BİLİŞİM VE BİLGİ GÜVENLİĞİ İLERİ TEKNOLOJİLER ARAŞTIRMA MERKEZİ 2015 TÜBİTAK BİLGEM Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi P.K. 74, 41470 Gebze / KOCAELİ Tel: (0262) 648 10 00, Faks: (0262) 648 11 00 www.bilgem.tubitak.gov.tr
DOKÜMAN ONAY BİLGİLERİ Adı Soyadı Görevi Tarih İmza Hazırlayan(lar) Kontrol Eden(ler) Onaylayan(lar) DEĞİŞİKLİK KAYITLARI Revizyon No Revizyon Tarihi Revizyon Nedeni Hazırlayan(lar) 2 / 22
İÇİNDEKİLER Kısaltmalar...4 Semboller...5 1. GİRİŞ...6 1.1 Bilgi Güvenliği Kapısı nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler...6 1.2 Amaç ve Kapsam...7 1.3 Hedeflenen Kitle...7 2. SOSYAL MÜHENDİSLİK NEDİR?...8 2.1 İnsan Davranış Özellikleri...9 3. SOSYAL MÜHENDİSLİK SALDIRI TEKNİKLERİ... 11 3.1 Omuz Sörfü... 11 3.2 Çöp Karıştırma... 11 3.3 Rol Yapma... 12 3.4 Oltalama... 13 3.5 Truva Atı... 13 3.6 Tersine Sosyal Mühendislik... 14 4. SOSYAL MÜHENDİSLİK SALDIRILARINDAN KORUNMA YÖNTEMLERİ... 15 4.1 Sosyal Mühendislik Saldırısının Tespit Edilmesi... 15 4.1.1 Günümüzde Popüler olan Sosyal Mühendis Davranışları... 15 4.1.2 Bir Saldırının Uyarı Sinyalleri... 15 4.1.3 Saldırılara En Sık Maruz Kalan Hedefler... 16 4.1.4 Kurumları Saldırılara Açık Duruma Getiren Bazı Unsurlar... 16 4.2 Sosyal Mühendislik Saldırılarına Karşı Korunma... 17 4.2.1 Güvenlik Bilincini Arttırma Eğitimleri... 17 4.2.2 İçerik Doğrulama... 18 4.2.3 Fiziksel Güvenlik... 19 4.2.4 Sınırlı Veri Paylaşımı... 19 4.2.5 Kurum İçi Sosyal Mühendislik Testleri... 19 4.2.6 Veri Sınıflandırma Politikası... 19 4.3 Kurum Güvenlik Politikası İçin Önemli Tavsiyeler... 19 5. DİKKAT EDİLMESİ GEREKEN DİĞER HUSUSLAR... 21 KAYNAKÇA... 22 3 / 22
Kısaltmalar AAA : Authentication, Authorization, Accounting ACL : Access Control List AES : Advanced Encryption Standart AH : Authentication Header BIOS : Basic Input / Output System BGP : Sınır Ağ Geçidi Protokolü CAST : Bir blok şifreleme algoritması (block cipher), Kısaltma Carlisle Adams, Stafford Tavares in ilk harflerinden oluşmaktadır. DES : Data Encryption Standart DHCP : Dynamic Host Control Protocol DMZ : Demilitarized Zone / Demarcation Zone DNS : Domain Name Server DoS : Servis Dışı Bırakma (Denial of Service) DDOS : Dağıtık Servis Dışı Bırakma (Distributed Denial of Service) EAP-TLS : Extensible Authentication Protocol Transport Layer Security EGP : Harici Ağ Protokolü ESP : Encapsulating Security Payload FTP : File Transfer Protocol GAŞ : Geniş Alan Şebekesi Gbps : Giga bit per second http : Hypertext Transfer Protocol ICMP : Internet Control Message Protocol IDEA : International Data Encryption Algorithm IDS : Intrusion Detection System IEEE : Institute of Electrical and Electronics Engineers IGP : Dahili Ağ Geçidi Protokolü IGRP : Dahili Ağ Geçidi Yönlendirme Protokolü IKE : Internet Key Exchange IP : İnternet Protokolü IPS : Intrusion Prevention System 4 / 22
