Sosyal Mühendislik Saldırıları(1)
1 sayfadaki 1 sayfası
Sosyal Mühendislik Saldırıları(1)
tarafından Admin C.tesi Ekim 25, 2008 5:30 pm
Kişileri gizli bilgi vermeleri ya da erişim sağlamaları için aldatma süreci olarak tanımlanabilecek sosyal mühendislik, çoğu güvenli ağ için önemli bir tehdittir. Sosyal mühendislik hakkında yeteri kadar bilgi olmasına rağmen, savunma yöntemleri genelde yeterli olmaktan uzaktır. Etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amacını güden yöntemler kullanarak başarı sağlayan sosyal mühendislik saldırılarına karşı güvenlik politikalarında, eğitimlerinde ve olay müdahale yöntemlerinde önlemler alınması gerekmektedir.
Tanımlar
Bilgisayar güvenliği terimleriyle Sosyal Mühendislik, insanlar arasındaki iletişimdeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir. Bu tanım çerçevesinde iletişim kavramından kasıt, kişiler arasında, kişiyle kurum arasında ya da kurumlar arasındaki etkileşimdir. İnsan davranışlarındaki açıklıklarsa, insanların gündelik sergiledikleri, niyetlerinden bağımsız hareketlerin güvenlik açısından istenmeyen durumlara sebep olması ihtimalleridir. Müdahale derken de güvenlik açısından kritik bilgileri elde etmek eylemini anlıyoruz.
Bir kuruma yönelik sosyal mühendislik saldırılarının tipik hedefleri, saldırganın suistimal edebileceği durumdaki personeldir. Saldırılan profilleri aşağıdaki şekilde özetlenebilir:
Direkt ulaşılabilir personel (Servis elemanları, telefonlara yanıt veren çalışanlar): Kurumun dış yüzü olarak tanımlanabilecek, işi gereği müşteriler ve sağlayıcılarla iletişim kuran çalışanlar.
Önemli personel (Yöneticiler, gizli bilgiye erişim hakkı olan personel): Kurumdaki görevleri gereği zorunlu olarak ayrıcalıklı yetkiye sahip olan ya/ya da gizli bilgiye çeşitli nedenlerle erişim hakkı olan çalışanlar.
Sempati sahibi personel: Kurum içinde görevli olan, müşterilerine yardım ve destek için yetkisinden fazlasını ya da kurum içindeki itibarını kullanabilecek çalışanlar.
Destek ihtiyacındaki son kullanıcılar: Kurumun hizmetlerinden yararlandıklarından dolayı sistemlere erişimi bulunan fakat kurum hakkındaki bilgileri eksik olduğundan dolayı sistemlerle ilgili destek almaları gerektiğinde meşru destek personeliyle kötü niyetli saldırganı ayırt edemeyebilecek kullanıcılar.
Kandırılmış, aldatılmış ya da ikna edilmiş personel: Kurum içinde görevli olan ve kuruma ya da kurum çalışanlarına bağlılığı zayıflamış çalışanlar.
Saldıran profili ise, hedefe ve yönteme bağlı olarak değişebilir. Kullanılagelen yöntemlerin bazıları şöyledir:
Otoriter yaklaşım: Yetkili, üst düzey yönetici ya da ayrıcalıklı müşteri olduğuna ikna etmek.
Yardım önermek: Destek ihtiyacındaki müşteri ya da çalışanları yetkili personel olduğuna inandırmak.
Benzerlik ve ortak noktalar bulmak: Çalışanla arasında çeşitli sanal sosyal bağlantılar (akrabalık, ortak meslek, ortak arkadaş, aynı çevre v.s.) oluşturmak.
Mukabele etmek: İstenen bir iyilik için bir karşılık önermek.
Bağlılık ve dürüstlüğü suistimal etmek: Kuruma bağlı çalışanı, saldıranın isteğini yapmaması durumunda kurumun zarar göreceğine ikna etmek.
Düşük bağlılıktan yararlanmak: Kuruma bağlılığı zayıf çalışanları ikna, aldatma ya da kandırma gibi yöntemlerle ayartmak.
