatlamıştı; bunda ne terslik olabilirdi ki?
Adam dosyaları zip'leyip göndermeyi kabul etti. Kari yanındaykenHarry, büyük kaynak kodunu tek bir dosyaya sığdırmak için yapmasıgerekenleri adama adım adım anlattı. Ayrıca sıkıştırılmış dosyada kul-lanması için bir dosya ismi verdi: "yeniveri". Bunun eski, bozukdosyalarla karışmaması için gerekli olduğunu da anlattı.
Bir sonraki adımı Harry'nin anlaması için Karl'ın iki kere anlatmasıgerekmişti ama Karl'ın hayalini kurduğu küçük birdirbir oyunu için buönemliydi. Harry Minneapolis Ar-Ge'yi arayacak ve oradaki birine şöylediyecekti: "Size bir dosya göndermek istiyorum ve sonra bu dosyayı benimiçin başka bir yere göndermenizi rica ediyorum." Bu talep doğal olarakkulağa akla yatkın gelen her türlü nedenle süslenip püslenmişti. Harry'ninkafasını karıştıran şey şuydu: "Size bir dosya göndereceğim", demesigerekiyordu ancak dosyayı gönderecek kişi kendisi değildi. Ar-Gebölümünde konuştuğu adamın dosyanın kendisinden geldiğini düşün-mesini istiyordu. Aslında merkeze gelecek dosya Avrupa'dan gelen tescil-li kaynak kodu dosyasıydı. "Başka bir kıtadan gelen bir şey için neden bengönderdim diyorum?" Harry bunun nedenini bilmek istiyordu.
"Ar-Ge Merkezi'ndeki adam kilit kişi", diye açıkladı Kar!."Amerika'daki bir başka çalışana bir iyilik yaptığını düşünüyor olmasi
gerek, senden bir dosya alacak sonra senin için o dosyayı başka birineiletecek."
Harry sonunda anlamıştı. Ar-Ge Merkezini aradı, Bilgisaya-Merkezi'yle görüşmek istediğini söyledi, orada da bir bilgisayar işlei-meniyle konuşmak istedi. Sesi Harry kadar genç gelen biri çıktı telefonaHarry ona "merhaba" dedi ve şirketin Chicago üretim bölümünde"
Zekice Oynanmış Oyunlar 221
aradığını ve birlikte bir projede çalıştıkları bir dosyayı ortaklarındanbirine göndermeye çalıştığım açıMadı. "Ancak", dedi ve ekledi, "Yönlen-diricide bir sorun var ve onların ağına ulaşamıyor. Dosyayı size gönder-mek istiyorum. Dosyayı gönderdikten sonra sizi arayıp onu ortağın bil-gisayarına aktarmanız için gerekli adımları anlatırım."
Şimdilik her şey yolundaydı. Sonra Harry adama bilgisayarmerkezinin herkese açık bir FTP hesabının olup olmadığını sordu. Bu,bir dizine dosya yüklemek ya da bir dizinden dosya almak için kullanılanparolasız bir kurulumdu. Evet, herkese açık FTP vardı ve adam orayaulaşmak için gerekli olan İP adresini Harry'e verdi.
Eldeki bu bilgilerle Harry denizaşırı Geliştirme Merkezi'ni yine aradı.Sıkıştırılmış dosya hazırdı ve Harry herkese açık FTP sitesine dosyayıaktarmak için gerekli açıklamaları yaptı. Beş dakikadan kısa bir süreiçinde sıkıştırılmış kaynak kodu dosyası Ar-Ge Merkezi'ndeki çocuğagönderilmişti..
Kurbanı Tuzağa DüşürmekHedeflerine giden yolu yarılamışlardı. Şimdi, devam etmeden önce
dosyanın geldiğinden emin olmak için Harry ve Karl'ın beklemelerigerekiyordu. Beklerken, odanın diğer tarafında duran, hocanın masası-na gittiler ve atılması gereken iki önemli adımla ilgilendiler, ilk adım bumakinada da bir herkese açık FTP sunucusu oluşturmaktı, böyleceoyunlarının son ayağında dosyanın gelebileceği bir yer olacaktı.
ikinci adım zorlu olabiliecek bir soruna çözüm bulmaya yönelikti. Ar-GeMerkezi'ndeki adamdan dosyayı [email protected] gibi bir adresegöndermelerini açıkçası isteyemezlerdi. Alan adının ".edu" olmasıbüyük bir açık vermek demekti. Yarı uyanık bir bilgisayarcı bile bununbir okulun adresini olduğunu anlar, anında tüm harekâtı sona erdirirdi.Bundan kaçınmak için hocanın bilgisayarındaki VVİndovvs'a girdiler vedosyanın gönderileceği adres olarak verecekleri makinanın İPnumarasına baktılar.
O sırada Ar-Ge Merkezi'ndeki bilgisayar işletmenini arama zamanıgelmişti. Harry telefonla ona ulaştı ve, "Söz ettiğim dosyayı az öncegönderdim. Gelip gelmediğine bir bakabilir misin?" diye sordu. Evet,gelmişti. Harry dosyayı başka bir yere iletmesini rica etti ve ona İPadresini verdi. Genç adam bağlantıyı kurup dosyayı göndermeyebaşlayana kadar telefonda bekledi ve hocanın bilgisayarındaki -dosyayıalmakla meşgul- sabit sürücünün ışığı yanıp sönmeye başlayıncaikisinin de suratında kocaman birer gülümseme belirdi.
Harry ve adam, bir gün bilgisayarların ve ara birimlerinin nasıl dahagüvenilir olacağıyla ilgili biraz sohbet ettiler ve sonra Harry teşekkürederek veda etti.
222 Aldatma Sanatı
İkisi, dosyayı hocanın bilgisayarından bir çift diskete kopyaladılar.Daha sonra bakmak için her biri birer kopya almıştı, doya doya baka-bileceğin bir tabloyu müzeden çalıp kimseye birşey söyleyememek gibibir şeydi bu. Ancak bu durumda daha çok onlar gerçek tablonun birerkopyasını almış gibiydiler ve gerçek olan hâlâ müzede duruyordu.
Sonra Kari, Harry'e hocanın makinasından FTP sunucusunu kaldır-manın adımlarını ve yaptıklarından geriye birşey kalmaması içindenetleme izlerini nasıl sileceğini anlattı. Geriye bir tek, kolayca bulu-nabilecek bir yerde duran çalıntı bir dosya kalmıştı.
Son bir adım olarak kaynak kodunun bir parçasını doğrudanhocanın bilgisayarından Usenet'e koydular. Yalnızca küçük bir parçay-dı, böylece şirkete büyük bir zarar vermemiş olacaklar ama hocayakadar takip edilebilecek açık izler bırakmış olacaklardı. Adam bazı şey-leri açıklamakta çok zorlanacaktı.
Aldatmacanın İncelenmesiBu dalaverenin yürümesi için birkaç unsur bir araya getirilmiş olsa
da kendini açındırıp yardım isteyen -patronumdan fırça yedim, yönetici-ler veryansın ettiler, gibi- iyi bir rol yapma olmadan bu iş başarılamazdı.Bu ve telefonun diğer ucundaki adama sorunu nasıl çözeceğini anlatanayrıntılı bir açıklama oldukça inandırıcı bir dalavere olarak kendini gös-terdi. Bu noktada ve pek çok başka zamanda da işe yaramıştı.
ikinci önemli nokta, dosyanın değerini anlayacak adamdan dosyayışirket içi bir adrese göndermesini istemişlerdi.
Bulmacanın üçüncü parçası ise bilgisayar işletmeninin dosyanın şir-ket içinden gönderildiğini görmesiydi. Bu da yalnızca, dosyayı ona gön-deren adamın eğer dış ağ bağlantısı çalışıyor olsaydı bunu kendisininde gönderebileceği anlamına gelebilirdi ya da en azından öyle gibigörünürdü. Dosyayı onun adına göndermekte ne gibi bir sakınca ola-bilirdi ki?
Sıkıştırılmış dosyaya farklı bir ad verilmesine ne dersiniz? Küçükgibi görünse de önemli bir ayrıntı. Saldırgan, dosyanın içinde bir kaynakkod olduğunu gösteren ya da ürünle ilgili bir adla görülmesi riskini gözealamazdı. Böyle bir ada sahip bir dosyayı şirket dışına gönderme talebialarm zillerini çaldırabilirdi. Dosyanın zararsız görünümlü bir adla
Mitnick Mesajı:Her çalışanın beynine kazınmış temel bir kural olmalıdır: Yönetimin onayıolmadığı sürece, göndereceğiniz yer şirketinizin dahilî ağındaymış gibigözülcse de, şahsen tanımadığınız kişilere dosya göndermeyin.
Zekice Oynanmış Oyunlar 223
yeniden adlandırılması önemliydi. Saldırganların da öngördüğü üzereikinci genç adamın dosyayı şirket dışına göndermekle ilgili hiçbir çekin-cesi olmadı. Bilginin gerçekte ne olduğuyla ilgili hiçbir ipucu vermeyen"yeniveri" gibi bir adı olan bir dosya zaten onu pek kuşkulandırmazdı.
Sonuç olarak bu öykünün sanayi casusluğuyla ilgili bir bölümde nearadığını çözebildiniz mi? Çözemediyseniz, işte yanıtı: Bu iki öğrencininhaince bir şaka olarak yaptıkları şey, rakip bir firmanın ya da yabancı birülkenin tuttuğu profesyonel bir sanayi casusu tarafından kolaylıklayapılabilirdi. Her koşulda da şirketin zararı korkunç olur, rakip firmanın •ürünü piyasaya çıktığı zaman yeni ürünlerinin satışlarına ciddi bir darbevurulmuş olurdu.
Benzer bir saldırı sizin şirketinize karşı kolayca gerçekleştirilebilir mi?
Aldatmacanın EngellenmesiUzun süredir şirketlere sorun oluşturan sanayi casusluğu, Soğuk
Savaş'ın da sona ermesiyle ücret karşılığı şirket sırlarını ele geçirmeyeodaklanmış geleneksel casusların ekmek kapısı oldu. Yabancıhükümetler ve şirketler serbest çalışan sanayi casuslarını bilgi çalmalarıiçin tutuyorlar. Yerel şirketler de, rekabetçi bilgiler elde etme çabaların-da çizgiyi aşan bilgi simsarlarına başvuruyorlar. Çoğu zaman eskiaskerî casuslar, kuruluşları kolaylıkla sömürmek için gerekli ön bilgiyeve deneyime sahip endüstriyel bilgi simsarlarına dönüşüyorlardı. Özel-likle bilgilerini korumak ve çalışanlarını eğitmek konusunda gerekliönlemleri almayı başaramamış kuruluşlar başlıca hedeflerdi.
Güvenli Saklama Şirketi ..Bilgilerini farklı bir yerde tutan bir şirketin yaşadığı sorunlara ne çözüm
getirebilirdi? Şirket, verilerini şifrelemiş olsaydı buradaki tehlikeönlenebilirdi. Evet, şifreleme daha fazla zaman ve harcama gerektirir amaharcanan çabalara değer. Şifreli dosyaların şifreleme/deşifreleme sistem-lerinin düzgün çalışıp çalışmadığı düzenli olarak kontrol edilmelidir.
Her zaman şifre anahtarının kaybolması ya da anahtarı bilen tekkişiye otobüs çarpması gibi tehlikeler vardır. Ama yaşanabilecek cansıkıntısı, bu şekilde asgarî düzeye indirilir ve hassas bilgilerini kendibünyesi dışında ticarî bir firmada tutan ve şifreleme kullanmayan her-hangi biri, açık sözlülüğümü bağışlayın ama, salaktır. Kötü birmahallede cebinizden yirmi dolarlık banknotları sarkıtarak yürümek,esasen soyulmaya davetiye çıkarmak gibi bir şeydir.
Yedekleme ortamlarını birilerinin alıp götürebileceği bir yerde bırak-mak sık görülen bir güvenlik açığıdır. Yıllar önce müşteri bilgilerini koru-mak için daha iyi önlemler alabilecek bir şirkette çalışıyordum.
224 Aldatma Sanatı
Yedekleme sorumluları şirketin yedekleme bantlarını her gün birkuryenin gelip alması için kilitli bilgisayar odasının dışına bırakıyorlardı.Herhangi biri, şirketin şifrelenmemiş metinler içeren tüm belgelerininbulunduğu bu bantları alıp gidebilirdi. Eğer yedekleme verileri şifrelen-miş olsalardı, malzeme kaybı sadece biraz baş ağrıtırdı. Eğer şifrelen-memiş olsalardı; şirket üstündeki böyle bir etkiyi benden daha iyigözünüzde canlandırabilirsiniz.
Büyük şirketler için, verileri bünyeleri dışında saklama gereksinimikaçınılmazdır. Ancak şirketinizin güvenlik süreçlerinin arasında, sakla-ma şirketinin kendi güvenlik kuralları ve uygulamaları konusunda nekadar sağduyulu davrandığını kontrol etme zorunluluğu da olmalıdır.Eğer sizin şirketiniz kadar kararlı değillerse, tüm güvenlik çabalarınızboşa gidebilir.
Küçük şirketlerin yedekleme için iyi bir seçenekleri daha vardır. Yenive değiştirilmiş dosyalarını her gece çevrimiçi saklama ortamı sunan şir-ketlerden birine gönderebilirler. Yine verilerin şifrelenmesi önemlidir.Aksi durumda bilgiler, yoldan çıkmış bir saklama şirketi çalışanınınyanısıra çevrimiçi saklama şirketinin bilgisayar sistemlerine ya da ağınagirebilecek her bilgisayar korsanına da açık olur.
Tabii ki, yedekleme dosyalarınızın güvenliğini korumak için birşifreleme sistemi kurduğunuz gibi, şifre anahtarlarını ya da parolalarısaklamak için de üstün bir güvenlik süreci oluşturmanız gerekmektedir.Verileri şifrelemek için kullanılan anahtarlar bir kasada ya da kilit altındatutulmalıdır. Sıradan şirket uygulamaları bu verilerle ilgilenen çalışanınaniden ayrılabileceği, ölebileceği ya da başka bir işe geçebileceğiolasılıklarına karşı alınacak önlemleri de kapsamalıdır. Saklama yerinive şifreleme/deşifreleme adımlarının yanısıra anahtarların nasıldeğiştirildiğiyle ilgili kuralları da bilen her zaman en az iki kişi olmalıdır.Kurallar ayrıca şifreleme anahtarlarına erişimi olan çalışanın ayrılmasıdurumunda şifrelerin hemen değiştirilmesini de zorunlu kılmalıdır.
O Da Kim?Bu bölümde anlatılan, bilgi paylaşmaları için çalışanları kandırmak
amacıyla etkileyiciliğini kullanan kurnaz dolandırıcı örneği, kimlik tespi-tinin önemini bir kez daha vurgular. Kaynak kodunun bir FTP sitesineyönlendirilmesi talebi de talep sahibini tanımanın önemine işaret eder.
On altıncı bölümde, bilgi ya da bir işlemin yapılması talebiyle gelenherhangi bir yabancının kimlik tespitini yapmak için belirli kurallar bula-caksınız. Kimlik tespitinin öneminden kitabın her yerinde söz ettik; 16bölümde bunun nasıl yapılması gerektiğinin ayrıntılarını göreceksiniz.
ÇıtamVühsEltmeln
'5 BİLGİ GÜVENLİĞİNİN ON!BİLMEK VE EĞİTİM
Birtoplum mühendisine, iki ay içinde piyasaya çıkaracağınız çok sıkıyeni ürününüzün planlarını ele geçirme görevi verilmiş. Onu ne durdu-racak?
Güvenlik duvarınız mı? Hayır.
Güçlü kimlik tespit cihazları mı? Hayır.
Hırsız uyarı sistemleri mi? Hayır.
Şifreleme mi? Hayır.
Telefon hattı kullanan aramalı modemler için sınırlı numara kullanımımı? Hayır.
Dışarıdan birinin hangi sunucunun ürün planlarını içerdiğini bul-masını zorlaştırmak için sunuculara şifreli adlar vermek mi? Hayır.
Gerçek şu ki, dünyada bir toplum mühendisliği saldırısını engelleye-bilecek bir teknoloji yok.
Teknoloji, Eğitim v@ SüreçlerÜzerine GüvenlikGüvenlik delme testleri yapan şirketlerin raporlarına göre toplum
mühendisliği yöntemleri kullanılarak müşteri şirketin bilgisayar sistem-lerine girme denemeleri neredeyse yüzde 100 başarılı oluyor. Güvenlikteknolojileri insanları karar verme sürecinin dışında tutarak bu tarzsaldırıları daha güçleştiriyor. Ancak toplum mühendisliği tehdidini azalt-manın aslında en etkili yolu, güvenlik teknolojileriyle birlikte, çalışandavranışlarına ve alınacak eğitimlere bazı temel şartlar getiren güvenliksüreçlerinin ortak kullanımından geçmektedir.
Ürün planlarını korumanın yalnızca tek bir yolu vardır ve bu da eğitim-li, bilinçli ve sağduyulu bir iş gücüdür. Bunlar, süreçler ve kurallar konusun-daki eğitimlerin yanı sıra -belki de daha önemli olan- sürekli bir bilinçlilikprogramı da içerir. Bazı yetkililer bir şirketin toplam güvenlik bütçesininyüzde 40'ının bilinçUik eğitimlerine ayırılmasını önermektedirler.
ilk adım, psikolojik olarak onları etkilemek isteyecek tekinsiz insan-ların bulunduğuna dair, kuruluştaki herkesi bilinçlendirmektir. Çalışanlar
228 Aldatma Sanatı
hangi bilgilerin korunması gerektiği ve bunların nasıl korunacağıkonusunda eğitilmelidirler, insanların nasıl etki altında kalabilecekleriyleilgili bilgileri olursa, gelişmekte olan bir saldırıyı görebilmek için çokdaha iyi bir konumda olacaklardır.
Güvenlik bilinci, aynı zamanda şirketteki herkesi şirket güvenlikkuralları ve süreçleriyle ilgili olarak eğitmek anlamına da gelir. 17.bölümde de anlatıldığı gibi, politikalar, şirket bilgi sistemlerini ve hassasbilgileri koruma doğrultusunda, çalışan davranışlarını yönlendirmesi içinhazırlanmış önemli kurallardır.
Bu bölüm ve bir sonraki, sizi maliyetli olabilecek saldırılardankoruyabilecek bir güvenlik tasarımı ortaya koymaktadır. Eğer iyidüşünülmüş süreçleri takip eden, eğitimli ve dikkatli çalışanlarınız yoksabu iş olasılık olmaktan çıkıp değerli bilgilerinizi ne zaman bir toplummühendisine kaptıracağınız şekline bürünerek kesinlik kazanır. Bukuralları yerleştirmeden önce bir saldırının gerçekleşmesini beklemeyin,işinizin ve çalışanlarınızın rahatlığı açısından bu çok yıkıcı olabilir.
Saldırganların İnsan YaradılışındanNasıl Faydalandıklarının AnlaşılmasıBaşarılı bir eğitim programı geliştirmek için, öncelikle insanların
neden saldırılara karşı açık olduğunu anlamanız gerekir. Eğitimlerinizdebu eğilimleri tanımlayarak -örneğin rol yapma görüşmelerinde dikkatibuna çekebilirsiniz- neden hepimizin toplum mühendislerinin etkisi altın-da kalabileceğimizi anlamaları için çalışanlarınıza yardımcı olabilirsiniz.
Etkileme, toplum bilimcilerin en azından elli yıldır üzerinde çalıştık-ları bir konudur. Robert B. Cialdini, Scientific American'da (Şubat 2001)araştırmasını özetleyerek, bir isteğe olumlu yanıt alma girişiminde kul-lanılan "insan yaradılışının altı eğilimi"ni sundu.
Bu altı eğilim, toplum mühendislerinin (bazen bilinçli, çoğu zaman dabilinçsiz olarak) etkileme denemelerini dayandırdıkları eğilimlerleaynıdır.
Y e t k i • ' • • • • •
Yetkili biri bir talepte bulunduğu zaman insanların bu talebi yerir;getirme eğilimi vardır. Bu sayfalarda daha önce de söz edildiği üzere, c "kişi, talepte bulunan kişinin yetkili olduğuna ya da böyle bir talep:?bulunabilmek için yetkilendirilmiş olduğuna inanırsa isteği yerine get"-meye ikna edilebilir.
Dr. Cialdini "Etki" adlı kitabında ABD'nin orta batı kesimindeki üç has-tanede yapılan bir araştırmayı yazmaktadır. Yirmi iki ayrı hemşire ke^;-
Bilgi Güvenliğinin Önemini Bilmek ve Eğitim 229
ni hastane doktorlarından biri olarak tanıtan biri tarafından aranır vekendilerine koğuştaki bir hastaya bir ilaç vermeleri konusunda talimatlarverilir. Bu talimatları alan hemşireler arayanı tanımıyorlardır ve gerçek birdoktor olup olmadığını (ki değildir) bilmiyorlardır. İlaçla ilgili talimat tele-fonla verilmektedir ve bu da hastane kurallarına aykırıdır. Ayrıca verilme-si istenen ilacın koğuşlarda kullanılmasına izin verilmemektedir ve uygu-lanması istenen doz günlük dozun iki katıdır. Bu yüzden hastanınyaşamını tehlikeye atma olasılığı vardır. Ancak olayların yüzde 95'indeCialdini'nin anlattığına göre "hemşire, koğuş ilaç dolabından istenendozu alır ve ilacı vermek üzere hastanın odasına doğru giderken", birgözlemci tarafından durdurulur ve kendisine deneyden bahsedilir.
Saldın örnekleri: Bir toplum mühendisi, bügi-işlem birimin-den aradığım ya da yönetici olduğunu veya bir şirket yöneti-cisinin yanından aradığını söyleyerek kendini yetkili biriymişgibi göstermeye çalışır.
Sevmeİstekte bulunan kişi kendini sevimli ya da kurbanla ortak ilgi alanları,
inançları ve tavırları olan biri olarak gösterebilirse, insanlarda isteği ye-rine getirme eğilimi ortaya çıkar.
Saldırı örnekleri: Sohbet aracılığıyla saldırgan, kurbanın birhobisini ya da ilgi alanını öğrenmeyi başarır ve aynı hobi ya dailgi alanına benzer bir ilgi ve hayranlık duyduğunu söyler. Aynıeyaletten ya da aynı okuldan olduklarını veya benzer hedefleripaylaştıklarını iddia edebilir. Toplum mühendisi, benzerlikgörüntüsünü yaratabilmek için hedefinin davranışlarını taklitetme yoluna da gidecektir.
Karşılık BeklemeBize değerli bir şey verilir ya da verileceği taahüdünde bulunulursa
hiç düşünmeden isteği yerine getiririz. Armağan, bir maddi cisim, tavsiyeya da yardım olabilir. Biri sizin için bir şey yaptığı zaman, karşılık vermeeğilimi hissedersiniz. Bu karşılık vermeye yönelik güçlü eğilim armağanıalacak olan kişinin onu talep etmediği durumlarda bile kendini gösterir,insanları bize bir "iyilik" yapmaları (isteğimizi yerine getirmeleri)konusunda etkilemenin en etkili yollarından biri ona bir hediye vererek yada yardım ederek bir zorunluluk duymalarını sağlamaktır.
Hare Krişna dini tarikatının üyeleri, önce insanlara hediye olarak birkitap ya da çiçek vererek insanları amaçları için bağışta bulunmalarıkonusunda etkilemekte çok başarılıdırlar. Eğer kişi, hediyeyi geri ver-meyi denerse, veren kişi, "O bizim size armağanımız", diyerek geriçevirir. Karşılık vermeye yönelik davranışsal kural Krişnalar tarafındanbağışları büyük ölçüde artırmak için kullanılmıştır.
230 Aldatma Sanatı
Saldırı örnekleri: Bir çalışan, Bİ biriminden aradığını söyleyenbirinden bir telefon alır. Arayan, bazı şirket bilgisayarlarınavirüs koruma yazılımının tanımadığı, bilgisayardaki tümdosyalan yok edebilecek bir virüs bulaştığını ve oluşabileceksorunları engellemek için bazı yöntemleri anlatmak istediğinisöyler. Bunun ardından arayan kişinin yeni güncellenmiş ve kul-lanıcılarm parolalarını değiştirebilmelerini sağlayan bir yazılımıdenemesini rica eder. Çalışan geri çevirmekte isteksiz kalır,çünkü arayan az önce onu güya bir virüsten koruyarak yardımetmiştir. Arayanın isteğini yerine getirerek karşılık verir.
Herkesin içinde bir amaca destek ya da bir söz verdikten sonrainsanların isteklerini yerine getirme eğilimleri depreşir. Bir kez birşeyiyapacağımıza dair bir söz verdik mi, güvenilmeyen ya da istenmeyenbiri olarak görünmek istemeyiz ve verdiğimiz sözle ya da yaptığımızaçıklamayla ters düşmemek için işi tamamlama eğilimine gireriz.
Saldırı örneği: Saldırgan, işinde yeni sayılabilecek bir çalışanla ,bağlantı kurar ve şirketin bilgi sistemlerini kullanmasına izinverilebilmesinin bir şartı olarak belirli güvenlik kurallarına ve °süreçlerine uyması gerektiğini hatırlatır. Birkaç güvenlik uygula- .masından söz ettikten sonra arayan, kullanıcıdan, tahmin etmesigüç bir parola seçilmesi kuralı uyarınca "uyumluluk kontrolü"için parolasını söylemesini ister. Kullanıcı parolasını açıkladık-tan sonra arayan gelecekte parolaları öyle bir yöntemle oluştur-masını önerir ki böylece saldırgan parolayı tahmin edebilecektir.Kurban, şirket kurallarına uymak üzere daha önce verdiği taah-hüt doğrultusunda ve arayanın yalnızca kurallara uyulup uyul-madığını kontrol ettiği varsayımıyla isteği yerine getirir.
Toplum İçinde Kabul Görme '• ;
İnsanlar, davranışlarının başkalarının davranışlarıyla aynı olduğunubilirlerse istekleri yerine getirme eğilimleri daha da artar. Başkalarınınhareketleri, söz konusu davranışın doğru ve yerinde bir hareket olduğu-nun onayı olarak görülür.
Saldırı örneği: Arayan, bir araştırma yaptığım anlatır ve bi-rimde kendisine yardımcı olduğunu iddia ettiği diğer insanlarınadlarını verir. Kurban diğerlerinin katılımının, isteğin geçerli-liğini gösterdiğini düşünerek yardımcı olmayı kabul eder.Arayan, aralarında kurbanın bilgisayar kullanıcı adını ve paro-lasını açıklamaya yönelten soruların da bulunduğu bir dizi soru
Bilgi Güvenliğinin Önemini Bilmek ve Eğitim 231
Aranan nesnenin miktarı azsa ve onu elde etmek için bir rekabetvarsa ya da yalnızca kısa bir süre için orada olacaksa insanlar istekleriyerine getirme eğilimine girerler.
Saldırı örneği: Saldırgan, şirketin yeni internet sitesine kayıtolan ilk 500 kişinin en yeni filmlere bedava bilet kazanacağınısöyleyen e-postalar yollar. Hiçbir şeyin farkında olmayan birçalışan, siteye kaydolurken ondan şirket e-posta adresi ve birparola seçmesi istenir. Pek çok insanın, kolaylık olsun diye, kul-landıkları her bilgisayar sisteminde aynı ya da benzer parolalarıkullanma eğilimi vardır. Saldırgan bundan yararlanarak internetsitesi kayıt işlemlerinde girilen kullanıcı adı ve parolayı kullanıphedefin ev ya da iş bilgisayar sistemlerine girmeye çalışır.
Eğitim ve BilinçlendirmeProgramları HazırlamakBir güvenlik kuralları kitapçığı çıkarmak ya da çalışanları güvenlik
kurallarını ayrıntılı olarak anlatan bir intranet sayfasına yönlendirmekriski tek başına azaltmaz. Her işletme yalnızca kuralları yazılı olarakbelirlemekle kalmamalı, aynı zamanda şirket bilgi ya da bilgisayar sis-temleriyle çalışan herkesi kuralları öğrenmeye ve uygulamaya yön-lendirmek için gerekli çabayı da göstermelidir. Ayrıca, insanların kolaylıkolsun diye kuralın etrafından dolaşmamaları için, her kuralın altındayatan nedenlerin herkes tarafından anlaşıldığından emin olmalısınız.Aksi halde bilgisizlik her zaman çalışanın bahanesi olur ve toplummühendisleri bu açığı hep sömürürler.
Herhangi bir güvenlik bilinçlendirme programının temel amacı, kuru-luşun bilgi varlıklarını korumak için her çalışanın katkıda bulunmasınıteşvik edip, insanların davranış ve tavırlarını değiştirmek amacıyla onlarıetkilemektir. Bu noktada en büyük teşvik edici unsur, katkılarının yalnız-ca şirkete değil aynı zamanda tek tek her çalışana getireceği kazançtansöz etmek olacaktır. Şirket her çalışanla ilgili belli özel bilgilere sahipolduğuna göre, çalışanlar bilgi ve bilgi sistemlerini korumak için payları-na düşeni yaptıklarında, aslında kendi bilgilerini de koruyor olacaklardır.
Bir güvenlik eğitim programı büyük bir desteğe ihtiyaç duyar. Eğitimgirişiminin hassas bilgilere ya da şirket bilgisayar sistemlerine erişimiolan herkese ulaşması, sürekli olması ve çalışanları yeni tehditlere veaçıklara karşı uyarabilmek için düzenli olarak güncellenmesi gerekir.Çalışanlar, üst yönetimin programa tamamen bağlı olduğunu görme-lidirler. Bu bağlılık gerçek bir bağlılık olmalıdır ve sadece mühürlü bir"Tam destek veriyoruz", notundan ibaret olmamalıdır. Program, onu
232 Aldatma Sanatı
geliştirmeye, duyurmaya, denemeye ve başarısını ölçmeye yetecekkadar da kaynağa sahip olmalıdır.
Hedefler .Bir bilgi güvenliği eğitimi ve bilinçlendirme programının gelişti-
rilmesinde akılda tutulması gereken en önemli yol gösterici, programınşirketlerinin her an bir saldırıya uğrayabileceği bilincini tüm çalışanlardauyandırmaya odaklanması olmalıdır. Bilgisayar sistemlerine girmeye yada hassas bilgileri çalmaya yönelik girişimlere karşı yapılan her savun-mada çalışanların tümünün birer rolü olduğunu öğrenmeleri şarttır.
Bilgi güvenliğinin pek çok şekli teknoloji içerdiği için, çalışanların,sorunun güvenlik duvarları ve diğer güvenlik teknolojileriyleçözüldüğünü düşünmeleri çok kolaydır. Eğitimin başlıca hedeflerindenbiri, her çalışanın, kuruluşun genel güvenliğinin en ön saflarında dur-duğunun farkına varmasını sağlamak olmalıdır.
Güvenlik eğitimlerinin kuralları aktarmaktan öte daha önemli biramacı olmalıdır. Eğitim programı tasarımcısı, işlerini bitirme baskısıylagüvenlik yükümlülüklerini uygulamama ya da göz ardı etme şeklindegörülen, çalışan tarafındaki güçlü tahrikleri görebilmelidir. Toplummühendisliği taktikleriyle ilgili bilgi ve saldırılara karşı nasıl savunmayapılacağı önemlidir ama bu sadece eğitim ağırlıklı olarak çalışanlarıbilgiyi kullanmaya teşvik etmek üzere tasarlanmışsa işe yarar.
Eğer eğitimi tamamlayan herkes, bilgi güvenliğinin işinin bir parçasıolduğu gerçeğine inanmış ve harekete geçmişse şirket o zaman prog-ramının ana hedefine ulaştığını varsayabilir.
Çalışanlar, toplum mühendisliği saldırıları tehdidinin gerçekolduğunu ve ciddi bir hassas bilgi kaybının şirketi olduğu kadar kendikişisel bilgilerini ve işlerini de tehlikeye sokabileceğini kabul edip anla-malıdırlar, işteki bilgi güvenliği konusunda dikkatsiz davranmakla, ATMya da kredi kartı numarası konusunda dikkatsiz davranmak bir bakımaaynıdır. Güvenlik uygulamaları konusunda istek uyandırmak için bu çokyerinde bir benzetme olabilir.
Eğitim ve BilinçlendirmeProgramını OluşturmakBilgi güvenliği programını tasarlamakla yükümlü kişi bunun tek
beden bir proje olmadığını bilmelidir. Eğitim daha çok şirket içindekifarklı grupların belirli gereksinimlerini karşılayacak şekilde tasarlan-malıdır. 16. bölümde dış çerçevesi verilen güvenlik kurallarının çoğutüm çalışanlar için uygun olsa da, diğer pek çokları da özgündür. Er.azından çoğu şirket şu belirgin gruplar için eğitim programlarına ihtiyaç
Bilgi Güvenliğinin Önemini Bilmek ve Eğitim 233
I Özgün bir program geliştirmek için yeterli kaynağı olmayanişletmeler için güvenlik bilinçlendirme eğitimi hizmeti veren pek çok eğitimşirketi bulunmaktadır. Güvenli Dünya Fuarı (www.secureworldexpo.com)gibi fuarlar bu şirketlerin bir araya gelme yerleridir.
duyacaktır: Yöneticiler, bilgi-işlem personeli, bilgisayar kullanıcıları,teknik olmayan personel, idarî yardımcılar, danışma görevlileri ve gü-venlik görevlileri (16. bölümde görevlere göre kural dağılımına bakınız.).
Bir şirketin güvenlik görevlileri, bilgisayar konusunda bilgilerininolması beklenmediği için ve belki çok sınırlı kullanımlar dışında, şirketbilgisayarlarıyla haşır neşir olmadıklarından, bu tarz eğitimler gelişti-rilirken göz önüne alınmazlar. Ancak toplum mühendisleri güvenlikgörevlilerini ya da başka insanları binaya ya da ofise girmelerine izinvermeleri için ya da bilgisayar güvenlik ihlallerine neden olacak birdavranışta bulunmaları doğrultusunda kandırabilirler. Her ne kadargüvenlik güçleri bilgisayarla çalışan personele verilen eğitimin tümünüalmak zorunda değilse de güvenlik bilinçlendirme programlarında dagöz ardı edilmemelidir.
İş dünyasında, tüm çalışanların eğitilmesinin gerektiği ve güvenlikkadar herhalde aynı anda hem önemli hem de sıkıcı çok az konu vardır,iyi tasarlanmış güvenlik eğitimi programları, öğrenenlerin hem ilgisiniçekmeli hem de onları heveslendirmelidir.
Amaç, bilgi güvenliği bilinçlendirme eğitimlerini çekici ve karşılıklıetkileşimli yapmak olmalıdır. Kullanılabilecek yöntemler arasında,toplum mühendisliği tekniklerini rol yapma oyunlarıyla göstermek; dahaaz şanslı olan diğer işletmelere yakın zamanda yapılan saldırılarla ilgilibasın haberlerini incelemek ve şirketlerin kayıpları önleme yollarınıtartışmak ya da aynı anda hem eğlenceli hem de eğitici olması açısın-dan güvenlik videolarını göstermek olabilir. Videolar ve ilgili malzemeleripazarlayan pek çok güvenlik bilinçlendirme şirketi bulunmaktadır.
Bu kitaptaki öyküler, tehlikeye karşı uyarmak ve insandavranışlarının açıklarını göstermek amacıyla toplum mühendisliğiteknik ve yöntemleriyle ilgili pek çok bilgi sunmaktadır. Oradaki senar-yoları, rol yapma faaliyetlerine temel olacak şekilde kullanabilirsiniz.Öyküler aynı zamanda, saldırının başarılı olmasını engellemek için kur-banların nasıl davranması gerektiğiyle ilgili renkli tartışmalar yapabilmefırsatı da sunmaktadır.
Becerikli bir program geliştiricisi ve becerikli eğiticiler, sınıfınhavasını canlı tutmak ve bu sırada insanları çözümün parçası olmayateşvik etmek için çözülecek bir sürü sorunun yanı sıra pek çok başka fır-sat da bulacaklardır.
234 Aldatma Sanatı
Eğitimin YapısıTemel bir güvenlik bilinçlendirme eğitim programı tüm çalışanların
katılacağı şekilde geliştirilmelidir. Yeni işe girenlerin intibak eğitimlerininbir parçası olarak bu eğitimi alma zorunlulukları olmalıdır. Hiçbir çalı-şana temel bir güvenlik bilinçlendirme oturumuna katılmadan bilgisayarerişimi verilmemesini öneririm.
İlk bilinçlendirme eğitimi için dikkatleri çekmeye odaklanmış veönemli mesajların hatırlanacağı kadar kısa bir oturum uygun olabilir.Üzerinde durduğumuz konuların miktarı kesinlikle daha uzun bir eğitimgerektirse de, makul sayıda, önemli mesajlarla birlikte verilmiş bir bilinçve istek oluşturmanın önemi, benim görüşüme göre, insanları çok fazlabilgiyle buluşturan yarım günlük ya da tam günlük eğitimlerden çokdaha fazladır.
Bu oturumların üzerinde durulması, tüm çalışanların sıkı sıkıyauyduğu güvenlik alışkanlıkları olmadığı durumda şirkete ve bireyselolarak çalışanlara gelebilecek zararların değerlendirildiğini göstermek-tedir. Belirli güvenlik uygulamalarını öğrenmekten daha da önemlisi;çalışanların, güvenlik adına kişisel sorumluluk almaları konusundateşvik edilmeleridir.
Çalışanların rahatlıkla sınıflarda toplanamadığı durumlarda şirket,videolar, bilgisayar tabanlı eğitimler, çevrimiçi dersler ya da basılımalzemeler gibi farklı bilgilendirme yöntemleri kullanarak bilinçlendirmeeğitimleri geliştirmeyi de göz önünde tutmalıdır.
ilk kısa oturumdan sonra, belirli açıklar ve şirketteki konumlarınagöre saldırı teknikleri konusunda çalışanları eğitecek daha uzun otu-rumlar geliştirilmelidir. Hatırlatma eğitimleri yılda en az bir kez zorunluolmalıdır. Tehdidin boyutu ve insanları sömürmek için kullanılan yön-temler sürekli değişmektedir, bu yüzden programın içeriği de sürekligüncellenmelidir. Dahası, insanların bilinçliliği ve uyanıklığı zamaniçinde azalır; bu nedenle güvenlik ilkelerini vurgulamak için eğitimindüzenli aralıklarla tekrarlanması gerekir. Bu noktada dikkatler yine,belirli tehditlerin ve toplum mühendisliği yöntemlerinin üzerinde olduğukadar, çalışanları güvenlik kurallarının önemine inandırmak ve kurallarabağlı kalmaya teşvik etmek üzerinde de olmalıdır.
Yöneticiler altlarında çalışanlara güvenlik kuralları ve süreçlerineaşina olmaları ve güvenlik bilinçlendirme programına katılmaları içinyeterince zaman tanımalıdırlar. Çalışanların kendi istedikleri zamangüvenlik kurallarını öğrenmeleri ya da eğitimlere katılmaları beklene-mez. Yeni işe girenlere ise iş sorumluluklarını almadan önce güvenlikkurallarını ve basılı güvenlik uygulamalarını gözden geçirmek için yeter-li zaman verilmelidir.
Kurum içinde konumları değişerek hassas bilgilere ya da bilgisayar
Bilgi Güvenliğinin Önemini Bilmek ve Eğitim 235
sistemlerine erişimi gerektiren bir işe geçen çalışanların, doğal olarak,yeni sorumluluklarına uygun olarak tasarlanmış güvenlik eğitimi prog-ramını tamamlamaları gerekir. Örneğin, bir bilgisayar işletmeni sistemyöneticisi olursa ya da bir danışma görevlisi, idarî yardımcı olursa onayeniden eğitim verilmesi şarttır.
Eğitimin İçeriğiTemele indirgendiklerinde tüm toplum mühendisliği saldırıları aynı
unsuru kullanırlar: Aldatma. Saldırganın bir çalışan ya da hassas bil-gilere ulaşmaya veya bilgisayarlar ve bilgisayar donanımları kullanılarakyapılan işler konusunda kurbana talimat vermeye yetkili başka bir kişiolduğuna kurban inandırılır. Bu saldırıların hemen hepsi hedef olançalışanın iki şey yapmasıyla boşa çıkarılabilir:
• istekte bulunan kişinin kimliğini kontrol etmekle: Bu kişi gerçek-ten olduğunu söylediği kişi mi?
• Kişinin yetkili olup olmadığını kontrol etmekle: Kişinin bu bilgiyiöğrenmeye ihtiyacı var mı ya da böyle bir istekte bulunmak içinyetkili mi?
Eğer bilinçlendirme eğitimi programlan, her çalışanın davranışlarınıbu kriterlere aykırı olan tüm istekleri sorgulamak konusunda tutarlı ola-cak şekilde değiştirebilirse, o zaman toplum mühendisliği saldırılarıylailişkilendirilebilecek risk büyük ölçüde azaltmış olur.
İnsan davranışlarına ve toplum mühendisliği tekniklerine odaklanangüvenlik bilinçlendirme ve eğitim programlarında bulunabilecek kul-lanışlı bilgiler arasında şunlar yer alabilir:
« Saldırganların insanları aldatmak için toplum mühendisliğibecerilerini nasıl kullandıklarının bir açıklaması,
• Toplum mühendislerinin amaçlarına ulaşmak için kullandıklarıyöntemler,
• Olası bir toplum mühendisliği saldırısının nasıl farkedileceği,
• Şüpheli bir isteği değerlendirme süreçleri,
• Toplum mühendisliği girişimlerinin ya da başarılı saldırıların ne-reye haber verileceği,
İNİ Vj I I Güvenlik bilinci ve eğitimi hiç bir zaman kusursuz olmayacağıiçin derinlemesine bir savunma oluşturabilmek için mümkün olduğu kadargüvenlik teknolojisi kullanmaya çalışın. Bu, güvenlik önlemlerinin çalışan-lardan çok, teknoloji tarafından alınmasıdır. Örneğin, işletim sistemi,çalışanların internetten dosya indirmesini ya da kısa ve kolay parolalarseçmesini engelleyecek şekilde ayarlanabilir.
236 Aldatma Sanatı
• Kişinin sahip olduğunu iddia ettiği konumuna ve önemine bak-maksızın şüpheli bir istekte bulunan herkesi sorgulamanınönemi,
• içlerindeki dürtü karşı tarafa yardımcı olmaları gerektiğinisöylese de, düzgün bir kimlik tespiti olmadan gözü kapalı kim-seye güvenmemeleri gerektiği gerçeği,
• Bir bilgi ya da işlem talebinde bulunan herhangi birinin kimliğinive yetkisini kontrol etmenin önemi (Kimlik tespiti yöntemleri içinbakınız "Onay ve Yetkilendirme Süreçleri", 16. Bölüm),
• Her türlü veri sınıflandırma sistemiyle ilgili bilginin yanısıra has-sas bilgileri koruma süreçleri,
• Şirketin güvenlik kurallarının ve süreçlerinin yeri ile bilgi ve şirketbilgi sistemlerini korumadaki önemleri,
• Kilit güvenlik kuralları ve anlamlarına ilişkin bir özet. Örneğin, herçalışanın tahmini güç bir parolayı nasıl oluşturacağına ilişkin bil-gilendirilmesi.
Tanım itibarıyla toplum mühendisliği, insanlar arası bir çeşit etkileşimyöntemidir. Bir saldırgan hedefine ulaşmak için çeşitli iletişim yöntemleri veteknolojilerini sık sık kullanacaktır. Bu nedenle iyi tasarlanmış bir bi-linçlendirme programının aşağıdakilerin tümünü ya da bir kısmını içerme-si gerekmektedir:
• Bilgisayar ve sesli mesaj parolalarıyla ilgili güvenlik süreçleri,
• Hassas bilgilerin ya da malzemelerin verilmesine yönelik süreç,
• Aralarında virüslerin, solucanların ve Truva Atlarının da olduğukötü huylu yazılımlara karşı alınacak önlemleri de içerecek şe-kilde e-posta kullanımı kuralları,
• Yaka kartı takmak gibi fiziksel güvenlik zorunlulukları,
• Binada kart takmayan kişileri sorgulama yükümlülüğü,
• Sesli mesaj kullanımı için en doğru güvenlik uygulamaları,
« Bilgilerin sınıflandırmasının nasıl yapılacağı ve hassas bilgile'korumak için alınacak önlemler,
• Hassas belgelerin ve gizli dosyalar içeren ya da bir zamanla"içermiş bilgisayar taşınabilir ortamlarınının doğru bir şekilde silir-mesi,
Eğer şirket, toplum mühendisliği saldırılarına karşı savunmasını"etkinliğini ölçmek için delme testi yapmayı planlıyorsa, çalışanları t_uygulamadan haberdar eden bir uyarı yapmalıdır. Böyle bir test"parçası olarak saldırganların yöntemlerini kullanan birinin telefon ya es
Bilgi Güvenliğinin Önemini'Bilmek ve Eğitim 237
başka bir araç kullanarak iletişime geçebileceğini çalışanlarınızınbilmesini sağlayın. Bu testlerin sonuçlarını, çalışanları cezalandırmakiçin değil, bazı alanlardaki ek eğitim ihtiyacını belirlemek için kullanın.
Yukarıdaki türr.-maddelerle ilgili ayrıntıları 16. bölümde bulabilirsiniz.
ÖlçümŞirketiniz, bilgisayar sistemine erişim hakkı tanımadan önce çalışan-
ların güvenlik bilinçlendirme eğitiminde sunulan bilgilere hakimiyetiniölçmek isteyebilir. Eğer çevrimiçi yapılacak testler tasarlarsanız, pekçok sınav değerlendirme yazılımı, güçlendirilmesi gereken eğitim alan-larını belirlemek için test sonuçlarını çabucak değerlendirebilir.
Şirketiniz bir ödül ve çalışanını teşvik amacıyla güvenlik eğitiminitamamladığını gösteren bir sertifika sunmayı da düşünebilir.
Programı tamamlamanın kalıplaşmış bir sonucu olarak, programdaöğretilen güvenlik kurallarına ve ilkelerine uyacağına dair her çalışan-dan bir taahhüt belgesini imzalamasının istenmesini öneririm.Araştırmalara göre, böyle bir belge imzalayarak bağlılığını gösteren kişi,süreçlere uymak konusunda daha çok çaba gösterebiliyor.
Sürekli BilinçPek çok insan bilir ki, önemli konularda bile, öğrenilenler, düzenli
olarak tekrarlanmadıkları sürece yok olma eğilimindedirler. Çalışanlarıntoplum mühendisliği saldırılarına karşı korunmak konusunda hızlarınıkaybetmemeleri için bir sürekli bilinç programı önemlidir.
Güvenliği, çalışan düşünce zincirinin en önünde tutan yöntemlerdenbiri de bilgi güvenliğini her şirket çalışanı için bir iş sorumluluğu olaraktanımlamaktır. Bu, çalışanların şirketin genel güvenliğindeki can alıcırollerini anlamalarına yardımcı olacaktır. Aksi takdirde "güvenlik benimişim değil" türünden güçlü bir eğilim oluşacaktır.
Bir bilgi güvenliği programının genel sorumluluğu çoğunlukla güvenlikbirimindeki ya da bilgi işlem birimindeki birine verilse de, bir bilgi güvenliğibilinçlendirme programının geliştirilmesi işi, büyük olasılıkla eğitim biri-minin ortak bir projesi olarak en iyi şekilde yapılandırılmış olacaktır.
Sürekli bilinç programının yaratıcı olması gerekir ve iyi güvenlikalışkanlıkları konusunda çalışanlara sürekli hatırlatıcı güvenlik mesajlarıiletmek için mümkün olan her kanalı kullanmalıdır. Yöntemler, programıgeliştirip uygulamaya koyacak insanların hayal edebildiği ölçüde yenikanalların yanı sıra S"or türlü geleneksel kanaldan da yararlanmalıdırlar.Geleneksel reklamcılıkta olduğu gibi eğlenceli ve akıllıca oim&lan işe
238 Aldatma Sanatı ,
yarar. Mesajlardaki söz sıralarının değiştirilmesi de aşinalık yaratıp gözardı edilmelerini engeller.
Bir sürekli bilinç programının içeriğinde bulunabilecekler şunlar olabilir:
• Bu kitabın birer kopyasını tüm çalışanlara vermek.
• Şirket bültenine bilgi sağlayıcı unsurlar koymak: Makaleler, kutuiçine yazılmış hatırlatmalar (tercihen kısa, dikkat çekici noktalarşeklinde) ya da karikatürler olabilir.
• Ayın Güvenlik Çalışanı'nın bir resmini koymak.
• Çalışanların gittikleri yerlere posterler asmak.
« Bülten panolarına duyurular asmak.
• Maaş bordro zarflarına broşürler koymak.
• Hatırlatma amaçlı e-postalar göndermek.
• Güvenlikle ilişkili ekran koruyucular kullanmak.
• Sesli mesaj sistemi aracılığıyla güvenliği hatırlatan duyurularyapmak.
« Üzerinde, "Sizi arayan gerçekten olduğunu iddia ettiği kişi mi?"gibi şeyler yazan yapışkanlı etiketler bastırmak.
• Bilgisayara bağlanırken, "Eğer e-postayla gizli bilgiler gönderi-yorsanız, mutlaka şifre koyun", gibi hatırlatma mesajlarının çık-ması için ayarlamalar yapmak.
• Güvenlik bilincini çalışan performans raporlarının ve yıllık değer-lendirmelerin ayrılmaz bir parçası durumuna getirmek.
• İntranete, çalışanların ilgisini çekecek karikatürler, fıkralar ya dabaşka şeyler biçiminde güvenlik bilinci hatırlatıcıları koymak.
• Kafeteryada sık sık farklı bir güvenlik unsurunu hatırlatan birelektronik mesaj tahtası kullanmak.
• Dosyalar ve broşürler dağıtmak.
• Dikkat çekici ayrıntılar düşünülebilir, örneğin kafeteryada ücret-siz fal kurabiyeleri dağıtılabilir ve her birinde fal yerine bir güven-lik hatırlatıcısı olabilir.
Tehlike her zaman var; hatırlatıcıların da her zaman var olmasıgerekir.
Benim Bundan Çıkarım Ne?Güvenlik bilinçlendirme ve eğitim programlarına ek olarak, işleyen
ve iyi tanıtılmış bir ödüllendirme sistemini de ciddi şekilde öneririm. Birtoplum mühendisliği saldırısını tespit edip önlemiş ya da bilgi güvenliği
Bilgi Güvenliğinin Önemini Bilmek ve Eğitim 239
programının başarısına büyük bir katkıda bulunmuş çalışanlarınızateşekkür etmelisiniz. Ödül programının varlığı güvenlik bilinçlendirmeoturumlarında tüm çalışanlara anlatılmalı ve güvenlik ihlalleri tüm kuru-luşa geniş bir şekilde duyurulmalıdır.
işin diğer yüzünde insanlar, ister dikkatsizlikten ister direnmektenolsun, bilgi güvenliği kurallarına uymamanın sonuçlarının da farkındaolmalıdırlar. Her ne kadar hepimiz hata yapsak da güvenlik kurallarınınsürekli ihlali de hoş karşılanmamalıdır.
ŞİRKET BİLGİ GÜVENLİĞİKURALLARI ÖNERİLERİ
FBl'in yaptığı ve Associated Press'in Nisan 2002'de yayınladığı biraraştırmanın sonuçlarına bakılırsa, büyük şirketlerin ve devlet kurum-larının onda dokuzu bilgisayar kırıcılarının saldırısına uğramış. İlginç birşekilde araştırma her üç şirketten yalnızca birinin saldırıları bildirdiğiniya da kamuoyuna açıkladığını ortaya çıkarmış. Bir saldırıya kurban git-tikleri konusunda suskun kalmaları mantıklı olabilir. Müşterileriningüvenini yitirmemek ve şirketin açıklarının olabileceğini öğrenen saldır-ganların yeni saldırılarını engellemek için çoğu işletme, bilgisayargüvenliğine yönelik saldırıları kamuoyuna açıklamazlar oiaylarını açıkbir şekilde rapor etmezler.
Görünüşe göre, toplum mühendisliği saldırılarıyla ilgili hiç istatistikyok; olsaydı da sayılar oldukça güvenilmez olurdu. Çoğu durumda, bir şir-ket, bir toplum mühendisinin bilgiyi ne zaman çaldığını hiçbir zaman bile-mez ve bu yüzden pek çok saldırı fark edilmez ve rapor edilmeden kalır.
Toplum mühendisliği saldırılarının çoğuna karşı etkili önlemler alı-nabilir. Doğruyu söylemek gerekirse kuruluştaki herkes güvenliğin öne-mini anlamadığı ve şirket güvenlik kurallarına uyup bunu işinin birparçası olarak kabul etmediği sürece, toplum mühendisliği saldırılan herzaman şirketler için büyük bir tehlike olmaya devam edeceklerdir.
Aslında, güvenlik açıklarını kapamak için teknolojik silahlarıngelişmesi, tescilli şirket bilgilerine ulaşmak ya da şirket ağına girmek içininsanları kullanan toplum mühendisliği saldırılarını kesinlikle ciddi ölçüdesıklaştıracak ve ortam, bilgi hırsızlan için daha çekici bir hal alacaktır. Birsanayi casusu doğal olarak amacına ulaşma işini en kolay ve en düşükfark edilme tehlikesi olan yoldan yapacaktır, işin doğrusu, bilgisayar sis-temlerini ve ağını en son çıkan güvenlik teknolojilerini kullanarak koruyanbir şirket, hedeflerine ulaşmak için toplum mühendisliği stratejilerini, yön-temlerini ve taktiklerini kullanan saldırganlardan gelecek saldırılara dahaçok maruz kalma tehlikesiyle karşı karşıya kalacaktır.
Bu bölüm, toplum mühendisliği saldırı riskini en aza indirgeyecekşekilde tasarlanmış belli kurallar sunmaktadır. Kurallar tam olaraksadece teknik açıklan sömürmeye yönelik saldırılara hitap etmemekte-dirler. Güvenilir bir çalışanı, saldırganın hassas şirket bilgilerine ya dabilgisayar sistem ve ağlarına erişebilmesini sağlayan bilgiler vermeyeya da bir iş yapmaya kandırabilmek için oynanan oyunları ya da önesürülen bahaneleri de kapsamaktadırlar.
242 Aldatma Sanatı
Güvenlik Kuralı Nedir?Güvenlik kuralları, bilgiyi korumak amacıyla, çalışan davranışları için
yön göstericidir ve olası güvenlik tehditlerini bertaraf etmek için etkilikontroller geliştirilmesinin temel taşıdır. Bu kurallar, iş toplum mühendis-liği saldırılarını tespit etmeye ve önlemeye gelince daha da önemliolmaktadırlar.
Etkili güvenlik kontrolleri, iyi düzenlenmiş kurallar ve süreçlerleçalışanları eğiterek yerleştirilir. Ancak şunu da vurgulamak gerekir ki,tüm çalışanlar tarafından sadakatle uygulansa da güvenlik kuralları hertoplum mühendisliği saldırısının engelleneceğini garanti etmezler.Amaç, daha çok, riski kabul edilebilir düzeye indirebilmektir.
Burada sunulan kurallar, tam anlamıyla toplum mühendisliği konu-larıyla ilgili olmasa da toplum mühendisliği saldırılarında çoğunlukla kul-lanılan teknikleri de içermektedirler. Örneğin e-postaları açmakla ilgilikurallar bilgisayar kırıcılarının sık sık kullandığı bir yöntemle ilgilidir.Saldırgan, kurbanın bilgisayarında kontrolü ele geçirmesini sağlayankötü huylu Truva Atı yazılımlarını e-posta aracılığıyla yükleyebilir.
Bir Program Oluşturmanın Adımları
Kapsamlı bir bilgi güvenliği programı, işe genellikle üç şeyi belirleyiprisk ölçümü yaparak başlar:
a Kurumun bilgi varlıklarından hangilerinin korunması gerekir?
• Bu varlıklara karşı ne gibi tehditler vardır?
• Bu olası tehditler gerçekleştiği durumda kuruma ne gibi zararlargelebilir?
Risk değerlendirmenin öncelikli amacı hangi bilgi varlıklarının acilenkorunmaları gerektiğini belirlemek ve maliyet-kâr analizi yaparak önlemalmanın uygun maliyetli olup olmadığına bakmaktır. Daha açık ifadeetmek gerekirse, hangi varlıklar en önce koruma altına alınacak ve buvarlıkları korumak için ne kadar zaman harcanacaktır?
Üst yönetimin güvenlik kuralları ve bilgi güvenliği programı geliştir-menin önemini güçlü bir şekilde desteklemesi ve bu görüşü paylaşmasıönemlidir. Diğer herhangi bir şirket programında olduğu gibi, eğergüvenlik programı başarılı olacaksa, yönetim yalnızca bir onay imzasıatmakla kalmamalı, şahsen örnek olarak bağlılığını göstermelidir.Çalışanlar, bilgi güvenliğinin şirket faaliyetleri açısından can alıcıolduğu, şirket içi bilgilerin korunmasının şirket varlığının korunması içinönemli olduğu ve çalışanların işlerinin programın başarısına bağlı ola-bileceği gerçeklerine yönetimin güçlü bir şekilde bağlı olduğunun bi-lincinde olmalıdırlar.
Şirket Bilgi Güvenliği Kuralları Önerileri 243
Bilgi güvenliği kurallarını temize çekmekle görevlendirilmiş perso-nelin, kuralların teknik terimler kullanılmadan yazılması ve teknikolmayan çalışanlar tarafından rahatça anlaşılabilmesi gerektiğinianlamış olması şarttır. Belgenin, her kuralın neden önemli olduğunu daaçıklaması gerekir; aksi halde, çalışanlar, kuralları zaman kaybı olarakgörerek bir kenara itebilirler. Kurallar büyük olasılıkla onları yerleştir-meye yarayan süreçlerden daha az sıklıkta değişeceğinden kurallarıkaleme alan kişi, kuralları tanıtan bir belge oluşturmalı ve süreçler içinde ayrı bir belge açmalıdır.
Ek olarak, kuralları yazan kişi, güvenlik teknolojilerinin iyi bilgigüvenliği uygulamalarını oturtmakta kullanılabileceğini de bilmelidir.Örneğin, çoğu işletim sistemi, kullanıcı parolalarının uzunluk gibi bazıözelliklere uyup uymadıklarını kontrol edecek şekilde ayarlanabilmekte-dir. Bazı şirketlerde kullanıcıların program indirmesi işletim sisteminde-ki yerel ya da genel ayarlar aracılığıyla denetlenebilir. Kurallar, insan-kaynaklı karar alma mekanizmalarını devre dışı bırakmaya kıyasla dahauygun maliyetli olduğu koşullarda, güvenlik teknolojileri kullanma zorun-luluğunu da getirmelidir.
Çalışanlar, güvenlik kuralarına ve süreçlerine uymadıkları takdirdet oluşabilecek sonuçlar hakkında da uyarılmalıdırlar. Kurallara uyma-
manın karşılığı olarak bir takım uygun cezalar yerleştirilmeli ve herkeseduyurulmalıdır. Aynı zamanda, güvenlik uygulamaları konusundabaşarılı ya da bir güvenlik olayını farkedip bildirmiş çalışanlar için de birödül sistemi oluşturulmalıdır. Ne zaman bir çalışan bir güvenlik ihlaliniengellemekten ödül alırsa, bu, tüm şirket içinde -şirket bülteninde çıkanbir makale şeklinde bile olsa- duyurulmalıdır.
Güvenlik bilinçlendirme programının bir amacı, güvenlik kurallarınınönemini ve bu kurallara uymamaktan doğabilecek zararı anlatmaktır.İnsan yaradılışı gereği, çalışanlar zaman zaman makul gözükmeyen yada zaman alıcı gibi görünen kuralları göz ardı edecek ya da boşlukların-dan yararlanacaktır. Çalışanların, kuralları çevrelerinden dolaşılacakbirer engel gibi görmek yerine, kuralların önemini anlamaları ve uymayaistekli olmalarını sağlamak yönetimin sorumlulukları arasındadır.
Bilgi güvenliği kurallarının değişmez kurallar olmadığını belirtmekteyarar vardır, iş ortamları değiştikçe, piyasaya yeni güvenlik teknolojileriçıktıkça ve güvenlik açıkları evrimieştikçe kuralların değiştirilmesi ya dadesteklenmesi gerekebilir. Düzenli bir gözden geçirme ve -güncellemesüreci devreye alınmalıdır. Şirket güvenlik kurallanm ve süreçleriniintranet üzerinden herkese açın ya da bu tarz kuralları herkesin ulaşa-bileceği bir klasöre koyun. Bu hareket, kuralların ve süreçlerin daha sıkokunma olasılığını artırır ve çalışanların bilgi güvenliğiyle ilgili soruları-na daha hızlı yanıt bulmaları açısından etkili bir yöntem olur.
Sonuç olarak, eğitimlerdeki açıkları ya da şirket kural ve süreçlerine
244 Aldatma Sanatı
uyumdaki eksikliği ortaya çıkarmak amacıyla, toplum mühendisliği yön-tem ve taktikleri kullanılarak düzenli delme testleri ve açık değer-lendirmeleri yapılmalıdır. Aldatıcı delme testleri uygulanmadan önce butarz testlerin zaman zaman yapılacağı çalışanlara duyurulmalıdır.
Bu Kurallar Nasıl Kullanılır?Bu bölümde aytıntılarıyla anlatılan kurallar, tüm güvenlik risklerini
azaltması için önemli olduğuna inandığım bilgi güvenliği kurallarının yal-nızca küçük bir parçasıdır. Buna göre, burada sözü geçen kurallarınkapsamlı bir bilgi güvenliği kural listesi olduğu düşünülmemelidir. Bukurallar, daha çok, şirketinizin belirli ihtiyaçlarına uygun olabilecek kap-samlı bir güvenlik kuralları bütünü oluşturabilmek için bir temeldir.
Kuralları hazırlayanlar, şirketlerine özgü, çevrelerine ve iş hedefle-rine uygun kurallar seçmelidirler. Her kuruluş, iş gereksinimleri, yasalyükümlülükleri, kurum kültürü ve kullandığı bilgi sistemlerine göreaşağıda anlatılan kurallardan ihtiyacı olanı alabilir, diğerlerini bir kenarabırakabilir.
Her veri sınıfındaki kuralların ne kadar katı olacağıyla ilgili de verile-cek kararlar vardır. Tek bir binaya sığan ve çalışanların çoğunun birbirinitanıdığı küçük bir şirketin, telefon edip o şirkette çalıştığını söyleyen birsaldırgandan korkmasına gerek yoktur (ancak saldırgan, bir satıcı fir-madan aradığı ayağına da yatabilir). Ayrıca artan risklere karşın rahat birkurum kültürüne sahip bir şirket, güvenlik hedeflerine ulaşmak için öne-rilen kuralların yalnızca küçük bir bölümünü kullanmak isteyebilir.
Veri SınıflandırmaBir veri sınıflandırma politikası kuruluşun bilgi varlıklarını korumak
için önemlidir ve hassas bilgilerin yayılmasını denetleyen bir sınıflandı""-ma sistemi getirir. Bu politika, tüm çalışanları her bilgi parçasının has-saslık derecesi konusunda bilinçlendirerek şirket bilgilerini korumak iç-bir çerçeve oluşturur.
Veri sınıflandırma politikası olmadan çalışmak -bu, artık günümüzcepek çok şirketin olmazsa olmazıdır- kararların çoğunu bireysel düzeyceçalışanlara bırakır. Doğal olarak çalışan kararları, bilginin hassashîönemi ve değerinden çok büyük ölçüde öznel unsurlara dayar -Çalışanlar bir bilgi talebine karşılık vererek, bilgiyi bir saldırganın e ~-rine teslim edebilecekleri olasılığından habersiz oldukları için de t ;duyurulur.
Veri sınıflandırma politikası pek çok düzeyden birinde değerli c : -lerin sınıflandırılması için yol göstericidir. Her bilgi parças ~sınıflandırılmasıyla çalışanlar, hassas bilgilerin kasıtsız olarak şirker.e-
Şirket Bilgi Güvenliği Kuralları Önerileri 245
dışarı çıkmasını önleyecek bir veri kullanım sürecine uyabileceklerdir.Bu süreçler çalışanların hassas bilgileri yetkisiz kişilere vermek içinkandırılmaları olasılığını azaltacaktır.
Her çalışan (normal olarak bilgisayar ya da şirket iletişim ağlarınıkullanmayanlar da dahil) şirketin veri sınıflandırma politikası konusundaeğitilmelidir. Şirket işgücünün -temizlikçiler, güvenlik görevlileri,fotokopicilerin yanısıra danışmanlar, taşeronlar ve hattâ stajyerler dearalarında olmak üzere- her üyesinin hassas bilgilere erişimi olabile-ceğinden, herkes bir saldırının hedefi olabilir.
Yönetim, şirket içinde halihazırda kullanımda olan her bilgi için birbilgi sahibi belirlemelidir. Diğer şeylerin yanı sıra bilgi sahibi bilgi varlık-larının korunmasından sorumludur. Bilgiyi koruma gereksinimine görehangi derece sınıflandırma yapılacağına o karar verir ve düzenli olaraksınıflandırma derecelerini yeniden değerlendirir ve uygun gördüğüdeğişiklikleri yapar. Bilgi sahibi, veri koruma görevini bir vekile ya dasorumluya da devredebilir.
Sınıflandırmalar ve TanımlarBilgi, hassaslığına göre değişen sınıflandırma düzeylerine bölün-
melidir. Bir sınıflandırma sistemi bir kez kurulduktan sonra bilgiyiyeniden sınıflandırmak zaman isteyen ve pahalı bir iş haline gelir. Örneksınıflandırmamızda, orta-büyük ölçekli işletmelerin çoğu için uygun ola-cak dört sınıflandırma düzeyi seçtim. Hassas bilgilerin sayısı ve çeşi-dine göre işletmeler, belirli bilgi çeşitlerini de kapsamak için yenisınıflandırmalar eklemek isteyebilirler. Daha küçük işletmelerde üçdüzeyli bir sınıflandırma sistemi yeterli olacaktır.
Gizli: Bu bilgi smıfı en hassas olanıdır. Gizli bilgiler yalnızca kurum içikullanım içindir. Çoğu zaman kesinlikle bilmesi şart olan sınırlı sayıdainsan tarafından bilinmelidir. Gizli bilgi, herhangi bir yetkisiz paylaşımınşirkete, hissedarlara ve/veya müşterilere ciddi zararlar verebileceği biryapıdadır. Bu bilgiler genel olarak aşağıdaki gruplardan birine girerler:
• Ticari sırlar, tescilli kaynak kodları, teknik ya da işlevsel özelliklerya da bir rakibin işine yarayabilecek ürün bilgileri gibi bilgiler.
• Halka açılmamış finansal ya da pazarlamaya yönelik bilgiler.
• Gelecekteki iş stratejileri gibi şirketin işleri için önemli olan diğerbilgiler.
Özel: Bu sınıflandırma, kurum içinde kullanılması öngörülen kişisel nitelikte-ki bilgileri içerir. Özel bilginin yetkisiz dağıtımı çalışanların ya da yetkisiz kişi-lerin (özellikle toplum mühendislerinin) eline geçtiği zaman şirkete ciddi şe-kilde zarar verebilmektedir. Bu tarz bilgilerin arasında çalışanların tıbbîgeçmişi, sağlık yardımları, banka hesap bilgileri, ücret geçmişi ya da halka açıkolmayan diğer kişisel tanımlamalar bulunmaktadır.
246 Aldatma Sanatı
I N V J 11 "Dahili" olarak sınıflandırılmış bilgiler, güvenlik personelitarafından sık sık "Hassas" olarak da adlandırılırlar, Ben Dahilî şeklindekullanacağım çünkü terimin kendisi bilginin hitap ettiği kişileri tanımlıyor.Hassas terimini bir güvenlik sınıflandırması olarak değil de Gizli, Özel veDahili bilgilerinin tümünü anlatan bir terim olarak kullandım. Hassas,özellikle Genel olarak tanımlanmamış her türlü şirket bilgisine karşılıkgelmektedir.
Dahilî: Bu bilgi smıfı kuramda çalışan herkese rahatlıkla dağıtılabilir.Dahilî bilginin yetkisiz dağıtımının çoğu zaman şirkete, hissedarlara, işortaklarına, müşterilere ya da çalışanlara ciddi bir zarar vermesi beklen-mez. Buna karşın, toplum mühendisliği becerilerini kullanmakta usta olankişiler bu bilgiyi kullanarak yetkili bir çalışan, taşeron ya da satıcı firmagibi davranıp hiçbir şeyden kuşkulanmayan personeli hassas bilgileri ver-mesi doğrultusunda kandırabilir ve bu, şirket bilgisayar sistemlerine yetki-siz bir erişim sağlanmasına neden olabilir.
Satıcı firmalara, taşeronlara, ortak şirketlere ve benzeri üçüncü şahıslaradahilî bilgi verilmeden önce taraflar arasında bir gizlilik anlaşması imza-lanmalıdır. Dahilî bilgiler genellikle günlük işlerde kullanılan, dışarıya ve-rilmemesi gereken şirket kuruluş şemaları, ağ bağlantı numaralan, dahilîsistem adlan, uzaktan erişim süreçleri, maliyet merkezi kodlan ve bunungibi herhangi bir bilgiyi içerebilir.
Genel: Özellikle kamuya duyurmak üzere belirlenmiş bilgilerdir. Basınaçıklamaları, müşteri destek iletişim bilgilen ya da ürün broşürleri gibi butarz bilgiler herkese serbestçe dağıtılabilir. Genel olarak sınıflandırılmamışdiğer tüm bilgilerin hassas bilgi olarak ele alınması gerektiği unutulma-malıdır.
Sınıflandırılmış Veri TerimleriSınıflandırmalarına göre veriler belli düzeylerdeki kişilere dağıtıl-
malıdırlar. Bu bölümde verilen bazı kurallar bilginin onaylanmamışkişilere verilmesiyle ilgilidir. Bu ifadeyi açmak gerekirse onaylanmamışkişi, şirkette halen çalışmakta ya da bilgiyi almak için doğru konumdaolup olmadığının ya da güvenilir bir üçüncü şahsın ona kefil olupolmadığının çalışan tarafından bilinmediği kişidir.
Bunun tam tersi olan, güvenilir kişi, yüzyüze karşılaştığınız, bilgi erişimiiçin yeterli yetkiye sahip bir şirket çalışanı, müşteri ya da şirket danışmanıolarak tanıdığınız kişidir. Güvenilir kişi şirketinizle uzun süredir çalışan bir şir-ketin elemanı da olabilir (örneğin, bir müşteri, satıcı ya da sır saklama anlaş-ması imzalanmış bir stratejik iş ortağı gibi).
Üçüncü şahıs kefaletinde, bir güvenilir kişi, bir kişinin iş durumu vekişinin bilgi ya da iş istemeye yetkili olup olmadığıyla ilgili kontrol veris;
Şirket Bilgi Güvenliği Kuralları Önerileri 247
sağlar. Bazı durumlarda bu kurallar, kefil oldukları birinden gelen bilgi yada iş taleplerine karşılık vermeden önce güvenilir kişinin şirkette çalış-maya devam edip etmediğini de doğrulamanızı gerektirir.
Ayrıcalıklı hesap, temel kullanıcı hesabının ötesinde bilgisayar ya dabenzeri bir ortama erişim izni soran, sistem yönetici hesabı türünden birhesaptır. Ayrıcalıklı hesaplara sahip olan çalışanlar genellikle kullanıcıyetkilerini değiştirip, sistem işlevleri gerçekleştirebilirler.
Genel bölüm posta kutusu, bölüm adına genel bir mesajla açılan birsesli mesaj kutusudur. Böyle bir kutu belirli bir bölümde çalışanlarınadlarını ve dahili numaralarını korumak amacıyla kullanılır.
Onay ve Yetkilendirme SüreçleriBilgi hırsızları, gizli şirket bilgilerine ulaşmak ve bu bilgileri ele
geçirmek için çoğunlukla gerçek çalışanlar, taşeronlar, satıcılar ya da işortakları gibi davranarak aldatma taktikleri kullanırlar. Etkili bilgi güven-liğini sürekli kılmak için bir iş yapması ya da hassas bir bilgi vermesiistenen bir çalışan, arayanın kimliğini tespit etmeli ve bir istekte bulun-ma yetkisinin olup olmadığını onaylattırmalıdır.
Bu bölümde önerilen süreçler, herhangi bir iletişim aracıyla -telefon,faks ya da e-posta- kendisinden bir şey istenmiş bir çalışana, isteğingeçerli ve isteyenin de gerçek olup olmadığını belirlemekte yardımcıolmak üzere tasarlanmışlardır.
Güvenilir Kişiden Gelen İsteklerBir güvenilir kişiden gelen iş ya da bilgi talebi durumunda şunların
yapılması gerekebilir:
• Kişinin şirket bünyesinde çalıştığının ya da söz konusu sınıfa aitbilgilere erişim koşulunu da içeren bir ilişkinin varlığının kontroledilmesi. Bunun amacı, ilişiği kesilmiş çalışanların, satıcıların,taşeronların ve benzer kişilerin kendilerini çalışıyor olarakgöstermelerini önlemektir,
• Kişinin bilme gereksiniminin ve bir iş ya da bilgi talebinde bulun-maya yetkili olup olmadığının kontrol edilmesi.
Onaylanmamış Bir Kişiden Gelen İsteklerOnaylanmamış bir kişi bir istekte bulunduğu zaman, istekte bulunan
kişinin bu talepte bulunmaya yetkili olup olmadığını belirlemek içinuygun bir onay süreci kullanılmalıdır. Özellikle de istek, bilgisayarlar yada bilgisayar donanımlarıyla ilgiliyse. Bu süreç, toplum mühendisliğisaldırılarının başarılı olmasını engellemek için temel bir önlemdir. Eğer
248 Aldatma Sanatı
bu onay süreçleri uygulanırsa, başarılı toplum mühendisliği saldırınınsayısını büyük ölçüde azalacaktır.
Süreci maliyet artırıcı ya da çalışanların onu boşvereceği kadar han-tal yapmamanız da önemlidir.
Aşağıda da belirtildiği gibi onay süreci üç adımdan oluşur:
• Kişinin olduğunu söylediği kişi olup olmadığının kontrol edilmesi.
• Talep sahibinin halen şirkette çalıştığının ya da şirketle bilmegereği oluşturabilecek bir ilişkisinin olduğunun belirlenmesi.
• Kişinin ilgili bilgiyi almaya ya da ilgili işi talep etmeye yetkili olupolmadığının belirlenmesi.
Birinci Adım: Kimiik TespitiÖnerilen onay adımları, etkinliklerine göre aşağıda sıralanmışlardır;
sayı ne kadar büyük olursa yöntem o kadar etkilidir. Her öğeyle birlikte,ilgili yöntemin zayıflığıyla ve bir toplum mühendisinin çalışanlarıkandırabilmek için bu yöntemi aşma ya da çevresinden dolaşma yoluy-la ilgili bir açıklama bulunmaktadır.
1. Arayan Kimliği (bu özelliğin şirket telefon sisteminde varolduğunu varsayıyoruz): Arayan numaraya bakarak, aramanınşirket içinden mi yoksa dışından mı geldiği bulunabilir vearayanın verdiği kimliğin görünen ad ve telefon numarasıylauyuşup uyuşmadığına bakılır.
Zayıflığı: Dışarıdan gelen aramaya ait arayan kimliği bilgileri,dijital telefon hizmetlerine bağlı bir PBX ya da telefon santralınaerişimi olan herhangi biri tarafından sahte bilgilerle değiştirilebilir.
2. Geri Arama: İstek sahibi, şirket rehberinden bulunur verehberde geçen dahilî numara aranarak istekte bulunan kişiningerçekten şirkette çalışıp çalışmadığı kontrol edilir.
Zayıflığı: Çalışan, listede geçen şirket dahilî numarasını kontrolamaçlı olarak aradığı zaman, yeterli bilgiye sahip bir saldırgan,aramayı kendi dış hattına aktarılacak şekilde yönlendirebilir.
3. Kefil Olunması: istek sahibine kefil olmuş bir güvenilir kişi istek-te bulunan kişinin kimliğini onaylamış olur.
Zayıflığı: Başka biri gibi davranan saldırganlar, farklı bir çalışanıkimliklerinin doğruluğuna çoğunlukla inandırabilirler ve o çalışa-nın kendilerine kefil olmasını sağlayabilirler.
4. Gizli Ortak Bilgi: Kurum çapında kullanılan, parola ya da gün-lük şifre gibi bir gizli ortak bilgi.
Zayıflığı: Eğer gizli ortak bilgiyi çok kişi bilirse, saldırganın onuöğrenmesi daha kolay olur.
Şirket Bilgi Güvenliği Kuralları Önerileri 249
5. Çalışanın Yöneticisi/Müdürü: Çalışanın bağlı olduğu yöneticiaranır ve onay istenir.
Zayıflığı: Eğer yöneticinin numaralarını istekte bulunan şahısvermişse, çalışan o numarayı aradığında ulaştığı kişi gerçekyönetici değil aslında saldırganın suç ortağı olabilir.
6. Güvenli e-posta: Dijital olarak imzalı bir mesaj istenir.
Zayıflığı: Eğer saldırgan zaten çalışanın bilgisayarına girmiş veçalışanın imza parolasını alabilmek için tuş girişlerini kaydedenbir program yüklemişse, bu durumda çalışandan geliyormuş gibigörünen dijital imzalı bir e-posta gönderebilir.
7. Sesi Şahsen Tanımak: Kendisine istek gelen kişinin isteksahibiyle daha önceden çalışmış olması (tercihen yüz yüze), birgüvenilir kişi olduğundan emin olması ve kişinin sesini telefon-dan tanıyacak kadar kişiyi tanıması.
Zayıflığı: Bu oldukça güvenli bir yöntemdir ve bir saldırgantarafından kolay kolay aşılamaz, ancak kendisine istek gelen kişiarayanı tanimıyorsa ya da daha önce onunla hiç konuşmamışsabu yöntem bir işe yaramaz.
8. Değişken Parola Çözümü: İstek sahibi güvenli kimlik gibi birdeğişken parola çözümüyle kendini tanıtır.
Zayıflığı: Bu yöntemi aşmak için saldırganın, hem değişkenparola cihazlarından birini, hem de cihazın ait olduğu çalışanınkimlik numarasını ele geçirmesi gerekir ya da bir çalışanı cihazınüzerinden bilgiyi okuması ve kimlik numarasını vermesi içinkandırabilir.
9. Kimliğiyle Birlikte Gelen Kişi: istekte bulunan kişi şahsen gelirve tercihen resimli personel kartını ya da başka uygun bir kimlikkartını gösterir.
Zayıflığı: Saldırganlar sık sık bir çalışanın kartını çalabilir ya dagerçek gibi görünen bir sahtesini yapabilirler. Ancak saldırganlarçoğunlukla bu yaklaşımı kullanmazlar çünkü bir yere şahsen git-mek saldırganı büyük bir tanınma ve alıkonma tehlikesine sokar.
İkinci Adım: İş Dorumunun KontrolüEn büyük bilgi güvenliği tehdidi bir profesyonel toplum mühendisin-
den ya da becerikli bir bilgisayar kırıcısından gelmez. Çok daha yakın-daki birinden, kısa süre önce işten atılmış, intikam almak isteyen ya daşirketten çaldığı bilgileri kullanarak kendi işini kurmayı ümit edençalışandan gelir (Bu sürecin başka biri türünün, satıcı, danışman ya dasözleşmeli işçi gibi şirketinizle farklı bir iş ilişkisi olan kişiler için de kul-lanılabileceğini unutmayınız).
250 Aldatma Sanatı
Başka birine Hassas bilgiler vermeden ya da bilgisayar ve bilgisayardonanımlarıyla ilgili başka birinin verdiği talimatlara uymadan öncekonuştuğunuz kimsenin sizinle aynı şirkette çalışıp çalışmadığını şuyöntemlerden birini kullanarak kontrol edebilirsiniz.
Personel Telefon Rehberinden Kontrol: Eğer şirket, çalışan-ların listesinin titizlikle tutulduğu bir çevrimiçi telefon rehberibulunduruyorsa, arayanın bu listede olduğundan emin olun.
Arayanın Yöneticisinden Kontrol: Arayanın yöneticisini,arayanın verdiği numaradan değil, şirket rehberinde geçennumarasından arayın.
Arayanın Birim ya da İş Gurubundan Kontrol: Arayanın biri-mini ya da iş grubunu arayın ve orada çalışan herhangi birindensöz konusu kişinin orada çalışmakta olup olmadığını öğrenin.
Üçüncü Âdım: Bilme Gereğinin Kontrolüistekte bulunan kişinin halen şirkette çalışıp çalışmadığını ya da şir-
ketinizle bir ilişkisi kalıp kalmadığını kontrol etmenin yanısıra, bir de,istek sahibinin istediği bilgiyi talep etmeye ya da bilgisayarları veya bil-gisayar donanımlarını etkileyecek belirli işlemleri talep etmeye yetkiliolup olmadığı konusu vardır.
Bunun kontrolü şu yöntemlerden biri kullanılarak yapılabilir:
İşyeri Unvan/İş Gurubu/Sorumluluklar Listelerine Başvurun: Birşirket hangi çalışanların ne tür bilgileri almaya yetkili olduğunu içerenlisteler çıkararak yetkilendirme bilgilerine hızlı erişim sağlayabilir. Bu lis-teler çalışan unvanına, birimine ve iş gurubuna, sorumluluklara ya dabaşka verilere göre sıralanmış olabilir. Bu tarz listelerin çevrimiçi tutul-ması ve sürekli güncellenerek yetkilendirme bilgilerine hızlı erişimsağlaması gerekir. Çoğunlukla bilgi sahipleri, denetimleri altında olanbilgilere erişilebilmesi için listelerin oluşturulmasından ve güncellen-mesinden sorumludurlar.
Bir Yöneticiden Onay Alın: Bir çalışan, isteği yerine getirmek üzereonay almak için kendi yöneticisiyle ya da istek sahibinin yöneticisiylebağlantıya geçer.
IV| v^ I * Bu tarz listelerin toplum mühendisine davetiye çıkarmakolduğu da göz önünde bulundurulmalıdır. Düşünün: Eğer bir şirketi hedef-leyen bir saldırgan şirketin böyle listeler tuttuğunu öğrenecek olursa birtanesini ele geçirmek için bir nedeni olacaktır. Ele geçirdikten sonra da butarz listeler saldırgana pek çok kapı açarlar ve şirket için ciddi bir tehlikeoluştururlar.
V. J
Şirket Bilgi Güvenliği Kuralları Önerileri 251
Bilgi Sahibinden ya da Sorumlusundan Onay Aiın: Belirli birkişinin bilgiye erişimi olup olmayacağıyla ilgili son söz hakkı bilgi sahibi-nindir. Bilgisayar tabanlı erişim kontrol süreci, var olan iş tanımlarınauygun bilgilere erişme talebinin onayı için çalışanın kendi yöneticisiniaramasıdır. Eğer böyle bir tanım yoksa, ilgili bilgi sahibini arayıp izinistemek yöneticinin sorumluluğudur. Bu emir-komuta zincirine uyulmasıgerekir, yoksa bilgi sahipleri sık sık gelen bir talep akınına uğrarlar.
Tescilli Bir Yazılım Paketi Aracılığıyla Onay Alın: Rekabetçi birortamda çalışan büyük bir şirketin bilme gereği yetkilerini veren tescillibir yazılım paketi geliştirmesi kullanışlı olabilir. Böyle bir veritabanı,çalışan adlarını ve gizli bilgilere erişim yetkilerini tutar. Kullanıcılar herçalışanın erişim yetkilerini göremezler ama onun yerine istekte bulunankişinin adını ve istenen bilginin tanımlayıcısını girebilirler. Daha sonrayazılım, aranan kişinin ilgili bilgileri almaya yetkili olup olmadığına dairbir sonuç çıkarır. Bu seçenek, değerli, önemli ya da hassas bilgilereerişim yetkisine sahip personel listelerinin çalınma tehlikesini bertarafeder.
Yönetim KurallarıAşağıdaki kurallar yönetici seviyesindeki çalışanlarla ilgilidir. Veri
Sınıflandırılması, Bilgi Verilmesi, Telefon İdaresi ve Çeşitli Kurallar gibikonulara bölünmüşlerdir. Her kural sınıfı kuralların rahat tanımlana-bilmeleri için kendine özgü bir sayılandırma içermektedir.
Veri Sınıflandırma KurallarıVeri Sınıflandırma, şirketinizin hassas verilerinin nasıl sınıflandırıl-
dığına ve bu bilgilere kimlerin erişim yetkisinin olması gerektiğinedeğinir. .
1-1 Veri sınıflandırması yapınKural: Tüm değerli, hassas ya da önemli iş bilgileri ilgili bilgi sahibi
ya da vekili tarafından bir sınıflandırmaya tutulmalıdır.
Açıklamalar/Notlar: ilgili bilgi sahibi ya da vekili iş hedeflerine ulaş-mak için düzenli olarak kullanılan herhangi bir bilgiyi uygun veri sınıfınayerleştirecektir. Bilgi sahibi, bu tarz bilgilere kimlerin erişebileceğini vebu bilgilerle neler yapılabileceğini denetler. Bilgi sahibi, sınıflandırmayıyeniden yapabilir ve düzenli olarak sınıflandırmanın yenilenmesi için birzaman belirleyebilir.
Başka bir şekilde sınıflandırılmamış her bilgi hassas olaraksınıflandırılmalıdır.
252 Aldatma Sanatı
1 -2 Sınıflara g ö r e k u l l a n m a süreçleri çıkarın
Kural: Şirket her sınıf bilginin verilmesine yönelik süreçler oluşturmalıdır.
Açıklamalar/Notlar: Sınıflandırmalar yapıldıktan sonra, bilgininçalışanlara ve dışardan kişilere verilmesiyle ilgili, daha önce bubölümde Onay ve Yetkilendirme konusunda anlatıldığı gibi süreçleroluşturulmalıdır. .
1 -3 Tüm öğeleri işaretleyinKural: Gizli, özel ya da dahilî bilgi içeren hem basılı malzemeleri,
hem de bilgisayar saklama ortamlarını ilgili veri sınıflandırmasınıgösterecek açık bir şekilde işaretleyin.
Açıklamalar/Notlar: Basılı belgelerin, üstünde göze çarpan bir verisınıfı işareti olan bir kapak sayfası olmalıdır ve veri sınıfı, belgeaçıldığında görülecek şekilde her sayfada bulunmalıdır.
İlgili veri sınıflarıyla kolaylıkla işaretlenemeyen tüm elektronikdosyalar, (veritabanı ya da ham veri dosyaları), uygunsuz bir şekildedağıtılmasını, değiştirilmesini, yok edilmesini ya da erişilemez durumagetirilmesini önlemek için erişim denetimleriyle korunmalıdırlar.
Disketler, bantlar ve CD-ROM'lar gibi tüm bilgisayar araçlarının,içlerindeki en üst sınıf veriye göre işaretlenmeleri gerekmektedir.
Bilginin VerilmesiBilgi verilmesi, kim olduklarına ve bilme gereklerine bakılarak bil-
ginin çeşitli şahıslara verilmesini kapsar.
2-1 Çalışan k i m l i ğ i n i n tespiti süreci
Kural: Gizli ya da hassas bilgilerin verilmesini ya da herhangi bir bil-gisayar donanımının ya da yazılımının kullanılmasını içeren bir işinyapılmasından önce kişinin kimliğinin, iş durumunun ve yetkilerininkontrol edilebilmesi için çalışanların kullanabileceği kapsamlı süreçlerşirket tarafından oluşturulmalıdır.
Açıkiamalar/Notlar: Şirketin büyüklüğü ve güvenlik ihtiyaçlarınauygun olarak, kimlik tespiti için, gelişmiş güvenlik teknolojileri kullanıl-malıdır. En iyi güvenlik uygulaması, tanımlama anahtarını gizli ortak bil-giyle birlikte kullanarak istekte bulunan kişileri doğru bir şekilde tanımla-maktır. Bu uygulama, riski büyük ölçüde azaltsa da bazı işletmeler içinmaliyeti çok yüksek olabilir. Bu koşullarda şirket, günlük bir parola ya daşifre gibi tüm şirket çapında geçerli bir gizli ortak bilgi kullanabilir.
2-2 Bilginin üçüncü şahıslara verilmesi
Kural: Bir dizi kendini kanıtlamış bilgi verme süreci yürürlüğe kon-malı ve tüm çalışanlar bu süreçleri izlemeleri konusunda eğitilmelidirler.
Şirket Bilgi Güvenliği Kuralları Önerileri 253
Açıklamalar/Notlar: Dağıtım süreçlerinin genel olarak şunlar içinoluşturulması gerekir;
• Şirket içine verilecek bilgiler,
• Danışmanlara, geçici işçilere, stajyerlere, şirketle alıcı-satıcıilişkisi ya da stratejik ortaklık anlaşması olan kuruluşlarınçalışanlarına ve bunun gibi, şirketle oturmuş bir ilişkisi olan kuru-luşların çalışanlarına bilginin verilmesi,
• Şirket dışına verilecek bilgiler,
• Bilgi şahsen, telefonla, e-postayla, faksla, sesli mesajla, postaaracılığıyla, imzalı kuryeyle ve elektronik aktarımla veriliyorsaher veri sınıfıyla ilgili bilgiler.
2-3 Gizli b i lg i ler in dağıtımı
Kural: Yetkisiz kişilerin eline geçtiğinde büyük zararlara neden ola-bilecek şirket bilgileri olan gizli bilgiler ancak almaya yetkili bir güvenilirkişiye verilebilir.
Açıklamalar/Notlar: Fiziksel (yani basılı ya da taşınabilir saklamaortamı) olarak gizli bilgiler şu şekilde teslim edilebilir:
• Şahsen,
• Mühürlü ve gizli damgası vurulmuş olarak dahili kuryeyle,
• Şirket dışına itibarlı bir kurye şirketinin hizmetiyle ya da taahhütlüveya onaylı posta hizmeti kullanarak.
Elektronik (bilgisayar dosyaları, veritabanı dosyaları, e-posta) olarakgizli bilgiler şu şekilde teslim edilebilir:
• Şifreli e-posta içeriğinde,
• Şifreli bir dosya olarak e-posta ekinde,
• Şirket dahilî ağındaki bir sunucuya elektronik aktarımla,
• Bir faks programı kullanarak bilgisayardan. Ancak karşı makinayıilgili kişinin kullandığından ya da faks gönderilirken ilgili kişininmakinanın başında beklediğinden emin olunması gerekir. Diğerbir seçenek ise, şifreli bir telefon hattından parola korumalı birfaks sunucusundan gönderilmesi durumunda, faksın alıcıolmadan gönderilmesi mümkündür.
Gizli bilgiler, karşılıklı, şirket içi telefonla, şirket dışından şifreli tele-fonla, şifreli uydu aktarımıyla, şifreli videokonferans bağlantısıyla veşifreli internet Protokolü üzerinden ses geçidiyle (VolP) yapılan karşılık-lı görüşmelerle de iletilebilirler.
Faksla gönderimlerde önerilen yöntem, gönderenin bir kapak say-
254 Aldatma Sanatı
fası göndermesini, alıcının sayfayı alması üzerinde karşılık olarakbaşka bir sayfa göndererek faks makinasının başında olduğunu göster-mesini içermektedir. Gönderen, daha sonra faksın tümünü gönderir.
Şu iletişim kanalları ise gizli bilgilerin görüşülmesi ya da dağıtılmasıiçin kabul edilebilir yöntemler değillerdir: Şifresiz e-postalar, seslimesajlar, posta hizmetleri ya da herhangi bir telsiz iletişim yöntemi (ceptelefonları, kısa mesaj hizmetleri ya da telsiz telefonlar)
2-4 Özel bilgilerin dağıtımıKural: Açığa çıktıkları takdirde çalışanlara ya da şirkete zarar ver-
mek üzere kullanılabilecek, çalışan ya da çalışanlarla ilgili kişisel bilgi-leri ifade eden özel bilgiler, yalnızca onu almaya yetkili bir güvenilirkişiye teslim edilebilir.
Açıklamalar/Notlar: Fiziksel (yani basılı ya da taşınabilir saklamaortamı) olarak özel bilgiler şu şekilde teslim edilebilir:
• Şahsen,
• Mühürlü ve özel damgası vurulmuş olarak dahilî kuryeyle,
• Posta hizmetiyle,
Elektronik (bilgisayar dosyalan, veritabanı dosyaları, e-posta) olaraközel bilgiler şu şekilde teslim edilebilir:
• Dahilî e-postayla,
• Şirket dahilî ağındaki bir sunucuya elektronik aktarımla,
• Bir faks programı kullanarak bilgisayardan, ancak karşı makinayıilgili kişinin kullandığından ya da faks gönderilirken ilgili kişininmakinanın başında beklediğinden emin olunması gerekir. Diğerbir seçenek ise, şifreli bir telefon hattından parola korumalı birfaks sunucusuna gönderilmesi durumunda, faksın alıcı olmadangönderilmesi mümkündür.
