Adı Aldatma Sanatı olan bir kitap okurken, başınıza ilginç kazalar gelebilir. Örneğin eşiniz ya da kız/erkek arkadaşınız doğal olarak kitabın içeriğinin teknolojik aldatmayla ilgili olduğunu pek tahmin etmeyebilir. Burada bahsedeceğim kitabı okurken, bu açıdan da dikkatli olmak lazım.
Kevin Mitnick adı geçtiğimiz yıllarda sıkça gündeme gelmişti. Tarihteki en büyük hackerlık olayının başrolü oyuncusu olarak, uzun yıllar gözetim altında tutuldu. FBI, mahkemeye çıkarma konusunda isteksizdi çünkü tam da ne ile suçlayacaklarını bilemiyordu. Gerçekten de çıkarıldığı mahkemede sadece kabahat düzeyindeki faaliyetlerinden dolayı “kulağı çekildi”. O da buna karşılık uslu çocuk oldu. Şimdi güvenlik konularında danışmanlık yapıyor. Hatta ülkemizdeki bir bilgisayar etkinliğine video konferans ile katılıp açılış konuşması yapmıştı.
Geçtiğimiz günlerde Mitnich’in 2002 yılında ABD’de piyasaya çıkmış olan Aldatma Sanatı adlı kitabu ODTÜ Yayınları tarafından dilimize kazandırıldı.
Mitnick burada, pek de bilgisayar dehalığı düzeyinde teknik bilgiye sahip olmadan ABD’de neler yapılabileceği konusunda yaşanmış güzel örnekleri anlatıyor. Buna da Toplum Mühendisliği adını veriyor.
TOPLUM MÜHENDİSİ OLMAK
Bir örnekle toplum mühendisliğini inceleyelim:
Bir video kiralama zincirine ait ofisi arıyor ve oradaki kişiye, aldığınız hizmetten çok memnun olduğunuzu, bununla ilgili ofisin müdürüne bir teşekkür mektubu yazmak istediğinizi, müdürün adını öğrenmek istediğinizi söylüyorsunuz. Bu güzel telefonu alan görevli size müdürün adını söylüyor. Bu gizli bir bilgi değil ki. Ayrıca mektubun bir kopyasını genel müdüre de göndermek istediğinizi, şubenin kod numarasını da soruyorsunuz. Bunu da öğreniyorsunuz.
Daha sonra zincirin bir başka şubesini arıyor ve kendinizi az önce öğrenmiş olduğunuz isimle tanıtıyorsunuz. Kodunu öğrenmiş olduğunuz şubenin müdürü olarak. Ve bilgisayarda teknik bir problem olduğunu, şubenizde karşı şubeden sürekli video kiralayan bir kişinin olduğunu ve bir film kiralamak istediğini ancak bilgisayar çalışmadığından müşteri olup olmadığı kontrolü yapamadığınızı belirtiyorsunuz.
Karşıdaki kişi bilgisayardan verdiğiniz ismi kontrol ediyor ve müşteri olduğunu teyit ediyor. Acaba diyorsunuz, son kullandığı kredi kart bilgilerini de verebilir mi? Müşteri kartını yanında getirmemiş. Karşı şubenin personeli o bilgiyi de veriyor. Bingo.
Burada dikkat edilirse, önce kimsenin gizli demediği bazı firma bilgilerine ulaşıldı. Örneğin şube müdür adı, şube kodu gibi.
Daha sonra da firmanın diğer şubesi aranarak ve bir güven unsuru oluşturarak, az önce edinilmiş olan bilgilerin yardımıyla asıl erişilmek istenen bilgiye ulaşıldı.
Kitap bu tür örneklerle dolu. Örneğin bir başkası, yukarıdaki kadar zararsız değil. Bir yazılım destek uzmanı, bir bankanın EFT merkezine destek verirken süreci öğreniyor ve süreçteki kritik bir bilgiyi (hergün değişen şifre) ele geçirdikten sonra bir telefon kulübesinden sanki yetkili bir personelmiş gibi EFT talimatı veriyor. Sonuç on milyon dolarlık bir kaçak.
Peki her gün değişen o şifreyi nasıl öğreniyor sanıyorsunuz? Çok kolay. Görevi gereği ofise girip çıkarken, EFT yapma yetkisi olan personelin her gün değişen şifreyi kolaylık olsun diye bir kağıda yazıp ekranlarının bir kenarına iliştirdiklerini fark ediyor. Dört haneli şifreyi ekranın yanından geçerken hafızasına kaydediyor. O kadar.
Firmanın faaliyet alanı ne olursa olsun, bu tür gizli olmayan bilgiler, her firmada ortalıkta dolaşmakta ve kimse de bunlarla ilgili bir kural koymayabilmektedir. Örneğin sizi çalıştığınız firmanın uzak bir şubesinden arıyormuş gibi yapan bir kişi size günlük işlerinizle ilgili bir soru sorsa ne yapardınız?
Paylaşmaktan zarar gelmez statüsünde olan pek çok bilgi, aslında çok değerli bilgi olabilir. Bilgi olgusunda buna veri ile bilgi arasındaki fark denir. Sizin için her gün kullandığınız bir veri (diyelim ki yerine ulaşmayan bir kurye olduğunda arayıp rapor vereceğiniz telefon numarası) şirketinizde çalışmayan birisi için çok değerli bir bilgidir. (O numarayı arayıp kuryeyi başka adrese yönlendirebilir).