Yöntemler
Sosyal mühendislik saldırılarının niteleyici özelliği, saldırganın hareketlerinin meşru olduğu görüntüsünün bozulmamaya çalışılmasıdır. Bu yüzden yöntemlerin doğası ve içeriği özel durumun şartlarına göre farklılaşabilir. Bu bölümde standart bir sınıflandırma yapılacaktır.
Sahte senaryolar uydurmak
Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından saldırılanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler, güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi v.b.) olduğu için sahte senaryolar uydurmak ve istenen bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir. Saldırganın senaryonun ana hattı dışına çıkabilecek durumları da gözönüne alıp hazırlık yapması, başarı oranını artıran bir etkendir.
Güvenilir bir kaynak olduğuna ikna etmek
Son zamanlarda phishing olarak ünlenmiş bu yöntem, genellikle e-posta üzerinden ilerleyen bir sosyal mühendislik yöntemidir. Saldırgan, amacına ulaşmak için saldırılanı güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Örneğin saldırgan yolladığı iletinin bir bankanın bilgi işlem bölümünden geldiğine ikna etmek isterse, aynı bankanın önceden yolladığı iletilerdeki biçemi şablon olarak alabilir ve iletiden dışarıya giden bağlantıları kötü niyetli bir sayfaya yönlendirebilir. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, virüslü yazılım kurmak v. b.) yönlendirmektir.
Truva atları (trojan)
Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.
Truva atlarının bir şekli de road apple (yol elması – İngilizce’de at gübresinin hüsn-ü talilidir) olarak bilinir. Bu tür truva atları, e-posta, web gibi elektronik ortamların açıklıklarıyla yayılmak yerine, fiziksel olarak yayılırlar. Örneğin saldırgan üzerinde merak uyandıracak bir etiket bulunan bir disket, CD ya da flash disk oluşturur ve saldırılanın tesadüfen görebileceği bir yere (çöp kutusu, koridorun kenarı, tuvalet) atılmış gibi yerleştirir. Aslında zararlı yazılım içeren bu ortam, saldırılanın dikkatini çeker ve kullanırsa, zararlı yazılım bilgisayarda çalışarak saldırıyı gerçekleştirir.
Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek
Hassas bilgiye ulaşmak için kişinin zaafiyetlerini kullanmaya yönelik bir saldırıdır. Burada saldırılan sonunda karlı çıkacağı bir senaryoya ikna edilir. Örneğin hediyeli bir anket içinde şifresi ya da kişisel bilgileri sorulabilir, ya da şifresini söylemesi durumunda o sırada sistemle ilgili yaşadığı sorunun çözüleceği vaadedilebilir.
Güven kazanarak bilgi edinmek
Saldırganın hedefine, iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesine ya da istediğini yaptırmasına dayanan bir yöntemdir. Saldırgan kuruma sağlayıcı olarak yaklaşıp erişim hakkı olan personelle güvene dayanan arkadaşlık kurma yoluna gidebilir, iş dışında oluşan ilişkileri suistimal edebilir, ya da saldırılanla ortak ilgileri ve beğenileri paylaşıyor izlenimi vererek güven sağlayabilir.
Diğer Yöntemler
Yukarıda maddelenmeye çalışılan yöntemler dışında, çalışanların ve kurumların yaptıkları tipik hatalardan istifade etmeye yönelik çeşitli bilgi toplama yöntemleri de bilinmektedir. Bunların arasında,
Omuz sörfü: Şifre yazılırken ya da erişim kısıtlı sistemlere erişilirken saldırılanın izlenmesi,
Çöp karıştırmak: Çöpe atılmış disket, CD, post-it, not kağıdı gibi, hassas bilgi içerebilecek eşyaları incelemek,
Eski donanımları kurcalamak: Hurdaya çıkmış, ikinci el satış sitelerinde satışa sunulmuş, çöpe atılmış, kullanılmadığı için hibe edilmiş donanımın içeriğini incelemek,
bulunmaktadır.