Özel bilgiler, karşılıklı, şirket içi telefonla, uydu aktarımıyla,videokonferans bağlantısıyla ve şifreli İnternet Protokolü izerinden sesgeçidiyle (VolP) yapılan karşılıklı görüşmelerle de iletilebilirler.
Şu iletişim kanalları ise özel bilgilerin görüşülmesi ya da dağıtılmasıiçin kabul edilebilir yöntemler değillerdir: Şifresiz e-postalar, seslimesajlar, posta hizmetleri ya da herhangi bir telsiz iletişim yöntemi (ceptelefonları, kısa mesaj hizmetleri ya da telsiz telefonlar)
2-5 Dahilî bilgilerin dağıtım!Kural: Dahilî bilgiler, yalnızca şirket içinde dağıtılabilecek ya da
gizlilik anlaşması imzalamış güvenilir kişilere verilebilecek bilgilerdir.Dahilî bilginin dağıtımına yönelik yönergeler hazırlamanız gerekir.
Şirket Bilgi Güvenliği Kuralları Önerileri 255
Açiklamaiar/NotSar: Dahilî bilgiler, aralarında dahilî e-posta daolmak üzere her yolla iletilebilirler, ancak şifreli olmadıkları sürecee-postayla şirket dışına gönderilemezler.
2-6 Hassas bilgilerin telefon üzerinden görüşülmesiKural: Genel sınıfında tanımlanmamış herhangi bir bilgiyi telefon
üzerinde görüşmeden önce, bilgiyi verecek kişinin, karşı tarafın sesinidaha önceden şahsen duymuş olması ya da şirket telefon sistemininaramanın istek sahibine ait dahilî bir numaradan yapıldığını tespit etmişolması gerekmektedir.
Açıklamaiar/Notlar: Eğer istekte bulunan kişinin sesi tanınmıyorsa,kayıtlı bir ses mesajından sesleri karşılaştırabilmek için arayanın dahilînumarasını arayın ya da arayanın yöneticisine kimliğini ve bilme gereği-ni onaylattırın.
2-7 Girişte yo da danışmada görevli personel süreçleri.Kural: Giriş görevlileri, şirkette çalışıp çalışmadığını bilmedikleri
herhangi birine herhangi bir paketi verirlerken resimli kimlik kontrolüyapmalıdırlar. Kişinin adının, ehliyet numarasının, doğum tarihinin, alı-nan paketin ve alımın gerçekleştiği gün ve saatin işlendiği bir kayıt def-teri tutulmalıdır.
Âçıklamaîar/Notlar: Bu kural dışarı gönderilen paketlerintaşıyıcılara ya da kurye hizmeti veren şirketlere teslim edilmesinde degeçerlidir. Bu şirketler, çalışanların kimliklerinin kontrol edilebileceğikimlik kartları çıkarırlar.
2-8 Üçüncü şahıslara yazılım aktarımıKural: Herhangi bir yazılım, program ya da bilgisayar açıkla-
malarının verilmesinden ya da aktarılmasından önce istek sahibinindoğru kişi olduğu belirlenmeli ve bu aktarımın, söz konusu bilginin verisınıfıyla tutarlı olup olmadığı kesinleştirilmelidir. Şirket bünyesinde kay-nak kodu biçiminde yapılmış yazılımlar çoğunlukla şirket mülkü sayılırve gizli olarak sınıflandırılırlar.
Açıklamalar/Kurallar: Yetki belirlenmesi genellikle istekte bulunankişinin işini yapmak için yazılım erişimine ihtiyacı olup olmadığına göreyapılır.
2-9 Satış ve pazarlamanın müşteri önerilerininincelemesiKural: Satış ve pazarlama personeli, dahilî geri arama numaralarını,
ürün planlarını, ürün grubu iletişim sorumlularını ya da diğer hassas bil-gileri olası bir müşteriye vermeden önce verilen önerileri incelemelidir.
Açıklamalar/Notlar: Satış ve pazarlama temsilcisiyle bağlantı
256 Aldatma Sanatı .
kurup, onu ufukta büyük bir alımın olacağına inandırmak, sanayi casus-larının sık kullandıkları yöntemler arasındadır. Satış fırsatından yarar-lanma çabasıyla satış ve pazarlama temsilcileri, saldırgan tarafındanhassas bilgilere ulaşmak için poker markası olarak kullanılabilecek bil-gileri sık sık verirler.
2-10 Dosya ve verilerin aktarımıKural: İstek sahibi, kimliği belirlenmiş ve veriyi ilgili taşınabilir ortam-
da alması gerektiği anlaşılmış bir güvenilir kişi olmadığı sürece dosyalarya da diğer elektronik veriler hiçbir taşınabilir ortama aktarılmamalıdır.
Açıklama!ar/Not!ar: Bir toplum mühendisi hassas bilgilerin birbanda, diskete ya da diğer taşınabilir ortamlara kopyalanmış olarakkendine gönderilmesini ya da birinin gelip alması için girişte bek-letilmesini istemek için akla yatkın bir gerekçe sunarak çalışanı kandıra-bilir.
Telefon İdaresiTelefon idaresi kuralları, çalışanların, arayan kimliğini kontrol ede-
bilmelerini ve şirketi arayan kişilere karşı kendi iletişim bilgilerini koru-malarını sağlar.
3-1 Bilgisayar bağlantısı ya da faks numaralarındaaramaların yönlendirilmesiKural: Aramaları dış hat telefon numaralarına yönlendiren arama
yönlendirme hizmetleri şirket içindeki herhangi bir modem ya da faksnumarasına sağlanmamalıdır.
Açıklamalar/Notlar: Çok yönlü saldırganlar, dahilî numaralansaldırganın kontrolü altındaki bir dış hat telefonuna yönlendirmelerikonusunda telefon şirketi personelini ya da dahilî telekomünikasyonçalışanlarını kandırmaya çalışabilirler. Bu saldırı, saldırganın, fakslaramüdahale edebilmesine, gizli bilgilerin şirket içine fakslanmalarınıisteyebilmesine (çalışanlar kurum içine birşey fakslamanın eminolduğunu varsayarlar) ya da bağlantı hatlarını giriş sürecinin aynısınıtaklit eden tuzak bir bilgisayara yönlendirerek modemle bağlanan kul-lanıcıların parolalarını ele geçirmesine yol açacaktır.
Şirket içinde kullanılan telefon hizmetine göre arama yönlendirmeözelliği," telekomünikasyon bölümünden çok, iletişim hizmetisağlayıcısının kontrolü altında olabilir. Bu durumda arama yönlendirmeözelliğinin bağlantı ve faksa ayrılmış telefon numaralarında bulunma-masını isteyen bir taleple iletişim hizmet sağlayıcısına gidilmesi gereke-cektir.
Şirket Bilgi Güvenliği Kuralları Önerileri 257
3-2 Arayan kimliği
Kural: Şirket telefon sistemi, tüm dahilî telefonlara arayan hattanımlama (arayan kimliği) hizmetini sağlamalıdır ve eğer münkünse,dışarıdan gelen aramalarda farklı bir çalma sesi kullanılmalıdır.
Açıklamalar/Notlar: Eğer çalışanlar, şirket dışından gelen ara-maların kimden geldiğini görebilirlerse, bu onların bir saldırıyıengellemelerine ya da ilgili güvenlik sorumlusuna saldırganı tarifetmelerine yardımcı olabilir.
3-3 Nezaket telefonları
Kural: Ziyaretçilerin şirket çalışanı gibi davranmalarını önlemek içinher nezaket telefonunun nereden edildiği (örneğin, "Danışma")arananın telefon göstergesinde açıkça görülebilmelidir.
Âçıkîamalar/Notlar: Eğer dahilî aramaların arayan kimlikleri yalnız-ca dahili numarayı gösteriyorsa, danışma ve diğer herkese açık yer-lerdeki şirket telefonlarından yapılan aramalara yönelik uygun önlemleralınmalıdır. Bir saldırganın bu telefonlardan birinden arama yapması vearamanın herhangi bir başka çalışanın telefonundan yapıldığı doğrul-tusunda aradığı kişiyi kandırmasının mümkün olmaması gerekmektedir.
3-4 Telefon sistemleri ile gelen üretici parolaları
Kural: Sesli mesaj yöneticisi, şirket çalışanları tarafından kullanıl-madan önce telefon sistemiyle birlikte gelen parolalar değiştirilmelidir.
Açıklamalar/Notlar: Toplum mühendisleri, üreticilerden ilk parolalistelerini edinebilir ve bunları yönetici hesaplarına erişmek için kulla-nabilirler.
3-5 Bölüm sesli mesaj kutuları
Kural: Dışarıyla bağlantısı olabilecek her bölüme için bir sesli mesajkutusu oluşturun.
Açıklamalar/Notlar: Toplum mühendisliğinin ilk adımı hedef şirketve çalışanları hakkında bilgi toplamaktır. Şirket, çalışanların ad ve tele-fon numaralarına erişimi sınırlayarak, toplum mühendisinin şirket için-den hedef belirlemesini ya da çalışanları kandırmak için başkalarınınadlarını kullanmasını güçleştirebilir.
3-6 Telefon sistem satıcısının onaylanması
Kural: Satıcı firmadan gelen hizmet teknisyenlerinden hiçbirine,satıcı firma bilgileri ve gelenlerin yetkileri onaylanmadan, şirket telefonsistemine uzaktan erişim hakkı tanınmamalıdır.
Açıklamalar/Notlar: Şirket telefon sistemlerine giren bilgisayarkırıcıları sesli mesaj kutusu yaratma, diğer kullanıcılara gelen mesajlara
258 Aldatma Sanatı ". •
müdahale etme ya da parasını şirketin ödediği telefon görüşmeleriyapabilme becerisini kazanırlar.
3-7 Telefon sisteminin ayarlanması
Kural: Sesli mesaj yöneticisi, telefon sisteminde ilgili güvenlikayarlamalarını yaparak güvenlik gerekliliklerinin yerine getirilmesinisağlar.
Açıklamalar/Notlar: Telefon sistemleri sesli mesajlar için az ya daçok kapsamlı güvenlik düzeylerine göre ayarlanabilirler. Yönetici, şirketgüvenlik anlayışının bilincinde olmalı ve sistemi hassas bilgileri koru-mak üzere ayarlamak için güvenlik sorumlularıyla birlikte çalışmalıdır.
3-8 A r a m a izleme özel l iği - • • . . ' .
Kural: iletişim hizmetleri veren firmanın sınırlamalarına göre,çalışanların, arayanın saldırgan olduğundan kuşkulandıkları durumdakıstırıp kovalayan bu işlevi çalıştırabilmeleri sağlanabilecek şekilde,arama izleme özelliği devreye sokulmalıdır.
Âçsklamalar/Notlar: Çalışanlar, arama izleme işlevinin kullanımı vekullanılacağı durumlar konusunda eğitilmelidirler. Arayan kişi, açıkça,şirket bilgisayar sistemlerine yetkisiz girmeye ya da hassas bilgileri elegeçirmeye çalışıyorsa, bir arama izleme süreci başlatılmalıdır. Nezaman bir çalışan arama izleme özelliğini çalıştırırsa, Olay BildirmeMerkezi'ne de hemen haber verilmelidir. :
3-9 Otomatik telefon sistemleriKural: Eğer şirket otomatik bir yanıt verme sistemi kullanıyorsa, sis-
tem bir çalışana ya da bölüme aramayı aktarırken dahilî numarayısöylemeyecek şekilde programlanmalıdır. .
Açıklamalar/Notlar: Saldırganlar bir şirketin otomatik telefon sis-temini, çalışan adlarını dahilî telefonlarla karşılaştırmak için kullanabilir-ler. Daha sonra saldırganlar bu dahilî numara bilgilerini kullanarakaradıkları kişileri şirket içi bilgi almaya yetkili çalışanlar olduklarınainandırırlar.
3-10 Birbiri ardına başarısız girme denemesindensonra sesli mesaj kutularının kapatılmasıKural: Peşpeşe belirli bir sayıda başarısız girme denemesi olduğun-
da sesli mesaj hesaplarını kilitleyecek şekilde şirket telefon sistemininprogramlanması.
Açıklamalar/Notlar: Telekomünikasyon yöneticisi ardı ardına beşbaşarısız giriş denemesinden sonra sesli mesaj kutusunu kapatmalıdır.Yönetici daha sonra kilitli sesli mesaj kutularını tek tek kendisi açmalıdır.
Şirket Bilgi Güvenliği Kuralları Önerileri 259
3-11 Smır landmlmış dahi l î telefonlar
Kural: Çoğu zaman dışarıdan gelen aramaları kabul etmeyenbölüm ve iş gruplarına ait tüm dahilî telefonlar (yardım masası, bilgisa-yar odası, çalışan teknik destek vb.) yalnızca diğer dahilî telefonlarınulaşabileceği şekilde programlanmalıdır. Diğer bir seçenek ise parolakorumalı olması ve dışarıdan arayan çalışanların doğru parolayı gir-meleridir.
Açıklamalar/Notlar: Her ne kadar bu kural amatör toplummühendislerinin çoğu girişimlerini önleyebilse de, kararlı bir toplummühendisinin bazen bir çalışanı sınırlı bir hattı aramaya ve karşıtaraftan saldırganı geri aramaya ya da yalnızca sınırlı hattâ bir toplugörüşme oluşturmaya ikna edebileceği de unutulmamalıdır. Saldırganayardımcı olacak şekilde çalışanların kandırılması yöntemi bu taktiklerleilgili bilinci artırmak amacıyla güvenlik eğitimleri sırasında tartışılmalıdır.
Çeşitli . ,
4-1 Personel kart ı tasarımı
Kural: Personel kartları uzaktan tanınabilecek büyük bir fotoğrafiçerecek şekilde tasarlanmalıdır.
Açıklamalar/Notlar: Sıradan tasarımlı şirket kimlik kartlarındakifotoğraflar işe yaramazdan bir gömlek üstündür. Binaya giren biriyle,kimlik kontrolüne yetkili bir güvenlik ya da danışma görevlisi arasındakiuzaklık o kadar fazladır ki, kişi yürüyüp geçerken, resim, seçilemeyecekkadar küçük kalır. Böyle bir durumda fotoğrafın işe yarayabilmesi içinkartın yeniden tasarlanması şarttır.
4-2 Konum ya da sorumluluk değişt i r i rken erişimhaklarının gözden geçirilmesiKural: Ne zaman bir şirket çalışanının konumu değişir ya da sorum-
lulukları azalır veya çoğalırsa, çalışanın yöneticisi, gerekli güvenlik pro-filinin oluşturulması için değişimden Bİ'yı haberdar eder.
Açıklamalar/Noîiar: Çalışanların erişim yetkilerinin yönetimi, korun-ması gereken bilgilerin açığa çıkmasını kısıtlamak için şarttır. En düşükyetki kuralı geçerli olacaktır: Kullanıcılara verilen erişim yetkileri işleriniyapmalarında gerekli olan en düşük seviye olacaktır. Yükseltilmiş erişimyetkileriyle sonuçlanan değişim talepleri yükseltilmiş erişim yetkileriveren bir kuralla bağlantılı olmalıdır.
Hesap sahibinin erişim yetkilerini ihtiyaç doğrultusunda ayarlamalarıiçin Bİ birimine haber verme sorumluluğu, çalışanın yöneticisinin ya dainsan kaynaklan bölümünündür.
260 Aldatma Sanatı :
4-3 Şirket çalışanı olmayanlar için özel k iml ik
Kural: Şirketiniz, düzenli olarak içeride işi olan ama şirket çalışanıolmayan kişiler ve güvenilir kuryeler için özel fotoğraflı şirket kartı çıkar-malıdır. . , .
Açıklamalar/Notlar: Düzenli olarak binaya girmesi gereken şirketdışı kişiler (örneğin, kafeteryaya yiyecek ve içecek getirenler, fotokopimakinası tamircileri ya da telefon bağlamaya gelenler) şirketiniz için birtehdit oluşturabilirler. Bu ziyaretçilere kart çıkarmaya ek olarak şirket-lerin, çalışanlarına kartsız bir ziyaretçi gördüklerinde nasıl davranmalarıgerektiği konusunda da eğitim verilmelidir.
4-4 Taşeronların bilgisayar hesaplarını kapatmak
Kural: Kendisine bir bilgisayar hesabı açılmış bir taşeron işinibitirdikten ya da sözleşmesi sona erdikten sonra, sorumlu yönetici der-hal bilgi teknolojileri bölümünü haberdar ederek uzaktan erişim için tele-fon bağlantısı ya da internet erişimleri ve veritabanı erişim hesaplan dadahil olmak üzere taşeronun bilgisayar hesaplarını kapattıracaktır.
Açıklamalar/Notlar: Bir çalışanın işine son verildiğinde verilereulaşmak için şirket sistemleri ve süreçleri bilgisini kullanma tehlikesivardır. Eski çalışanın kullandığı ya da bildiği tüm bilgisayar hesaplarıhemen kapatılmalıdır. Bu hesapların arasında üretim veri tabanınaerişim, uzaktan bağlantı ve bilgisayar bağlantılı donanımlara erişim içinkullanılan diğer hesaplar da bulunmalıdır.
4-5 Olay bi ld irme merkezi
Kural: Bir olay bildirme merkezi kurulmalı ya da daha küçük şir-ketlerde, olası güvenlik olaylarına yönelik uyarıları alıp duyuracak birolay bildirme sorumlusu ve yardımcısı seçilmelidir.
Açıklamalar/Notlar: Şüpheli güvenlik olaylarının bildirilmesi işlevinimerkezîleştirerek daha önce fark edilemeyecek türden bir saldırının farkedilmesi sağlanabilir. Şirket çapında düzenli saldırılar görülür ve bunlarbildirilirse olay bildirme merkezi saldırganın neyi hedeflediğini bulabilir;böylece ilgili varlıkları korumak için özel bir çaba harcanabilir.
• Olay raporlarını almakla görevlendirilmiş çalışanlar toplummühendisliği yöntem ve taktiklerine aşina olmalıdırlar. Böylece raporlarıdeğerlendirip, devam eden olan bir saldırıyı görebilirler.
4-6 Olay bi ld irme hatts
Kural: Olay bildirme merkezine hatırlaması kolay bir dahilî numarasıolan bir hat açılabilir.
Açıklamalar/Notlar: Çalışanlar bir toplum mühendisliği saldırısınınhedefi olduklarından şüphelendiklerinde hemen olay bildirme merkezini
Şirket Bilgi Güvenliği Kuralları Önerileri 261
haberdar edebilmelidirler. Haberin zamanında verilebilmesi için ilgilinumara, tüm şirket telefon santralı memurlarının ve danışmagörevlilerinin önlerinde asılı olmalı ya da rahat ulaşabilecekleri bir yerdedurmalıdır.
Şirket çapında bir erken uyarı sistemi, sürmekte olan bir saldırıyıtespit edip karşılık vermeye büyük ölçüde yardımcı olabilir. Yazılı tüzük-ler uyarınca, olay bildirme merkezi görevlileri, personelin dikkatli olmasıiçin bir saldırının söz konusu olduğu doğrultusunda hemen hedeflenengruplara uyarı gönderirler. Uyarının zamanında yapılabilmesi içinmerkez numarasının şirket bünyesinde herkese dağıtılmış olmasıgerekir.
4-7 Hassas alanlar kapatı lmalıdır
Kural: Bir güvenlik görevlisi hassas ya da güvenli alanları gözetimaltında tutacak ve bu alanlara giriş iki kademeli tanıtım gerektirecektir.
Açıklamalar/Notlar: Kabul edilebilir tanıtım şekillerinden biriçalışanın kartını geçirip bir erişim şifresi girmesinin istendiği dijital elekt-ronik kilittir. Hassas bölgeleri güvenlik altına almanın en emin yolu,kapıya kartlı girişi gözetleyecek bir güvenlik görevlisi yerleştirmektir.Bunun çok maliyetli olduğu kuruluşlarda kimlik kontrolü için iki kademelitanıtım kullanılmalıdır. Riske ve maliyete göre biyometrik özellikli birgiriş kartı da önerilir.
4-8 Ağ ve telefon kutular ı
Kural: Ağ kabloları, telefon kabloları ya da ağ erişim noktaları bulu-nan kutular, dolaplar ya da odalar her zaman kapalı tutulmalıdır.
Açıkiamalar/Motlar: Yalnızca yetkili personelin telefon ve ağ kutu-larına, odalara ve dolaplara erişimine izin verilmelidir. Dışarıdan gelenonarım görevlileri ya da satıcı firma sorumlularının kimlikleri bilgi güven-liğinden sorumlu bölümün çıkardığı süreçler kullanılarak, kuşku bırak-mayacak biçimde kontrol edilmelidirler. Telefon hatlarına, ağ bağlantınoktalarına, düğmelere, köprülere ya da diğer ilgili cihazlara erişimolması, bilgisayar ve ağ güvenliğini kırmak isteyen bir saldırgan tarafın-dan kullanılabilir.
4-9 Şirket içi posta kutu!anKural: Şirket içi posta kutuları herkese açık yerlere konmamalıdır.
Açıklamalar/Notlar: Şirket içi posta alım noktalarına erişimi olansanayi casusları ya da bilgisayar kırıcıları, çalışanları gizli bilgi vermeyeya da saldırgana yardımcı olacak bir işlem yapmaya yetkilendiren sahteyetki mektuplarını ya da dahilî formları rahatlıkla gönderebilirler. Ayrıcasaldırgan, içinde bir yazılım güncellemesi yükleme ya da saldırganınamaçları doğrultusunda yerleştirilmiş makrolar içeren bir dosyayı açma
262 Aldatma Sanatı
talimatları içeren bir disket ya da başka elektronik ortamlar gönderebilir.Şirket içi postayla gelen herhangi bir paketin, doğal olarak, alıcılartarafından güvenilir olduğunu varsayılır.
4-10 Şirket bül ten panosu
Kural: Şirket çalışanları yararına olan bülten panoları dışarıdangelenlerin erişebileceği yerlere aşılmamalıdırlar.
Açıklamalar/Notlar: Pek çok işletmede, herkesin okuyabilmesi için şir-kete ya da çalışana ait özel bilgilerin asıldığı bülten panoları bulunur.Çalışan haberleri, çalışan listeleri, dahilî mektuplar, ilanlarda adı geçençalışanların ev telefon numaralan ve diğer benzeri bilgiler panoya asılırlar.
Bülten panoları, ziyaretçilerin giremeyeceği şirket kafeteryalarınınyakınlarına, sigara ve kahve molası köşelerine yerleştirilebilir. Bu tarzbilgiler ziyaretçilerin ya da gelip geçenlerin ulaşabileceği yerlerde bulun-mamalıdır.
4-11 Bilgisayar merkezi gir iş i
Kural: Bilgisayar odası ya da veri merkezi her zaman kilitli tutulmalıve çalışanların içeri girerken kimlik göstermeleri zorunlu olmalıdır.
Açıklamalar/Notlar: Şirket güvenliği, tüm girişlerin elektronik olarakkayıtlarının tutulabilmesi ve denetlenebilmesi için elektronik kart ya dakart okuyucu kullanma seçeneğini de değerlendirmelidir.
4-12 Hizmet sağlayıcı iardaki müşteri hesaplan
Kural: Şirkete önemli hizmetler sağlayan satıcılara sipariş veren şir-ket çalışanları yetkisiz kişilerin şirket adına sipariş vermelerini önlemekiçin parolalı bir hesap açmalıdırlar.
Açıklamalar/Notlar: Siparişle çalışan şirketler ve pek çok başkafirma, müşterilerinin parola koymalarına izin verirler. Şirket ise işe uygunhizmet alabilmek için tüm satıcılarında parola oluşturmalıdır. Bu kuralözellikle telekomünikasyon ve internet hizmetleri için önemlidir. Kritikhizmetlerin etkilendiği durumlarda, arayanın sipariş vermek için yetkiliolup olmadığını kontrol etmek için ortak bir bilgi kullanılması şarttır.Sosyal güvenlik numarası, şirket vergi numarası, annenin kızlık soyadıya da benzeri tanımlayıcı bilgilerin kullanılmaması gerektiği de unutul-mamalıdır.
Bir toplum mühendisi, örneğin telefon şirketini arayıp modem hatları-na yönlendirme eklenmesi için talimat verebilir ya da kullanıcılar ana bil-gisayarı arattırdıklarında sahte bir İP numarası vermek için çeviri bilgi-lerinin değiştirilmesini internet Hizmet Sağlayıcısından isteyebilir.
Şirket Bilgi Güvenliği Kuralları Önerileri 263
4-13 Bölüm bağlantı sorumlusuKural: Şirketiniz, her bölümden ya da iş grubundan bir kişiye
bağlantı kurulacak kişi sorumluluğunu verdiği bir program tesis edebilir.Böylece herhangi bir çalışan, o bölümden olduğunu iddia eden bilin-meyen kişilerin gerçekliğini kolaylıkla doğrulayabilir. Örneğin, yardımmasası destek isteyen bir çalışanın kimliğini onaylatmak için ilgilibölümün bağlantı kişisini arayabilir.
Açıklamalar/Notlar: Kimliğin bu yöntemle tespiti, bu tarz çalışanlarparolaları yenilemek ya da bilgisayar hesabıyla ilişkili konularda destekalmak istediğinde kendi bölümünden diğer çalışanlara kefil olacakçalışan sayısını da azaltır.
Toplum mühendisliği saldırılarının başarılı olmalarının bir nedeni deteknik destek çalışanlarının yeterli zamanlarının olmaması ve isteksahibinin kimlik tespitini doğru bir yöntemle yapmamalarıdır. Bağlantıkişisinin kefil olması, teknik destek ekibinin onay amacıyla şahsengörüşmeleri gereken kişi sayısını azaltır.
4-14 Müşteri parolalarıKural: Müşteri hizmet temsilcilerinin müşteri hesap parolalarını
alma yetkilen olmayacaktır.
Açıklamalar/Notlar: Toplum mühendisleri sık sık müşteri hizmetleri-ni arayıp parola ya da Sosyal Güvenlik Numarası gibi müşteri tanımla-ma bilgilerini elde etmeye çalışırlar. Bir toplum mühendisi bu bilgiyi kul-lanarak başka bir müşteri temsilcisini arayıp, müşteri gibi davranıp bilgielde etmeye ya da sahte siparişler vermeye çalışabilir.
Bu denemelerin başarıya ulaşmasını engellemek için müşteri hizmetyazılımı yalnızca arayanın verdiği tanımlama bilgilerinin girilebileceğişekilde tasarlanmalıdır ve temsilci, sistemden sadece parolanın doğruolup olmadığını söyleyen bir mesaj almalıdır.
4-15 Açıklık testleriKural: Güvenlik bilinçlendirme ve çalışan intibak eğitimleri sırasında
güvenlik açıklarını test etmek için şirketin toplum mühendisliği taktiklerikullanacağını bildirilmesi gerekmektedir.
Açıklamalar/Notlar: Toplum mühendisliği delme testleri öncedenbildirilmeden yapılırsa diğer çalışanların ya da testi yapan şirket eleman-larının kendilerine karşı aldatıcı taktikler kullanması nedeniyle şirketçalışanlarında öfke, utanma ya da başka duygusal sarsıntılar oluşabilir.
4-16 Şirket Gizli b i lg i ler in in gösterilmesi
Kural: Halka açıklanması düşünülmeyen şirket bilgileri herkesingörebileceği yerlere aşılmamalıdır.
264 Aldatma Sanatı
AçıkSamalar/Notiar: Gizli ürün ya da süreç bilgilerine ek olarak,dahilî telefon numaraları veya çalışan listeleri gibi listeler ya da herbölümün yöneticilerinin listesini içeren bina görev çizelgeleri gibi dahilîiletişim bilgilerinin de gözlerden uzak tutulmaları gerekmektedir.
4-17 Güvenlik bi l inçlendirme eğit imi
Kural: Şirketin tüm çalışanları, çalışan intibak eğitimleri sırasında birgüvenlik bilinçlendirme eğitimini de tamamlamalıdırlar. Dahası, herçalışan, on iki ayı geçmemek koşuluyla güvenlik eğitimlerini yürütenbölümün belirlediği düzenli aralıklarla güvenlik bilincini tazeleme eğitimlerialmalıdır.
Açıklamalar/Notlar: Pek çok kuruluş uç kullanıcı bilinçlendirmeeğitimini tamamen göz ardı eder. 2001 Küresel Bilgi GüvenliğiAraştırması'na göre, araştırmaya katılan kuruluşların yalnızca yüzde30'u kullanıcılara yönelik bilinçlendirme eğitimlerine para ayırmaktadır.Bilinçlendirme eğitimi toplum mühendisliği teknikleri kullanılarakbaşarıya ulaşabilen güvenlik ihlallerinin sayısını azaltmaya yönelikönemli bir gerekliliktir.
4-18 Bilgisayar erişimi için güvenl ik eğit imi dersleri
Kural: Çalışanlar herhangi bir şirkette, bilgisayar sistemine erişimhakkı elde etmeden önce bilgi güvenliği derslerini başarıyla ta'mam-lamış olmalıdırlar.
Açıklamalar/Notlar: Toplum mühendisleri sık sık yeni işe girenlerihedef alırlar ve onların gurup olarak şirketin güvenlik kurallarını, verisınıflandırma ve hassas bilgilerin kullanımına yönelik doğru süreçleribilme olasılıklarının düşük olduğunu bilirler.
Eğitim, çalışanların güvenlik kurallarıyla ilgili olarak sorular sor-malarına da olanak tanımalıdır. Eğitimin ardından hesap sahibiningüvenlik kurallarını anladığını ve kurallara uyacağını taahhüt eden birbelge imzalaması zorunlu olmalıdır.
4-19 Çalışan kartı renkl i baskılı olmalıdır
Kural: Kimlik kartları, kart sahibinin çalışan, taşeron, geçici satıcı,danışman, ziyaretçi ya da stajyer olduğunu gösterecek şekilde renk-lendirilmiş olmalıdır.
Açık!ama!ar/Notlar: Kart rengi, kişinin konumunu uzaktan anlamakiçin çok iyi bir yoldur. Diğer bir seçenek ise kart sahibinin konumunubelirtmek için iri harfler kullanılmasıdır, ancak renkli bir tasarım olmasıhataya mahal vermez ve görmesi daha kolaydır.
Binanın içine girebilmek için toplum mühendislerinin sıkça kullandık-ları bir yöntem ise kurye ya da tamirci kılığına girmektir. İçeri girebildik-ten sonra saldırgan başka bir çalışan olarak davranabilir ya da hiçbi'
Şirket Bilgi Güvenliği Kuralları Önerileri 265
şeyin farkında olmayan çalışanların işbirliğini elde etmek için unvanıylailgili yalan söyleyebilir. Örneğin, binaya telefon tamircisi olarak giren birkişi bir çalışan gibi davranamaz, çünkü kartının rengi onu ele verir.
Bilgi İşlem Teknolojileri KurallarıHerhangi bir şirketin bilgi işlem teknolojileri bölümü kuruluşun bilgi
varlıklarını korumada yardımcı olması için kurallara özel bir gereksinimduymaktadır. Bir kuruluştaki Bİ işlemlerinin özgün yapısını yansıta-bilmek amacıyla, Bİ kurallarını Genel, Yardım Masası, BilgisayarYönetimi ve Bilgisayar işlemleri olarak böldüm.
