NİTELİKLİ DOLANDIRICILIĞIN TEKNİK ADI: SOSYAL MÜHENDİSLİK
İyi ki kitaplarla aram iyi. Onlar olmasaydı nasıl bilgilenir ve nasıl dünyayı tanırdım bilmiyorum doğrusu. Bazılarınızın "internet var ya" dediğini duyar gibiyim. Evet, internet ve sosyal ağlar var bilgilenmek için ama ne kadar güvenilir buradan elde edilen bilgilere? Hele günümüzde çok fazla bilgi kirliliği varken. Yanlış anlaşılmasın; kitaplarla interneti kıyaslamıyorum. Konu kitap olunca, hiçbir şeyle kıyaslanamaz kitaplar benim için. Kitap okumak iyi bir alışkanlıktır ve bu alışkanlığı geliştirmek emek ve zaman ister. Tabii ki, her kitapta yazılanlar doğrudur, körü körüne inanın diyemem, kimse diyemez. Konuyu araştırıp inanıp inanmamak size kalmış. Okumakta olduğum kitapta, sosyal mühendislik kavramını ve kitabın bu temele dayandırıldığını okuduğumda IT ile ilgili terimlere çok yabancı kaldığımı fark ettim. Hani bizde okulu olmasa da "toplum mühendisliği" gibi abuk bir söylem vardır;kullanmayı ve kullanılmasını hiç sevmem. Sanki mübarekler toplumu yeniden inşa ediyorlarmış gibi, sosyal bir terime teknik bir kulp takmak suretiyle mühendislik eklemişler ve olmuş toplum mühendisliği. Bu ek bana itici ve yapay gelmiştir hep. Eğer böyle bir meslek varsa, dünyada neden toplum mühendisliği diye bir okulu yok? Toplum mühendisliği ile sosyal mühendislik eş anlamlı mı? Bu konuda bir şey söyleyemem. En iyisi, siz düşünün, araştırın lütfen. Aslında, yazımın konusu yeni tanıştığım "sosyal mühendislik" terimi. Yani insanları aldatmanın, dolandırmanın teknik adı. Haa, ufak bir araştırma da yaptım; kimileri sosyal mühendislik için "aldatma sanatı" deyimini kullanmışlar. Ya ben sanatın ne olduğunu bilemeyecek kadar cahilim ya da günümüzde sanatın tanımı, anlamı değişmiş!! Çünkü, günümüzde her şey sanat olarak addediliyor. Benim bildiğim, insanları sözle aldatanlara yalancı, insanların saf ve temiz duygularından, zayıflıklarından yararlanıp onların haberi olmadan, gizlice kendi adına veya başkalarının adına maddi çıkar temin edenlere de dolandırıcı dendiği. Dinozorlar devrinde kalmışım heyhat!
Akıl Oyunları' nın yazarı Daniel Palmer' in "Görme Duyma Konuşma" adlı kitabını okurken karşılaştım "sosyal mühendislik" terimiyle. 29 yaşında ve hayatının aşkıyla evli olan John Bodine' in karısı Ruby ölümcül hastalığa yakalanır(Melanom türü deri kanseri). Sağlık sigortaları üç yüz bin dolar tutan tedavi masrafını karşılamayınca, bilgisayar programcısı daha doğrusu bilgisayar oyunları tasarımcısı John, ne pahasına olursa olsun, ne yapmam gerekirse gereksin, karımın ölmesine izin vermeyeceğim diyerek ve kendince haklı bu nedene sığınarak sosyal mühendis olmaya karar verir. İnsan haklı gerekçeleri olduğunda, her şeyi yapabileceğine inanma gafletinde bulunur, ki John' da ABD' de ağır suç sayılan sigorta şirketini dolandırmaya karar verir. İlk adımları atarken yani sahte telefon numarasıyla işe başlarken şunu biliyordur: Sahte numara kullananlar, çoğunlukla kendisinin de olacağı gibi, hacker oluyorlar. Bir hackerın da yasal bir niyeti olması pek olası değil haliyle. Ve John şöyle düşünüyordu:
"IT uzmanları, yıllar boyunca, bilgisayarlardaki güvenlik altyapısını güçlendirmek için milyarlarca dolar harcayıp daha güçlü bilgisayarlar, son teknoloji antivirüs programları ve hackerları sistemlerinden uzak tutmak için çeşit çeşit araç kullanmışlardı ama müşteri hizmetlerinde çalışan kişileri aynı şekilde yenileyemiyorlardı maalesef. Bu, bir dizi kod yazarak ya da daha iyi bir model kullanmaya başlayarak çözebileceğiniz bir şey değildi çünkü. İnsanlar, ne olursa olsun insanca özellikler sergilemeye devam ederdi. Bu yüzden de bir hackerin, müşteri temsilcilerinden biriyle konuşmaya başladığında yeteneklerini sergileyerek onu sadık bir çalışandan, bilmeden suça iştirak eden birine dönüştürmesi mümkün olabiliyordu.