IPSec : Internet Prtocol Security ISDN : Integrated Services for Digital Networks L2TP : Layer 2 Tunneling Protocol MAC : Media Access Control Mbps : Mega bit per second NTP : Network Time Protocol OSI : Open System Interconnection PEAP : Protected Extensible Authentication Protocol POP3 : Post Office Protocol 3 PPTP : Point to Point Tunneling Protocol RADIUS : Remote Authentication Dial In User Service RIP : Yönlendirme Bilgi Protokolü SHA - 1 : Secure Hash Algorithm 1 SMTP : Sent Mail Transfer Protocol SNMP : Simple Network Management Protocol SSH : Secure Shell SSL : Secure Socket Layer TCP : Transport Control Protocol TFTP : Trivial File Transfer Protocol TKIP : Temporal Key Integrity Protocol UDP : User Datagram Protocol VLAN : Virtual Local Area Network VTP : Cisco ya özgü VLAN Yönetim Protokolü WEP : Wired Equivalent Privacy WLAN : Wireless Local Area Network WMAN : Wireless Metropolitan Area Network WPA : Wireless Protected Access WPAN : Wireless Personal Area Network WPA - PSK Wireless Protected Access-PreShared Key Semboller koyu : İngilizce terimleri belirtmek için kullanılır. komut : Kod parçalarını ve betikleri belirtmek için kullanılır Koyu altı çizili : Vurgu yapmak içindir. 5 / 22
1. GİRİŞ 1.1 Bilgi Güvenliği Kapısı nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler Bilgi Güvenliği Kapısı (www.bilgiguvenligi.gov.tr) web sitesi ve bu sitede yer alan kılavuzlar; ilk olarak Ulusal Bilgi Sistemleri Güvenlik Projesi kapsamında hazırlanmıştır. Daha sonra Kalkınma Bakanlığı nın 2012 bütçesinden desteklenen Kamu Bilgi Sistemleri Güvenliği Programı kapsamında, Bilgi Güvenliği Kapısı web sitesinin siber güvenlik bilgi bankasına dönüşmesi ve siber güvenliğin farklı alanlarında Türkçe içerik oluşturma hedefiyle güncellenmiştir. Bu süreç içinde ihtiyaç doğrultusunda yeni kılavuzlar da oluşturulmuş, kullanıcıların siber güvenlik bilincini arttırmak hedefiyle daha interaktif görsel materyalle desteklenmiş e-öğrenme formatında içerik eklenerek, bilgi bankası zenginleştirilmiştir. Kılavuzlar siber güvenliğin hem teknik hem de teknik olmayan alanlarında bilgi aktarımı hedefiyle hazırlanmıştır. İçerikte; bazen bir servisin, bir işletim sisteminin ya da bir protokolün güvenlik yapılandırmasının gerçekleştirilmesi amacıyla verilen bilgilerin yanı sıra, siber güvenliğin bir bütün olarak görülmesi ve yönetilmesi ihtiyacından yola çıkarak yönetimsel kontrollere ait bilgiler de yer almaktadır. Diğer taraftan kılavuzlarda bilgiye ek olarak gerektiğinde tecrübelere de yer verilmiştir. Kılavuzların daha hızlı okunabilmesi ve etkili kullanılabilmesi için önemli komutlar ya da hap niteliğinde olan özet bilgiler farklı formatta sunulmuştur. Bu sayede sistem, ağ, etki alanı vs. yöneticileri, son kullanıcılar, bilgi güvenliği yönetim sistemi yürütücüleri ya da yöneticiler tarafından başucu referansı olarak kullanılması hedeflenmiştir. Bu dokümanda ticari markalara ismen yer verilmiş olabilir. Bu markalar ve ürünler tamamen özgün sahiplerine aittir. Kılavuzlarda sunulan bilgi, tecrübe, uygulama ve komutlar tamamen tavsiye niteliğinde olup en yoğun kullanılan ürün, sistem, servis ya da protokoller göz önünde bulundurularak hazırlanmıştır. Bu nedenle verilen komut, bilgi ya da tecrübe değişik ürünler/yapılandırmalar için farklılık gösterebilir. TÜBİTAK BİLGEM kılavuzlarda verilen bilgi ve bu bilgiye bağlı olarak sunulan yöntemler ya da uygulamalardan doğabilecek zararlardan sorumlu değildir. Bu doküman TÜBİTAK BİLGEM in izni olmadan değiştirilemez, ticari getiri elde etmek amacıyla basılamaz, çoğaltılamaz, dağıtılamaz. Güncelleme, ekleme ya da düzeltme taleplerinizi sge.info@tubitak.gov.tr e-posta adresine gönderebilirsiniz. 6 / 22
