Sosyal Mühendislik ve Hacking


Günümüz çağın en ileri teknolojilerinden olan sanal iletişim aracımız olan internet üzerindeki uygulamaların,  kötü amaçla kullanılması için kötü insanlar tarafından bu uygulamaların zaaflarını tespit etmek amacıyla her türlü yürütülen düşünce senaryolarına sosyal mühendislik denir.
Sanal teknolojilerin kullanım alanlarına bağlı olarak son kullanıcıların özellikle internet teknolojilerindeki bazı kavramların ayırt edilmesinde zorlandıklarını görmekteyiz. Bu anlamda internet iletişim protokolleri üzerinde deklare edilen bilgilerin güvenliği konusunda son kullanıcıların yeterli bilgiye sahip olmadığını, bu anlamda reel hayattaki bazı davranışlarında sanal ortama taşıdıklarını görmekteyiz.
Kişi reel hayatında nasıl bir yol izliyorsa, sanal ortamda da o şekilde bir yol izleyecektir. Bu anlamda bir kişinin sanal ortamda ne kadar kendisi hakkında bilgileri paylaşacağını kişiliğinden ve davranışlarından anlamak hiçte zor değildir. Çünkü bir kişinin reel hayatındaki ve  toplum içerisinde ki kendisine ait bir  bilgiyi, duyguyu veya herhangi bir şeyi hangi ortamlarda nasıl paylaşabileceğini bulmak için ilk önce kişiyi tanımak gerekli olduğunu bilmeliyiz..
Sosyal mühendislik işte bu ortamda kötü veya iyi niyetle ön plana çıkmaktadır. Genelde bir sistemin veya kişilerin zaaflarından faydalanarak istenilen bilgiye ulaşma yöntemlerine sosyal mühendislik diyoruz. Ama daha da genişletirsek sosyal mühendislik bir kişinin sadece bilgilerini ele geçirmeye değil, kişinin atacağı bir sonraki adımları da öğrenmeye denir. Kişinin açıklarını bulmak için ilk önce kişiyi tanımak gereklidir. Görülmeyen bir hedefe atılan kurşun isabet etme olasılığı çok düşüktür. Buna göre ilk önce hedefi iyi tanımalıyız.
Kişiyi kendimize göre yediye ayırabiliriz. İzleyeceğimiz yolda buna göre ayarlayabiliriz. Örneğin sistem bilişim sektöründeki internet olsun. Bizde bu interneti kullanan bir kişinin istediğimiz bir bilgisini öğrenmeye çalışacağız. İlk önce hedefteki kişinin kişiliğini öğrenmemiz gerekiyor. Çünkü yapacağımız her eylem ve atacağımız her adım bizi deşifre veya başarıya ulaştıracaktır.
İlk önce hedef olarak belirlediğimiz bir kişi hakkında materyaller topluyoruz. Bu materyaller o kişiye ulaşmamızı sağlayacak veriler olmalıdır. Gerekli veya gereksiz tüm bilgileri bir depoya saklıyoruz. Bu adı soyadı, semti, şehri, telefonu, sevdiği rengi, takımı, burcu, partisi, dini, ırkı, giydiği hatta donun rengi :)  vs. O kadar da değil ama gereklidir. Bizim istediğimiz ve gerekli duyduğumuz bilgiye ulaşabileceğimiz her türlü bilgi toplanıp derlenme amacı ile araştırılır. Bulunan veriler bir araya getirilerek kişiye bir kalıp oluşturulur. Bu kalıba şekil verilir. Sonra hedefimizi bu kalıba sokmaya çalışırız. Eğer topladığımız veriler ile oluşturduğumuz kalıba hedef oturmuyorsa veya bir yönü izin vermiyorsa o zaman kalıp yanlıştır ve restore edilmelidir.
İnternet üzerinde anlık iletişim protokolleri üzerinde bir kişiden bilgi çalmak çok zordur. Yasadışı diye tabir edilir. Ama biz bunu yapmayacağız. Kişiden bize gerekli olan bilgileri uygun ortamda tatlı dille isteyeceğiz. Örneğin karşımızdaki insanı daha önceden aklımızda zorluk seviyesi olarak gruplandırdığımız kişiler arasından hangisi olduğunu belirleyeceğiz.
Şöyle Gruplar Oluşturalım Kaba Taslak:
1. Son Kullanıcı ( Bilgilere En Son Ulaşan Kişi )
2. Orta Seviye ( Bilgileri Yayan Kişi )
3. Uzman ( Bilgileri Toplayan Kişi )
4. Deneyimli Uzman ( Bilgileri Toplayanları Yöneten Kişi )
5. Bilge ( Bilgileri Yazan Kişi )
6. Deneyimli Bilge ( Yazanları Yöneten Kişi )
7. H1? ( Üst Grupların Hepsine Egemen Olan Kişi )
Yukarıda Saydığım gruplara dahil olan kişiyi bulmak için kişiyi tanımak gerekli olduğunu ifade etmiştim. Gruplardan çıkaracağımız yol ise kişinin bilgisine göre yol izlemektir. Çünkü sonuçta bilgi güçtür. Bilmediğimiz bir bilgi kaynağına yapacağımız saldırının ne kadar başarılı olacağını bilemeyiz. Ayrıca yapacağımız saldırı hedefe zarar vermekten ziyade bize de zarar vereceği ihtimalini de göz ardı etmemeliyiz.
Yukarıda sayılan gruplara göre de bizde bir saldırı senaryosu veya bilgi toplama eylemi gerçekleştirmek zorundayız.