5-1 Bİ bölümü çalışan iletişim bilgiler:Kural: Bİ bölümü çalışanlarının telefon numaralan ve e-posta
adresleri, bilme gereği olmayan herhangi birine verilmemelidir.
Açıklamalar/Notlar: Bu kuralın amacı, iletişim bilgilerinin toplummühendisleri tarafından ele geçirilmesini engellemektir. Bİ için yanızcagenel bir iletişim numarası ya da e-posta adresi verilerek dışarıdan arayan-ların Bİ bölümü çalışanlarına doğrudan ulaşması engellenecektir. Siteyöneticisinin ve teknik hizmetlerin e-posta adresi yalnızca [email protected] gibi gene! adlardan oluşmalıdır. Verilen telefon numaralanbireysel çalışanlara değil, bölümün sesli mesaj kutusuna bağlanmalıdırlar.
Doğrudan iletişim bilgileri herkese açık olduğu zaman bir bilgisayarkırıcısının belirli Bİ çalışanlarına ulaşması ve bir saldırıda kullanılabile-cek bilgileri ya da Bİ çalışanı gibi davranmak amacıyla adlarını veiletişim bilgilerini vermeleri için onları kandırması kolaylaşacaktır.
5-2 Teknik destek talepleriKural: Tüm teknik destek talepleri bu tarz talepleri değerlendiren
gruba yönlendirilmelidir.
Açıklamalar/Motiar: Toplum mühendisleri, genel olarak teknik destekkonularıyla ilgilenmeyen ve bu tarz isteklere yanıt verebilmek için uygungüvenlik süreçlerinin farkında olmayan Bİ çalışanlarını aramayı deneye-bilirler. Buna göre Bİ çalışanları bu istekleri geri çevirmek ve arayanıdestek vermekle yükümlü gruba yönlendirmek üzere eğitilmelidirler.
Yardım Masası . . . . .
6-1 Uzaktan erişim süreçleriKural: Yardım masası çalışanları, haricî ağ erişim noktalan ya da
266 Aldatma Sanatı
bağlantı numaraları da aralarında olmak üzere uzaktan erişimle ilgili bil-gileri ve ayrıntıları açıklamamalıdırlar. Ancak, istek sahibi aşağıdakikoşullardan birine uyuyorsa durum değişebilir:
• Dahilî bilgi alabileceğine dair yetkili olduğunun onaylanmışolması. . , .•'.
• Haricî bir kullanıcı olarak şirket ağına bağlanmaya yetkili olduğu-nun onaylanmış olması. Kişi şahsen tanınmadığı sürece bubölümde anlatılan Onay ve Yetkilendirme Süreçlerine uygunolarak istek sahibinin kimlik tespiti kuşku bırakmayacak şekildeyapılmalıdır. :
Açıklamaiar/Notlar: Hem işleri bilgisayarla ilgili konularda kul-lanıcılara destek vermek olduğu, hem de arttırılmış sistem yetkileriolduğu için şirket yardım masası sık sık toplum mühendisinin başlıcahedefi olur. Tüm yardım masası çalışanları, şirket kaynaklarına yetkisizkişilerin ulaşmasına yol açabilecek yetkisiz bilgi aktarımlarınıengelleyen bir insan güvenlik duvarı olacak şekilde yetiştirilmelidirler.En basit kural, kimlik tespitinin sonucu olumlu çıkmadan hiçbir zamanuzaktan erişim süreçlerini kimseye açıklamamaktır.
6-2 Parolaları ilk duruma döndürmekKural: Bir kullanıcı hesabına ait parola yalnızca hesap sahibinin
isteği doğrultusunda yenilenebilir.
Açıklamalar/Notlar: Toplum mühendisleri tarafından en sıkoynanan oyun, başka birinin hesabının parolasını ilk duruma döndürt-mek ya da değiştirtmektir. Saldırgan, parolasını unutmuş ya da kaybet-miş bir çalışan gibi davranır. Bu tarz bir saldırının başarı şansını azalta-bilmek için, parolayı ilk durumuna döndürmeye yönelik bir talepgeldiğinde Bİ çalışanı herhangi bir işlem yapmadan önce talebi verençalışanı geri aramalıdır ve bu arama için çalışan telefon rehberindekinumarayı kullanmalıdır. Bu süreçle ilgili olarak Onay ve YetkilendirmeSüreçlerine bakınız.
6-3 Yetkilerin değişimiKural: Bir kullanıcının yetkilerini ya da erişim haklarını artırmaya
yönelik tüm talepler hesap sahibinin yöneticisi tarafından yazılı olarakonaylanmış olmalıdır. Ayrıca bu tarz taleplerin Onay ve YetkilendirmeSüreçlerine uygun olarak geçerlilikleri onaylanmalıdır.
Açıklamalar/Notlar: Bir bilgisayar kırıcısı standart bir kullanıcıhesabına girdikten sonra bir sonraki adım saldırganın tüm sistemüzerinde tam kontrol sağlaması için yetkilerini artırması olur.Yetkilendirme süreciyle ilgili bilgisi olan bir saldırgan e-postayla, fakslaya da telefonla, yetkili gibi görünen bir talepte bulunabilir. Örneğin,saldırgan teknik destek ya da yardım masasını arayıp girebildiği hesa-
Şirket Bilgi Güvenliği Kuralları Önerileri 267
ba ek erişim hakları alabilmek için bir teknisyeni ikna etmeye çalışabilir.
6-4 Yeni hesap yetkisi
Kural: Çalışanlar, taşeronlar ya da diğer yetkili kişilerin kullanımı içinaçılacak yeni hesap talepleri çalışanın yöneticisi tarafından imzalanmışyazılı bir belgeyle ya da dijital olarak imzalanmış elektronik postaylayapılmalıdır. Bu istekler şirket içi posta aracılığıyla teyit edilmelidir.
Açıklamalar/Notlar: Parolalar ve diğer bilgiler bilgisayar sistemle-rine girmek için faydalı olduklarından, bilgi hırsızlarının erişim sağlama-da kullandıkları en öncelikli hedeflerdir ve özel önlemler alınması şarttır.Bu kuralın amacı bilgisayar kırıcılarının yetkili personel gibi davran-masını ya da yeni hesap taleplerinin sahtesini oluşturmasını önlemekiçindir. Bu nedenle tüm bu tarz istekler Onay ve Yetkilendirme Süreçlerikullanılarak şüphe kalmayacak biçimde onaylanmalıdırlar.
6-5 Yeni parolaların teslimiKural: Yeni parolalar şirket gizli bilgileri olarak ele alınmalı ve şah-
sen, taahhütlü posta gibi imzalı teslimatla ya da güvenilir kargo şirket-leri gibi güvenli yöntemler kullanarak teslim edilmelidirler (bkz. gizli bil-gilerin dağıtımı ile ilgili kurallar).
Açıklamalar/Notlar: Şirket içi posta da kullanılabilir, ancak paro-laların, içeriğini göstermeyen güvenli zarflarda gönderilmesi gerekir.Önerilen bir yöntem de her bölümden bir bilgisayar iletişim sorumlusubelirlemektir. Bu kişi yeni hesap ayrıntılarının dağıtımından ve paro-lalarını kaybeden ya da unutan çalışanlara kefil olmaktan sorumludur.Bu durumda, destek personeli her zaman şahsen tanıdığı küçük birgurupla birlikte çalışıyor olacaktır.
6-6 Bir hesabın kapatı lması
Kural: Bir kullanıcı hesabını kapatmadan önce talebin yetkilibirinden geldiğinin doğrulanması gerekmektedir.
Açıklamalar/Notlar: Bu kuralın amacı, saldırganın bir hesabın ka-patılmasını isteyip sonra da kullanıcının bilgisayar sistemine erişe-memesi sorununu çözmeye çalışıyor numarası yapması engellemekiçindir. Toplum mühendisi kullanıcının sisteme girememesiyle ilgili önce-den bilgisi olan bir teknisyen gibi davranarak kurbanı aradığında, kur-ban, yapılan kontroller sırasında parolası istendiğinde çoğu zaman bubilgiyi verir.
6-7 Ağ bağlantı noktalar ının ve araçlarının devre dışıbırakılmasıKural: Hiçbir çalışan kim olduğunu bilmedikleri bir teknik destek çalışanı
için herhangi bir ağ aracını ya da bağlantı noktasını kapatmamalıdır.
268 Aldatma Sanatı
Açıklamalar/Notlar: Bu kuralın amacı, bir saldırganın bir ağ bağlan-tısının kapatılmasını isteyip sonra da ağa erişim sorununu çözmek içinçalışanı aramasını engellemektir. Yardımsever bir teknisyen kılığındakitoplum mühendisi, kullanıcının ağ sorununa ilişkin ön bilgisi varmış gibidavrandığında, kurban, yapılan kontroller sırasında parolası istendiğin-de çoğu zaman bu bilgiyi verir.
6-8 Telsiz erişimi süreçlerinin açıklanması
Kural: Hiçbir çalışan telsiz ağına bağlanmaya yetkili olmayan kimseleretelsiz ağı üzerinden şirket ağına bağlanma süreçlerini açıklamamahdır.
Açıklamalar/Notlar: Telsiz erişim bilgilerini açıklamadan öncekişinin harici kullanıcı olarak şirket ağına bağlanmaya yetkili olup olma-dığı her zaman önceden kontrol edilmelidir (bkz. Onay ve YetkilendirmeSüreçleri).
6-9 Kullanıcı giz l i l iğ i
Kural: Bilgisayarla ilgili sorun olduğunu bildiren çalışanların adlarıbilgi işlem bölümü dışından kimseye açıklanmamalıdır.
Açıklamalar/Notlar: Sıradan bir saldırıda toplum mühendisi yardımmasasını arar ve yakın zamanda bilgisayarlarında sorun olduğunubildiren çalışanların adlarını ister. Arayan çalışan, taşeron ya da telefonşirketi elemanı gibi davranabilir. Sorun olduğunu söyleyen kişilerinadlarını aldıktan sonra toplum mühendisi yardım masası ya da teknikdestek personeli gibi davranır ve çalışanı arayarak sorunu çözmek içinaradığını söyler. Arama sırasında saldırgan, kurbanı istediği bilgileri ver-mesi ya da saldırganı hedefine götürecek bir işlem yapması içinkandırır.
6-10 Komut g i r m e k ya da p r o g r a m çalıştırmak
Kural: Bi bölümünde ayrıcalıklı hesaplan olan çalışanlar, şahsentanımadıkları birinin isteği üzerine herhangi bir komut ya da progamçalıştırmamalıdırlar.
Açıklamalar/Notlar: Saldırganların bir Truva Atı ya da başka birkötü huylu yazılım yüklemek için sıkça kullandıkları bir yöntem de varolan bir programın adını değiştirmek ve sonra da yardım masasını ara-yarak programı çalıştırmaya uğraşırken hata mesajı verdiğini söylemek-tir. Saldırgan, yardım masası teknisyenini programı çalıştırmaya iknaeder. Teknisyen programı çalıştırdığında kötü huylu yazılım çalıştırankullanıcının yetkilerini görür ve saldırgana aynı yetkilen verdiği bir işlemgerçekleştirir. Bu, saldırganın şirket sistemini ele geçirmesini sağlar.
Bu kural destek personelinin bir isteğe bağlı olarak herhangi bir prog-ramı çalıştırmadan önce çalışan konumunun doğrulanmasını zorunlututarak yukarıda bahsedilen taktiğe karşı bir önlem getirmektedir.
Şirket Bilgi Güvenliği Kuralları Önerileri 269
7-1 Genel erişim haklarının değiştirilmesiKural: Bir elektronik iş profiliyle ilgili genei erişim haklarını
değiştirme talebi şirket ağında erişim haklarını yöneten gurup tarafındanonaylanmalıdır.
Açıklamalar/Notlar: Yetkililer her değişim talebinin bilgi güvenliğiiçin bir tehdit unsuru oluşturup oluşturmadığını değerlendireceklerdir.Eğer oluşturuyorsa, sorumlu kişi istek sahibini gerekli konularda uyara-cak ve yapılacak değişiklikler konusunda ortak bir karara varacaklardır.
7-2 Uzaktan erişim talepleri
Kural: Uzaktan bilgisayar erişimi yalnızca şirket dışı noktalardan bil-gisayar sistemlerine girme gerekliliği olduğunu gösteren çalışanlara ver-ilecektir.
Açıklamalar/Notlar: Yetkili personel tarafından şirket ağına dışarı-dan bağlanma ihtiyacına göre bu tarz erişimin yalnızca gerek duyanlaraverilecek şekilde sınırlandırılması uzaktan erişimli kullanıcıların yöneti-mini ve oluşan riski büyük ölçüde azaltacaktır. Dışarıdan bağlanmayetkileri olan kişilerin sayısı ne kadar az olursa saldırganın hedefseçenekleri de o kadar az olacaktır. Saldırganın şirket ağına girmek içinbağlantılarını çalmak ya da onların kimliğine bürünmek niyetiyle uzakkullanıcıları hedefleyebileceğin'! hiçbir zaman unutmayınız.
7-3 Ayrıcalıklı hesap parolalarının ilk duruma getirilmesiKural: Yetkili bir hesaba ait parolanın ilk durumuna getirilmesi talebi,
hesabın bulunduğu bilgisayardan sorumlu sistem yöneticisi tarafındanonaylanmalıdır. Yeni parola, şirket içi postayla gönderilmeli ya da şah-sen iletilmelidir.
Açıklamalar/Notlar: Ayrıcalıklı hesapların tüm sistem kaynaklarınave bilgisayar sistemindeki dosyalara erişimi vardır. Doğal olarak buhesaplarda mümkün olan en güçlü koruma kullanılmalıdır.
7-4 Dışarıdan gelen destek personelinin uzaktan erişimiKural: Hiçbir dışarıdan destek personeline (yazılım ya da donanım
satan firmadan gelen personel gibi) ilgili hizmetleri vermeye yetkili olupolmadıkları kontrol edilmeden ve kimlik tespiti yapılmadan şirket bilgisa-yar sistemlerine ya da ilgili araçlara uzaktan erişme hakkı ya da bilgisiverilmemelidir. Eğer destek hizmeti vermek üzere satıcı firma yetkilierişim talep ediyorsa, verilen hizmet sona erdiğinde satıcı firmanın kul-landığı hesabın parolası zaman kaybetmeden değiştirilmelidir.
Açıklamalar/Notlar: Bilgisayar kırıcıları şirket bilgisayar ya datelekomünikasyon ağına girebilmek için satıcıymış gibi davranabilirler.
270 Aldatma Sanatı
Bu nedenle sistemde herhangi bir iş gerçekleştirme yetkilerinin yanısırasatıcının kimliğinin de onaylanması önemlidir. Ayrıca iş bittiğindesatıcının kullandığı hesap parolası değiştirilerek sistem kapıları kapatıl-malıdır.
Hiçbir satıcı firmanın geçici olarak bile herhangi bir hesap için kendiistediği parolayı kullanmasına izin verilmemelidir. Bazı satıcıların farklıbilgisayar sistemlerinde aynı ya da benzer parolaları kullandıkları bilin-mektedir. Örneğin, bir ağ güvenlik şirketi tüm müşteri bilgisayar sistem-lerindeki hesaplarına aynı parola ile erişmektedir ve üstüne üstlükdışarıya Telnet erişimine de izin verilmiştir.
7-5 Şirket sistemlerine uzaktan erişim için güçlü tanımlamaKural: Şirket ağına uzaktan erişim için kullanılan tüm bağlantı nok-
taları değişken parolalar ya da biyometrikler gibi güçlü tanımlamaaraçlarıyla korunmalıdırlar.
Açiklamaiar/Notlar: Pek çok işletme, uzak kullanıcıları tanımla-manın tek yolu olarak sabit parolalara güvenirler. Bu uygulama sakın-calıdır çünkü güvensizdir. Bilgisayar kırıcıları kurbanın ağında olası enzayıf bağlantıyı oluşturabilecek uzaktan erişim noktasını hedeflerler.Başka birinin parolanızı öğrenip öğrenmediğini hiçbir zaman bile-mezsiniz.
Bu nedenle uzaktan erişim noktaları, zaman tabanlı anahtarlar, akıl-lı kartlar ya da biyometrik araçlar gibi güçlü tanımlama araçlarıyla korun-malıdır, böylece araya girerek alınmış parolaların saldırgan için hiçbirdeğeri olmaz.
Değişken parolalara dayalı tanımlamalar kullanışsız olduklarından,bilgisayar kullanıcıları, tahmin edilmesi zor parola seçme kuralına sada-katle uymalıdırlar.
7-6 İşletim sistemi ayarlar!
Kural: Sistem yöneticileri mümkün olan her noktada işletim sistem-lerinin tüm geçerli güvenlik kural ve süreçleriyle tutarlı bir şekildeayarlanmış olduğundan emin olmalıdırlar.
Açıklamalar/Notlar: Güvenlik kurallarını hazırlamak ve dağıtmaktehlikeyi azaltmaya yönelik önemli bir adımdır ama çoğu durumda uyupuymamak ister istemez bireysel çalışana kalmıştır. Ancak bilgisayarlailgili birçok kural, parolaların sahip olması gereken uzunluk gibi, işletirrsistemi ayarları sayesinde zorunlu duruma getirilebilir. Güvenlik kura-larını işletim sistemi özelliklerini ayarlayarak otomatikleştirmek, kararla"etkili bir şekilde insan unsurunun elinden alıp kuruluşun genel güvenliğ -ni artırmaktadır.
Şirket Bilgi Güvenliği Kuralları Önerileri 271
7-7 Zorunlu süre aşımıKural: Tüm bilgisayar hesapları bir yıl içerisinde kapanmaya
ayarlanmalıdır.
Açıklamalar/Notlar: Bu kuralın amacı, bilgisayar kırıcıları sık sık,kullanılmayan hesapları hedefledikleri için, artık kullanılmayan bilgisa-yar hesaplarını ortadan kaldırmaktır. Bu süreç eski çalışanlara ya dataşeronlara ait ve kazara olduğu gibi bırakılmış herhangi bir bilgisayarhesabının otomatik olarak kaldırılacağını garantiler. .
Yönetimin takdirine bağlı olarak yenileme zamanında çalışanlarıngüvenlik tazeleme eğitimi almaları ya da bilgi güvenlik kurallarını göz-den geçirip bunlara uyacaklarına dair bir taahhütname imzalamalarızorunlu tutulabilir.
7-8 Genel e-posta adresleri
Kural: Bİ bölümü dışarıyla sürekli iletişimi olan her bölüm için genelbir e-posta adresi oluşturacaktır.
Açık!amalar/Notlar: Genel e-posta adresi santral memurlarıtarafından ya da şirketin internet sitesi aracılığıyla dışarıya verilebilir.Böylece her çalışan kendi şahsî e-posta adresini yalnızca bilmesigereken kişilere verecektir.
Bir toplum mühendisliği saldırısının ilk aşamasında saldırgan genel-likle çalışanların telefon numaralarını, adlarını ve unvanlarını öğren-meye çalışır. Çoğu zaman bu bilgi şirket internet sitesinde bulunabilir yada istendiğinde herkese verilebilir. Genel sesli mesaj kutularınınve/veya e-posta adreslerinin yaratılması çalışan adlarının belirli bölüm-ler ya da sorumluluklarla bağdaştırılmasını zorlaştırmaktadır.
7-9 Alan tescilleri için iletişim bilgileriKural: internet adres alanları ya da alan adları almak için kayıt
olurken sağlanan iletişim bilgileri idarî, teknik ya da diğer çalışanlarınbireysel olarak adlarını vermemelidir. Onun yerine oraya genel bire-posta adresi ve ana şirket telefon numarası girilmelidir.
Açîklamalar/Notlar: Bu kuralın amacı iletişim bilgilerinin bilgisayarkırıcısı tarafından kötüye kullanılmasını önlemektir. Bireylerin adları vetelefon numaraları verildiğinde bir saldırgan bu bilgileri kullanarak kişi-lerle bağlantı kurabilir ve onları sistem bilgileri vermeleri ya da saldır-ganın amacına uyan bir işlem yapmaları doğrultusunda kandırabilir.Toplum mühendisi diğer şirket çalışanlarını kandırabilmek için adıgeçen çalışanlardan biri gibi davranabilir.
Belirli bir çalışanın e-posta adresi yerine, iletişim bilgisi [email protected] şeklinde olmalıdır. Telekomünikasyon bölümüçalışanları, idarî ve teknik iletişim için genel bir sesli mesaj kutusu oluş-
272 Aldatma Sanatı -
turarak bir toplum mühendisliği saldırısında işe yarayabilecek bilgileringizliliğini korumuş olurlar.
7-10 Güveni ik ve işletim sistemi güncel lemelerinin yük-lenmesi
Kural: işletim sistemi ve uygulama yazılımlarına yönelik tüm güven-lik yamalan, çıktıkları zaman en kısa sürede yüklenmelidirler. Eğer bukural görev-kritik üretim sistemlerinin işleyişiyle çatışıyorsa bu tarz gün-cellemeler uygun oldukları zaman yapılmalıdırlar.
Açıklamaîar/Motlar: Bir açık görüldüğünde bir yamanın ya da geçi-ci bir çözümün var olup olmadığını öğrenmek için yazılım üreticisizaman kaybetmeden aranmalıdır. Yamalanmamış bir bilgisayar sistemikuruma en büyük güvenlik tehditlerinden birini oluşturur. Sistem yöneti-cileri gerekli çözümleri uygulamayı geciktirirlerse pencere o kadar açılırki saldırgan tırmanıp içeri girebilir.
Bulunan düzinelerce güvenlik açığı haftalık olarak internette yayın-lanmaktadır. Bilgi işlem çalışanları mümkün olan en kısa sürede güven-lik yamalarını ve çözümlerini yükleme çabalan konusunda uyanıkdavranana kadar, şirket ağı hep bir güvenlik ihlali yaşama tehlikesiylekarşı karşıya kalacaktır. İşletmede kullanılan uygulama programlan veişletim sisteminin zayıflıklarıyla ilgili yapılan açıklamalardan haberdarolmak oldukça önemlidir.
7-11 İnternet sayfalarındaki iletişim bi lgi ler i
Kura!: Şirketin haricî internet sayfası, şirket yapısı ile ilgili hiçbir bilgivermemeli ya da çalışanları isim isim göstermemelidir.
Açıklamalar/Notlar: Kuruluş şemaları, hiyerarşi şemaları, çalışanya da bölüm listeleri, raporlama yapısı, adlar, unvanlar, dahili telefonnumaraları, çalışan numaralan ya da şirket yapısına yönelik benzeri bil-giler internet sayfalarında genel erişime açık olmamalıdırlar.
Bilgisayar kırıcıları, yararlı bilgileri sık sık hedefin internet sayfasındanbulurlar. Saldırgan, çevirdiği bir dolapta konuya hakim bir çalışan gibi görün-mek için bu bilgiyi kullanır. Elinde bu bilgi varken toplum mühendisinininandırıcı olma olasılığı daha fazladır. Dahası, saldırgan, bu bilgiyi inceleyerekdeğerli, hassas ya da önemli bilgilere erişimi olabilecek hedefleri bulabilir.
7-12 Ayrıcalıklı hesapların oluşturulması
Kural: Sistem yöneticisi tarafından onaylanmadığı sürece hiçbirayrıcalıklı hesap açılmamalı ya da herhangi bir hesabın sistem yetkileriartırılmamahdır.
Açıklamalar/Notlar. Bilgisayar kırıcıları sık sık donanım ya dayazılım satıcısı firma yetkilisi gibi davranarak teknik personeli onaylan-
Şirket Bilgi Güvenliği Kuralları Önerileri 273
mamış hesaplar açmaları doğrultusunda kandırmaya çalışabilirler. Bukuralın amacı, ayrıcalıklı hesapların oluşurulması üzerine daha büyükbir denetim getirerek bu saldırıları engellemektir. Yüksek yetkilerledonatılmış bir hesap açma talebini sistem yöneticisi onaylamışolmalıdır.
7-13 Misafir hesapları
Kural: Herhangi bir bilgisayar sisteminde ya da ilgili ağ araçlarındabulunan misafir hesapları, yönetimin onayladığı adsız erişimli FTP(dosya aktarım protokolü) sunucusu hariç, devre dışı bırakılmalı ya dakaldırılmalıdır.
Açıklamalar/Notlar: Misafir hesabın amacı kendilerine ait bir hesapaçılmasına gerek olmayan kişilere geçici erişim sağlamaktır. Pek çokişletim sistemi misafir hesaplar açılmış olarak gelir. Misafir hesaplar herzaman devre dışı bırakılmalıdır, çünkü varlıkları kullanıcı sorumluluğuilkesine aykırıdır. Bİ tüm bilgisayarlardaki faaliyeti denetleyebilmen veonları belirli bir kullanıcıyla bağdaştırabilmelidir.
Toplum mühendisleri ya doğrudan kullanıp ya da yetkili personeli birmisafir hesabı kullanmaya ikna edip yetkisiz erişim sağlamak için misa-fir hesaplarından kolaylıkla yararlanırlar.
7-14 Şirket dışında tutulan yedeklerin şiîrelenmesiKural: Şirket dışında tutulan herhangi bir veri yetkisiz erişimi
engellemek için şifrelenmelidir.
Açıklamalar/Kurallar: Herhangi bir bilginin yeniden yerine koyul-ması gerektiği durumlarda sorumlular tüm bilgilerin geri getirilebile-ceğinden emin olmalıdırlar. Bu da, verilerin geri getirilebileceğindenemin olmak için düzenli olarak şifreli dosyalardan rastgele bir örneklemedeneme deşifrelemesi yapılmasını gerektirir. Ayrıca verileri şifrelemekiçin kullanılan anahtar kaybolma ya da bulunamama olasılığına karşıgüvenilir bir yöneticiye emanet edilmelidir.
7-15 Âğ bağlantılarına ziyaretçi erişimiKural: Herkese açık tüm ethemet erişim noktalan dahili ağa yetkisiz
ulaşımı engellemek için parçalı ağda (segmented network) bulundurul-malıdır.
Açıklamalar/Notlar: Bu kuralın amacı, dışarıdan kişilerin şirketalanına girdiklerinde dahilî ağa bağlanmalarını önlemektir. Konferanssalonlarına, kafeteryaya, eğitim merkezlerine ya da ziyaretçilerin erişimiolabilecek başka yerlere yerleştirilen ethernet girişleri ziyaretçilerin şirketbilgisayar sistemlerine yetkisiz erişimini engellemek için filtreienmelidir.
Ağ ya da güvenlik sorumlusu, bu noktalardan erişimi engelleye-bilmek için, eğer varsa, sanal bir LAN anahtarı oluşturmayı seçebilir.
274 Aldatma Sanatı
7-16 Bağlantı modemleri
Kural: Aramalara açık bağlantı modemleri dördüncü çalıştan önceaçılmayacak şekilde ayarlanmalıdırlar.
Açıklamalar/Notlar: Savaş Oyunları (War Games) adlı filmde deanlatıldığı gibi korsanlar modem bağlı telefon hatlarını bulmak içinsavaş araması olarak bilinen bir teknik kullanırlar. Süreç, saldırganın şir-ketin bulunduğu bölgede kullanılan alan prefikslerini tanımlaması ilebaşlar. Bu prefiksle başlayan her numara, modem bağlı hatları bulmakiçin bir tarama programının da yardımıyla taranır. Süreci hızlandırmakiçin bu programlar bir sonraki numarayı denemeden önce modemyanıtını bir ya da iki çalış süresi kadar beklemek üzere ayarlanmışlardır.Bir şirket modem hattının otomatik yanıt seçeneğini en az dört çalışolarak ayarlarsa tarama programları modemli hatları bulamayacaklardır.
7-17 Virüs koruma yazılımlarıKural: Her bilgisayar sistemine virüs koruma yazılımlarının son
sürümleri yüklenmeli ve çalıştırılmalıdır.
Açıklamalar/Notlar: Virüs koruma yazılımlarını ve şablondosyalarını (yeni virüsleri bulmak için virüs yazılımlarına özgü şablonlarıtanıyan programlar) kullanıcı bilgisayarlarına kadar otomatik olarak indi-rememiş şirketlerde bireysel kullanıcılar, yazılımı, şirket ağına uzaktanerişmek için kullanılan bilgisayar sistemlerindekiler de dahil, kendi sis-temlerine yükleme ve sürekli güncelleme sorumluluğunu almalıdırlar.
Eğer uygunsa bu yazılım virüs ve Truva Atı imzaları için her geceotomatik olarak güncellenecek şekilde ayarlanmalıdır. Şablon ya daimza dosyalan kullanıcı bilgisayarlarına kadar indirilmezse, kullanıcılaren azından haftada bir şablon dosyalarını güncelleme sorumluluğunutaşıyacaklardır.
Bu uygulamalar şirket bilgisayar sistemlerine bağlanan tümmasaüstü ve dizüstü makinalar için geçerlidir ve bilgisayarın şirkete aitya da şahsa ait olup olmadığına göre de değişmez.
7-18 Gelen e-posta ekleri (yüksek güvenl ik gereksinimi)
Kural: Yüksek güvenlik ihtiyaçları olan bir kuruluşta şirket güvenlikduvarı tüm e-posta eklerini eleyecek şekilde ayarlanmalıdır.
Açıklamalar/Notlar: Bu kural yalnızca yüksek güvenlik gereksinim-leri olan ya da e-posta ekinde dosya almaya ihtiyacı olmayan işletme-ler için geçerlidir.
7-19 Yazılım onayıKural: Tüm yeni yazılımlar, yazılım çözümleri ya da güncellemeleri,
ister fiziksel ortamda olsun, ister internet üzerinden elde edilmiş olsun
J Şirket Bilgi Güvenliği Kuralları Önerileri 275%
f yüklenmeden önce güvenilirlikleri doğrulanmalıdır. Bu kural, özellikleI sistem yetkilen gerektiren yazılımlar yüklenirken bilgi işlem bölümünüj|s ilgilendirir.t>-
Açıklamalar/Notlar: Bu kuralda sözü edilen bilgisayar yazılımlarıişletim sistemi parçalarını, uygulamaları, yazılım çözümlerini, yamalarıya da herhangi bir yazılım güncellemesini içerir. Pek çok yazılım üreti-cisi, müşterinin dağıtımın içeriğini genellikle bir dijital imza kullanarakkontrol edebileceği yöntemler yerleştirmişlerdir, içeriğin onaylanmadığıher durumda, yazılımın güvenilirliğini doğrulamak için üreticiye başvu-rulmalıdır.
Bilgisayar saldırganlarının yazılım üreticisinde yapılmış ve şirketepostalanmış gibi görünen bir paketle kurbana yazılım gönderdiği de bi-linmektedir. Aldığınız her yazılımın, özellikle de talep etmediğiniz biryazılımsa, şirket sistemine yüklemeden önce güvenilirliğini doğrula-manız önemlidir.
Becerikli bir saldırganın kurumunuzun bir üreticiden yazılım siparişettiğini öğrenebileceğini unutmayın. Elinde bu bilgi varken saldırgan,gerçek üreticiye verilen siparişi iptal edebilir ve siparişi kendi yerinegetirebilir. O zaman yazılım, kötü huylu bir işlev gerçekleştirmek üzeredeğiştirilmiş olur ve şirketinize asıl paketinde, gerekirse vakumlanmışolarak gönderilir. Ürün yüklendikten sonra kontrol artık saldırganın elinegeçer.
