01-04-2016 Saat: 17:00
Sosyal Mühendislik için eleştirel düşünmeye – critical thinking – geçmeden önce insanların eleştirel düşünmesinin önüne geçen ve psikolojide tanımlanmış bir kavrama değineceğim.
Functional Fixedness yani İşlevsel Sabitlik. Birşeyi sadece bilinen kullanımlarıyla değerlendirme, problem çözmede eski, bilinen yöntem ve tekniklere takılıp kalma ve yeni yaklaşımları görmeme eğilimidir. Bu daha basit şekilde bir şeyin amaçlanan, bilinen fonksiyonları dışında yeni, daha başka amaçlar içinde kullanılabileceğini, yararlanılabileceğini görememe durumudur. İşlevsel Sabitlik, yaratıcı düşünmenin karşıtı ve önündeki engel olarak görülmektedir. İşlevsel sabitliği Karl Duncker sunmuş ve meşhur Mum Deneyi ile test etmiştir. Bu deney davranış biliminde temel olarak alınmaktadır.
Sosyal Mühendislik – İz Sürme
Size zarar vermeyi ya da önemli bilgilerinizi elde etmeyi kafasına koymuş biri bıraktığınız ufak izlerden hakkınızda çok önemli detaylara ulaşabilir. Sosyal Mühendis dediğimiz bu birey birde korkusuz ve soğuk kanlıysa elde ettiği küçük bilgileri önemli detayları öğrenmek için kullanacaktır. İşte bu yolda yapılan işlemler bir avcının iz sürme kurallarıdır. Onların işi özel bilgileri ortaya çıkarmaktır. Yalan söyleme konusunda profesyoneldirler. Bilgi edinme aşamasında, küçük yalanlarla ve oyunlarla önemli bilgilere erişebilirler. Sosyal mühendis önce bir yem atar ortaya sonrada kurbanı yemlemeye başlar. Yem kurbanın ilgi göstereceği, yakınında bulunacağı herhangi birşey olabilir. Yemlemek ise, çeşitli aldatmacalarla bilgi çalma işlemidir. Beyninde canlandırdığı senaryoları ustaca yalanlar söyleyerek bir oyun haline dönüştürür. Kuralları kendisi koymuştur, sonuç istediği gibi olacaktır sosyal mühendis için.
Sahte senaryolar uydurmak (pretexting)
Sosyal Mühendislik saldırısı yöntemlerinden “Sahte senaryolar uydurmak (pretexting)” yöntemine değinelim. Genellikle telefonla veya bire-bir tarzda gelişen saldırı yöntemidir. Hedefin belirlenmesi, hedefe dair bilgi toplanması, hedefle iletişim/ilişki kurulması aşamasından sonra saldırıya geçilir. Amaç, sahte bir senaryo/hikaye uydurarak bu senaryonun içine serpiştirilmiş tuzaklarla hedeften istenilen bilgiyi almaktır. ( ilerleyen aşamalarda kullanmak üzere kişisel bilgiler, şifreler, özel bir sır vs) Telefon üzerinden yapılan saldırılarda hemen her şekilde elde edilebilecek bilgiler sorulur ilk olarak. Ancak yetkinlendirme için gerekli bilgilerin istenmesine sıra gelmesi için sosyal mühendis profesyonellik gereği ağır ağır ilerleyecektir. Sonunda bilgi isteme aşaması hassas bilgiler olan doğum tarihi, kimlik numarası vb bilgilere gelecektir. Sahte senaryolar uydurmak diğer adıyla pretexting yönteminde başarı oranı oldukça yüksektir. Çünkü saldırgan plan dışı olayları/durumları da göz önünde bulundururak kendini herşeye karşı hazırlıklı olarak donatacaktır. Böyle olunca hedefin saldırıyı anlaması ve karşı koyması bilgi çalınmasına izin vermemesi oldukça zor.