Sosyal mühendislikte saldırı yöntemleri, listelerle sınırlı olmaktan çok, saldıranın kararlılığıyla ve yaratıcılığıyla sınırlıdır. Ayrıca tipik dolandırıcılık yöntemlerinin de uygulanmasıyla, olası yöntemlerin sayısı ve tipleri de artacaktır.
Tehditler
Başarıyla yapılması durumunda, sosyal mühendislik saldırıları çeşitli risklerin gerçekleşmesine neden olabilmektedir. Bunlar aşağıdaki gibi sınıflandırılabilir:
Yetkisiz erişim: Saldırgan, erişim sağlamak için gerekli bilgileri ele geçirebilir. Bunun gerçekleşmesi için çoğu zaman yanlışlıkla söylenen bir kullanıcı şifresi yeterlidir.
Hizmet hırsızlığı: Ele geçirilmiş şifreyle saldırgan erişimi kısıtlı dosyaları indirebilir ya da bant genişliği, işlemci zamanı, disk alanı gibi sınırlı kaynakları kullanabilir.
İtibar ve güven kaybı: Sosyal mühendislik yoluyla zarara uğramış bir kurum, müşterilerinin ve kamunun gözünde değer kaybedebilir. Yeniden güven kazanmanın bedeli, çoğunlukla baştan önlem almaktan çok daha yüksektir.
Dağıtık hizmet engelleme: Ele geçirilen sistem ve kaynaklar, başka sistem ve kaynakların ele geçirilmesi ya da zarar verilmesi için kullanılabilir. Dolaylı olarak başka saldırılara sebep olunabilir; Bu durumda saldırının kaynağı aynı zamanda kurban olabilir.
Hassas bilgiye erişim ve veri kaybı: Saldırgan, başarılı olması durumunda kurumun ve müşterilerinin bilgilerini ele geçirebilir. Bu bilgileri satabilir, daha fazla suistimal için kullanabilir ya da kurum aleyhine kullanabilir. Saldırgan sadece kurumun zarar görmesini istiyorsa, bilgiye erişimi engelleyebilir. Silmek, şifreli bir şekilde kaydetmek gibi yöntemlerle bilginin erişimini imkansız kılabilir.
Yasal yaptırıma uğramak: Kurumun müşterileri ve ortaklarıyla yaptığı gizlilik ve güvenlik anlaşmalarının ve hassas bilgiyi korumak için önlem almamanın yasal yaptırımları olabilir.
Tanımlar
Bilgisayar güvenliği terimleriyle Sosyal Mühendislik, insanlar arasındaki iletişimdeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir. Bu tanım çerçevesinde iletişim kavramından kasıt, kişiler arasında, kişiyle kurum arasında ya da kurumlar arasındaki etkileşimdir. İnsan davranışlarındaki açıklıklarsa, insanların gündelik sergiledikleri, niyetlerinden bağımsız hareketlerin güvenlik açısından istenmeyen durumlara sebep olması ihtimalleridir. Müdahale derken de güvenlik açısından kritik bilgileri elde etmek eylemini anlıyoruz.
Bir kuruma yönelik sosyal mühendislik saldırılarının tipik hedefleri, saldırganın suistimal edebileceği durumdaki personeldir. Saldırılan profilleri aşağıdaki şekilde özetlenebilir:
Direkt ulaşılabilir personel (Servis elemanları, telefonlara yanıt veren çalışanlar): Kurumun dış yüzü olarak tanımlanabilecek, işi gereği müşteriler ve sağlayıcılarla iletişim kuran çalışanlar.
Önemli personel (Yöneticiler, gizli bilgiye erişim hakkı olan personel): Kurumdaki görevleri gereği zorunlu olarak ayrıcalıklı yetkiye sahip olan ya/ya da gizli bilgiye çeşitli nedenlerle erişim hakkı olan çalışanlar.
Sempati sahibi personel: Kurum içinde görevli olan, müşterilerine yardım ve destek için yetkisinden fazlasını ya da kurum içindeki itibarını kullanabilecek çalışanlar.
Destek ihtiyacındaki son kullanıcılar: Kurumun hizmetlerinden yararlandıklarından dolayı sistemlere erişimi bulunan fakat kurum hakkındaki bilgileri eksik olduğundan dolayı sistemlerle ilgili destek almaları gerektiğinde meşru destek personeliyle kötü niyetli saldırganı ayırt edemeyebilecek kullanıcılar.
