Fiziksel Güvenlik ve Sosyal Mühendislik.

   Gelişen teknoloji, bilginin günden güne değer kazanması güvenlik gereksinimlerini de aynı ivmeyle arttırmaktadır. Burada en sık yapılan hata, bilgisayar güvenliğini network güvenliğiyle paralel görmektir. Halbuki bir networke sızmanın yolu şifre kırmaktan değil, şifreyi sormaktan ve öğrenilen şifreyle kaynaklara ulaşmaktan geçer.

Network dışı ataklarlar iki başlık altında kategorize edilebilir. Bunlar fiziksel ataklar (kapının anahtarını çalmak) ve sosyal mühendislik (kapıyı içeriden açtırmak) tır.
Fiziksel ataklar:
Hedef alınan kaynaktan bilgileri alabilmek için yapılan en etkili saldırı biçimidir. Günümüzde yüksek kapasiteli sabit disklerin, ve hatta taşınabilir belleklerin yaygınlaşmasıyla birlikte fiziksel olarak erişilebilen bir kaynaktan tüm verilerin alınabilmesi artık çocuk oyuncağı. Tabi ki kulağa kolaymış gibi gelse de fiziksel erişimin sağlanması hem zor hem de oldukça risklidir.
a. Fiziksel giriş:
Çoğu organizasyonda katılaştırılmış güvenlik yapılarında mutlaka bir ya da birkaç yumuşak nokta bulmak mümkündür. Özellikle geri hizmetlerde (temizlik, güvenlik, bakım) bu açıklıklara işin doğası gereği fazlaca rastlanır. Mesela temizlik çalışanlarının kullanması için ayrılmış bir kapı ya da dışarıdan erişilebilir bir depo önemli bir güvenlik açığı teşkil edebilir. Buradan içeri sızmak isteyen bir şahısın işi çok zor olmayacaktır çünkü o girişi kullananların temel amacı temizlik işlerinin tam ve zamanında yapılmasını sağlamaktır; güvenlik değil. Bu tür kapılar genellikle mesai saatlerinde kilitsiz tutulurlar.
Binaya giren davetsiz misafir bu noktadan sonra bilgisayarlara erişip casus programlar yükleyebilir ya da bazı bilgileri çalabilir, switch kabinlerine kablosuz erişim aygıtları takabilir, ya da önemli yazılı belgere ulaşabilir.
b. İzleme
Kablosuz kameralar ve dinleme cihazları, kablosuz ağların izlenebilmesi (fiziksel güvenliği mümkün değildir) her ne kadar filmlerde karşımıza çıksa da gerçek hayatta da kullanılan yöntemlerdir. Günümüz teknolojisi sürekli gelişmektedir ve bu gelişim hiç durmamaktadır. Kimbilir hangi kapılar arkasında hangi izleme teknolojileri geliştirilmektedir. Bu araştırmalar genelde hükümet tabanlı yapılır çünkü oldukça maliyetlidirler. Daktilolardan yayılan elektromanyetik dalgaların yakalanması bir yana, CRT monitörlerin yaydıkları radyasyonun başka bir ortamda görüntüye dönüştürülebildiği bilinmektedir.
İzleme denildiğinde çok uç örneklere gitmeye de gerek yok gerçi. Birinin şifresini öğrenmek için omzunun üstünden bir ya da birkaç bakış atmak yeterli olacaktır. Aynı şekilde uzaktan dürbünle de izleme olabilir. Bu örnekleri sadece bilgisayarda sınırlandırmamak da lazım. Birçok önemli şirketin yönetim katlarının yüksek yerlerde olması, camdan içerinin izlenip tahtada yapılan çizimlerin, yazılan stratejilerin ve alınan kararların öğrenilmesini engellemektir.
Uzaktan dinleme cihazlarının kullanımı da bu kategorideki saldırılara örnektir. Mikrofonu ve kablosuz bağlantısı olan açık durumdaki bir laptop ideal bir dinleme cihazıdır ve emin olun ki uzun süre hiç dikkat çekmeyecektir.
c. Malzeme hırsızlığı
Hedef bir masaüstü bilgisayar olabildiği gibi dizüstü bilgisayar, sabit disk, avuçiçi bilgisayar ya da cep telefonu daha sık tercih edilir. Amaç bunları satıp para kazanmak değil, tabi ki üzerindeki bilgilere ulaşmaktır. Büyük bir şirketin yöneticisinin dizüstü bilgisayarında sakladığı bilgilerin parasal ve rekabet değeri düşünüldüğünde çok riskli ancak çok etkili bir yöntem olduğu açıktır. Hele bir de kilitlenmemiş, çalışır durumda çalındığında tüm şifrelenmiş dosyalara da erişim sağlanmış olur.
Çok ciddi bir güvenlik tehdidi olarak görülen bu saldırıya karşı yurtdışında organizasyonlar kurulmakta hatta bununla ilgili yazılımlar üretilmektedir. Bu yazılımlar sayesinde çalınan bir bilgisayar tamamen kilit durumuna geçer ve tüm iletişim portları otomatik olarak kapatılır, yer tespiti sağlanır.
d. Çöp kutusu
Masaüstümüzdeki çöp kutusundan bahsetmiyoruz. Eğer gerekli önlemler alınmazsa değersiz görülüp çöpe atılan bazı notlar, elektronik aletler, kullanım kılavuzları sistemler hakkında çok önemli bilgiler içerebilir. Bu sebeple Microsoft’un Redmond’daki kampüsünde açıkta çöp kutuları görmek olanaksızdır. Askeriyedeki mantık da böyledir. Hiçbir arşiv çöpe atılmaz, periyodik olarak belirlenen noktalarda yakılarak imha edilirler.
ABD Savunma Bakanlığı kullanmadığı disklerini elden çıkarırken önce diskin üzerinde adreslenebilir tüm alanlarına 0 (sıfır), daha sonra da tümüne 1 (bir) değerini seri olarak yazdırır. Daha sonra da rasgele bloklar halinde 1′ler ve 0′lar yazılır. Ancak bu sayede güvenli bir silinme işlemi tamamlanmış olur.
e. İkinci el cihazlar
Elektronik cihazlarda tutulan içerik her ne kadar silindi gibi görünse de manyetik içerik diskte durduğu sürece erişilebilir kalır ve geri döndürülebilir. Sırf bu sebeple ikici el bilgisayarların, disklerin hatta yazıcı kartuşlarının satın alınıp üzerlerindeki verilere erişilmesi söz konusudur. Yazıcı kartuşları, önceden yazdırılmış dökümanları üzerlerinde tutabilirler. Özellikle bankalarda çeklerin basıldığı kartuşlar bu özelliklere sahiptir.
Sosyal Mühendislik:
Bu yöntem doğuştan yetenek gerektirir çünkü insanları kandırmaya, ikna etmeye,manipulasyona ve güven kurmaya dayanır. Bir organizasyondaki en güvenilmez ve zayıf nokta hedef alınır : İnsan. İnsanların güvenini kazanmak kolay değildir, ama bir kez kazanıldığında ise yapılacak şeylerin sınırı olamaz. Hedef “‘insan”‘ olduğuna göre “‘insan”‘ın zayıf yönleri kullanılarak çeşitli işlerin yapılması sağlanabilir.
Taklit
Kısa süreli bir gözlemle girilecek organizasyondaki çalışanların isimleri öğrenilir, kıyafetlerine dikkat edilir ve hatta yaka kartlarının bile kopyasını çıkarma yoluna gidilebilir. Böylece bir çalışanmış gibi içeriye giriş sağlanıldığı gibi kaynaklara da erişilebilir.
Telefonla arayıp yetkili biriymiş gibi konuşmak ve bilgilere ulaşmak, ya da bazı işlemleri yaptırmak mümkündür.
Sahtekarlık
Hayali firmalar uydurup şirketlerle ilişkiye geçmek suretiyle bilgi alışverişinde bulunmak, yanıltıcı ve yönlendirici elektronik postalar atarak insanların şifrerini öğrenmek bu yönteme girer.
Şubat 2004′te Sean Michael Breen (Razor 1911) bu suçtan dolayı 4 yıl hapis ve $700.000 para cezasına çarptırındı. Breen’in tek yaptığı çeşitli oyun firmalarına mail yollayıp kendi internet sitelerinde incelemesini yazmak üzere henüz çıkmamış olan oyunların kopyasını istemek ve bu oyunları kırıp internette oyun henüz piyasaya çıkmadan dağıtmaktı. Burada dikkat edilecek konu şu ki, oyunları (Quake, Warcraft3, Terminal Velocity vb.) Breen izinsiz olarak indirmedi; oyun firmaları kendi elleriyle yolladı.
Kompliman
Yetkili birinden yardım isteyip o sırada sürekli onu överek gururu okşanır ve bu zayıflığından faydalanılarak fazlaca bilgi alınması sağlanır. Örneğin bir şirketin bilgi işleminden bilgi alınmak isteniyorsa önce santral aranır ve bilgi işlem’e yönlendirmesi rica edilir. Bilgi işlem çağrının organizasyon içinden geldiğini görüp ahizeyi ona göre kaldırır. Böylece birinci kademe güven ilişkisi kurulmuş olur. İşin geri kalan kısmı saldıran tarafın yeteneğiyle doğru orantılıdır. Karşı taraf ne kadar pohpohlanırsa ağzından o kadar çok laf alınır.
Görüldüğü üzere herhangi bir bilgiye erişmenin türlü yolları var. Tabi şunu unutmamak gerekir ki elde edilmek istenen bilginin türü her ne olursa olsun ve hangi amaca hizmet ederse etsin bu yolları kullanmak hiçbir kültürde etik kabul edilemez. Yapılan işin bilgi hırsızlığı olması, bilgisayarlarla sınırlı kalması suçun çehresini yumuşatmaz.
Bu güne kadar fiziksel güvenlik önlemlerini almamış, çalışanlarını sosyal mühendisliğe karşı eğitmemiş bir kurum ya da kuruluşa söylenecek iki söz vardır: Ya “‘bugüne kadar hiç cazip bir hedef olmamışsınız”‘, ya da “‘ayakta uyumuşsunuz!!!”‘

Saygılar.

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Fiziksel Güvenlik ve Sosyal Mühendislik. GÃ¶nderim ZamanÄ±: 07-04-2010 Saat 08:02
	Gelişen teknoloji, bilginin günden güne değer kazanması güvenlik gereksinimlerini de aynı ivmeyle arttırmaktadır. Burada en sık yapılan hata, bilgisayar güvenliğini network güvenliğiyle paralel görmektir. Halbuki bir networke sızmanın yolu şifre kırmaktan değil, şifreyi sormaktan ve öğrenilen şifreyle kaynaklara ulaşmaktan geçer. Network dışı ataklarlar iki başlık altında kategorize edilebilir. Bunlar fiziksel ataklar (kapının anahtarını çalmak) ve sosyal mühendislik (kapıyı içeriden açtırmak) tır. Fiziksel ataklar: Hedef alınan kaynaktan bilgileri alabilmek için yapılan en etkili saldırı biçimidir. Günümüzde yüksek kapasiteli sabit disklerin, ve hatta taşınabilir belleklerin yaygınlaşmasıyla birlikte fiziksel olarak erişilebilen bir kaynaktan tüm verilerin alınabilmesi artık çocuk oyuncağı. Tabi ki kulağa kolaymış gibi gelse de fiziksel erişimin sağlanması hem zor hem de oldukça risklidir. a. Fiziksel giriş: Çoğu organizasyonda katılaştırılmış güvenlik yapılarında mutlaka bir ya da birkaç yumuşak nokta bulmak mümkündür. Özellikle geri hizmetlerde (temizlik, güvenlik, bakım) bu açıklıklara işin doğası gereği fazlaca rastlanır. Mesela temizlik çalışanlarının kullanması için ayrılmış bir kapı ya da dışarıdan erişilebilir bir depo önemli bir güvenlik açığı teşkil edebilir. Buradan içeri sızmak isteyen bir şahısın işi çok zor olmayacaktır çünkü o girişi kullananların temel amacı temizlik işlerinin tam ve zamanında yapılmasını sağlamaktır; güvenlik değil. Bu tür kapılar genellikle mesai saatlerinde kilitsiz tutulurlar. Binaya giren davetsiz misafir bu noktadan sonra bilgisayarlara erişip casus programlar yükleyebilir ya da bazı bilgileri çalabilir, switch kabinlerine kablosuz erişim aygıtları takabilir, ya da önemli yazılı belgere ulaşabilir. b. İzleme Kablosuz kameralar ve dinleme cihazları, kablosuz ağların izlenebilmesi (fiziksel güvenliği mümkün değildir) her ne kadar filmlerde karşımıza çıksa da gerçek hayatta da kullanılan yöntemlerdir. Günümüz teknolojisi sürekli gelişmektedir ve bu gelişim hiç durmamaktadır. Kimbilir hangi kapılar arkasında hangi izleme teknolojileri geliştirilmektedir. Bu araştırmalar genelde hükümet tabanlı yapılır çünkü oldukça maliyetlidirler. Daktilolardan yayılan elektromanyetik dalgaların yakalanması bir yana, CRT monitörlerin yaydıkları radyasyonun başka bir ortamda görüntüye dönüştürülebildiği bilinmektedir. İzleme denildiğinde çok uç örneklere gitmeye de gerek yok gerçi. Birinin şifresini öğrenmek için omzunun üstünden bir ya da birkaç bakış atmak yeterli olacaktır. Aynı şekilde uzaktan dürbünle de izleme olabilir. Bu örnekleri sadece bilgisayarda sınırlandırmamak da lazım. Birçok önemli şirketin yönetim katlarının yüksek yerlerde olması, camdan içerinin izlenip tahtada yapılan çizimlerin, yazılan stratejilerin ve alınan kararların öğrenilmesini engellemektir. Uzaktan dinleme cihazlarının kullanımı da bu kategorideki saldırılara örnektir. Mikrofonu ve kablosuz bağlantısı olan açık durumdaki bir laptop ideal bir dinleme cihazıdır ve emin olun ki uzun süre hiç dikkat çekmeyecektir. c. Malzeme hırsızlığı Hedef bir masaüstü bilgisayar olabildiği gibi dizüstü bilgisayar, sabit disk, avuçiçi bilgisayar ya da cep telefonu daha sık tercih edilir. Amaç bunları satıp para kazanmak değil, tabi ki üzerindeki bilgilere ulaşmaktır. Büyük bir şirketin yöneticisinin dizüstü bilgisayarında sakladığı bilgilerin parasal ve rekabet değeri düşünüldüğünde çok riskli ancak çok etkili bir yöntem olduğu açıktır. Hele bir de kilitlenmemiş, çalışır durumda çalındığında tüm şifrelenmiş dosyalara da erişim sağlanmış olur. Çok ciddi bir güvenlik tehdidi olarak görülen bu saldırıya karşı yurtdışında organizasyonlar kurulmakta hatta bununla ilgili yazılımlar üretilmektedir. Bu yazılımlar sayesinde çalınan bir bilgisayar tamamen kilit durumuna geçer ve tüm iletişim portları otomatik olarak kapatılır, yer tespiti sağlanır. d. Çöp kutusu Masaüstümüzdeki çöp kutusundan bahsetmiyoruz. Eğer gerekli önlemler alınmazsa değersiz görülüp çöpe atılan bazı notlar, elektronik aletler, kullanım kılavuzları sistemler hakkında çok önemli bilgiler içerebilir. Bu sebeple Microsoft’un Redmond’daki kampüsünde açıkta çöp kutuları görmek olanaksızdır. Askeriyedeki mantık da böyledir. Hiçbir arşiv çöpe atılmaz, periyodik olarak belirlenen noktalarda yakılarak imha edilirler. ABD Savunma Bakanlığı kullanmadığı disklerini elden çıkarırken önce diskin üzerinde adreslenebilir tüm alanlarına 0 (sıfır), daha sonra da tümüne 1 (bir) değerini seri olarak yazdırır. Daha sonra da rasgele bloklar halinde 1′ler ve 0′lar yazılır. Ancak bu sayede güvenli bir silinme işlemi tamamlanmış olur. e. İkinci el cihazlar Elektronik cihazlarda tutulan içerik her ne kadar silindi gibi görünse de manyetik içerik diskte durduğu sürece erişilebilir kalır ve geri döndürülebilir. Sırf bu sebeple ikici el bilgisayarların, disklerin hatta yazıcı kartuşlarının satın alınıp üzerlerindeki verilere erişilmesi söz konusudur. Yazıcı kartuşları, önceden yazdırılmış dökümanları üzerlerinde tutabilirler. Özellikle bankalarda çeklerin basıldığı kartuşlar bu özelliklere sahiptir. Sosyal Mühendislik: Bu yöntem doğuştan yetenek gerektirir çünkü insanları kandırmaya, ikna etmeye,manipulasyona ve güven kurmaya dayanır. Bir organizasyondaki en güvenilmez ve zayıf nokta hedef alınır : İnsan. İnsanların güvenini kazanmak kolay değildir, ama bir kez kazanıldığında ise yapılacak şeylerin sınırı olamaz. Hedef “‘insan”‘ olduğuna göre “‘insan”‘ın zayıf yönleri kullanılarak çeşitli işlerin yapılması sağlanabilir. Taklit Kısa süreli bir gözlemle girilecek organizasyondaki çalışanların isimleri öğrenilir, kıyafetlerine dikkat edilir ve hatta yaka kartlarının bile kopyasını çıkarma yoluna gidilebilir. Böylece bir çalışanmış gibi içeriye giriş sağlanıldığı gibi kaynaklara da erişilebilir. Telefonla arayıp yetkili biriymiş gibi konuşmak ve bilgilere ulaşmak, ya da bazı işlemleri yaptırmak mümkündür. Sahtekarlık Hayali firmalar uydurup şirketlerle ilişkiye geçmek suretiyle bilgi alışverişinde bulunmak, yanıltıcı ve yönlendirici elektronik postalar atarak insanların şifrerini öğrenmek bu yönteme girer. Şubat 2004′te Sean Michael Breen (Razor 1911) bu suçtan dolayı 4 yıl hapis ve $700.000 para cezasına çarptırındı. Breen’in tek yaptığı çeşitli oyun firmalarına mail yollayıp kendi internet sitelerinde incelemesini yazmak üzere henüz çıkmamış olan oyunların kopyasını istemek ve bu oyunları kırıp internette oyun henüz piyasaya çıkmadan dağıtmaktı. Burada dikkat edilecek konu şu ki, oyunları (Quake, Warcraft3, Terminal Velocity vb.) Breen izinsiz olarak indirmedi; oyun firmaları kendi elleriyle yolladı. Kompliman Yetkili birinden yardım isteyip o sırada sürekli onu överek gururu okşanır ve bu zayıflığından faydalanılarak fazlaca bilgi alınması sağlanır. Örneğin bir şirketin bilgi işleminden bilgi alınmak isteniyorsa önce santral aranır ve bilgi işlem’e yönlendirmesi rica edilir. Bilgi işlem çağrının organizasyon içinden geldiğini görüp ahizeyi ona göre kaldırır. Böylece birinci kademe güven ilişkisi kurulmuş olur. İşin geri kalan kısmı saldıran tarafın yeteneğiyle doğru orantılıdır. Karşı taraf ne kadar pohpohlanırsa ağzından o kadar çok laf alınır. Görüldüğü üzere herhangi bir bilgiye erişmenin türlü yolları var. Tabi şunu unutmamak gerekir ki elde edilmek istenen bilginin türü her ne olursa olsun ve hangi amaca hizmet ederse etsin bu yolları kullanmak hiçbir kültürde etik kabul edilemez. Yapılan işin bilgi hırsızlığı olması, bilgisayarlarla sınırlı kalması suçun çehresini yumuşatmaz. Bu güne kadar fiziksel güvenlik önlemlerini almamış, çalışanlarını sosyal mühendisliğe karşı eğitmemiş bir kurum ya da kuruluşa söylenecek iki söz vardır: Ya “‘bugüne kadar hiç cazip bir hedef olmamışsınız”‘, ya da “‘ayakta uyumuşsunuz!!!”‘ Saygılar.