7-20 Varsayılan parolalarKura!: Varsayılan bir parolaya sahip olan tüm işletim sistemi
yazılımlarının ve donanımlarının şirket parola kuralları doğrultusundaparolaları değiştirilmelidir.
Açıklamalar/Notiar: Pek çok işletim sistemi ve bilgisayarla ilgilidonanımlar varsayılan parolalarla gönderilirler; diğer bir deyişle satılanher parça aynı parolaya sahiptir. Varsayılan parolaların değiştirilmesikonusunu ihmal etmek, şirketi tehlikeye sokan ciddi bir hatadır.
Varsayılan parolalar herkesçe bilinirler ve internet sayfalarındabulunurlar. Bir saldırı sırasında saldırganın denediği ilk parola, üreticininkoyduğu varsayılan paroladır.
7-21 Başarısız erişim denemeleri sonucu kilitlenme(düşük-orta düzey güvenlik)
Kural: Özellikle düşük ve orta düzey güvenlik gereksinimleri olan birkurumda aynı hesaba birbiri ardına belirli bir sayıda girme girişimi olur-sa hesap bir süreliğine kilitlenmelidir.
Açıklamalar/Notlar: Tüm şirket bilgisayarları ve sunucularına birbiriardına yapılan başarısız girme denemelerine bir sınır getirilmelidir. Bu
276 Aldatma Sanatı -
kural deneme yanılmayla parola tahmini, sözlük saldırısı ya da kabakuvvetle yetkisiz erişim sağlama yöntemlerini engellemek için gereklidir.
Sistem yöneticisi güvenlik ayarlarını, peşpeşe başarısız bağlanmagirişimi eşiğine gelindiğinde hesabı kilitleyecek şekilde yapmalıdır. Yedibaşarısız denemeden sonra bir hesabın en az otuz dakika boyunca kilit-lenmesi önerilir.
7-22 Başarısız erişim gir iş imler i sonucu hesabınkapatılması (yüksek güvenlik)Kural: Yüksek güvenlik gereksinimleri olan bir kurumda aynı hesa-
ba birbiri ardına belirli bir sayıda başarısız girme girişimi olursa hesap,desteği veren grup tarafından düzeltilene kadar kapatılmalıdır.
AçtkSamalar/Notlar: Tüm şirket bilgisayarları ve sunucularına birbiriardına yapılan başarısız girme denemelerine bir sınır getirilmelidir. Bukural deneme yanılmayla parola tahmini, sözlük saldırısı ya da kabakuvvetle yetkisiz erişim sağlama yöntemlerini engellemek için gereklidir.
Sistem yöneticisi, güvenlik ayarlarını, beş başarısız bağlanma girişi-minden sonra hesabı kapayacak şekilde yapmalıdır. Böyle bir saldırınınardından hesap sahibinin hesabı açtırmak için teknik destek birimini yada hesap desteğinden sorumlu grubu araması gerekir. Hesabı yenidendevreye sokmadan önce ilgili birimin Onay ve Yetkilendirme Süreçlerine •uygun olarak hesap sahibi için kesinlikle bir kimlik tespiti yapması şarttır.
7-23 Ayrıcalıklı hesapların parola lar ın ın düzenl i o l a r a kdeğişt ir i lmesi
Kural: Tüm ayrıcalıklı hesap sahiplerinin en çok otuz günde birparolalarını değiştirmeleri zorunluluğu getirilecektir.
Açıklamalar/Notlar: İşletim sistemi sınırlamalarına bağlı olarak, sis-tem yöneticisi sistem yazılımının güvenlik özelliklerini ayarlayarak kul-lanıcıları bu kurala uymaya zorlayabilir.
7-24 Kullanıcı parola lar ın ın düzenl i o l a r a k değiş imi
Kurai: Tüm hesap sahipleri en çok altmış günde bir parolalarınıdeğiştirmelidirler.
Açıklamalar/Notlar: Bu özelliğe sahip işletim sistemleri kullanarak,sistem yöneticisi, yazılımın güvenlik özelliklerinin ayarlanmasıyla kul-lanıcıları bu kurala uymaya zorlayabilir.
7-25 Yeni hesap parolası o luşturmak
Kural: Yeni bilgisayar hesapları, süresi dolmuş bir parolayla oluştu-rulmalı, böylece hesap sahibine ilk kullanım için yeni bir parola belirlemezorunluluğu getirilmelidir. ,
Şirket Bilgi Güvenliği Kuralları Önerileri 277
Açıklamalar/Notlar: Bu zorunluluk kendi parolasını hesapsahibinden başka kimsenin bilmemesini sağlar.
7-26 Açılış parolalar ı
Kural: Tüm bilgisayar sistemleri açılışta parola isteyecek şekildeayarlanmalıdırlar.
Açiklama!ar/Notlar: Bilgisayarlar açıldıkları zaman işletim sistemiyüklenmeden önce parola soracak şekilde ayarlanmalıdırlar. Bu, yetki-siz kimselerin başka birinin bilgisayarını açıp kullanmasını engeller. Bukural şirket içindeki tüm bilgisayarlar için geçerlidir.
7-27 Ayrıcalıklı hesaplar için parola zorunluluklar ı
Kural: Tüm ayrıcalıklı hesapların güçlü parolaları olmalıdır. Parolaaşağıdaki özelliklere uymalıdır.
• Herhangi bir dildeki sözlüklerde bulunmamalıdır.
• Büyük ve küçük harflerden oluşmalı ve en az bir harf, bir simgeve bir sayı içermelidir.
» En az 12 karakter uzunluğunda olmalıdır. . "
• Şirkete ya da bireye herhangi bir nedenle verilmemelidir.
Açıklamalar/Notlar: Çoğu durumda bilgisayar kırıcıları sistem yet-kileri elde etmek için belirli hesapları hedeflerler. Zaman zaman saldır-gan, sistem üzerinde tam kontrol sağlamak için başka açıkları dasömürür.
Saldırganın deneyeceği ilk parolalar basit, sözlükte bulunan sık kul-lanılan kelimeler olacaktır. Güçlü parolaların seçilmesi, bir saldırganındeneme yanılma, sözlük saldırısı ya da kaba kuvvet saldırısı kullanarakparolayı bulma olasılığını azaltır ve güvenliği artırır.
7-28 Telsiz erişim noktaları
Kural: Bir telsiz ağına erişimi olan tüm kullanıcılar şirket ağlarınıkorumak için VPN (virtual private netvvork - sanal özel ağ) teknolojisikullanmalıdırlar.
Açıklamalar/Notlar: Telsiz ağlara, savaş sürüşü adı verilen yeni biryöntemle saldırılıyor. Bu yöntem 802.11B NIC kartıyla donanmış birdizüstü bilgisayarla telsiz ağı bulana kadar yürümek ya da arabayladolaşmaktan ibaret.
Pek çok şirket telsiz bağlantısını şifreleyerek güvence altına alanVVEP'i (vvireless equivalency protokol - telsiz denklik protokolü) biledevreye sokmadan telsiz ağlarını kullanmaya başladılar. Açık olduğuzaman bile VVEP'in geçerli sürümü (2002'nin ortalarında) yetersizdir.
278 Aldatma Sanatı
Kırılıp ardına kadar açılmıştır ve pek çok internet sitesi açık telsiz sis-temlerini bulmak için yöntemler üretmeye ve WEP özelliği açık telsizerişim noktalarını kırmaya adanmıştır.
Bu yüzden, VPN teknolojisi kullanarak 802.11 B protokolüne ek birkoruma sağlanması önemlidir.
7-29 Virüs şablon dosyalarının güncellenmesiKural: Her bilgisayar sistemi virüs koruma yazılımları için
virüs/Truva Atı şablon dosyalarını otomatik olarak güncellemek üzereprogramlanmalıdır. . . . •
Açsklamalar/Notlar: Bu tarz güncellemeler en azından haftada biryapılmalıdır. Çalışanların, bilgisayarlarını açık bıraktıkları işletmelerdeşablon dosyalarının her gece güncellenmesi şiddetle önerilir.
Virüs koruma yazılımları yeni tür kötü huylu yazılımları görecek şe-kilde güncellenmezse etkisiz kalır. Desen dosyaları güncellenmediğindevirüs, solucan ve Truva Atı tehlikesi büyük ölçüde arttığı için virüs ya dakötü huylu yazılım koruma ürünlerinin güncel tutulması önemlidir.
Bilgisayar İşlemleri • "
8-1 Komut girmek ve program çalıştırmakKural: Bilgisayar işlemlerinden sorumlu personel, tanımadıkları
birinden gelen talep üzerine komut girmemeli ve program çalıştırma-malıdır. Onaylanmamış bir kişinin istekte bulunmak için geçerli birnedeni varmış gibi görünen durumlar ortaya çıkarsa öncelikleyöneticinin onayı alınmadan bu istek yerine getirilmemelidir.
Açıklamalar/Notlar: Bilgisayar işlemleri çalışanları, konumlarıgereği çoğunlukla ayrıcalıklı hesap erişimleri olduğu için toplummühendislerinin çok kullandığı hedefler arasındadırlar ve saldırganonların diğer Bi çalışanlarına göre şirket süreçleriyle ilgili olarak daha azbilgili ve daha az deneyimli olduklarını düşünür. Bu kuralın amacı,toplum mühendislerinin bilgisayar işlemleri çalışanlarını kandırmalarınıönlemek amacıyla uygun bir kontrol ve denge unsuru oluşturmaktır.
8-2 Ayrıcalıklı hesabi o lan çalışanlar
Kural: Ayrıcalıklı hesaplan olan çalışanlar onaylanmamış kişileredestek ve bilgi vermemelidirler. Özellikle de bilgisayar yardımı (bir uygu-lamanın kullanımı konusunda eğitim gibi), herhangi bir şirket veritabanı-na erişim, yazılım indirme ya da uzaktan erişim yeteneğine sahipçalışanların adlarının açıklanması gibi durumlar söz konusu olduğundabu geçerlidir.
Açıklamalar/Notlar: Toplum mühendisleri çoğunlukla ayrıcalıklı
Şirket Bilgi Güvenliği Kuralları Önerileri 279
hesaplan olan çalışanları hedeflerler. Bu kuralın amacı ayrıcalıklıhesaplara sahip Bİ çalışanlarını toplum mühendisliği saldırısı olabilecektelefonları başarıyla ele almaları konusunda yönlendirmektir.
8-3 Dahil î sistem bi lg i ler i
Kural: Bilgisayar işlemleri personeli, istek sahibine kimlik tespitiyapmadan, şirket bilgisayar sistemleri ya da ilgili donanımlarla ilgilideğerli bilgileri kesinlikle açıklamamalıdır.
Açıklamalar/Notlar: Bilgisayar kırıcıları sistem erişim süreçleri, ha-ricî uzaktan erişim noktaları ve telefon bağlantı numaraları gibi, saldır-gan için önemli olabilecek değerli bilgileri elde edebilmek için sık sık bil-gisayar işlemleri personeliyle iletişim kurarlar.
Teknik destek personeli ya da yardım masası olan şirketlerde, bil-gisayar sistemleri ya da ilgili donanıma yönelik soruların bilgisayarişlemleri personeline gelmesi olağandışı bir durum olarak görülmelidir.Herhangi bir veri talebi, şirket veri sınıflandırma kuralları çerçevesindeistek sahibinin bu bilgiyi istemeye yetkili olup olmadığını belirlemeküzere incelenmelidir. Veri sınıfına karar verilemediğinde bilgi dahilîolarak değerlendirilmelidir.
Bazı durumlarda satıcı firmadan gelen teknik destek sorumlularının,şirketin bilgisayar sistemine erişimi olan kişilerle iletişim kurmalarıgerekir. Bu tarz firmaların, şirketlerin Bİ bölümlerinde iletişim kurduklarıbelirli kişiler olması gerekir, böylece bu kişiler karşılıklı onay açısındanbirbirlerini tanıyor olurlar.
8-4 Parolaların açıklanması
Kural: Bilgisayar işlemleri personeli hiçbir zaman kendilerine aitolan ya da onlara emanet edilmiş parolaları bir bilgi işlem yöneticisininonayı olmadan açıklamamalıdırlar.
Açıklamalar/Notlar: Genel olarak başka birine parola söylemekyasaktır. Kural, acil bir durumda bilgisayar işlemleri personelinin üçüncüşahıslara bir parolayı verebileceği durumunu göz önünde bulundurur.Herhangi bir parolanın açıklanmasını yasaklayan genel kurala gelen buistisna, bir bilgi işlem yöneticisinin özel iznini gerektirir. Daha fazla önlemalmak adına, tanımlama bilgilerini açıklama sorumluluğunun, onay süreç-leriyle ilgili özel eğitim almış bir grup kişiyle sınırlandırılması da şarttır.
8-5 Elektronik or tam
Kural: Dışarı verilmek üzere sınıflandırılmamış bilgiler içeren tümelektronik ortamlar fiziksel olarak güvenli bir yere kilitlenmelidirler.
Açıklamalar/Notlar: Bu kuralın amacı elektronik ortamlarda saklan-mış hassas bilgilerin fiziksel olarak çalınmasını önlemektir.
280 Aldatma Sanatı
8-7 Yedekleme ortamlarıKural: Bilgisayar işlemleri personeli yedekleme ortamlarını şirket
kasasında ya da başka bir güvenli yerde saklamalıdır.
Açıklamalar/Notlar: Yedekleme ortamları bilgisayar kırıcılarınınbaşlıca hedeflerindendir. Zincirin zayıf halkası fiziksel olarak korun-mayan yedekleme ortamları olabilecekken, bir saldırgan, bir bilgisayarsistemine girmeye çalışmak için zaman harcamayacaktır. Yedeklemeortamları çalındıktan sonra saldırgan, veriler şifreli olmadığı sürece,oraya kayıtlı herhangi bir dosyaya erişebilecektir. Bu yüzden yedeklemeortamlarını fiziksel olarak güvence altına almak şirket bilgilerinin gizliliği-ni korumak için önemli bir süreç olacaktır.
*
Tüm Çalışanlar İçin Geçerli KurallarBilgi işlem, insan kaynakları, muhasebe ya da destek hizmetleri; şir-
ketin neresinde çalışıyor olurlarsa olsunlar her çalışanın bilmesigereken belirli güvenlik kuralları vardır. Bu kurallar, genel, bilgisayar kul-lanımı, e-posta kullanımı, evden çalışanlara yönelik kurallar, telefon kul-lanımı, faks kullanımı, sesli mesaj kullanımı ve parolalar şeklindesınıflandırılmıştır.
Genel
9-1 Şüpheli a r a m a l a r ı n r a p o r edi lmesi
Kural: Herhangi bir şüpheli bilgi ya da bilgisayar işlemi talebindebulunulması durumu da dahil olmak üzere bir güvenlik ihlaline maruzkaldıklarından kuşkulanan çalışanlar hemen olayı şirketin olay bildirmegrubuna bildirmelidirler.
Açıklamalar/Notlar: Toplum mühendisi, isteklerini yerine getirmeyehedefini ikna edemediği durumda, her zaman başka birini deneyecektir.Şüpheii bir aramayı ya da olayı bildiren çalışan, bir saldırı olduğu yolun-da şirketi bilgilendirmek için ilk adımı atmış olur. Böylece, çalışanlar,toplum mühendisliği saldırılarına karşı ilk savunma hattını oluştururlar.
9-2 Şüpheli a r a m a l a r ı belgelemek
Kural: Bir toplum mühendisliği saldırısı gibi görünen şüpheli bir ara-mada, çalışan, uygun olduğu ölçüde, saldırganın ne başarmayaçalıştığını anlatacak kadar ayrıntı öğrenmeye çalışmalı ve belgelemeamacıyla bu ayrıntılarla ilgili notlar almalıdır.
Açıklamalar/Notlar: Bu tarz ayrıntılar, olay bildirme grubunabildirildiğinde, saldırının yönünün ya da amacının bulunmasına yardımcıolur. '
Şirket Bilgi Güvenliği Kuralları Önerileri 281
9-3 Bağlantı numaralar ının veri lmesi
Kural: Şirket çalışanları şirketin modem telefon numaralarını açıkla-mamah ve bu tarz istekleri her zaman yardım masasına ya da teknikdestek personeline yönlendirmelidir.
Açıkîamalar/NotSar: Bağlantı telefon numaralan, yalnızca iş yüküm-lülüklerini yerine getirebilmek için bunun gibi bilgilere gereksinimi olançalışanlara verilecek türden bir dahilî bilgi olarak değerlendirilmelidir.
Toplum mühendisleri düzenli olarak biigi taleplerine karşı daha azkorumacı davranacak çalışanları ya da bölümleri hedeflerler. Örneğinsaldırgan, bir faturalama sorununu çözmeye çalışan bir telefon şirketiçalışanı gibi kendini gösterip ödemeler bölümünü arayabilir. Saldırgandaha sonra sorunu çözebilmek için bildikleri başka faks ya da bağlantınumarası olup olmadığını sorar. Toplum mühendisi sık sık bu tarz bilgiyivermenin oluşturduğu tehlikenin farkında olmayan ya da şirket bilgi vermekural ve süreçlerine yönelik yeterli eğitimi almamış bir çalışanı seçer.
9-4 Şirket k iml ik kart lar ı
Kural: içinde bulundukları ofis bölgesi haricinde, üst ve orta yönetimde dahil, tüm şirket çalışanları her zaman personel kartlarını takmalıdırlar.
Âçıkiamaiar/Notlar: Şirket yöneticileri de dahil tüm çalışanlar, halkaaçık yerler ya da kişinin kendi ofisi ya da çalışma alanı dışındaki heryerde, kimlik takmanın zorunlu olduğunu anlamaları için eğitilmeli veteşvik edilmelidirler. .. : .
9-5 Kimlik kartı ihiaüerinin sorgulanmasıKural: Tüm çalışanlar şirket kimlik kartı ya da ziyaretçi kartı tak-
mayan tanımadıkları kişileri hemen sorgulamalıdırlar.
Açıklamalar/Notlar: Her ne kadar hiçbir şirket, açık göz çalışanlarınkimliksiz koridora çıkan başka çalışanları enselediği bir kültür yaratmakistemese de bilgilerini koruma endişesine sahip herhangi bir şirketin,bina içinde sorgulanmadan dolaşan bir toplum mühendisi tehdidini deciddiye alması gerekir. "Her zaman kartlı dolaş" kuralını yerleştirmek içingayretli olduğunu gösteren çalışanları teşvik etmek için şirketgazetesinde ya da bülten panosunda duyurulması, birkaç saatlik ücretliizin ya da şahsi dosyasına konacak bir tavsiye mektubu verilmesi gibiçeşitli uygulamalar kullanılabilir.
9-6 Peşpeşe geçmek (güvenlikl i gir işlerden geçişler)
Kural: Binaya giren çalışanlar, içeri girmek için manyetik kart gibigüvenli araçlar kullandıklarında tanımadıkları hiç kimsenin hemenarkalarından gelmesine izin vermemelidirler (peşpeşe geçmek).
Açıklamalar/Notlar: Çalışanlar, bir tesise ya da güvenli bir alana
282 Aldatma Sanatı
girmeye çalışan tanımadıkları kişilerin kendilerini tanıtmalarını iste-menin, kabalık olmayacağını bilmelidirler.
Toplum mühendisleri peşpeşe geçme olarak bilinen bir teknik kul-lanırlar. Bu teknikte tesise ya da hassas bir alana giren birini beklerlerve onunla birlikte içeri giriverirler. Çoğu insan, büyük olasılıkla şirketçalışanı olduklarını varsaydığı diğer kişileri sorgulamaktan rahatsız olur.Başka bir peşpeşe geçme tekniği ise bir sürü kutuyu birden taşımaktır,böylece hiçbir şeyin farkında olmayan bir çalışan, yardım etmek içinkapıyı açar ya da tutar.
9-7 Hassas belgelerin kâğıt öğütücüden geçiri lmesi
Kural: Atılacak hassas belgeler çapraz öğütücüden geçirilmelidir.Herhangi bir zamanda hassas bilgiler ya da malzemeler içermiş olansabit sürücüler de dahil tüm taşınabilir ortamlar bilgi güvenliğindensorumlu grup tarafından belirlenen süreçler gereğince yok edilmelidir.
Açıklamalar/Notlar: Sıradan kâğıt öğütücüler belgeleri yeterliölçüde parçalamazlar; çapraz-öğütücüler ise belgeleri tanınmaz durumagetirirler. En iyi güvenlik uygulaması, kuruluşun, başlıca rakiplerinin,atılmış malzemelerin arasında işlerine yarayacak bilgiler arayacaklarınıvarsaymasıdır.
Sanayi casusları ve bilgisayar sadırganları hassas bilgileri sürekliçöpe atılmış malzemelerden çıkarırlar. Bazı durumlarda rakip şirketlerinçöpleri vermeleri için temizlikçilere rüşvet vermeye teşebbüs ettikleri debilinir. Yakın bir örnek, bir sermaye piyasası aracı kurumu çalışanı içeri-den edinilen bilgiyle yapılan alım satımlara yönelik çöpte bir takımmalzemeler bulmuştu.
9-8 Kişisel tanımlayıcılarKural: Kimlik numarası, Sosyal Güvenlik Numarası, ehliyet
numarası, doğum tarihi ve yeri ve annenin kızlık soyadı gibi kişiseltanımlayıcılar kimlik tespiti amacıyla kullanılmamalıdırlar. Bu tanım-layıcılar sır değildir ve sayısız yöntemle elde edilebilirler.
Açıklamalar/Notlar: Bir toplum mühendisi başka insanların kişiseltanımlayıcılarını bir ücret karşılığında edinebilir. Aslında genel kanınınaksine internet erişimi ve kredi kartı olan herhangi biri bu kişisel tanımlamabilgilerini ele geçirebilir. Açık tehlikeye karşın bankalar, hizmet şirketleri vekredi kartı şirketleri sık sık bu tanımlayıcıları kullanmaktadırlar. Sadece bunedenle kimlik hırsızlığı son on yılın en hızlı artan suçu olmuştur.
9-9 Kuruluş şemalarıKural: Şirketin kuruluş şemasında gösterilen ayrıntılar şirket
çalışanları dışında kimseye verilmemelidir.
Açıklamalar/Notlar: Şirket yapısı bilgileri kuruluş şemalarını, hiye-
Şirket Bilgi Güvenliği Kuralları Önerileri 283
rarşi şemalarını, bölüm çalışan listelerini, raporlama yapısını, çalışanadlarını, çalışan unvanlarını, dahilî telefon numaralarını, kimlik numa-ralarını ya da benzeri bilgileri içerir.
Toplum mühendisliği saldırısının ilk aşamasında amaç şirketin içyapısıyla ilgili bilgi toplamaktır. Sonra bu bilgiler bir saldırı planı yapmakiçin kullanılır. Saldırgan, hangi çalışanların aradığı bilgiye erişimi ola-bileceğine karar verebilmek için bu bilgiyi inceler. Saldırı sırasında bilgi,saldırganın işine hakim bir çalışan olarak görünmesini sağlar ve kur-banını iş birliği yapmaya ikna etme olasılığını artırır.
9-10 Çalışanlarla ilgili özel bilgilerKural: Çalışanların özel bilgilerine yönelik tüm talepler insan kay-
naklarına yönlendirilmelidir.
Açıklamalar/Notlar: Bu kuralın bir istisnası, işle ilgili bir konudabağlantı kurulması gereken ya da karşı taraftan telefon bekleyen birçalışanın telefon numarasının verilmesi olabilir. Ancak numarayı isteyenkişinin telefon numarasının alınması ve çalışanın onu geri araması herzaman tercih edilmesi gereken yoldur.
Bilgisayar Kullanımı
10-1 Bilgisayara komut girmekKural: istek sahibinin bilgi işlem bölümünün bir çalışanı olduğu
onaylanmadığı sürece şirket çalışanları, başka birinin isteği üzerine bil-gisayara ya da bilgisayarlarla ilgili donanıma hiçbir zaman komutgirmemelidirler.
Açıklamalar/Notlar: Toplum mühendislerinin sıkça oynadığı bir oyun,çalışandan sistem ayarlarını değiştiren bir komut girmesini istemeleridir.Bu sayede saldırgan, kendini tanıtmadan kurbanın bilgisayarına girebilirya da teknik bir saldırıda kullanılabilecek bilgilere erişebilir.
10-2 Dahilî adlandırma standartlarıKural: istek sahibinin şirkette çalıştığı onaylanmadan çalışanlar bil-
gisayar sistemlerinin ya da veri tabanlarının adlarını açıklamamalıdırlar.
Açıklamalar/Notlar: Toplum mühendisleri bazen şirket bilgisayarsistemlerinin adlarını elde etmeye çalışırlar. Adları öğrendikten sonrasaldırgan, şirketi arar ve sistemleri kullanmakta sorun çeken bir çalışangibi davranır. Toplum mühendisi o sisteme verilen dahilî adı bilerekinandırıcılığını artırır.
10-3 Program çalıştırma talepleriKural: Şirket çalışanları, başka birinin isteği üzerine herhangi bir bil-
gisayar uygulamasını ya da programını çalıştırmamalıdırlar.
284 Aldatma Sanatı
Açıklamalar/Notlar: Program veya uygulama çalıştırmaya ya dabilgisayarda herhangi bir işlem yapmaya yönelik talepler talep sahibininbilgi işlem bölümü çalışanı olduğu onaylanana kadar reddedilmelidir.Eğer talep bir dosyadan ya da elektronik mesajdan, gizli bilgilerin çe-kilmesiyle ilgiliyse, talebe karşılık vermek, gizli bilgi verme süreçleriyleuyumlu olmalıdır (bkz. Bilgi Verme Kuralları).
Bilgisayar saldırganları sistemi ele geçirmelerini sağlayacak prog-ramları çalıştırmaları için insanları kandırırlar. Hiçbir şeyden kuşkulan-mayan bir kullanıcı, saldırganın yerleştirdiği bir programı çalıştırdığında,ortaya çıkan sonuç, saldırganın, kurbanın bilgisayarına erişmesineneden olabilir. Bir toplum mühendisi zarar verebilecek bilgisayar komut-larını çalıştırması için birilerini kandırabilirken, teknik tabanlı bir saldırı,benzer bir zararı bilgisayar programlarını çalıştırması için bilgisayarınişletim sistemini kandırarak yapabilir.
10-4 Yazılım indirmek ya da yüklemekKural: istek sahibinin bilgi işlem bölümünün bir çalışanı olduğu
onaylanmadığı sürece şirket çalışanları başka birinin isteği doğrultusun-da hiçbir zaman yazılım indirmemeli ya da yüklememelidir.
Açıklamalar/Notlar: Çalışanlar bilgisayarlarla ilgili donanıma yöne-lik herhangi bir olağandışı işlem talebine karşı her zaman uyanıkolmalıdırlar.
Toplum mühendislerinin sıkça kullandığı taktiklerden birisi, hiçbirşeyden kuşkulanmayan kurbanlarını saldırgana bilgisayar ya da ağgüvenliğini aşma amacında yardımcı olacak bir program yüklemeye yada indirmeye ikna etmektir. Bazı durumlarda program gizlice kullanıcıyıgözetleyebilir ya da gizli bir uzaktan kontrol yazılımıyla saldırganın bil-gisayar sistemini ele geçirmesini sağlayabilir.
10-5 Düz met in parolalar ye e-posta
Kural: Şifreli olmadıkları sürece parolalar e-postayla gönderilmeme-lidirler.
Açıklamalar/Notlar: Her ne kadar önerilmese de bu kural aşağıda-ki gibi sınırlı koşullarda e-ticaret sitelerinde de kullanılabilir:
» Siteye kaydolmuş müşterilere parolalarının gönderilmesi.
• Parolasını unutmuş ya da kaybetmiş müşterilere parolalarınıngönderilmesi.
10-6 Güvenlikle ilgili yazılımlarKural: Şirket çalışanları hiçbir zaman virüs/Truva Atı koruma, güvenlik
duvarı ya da diğer güvenlikle ilgili yazılımları bilgi işlem bölümünden alın-mış bir onay olmadan devre dışı bırakmamalı ya da kaldırmamalıdırlar.
Şirket Bilgi Güvenliği Kuralları Önerileri 285
Açıklamalar/Notlar: Bilgisayar kullanıcıları bazen güvenlikle ilgiliyazılımları, başka herhangi bir nedeni olmadan, bilgisayarlarının hızınıartıracağını düşünerek kapatırlar.
Bir toplum mühendisi, güvenlikle ilgili tehditlerden şirketi korumakiçin gerekli olan bir yazılımı kaldırması ya da devre dışı bırakması içinbir çalışanı kandırmaya çalışabilir.
10-7 M o d e m l e r i n yüklenmesi
Kural: Bi bölümünden onay alınmadan herhangi bir bilgisayaramodem bağlanamaz.
Açıklamalar/Notlar: Çalışma ortamında masalarda ya da bilgisa-yarların üstünde duran modemlerin -özellikle de şirket ağına bağhlarsa-ciddi bir güvenlik tehdidi oluşturdukları bilinmelidir. Buna göre, bu kuralmodem bağlama süreçlerini düzenlemektedir.
Bilgisayar korsanları bir telefon silsilesine bağlı çalışan bir modemhattı olup olmadığını anlamak için savaş araması denen bir teknik kul-lanırlar. Aynı teknik, şirket içinde modemlere bağlı telefon numaralarınıbulmak için de kullanılabilir. Eğer saldırgan, bilgisayar sisteminin, kolaytahmin edilebilir bir parolası olan ya da hiç parolası olmayan zayıf biruzaktan erişim programı kullanan bir modeme bağlı olduğunu görürse,kolaylıkla şirket ağına girebilir.
10-8 M o d e m l e r ve otomat ik yanıt v e r m e ayar lar ı
Kural: Birilerinin bilgisayar sistemine modem bağlantısındangirmesini önlemek amacıyla Bİ onaylı tüm bilgisayarların, modemotomatik yanıt verme özellikleri kapatılmalıdır. .
Açıkiamalar/NotSar: Bilgi işlem bölümü, uygun olduğu ölçüde,modem aracılığıyla harici bilgisayar sistemlerine bağlanması gerekençalışanlar için dış hat bağlantılarda kullanılacak bir modem havuzu tah-sis etmelidir.
10-9 Kırma araç ian
Kural: Çalışanlar yazılım koruma mekanizmalarını alt etmek üzeretasarlanmış yazılım araçları indirmeme!'! ya da kullanmamalıdırlar.
Açıkîama/Motlar: İnternette ticarî yazılımları ve paylaşım yazılım-larını kırmak üzere tasarlanmış programlara adanmış düzinelerce sitevardır. Bu araçların kullanımı yalnızca yazılım sahibinin telif haklarınıçiğnemekle kalmamakta, aynı zamanda oldukça da büyük bir tehlikeoluşturmaktadır. Bu programlar bilinmeyen kaynaklardan geldiği içinkullanıcının bilgisayarına zarar verebilecek kötü huylu yazılımlar içere-bilir ya da programı yazan kişinin, kullanıcının bilgisayarına erişebilme-si için birTruvaAtı yerleştirebilir.