İnsanları istediğiniz bir işi yapmak ya da gizli bir bilgiyi ifşa etmek üzere yönlendirme sanatına, sosyal mühendislik denir. Ve eğer sosyal mühendislik suç işledikten sonra kaçmanızı sağlayan arabaysa telefon da silahınızdır. Benim de suçumu işleyebilmek için telefon numaramı gizlemem gerekiyordu." (Görme Duyma Konuşma - s:48)
Son teknoloji kullanılsa da evde, ofiste, insanlar, insanca özellikleri sergilemeye devam ettikleri sürece hemen herkesin sosyal mühendislerin kurduğu tuzağa düşmesi olası gözüküyor. Ve yazarın belirttiğine göre ; "internet, suç işleme yöntemleri için adeta bir açıköğretim fakültesidir." Bu fakülteden mezun olanlara da sanırım "sosyal mühendis" deniliyor. Yoksa, sanatçı mı demeliyim?
İnsanları aldatarak vermek istemeyecekleri bilgilere ulaşarak (bilgi güvenliği duvarını aşarak), daha sonra bu bilgileri o kişi üzerinde kullanarak daha fazla bilgi edinme, o kişiye ya da sisteme bu yollarla ciddi zarar verme olarak tanımlanabilecek sosyal mühendislik, bir çeşit hack yöntemi midir? Bu sorunun cevabı için sosyal mühendislerin ve hackerların amaçlarına bakmak gerekir. Amaç aynıysa, amaca ulaşabilecek yolların farklı olması o amaca ulaşmayı engellemez.
"Sosyal mühendisliğin genel amacı hackin genel amacı ile aynıdır; sisteme izinsiz girmeyi elde etme ya da bilgileri sırasıyla dolandırıcılık yapmak, ağa davetsiz olarak girmek, endüstriyel casusluk, kimlik hırsızlığı ya da basitçe ağa ya da sisteme zarar vermektir. Tipik hedefler: telefon şirketleri ve servisleri, büyük şirketler ve finansal kurumlar, askeri ve hükümet acentaları ve hastanelerdir." (www.cyber-warrior.org)
Sosyal mühendislik denilince dünya tarihinin ilk internet korsanı olarak bilinen Kevin D. Mitnick' in yazdığı "Aldatma Sanatı" kitabından bahsetmeden olmaz. Mitnick bu kitabında "toplum mühendisliği" terimi üzerinde durmuş. Toplum mühendisliğinin çıkış noktasını, çok zor görünen şeylere ulaşmanın oldukça basit olduğunu gösteren yazar, aynı zamanda karşı savunma için de çözüm yollarını göstermiş.
Anlaşılan o ki, bilgi ağı güvenliği kadar şirket içi çalışanların (en üst kademeden en alt birime kadar) tüm çalışanların işletme güvenliği konusunda eğitilmesi gerekmektedir. Özellikle hangi bilgilerin verilip hangi bilgilerin verilmemesi gerektiği konusunda. Son teknolojiyle donatılmış olsalar da o aygıtları kullananlar birer insan ve algılama yeteneklerinin zayıf olduğu bir anda sosyal mühendislerin tuzak sorularına istemeden cevap verebilirler. Kısacası, teknolojik bir aygıt kullanan, her insan veya şirket nitelikli dolandırıcıların (sosyal mühendis) hedef tahtasında bir hedef olmaktan kaçınamaz sanırım.
Görsel: www.cio.com.tr
Akıl Oyunları' nın yazarı Daniel Palmer' in "Görme Duyma Konuşma" adlı kitabını okurken karşılaştım "sosyal mühendislik" terimiyle. 29 yaşında ve hayatının aşkıyla evli olan John Bodine' in karısı Ruby ölümcül hastalığa yakalanır(Melanom türü deri kanseri). Sağlık sigortaları üç yüz bin dolar tutan tedavi masrafını karşılamayınca, bilgisayar programcısı daha doğrusu bilgisayar oyunları tasarımcısı John, ne pahasına olursa olsun, ne yapmam gerekirse gereksin, karımın ölmesine izin vermeyeceğim diyerek ve kendince haklı bu nedene sığınarak sosyal mühendis olmaya karar verir. İnsan haklı gerekçeleri olduğunda, her şeyi yapabileceğine inanma gafletinde bulunur, ki John' da ABD' de ağır suç sayılan sigorta şirketini dolandırmaya karar verir. İlk adımları atarken yani sahte telefon numarasıyla işe başlarken şunu biliyordur: Sahte numara kullananlar, çoğunlukla kendisinin de olacağı gibi, hacker oluyorlar. Bir hackerın da yasal bir niyeti olması pek olası değil haliyle. Ve John şöyle düşünüyordu:
"IT uzmanları, yıllar boyunca, bilgisayarlardaki güvenlik altyapısını güçlendirmek için milyarlarca dolar harcayıp daha güçlü bilgisayarlar, son teknoloji antivirüs programları ve hackerları sistemlerinden uzak tutmak için çeşit çeşit araç kullanmışlardı ama müşteri hizmetlerinde çalışan kişileri aynı şekilde yenileyemiyorlardı maalesef. Bu, bir dizi kod yazarak ya da daha iyi bir model kullanmaya başlayarak çözebileceğiniz bir şey değildi çünkü. İnsanlar, ne olursa olsun insanca özellikler sergilemeye devam ederdi. Bu yüzden de bir hackerin, müşteri temsilcilerinden biriyle konuşmaya başladığında yeteneklerini sergileyerek onu sadık bir çalışandan, bilmeden suça iştirak eden birine dönüştürmesi mümkün olabiliyordu.
İnsanları istediğiniz bir işi yapmak ya da gizli bir bilgiyi ifşa etmek üzere yönlendirme sanatına, sosyal mühendislik denir. Ve eğer sosyal mühendislik suç işledikten sonra kaçmanızı sağlayan arabaysa telefon da silahınızdır. Benim de suçumu işleyebilmek için telefon numaramı gizlemem gerekiyordu." (Görme Duyma Konuşma - s:48)
Son teknoloji kullanılsa da evde, ofiste, insanlar, insanca özellikleri sergilemeye devam ettikleri sürece hemen herkesin sosyal mühendislerin kurduğu tuzağa düşmesi olası gözüküyor. Ve yazarın belirttiğine göre ; "internet, suç işleme yöntemleri için adeta bir açıköğretim fakültesidir." Bu fakülteden mezun olanlara da sanırım "sosyal mühendis" deniliyor. Yoksa, sanatçı mı demeliyim?
İnsanları aldatarak vermek istemeyecekleri bilgilere ulaşarak (bilgi güvenliği duvarını aşarak), daha sonra bu bilgileri o kişi üzerinde kullanarak daha fazla bilgi edinme, o kişiye ya da sisteme bu yollarla ciddi zarar verme olarak tanımlanabilecek sosyal mühendislik, bir çeşit hack yöntemi midir? Bu sorunun cevabı için sosyal mühendislerin ve hackerların amaçlarına bakmak gerekir. Amaç aynıysa, amaca ulaşabilecek yolların farklı olması o amaca ulaşmayı engellemez.
"Sosyal mühendisliğin genel amacı hackin genel amacı ile aynıdır; sisteme izinsiz girmeyi elde etme ya da bilgileri sırasıyla dolandırıcılık yapmak, ağa davetsiz olarak girmek, endüstriyel casusluk, kimlik hırsızlığı ya da basitçe ağa ya da sisteme zarar vermektir. Tipik hedefler: telefon şirketleri ve servisleri, büyük şirketler ve finansal kurumlar, askeri ve hükümet acentaları ve hastanelerdir." (www.cyber-warrior.org)
Sosyal mühendislik denilince dünya tarihinin ilk internet korsanı olarak bilinen Kevin D. Mitnick' in yazdığı "Aldatma Sanatı" kitabından bahsetmeden olmaz. Mitnick bu kitabında "toplum mühendisliği" terimi üzerinde durmuş. Toplum mühendisliğinin çıkış noktasını, çok zor görünen şeylere ulaşmanın oldukça basit olduğunu gösteren yazar, aynı zamanda karşı savunma için de çözüm yollarını göstermiş.
Anlaşılan o ki, bilgi ağı güvenliği kadar şirket içi çalışanların (en üst kademeden en alt birime kadar) tüm çalışanların işletme güvenliği konusunda eğitilmesi gerekmektedir. Özellikle hangi bilgilerin verilip hangi bilgilerin verilmemesi gerektiği konusunda. Son teknolojiyle donatılmış olsalar da o aygıtları kullananlar birer insan ve algılama yeteneklerinin zayıf olduğu bir anda sosyal mühendislerin tuzak sorularına istemeden cevap verebilirler. Kısacası, teknolojik bir aygıt kullanan, her insan veya şirket nitelikli dolandırıcıların (sosyal mühendis) hedef tahtasında bir hedef olmaktan kaçınamaz sanırım.
Görsel: www.cio.com.tr
Hiç yorum yok:
Yorum Gönder