Kandırılmış, aldatılmış ya da ikna edilmiş personel: Kurum içinde görevli olan ve kuruma ya da kurum çalışanlarına bağlılığı zayıflamış çalışanlar.
Saldıran profili ise, hedefe ve yönteme bağlı olarak değişebilir. Kullanılagelen yöntemlerin bazıları şöyledir:
Otoriter yaklaşım: Yetkili, üst düzey yönetici ya da ayrıcalıklı müşteri olduğuna ikna etmek.
Yardım önermek: Destek ihtiyacındaki müşteri ya da çalışanları yetkili personel olduğuna inandırmak.
Benzerlik ve ortak noktalar bulmak: Çalışanla arasında çeşitli sanal sosyal bağlantılar (akrabalık, ortak meslek, ortak arkadaş, aynı çevre v.s.) oluşturmak.
Mukabele etmek: İstenen bir iyilik için bir karşılık önermek.
Bağlılık ve dürüstlüğü suistimal etmek: Kuruma bağlı çalışanı, saldıranın isteğini yapmaması durumunda kurumun zarar göreceğine ikna etmek.
Düşük bağlılıktan yararlanmak: Kuruma bağlılığı zayıf çalışanları ikna, aldatma ya da kandırma gibi yöntemlerle ayartmak.
Yöntemler
Sosyal mühendislik saldırılarının niteleyici özelliği, saldırganın hareketlerinin meşru olduğu görüntüsünün bozulmamaya çalışılmasıdır. Bu yüzden yöntemlerin doğası ve içeriği özel durumun şartlarına göre farklılaşabilir. Bu bölümde standart bir sınıflandırma yapılacaktır.
Sahte senaryolar uydurmak
Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından saldırılanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler, güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi v.b.) olduğu için sahte senaryolar uydurmak ve istenen bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir. Saldırganın senaryonun ana hattı dışına çıkabilecek durumları da gözönüne alıp hazırlık yapması, başarı oranını artıran bir etkendir.
Güvenilir bir kaynak olduğuna ikna etmek
Son zamanlarda phishing olarak ünlenmiş bu yöntem, genellikle e-posta üzerinden ilerleyen bir sosyal mühendislik yöntemidir. Saldırgan, amacına ulaşmak için saldırılanı güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Örneğin saldırgan yolladığı iletinin bir bankanın bilgi işlem bölümünden geldiğine ikna etmek isterse, aynı bankanın önceden yolladığı iletilerdeki biçemi şablon olarak alabilir ve iletiden dışarıya giden bağlantıları kötü niyetli bir sayfaya yönlendirebilir. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, virüslü yazılım kurmak v. b.) yönlendirmektir.
Truva atları (trojan)
Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.
Truva atlarının bir şekli de road apple (yol elması – İngilizce’de at gübresinin hüsn-ü talilidir) olarak bilinir. Bu tür truva atları, e-posta, web gibi elektronik ortamların açıklıklarıyla yayılmak yerine, fiziksel olarak yayılırlar. Örneğin saldırgan üzerinde merak uyandıracak bir etiket bulunan bir disket, CD ya da flash disk oluşturur ve saldırılanın tesadüfen görebileceği bir yere (çöp kutusu, koridorun kenarı, tuvalet) atılmış gibi yerleştirir. Aslında zararlı yazılım içeren bu ortam, saldırılanın dikkatini çeker ve kullanırsa, zararlı yazılım bilgisayarda çalışarak saldırıyı gerçekleştirir.
Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek
Hassas bilgiye ulaşmak için kişinin zaafiyetlerini kullanmaya yönelik bir saldırıdır. Burada saldırılan sonunda karlı çıkacağı bir senaryoya ikna edilir. Örneğin hediyeli bir anket içinde şifresi ya da kişisel bilgileri sorulabilir, ya da şifresini söylemesi durumunda o sırada sistemle ilgili yaşadığı sorunun çözüleceği vaadedilebilir.