286 Aldatma Sanatı /
10-10 Çevrimiçi şirket bilgilenKurai: Çalışanlar herhangi bir herkese açık haber gurubuna, foruma
ya da bültene şirkete ait donanım ya da yazılımlarla ilgili ayrıntılar yaz-mamalı ve kurallara uygun olanlar dışında iletişim bilgileri vermeme-lidirler.
Açıklamalar/Notlar: Usenet'e, çevrimiçi forumlara, bülten panoları-na ya da yazışma listelerine bırakılmış herhangi bir mesaj, hedef şirketya da hedef bireyle ilgili bilgi toplarken araştırılabilir. Bir toplummühendisliği saldırısının araştırma aşamasında, saldırgan şirketle,ürünleriyle ve çalışanlarıyla ilgili yararlı bilgiler bulabilmek için internet-teki mesaj gurupları taranabilir.
Bazı mesajlar saldırganın saldırısını ilerletmek için kullanabileceğiufak tefek bilgiler de içerir. Örneğin, bir ağ yöneticisi belirli bir marka vemodel güvenlik duvarı için güvenlik duvarı filtrelerinin ayarlanmasıylailgili bir soru mesajı bırakmış olabilir. Bu mesajı bulan bir saldırgan şir-ket ağına girebilmesi için çevresinden dolaşmasını sağlayacak, şirketingüvenlik duvarı ayarları ve türüyle ilgili değerli bilgiler elde edebilir.
Çalışanların haber gruplarına nereden geldiğinin anlaşılmayacağıadsız hesaplardan mesaj göndermelerine izin vererek bu sorun azaltıla-bilir ya da önüne geçilebilir. Kural, doğal olarak çalışanların şirketle iliş-kilendirilebilecek herhangi bir iletişim bilgisi bırakmamaları şartını dagetirmelidir.
10-11 Disketler ve d iğer elektronik ortamlar
Kural: Eğer bilgisayar bilgilerini saklamak için kullanılan disket yada CD-ROM gibi ortamlar, çalışma alanında ya da çalışanın masasındabırakılmışsa ve bilinmeyen bir kaynaktan geliyorsa bilgisayar sisteminesokulmamalıdır.
Açıklamalar/Notlar: Saldırganların kötü huylu yazılım yüklemekiçin kullandıkları yöntemlerden biri programları bir diskete ya daCD-ROM'a koyup ilgi çekici bir şekilde etiketlemektir (örneğin,"Personel Maaş Verileri-Gizlidir"). Sonra bunun birkaç kopyasınıçalışanların kullandıkları alanlara bırakırlar. Yalnızca biri bir bilgisayaragirer ve içindeki dosyalar açılırsa, saldırganın kötü huylu yazılımı çalış-maya başlar. Bu, sisteme girilmesini sağlayacak bir arka kapı yaratabilirya da ağa başka türlü zararlar verebilir. , • . ••
10-12 Taşınabilir ortamların atılmasıKural: Bilgi silinmiş bile olsa herhangi bir zaman aralığında hassas
şirket bilgilerinin tutulduğu bir elektronik ortamı çöpe atmadan önceortam manyetik olarak silinmeli ya da kurtarılamayacak şekilde zarargörmüş olmalıdır.
Şirket Bilgi Güvenliği Kuralları Önerileri 287
Açıkiamalar/Notiar: Basılı belgelerin öğütülmesi bugünlerdesıradan işlerden biri olduysa da, şirket çalışanları bir zamanlar hassasbilgiler içermiş bir elektronik ortamı çöpe atmanın yaratabileceği tehdidigözardı edebilirler. Bilgisayar saldırganları, atılmış elektronik ortamlardabulunan bilgileri geri getirmeye çalışırlar. Çalışanlar, dosyalan silerek,bu dosyaların geri getirilemeyeceğini varsayıyor olabilirler. Bu varsayımtamamen yanlıştır ve gizli iş bilgilerinin yanlış ellere düşmesine nedenolabilir. Bu nedenle genel olarak sınıflandırılmamış bilgiler içermekte yada bir zamanlar içermiş olan tüm elektronik ortamlar tamamen temizlen-meli ya da sorumlu grubun onayladığı yöntemler kullanılarak yokedilmelidir.
10-13 Parola korumalı ekran koruyucularKura!: Tüm bilgisayar kullanıcıları bir ekran koruyucusu parolası
oluşturmalı ve belli bir süre kullanılmadığı zaman bilgisayarı kilitleyenbir zaman aşımı süresi belirlemelidir.
Açıklamalar/Notlar: Tüm çalışanlar bir ekran koruyucu parolası veon dakikadan fazla olmamak üzere bir zaman aşımı süresi ayarla-malıdırlar. Bu kuralın amacı yetkisiz kişilerin başka birinin bilgisayarınıkullanmasını önlemektir. Bu nedenle bu kural şirket bilgisayar sistem-lerini, dışarıdan binaya girebilen kişilere karşı korur.
10-14 Parola gizlilik taahhüdüKural: Yeni bir bilgisayar hesabı açılmadan önce çalışan ya da
taşeron, parolaların hiçbir zaman herhangi birine açıklanmaması ya dapaylaşılmaması gerektiğini ve bu kurallara uymayı kabul ettiğinigösteren yazılı bir beyan imzalamalıdır.
Açıklamalar/NotSar: Anlaşmada, bu tarz bir anlaşmaya uyulmadığıdurumda bunun, cezası işten çıkarmaya kadar varan ciddi bir disiplinsuçu teşkil edeceğini belirten bir madde de bulundurulmalıdır.
E-Posta Kullanımı . •
11-1 E-Posta ekleriKural: E-posta ekleri güvenilir bir kişiden gelmediği ya da işle ilgili
olarak beklenmediği sürece açılmamalıdır.
Açıklamalar/Notlar: Tüm e-posta ekleri yakından izlenmelidir. Alıcı,eki açmadan önce güvenilir bir kişinin ekli bir e-posta gönderileceğinedair ön bilgi vermesini zorunlu tutabilirsiniz. Bu, saldırganların toplummühendisliği taktikleri kullanarak insanları ekleri açmaları doğrultusun- •da kandırabilme riskini azaltacaktır.
Bir bilgisayar sistemine girmenin yöntemlerinden biri, saldırganınsisteme girebilmesini sağlayacak bir açık yaratan kötü huylu birprog-
288 Aldatma Sanatı . -
ramı çalıştırması için çalışanı kandırmaktır. Saldırgan, çalıştırılabilir birkod ya da makro içeren bir e-posta eki göndererek kullanıcının bilgisa-yarının kontrolünü ele geçirebilir.
Bir toplum mühendisi kötü huylu e-posta ekleri gönderebilir, sonrada telefonla arayıp alıcıyı eki açmaya ikna etmeye çalışabilir.
11 -2 Haricî adreslere otomat ik y ö n l e n d i r m e
Kural: Gelen e-postaların otomatik olarak harici bir e-posta adresineyönlendirilmesi yasaktır.
Açıklamalar/Notiar: Bu kuralın amacı, dahilî bir e-posta adresinegönderilmiş bir e-postayı dışarıdan birinin almasını önlemektir.
Çalışanlar, ofisten uzak olacakları zaman gelen e-postalarını bazenşirket dışından bir e-posta adresine yönlendirirler. Ya da bir saldırgan,bir çalışanı kandırarak e-postaları şirket dışından bir adrese postalayanbir dahilî e-posta adresi oluşturtabilir. Saldırgan, daha sonra dahilîe-posta adresi olan, içeriden biri gibi davranarak, insanların hassas bil-gileri dahilî adrese göndermelerini sağlayabilir.
11-3 E-postaîarsn yönlendir i lmesi
Kural: Onaylanmamış bir kişiden gelen herhangi bir başka onaylan-mamış kişiye e-posta aktarma talebi, talep sahibine kimlik tespiti yapıl-masını gerektirir.
11-4 E-postaSann onaylanması
. Kural: Genel olarak sınıflandırılmamış bir bilgi talebi içeren ya dabilgisayarlarla ilgili donanımlara yönelik bir işlem yapılmasını isteyen vegüvenilir bir kişiden geliyor gibi görünen bir e-posta mesajı için ek birtanımlama şekli daha gereklidir ( bkz. Onay ve Yetkilendirme Süreçleri).
Âçıklamaîar/Notlar: Bir saldırgan bire-postayı ve başlığını kolaylık-la taklit ederek onu farklı bir e-posta adresinden geliyormuş gibigösterebilir. Ayrıca girdiği bir bilgisayar sisteminden de e-posta gön-derebilir. E-postanın başlığını inceleyerek bile müdahale edilmiş birdahilî sistemden gönderilip gönderilmediğini ayırt edemezsiniz.
12-1 Telefon anketlerine katılmakKural: Çalışanlar, başka kuruluşların ya da kişilerin soru sorma
yoluyla yaptığı anketlere katılamazlar. Bu tarz talepler halkla ilişkilerbölümüne ya da diğer sorumlu kişilere yönlendirilmelidir.
Açıklamalar/Notlar: Şirkete karşı kullanılabilecek değerli bilgilerielde edebilmek için toplum mühendislerinin kullandığı yöntemlerden biri
Şirket Bilgi Güvenliği Kuralları Önerileri 289
de çalışanı arayıp bir anket yaptığını söylemektir. Yasal bir araştırmayakatkıda bulunduklarına inandıkları zaman insanların şirket ya da kendi-leriyle ilgili yabancılara bilgi vermek konusunda ne kadar rahat olduk-larına inanamazsınız. Saldırgan, zararsız görünümlü soruların arasınayanıtlarını bilmek istediği birkaç soruyu daha sıkıştırır. Sonuç olarak butarz bilgiler şirket ağına girmek için kullanılabilirler.
12-2 Dahilî telefon numaralar ının veri lmesi
Kurai: Eğer onaylanmamış bir kişi bir çalışana telefon numarasınısorarsa, çalışan, şirket işlerinin yönetilmesi ile ilgili olarak numarayı ver-menin gerekli olup olmadığı doğrultusunda uygun bir karar verebilir.
Açıklamalar/Notlar: Bu kuralın amacı dahilî telefon numaralarınıvermenin gerekli olup olmadığı üzerinde düşünülmüş bir karar vermeyeçalışanları yönlendirmektir. Numarayı öğrenmek için iyi bir nedenlerivarmış gibi görünmeyen insanlarla uğraşırken en emin yol ana şirkettelefonunu aramaları ve oradan aktarılmalarını söylemektir.
12-3 Sesli mesaj parolalar ı
Kural: Herhangi birinin sesli mesaj kutusuna parola bilgileri içerenmesajlar bırakmak yasaktır.
Açıklamalar/Notlar: Kolay tahmin edilebilir bir erişim koduyla yeter-siz bir şekilde korundukları için bir toplum mühendisi sık sık bir çalışanınsesli mesaj kutusuna erişebilir. Saldırı türlerinden birinde, bilgili bir bil-gisayar kırıcısı kendi sahte sesli mesaj kutusunu yaratabilir ve başka birçalışanı parola bilgilerini içeren bir mesaj bırakmaya ikna edebilir. Bukural bu tarz bir oyunun üstesinden gelmek içindir.
Faks Kullanımı
13-1 Faks gönderi lmesi
Kural: istek sahibinin kimlik tespiti yapılmadan kimseden faks alına-maz ve kimseye faks gönderilemez.
Açıklamalar/Notlar: Bilgi hırsızları, güvenilir çalışanları, şirket için-deki bir faks makinasına hassas bilgileri göndermeleri doğrultusundakandırabilirler. Kurbana faks numarasını vermeden önce saldırgan, sek-reter ya da idarî yardımcı gibi, hiçbir şeyden haberi olmayan bir çalışanıarar ve daha sonra alınması için kendilerine bir faks gönderilip gönderi-lemeyeceğini sorar. Ardından, masum çalışan faksı aldıktan sonra, sal-dırgan çalışanı arar ve faksın başka bir yere fakslanmasını rica eder.Arada, bunun acil bir toplantı için gerekli olduğunu söylemeyi de ihmaletmez. Faksı göndermesi istenen kişi, o bilginin değeri konusunda birfikri olmadığı için isteği yerine getirir.
290 Aldatma Sanatı
13-2 Faksla gönder i lmiş ta l imat lar ın onaylanması
Kural: Faksla gelen talimatları yerine getirmeden önce, göndereninşirketin bir çalışanı ya da bir güvenilir kişi olduğu onaylanmalıdır.
Açıklamalar/Notlar: Faks aracılığıyla, bilgisayara komut girilmesi ya dabilgi istenmesi gibi olağandışı istekler gönderildiği zaman çalışanlar dikkatliolmalıdırlar. Fakslanmış belgelerin başlığında geçen bilgiler gönderici faksmakinasının ayarlarıyla oynanarak değiştirilebilir. Bu yüzden faks başlığıyetki ya da kimlik tespiti için yeterli bir veri olarak kabul edilmemelidir.
13-3 Faksla hassas biigiierin gönderilmesiKural: Başka çalışanların da erişebileceği bir yerde duran bir faks
makinasına hassas bilgi göndermeden önce, gönderen, bir kapak say-fası göndermelidir. Alıcı, kapak sayfasını alır almaz karşılık olarak birsayfa gönderir ve faks başında olduğunu gösterir. Gönderici, dahasonra faksın tümünü gönderir.
Açıklamalar/Notlar: Bu tokalaşma süreci, göndericinin, alıcınınmakinanın başında bulunduğundan emin olmasını sağlar. Bu süreçayrıca, mesajı alacak faks numarasının başka bir numaraya yön-lendirilmediğini de doğrular.
13-4 Parola fakslamak yasaktırKural: Parolalar hiçbir koşulda faks aracılığıyla gönderilmemelidir.
Açıklamalar/Notlar: Tanımlama bilgilerini faksla göndermek güven-li değildir. Çoğu faks makinası, çok sayıda çalışanın birden elinin altın-dadır. Dahası, fakslar genel telefon santralları ağına bağlıdırlar.Gönderilen faks başka bir numarada bulunan saldırgana gidecek şe-kilde arama yönlendirmesi yapılabilir.
14-1 Sesli mesaj parola lar ı
Kural: Sesli mesaj parolaları hiçbir nedenle başkalarına verilmeme-lidirler. Buna ek olarak sesli mesaj parolaları en çok doksan günde birdeğiştirilmelidir.
Açıklamalar/Notlar: Gizli şirket bilgileri sesli mesaj kutularınabırakılabilir. Bu bilgiyi korumak için çalışanlar sesli mesaj parolalarını sıksık değiştirmeli ve bunları hiçbir zaman başkalarına vermemelidirler.Ayrıca, on iki aylık dönemler içerisinde sesli mesaj kullanıcıları aynı yada benzer parolalar kullanmamalıdırlar.
14-2 Çoklu sistemlerde parola lar
Kural: Sesli mesaj kullanıcıları ister dahilî isterse haricî, telefon ya
Şirket Bilgi Güvenliği Kuralları Önerileri 291
da bilgisayar sistemlerinde kullandıkları parolayı kullanmamalıdırlar.
Açıklamalar/Notlar: Sesli mesaj ve bilgisayar gibi farklı ortamlardaaynı ya da benzer parolayı kullanmak, bir tanesini tespit ettikten sonratoplum mühendislerinin tüm parolaları tahmin etmelerini kolaylaştırır.
14-3 Sesli mesaj parolalarının ayarlanması
Kural: Sesli mesaj kullanıcıları ve yöneticiler tahmin edilmesi zorolan sesli mesaj parolaları kullanmalıdırlar. Parolalar herhangi bir şe-kilde kullanan kişiyle ya da şirketle ilişkilendirilmemeli ve tahmin edilmeolasılığı olan öngörülebilir bir düzende olmamalıdır.
Açıklamalar/Notlar: Parolalar ardışık ya da tekrarlanan sayılar(örneğin, 1111, 1234, 1010) içermemelidir. Dahilî telefon numaralarınınaynısı ya da benzeri olmamalı, adres, posta kodu, doğum tarihi, araçplakası, telefon numarası, ağırlık, IQ ya da başka türlü tahmin edilebilirkişisel bilgilerle ilişkili olmamalıdırlar.
14-4 "Eski" olarak işaretlenmiş mesajlar
Kural: Dinlenmemiş sesli mesajlar yeni mesaj olarak işaretlen-mediğinde sesli mesaj yöneticisi, olası bir güvenlik ihlaline karşı uyarıl-malı ve sesli mesaj parolası hemen değiştirilmelidir.
Açıklamalar/Notlar: Toplum mühendisleri çeşitli yollarla sesli mesajkutularına ulaşabilirler. Hiç dinlemediği mesajların yeni mesaj olarakgeçmediği bir durumda, çalışan, birinin sesli mesaj kutusuna yetkisizgiriş yapıp mesajları dinlediğini varsaymahdır.
14-5 Haricî sesli mesaj açılış notlarıKural: Şirket çalışanları dışarıya yönelik sesli mesaj açılış notların-
da verdikleri bilgiyi sınırlamalıdırlar. Genel olarak, çalışanın günlük işleriya da yolculuk tarihleriyle ilgili bilgiler verilmemelidir.
Açıklamalar/Notlar: Dışarıya yönelik açılış notları, soyad, dahilitelefon numarası ya da yerinde bulunmama nedenlerini (yolculuk, tatiltarihleri ya da günlük program gibi) içermemelidir. Bir saldırgan bu bil-giyi diğer çalışanları kandırmaya yönelik akla yatkın bir hikâye uydura-bilmek için kullanır.
14-6 Sesli mesaj parola düzenleriKural: Sesli mesaj kullanıcıları bir bölümü sabit kalan, kalanı
öngörülebilir bir şekilde değişen parolalar seçmemelidirler.
Açıklamalar/Notlar: Örneğin, son iki basamağın içinde bulunulanaya karşılık geldiği 743501, 743502, 743503 gibi parolalar kullanılma-malıdır.
292 Aldatma Sanatı
14-7 Gizli ya da özel bi lgi ler
Kurai: Gizli ya da özel bilgiler sesli mesajlarla aktarılmamalıdır.
Açıklamalar/Notlar: Şirket telefon sistemi çoğu zaman şirket bil-gisayar sistemlerinden daha fazla saldırıya açıktır. Parolalar, bir saldır-ganın yaptığı tahminleri büyük ölçüde kolaylaştıran bir dizi sayıdanoluşur. Ayrıca bazı kuruluşlarda sesli mesaj parolaları yöneticileri adınamesaj alma sorumluluğu olan sekreterlere ya da yönetici asistanlarınaverilebilmektedir. Yukarıdaki bilgilerin ışığında kimsenin sesli mesajkutusuna hassas bilgiler bırakılmamalıdır.
Parolalar
15-1 Telefon güvenliğiKural: Parolalar hiçbir zaman telefonda verilmemelidir.
Açıklamaiar/Not!ar: Saldırganlar, ya şahsen ya da teknolojik biraraç yardımıyla telefon görüşmelerini dinlemenin yollarını bulabilirler.
15-2 Bilgisayar parolalarının veri lmesi
Kural: Bilgi işlem yöneticisinin yazılı onayı olmadan bilgisayar kul-lanıcıları hiçbir koşulda parolalarını başkalarına vermemelidirler.
Açıklamalar/Notlar: Pek çok toplum mühendisliği saldırısının amacıhiçbir şeyden kuşkulanmayan kişilerin hesap adlarını ve parolalarını açık-lamaları doğrultusunda onları kandırmaktır. Bu kural şirkete karşı yapılantoplum mühendisliği saldırılarının başarı olasılığını azaltmak için önemli biradımdır. Sonuç olarak, bu kurala şirket bünyesinde harfiyen uyulmalıdır.
15-3 İnternet parolaları
Kural: Çalışanlar, şirket sisteminde kullandıkları parolanın bir ben-zerini ya da aynısını internet sitelerinde de kullanmamalıdırlar.
Açıklamalar/Notlar: Kötü amaçlı internet sitesi sahipleri değerli birşey sunan ya da bir ödül kazanma olasılığı olduğunu söyleyen bir siteyapabilirler. Ziyaretçilerin kayıt olabilmek için bir e-posta adresi, kul-lanıcı adı ve parola girmeleri gerekir. Çoğu insan aynı ya da benzerkayıt bilgilerini tekrar tekrar kullandıkları için kötü amaçlı internetsitelerinin sahipleri kullanılan parolayı ve bu parolanın çeşitli şekillerinihedefin ev "ya da iş bilgisayarına saldırmak için kullanabilirler.Ziyaretçinin iş bilgisayarı kayıt işlemi sırasında girdiği e-posta adresin-den de bazen bulunabilir.
15-4 Çoklu sistemlerde parolalar
Kural: Şirket çalışanları aynı ya da benzeri bir parolayı birden fazlasistemde kullanmamalıdırlar. Bu kural çeşitli araçları (bilgisayar ya da
Şirket Bilgi Güvenliği Kuralları Önerileri 293
sesli mesaj); çeşitli konumları (ev ya da iş); çeşitli sistemleri, araçları(yönlendirici ya da güvenlik duvarı) ya da programları (veritabanı ya dauygulama) kapsayabilir.
Açıklamalar/Notlar: Saldırganlar bilgisayar sistemlerine ya daağlarına girmek için insan doğasını kullanırlar. Çoğu insanın girdikleriher sistemde bir sürü parolayı akılda tutma keşmekeşinden kurtulmakiçin aynı ya da benzer parolalar kullandıklarını bilirler. Bu yüzden saldır-gan, hedefin hesabının olduğu sistemlerden birinin parolasını öğren-meye çalışır. Parolayı bîr kez öğrendikten sonra aynı parolanın ya da birbenzerinin çalışanın kullandığı diğer sistemlere ve araçlara erişimsağlama olasılığı yüksektir.
15-5 Parolaların yeniden kul lanı lması
Kural: Hiçbir bilgisayar kullanıcısı on sekiz aylık süre içerisinde aynıya da benzer bir parola kullanmamalıdır.
Açıklamalar/Notlar: Parolanın sık değiştirilmesi, bir sadırganın birkullanıcının parolasını keşfetmesi durumunda oluşabilecek zararı enaza indirger. Yeni parolayı önceki parolalardan farklı yapmak saldır-ganın tahmin etmesini zorlaştırır.
15-6 Parola yapısı " ••••••
Kural: Çalışanlar, bir bölümü sabit kalan diğer bölümü öngörülebilirbir şekilde değişen parolalar seçmemelidirler.
Açıklamalar/Notlar: Örneğin, son iki basamağın içinde bulunulan ayakarşılık geldiği KevinOl, KevinO2, KevinO3 gibi parolalar kullanılmamalıdır.
15-7 Parola seçimi
Kural: Bilgisayar kullanıcıları aşağıdaki koşulları sağlayan bir paro-la yaratmalı ya da seçmelidir.
• Standart kullanıcı hesapları için en az sekiz karakter ve ayrı-calıklı hesaplar için en az on iki karakter uzunluğunda olmalıdır.
• En az bir sayı, bir simge ($, -, I, & gibi), bir küçük harf ve birbüyük harf (işletim sisteminde bulunan farklı yazı şekillerinin elverdiği ölçüde) içermelidir.
• Aşağıdakilerden herhangi birini de içermemelidir: Herhangi birdildeki sözlükte bulunabilecek bir kelime, çalışanın soyadı, hobi-leri, plaka numarası, Sosyal Güvenlik Numarası, adresi, telefonnumarası, evcil hayvanının adı, doğum günü ya da bu kelimeleriiçeren kelime grupları.
• Daha önce kullanılmış bir parolanın bir tarafı sabit bir tarafıdeğişmiş türden farklı bir şekli de olmamalıdır, kevin, kevini,kevin2 ya da kevinocak, kevinşubat gibi.
294 Aldatma Sanatı
Açıklamalar/Notlar: Yukarıda sıralanan özelliklerin kullanılmasıtoplum mühendisinin tahmin etmesinin zor olacağı bir parola ortayaçıkaracaktır. Diğer bir seçenek ise sesli-sessiz harf yöntemidir. Bu yön-temle hatırlaması ve okuması kolay bir parola elde edilebilir. Böyle birparola oluşturabilmek için "ABABABAB" şablonunda B harflerini sessizharflerle, A harflerini ise sesli harflerler değiştirin. Örnek vermekgerekirse, MIKOFASO ya da KUSOCENA olabilir.
15-8 Parolaları not etmek
Kural: Çalışanlar parolalarını yalnızca bilgisayardan ya da başkaparola korumalı donanımdan uzakta güvenli bir yere koyacaklarsa biryere not edebilirler.
Açıklamalar/Notlar: Çalışanlara parolalarını hiçbir zaman bir yereyazmamaları salık verilmelidir. Ancak bazı koşullar altında bu gerekliolabilir. Örneğin, çalışanın farklı bilgisayar sistemlerinde birden fazlahesabı varsa. Herhangi bir yazılı parola bilgisayardan uzakta güvenli biryere konmalıdır. Hiçbir koşulda parola klavyenin altına saklanmamalı yada monitöre yapıştırılmamalıdır.
15-9 Bilgisayar dosyalarındaki şifrelenmemiş parolalarKural: Şifrelenmemiş parolalar herhangi bir bilgisayar dosyasında sak-
lanmayacak ya da bir işlev tuşuyla çağırılabilecek şekilde programlanmaya-caktır. Gerekli olduğu durumda parolalar, Bi bölümünün yetkisiz erişimleriengellemek için onayladığı bir şifreleme yazılımı kullanılarak saklanmalıdır.
Açıklamalar/Notlar: Parolalar şifrelenmemiş olarak tutuldukları bil-gisayar veri dosyalarından, toplu komut dosyalarından, uçbirim işlevtuşlarından, giriş dosyalarından, makro ya da yazı programlarındanveya FTP sitelerinin parolalarını içeren herhangi bir veri dosyasından birsaldırgan tarafından kolaylıkla bulunup çıkarılabilir.
Dışarıdan Çalışanlar Içîn KurallarDışarıdan çalışanlar, şirket güvenlik duvarının dışındadırlar ve bu
nedenle saldırılara açıktırlar. Bu kurallar toplum mühendisinin dışarıdançalışan personelinizi verilerinize açılan bir kapı olarak kullanmasınıönlemenize yardımcı olacaktır.
16-1 Küçük istemciler
Kural: Uzaktan erişim yetkisine sahip tüm şirket çalışanları şirketağına bağlanmak için küçük istemci kullanmalıdırlar.
Açıklamalar/Notlar: Bir saldırgan, saldırı stratejisini kurarken,dışarıdan şirket ağına erişimi olan kullanıcıları bulmaya çalışır. Bunedenle dışarıdan çalışanlar başlıca hedefleri oluştururlar. Bu kişilerin
Şirket Bilgi Güvenliği Kuralları Önerileri 295
bilgisayarlarında sıkı güvenlik kontrollerinin olma olasılığı zayıftır ve bu,şirket ağına girebilecek açık bir nokta bırakır.
Güvenilir bir ağa bağlanan herhangi bir bilgisayar, klavye girişlerinikaydeden programlarla tuzaklanabilir ya da bağlantıları kaçırılabilir. Birküçük istemci stratejisi sorunları çözmek için kullanılabilir. Küçük istem-ci, sürücüsü olmayan bir bilgisayar ya da aptal bir uçbirim gibidir. Uçbirimgibi çalışan bu bilgisayarda gerekli saklama ortamları yoktur ancak bunakarşılık işletim sistemi, uygulama programları ve tüm veriler şirket ağın-da durur. Küçük istemci üzerinden ağa erişilmesi, yamalanmamış sis-temlerin, eskimiş işletim sistemlerinin ve kötü huylu programların oluştur-duğu riski büyük ölçüde azaltmaktadır. Aynı zamanda dışarıdan çalışan-ların güvenliğini sağlamak da merkezi güvenlik kontrolleri sayesindedaha kolay ve etkili olur. Güvenlik konularıyla tam anlamıyla ilgilenmekkonusunda işi deneyimsiz kullanıcılara bırakmaktansa bu tarz yüküm-lülükler eğitimli ağ ya da sistem yöneticilerine bırakılmalıdır.
16-2 Dışarıdan çalışanların bilgisayarları için güvenlikyazılımlarıKural: Şirket ağına bağlanmak için kullanılan herhangi bir haricî bil-
gisayar sisteminde virüs ve Truva Atı koruma programları ve (donanım-dan ya da yazılımdan gelen) kişisel bir güvenlik duvarı bulunmalıdır. Virüsve Truva Atı tanım dosyalan en azından haftalık olarak yenilenmelidir.
Açıklamalar/Notlar: Genellikle dışarıdan ve evden çalışanlar güven-lik konularında bilgili değillerdir ve dikkatsizlik ya da ihmalkârlıkla bilgisa-yar sistemlerini ya da şirket ağlarını saldırıya açık bırakabilirler. Bunedenle dışarıdan çalışanlar düzgün bir şekilde eğitilmezlerse ciddi birgüvenlik tehdidi oluşturmaktadırlar. Kötü huylu yazılımlara karşı korun-mak için virüsten ve Truva Atından korunma programlarının yüklenme-sine ek olarak, saldırganların çalışanlara sunulan herhangi bir hizmetedışarıdan erişebilmelerini engellemek için de bir güvenlik duvarı şarttır.
Microsoft'a yapılan bir saldırının da gösterdiği gibi, kötü huyluyazılımların çoğalmasına karşı en elzem güvenlik teknolojilerini kullan-mamanın riski hafife alınmamalıdır. Dışarıdan çalışan bir Microsoftçalışanının bilgisayar sistemine bir Truva Atı bulaşır. Saldırgan ya dasaldırganlar çalışanın güvenilir ağını kullanarak geliştirme kaynak kod-larını çalmak için Microsoft'un geliştirme ağına girebilmişlerdir.
İnsan Kaynakları Kurallarıinsan kaynaklan bölümlerinin, kendi çalışma ortamları aracılığıyla
kişisel bilgileri elde etmeye çalışanlara karşı personeli korumak konusun-da özel bir görevleri vardır. İK çalışanlarının aynı zamanda şirketlerinimutsuz ve eski çalışanlara karşı koruma sorumlulukları da vardır.
296 Aldatma Sanatı
17-1 Ayrı lan çalışanlar
Kural: Ne zaman bir çalışan şirketten ayrılır ya da ilişkisi kesilirse,insan kaynakları hemen aşağıdaki işlemleri yerine getirmelidir:
• Çevrimiçi telefon rehberinden kişinin adını çıkarmalı ve seslimesajlarını iptal etmeli ya da yönlendirmelidir.
• Bina girişlerinde ya da şirket lobilerinde görevli personeli bil-gilendirmelidir.
• Çalışanın adını ayrılan çalışanlar listesine eklemeli ve bu liste,sıklığı bir haftadan daha az olmayacak şekilde tüm çalışanlaragönderilmelidir.
Açıklamalar/Kurallar: Bina girişlerinde görevli çalışanlar eski birçalışanın binaya yeniden girmesini önlemek üzere uyarılmalıdırlar.Ayrıca, diğer çalışanların da uyarılması eski çalışanın halen çalışıyor-muş gibi davranarak başkalarını şirkete zarar verebilecek hareketlerdebulunmaları doğrultusunda kandırmasını önleyecektir.