Medya manipülasyonu ya da yönlendirmesi
Manipülasyon, yönlendirmek, etki altına almak, insanları istenildiği şekilde düşünmeye sevketmek şeklinde zihinsel süreçleri açıklamada kullanılan bir kavramdır. Haber kaynaklarımız eskisi kadar kısıtlı değil. Eskiden yazılı medya aracı olarak gazeteler, görsel olarak sadece televizyon vardı. Günümüzde ise internet ve internetin getirmiş olduğu milyonlarca insanı birbiri ile iletişime davet eden sosyal ağlar var. Bu sosyal ağlar o kadar büyüdü ve hızlandıki artık TV ‘den önce Facebook ve Twitter’dan alıyoruz önemli bir haberi. Hem TV Manipülasyonmedyasının hemde internetteki kaynaklarda haberlerin, olayların nasıl manipüle edildiğine değinelim biraz. Haberler bizlere ulaşmadan önce medya çalışanları tarafından şekillendirilirler. Realiteden uzaklaştırılmış, bilinçli olarak üretilen mesajlar ile sunulan haberler insanları düşünsel açıdan manipüle eder. Medya gücünü elinde bulunduranlar empoze etmek istedikleri fikirleri ellerindeki en kıymetli araç olan manipülasyon ile gerçekleştirebilirler. Medya gerçekliğin belli boyutlarını vurgulayıp belli boyutlarını örtbas ederek ya da kendi istediği şekilde değiştirerek yansıtabilir. Bu manipülasyondur. Yanlış veya yalan haber tehlikeli değildir. Birkaç saat belki bir kaç güne yalan olduğu ortaya çıkar öğrenebiliriz.Ancak manipüle edilerek bizlere sunulmuş gerçekler inandırıcı, kışkırtıcıdır. Manipülasyon maalesef kendini çok hızlı şekilde benimsetme gücüne sahiptir. Bu yüzden topluluklar manipüle edilmiş bir gerçekliğin arkasından sürüklenebilirler.
Bir sosyal mühendis nasıl bakar ?
Bir sosyal mühendis ne yan bakar, ne dik bakar. Karşısındaki insanın ne dost diyerek başına nede düşman diyerek ayağına bakar. Bunların arasında kalan ince bir çizgide bakar ki almak istediğini alabilsin ve hedefine ulaşabilsin. Sosyal Mühendis amaçları doğrultusunda hareket ederken
tanıştığı insanların hemen hepsini aynı mesafede yakın tutar kendine ve samimiyetini buna göre ayarlar. Zor bir hedef üzerinde çalışıyorsa süreç uzun olacağından bu ilişkilerini kesmemesi adına bakış açısı hep hedefine giden yolda bilgi edineceği insanların ayrıntılı özelliklerindedir. Çünkü insanların hoşuna gidecek bir şey yapacaksa, bunun onların hoşlandığı küçük detaylarda yattığını bilir.
Bunlar bazen çok küçük önemsiz görünen bazense gizli kalmış detayların ortaya çıkarılmasıyla sosyal mühendisin işine yarar. Örnek verecek olursak, bir kıza kıyafetinin yakıştığını söylemek, o gün sürdüğü ojenin renginden hoşlandığını ya da dünden farklı bir küpe taktığında bunun farkına varmak diyebiliriz. Ciddiyetinden ödün vermeden ama esprili tarafını da insanlardan saklamadan ilerlemektedir sosyal mühendis. Bazen bir arkadaşının esprisini kullanarak ona atıfta bulunur ve sempatisini kazanır, bazense yaptığı işlere arkadaşlarını da dahil ederek yükünü hafifletir ve aynı zamanda dostluk ilişkilerini güçlendirir. Gücünü yakınındakilerin yararına kullanmaktan kaçınmaz. Sorumluluk almaktan kaçmaz, hırsı sorumluklarını yerine getirmesinin en iyi tetikleyicisidir. Bazen kendisi lider konumundadır ve çevresini yönlendirir ama yeri geldiğinde bir liderin arkasında durmaktan destek olmaktan korkmaz.