1.2 Amaç ve Kapsam Bilgi güvenliğinin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanmaktadır. Büyük yüzdesi ise kullanıcıya bağlıdır. Kurumlarda bilgi güvenliğinden başta bilginin sahibi ve bilgi işlem personeli olmak üzere tüm kurum personeli sorumludur. Bilgi güvenliğinin seviyesini belirlemek için en zayıf halkaya bakılır. En zayıf halka da birçok durumda maalesef insan olmaktadır. Kurumlarda bir bilgi güvenliği zafiyeti oluştuğunda meydana gelebilecek zararlar şöyledir. Bilgiler başkalarının eline geçebilir. Kurumun onuru, toplumdaki imajı zarar görebilir. Donanım, yazılım, veri ve kurum çalışanları zarar görebilir. Önemli veriye zamanında erişememe sorunları ortaya çıkabilir. Parasal kayıplar meydana gelebilir ki görece olarak bakıldığında en hafif durumdur. Vakit kayıpları kaçınılmaz olur. Hatta can kaybı bile meydana gelebilir. Kısacası, kişileri gizli bilgi vermeleri ya da erişim sağlamaları için aldatma süreci olarak tanımlanabilecek sosyal mühendislik, insan zafiyetlerini kullanır ve alınan son teknoloji güvenlik önlemlerini bile aşmaya imkân tanır. İlerleyen bölümlerde insan zafiyetleriyle oluşabilecek güvenlik açıklıklarının etkilerinin azaltılması amacıyla yürütülmesi gereken çalışmalar ve yönetim prensipleri ele alınacaktır. 1.3 Hedeflenen Kitle Bilgi güvenliği personeli, bilgi sahibi personel, kişi, kullanıcı bu dokümanın hedef kitlesini oluşturmaktadır. 7 / 22
2. SOSYAL MÜHENDİSLİK NEDİR? Bilgisayar güvenliği terimleriyle Sosyal Mühendislik, insan iletişimindeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir. Bu tanım çerçevesinde iletişim kavramından kasıt, kişiler arasında, kişiyle kurum arasında ya da kurumlar arasındaki etkileşimdir. İnsan davranışlarındaki açıklıklarsa, insanların gündelik sergiledikleri, niyetlerinden bağımsız hareketlerin güvenlik açısından istenmeyen durumlara sebep olması ihtimalleridir. Müdahale ise güvenlik açısından kritik bilgilerin elde edilmesi durumudur. (bkz. 1) Sosyal mühendisler, teknolojiyi kullanmadan ya da çok az kullanarak bilgi edinmek için insanlardan faydalanırlar. Çoğu zaman bunu etkileme ve ikna yöntemlerini kullanarak yaparlar. Diğer bir bakış açısıyla Sosyal Mühendislik, normalde insanların tanımadıkları biri için yapmayacakları eylemleri yapmalarını sağlama sanatıdır. Bunu da teknoloji kullanımından çok hile ile kandırarak yaparlar. Kullanılan tekniklerden birçoğu basit dolandırıcılığa çok benzese bile, bu terim genelde bilgi sızdırmak veya bir bilgisayar sistemine sızmak üzere yapılan numaralar için kullanılır. (bkz. 2) Bu tekniklerin büyük çoğunluğunda saldırgan, kurban ile yüz yüze gelmez. Bu yüzden fiziksel temastan dolayı doğabilecek herhangi bir aksiliğin önüne geçilmiş olur. Sosyal mühendislerin kullandıkları en büyük silah insan zafiyetleridir. Çünkü insan, duyguları olan ve çevresindeki her şeyden etkilenip olumlu ve ya olumsuz tepkiler veren bir varlıktır. Bunun sonucu olarak da her zaman aynı bilinç açıklığında ve aynı dikkat seviyesinde değildir. Sosyal mühendisler