ARİDOSHİKA

Ulaşabildiğin her yerde

Bilgi Güvenliğinin En Zayıf Halkası İnsan Faktörü

7 min read

Hedef sistem, teknik olarak ne kadar iyi korunuyor olursa olsun, çok basit bir sızdırma operasyonu ile tamamen ele geçirilebilir.

Bilgi güvenliğini tehdit eden risklerin başında çalışanların farkındalık eksikliği gelmektedir. Dünyaca ünlü firmaların veya bankaların son yıllarda yaşadığı bilgi güvenliği ihlal olayları detaylıca incelendiğinde, sorunun ana kaynağının çalışanların bilgi güvenliği farkındalıklarının eksikliği olduğu ortaya çıkmaktadır. Zayıf parola kullanımı, bilgi doğrulamama, bilgi ifşası, phishing (oltalama) e-postalarına kanma, bilinçsiz internet gezinimi ve benzeri eksikliklerden dolayı “insan faktörü”, bilgi güvenliğinin en zayıf halkası olmaktadır. Dolayısıyla sadece sistemler değil, aynı zamanda insanlar da hackerların hedefleri arasına girmektedir.
Hackerlar, hedeflerindeki firmanın sistemlerinde bir zafiyet bulamazsa veya zorlanırsa saldırı okunu “sosyal mühendislik” yönüne çevirir ve bu ok, genellikle son kullanıcıları hedeflemektedir. Çünkü sistemlerdeki zafiyetler elbette kapatılabilir; ancak son kullanıcıların zafiyetlerinin kapatılması “sürekli” interaktif eğitimlerle başarılabilir
ve bu da bir süreç işidir.

Sosyal Mühendislik Nedir?

Sosyal mühendislik, temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi ya da kurum hakkında
bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Amaç, hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, parolalar ve saldırıda kullanılabilecek her türlü verinin toplanıp ileriki süreçlerde
işlenmesidir. Sosyal mühendislik, internette insanların zafiyetlerinden faydalanarak, çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. Bu açıklamalar her ne kadar siber dünyadaki kullanıcıların tehdidine yönelik olsa da reel hayatta da “toplum mühendisliği” adıyla karşımıza çıkmaktadır.

Geçmiş yıllarda gerçekleştirilen birkaç önemli sosyal mühendislik saldırıları:

TRUVA ATI
Truvalılar ile süren savaşta, 10 yıllık bir kuşatmadan sonra Yunanların       
geri çekiliyormuş gibi yapması ve içinde Yunan askerleri bulunan bir
tahta atı savaş meydanında bırakmasıyla Truvaalılar zaferi kutlamak için,
kendilerine hediye edilen atı Truva surlarından içeri sokarak düşmana
bir arka kapı vermişlerdir ve sonrasında ise Truva’nın düşmesine neden
olmuşlardır. Gerçek olduğunu gösteren pek bir kanıt yok. Fakat adını bir
zararlı yazılım sınıfına verecek kadar önemsenmiş bir sosyal mühendislik
saldırısı örneğidir.
Zarar: Savaş ve güvenlik araçları ve disipliniyle 10 yıl korunan şehir bir
gecede düşmana teslim edilmiştir.
Kullanılan Yöntem: Hedefi yeterli seviyede güvenlik önlemi aldığına
inandırarak bir anlamda uyutmak.
Çıkarılması Gereken Ders: İnsan psikolojisi üzerine oynanan sosyal
mühendislik oyunları, büyük yatırımlar yaparak oluşturduğunuz güvenlik
önlemlerini bir anda devre dışı bırakabilir.

 

RSA SECURID SIZINTISI

Siber saldırıların farklı amaçları olabilir. Her siber saldırıda
direkt olarak maddi kazanç hedeflenmez, hedefteki kurumun
dolaylı yolla maddi zarara veya itibar kaybına uğraması da
hedeflenebilir. RSA SecurID sızıntısı bunlardan biridir. 2011
yılında gerçekleşen veri sızıntısının detayları RSA tarafından tam
olarak açıklanmasa da SecurID iki faktörlü kimlik doğrulama
sistemi ile ilgili bazı bilgilerin çalındığı belirtilmektedir.

Zarar: Saldırgan bu saldırı sayesinde doğrudan maddi kazanç                   
elde edememekle birlikte RSA’in ana şirketi olan EMC bu veri
sızıntısı olayını kapatmak için 66 milyon usd harcamıştır.
gruplarına hedefli oltalama e-postası gönderilerek
başlatılmıştır. Saldırının başarılı olmasının nedeni e-postaların
ikna edici şekilde tasarlanmış olması ve adında “2011 İşe Alım
Planı” olan ilgili çekici bir dosya içermesidir.

Çıkarılması Gereken Ders: İnsan ve İnsan psikolojisi güvenlik
çemberinin en zayıf halkasıdır. Siber saldırganlar ise sürekli
yeni yöntemler deneyerek, bu zayıf halkayı kırmaya çalışıyorlar.
Bu zayıf halkanın güçlendirilmesi ancak ve ancak farkındalığın
oluşturulması ile mümkündür.
Kullanılan Yöntem: Saldırı RSA içerisindeki bazı çalışan

 

ABN AMRO PIRLANTA SOYGUNU

2007 yılında Belçika’da ABN Amro bankdan 28       
milyon usd değerinde pırlanta çalındı. Soygun
mesai saatlerinde, herhangi bir silah kullanılmadan
gerçekleştirilmişti.

Zarar: Bu soygunun toplam zararı 28 milyon usd
olarak açıklandı.