Güvenliğin En Zayıf Halkası-İnsan
Sosyal Mühendislik ile ilgili bir yazı ile karşınızdayım. Her sosyal mühendislik yazısında dediğim gibi sürekli olarak yazı çıramıyorum ancak az ve öz olmasına dikkat ediyorum. Bu konuda kendi kalemimden bir yazı değilde Kevin Mitnick ‘in (efsane hacker) “Aldatma Sanatı” adlı kitabından küçük bir bölümü aktaracağım. Sosyal Mühendislikte amaç teknolojik ve mekanik güvenliği değil insanın güvenlik zaafiyetlerini kullanmaktır. Kevin Mitnick bunu kitabında Güvenliğin En Zayıf Halkası başlığı ile paylaşmış.
Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarını çalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilirler ve uygun sistem yapılandırmasını ve güvenlik yamaların! kullanmak konularında son derece dikkatli davranabilirler.
Bu bireyler yine de tamamen savunmasızdırlar.
Yakın bir geçmişte Kongre’ye ifade verirken, başka birisi gibi davranarak ve yalnızca bu bilgiyi isteyerek, şifreleri ve diğer hassas bilgileri çoğu zaman şirketlerden alabildiğimi anlattım. Tam anlamıyla güvende olduğunu bilmeyi istemek doğal bir duygudur ama bu, pek çok İnsanın sahte bir güvenlik hissiyle yetinmesine de neden olur. Karısını, çocuklarını ve evini korumak için ön kapısına,
maymuncukla açılamaz olarak bilinen, Medico marka bir silindirli kilit taktırmış, sorumluluk sahibi ve sevecen bir ev sahibini düşünün. Davetsiz misafirlere karşı ailesini güvenceye aldığı için içi rahat. Ama pencereyi kıran ya da garaj kapısının şifresini bozan hırsızlara ne olacak? Güçlü bir aiarm sistemi yerleştirmek daha iyi olurdu ancak yine de bir garantisi yok. Pahalı kilitler olsun ya da olmasın, ev sahibinin saldırıya açık olma hali devam ediyor. Neden? Çünkü İnsan unsuru aslında güvenliğin en zayıf halkasıdır.
Güvenlik çoğu zaman bir yanılgıdan ibarettir, jşin içine dikkatsizlik, saflık ve cahillik de girince daha da kötü olur. Yirminci yüzyılın en saygın bilimadamı olan Albert Einstein şöyle demiştir: “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” Sonuç olarak, insanlar aptailarsa ya da daha sık görülen şekliyle, doğru güvenlik uygulamaları konusunda bilgisizlerse, toplum mühendisliği saldırıları başarılı olmaktadır. Pek çok bilişim teknolojileri (BT) sektörü çalışanı, güvenlik bilincine sahip aile reisimizle aynı yaklaşımı kullanarak, güvenlik duvarları, müdahaleleri ortaya çıkarma sistemleri ya da daha güçlü tanıma sistemleri olan zaman tabanlı kartlar ve biyometrik akıllı kartlar gibi herkesçe kabul görmüş güvenlik ürünleri kullandıkları için şirketlerini saldırılara karşı büyük ölçüde güvende tuttukları doğrultusunda yanlış bir kanıya sahiptirler.
Güvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağına inanan biri, güvenlik konusunda kendini kandırıyor demektir. Bu ancak hayal aleminde görülebilecek bir durumdur. Bu insanlar er ya da geç, kaçınılmaz olarak bir güvenlik sorunu yaşayacaklardır.
Tanınmış bir güvenlik danışmanı olan Bruce Schneier’ın da dediği gibi, “Güvenlik bir ürün değil, bir süreçtir.” Dahası, güvenlik bir teknoloji sorunu değildir; bir insan ve yönetim sorunudur. Araştırmacılar sürekli olarak daha iyi güvenlik teknolojileri geliştirip
teknik açıkları sömürmeyi giderek zoriaştırınca, saldırganlar insan unsurunu sömürme yoluna daha çok gideceklerdir, insanların güvenlikduvarını kırmak genellikle daha kolaydır ve bir telefon görüşmesinden
başka yatırım istemediği gibi riski de çok düşüktür.
alıntıdır
Functional Fixedness yani İşlevsel Sabitlik. Birşeyi sadece bilinen kullanımlarıyla değerlendirme, problem çözmede eski, bilinen yöntem ve tekniklere takılıp kalma ve yeni yaklaşımları görmeme eğilimidir. Bu daha basit şekilde bir şeyin amaçlanan, bilinen fonksiyonları dışında yeni, daha başka amaçlar içinde kullanılabileceğini, yararlanılabileceğini görememe durumudur. İşlevsel Sabitlik, yaratıcı düşünmenin karşıtı ve önündeki engel olarak görülmektedir. İşlevsel sabitliği Karl Duncker sunmuş ve meşhur Mum Deneyi ile test etmiştir. Bu deney davranış biliminde temel olarak alınmaktadır.
Sosyal Mühendislik – İz Sürme
Size zarar vermeyi ya da önemli bilgilerinizi elde etmeyi kafasına koymuş biri bıraktığınız ufak izlerden hakkınızda çok önemli detaylara ulaşabilir. Sosyal Mühendis dediğimiz bu birey birde korkusuz ve soğuk kanlıysa elde ettiği küçük bilgileri önemli detayları öğrenmek için kullanacaktır. İşte bu yolda yapılan işlemler bir avcının iz sürme kurallarıdır. Onların işi özel bilgileri ortaya çıkarmaktır. Yalan söyleme konusunda profesyoneldirler. Bilgi edinme aşamasında, küçük yalanlarla ve oyunlarla önemli bilgilere erişebilirler. Sosyal mühendis önce bir yem atar ortaya sonrada kurbanı yemlemeye başlar. Yem kurbanın ilgi göstereceği, yakınında bulunacağı herhangi birşey olabilir. Yemlemek ise, çeşitli aldatmacalarla bilgi çalma işlemidir. Beyninde canlandırdığı senaryoları ustaca yalanlar söyleyerek bir oyun haline dönüştürür. Kuralları kendisi koymuştur, sonuç istediği gibi olacaktır sosyal mühendis için.
Sahte senaryolar uydurmak (pretexting)
Sosyal Mühendislik saldırısı yöntemlerinden “Sahte senaryolar uydurmak (pretexting)” yöntemine değinelim. Genellikle telefonla veya bire-bir tarzda gelişen saldırı yöntemidir. Hedefin belirlenmesi, hedefe dair bilgi toplanması, hedefle iletişim/ilişki kurulması aşamasından sonra saldırıya geçilir. Amaç, sahte bir senaryo/hikaye uydurarak bu senaryonun içine serpiştirilmiş tuzaklarla hedeften istenilen bilgiyi almaktır. ( ilerleyen aşamalarda kullanmak üzere kişisel bilgiler, şifreler, özel bir sır vs) Telefon üzerinden yapılan saldırılarda hemen her şekilde elde edilebilecek bilgiler sorulur ilk olarak. Ancak yetkinlendirme için gerekli bilgilerin istenmesine sıra gelmesi için sosyal mühendis profesyonellik gereği ağır ağır ilerleyecektir. Sonunda bilgi isteme aşaması hassas bilgiler olan doğum tarihi, kimlik numarası vb bilgilere gelecektir. Sahte senaryolar uydurmak diğer adıyla pretexting yönteminde başarı oranı oldukça yüksektir. Çünkü saldırgan plan dışı olayları/durumları da göz önünde bulundururak kendini herşeye karşı hazırlıklı olarak donatacaktır. Böyle olunca hedefin saldırıyı anlaması ve karşı koyması bilgi çalınmasına izin vermemesi oldukça zor.
Medya manipülasyonu ya da yönlendirmesi
Manipülasyon, yönlendirmek, etki altına almak, insanları istenildiği şekilde düşünmeye sevketmek şeklinde zihinsel süreçleri açıklamada kullanılan bir kavramdır. Haber kaynaklarımız eskisi kadar kısıtlı değil. Eskiden yazılı medya aracı olarak gazeteler, görsel olarak sadece televizyon vardı. Günümüzde ise internet ve internetin getirmiş olduğu milyonlarca insanı birbiri ile iletişime davet eden sosyal ağlar var. Bu sosyal ağlar o kadar büyüdü ve hızlandıki artık TV ‘den önce Facebook ve Twitter’dan alıyoruz önemli bir haberi. Hem TV Manipülasyonmedyasının hemde internetteki kaynaklarda haberlerin, olayların nasıl manipüle edildiğine değinelim biraz. Haberler bizlere ulaşmadan önce medya çalışanları tarafından şekillendirilirler. Realiteden uzaklaştırılmış, bilinçli olarak üretilen mesajlar ile sunulan haberler insanları düşünsel açıdan manipüle eder. Medya gücünü elinde bulunduranlar empoze etmek istedikleri fikirleri ellerindeki en kıymetli araç olan manipülasyon ile gerçekleştirebilirler. Medya gerçekliğin belli boyutlarını vurgulayıp belli boyutlarını örtbas ederek ya da kendi istediği şekilde değiştirerek yansıtabilir. Bu manipülasyondur. Yanlış veya yalan haber tehlikeli değildir. Birkaç saat belki bir kaç güne yalan olduğu ortaya çıkar öğrenebiliriz.Ancak manipüle edilerek bizlere sunulmuş gerçekler inandırıcı, kışkırtıcıdır. Manipülasyon maalesef kendini çok hızlı şekilde benimsetme gücüne sahiptir. Bu yüzden topluluklar manipüle edilmiş bir gerçekliğin arkasından sürüklenebilirler.
Bir sosyal mühendis nasıl bakar ?
Bir sosyal mühendis ne yan bakar, ne dik bakar. Karşısındaki insanın ne dost diyerek başına nede düşman diyerek ayağına bakar. Bunların arasında kalan ince bir çizgide bakar ki almak istediğini alabilsin ve hedefine ulaşabilsin. Sosyal Mühendis amaçları doğrultusunda hareket ederken
tanıştığı insanların hemen hepsini aynı mesafede yakın tutar kendine ve samimiyetini buna göre ayarlar. Zor bir hedef üzerinde çalışıyorsa süreç uzun olacağından bu ilişkilerini kesmemesi adına bakış açısı hep hedefine giden yolda bilgi edineceği insanların ayrıntılı özelliklerindedir. Çünkü insanların hoşuna gidecek bir şey yapacaksa, bunun onların hoşlandığı küçük detaylarda yattığını bilir.
Bunlar bazen çok küçük önemsiz görünen bazense gizli kalmış detayların ortaya çıkarılmasıyla sosyal mühendisin işine yarar. Örnek verecek olursak, bir kıza kıyafetinin yakıştığını söylemek, o gün sürdüğü ojenin renginden hoşlandığını ya da dünden farklı bir küpe taktığında bunun farkına varmak diyebiliriz. Ciddiyetinden ödün vermeden ama esprili tarafını da insanlardan saklamadan ilerlemektedir sosyal mühendis. Bazen bir arkadaşının esprisini kullanarak ona atıfta bulunur ve sempatisini kazanır, bazense yaptığı işlere arkadaşlarını da dahil ederek yükünü hafifletir ve aynı zamanda dostluk ilişkilerini güçlendirir. Gücünü yakınındakilerin yararına kullanmaktan kaçınmaz. Sorumluluk almaktan kaçmaz, hırsı sorumluklarını yerine getirmesinin en iyi tetikleyicisidir. Bazen kendisi lider konumundadır ve çevresini yönlendirir ama yeri geldiğinde bir liderin arkasında durmaktan destek olmaktan korkmaz.
