Pazartesi, Ağustos 15, 2005

ALDATMA SANATI


Adı Aldatma Sanatı olan bir kitap okurken, başınıza ilginç kazalar gelebilir. Örneğin eşiniz ya da kız/erkek arkadaşınız doğal olarak kitabın içeriğinin teknolojik aldatmayla ilgili olduğunu pek tahmin etmeyebilir. Burada bahsedeceğim kitabı okurken, bu açıdan da dikkatli olmak lazım.

Kevin Mitnick adı geçtiğimiz yıllarda sıkça gündeme gelmişti. Tarihteki en büyük hackerlık olayının başrolü oyuncusu olarak, uzun yıllar gözetim altında tutuldu. FBI, mahkemeye çıkarma konusunda isteksizdi çünkü tam da ne ile suçlayacaklarını bilemiyordu. Gerçekten de çıkarıldığı mahkemede sadece kabahat düzeyindeki faaliyetlerinden dolayı “kulağı çekildi”. O da buna karşılık uslu çocuk oldu. Şimdi güvenlik konularında danışmanlık yapıyor. Hatta ülkemizdeki bir bilgisayar etkinliğine video konferans ile katılıp açılış konuşması yapmıştı.

Geçtiğimiz günlerde Mitnich’in 2002 yılında ABD’de piyasaya çıkmış olan Aldatma Sanatı adlı kitabu ODTÜ Yayınları tarafından dilimize kazandırıldı.

Mitnick burada, pek de bilgisayar dehalığı düzeyinde teknik bilgiye sahip olmadan ABD’de neler yapılabileceği konusunda yaşanmış güzel örnekleri anlatıyor. Buna da Toplum Mühendisliği adını veriyor.

TOPLUM MÜHENDİSİ OLMAK

Bir örnekle toplum mühendisliğini inceleyelim:

Bir video kiralama zincirine ait ofisi arıyor ve oradaki kişiye, aldığınız hizmetten çok memnun olduğunuzu, bununla ilgili ofisin müdürüne bir teşekkür mektubu yazmak istediğinizi, müdürün adını öğrenmek istediğinizi söylüyorsunuz. Bu güzel telefonu alan görevli size müdürün adını söylüyor. Bu gizli bir bilgi değil ki. Ayrıca mektubun bir kopyasını genel müdüre de göndermek istediğinizi, şubenin kod numarasını da soruyorsunuz. Bunu da öğreniyorsunuz.

Daha sonra zincirin bir başka şubesini arıyor ve kendinizi az önce öğrenmiş olduğunuz isimle tanıtıyorsunuz. Kodunu öğrenmiş olduğunuz şubenin müdürü olarak. Ve bilgisayarda teknik bir problem olduğunu, şubenizde karşı şubeden sürekli video kiralayan bir kişinin olduğunu ve bir film kiralamak istediğini ancak bilgisayar çalışmadığından müşteri olup olmadığı kontrolü yapamadığınızı belirtiyorsunuz.

Karşıdaki kişi bilgisayardan verdiğiniz ismi kontrol ediyor ve müşteri olduğunu teyit ediyor. Acaba diyorsunuz, son kullandığı kredi kart bilgilerini de verebilir mi? Müşteri kartını yanında getirmemiş. Karşı şubenin personeli o bilgiyi de veriyor. Bingo.

Burada dikkat edilirse, önce kimsenin gizli demediği bazı firma bilgilerine ulaşıldı. Örneğin şube müdür adı, şube kodu gibi.

Daha sonra da firmanın diğer şubesi aranarak ve bir güven unsuru oluşturarak, az önce edinilmiş olan bilgilerin yardımıyla asıl erişilmek istenen bilgiye ulaşıldı.

Kitap bu tür örneklerle dolu. Örneğin bir başkası, yukarıdaki kadar zararsız değil. Bir yazılım destek uzmanı, bir bankanın EFT merkezine destek verirken süreci öğreniyor ve süreçteki kritik bir bilgiyi (hergün değişen şifre) ele geçirdikten sonra bir telefon kulübesinden sanki yetkili bir personelmiş gibi EFT talimatı veriyor. Sonuç on milyon dolarlık bir kaçak.

Peki her gün değişen o şifreyi nasıl öğreniyor sanıyorsunuz? Çok kolay. Görevi gereği ofise girip çıkarken, EFT yapma yetkisi olan personelin her gün değişen şifreyi kolaylık olsun diye bir kağıda yazıp ekranlarının bir kenarına iliştirdiklerini fark ediyor. Dört haneli şifreyi ekranın yanından geçerken hafızasına kaydediyor. O kadar.

Firmanın faaliyet alanı ne olursa olsun, bu tür gizli olmayan bilgiler, her firmada ortalıkta dolaşmakta ve kimse de bunlarla ilgili bir kural koymayabilmektedir. Örneğin sizi çalıştığınız firmanın uzak bir şubesinden arıyormuş gibi yapan bir kişi size günlük işlerinizle ilgili bir soru sorsa ne yapardınız?