Son Kullanıcılar genelde bilgiye en son ulaşan kişi olduklarından saldırı reaksiyonlarını kestirmekte zorlanırlar. Çünkü bilginin nasıl yazıldığını, yayımlandığını, nasıl bir eylem içerisinde kendisine kadar ulaştığını bilmezler veya bilmeye gerek duymazlar. Bu anlamda bu seviye içerisine giren bir kişiden bilgi almak son derece kolaydır. Bu aynı iki silahşora benzer. Birisinin elinde kılıç, kalkan vardır. Diğer kişinin elinde de savunma yapacak bile hiçbir şeyi olmayan bir insan.. Sonuçta bu karşılaşma adil olmayacaktır. Bu anlamda elinizi vicdanınıza koymanız gerekmektedir.
Ortaya Seviye kullanıcılar olarak belirttiğimiz kişiler ise bilgileri her türlü kaynağına bile bakmadan yayan kişilerdir. Bunlar genelde son kullanıcılardan sonra gelen kişilerdir. Bilgilerin doğruluğunu araştırmadan yayan veya okuyan kişilerdir. Bilgiye son kullanıcılardan önce öğrendikleri için bu kişilere yapacağımız bir eylem titiz olmalıdır. Gözümüzde büyütmeyerek ama gene de potansiyel bir bilgisayar korsanıymış gibi karşımızdaki kişiye yapacağımız davranışları seçerek düzenlemeli ve yapmalıyız.
Uzman diye tabir ettiğimiz kişiler ise bilgileri yaymaktan ziyade toplayan kişilerdir. Toplanan bilgileri yayarlar veya öğrenirler. Bu anlamda bilgi hakkında tecrübeleri iyi denmese de dikkate alınacak derecededir. Buna göre yapacağımız senaryo tamamen yapay düşüncelerden arındırılmış olmalıdır. Yoksa birinci basamakta deşifre olma ihtimaliniz çok yüksektir.
Deneyimli Uzman ise yukarıda belirttiğimiz hususların hepsine vakıf olan kişidir. Çünkü kişide yönetici vasfı mevcut olup, tamamen çok odaklı bilgileri derleyen ve yöneten kişidir. Bu anlamda bir yönetici mevcut bilgiyi yaymaktan ziyade bu bilginin güvenliği ve yayılmasındaki sorunların tespit ve çözülmesini sağlayan kişidir. Buna göre yapılacak senaryo sağ elin yaptığı bir eylemi sol elin görmeyeceği şekilde gizli, sanki karşıdaki bir kişi ile 40 yıllık bir dostmuş gibi samimi, aynı takımın taraftarı kadar sıcakkanlı, aynı din kardeşi kadar ılıman, aynı kanı taşıyan kardeşler gibi dostluğu tabir edecek kadar etkileyici olmalıdır.
Bilge diye tabir ettiğimiz insanlar ilse bilgileri yazan kişilerdir. Biz bu kişilere üstat diyoruz. Üstatlar tamamen bilgiye doymuş, bilgi birikimlerini kalıcı hale getirmek için bilgiyi yazmayı deneyen kişilerdir. Bu anlamda bu kişilerden sizin istediğiniz bilgileri almak zorlayıcı olabilir. Çünkü bu kişilerde çakal merakı yerine, şahin merakı vardır. Şahin hedefini kilometrelerce öteden keskin gözleri ile belirleyebilmektedir. Bilge kişide sizin yapacağınız herhangi bir eylemi tahmin edebilmektedirler. O zaman nasıl bir yol izlenmeli diyorsanız gene çakal ve şahinden başlayabiliriz. Çakal o kadar aç olduğu için file bile saldırmayı tenezzül edebilir. Gördüğü her şeyi yemek ister. Buda içindeki açlık ve merak duygusudur. Ama Şahin Koklamadığı ve Duymadığı için Yaratanın ona bahşettiği görme duyusunu kullanmak zorundadır. Ama her gördüğü tahmin ettiği şey olmayabilir.
Deneyimli Bilge ise yazarlar tarafından yazılan bilgiyi geliştirme ve yöneten kişidir. Bu kişilerden bilgi almak samandan cımbız ile kıl aramakla eşdeğerdir. Yapacağımız bütün senaryoları denemek gerekmektedir. Zorluk seviyesi en üst seviyede olan kullanıcı sınıfı olduğu için kişinin bilgilerine ulaşmadan önce kişinin zaaf noktalarını bulmak gereklidir.
H1? Diye etiketlediğimiz kullanıcı grubu ise atacağı adımı, herhangi bir materyali, düşüncesi bilinemediği kişilerdir. Bu kişilere yapacağınız herhangi bir saldırı girişim düşüncesi bile yapacağınız eylemi tersine çevirebilir. Zira bu kişilerden uzak durmanızı tavsiye ediyoruz.
Halk dilinde internet ortamı üzerinde bilgisayar korsanı olarak bilinen ama aslında birer güvenlik uzmanı olan, ihtiyacı olan bilgiye ulaşmak yerine yazan, hatta zamanı durdurabilen kişilerdir.. (..?..)
Sonuç olarak her kuşun etinin yenmeyeceği, bize göre doğru olan fikirlerin başkalarına göre yanlış olabileceğini, kendi doğrularımızı kimseye doğru diye dayatamayacağımızı, yaptığımız her fiillerden sorumlu olduğumuzu, aynı şekilde başkalarının da bir sorumluluğu olduğunu, her şeyin bir sistematiğin olduğunu ve ayrıca bilginin güç olduğunu burada bir kez daha hatırlamış olmaktayız.

0 yorum:

Yorum Gönder