Güvenliğin En Zayıf Halkası-İnsan
Sosyal Mühendislik ile ilgili bir yazı ile karşınızdayım. Her sosyal mühendislik yazısında dediğim gibi sürekli olarak yazı çıramıyorum ancak az ve öz olmasına dikkat ediyorum. Bu konuda kendi kalemimden bir yazı değilde Kevin Mitnick ‘in (efsane hacker) “Aldatma Sanatı” adlı kitabından küçük bir bölümü aktaracağım. Sosyal Mühendislikte amaç teknolojik ve mekanik güvenliği değil insanın güvenlik zaafiyetlerini kullanmaktır. Kevin Mitnick bunu kitabında Güvenliğin En Zayıf Halkası başlığı ile paylaşmış.
Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarını çalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilirler ve uygun sistem yapılandırmasını ve güvenlik yamaların! kullanmak konularında son derece dikkatli davranabilirler.
Bu bireyler yine de tamamen savunmasızdırlar.
Yakın bir geçmişte Kongre’ye ifade verirken, başka birisi gibi davranarak ve yalnızca bu bilgiyi isteyerek, şifreleri ve diğer hassas bilgileri çoğu zaman şirketlerden alabildiğimi anlattım. Tam anlamıyla güvende olduğunu bilmeyi istemek doğal bir duygudur ama bu, pek çok İnsanın sahte bir güvenlik hissiyle yetinmesine de neden olur. Karısını, çocuklarını ve evini korumak için ön kapısına,
maymuncukla açılamaz olarak bilinen, Medico marka bir silindirli kilit taktırmış, sorumluluk sahibi ve sevecen bir ev sahibini düşünün. Davetsiz misafirlere karşı ailesini güvenceye aldığı için içi rahat. Ama pencereyi kıran ya da garaj kapısının şifresini bozan hırsızlara ne olacak? Güçlü bir aiarm sistemi yerleştirmek daha iyi olurdu ancak yine de bir garantisi yok. Pahalı kilitler olsun ya da olmasın, ev sahibinin saldırıya açık olma hali devam ediyor. Neden? Çünkü İnsan unsuru aslında güvenliğin en zayıf halkasıdır.
Güvenlik çoğu zaman bir yanılgıdan ibarettir, jşin içine dikkatsizlik, saflık ve cahillik de girince daha da kötü olur. Yirminci yüzyılın en saygın bilimadamı olan Albert Einstein şöyle demiştir: “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” Sonuç olarak, insanlar aptailarsa ya da daha sık görülen şekliyle, doğru güvenlik uygulamaları konusunda bilgisizlerse, toplum mühendisliği saldırıları başarılı olmaktadır. Pek çok bilişim teknolojileri (BT) sektörü çalışanı, güvenlik bilincine sahip aile reisimizle aynı yaklaşımı kullanarak, güvenlik duvarları, müdahaleleri ortaya çıkarma sistemleri ya da daha güçlü tanıma sistemleri olan zaman tabanlı kartlar ve biyometrik akıllı kartlar gibi herkesçe kabul görmüş güvenlik ürünleri kullandıkları için şirketlerini saldırılara karşı büyük ölçüde güvende tuttukları doğrultusunda yanlış bir kanıya sahiptirler.
Güvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağına inanan biri, güvenlik konusunda kendini kandırıyor demektir. Bu ancak hayal aleminde görülebilecek bir durumdur. Bu insanlar er ya da geç, kaçınılmaz olarak bir güvenlik sorunu yaşayacaklardır.
Tanınmış bir güvenlik danışmanı olan Bruce Schneier’ın da dediği gibi, “Güvenlik bir ürün değil, bir süreçtir.” Dahası, güvenlik bir teknoloji sorunu değildir; bir insan ve yönetim sorunudur. Araştırmacılar sürekli olarak daha iyi güvenlik teknolojileri geliştirip
teknik açıkları sömürmeyi giderek zoriaştırınca, saldırganlar insan unsurunu sömürme yoluna daha çok gideceklerdir, insanların güvenlikduvarını kırmak genellikle daha kolaydır ve bir telefon görüşmesinden
başka yatırım istemediği gibi riski de çok düşüktür.
alıntıdır