ile hırsızlar arasında çok temel bir fark vardır. Örneğin, hırsız bir telefonu sahibinin rızası olmadan gizlice çalar ve telefon artık sahibinde olmaz. Fakat bir sosyal mühendis elde etmek istediği bilgiyi kurbanın rızasını alarak elde eder ve artık bilgi hem kurbanda hem de sosyal mühendiste bulunur. Genel olarak buraya kadar bahsedilenlerden de anlaşılacağı gibi zafiyetleri noktasında güvenliğin en zayıf halkası olarak insan gösterilmektedir. Ne yazık ki bu zafiyet noktasında herhangi bir sınırda bulunmamaktadır. Çünkü içinde insan olan her süreç bir şekilde manipüle edilebilmektedir. (bkz. 3) 8 / 22
2.1 İnsan Davranış Özellikleri İnsan zafiyetlerinin bu kadar risk oluşturmasının nedeni, insan davranış özelliklerinin çok çeşitli olmasıdır. Sahiplik, ihtiyat, saygı, merak vb. davranış özellikleri her insanda, fakat kendine özgü olarak bulunmaktadır. Bu da beraberinde her davranış özelliği için farklı zafiyetleri getirmektedir. Yalnız, sosyal mühendisler kurbanın her davranış özelliğine değil, maksimum bilgiye ulaşabileceklerini düşündükleri belli davranış özelliklerine kilitlenirler. Bu davranış özelliklerinden en çok zafiyet barındıranlar; korku, yardımseverlik, tembellik, ego, yetersiz bilgi, zafer heyecanı olarak isimlendirilenlerdir. Başarıya ulaşan birçok sosyal mühendislik saldırı senaryosunun ardında bu özelliklerin zafiyetlerinden faydalanma vardır. Kurbanın korku özelliğini keşfeden bir sosyal mühendis, saldırı senaryosunu kurbanı etki altına alacak şekilde oluşturur. Bunun için de en üst perdeden bir felaket senaryosu çizerek kurbana başka bir çıkış yolu bırakmamaya çalışır. Örneğin; yıllardır kullandığınız telefon numarasının bir terör eyleminde kullanıldığına dair polisten gelen telefon! Kurbanın yardımseverlik özelliğini keşfeden bir sosyal mühendis, saldırı senaryosunu kurbanın bu özelliğini en üst seviyede hissedebileceği şekilde oluşturur. Yardım isteyen kişinin yerin de, ya önceden kendi de olmuştur ya da gelecekte kendinin de olabileceği düşüncesini vermek öncelikli hedeflerindendir. Örneğin; işe yeni başladığını söyleyen bir personelin yarına yetiştirmesi gereken raporlar için erişmeye yetkisi olamayan bilgilere erişmek istemesi! Kurbanın tembellik özelliğini keşfeden bir sosyal mühendis, saldırı senaryosunu kurbanı tamamen üşengeçliğe itecek şekilde oluşturur. Bunun için zamanlama ve karşı tarafla iletişim tarzı çok önemlidir. Örneğin; günün yorgunluğu üzerine iyice çökmüş bir kurum güvenlik görevlisinin birkaç sahte, güven oluşturacak sözle ikna olup uygulaması gereken kimlik doğrulama prosedürünü uygulamaması! Kurbanın ego özelliğini keşfeden bir sosyal mühendis, saldırı senaryosunu kurbanın ego seviyesini katlayarak arttıracak şekilde oluşturur. Ego duygusunun artmasıyla saldırgan ile arasındaki güven sınırını hızlıca kaldıran kurban, bu kişiden zarar gelmez psikolojisine kapılır ve sonuç olarak galip saldırgan taraf olur. Örneğin; beni kimse kandıramaz, beni kandırmak kolay değildir söylemlerine sahip kişilerin bu duyguları daha da kabartılıp kolayca kandırılabilmeleri! Kurbanın yetersiz bilgiye sahip olduğunu keşfeden bir sosyal mühendis, saldırı senaryosunu o konuyla ilgili karmaşık ifadelerle oluşturur. Bir kurumda çalışan her personelin kullandıkları 9 / 22