Kullanılan Yöntem: Soygunu gerçekleştirilen kişi,
bankanın son bir yıldır müşterisi idi. Soyguncunun
kullandığı yöntem, banka personelini ile iyi iletişim
kurmak ve kişisel özellikleriyle etkilemekti. Bu
sayede banka personelinin güvenini kazanan
soyguncu, pırlantaların bulunduğu kasa anahtarını elde ederek kopyasını oluşturabilmişti.

Çıkarılması Gereken Ders: Personelin karşısındaki kim olursa olsun, kişisel ilişkileri hangi düzeyde olursa olsun yetki ve
izinler dışında hiç kimseye herhangi bir konuda ayrıcalık tanımaması ve bu konuda uygulamalı olarak eğitilmesi gerekmektedir.
Unutulmamalıdır ki iyi iletişim, kişisel cazibe gibi sosyal araçlar, sosyal mühendislik saldırılarında sıkça kullanılmaktadır.

 

ASSOCIATED PRESS TWITTER HESABININ ELE GEÇİRİLMESİ

2013 yılında Associated Press Twitter hesabı Suriye   
Elektronik Ordusu tarafından ele geçirildi ve ele
geçirildikten sonra “Beyaz Evde patlama gerçekleşti
ve Barack Obama yaralandı” haberini paylaştı.

Zarar: Twitter hesabının ele geçirilmesi ve sonrasında
paylaşılan haber Amerikan borsası Dow Jones’da 3
dakika içinde %1 düşüşe neden oldu.

Kullanılan Yöntem: Bu saldırıyı bizim için ilgi
çekici hale getiren ve sosyal mühendislik saldırıları
başlığı altında incelememize neden olan özellik,
Twitter hesabının ele geçirilmiş olması veya nasıl ele geçirildiği değil, yetkili bir ağızdan duyulan tek bir cümle ile farklı
organizasyonların ne kadar zarar görebileceğidir.

Çıkarılması Gereken Ders: Kurumunuzu hedef alan iyi tasarlanmış oltalama saldırıları sadece bilgi içerse bile
kurumunuza ciddi zararlar verebilir.

 

NIGERIAN SCAM VE ÖNCESİ

Nigerian Scam herkesin bildiği ve hemen hemen herkesin karşılaştığı bir sosyal mühendislik yöntemidir. Fakat bu saldırı yönteminin geçmişi çok eskiye, 16. Yüzyıla dayanır. 16. Yüzyılda yardım isteyen şahıs Nijeryalı zengin işadamı değil, İspanyol bir Mahkumdu. Senaryo ise benzer şekildeydi: İspanya’da yanlışlıkla hapsedilen zengin bir işadamının kefaletle serbest bırakılması için belirli bir miktar para gerekiyordu ve karşılığında İspanyol zengin, serbest kaldıktan sonra kendisine yardım eden şahısa bir
servet vaadediyordu.

Zarar: 2013 yılı verilerine göre Nigerian Scam yönteminin tüm dünyada hesaplanan toplam zararı 12.7 milyar usd. Daha kötü
bir zarar örneği ise 2007 yılında
Amerika’da bir bölgenin 4 milyon
usd’lik bütçesinin 1.25 milyon
usd’sinin hazinedar tarafından
Nigerian Scam saldırısına
kaptırılmasıdır.

Kullanılan Yöntem: Bireylerdeki kolay yoldan kazanç veya avantaj elde etme arzusunun hedef alınması.
Çıkarılması Gereken Ders: Bireylerin/çalışanların bu tarz saldırı yöntemlerine karşı oltalama simülasyonları ile eğitilmesi gerekir. Nijeryalı zengin işadamı genel olarak bilinen bir saldırı yöntemi ve bireylerin bu tuzağa düşmeyeceklerini varsayabiliriz. Fakat unutulmamalıdır ki bu saldırı yöntemi 16. Yüzyıldan beri şekil değiştirerek devam ediyor.

 

TARGET VERİ SIZINTISI

2013 yılında perakende mega zinciri Target’ın sistemlerinden 
40 milyon kredi kartı bilgisi çalındı.
Zarar: Bu veri sızıntısının Target’a toplam zararının 280
milyon $ olduğu belirtiliyor.
Kullanılan Yöntem: Bu veri sızıntısı olayını bizim için önemli
hale getiren, saldırının ve sonuçlarının büyüklüğüyle birlikte
saldırı için kullanılan yöntemdir. Saldırganlar Target ağına
Target’a havalandırma ve ısıtma konularında hizmet veren bir
servis şirketinden phishing yöntemiyle elde ettikleri erişim
bilgileri (kullanıcı adı, parola gibi) ile sızabilmişlerdi.
Çıkarılması Gereken Ders: Kurumların karşılıklı iş ilişkisinde
bulunulan farklı kurum ve organizasyonlarla ilgili erişim
ve güvenlik politikalarının belirlenmesi ve kesin olarak uygulanması gerekir. İş ortağınıza güvenebilirsiniz, fakat iş ortağınızın bilgisayarlarını kimin kontrol ettiğini bilemezsiniz. Sosyal/toplum mühendisliğini en iyi şekilde icra ettiğini bildiğimiz David Kevin Mitnick, bu alanda yazdığı kitaplarında (Aldatma Sanatı, Sızma Sanatı) sosyal mühendislikten bahsetmiştir. Hayatını okuyup incelediğimiz kadarı ile girdiği sistemlerin %80’ine sosyal mühendislik yöntemleriyle ulaştığını gördük.

Mitnick, zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura, Mitnick ile girdiği mücadeleyi anlattığı “Takedown (The Pursuit and Capture of Kevin Mitnick, America’s Most Wanted Computer Outlaw – By the Man Who Did It)” adlı kitabında özellikle bu yönteme değinmiştir.

 

Yazan : İsmail Saygılı

Kaynak : usgf.org.tr

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.