Bazı koşullarda eski çalışanla aynı bölümde çalışan herkesin paro-lalarını değiştirmelerinin istenmesi gerekli olabilir. (Yalnızca bilgisayarkorsanlığı konusundaki ünüm nedeniyle GTE'deki işime son verildiğindeşirket tüm çalışanların parolalarını değiştirmelerini zorunlu tutmuştu.)
17-2 Bİ bölümünün uyarılmasıKural: Şirkette çalışan bir kişi işten ayrıldığında ya da işine son ve-
rildiğinde insan kaynakları, eski çalışanın, aralarında veri tabanı erişimi,uzaktan bağlantı ya da uzak noktalardan internet erişimi hesaplarınında bulunduğu tüm bilgisayar hesaplarını iptal etmesi için bilgi işlembölümünü hemen haberdar etmelidir.
Açıklamalar/Notlar: Eski bir çalışanın işle ilişiği kesilir kesilmez tümbilgisayar sistemlerine, ağ araçlarına, veritabanlarına ya da herhangi birbilgisayar donanımına erişiminin derhal kesilmesi önemlidir. Aksidurumda şirket kin dolu bir çalışanın şirket bilgisayar sistemlerine giripciddi zararlar verebilmesi için kapıyı ardına kadar açık bırakmış olur.
17-3 İşe a l m a sürecinde kul lanı lan gizl i b i lg i ler
Kural: ilanlar ve iş boşluklarını doldurmak için uygun aday bulmayayönelik diğer herkese açık davetler mümkün olduğu ölçüde şirketin kul-landığı bilgisayar donanım ve yazılımları konusunda bilgi vermemelidir.
Açıklamalar/Notlar: Yöneticiler ve insan kaynakları personeli yal-nızca nitelikli adayların özgeçmişlerini almaya yetecek kadar şirket bil-gisayar donanım ve yazılımları hakkında bilgi vermelidirler.
Bilgisayar kırıcıları açık iş listelerini bulmak için gazeteleri ve şirketbasın açıklamalarını okurlar, internet sayfalarına girerler. Çoğu zaman
Şirket Bilgi Güvenliği Kuralları Önerileri 297
şirketler, müstakbel çalışanları çekebilmek için kullandıkları donanım veyazılımlarla ilgili çok fazia ayrıntı açıklamaktadırlar. Saldırgan, hedefininBİ sistemleriyle ilgili bir bilgiyi bir kez ele geçirdi mi, saldırının bir sonra-ki adımı için hazır demektir. Örneğin, bir şirketin VMS işletim sistemi kul-landığını öğrenen bir saldırgan sistemin hangi sürüm olduğunu öğren^mek için birkaç yeri arayabilir ve sonra da yazılım şirketinden geliyorgibi sahte bir acil güvenlik yaması gönderebilir. Yama bir kez yüklendik-ten sonra saldırgan sisteme girer.
17-4 Çalışanların kişisel bilgileriKural: insan kaynaklan bölümü, çalışanın ya da insan kaynakları
yöneticisinin yazılı onayı olmadan halen çalışan ya da çalışmayan hiç-bir personel, taşeron, danışman, geçici işçi ya da stajyerin kişisel bilgi-lerini açıklamamalıdır.
Açıklamalar/Notlar: insan avcıları, özel dedektifler ve kimlik hırsız-ları, kimlik numaraları, doğum tarihleri, ücret bilgileri, aralarında bankahesap numaraları ve sağlık yardımları gibi bilgilerin de olduğu malî veri-leri içeren kişisel çalışan bilgilerini hedeflerler. Toplum mühendisi ilgilibirey gibi davranabilmek amacıyla bu bilgileri elde edebilir. Ayrıca yeniişe başlayanların adlarının açıklanması da bilgi hırsızlarının çok işineyarayabilir. Yeni işe başlayanlar eski olduklarını, yetkili olduklarını ya daşirket güvenliğinden olduklarını iddia eden kişilerden gelen talepleri ye-rine getirmeye daha eğilimlidirler.
17-5 Sicil taramalarıKural: Kendilerine bir iş önerilmeden ya da sözleşmeye dayanan bir
iş ilişkisine girmeden önce tüm yeni işe başlayanlar, taşeronlar, danış-manlar, geçici işçiler ya da stajyerler için bir sicil taraması zorunluolmalıdır.
Açıklamalar/Notlar: Maliyetler göz önüne alındığında sicil tara-maları güven teşkil etmesi gereken belirli konumlarla sınırlı tutulabilir.Ancak şirket odalarına girme hakkı tanınmış herhangi birinin olası birtehdit oluşturabileceği de unutulmamalıdır. Örneğin, temizlik ekiplerininpersonel odalarına girme hakkı vardır ve bu onlara orada bulunan bil-gisayar sistemlerine girme hakkını da verir. Fiziksel olarak bir bilgisa-yara erişim elde eden bir saldırgan parolaları yakalamak için birdakikadan kısa bir süre içerisinde klavye girişlerini kaydeden bir prog-ramı bilgisayara yükleyebilir.
Bilgisayar kırıcıları hedef şirketin bilgisayar sistemlerine ve ağınagirebilmek için şirkette iş bulma yoluna bile gidebilirler. Bir saldırgan,hedef şirketteki sorumlu kişiyi arayarak şirketin çalıştığı temizlik şirke-tinin adını kolaylıkla elde edebilir ve iş teklifiyle gelmiş bir temizlik fir-ması olduğunu söyleyerek bu hizmeti vermekte olan şirketin adınıöğrenir.
298 Aldatma Sanatı
Fiziksel Güvenlik KurallarıHer ne kadar toplum mühendisleri hedeflemek istedikleri bir işye-
rinde şahsen bulunmaktan kaçmsalar da zaman zaman bulunduğunuzmekâna da gireceklerdir. Bu kurallar fiziksel ortamınızı tehditlerdenkorumanıza yardımcı olacaktır.
18-1 Personel o lmayanlar ın k iml ik tespiti
Kurai: Kuryeler ve düzenli olarak şirket binalarına girmelerigereken, şirket dışından kişilerin şirket güvenliğinin belirlediği kurallarauygun olarak düzenlenmiş özel yaka kartları ya da benzeri bir kimlikleriolmalıdır.
Açıklamalar/Notlar: Düzenli olarak binalara girmesi gereken per-sonel olmayan kişilere (örneğin, kafeteryaya yiyecek ve içecek getiren-lere, telefon bağlantılarını yapanlara ya da fotokopi makinalarını tamiredenlere) bu amaçla çıkarılmış özel bir şirket kimlik belgesi verilmelidir.Ara sıra girmesi gereken ya da bir kerelik işi olan kişiler ziyaretçi olarakdeğerlendirilmeli ve her zaman yanlarında bir refakatçi bulundurul-malıdır.
18-2 Ziyaretçi k iml ik tespiti
Kural: Tüm ziyaretçiler içeri alınabilmeleh için geçerli bir sürücüehliyeti ya da başka bir resimli kimlik belgesi göstermelidirler.
Açıklamalar/Notlar: Güvenlik görevlileri ya da danışma memuruziyaretçi kartı vermeden önce kimlik belgesinin bir fotokopisini almalı vebu kopya ziyaretçi defterinde saklanmalıdır. Diğer bir seçenek ise kim-lik bilgilerinin danışma memuru ya da güvenlik görevlisi tarafındanziyaretçi defterine kaydedilmesidir. Ziyaretçilerin kimlik bilgilerini kendi-lerinin girmesine izin verilmemelidir.
Bir binaya girmeye çalışan toplum mühendisleri deftere her zamanyanlış bilgi gireceklerdir. Her ne kadar sahte bir kimlik elde etmek veziyaret edileceği söylenen kişinin adını öğrenmek zor olmasa daçalışanın girişleri kaydetmesini zorunlu tutmak güvenlik sürecini birkademe daha artırmaktadır.
18-3 Ziyaretçilere eşlik edilmesiKural: Ziyaretçiler her zaman bir çalışanın eşliğinde olmalı ya da
yanlarında refakatçi bulunmalıdır.
Açıklamalar/Notlar: Toplum mühendislerinin çevirmeyi sevdikleridolaplardan biri bir şirket çalışanını ziyaret etmektir (örneğin, stratejikortaklığın olduğu bir firmadan geldiğini söyleyerek ürün mühendisiniziyaret etmek gibi), ilk görüşmeye refakatçi eşliğinde gittikten sonratoplum mühendisi konuştuğu kişiyi kendi başına lobiye dönebileceği
Şirket Bilgi Güvenliği Kuralları Önerileri 299
konusunda ikna eder. Bu yöntemle binayı serbestçe dolaşma fırsatıelde eder ve büyük olasılıkla hassas bilgilere ulaşabilir.
18-4 Geçici kimlikler
Kural: Başka bir tesisten gelen ve yanlarında personel kartları bulun-mayan şirket çalışanları geçerli bir sürücü ehliyeti ya da benzeri resimlibir kimlik göstermeli ve onlara geçici bir ziyaretçi kartı verilmelidir.
Açıklamalar/Notlar: Saldırganlar şirkete girebilmek için sık sık şir-ketin başka bir binasından ya da şubesinden gelen çalışanlar gibidavranırlar.
18-5 Acil tahliyeKural: Acil bir durumda ya da bir talim sırasında güvenlik görevlileri
herkesin binaları terkettiğinden emin olmalıdırlar.
Açıklamalar/Notlar: Güvenlik görevlileri tuvaletlerde yâ'da odalar-da geride kalmış olabilecek kişiler olup olmadığını kontrol etmelidirler.İtfaiyenin ya da ortaya çıkan durumda yetkili olan diğer kurumların dabelirttiği üzere güvenlik kuvvetleri tahliyeden çok sonra binayı terk edenkişilere karşı uyanık olmalıdırlar.
Sanayi casusları ya da deneyimli bilgisayar kırıcıları bir binaya ya dagüvenli bir alana girebilmek için yanlış alarm verebilirler. Kullanılan hile-lerden biri havaya bütil merkaptan adında zararsız bir gaz vermektir.Çalışanlar tahliye işlemine başladıktan sonra gözü kara saldırgan bu fır-satı ya bilgi çalmak için ya da şirket bilgisayar sistemine girmek için kul-lanır. Bilgi hırsızlarının kullandığı başka bir taktik de, bazen tuvalettebazen bir odada, tam tahliye taliminin başladığı saatte ya da acil tahli-yeye neden olacak sis bombası ya da başka bir gereç kullandıktansonra geride kalmaktır.
1 8-6 Posta odasında ziyaretçiler
Kural: Bir şirket çalışanının gözetiminde olmadan hiçbir ziyaretçininposta odasına girmesine izin verilmemelidir.
Açıklamalar/Notlar: Bu kuralın amacı dışardan birinin şirket içipostaları karıştırmasını, göndermesini ya da çalmasını önlemektir.
18-7 Araç plaka numaralarıKural: Eğer şirketin bekçili bir otoparkı varsa, güvenlik görevlileri bu
alana giren tüm araçların plakalarını not etmelidirler.
18-8 Çöp bidonlarıKural: Çöp bidonları her zaman şirket alanın içinde bulunmalı ve
dışarıdan erişilebilir olmamalıdır.
300 Aldatma Sanatı
Açıklamalar/Notlar: Bilgisayar saldırganları ve sanayi casusları şir-ket çöplerinden değerli bilgiler elde edebilirler. Mahkemeler çöpleriyasal olarak terk edilmiş mal olarak değerlendirirler ve bu yüzden bidon-lar herkese açık bir alanda durdukları sürece çöp dalışları tamamiyleyasaldır. Bu nedenle çöplerin, şirketin, bidonları ve içindekileri korumahakkının olduğu şirket alanı içinde tutulmaları önemlidir.
Danışma Görevlileri için KurallarDanışma görevlileri, iş toplum mühendisleriyle uğraşmaya gel-
diğinde çoğu zaman ön cephededirler. Ancak onlara nadiren bir saldır-ganı fark edip durdurabilmelerini sağlayacak eğitimler verilir. Danışmagörevlinizin şirketinizi ve verilerini daha iyi koruyabilmesi için bu kural-ları yürürlüğe koyun.
19-1 Dahilî telefon rehberi
Kural: Dahilî telefon rehberinde açıklanan bilgilere yalnızca şirketçalışanları erişebilmelidir.
Açıklamalar/Notlar: Rehberde bulunan tüm unvanlar, adlar, telefonnumaraları ve adresler dahilî bilgi olarak değerlendirilmeli ve yalnızcaveri sınıflandırma kuralları ve dahilî bilgilere yönelik kurallar doğrul-tusunda verilmelidir.
Ayrıca arayan tarafın elinde, ulaşmaya çalıştığı kişinin adı ya dadahili numarası olmalıdır. Arayanın dahilî numarayı bilmediği bir durum-da her ne kadar danışma görevlisi gerekli bağlantıyı sağlasa da arayanadahilî numarayı vermesi yasak olmalıdır (Örnek: isteyen meraklılar, her-hangi bir Birleşik Devletler devlet dairesini arayıp santral memurunadahilî numarayı sorarak bu süreci deneyebilirler.).
19-2 Belirli bölümler in/gruplar ın telefon n u m a r a l a n
Kural: Çalışanlar, arayanın geçerli bir nedeni olup olmadığını kont-rol etmeden, şirket yardırrj masasının, telekomünikasyon bölümünün,bilgi işlemin ya da sistem yöneticisinin dış hat telefon numaralarını ver-memelidirler. Danışma görevlisi, bu gruplardan birine bir telefonaktarırken arayanın adını mutlaka açıklamalıdır.
Açıklamalar/Notlar: Bazı kuruluşlar bu kuralı fazla baskılayıcı bul-salar da, bu kural bir toplum mühendisinin çalışan gibi davranıpbaşkalarını kendi dahilî numaralarından yönlendirme yapmaları içinkandırmasını (bazı telefon sistemlerinde bu işlem, aramanın şirket için-den yapılıyormuş gibi görünmesini sağlar) ya da kendini kanıtlaya-bilmek için kurbanına bu numaraları bildiğini göstermesini güçleştirir.
Şirket Bilgi Güvenliği Kuralları Önerileri 301
19-3 Bilgi aktar ımı
Kural: Santra! memurları ve danışma görevlileri, çalışan olupolmadığını şahsen bilmedikleri kişiler adına not almamalı ya da bilgiaktarmamalıdır.
Açıklamalar/Notlar: Toplum mühendisleri, dikkatsizlik gösteripkendilerine kefil olmaları için çalışanları kandırmak konusunda ustadır-lar. Toplum mühendisliği hilelerinden biri, danışmanın numarasını eldeedip, danışma görevlisine kendisi için bırakılmış mesaj olup olmadığınısormaktır. Daha sonra kurbanını ararken saldırgan, bir çalışan gibidavranır ve hassas bir bilgi verilmesini ya da bir işlem yapılmasını iste-yerek ana santral numarasını geri arama numarası olarak verir. Ensonunda saldırgan danışma görevlisini arar ve hiçbir şeyden kuşkulan-mayan kurbanın kendisi için bıraktığı mesajı alır.
19-4 A l ı n m a k üzere bırakılmış malzemeler
Kural: Bir kuryeye ya da tanımlanmamış başka bir kişiye herhangibir şey verirken, danışma görevlisi ya da güvenlik görevlisi resimli birkimlik görmeli ve kimlik bilgilerini kuralların öngördüğü şekilde kayıt def-terine işlemelidir.
Açıklamalar/Notlar: Toplum mühendisliği taktiklerinden biri de, has-sas malzemeleri danışma görevlisine ya da danışma masasına bırak-tırarak güya yetkili olan bir başka çalışana vermesi için bir çalışanıkandırmaktır. Danışma görevlisi ya da güvenlik görevlisi de, doğalolarak paketin alınmasının sakıncalı olmadığını düşünür. Toplummühendisi ya kendisi gelir ya da paketi alması için bir kurye hizmetindenyararlanır.
Olay Bildirme Grubu İçin KurallarHer şirket, şirket güvenliğine yönelik herhangi bir saldın fark
edildiğinde aranmak üzere merkezi bir gurup oluşturmalıdır. Aşağıda bugrubun faaliyetlerinin düzenlenmesi ve yapılandırılmasına yönelikbirkaç yol gösterici kural bulacaksınız.
20-1 Olay bildirme grubuKural: Bir kişi ya da gurup bu iş için görevlendirilmeli ve çalışanlar
güvenlikle ilgili olayları onlara iletmek üzere bilgilendirilmelidir.
Açıklamalar/Notlar: Çalışanlar bir güvenlik tehdidini nasıl ayırt ede-ceklerini bilmeli ve oluşacak herhangi bir tehdidi ilgili olay bildirmegrubuna bildirecek şekilde eğitilmelidir. Bir tehdit oluştuğunda böyle birgurubun harekete geçebilmesi için kuruluşun belirli süreçler ve yetkilerbelirlemesi de önemlidir.
302 Aldatma Sanatı
20-2 Sürmekte olan saldırılarKural: Olay bildirme gurubuna, sürmekte olan bir toplum mühendis-
liği saldırısı bildirildiğinde gurup, hedeflenen bölümlerde görevli ve bu işiçin belirlenmiş çalışanları uyarmak üzere süreçleri başlatacaktır.
Açıklamalar/Notlar: Olay bildirme gurubu ya da sorumlu yönetici,şirket çapında bir uyarı gönderilip gönderilmeyeceğine de karar verme-lidir. Sorumlu kişi ya da gurubun, bir saldırının devam ettiğine inancıtamsa, şirket çalışanlarını tetikte olmaları konusunda uyararak zararı enaza indirmek başlıca öncelikleri olmalıdır.
BİR BAKIŞTA GÜVENLİK
Aşağıda verilen listeler ve şemalar ikinci bölümden on dördüncübölümün sonuna kadar anlatılan toplum mühendisliği yöntemlerinin veon altıncı bölümde ayrıntılandırılan onay süreçlerinin bir bakıştagörülebileceği bir başvuru kılavuzu oluşturmaktadır. Bu bilgileri kuru-munuza uyarlayın ve bir bilgi güvenliği sorunu ortaya çıktığı zamançalışanlarınızın başvurabilmesi için herkese duyurun.
Bir Saldırının BelirlenmesiBu tablolar ve kontrol listeleri bir toplum mühendisliği saldırısını
tespit etmenize yardımcı olacaklardır.
Toplum mühendisliği döngüsüHAREKET AÇIKLAMA
Araştırma Aralarında güvenlik delme testi kayıtları, yıllıkraporlar, pazarlama broşürleri, patent uygulamaları,basın kupürleri, sektör dergileri, internet sayfasıiçeriği olabilir. Ayrıca çöp dalışları da olabilir.
Dostluk ve güven İçeriden gelen bilgilerin kullanılması, başkasınınuyandırma kimliğine bürünme, kurbanın tanıdığı kişilerin
adlarının sıralanması, yardım isteği ya da otoriteyesahip olma.
Güveni kötüye Kurbandan, bir bilgi vermesinin ya da bir işlem yap-kullanma masının istenmesi. Ters dalaverede kurban, saldır-
gandan yardım ister.
Bilgi kullanma Eğer edinilen bilgi asıl amaçtan bir adım uzaktaysa,saldırgan, amacına ulaşana kadar döngüdeki önce-ki adımlara geri döner.
En ÇokToplum Mühendisliği Yöntemleri• Bir çalışan gibi davranmak• Bir satıcı firmanın, ortak iş yürütülen bir şirketin ya da güvenlik
güçlerinin bir personeli gibi davranmak• Yetkili biri gibi davranmak '
304 Aldatma Sanatı
• Yardıma ihtiyacı olan, işe yeni girmiş biri gibi davranmak
• Bir sistem yaması ya da güncellemesi sunmak için arayan birsatıcı ya da sistem üreticisi gibi davranmak
• Sorun çıktığı takdirde yardım edebileceğini söyleyip sonrasorunu kendisi yaratmak ve böylece kurbanın yardım istemekiçin kendisini aramasını sağlamak
• Kurbanın yüklemesi için bedava yazılım ya da yama göndermek
• E-posta ekinde virüs ya da Truva Atı göndermek
• Kullanıcının yeniden bağlanmasını ya da parola girmesiniisteyen sahte bir pencere kullanmak
• Gözden çıkarılmış bir bilgisayar sistemi ya da programıyla, kur-banın klavyeden yaptığı girişleri kaydetmek
• içinde kötü huylu yazılım bulunan disket ya da CD'leri işyerindegörünür bir şekilde bırakmak
• Güven kazanmak için şirket içi terimleri kullanmak
• Şirket içi teslimata girmesi için posta odasına bir belge ya dadosya bırakmak
• içerden gönderildiği izlenimini verebilmek için faks makinasınınbaşlığını değiştirmek
• Danışma görevlisinden, alacağı faksı başka bir yere faksla-masını rica etmek
• Bir dosyanın şirket içi gibi görünen bir yere gönderilmesini istemek
• Geri aramalarda şirket mensubu gibi görünecek şekilde bir seslimesaj kutusu oluşturmak
• Şehir dışındaki bir ofisten geldiğini söyleyip bulunduğu yerdene-postalarını okuyabilmeyi istemek
Bir Saldırının Uyarı Sinyalleri• Bir geri arama numarası vermekten kaçınılması
• Sıradışı taleplerde bulunulması
• Yetkili olunduğunun öne sürülmesi
• Aciliyetin üzerine vurgu yapılması
• İsteğin yerine getirilmemesi durumunda kötü sonuçlar doğa-cağının söylenmesi i
• Soru sorulduğunda rahatsız olunması
• Bilinen adların sıralanması
• iltifat edilip pohpohlanma
• Kur yapılması
Bir Bakışta Güvenlik 305
Saldırılarda en-sık görülen hedeflerHEDEF TÜRÜ ÖRNEKLER • - •• ,.
Bilginin Danışma görevlileri, santral memurları, idarîdeğerinden yardımcılar, güvenlik görevlilerihabersiz olanlar
Özel ayrıcalıklara Yardım masası ya da teknik destek, sistem yöneti-sahip olanlar çileri, bilgisayar işletmenleri, telefon sistemleri
yöneticileri
Üretici/Satıcı Bilgisayar donanımı, yazılım üreticileri, sesli mesajfirmalar sistemleri satıcıları
Belli bölümler Muhasebe, insan kaynakları
Şirketleri Saldırılara Açık Duruma Getiren Unsurlar• Çok sayıda çalışan olması ._ •
e Birden fazla tesis bulunması
• Çalışanın nerede olduğuyla ilgili sesli mesajlarda bilgi verilmesi
• Dahilî telefon numarasının verilmesi
• Güvenlik eğitimlerinin yetersizliği
• Veri sınıflandırma sisteminin bulunmaması
9 Bir olay bildirme ya da karşı eylem planının yürürlükte olmaması
Onaylama ve Veri SınıflandırmaBu tablolar ve şemalar toplum mühendisliği saldırısı olabilecek bilgi
ya da işlem taleplerine karşılık vermenize yardımcı olacaklardır.
Kimlik Tespiti Yapılma Süreci
HAREKET TANIM
Arayan kimliğinin Gelen aramanın dahilî olup olmadığını ve görünenbelirlenmesi numaranın ya da adın, arayanın kimliğiyle uyuşup
uyuşmadığını kontrol edin.
Geri arama İstek sahibini şirket telefon rehberinden bulup,rehberde geçen numaradan onu geri arayın.
Kefil olma Güvenilir bir çalışandan istek sahibine kefilolmasını isteyin.
Paylaşılan ortak Bir parola ya da günlük şifre gibi şirket içinde kul-anahtar lanılan ortak anahtarı talep edin.
306 Aldatma Sanatı
HAREKET
Müdür ya dayönetici
Güvenli e-posta
Kişisel sestanımlama
Değişkenparolalar
Şahsen görme
TANIM (Tablonun devamı) '
Çalışanın bir üst yöneticisini arayın ve kimliğininve çalışma durumunun onaylanmasını isteyin.
Dijital olarak imzalanmış bir mesaj talep edin.
Çalışanın tanıdığı biri arıyorsa sesinden tanımayaçalışın.
Güvenli kimlik ya da başka bir güçlü tanımlamaaracı kullanarak değişken parola çözümlerinebaşvurun.
istek sahibinin personel kartıyla ya da başka birkimlik belgesiyle şahsen gelmesini isteyin.
Çalışma Durumunun Onaylanma SüreciHAREKET AÇİKLAMA
Çevrimiçi rehberde istek sahibinin adının geçipgeçmediğini kontrol edin.
Şirket rehberinde geçen numarayı kullanarakistek sahibinin yöneticisini arayın.
Şirket telefonrehberindenkontrol
İstek sahibininyöneticisininonayı
İstek sahibinin istek sahibinin bölümünü ya da iş grubunubölümünün ya da arayarak kişinin halen şirkette çalışıpiş grubunun onayı çalışmadığını kontrol edin.
Bilme Gereğini Kontrol SüreciHAREKET TANIM
Unvan/iş Belli gizli bilgilere hangi çalışanların erişim hakkıgrubu/sorumlu- olduğunu öğrenmek için önceden yayınlanmışluklar listelerine şirket içi listelere başvurun.başvurun
Kendi yöneticinizi ya da istek sahibinin yöneticisiniarayıp isteği yerine getirmek için onay isteyin.
Bilgi sahibinden istekte bulunan kişinin bilmegereği olup olmadığını öğrenin.
Yöneticidenyetki alın
Bilgi sahibindenya da yedeksorumludanyetki alın
Otomatik bir araç Yetkili personel için tescilli yazılım veri tabanlarınakullanarak bakın.yetki alın
Bir Bakışta Güvenlik 307
Şirket Çalışanı Olmayanları Belirlemekİçin Kriterler . . . -
KRİTER HAREKET
İlişki
Kimlik
Açığa vurmama
Erişim
istekte bulunan kişinin çalıştığı firmanın bir satıcı,stratejik ortak ya da başka bir iş ilişkisi olan firmaolduğundan emin olun.
istek sahibinin kimliğini ve iş durumunu satıcı/ortakfirmadan öğrenin.
istek sahibinin yürürlükte olan bir açığa vurmamaanlaşması imzaladığından emin olun.
Bilgi, dahilî veya daha üst derece olaraksınıflandırılmışa talebi yönetime gönderin.
Veri SınıflandırmaSINIFLANDIRMA AÇIKLAMA
Genel
Dahilî
Herkese serbestçe Onaylanmaya gerek yoktur,verilebilir.
Özel
Gizli
Şirket içi kullanımiçindir
Yalnızca kurumiçinde kullanılmaküzere belirlenmişkişisel niteliklibilgiler.
Kurum içinde yal-nızca kesinliklebilmesi gerekenkişilerce bilinenbilgiler.
Şirket çalışanlarının halençalışıp çalışmadıklarının kontrolüya da şirket çalışanı olmayanlariçin yürürlükte bir açığa vurma-ma anlaşmasının olması veyönetici onayının alınmasıistek sahibinin faal bir çalışanya da dışardan yetkili bir kişiolduğunun onaylanması. Yetkiliçalışanlara ya da dışardangelen taleplere özel bilgiler ver-meden önce insan kaynakların-dan kontrol edilmesi,ilgili bilgi sahibine istekte bulu-nan kişinin kimliğini ve bilmegereğini onaylatın. Yalnızcayöneticinin, bilgi sahibinin yada sorumlusunun yazılı izniyleisteği yerine getirin. Yürürlükteolan bir açığa vurmama anlaş-ması olup olmadığını kontroledin. Şirket mensubu olmayankişilere yalnızca yöneticieraçıklama yapabilir.
308 Aldatma Sanatı
Bilgi Talebine Karşılık Vermek
Altın Sorular
Bu kişinin söylediği kişi olduğunu nasıl bilebilirim?Bu kişinin böyle bir istekte bulunmak için yetkili olup olmadığını
nasıl öğrenebilirim?
istenen bilgi neyle ilgili..
ParolanızıHİÇBİR KOŞULDA
başkalarına söylemeyin.
Personel raporlama yapısı,çalışan adlan ve unvanları
Personelin kullandığı dahilîteîefon numaraları, faks
numaraları, bina içi numaralarve bolum üsteleri
Kişisel telefon numaralan(ev ya da cep), sosyalgüvenlik numarası, ev
adresi, özgeçmişi ve maaşı
İşletim sistemi çeşidi,uzaktan erişim süreçleri,
uzak bağlantı numaralan vıbilgisayar sistemlerine
verilmiş adlar
Üretim süreçleri, stratejikplanlar, tescilli kaynak
kodları, müşteri Üsteleri veticari sırlar
Hayır
Kuruluş ŞemasıAyrıntıları
Hayır
Şirket TelefonRehberi
Hayır
Kişisel Bilgiler
Hayır
g ı sayarSistemleri
Süreçleri ya daBilgile
Hayır
Gizli ya da ÖzelBilgiler
Dahilî bilgilerinaçıklanmasıyla ilgili
süreci izleyin.
Dahilî bilgilerinaçıklanmasıyla ilgili
süreci izleyin.
Dahilî bilgilerinaçıklanmasıyla ilgili
süreci izleyin.
Dahilî bilgilerinaçıklanmasıyla ilgili
süreci izleyin.
Veri sınıflarını belirleyin;bilgi vermeye yönelik olarak
ilgili süreçleri takip edin.
Bir Bakışta Güvenlik 309
İşlem Talebine Karşılık Vermek
• Altın Kurallar
rttılik tespiti yapılmadan kimseye güvenilmemelidir.Gelen taleplerin sorgulanması teşvik edilmelidir.
Talep edilen işlem
Parola Değiştirmek
Beklediğiniz bir şey değilseekleri açmayın; tüm eklerivirüs koruma yazılımlarıyla
tarayın.
HİÇBİR ZAMAN parolanızıbaşkasının bildiği bir şeyledeğiştirmeyin, bir an için
olsa bile!
Tescilli kaynak kodlan, ticarîsırlar, üretim süreçleri,
formüller, ürün özellikleri,pazarlama verileri ya da
iş planlan
Bİ boiümü tarafından özellikleonaylanmamışa herhangi birkimsenin İsteği doğrultusunda
hiçbir zaman bilmediğinizkomutlar girmeyin ve
program çalıştırmayın.
Yalnızca dijital İmzayladoğruluğu kanıtlanmış, güve-nilir kaynaklardan edindiğiniz
yazılımları yükleyin.
Bİ bölümü tarafındanözellikle onaylanmamışsa,BlOS'un, işletim sisteminin
ya da herhangi biruygulamanın (kişisel güven-lik duvarı ya da virüs koru-ma programları da dahil)ayarlarını değiştirmeyin.
Dahilî BilgiyiElektronik Olarak
Aktarmak
Herhangi BirBilgisayara Komut
Girmek
Yazılım•İndirmelcYükJemeİ
^ya da Devre.Bırakmak,
Bilgisayar ^"ya da Ağ Ayarlarının1
Değiştirilmesi
Veri sınıflarını belirleyin;bilgi vermeye yönelik olarak
ilgili süreçleri takip edin.
Böyle bir talep ancak Bİbölümünden gelebilir;
Çalışanın Kimlik TespitiSüreçlerine bakınız.
Böyle bir talep ancak Bİbölümünden gelebilir;
Çalışanın Kimlik TespitiSüreçlerine bakınız.
Böyle b/r talep ancak Bİbölümünden gelebilir;
Çalışanın Kimlik TespitiSüreçlerine bakınız.
Başkaları aüma yaptığına tüm hareteJler.
Daima kontrol edin, kontrol edin, kontrol edin.