Paylaşmaktan zarar gelmez statüsünde olan pek çok bilgi, aslında çok değerli bilgi olabilir. Bilgi olgusunda buna veri ile bilgi arasındaki fark denir. Sizin için her gün kullandığınız bir veri (diyelim ki yerine ulaşmayan bir kurye olduğunda arayıp rapor vereceğiniz telefon numarası) şirketinizde çalışmayan birisi için çok değerli bir bilgidir. (O numarayı arayıp kuryeyi başka adrese yönlendirebilir).

Aldatma Sanatı, güvenliğin en zayıf halkasının bilgisayarlar değil insanlar olduğunu her örnekte defalarca vurgulayan, önemli bir kitap. Aynı zamanda Kevin Mitnick’in de bir korsandan ziyade “kral çıplak” diyen birisi olduğunu göstermesi açısından da önemli.

Cumhuriyet Gazetesi Bilim Teknik Eki'nde yayınlanmıştır (13 08 2005)

1 yorum:

lucyalexander48757966 dedi ki...

='Brand New News Fr0m The Timber Industry!!'=

========Latest Profile==========
Energy & Asset Technology, Inc. (EGTY)
Current Price $0.15
================================

Recognize this undiscovered gem which is poised to jump!!

Please read the following Announcement in its Entierty and
Consider the Possibilities�
Watch this One to Trad,e!

Because, EGTY has secured the global rights to market
genetically enhanced fast growing, hard-wood trees!

EGTY trading volume is beginning to surge with landslide Announcement.
The value of this Stoc,k appears poised for growth! This one will not
remain on the ground floor for long.

KEEP READING!!!!!!!!!!!!!!!

===============
"BREAKING NEWS"
===============

-Energy and Asset Technology, Inc. (EGTY) owns a global license to market
the genetically enhanced Global Cedar growth trees, with plans to
REVOLUTIONIZE the forest-timber industry.

These newly enhanced Globa| Cedar trees require only 9-12 years of growth
before they can be harvested for lumber, whereas worldwide growth time for
lumber is 30-50 years.

Other than growing at an astonishing rate, the Global Cedar has a number
of other benefits. Its natural elements make it resistant to termites, and
the lack of oils and sap found in the wood make it resistant to forest fire,
ensuring higher returns on investments.
T
he wood is very lightweight and strong, lighter than Poplar and over twice
as strong as Balsa, which makes it great for construction. It also has
the unique ability to regrow itself from the stump, minimizing the land and
time to replant and develop new root systems.

Based on current resources and agreements, EGTY projects revenues of $140
Million with an approximate profit margin of 40% for each 9-year cycle. With
anticipated growth, EGTY is expected to challenge Deltic Timber Corp. during
its initial 9-year cycle.

Deltic Timber Corp. currently trades at over $38.00 a share with about $153
Million in revenues. As the reputation and demand for the Global Cedar tree
continues to grow around the world EGTY believes additional multi-million
dollar agreements will be forthcoming. The Global Cedar nursery has produced
about 100,000 infant plants and is developing a production growth target of
250,000 infant plants per month.

Energy and Asset Technology is currently in negotiations with land and business
owners in New Zealand, Greece and Malaysia regarding the purchase of their popular
and profitable fast growing infant tree plants. Inquiries from the governments of
Brazil and Ecuador are also being evaluated.

Conclusion:

The examples above show the Awesome, Earning Potential of little
known Companies That Explode onto Investor�s Radar Screens.
This s-t0ck will not be a Secret for long. Then You May Feel the Desire to Act Right
Now! And Please Watch This One Trade!!


GO EGTY!


All statements made are our express opinion only and should be treated as such.
We may own, take position and sell any securities mentioned at any time. Any
statements that express or involve discussions with respect to predictions,
goals, expectations, beliefs, plans, projections, object'ives, assumptions or
future events or perfo'rmance are not
statements of historical fact and may be
"forward,|ooking statements." forward,|ooking statements are based on expectations,
estimates and projections at the time the statements are made that involve a number
of risks and uncertainties which could cause actual results or events to differ
materially from those presently anticipated. This newsletter was paid $3,000 from
third party (IR Marketing). Forward,|ooking statements in this action may be identified
through the use of words such as: "pr0jects", "f0resee", "expects". in compliance with
Se'ction 17. {b), we disclose the holding of EGTY shares prior to the publication of
this report. Be aware of an inherent conflict of interest resulting from such holdings
due to our intent to profit from the liquidation of these shares. Shar,es may be sold
at any time, even after positive statements have been made regarding the above company.
Since we own shares, there is an inherent conflict of interest in our statements and
opinions. Readers of this publication are cautioned not
to place undue reliance on
forward,|ooking statements, which are based on certain assumptions and expectations
involving various risks and uncertainties that could cause results to differ materially
from those set forth in the forward- looking statements. This is not solicitation to
buy or sell st-0cks, this text is or informational purpose only and you should seek
professional advice from registered financial advisor before you do anything related
with buying or selling st0ck-s, penny st'0cks are very high risk and you can lose your
entire inves,tment.