- Mesajlar
- 64
- Credits
- 0
SOSYAL MÜHENDİSLİK ESASLARI, BÖLÜM I: Hacker Taktikleri
Revealed content
GERÇEK BİR HİKAYE
Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı.
Yabancılar binanın dışından CFO’yu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO’ sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFO’lu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.
Aslında, yabancılar CFO’nun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)
TANIMLAR
Sosyal mühendislikle okuduğum bir çok makale şu şekilde tanımlar ile başlar "insanlardan istediklerini öğrenme sanatı ve bilimi", "Dışardan bir hackerın sisteme giriş için ihtiyaç duyduğu bilgileri elde etmek için, bir bilgisayarın makul kullanıcıları üzerinde psikolojik hileler kullanmasıdır" yada "ihtiyaç duyduğun bilgileri elde et"(örneğin bir sistemi kırmaktansa bir kişiden şifreleri al). Gerçekte, sosyal mühendislik bunların hiçbirisi yapamayabilir, bu dahaçok senin nereye oturduğuna bağlıdır . Tek şey, herkes sosyal mühendisliğe kızgın gibi görünür. Genel olarak zeki bir hacker, doğal insanların güvenine eğilimi ustalıkla gerçekleştirirler. Hackerların amacı geçerli bir sistemde izinsiz girebilmeyi başarmak için başkalarının bilgilerini elde edebilmektir ve bubilgilerle sisteme ikamet edebilmektir.
Güvenlik tamamen güvenle ilgilidir. Güven, koruma ve gerçekliktir. Genel olarak, güvenlik zincirinde zayıf bir halka olarak kabul edilir, bizim birçok sömürülebilir ataklarımızı onların münakaşadan dolayı ayrılan birilerine gönüllü bir şekilde kabul ettiririz. Bir çok güvenlik deneyimine sahip bilir kişiler üstüne basarak bu olguyu belirtmektedir. Kaç tane ağ boşluklarıyla, patchlerle ve firewall lar ile ilgili makalenin yayınlanmış olması önemli değildir. Sadece bunlardan gelebilecek tehlikeleri azaltabiliriz.
Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı.
Yabancılar binanın dışından CFO’yu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO’ sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFO’lu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.
Aslında, yabancılar CFO’nun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)
TANIMLAR
Sosyal mühendislikle okuduğum bir çok makale şu şekilde tanımlar ile başlar "insanlardan istediklerini öğrenme sanatı ve bilimi", "Dışardan bir hackerın sisteme giriş için ihtiyaç duyduğu bilgileri elde etmek için, bir bilgisayarın makul kullanıcıları üzerinde psikolojik hileler kullanmasıdır" yada "ihtiyaç duyduğun bilgileri elde et"(örneğin bir sistemi kırmaktansa bir kişiden şifreleri al). Gerçekte, sosyal mühendislik bunların hiçbirisi yapamayabilir, bu dahaçok senin nereye oturduğuna bağlıdır . Tek şey, herkes sosyal mühendisliğe kızgın gibi görünür. Genel olarak zeki bir hacker, doğal insanların güvenine eğilimi ustalıkla gerçekleştirirler. Hackerların amacı geçerli bir sistemde izinsiz girebilmeyi başarmak için başkalarının bilgilerini elde edebilmektir ve bubilgilerle sisteme ikamet edebilmektir.
Güvenlik tamamen güvenle ilgilidir. Güven, koruma ve gerçekliktir. Genel olarak, güvenlik zincirinde zayıf bir halka olarak kabul edilir, bizim birçok sömürülebilir ataklarımızı onların münakaşadan dolayı ayrılan birilerine gönüllü bir şekilde kabul ettiririz. Bir çok güvenlik deneyimine sahip bilir kişiler üstüne basarak bu olguyu belirtmektedir. Kaç tane ağ boşluklarıyla, patchlerle ve firewall lar ile ilgili makalenin yayınlanmış olması önemli değildir. Sadece bunlardan gelebilecek tehlikeleri azaltabiliriz.
Moderatör tarafında düzenlendi:
