Internette Bilişim Suclarında Kullanılan Metotlar

13-09-2019, 19:39:48

#1
Crawlability

Açık Profil bilgileri

Özel Mesaj Gönder

Crawlability tarafından gönderilen tüm mesajları bul

Crawlability'ı arkadaş olarak ekle
Bilişim suclarında kullanılan metodlar
bilişim suclarında kullanılan yontemler

1. Sistem Kırıcılık (Hacking)
Tabi ki populer olanları icinde ticari sırları calmada sistem kırıcılık (hacking) uc metottan birisidir. E- posta sistem kırıcılığın (hacking) en onde olmasının iki nedeni vardır:
1)Sistem kırıcı (hacking) araclarının buyuk şekilde yararlanılabilir alanda olması. Şu anda 100.000 internet sitesi duzenlenebilir ucretsiz indirilebilen sistem kırıcı (hack) aracları ile doludur. Sistem kırıcılık (hacking) goreceli olarak cok kolay işlemektedir. Derin bilgiye gerek olmadan, basitce protokol veya internet protokol (Ip) adres bilgisi olmadan bir klik ve tuş ile kullanabilme kolaylığı vardır. Sistem kırıcılık (hacking) uc kategoride yapıyı kırıp iceri girer: Sistem, uzak erişim ve fiziksel erişim.

2. Sosyal Muhendislik
Temel amacı; sistemlere izinsiz girmek yada dolandırma yolu ile bağlantı kurmak, izinsiz ağa (network) girmek, endisturiyel casusluk, kimlik hırsızlığı, sistem yada ağın (network) bozulmasına yol acmaktır. Sosyal muhendislik iki ana kategoride tarif edilebilir; hem insan kaynaklı, hem de bilgisayar kaynaklı saldırı metodudur (Wendy thurs:2001). Sosyal muhendislik kişileri kandırarak değerli bilgi ve parolalarını ellerinden almayı maclamaktadır. Bu amacla orneğin e- posta (e-mail) atarak şifre elde etmeye calışırlar, “shoulder surfing” sorf metodu ile basitce şisel bilgileri toplanan kişiye uygun parola tahminleri yapılır. Bu noktada sosyal muhendislerin calışma etodolojisini anlayabilmek icin bir ornek calışmaya bakmak gerekir:
Klasik bir saldırı metodolojisi: gorev - bilgi erişimi: Eldeki bilgilerle bir şey yapın diye soylense, elbette temel olarak dijital yada yazılı materyalin kopya tarihi değerli olacaktır. Rakipler acısından şirket adına ne kadar cok bilgi toplanabilirse o kadar cok şirketin durumuna yonelik şirket hedefleri, planları, hareketleri, stratejileri hakkında değerlendirme yapılabilir. Rakip ile ilgili alınabilecek birkac bilgi aşağıda belirtilmiştir. Pazar ve yeni urun planları Kaynak kodları Şirket stratejileri Uretim, teknolojik calışmalar Olağan ticaret metotları Urun tasarımı, araştırma ve maliyetler Anlaşmalar ve akit tedbirleri; teslim, fiyatlandırma, bilimsel terimler. Şirket internet sitesi Muşteri ve destekleyici bilgileri Birleşme ve elde etme planları Mali butceler, gelirler, vergiler. Pazar, reklam giderleri. Kaynakların fiyatları, stratejiler, listeler. Sorumlular, operasyonlar, organizasyon şeması, isim/aylık cetvelleri. Ayrıca tescilli bir şirket calışması icin sıcak hedefe yonelik, personel kayıtları olabilir. Aşağıdaki bilgilerden herhangi biri de değerli olabilir. Ev adresleri Ev telefon numarası Karı koca ve cocuk adları Sosyal Guvenlik numarası Hasta kayıtları Kredi kartı kayıtları Performans değerlendirmeleri Tum bu veriler toplanarak elde bulunan veya internetten kolaylıkla bulunabilecek yardımcı program veya metotlar ile hedefe kolaylıkla varılabilecektir.

a. Sosyal Muhendislere Karşı Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) surekli olarak değişik taktikleri de kullanarak bilgisayar sistemlerine yonelik yasal olmayan şekilde erişmeye calışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network) korumak icin daha fazla zaman ve para harcarlar. Daha cok, yapılan harcamalar teknolojik guvenlik onlemleridir; sistem yukseltmeleri,guvenlik sistem paketleri, en son teknoloji kripto sistemleri gibi. Fakat yeni bir yol olan sosyal muhendislik bu onlemleri onemsemeden yasal olmayan uygulamalarına devam etmektedir.Bu tip saldırılara karşı kurumların savunmaları icin iyi politikalara sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir. Gunumuzun guvenlik uzmanları surekli bir değişmez mucadele icerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım onunde yapan kişilerdir. Yayınlanan guvenlik bultenlerinde guvenlik acıkları, yeni zayıf noktalara yonelik bilgilendirmeleri, yeni yamaları, onarımları, yeni guvenlik urunlerini, guvenlik uzmanları takip etse de yeni standart, urunlerin standartdını sağlama acısından takip etme cok fazla zaman ve imkan gerektirmektedir. Sosyal muhendisler, guvenlik zincirinin en zayıf yerindeki, karmaşık guvenlik araclarının bir yere toplanarak kullanımı ile calışan insan aracına farklı yollardan giderler.
Dunyada hicbir bilgisayar sistemi yoktur ki; insanı merkeze almasın. Bunun anlamı guvenlik zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir. Butun bilgisayar guvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir. İnsan aracı uzerine odaklanan bir sistem icinde hicbir bilgisayar guvenlik sisteminin sosyal muhendisliğe karşı bağışıklığı temin edilemez. Sosyal muhendislerin hangi somuru metotlarını kullandıkları, nasıl ceşitli şekilde kişilik ozelliklerini değiştirerek başarılı bir sosyal muhendislik yaptıkları aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel ozellikleri de artırmak mumkundur, boylelikle daha başka yeni metotlarda geliştirilebilecektir.

Sorumluluğun yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumlu olmadıklarına inandırılırsa, sosyal muhendisin ricasına uygun hareket ederler. Sosyal muhendisler ceşitli faktorlerin de yardımı ile oluşturdukları durumda, kişisel sorumluluk konusunu şaşırtma ile o kadar sulandırırlar ki bir karar vermeye zorlarlar. Sosyal muhendisler karar verme surecinde diğer calışanların isimlerini kullanırlar, ya da yuksek seviyeden yetkilendirilmiş bir eylem olduğunu diğer bir calışanın ağzı ile, iddia ederler.

Goze girme şansı: Hedef eğer bir rica ile razı olan birisi ise, başarılı olma şansı yuksektir. Bir rakip olarak onu yonlendirmede bu cok buyuk bir avantaj sağlar, ya da bilinmeyene gore yardım verir, sıcak bayan sesini kullanarak telefon aracılığı ile iletişime girerler. Sistem kırıcıları (hackers) topluluğuna teknoloji ile icli dışlı insanlar olarak toplumsal ilişkilerde coğu zaman beceriksiz insanlar topluluğu olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal muhendisler etkilemenin yuksek hicbir formunu kullanmadan bilgi elde ederler.

İlişkilere Guvenmek: Coğu zaman, sosyal muhendisler belirledikleri kurban ile iyi guvenilir bir ilişki icin beklerler ve o zaman bu guveni somururler. Bunu takip eden zamanlarda ufak kucuk etkileşimlerle ilişkiye girer ve doğal seyir icinde problem ortaya cıkar ve sosyal muhendis buyuk hamlesini yapar. Boylece karşı taraftan şans verilmiş olur.

AhlÃ‚kî gorev: Hedefi dışarıdan ahlaksal olarak davranmaya cesaretlendirmek ya da başarı şansı icin ahlaki hareket arttırmayı sağlamak. Bu durum icin hedef olan kişi ya da organizasyondan bilgilerin somurulerek alınmasını gerektiren bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse, başarı şansı artmış demektir.

Sucluluk: Eğer mumkunse coğu insan sucluluk hissinde olmaktan sakınır. Sosyal muhendisler coğu zaman, psikodrama ustatlarıdır. Oyle bir mizansen hazırlarlar ki insanın yureği cız eder, empati ve duygudaşlık meydana getirirler. Eğer sucluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa hedef bundan cok fazla memnun olacaktır. Rica edilen bilginin yerine getirilmeyeceğine inanarak, belirleyici problemlerin rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp denge icinde iyilik olsun diye yapılmasını sağlarlar.

Kunye: Sosyal muhendisin huneri ile daha cok hedef tanımlanır ve bilgiye erişilir. Sosyal muhendisler iletişim anında daha cok zekice bir araya getirilmiş oncelikli, temelli girişimlerle bağlantı kurmaya calışırlar.

Faydalı olmaya istekli olmak: Sosyal muhendisler diğer insanlara yardım etmeden zevk alanlara guvenerek eylemlerini yuruturler. Kahramanımız karşı kişiden ya bir giriş hakkı ister ya da bir hesaba giriş icin yardım etmesini ister. Sosyal muhendisler ayrıca bircok bireyin zayıf reddetme duzeyini bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak işlerini yaparlar.
Birbirine gore ayarlama: Hedef ile en az catışma en iyisidir. Sosyal muhendisler genellikle ortamın gerektirdiği ses tonu ile zekice ve sabırlı sunuş yaparlar. Emir gibi, bir şey sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına nadiren calışırlar. Sosyal muhendis kahramanları genellikle direkt rica edenler, uydurma durum, kişisel ikna gibi kategorileri kullanırlar.

Direkt rica edenler: muhtemelen en basit metottur, ve başarı icin en son olan yoldur. Bir işe basitce girişildiğinde sorulan bilgidir. Direkt rica genellikle meydan okumadır ve genellikle ret edilir. Başarı şansı duşuk olduğundan nadiren tercih edilir.

Uydurma durum: bir şey veya bir organizasyonun ozelliğine gore elde edilen bilgilerle yapılan uretilen bir durum, bir kriz veya ozel bir an ile ilgili olarak bu durumdan faydalanmadır. Kriz durumları anlık yardım icerir, sosyal muhendisler hedefin guvenini arttırıcı durumun gerekliliği ve yardım edilme ile ilgili ortam oluştururlar. Sosyal muhendislerin taktikleri gercek uzerine kurulu olsa da şunu unutmamak gerekir ki; kahramanlar gercek tabanlı şeylere ihtiyac duymaz, sadece ortalama gerekli şeylerle calışırlar.
Ki ş isel İ kna , Kişisel olarak yardım yapmayı isteyen bununla ilgili istekli insan gibi davranırlar. Amacları kuvvetli uyum değildir, gonullu-uyumlu insan anlayışına ulaşmaya calışmaktır. Bircok bilişim teknolojisi (IT) guvenliğinde calışan insan gerekli bilgilerden yoksun bulunmaktadır. Bu işle uğraşanlara yonelik bilgi guvenliği farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu, guvenlik ongoruleri ve guvenlik bilgileri olmalıdır. Calışanların, sosyal muhendis riski ile ilgili eğitimi bu saldırılara karşı kurumların savunma aracıdır. Sosyal muhendisler psikoloji uzerine kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George Stevens:2001). Bu cok ozel saldırı metodunun farkındalığında ozel sureclerde eğitim ve calışma gerektirir.

3. Dumpster Diving (Copleri Boşaltma)
Copleri karıştırma cok pis bir iştir, fakat ticari ve değerli bilgileri elde etme acısından cok onemli ve başarılı bir tekniktir. Copleri karıştırma kulağa iğrenc gelse de, kanunî bir iştir. Cop umuma acık yer uzerinde sokaklarda, gecitlerde bulunuyorsa, kolaylıkla erişilebilecek yer olarak goz onune alınır.”Amerikan mahkemeleri; ticari şirketlerce erişilebilecek alanlardaki copler, ozel mulkiyetten cıkar. Bunlar sadece “izinsiz girilmez” levhası olan yerlerde bulunuyorsa ve siz eğer izinsiz boşaltım işlemi icin girmişseniz suc işlemiş olursunuz” şeklinde hukum vermektedir.
Paylaşılan copler ile ilgili potansiyel guvenlik zayıflıkları olarak; şirket telefon rehberleri, organizasyon şekilleri, kısa notlar, şirketin siyaset tarzı, toplantı zamanları, sosyal olay ve tatiller, elle yapılan sistemler, bağlantı isim ve parolalarını iceren hassas yazıcı cıktıları, diskler ve kayıt uniteleri, şirket mektup başlıkları ve kısa not formları, zamanı gecmiş donanımlar belirlenmiştir. Copler, zengin bir bilgi kaynağı olarak ortak casusluk iîmkanını sunmaktadır. Yukarıda sayılan her bir arac uzman birinin elinde bircok işe yarayabilir. Konunun onemine uygun olarak, Amerika’ da, copleri boşaltma ile ilgili kanun maddeleri hazırlanmıştır “an act concerning dumpester diving”. Kanun tasarısına konan bu ilke bilgisayar sistem kırma (hack) ve kanunsuz dinleme vb. ile aynı sayılarak, ticari gizliliği koruma kanunu adı altında başlıklandırılmıştır. Cop boşaltma kurbanı olan şirketin kendine karşı bu bilgilerin kullanılması durumunda yuksek mahkeme yolu ile bunu bozma gibi bir hakkı vardır. Bu şirketler ayrıca cezayı gerektiren tazminat hakkı icin dava acma hakkı elde ederler.

4. Kuvvetli Darbe (Whacking)
Temel olarak kuvvetli darbe kablosuz sistem kırma (hacking) dır. Kablosuz ağı (network) gizli dinleyen sistemlerin hepsi doğru bir radyo kanalını bulmayı ve kablosuz iletimin icinde bulunabilmeyi gerektirir. Gerekli donanım ile ofis binalarının dışından sinyallerin toplanabilmesi mumkundur. Bir defa yuklenen bir kablosuz şebeke sistemi ile davetsiz misafir genelde şifrelenmemiş (kriptolanmamış) olarak ağdan (network) gonderilen bilgiyi toplar.

5. Kolay Telefon Duşmesi
Ortak bilgide (corporate espionage) telefon duşmesi başka bir yol olarak kullanılmaktadır. Dijital kayıt yapan alet ile faks cihazını iletim ve kabulunu izleyen bir sistemi oluşturmak, faks cihazına bir bilgi gelmeden once kimsenin bilgisi olmadan bir kopyasının alınması, telefon ile goruşmede bir kişinin sesleri toplanarak, banka hesabına erişmek mumkundur.

Sonuc

Cağımızda bilginin kullanımı artık yetmemekte kullanılan bilginin korunması ve sağlıklı şekilde iletilmesi on plana cıkmaktadır. Ulkemizin de bilgi politikasının değişen şartlara uygun hÃ‚le getirilmesi artık temel bir mecburiyet hÃ‚line gelmiştir. Bilginin gelinen noktada onemi ortadadır. Bilgiye sahip olan, ister devlet isterse ozel sektor olsun, artık ekonomik değer ifade eden bu metadan dolayı hedef hÃ‚line gelmiştir. Calışmada ortaya konan tehlikeler elbetteki aysbergin gorunen kısmıdır.