Kevin Mitnick adı geçtiğimiz yıllarda sıkça gündeme gelmişti. Tarihteki en büyük hackerlık olayının başrolü oyuncusu olarak, uzun yıllar gözetim altında tutuldu. FBI, mahkemeye çıkarma konusunda isteksizdi çünkü tam da ne ile suçlayacaklarını bilemiyordu. Gerçekten de çıkarıldığı mahkemede sadece kabahat düzeyindeki faaliyetlerinden dolayı “kulağı çekildi”. O da buna karşılık uslu çocuk oldu. Şimdi güvenlik konularında danışmanlık yapıyor. Hatta ülkemizdeki bir bilgisayar etkinliğine video konferans ile katılıp açılış konuşması yapmıştı.
Geçtiğimiz günlerde Mitnich’in 2002 yılında ABD’de piyasaya çıkmış olan Aldatma Sanatı adlı kitabu ODTÜ Yayınları tarafından dilimize kazandırıldı.
Mitnick burada, pek de bilgisayar dehalığı düzeyinde teknik bilgiye sahip olmadan ABD’de neler yapılabileceği konusunda yaşanmış güzel örnekleri anlatıyor. Buna da Toplum Mühendisliği adını veriyor.
TOPLUM MÜHENDİSİ OLMAK
Bir örnekle toplum mühendisliğini inceleyelim:
Bir video kiralama zincirine ait ofisi arıyor ve oradaki kişiye, aldığınız hizmetten çok memnun olduğunuzu, bununla ilgili ofisin müdürüne bir teşekkür mektubu yazmak istediğinizi, müdürün adını öğrenmek istediğinizi söylüyorsunuz. Bu güzel telefonu alan görevli size müdürün adını söylüyor. Bu gizli bir bilgi değil ki. Ayrıca mektubun bir kopyasını genel müdüre de göndermek istediğinizi, şubenin kod numarasını da soruyorsunuz. Bunu da öğreniyorsunuz.
Daha sonra zincirin bir başka şubesini arıyor ve kendinizi az önce öğrenmiş olduğunuz isimle tanıtıyorsunuz. Kodunu öğrenmiş olduğunuz şubenin müdürü olarak. Ve bilgisayarda teknik bir problem olduğunu, şubenizde karşı şubeden sürekli video kiralayan bir kişinin olduğunu ve bir film kiralamak istediğini ancak bilgisayar çalışmadığından müşteri olup olmadığı kontrolü yapamadığınızı belirtiyorsunuz.
Karşıdaki kişi bilgisayardan verdiğiniz ismi kontrol ediyor ve müşteri olduğunu teyit ediyor. Acaba diyorsunuz, son kullandığı kredi kart bilgilerini de verebilir mi? Müşteri kartını yanında getirmemiş. Karşı şubenin personeli o bilgiyi de veriyor. Bingo.
Burada dikkat edilirse, önce kimsenin gizli demediği bazı firma bilgilerine ulaşıldı. Örneğin şube müdür adı, şube kodu gibi.
Daha sonra da firmanın diğer şubesi aranarak ve bir güven unsuru oluşturarak, az önce edinilmiş olan bilgilerin yardımıyla asıl erişilmek istenen bilgiye ulaşıldı.
Kitap bu tür örneklerle dolu. Örneğin bir başkası, yukarıdaki kadar zararsız değil. Bir yazılım destek uzmanı, bir bankanın EFT merkezine destek verirken süreci öğreniyor ve süreçteki kritik bir bilgiyi (hergün değişen şifre) ele geçirdikten sonra bir telefon kulübesinden sanki yetkili bir personelmiş gibi EFT talimatı veriyor. Sonuç on milyon dolarlık bir kaçak.
Peki her gün değişen o şifreyi nasıl öğreniyor sanıyorsunuz? Çok kolay. Görevi gereği ofise girip çıkarken, EFT yapma yetkisi olan personelin her gün değişen şifreyi kolaylık olsun diye bir kağıda yazıp ekranlarının bir kenarına iliştirdiklerini fark ediyor. Dört haneli şifreyi ekranın yanından geçerken hafızasına kaydediyor. O kadar.
Firmanın faaliyet alanı ne olursa olsun, bu tür gizli olmayan bilgiler, her firmada ortalıkta dolaşmakta ve kimse de bunlarla ilgili bir kural koymayabilmektedir. Örneğin sizi çalıştığınız firmanın uzak bir şubesinden arıyormuş gibi yapan bir kişi size günlük işlerinizle ilgili bir soru sorsa ne yapardınız?
Paylaşmaktan zarar gelmez statüsünde olan pek çok bilgi, aslında çok değerli bilgi olabilir. Bilgi olgusunda buna veri ile bilgi arasındaki fark denir. Sizin için her gün kullandığınız bir veri (diyelim ki yerine ulaşmayan bir kurye olduğunda arayıp rapor vereceğiniz telefon numarası) şirketinizde çalışmayan birisi için çok değerli bir bilgidir. (O numarayı arayıp kuryeyi başka adrese yönlendirebilir).
Aldatma Sanatı, güvenliğin en zayıf halkasının bilgisayarlar değil insanlar olduğunu her örnekte defalarca vurgulayan, önemli bir kitap. Aynı zamanda Kevin Mitnick’in de bir korsandan ziyade “kral çıplak” diyen birisi olduğunu göstermesi açısından da önemli.
Cumhuriyet Gazetesi Bilim Teknik Eki'nde yayınlanmıştır (13 08 2005)
Hiç yorum yok:
Yorum Gönder