Güven kazanarak bilgi edinmek
Saldırganın hedefine, iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesine ya da istediğini yaptırmasına dayanan bir yöntemdir. Saldırgan kuruma sağlayıcı olarak yaklaşıp erişim hakkı olan personelle güvene dayanan arkadaşlık kurma yoluna gidebilir, iş dışında oluşan ilişkileri suistimal edebilir, ya da saldırılanla ortak ilgileri ve beğenileri paylaşıyor izlenimi vererek güven sağlayabilir.
Diğer Yöntemler
Yukarıda maddelenmeye çalışılan yöntemler dışında, çalışanların ve kurumların yaptıkları tipik hatalardan istifade etmeye yönelik çeşitli bilgi toplama yöntemleri de bilinmektedir. Bunların arasında,
Omuz sörfü: Şifre yazılırken ya da erişim kısıtlı sistemlere erişilirken saldırılanın izlenmesi,
Çöp karıştırmak: Çöpe atılmış disket, CD, post-it, not kağıdı gibi, hassas bilgi içerebilecek eşyaları incelemek,
Eski donanımları kurcalamak: Hurdaya çıkmış, ikinci el satış sitelerinde satışa sunulmuş, çöpe atılmış, kullanılmadığı için hibe edilmiş donanımın içeriğini incelemek,
bulunmaktadır.
Sosyal mühendislikte saldırı yöntemleri, listelerle sınırlı olmaktan çok, saldıranın kararlılığıyla ve yaratıcılığıyla sınırlıdır. Ayrıca tipik dolandırıcılık yöntemlerinin de uygulanmasıyla, olası yöntemlerin sayısı ve tipleri de artacaktır.
Tehditler
Başarıyla yapılması durumunda, sosyal mühendislik saldırıları çeşitli risklerin gerçekleşmesine neden olabilmektedir. Bunlar aşağıdaki gibi sınıflandırılabilir:
Yetkisiz erişim: Saldırgan, erişim sağlamak için gerekli bilgileri ele geçirebilir. Bunun gerçekleşmesi için çoğu zaman yanlışlıkla söylenen bir kullanıcı şifresi yeterlidir.
Hizmet hırsızlığı: Ele geçirilmiş şifreyle saldırgan erişimi kısıtlı dosyaları indirebilir ya da bant genişliği, işlemci zamanı, disk alanı gibi sınırlı kaynakları kullanabilir.
İtibar ve güven kaybı: Sosyal mühendislik yoluyla zarara uğramış bir kurum, müşterilerinin ve kamunun gözünde değer kaybedebilir. Yeniden güven kazanmanın bedeli, çoğunlukla baştan önlem almaktan çok daha yüksektir.
Dağıtık hizmet engelleme: Ele geçirilen sistem ve kaynaklar, başka sistem ve kaynakların ele geçirilmesi ya da zarar verilmesi için kullanılabilir. Dolaylı olarak başka saldırılara sebep olunabilir; Bu durumda saldırının kaynağı aynı zamanda kurban olabilir.
Hassas bilgiye erişim ve veri kaybı: Saldırgan, başarılı olması durumunda kurumun ve müşterilerinin bilgilerini ele geçirebilir. Bu bilgileri satabilir, daha fazla suistimal için kullanabilir ya da kurum aleyhine kullanabilir. Saldırgan sadece kurumun zarar görmesini istiyorsa, bilgiye erişimi engelleyebilir. Silmek, şifreli bir şekilde kaydetmek gibi yöntemlerle bilginin erişimini imkansız kılabilir.
Yasal yaptırıma uğramak: Kurumun müşterileri ve ortaklarıyla yaptığı gizlilik ve güvenlik anlaşmalarının ve hassas bilgiyi korumak için önlem almamanın yasal yaptırımları olabilir.
Admin- Admin
-
Mesaj Sayısı : 134
Metin Alanı : <center><font color="white"><marquee direction="left" style="background:red">Vatanını Seven Görevini En İyi Yapandı
.</marquee></font></center>
Madalyalar :
Kayıt tarihi : 24/10/08
Tecrübe
İtibar:
(100/100) -
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz