Wednesday, April 4, 2012

“Baba ben toplum mühendisi olacağım”… “aferin oğluma! Oku mühendis ol!”

Hacker olma fikrinin yavaş ama emin adımlarla filizlendiği yaşlarda karşıma çıkan bu toplum mühendisliği (social engineering) kavramın Türkiye’de dünyanın pek çok diğer ülkesine göre çok daha verimli olduğunu ancak birkaç yıl sonra keşfettim. Kültürümüz “senin işin de zor be abi” cümlesine izin verdiği sürece ayrıca dikkatli olmamız gereken bir konu.

Kimin ne bildiğini biliyor musunuz?

Hacker’in kabul olan duası: Yardımsever bir danışma görevlisi (Şekil 1-A)

Öncelikle sormamız gereken soru bu. Temel düşüncem her şirketin kendi içerisindeki para ve bilgi akışını bir şema üzerinden takip etmesi gerektiğidir. Böylece parayı gerçekte nasıl ve nereden kazandığımızı da açıkça görerek daha verimli ve karlı adımlar atma fırsatımız olacaktır. Bilginin akışı ise öncelikle işimizi kolaylaştıracaktır. Kimin ne bildiğini ve kimin neyi nasıl öğrendiğini takip ederek hangi sorunun çözümü için kime gideceğimizi bilecek ve firmaya yeni katılanların neyi bildiğini takip etme şansımız olacak. Bu tarafı biraz patronları ilgilendiriyor gerçi, beni kimden ne öğrenebileceğim ilgilendiriyor.
“Kurumsal ilk izlenim uzmanı” arkadaş veya nizamiyedeki güvenlik görevlisiyle konuşarak sizin hakkınızda ne öğrenebilirim?

Varan 1: Banka

Bir banka şubesinin önünde bir süre beklemek zorunda kaldığım bir gün, “Senin işin de zor be abi” diye başlayan sohbet zamanla derinleşti ve 2 ayın sonunda edindiğim bilgilerin bazıları şunlardı:
Para geliş ve gidiş saatleri
Para nakil prosedürün detayları
Akşam paranın kasaya konmadan önce konulduğu yer
Paranın sayılmayı beklediği bu yere dışarıdan kolayca erişmenin yolu
“Patlar maazallah” diyerek güvenlik görevlisinin silahı boş taşıdığını
Güvenlik görevlisinin hoşlandığı kadın tipini
Şubede bulunan ortalama para miktarı (günlük bilgi verebiliyordu)
Net göstermeyen ve bir nedenden çalışmayan güvenlik kameralarının hangileri olduğu
Şube alarm sisteminin kodu
Kısaca kaliteli bir soygun planlamak için gerekli olacak bilgilerin çoğunu uğraşmadan elde etmiştim.

Varan 2: kullanılmayan x-ray

Devletin ciddi ve güvenlik seviyesi hayli yüksek kurumlarından birisinin kapısından giriyorum. Sakin hareketlerle cebimden anahtarlarımı ve cep telefonumu çıkartıp elimdeki 3 adet kalınca kitapla birlikte metal detektörünün yanındaki bu iş için yapılmış yere koyuyorum ve detektörden geçiyorum.

Kitapları, anahtarlarımı ve cep telefonumu alıp danışma bankosuna yürüyorum. Kendimden emin bir ses tonuyla “başkan bey’e kitap getirdim” diyorum. “Buyurun” diyorlar, bir kart verip beni binanın içerisine tek başıma salıyorlar. Bu arada nüfus cüzdanım yanımda olmadığı için ve ehliyetimi de arabayla otoparka girerken aldıkları için kartvizit vermeyi öneriyorum, yardımsever güvenlik görevlisi kabul ediyor.

Tek başınayım, başkan’ın odasına kadar çıkacak yetkiye sahip bir geçiş kartım var, buna karşılık ellerinde benim olup olmadığını bilmedikleri bir kartvizit var. İşin ilginç tarafı içerisine herhangi bir şey saklayabileceğim kalınlıkta 3 cilt kitaba ne bakan oldu, ne metal detektöründen geçti ne de mevcut x-ray cihazından geçirildi. Bu arada sözünü ettiğim yerin misafir otoparkı olmadığı için ehliyetimi oraya vermiş olma ihtimalim hiç olmadı.

Güvenlik görevlisi varsa, x-ray ve metal detektörü yatırımı da yapıldıysa kullanılsın bir zahmet.

Beni ne mühendisler istedi de varmadım!

Toplum mühendisi: Temsili (Şekil 3-A)

Toplum mühendisliği herhangi bir saldırıdan önce yapılan araştırma (reconnaissance) döneminde önemli bir araçtır. Pasif bilgi toplama kısmını diğer bilgi toplama yöntemlerinden ayıran temel özellik pasif bilgi toplamanın “normal işleyişten” farkının olmaması gerektiğidir. Bu durumda saldıracağınız bir firmanın adını google’a yazmanın fiziksel karşılığı oraya normal şekilde girmek olacaktır. Bir müşteri gibi veya yol sorma bahanesiyle girebilirsiniz, bu normaldir. Ancak bir banka şubesine girip fotoğraf çekmek normal karşılanmayacağı için bu aktif bilgi toplama sınıfına girecektir.

İyi niyetli kişiler olduğu gibi gelenlerin bir kısmının kötü niyetli olabileceğini de hatırlamakta fayda var.

Kimin ne bildiğini bilmek ve bu kişilere karşı oluşabilecek tehditleri doğru analiz etmek ileride başınızın ağrımasını engelleyecektir. Verdiğim ikinci örnek ise konunun tersten ele alınması gibidir. Bu durumda güvenlik görevlisinin neyi bilmediğini bilmek önem kazanmaktadır. Görünen o ki girişteki arkadaşlar dışarıdan gelebilecek tehditlere karşı tamamen bilgisizler.
Korsanları bayraklı gemilerle beklediğimiz dönem bitti; onlar artık güler yüzlü, esprili, konuşkan ve halinizden anladığı için dertlerinizi anlattığınız kişiler.

Korsan: Temsili (Şekil 4-A)

No comments:

Post a Comment

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...