programlar, sistemler, ürünler hakkında yeterli bilgiye sahip olmamaları ve sürekli destek almaları saldırgan için önemli bir avantajdır. Yetersiz bilgiye sahip personele panik yaptırıp acil hissi verdirerek birçok bilgi alınabilmektedir. Kurbanın zafer heyecanı özelliğini keşfeden bir sosyal mühendis, saldırı senaryosunu hazırlarken genelde maddi çıkarlar üzerinde durur. Kurban hiç beklemediği bir anda bir şeyler kazandığına ikna olup, o heyecanla istenilen kişisel bilgilerini saldırgana verir. Daha detaylı bilgi için Dinesh Shetty in makalesi incelenebilir. (bkz. 3) 10 / 22
3. SOSYAL MÜHENDİSLİK SALDIRI TEKNİKLERİ Önceden bilgisayar sistemleri genelde uygulama seviyesinde kaba kuvvet saldırılarıyla ele geçirilirdi. Fakat günümüzde daha karmaşık yöntemlerle, insan psikolojisinden yararlanılarak daha hızlı ve daha kesin bilgilerle ele geçirilmektedirler. Bu yöntem ile kullanılan platform her ne olursa olsun saldırganlar erişim elde edebilirler. Sosyal mühendislik saldırılarında saldırgan hareketlerinden meşru bir iş yaptığı izlemini verir. Bu yüzden de saldırı anında yöntemlerin doğal işleyişi özel durumlara göre farklılaşabilir. Günümüzde büyük oranda başarıya ulaşmış sosyal mühendislik saldırı teknikleri; omuz sörfü, çöp karıştırma, truva atı, rol yapma, oltalama ve tersine sosyal mühendislik olarak ortaya çıkmaktadır. 3.1 Omuz Sörfü Parola yazılırken ya da erişim kısıtlı sistemlere erişilirken kurbanın izlenmesidir. Dürbün veya diğer görme artırıcı cihazlar kullanılarak yakın mesafenin aksine uzun bir mesafeden de yapılabilir. Omuz sörfüne maruz kalabilecek olası yerler; Havaalanları, kafeler, oteller, halkın ortak kullanım alanları Yan masanızda oturan iş arkadaşınız Bankamatikler Kredi kartıyla ödeme yapılan her yer Kısacası omuz sörfü ile günlük hayatın her anında karşılaşmak mümkündür. Bunun için de gizli bilgi, parola gibi kişisel verilerin kullanılacağı ortamlarda dikkat olabildiğince yüksek seviyede tutulmalı ve herhangi bir kişi veya cihaz tarafından izleme yapılıp yapılmadığına emin olunduktan sonra bu veriler ile işlem yapılmalıdır. 3.2 Çöp Karıştırma Çoğu insanın önemsiz olarak gördüğü bilgiler sosyal mühendisler için çok önemli olabilmektedir. Çünkü sosyal mühendisler önemsiz gibi görünen bilgileri birleştirip kurbanı inandırıcı senaryolar hazırlayarak önemli bilgiye ulaşma yolunu tercih ederler. Bunun için de çöp karıştırma tekniği en az risk içeren tekniktir. Fakat bunun yanında getirisi hiç de küçümsenmeyecek kadar büyüktür. Kurbanın çöpünde bulunabilecek başlıca veriler; Önemsiz olarak görülen belgeler, kredi kartı slipleri, küçük kâğıtlara alınan notlar ve telefon numaraları, imla hatasından atılan raporlar 11 / 22
Çöpe atılmış disket, CD, post-it gibi hassas veri içerebilecek materyaller Özellikle büyük organizasyonlarda sık sık değişen şirket telefon rehberi, sistem el kitapçıkları, organizasyon şemaları, şirket politika kılavuzları, toplantı takvimleri, kullanıcı adı ve parola bilgilerinin dökümleri Sonuç olarak çöp karıştırma kulağa çok hoş gelmese de saldırganların vazgeçemeyeceği bir tekniktir. Bunun için de kritik veriler derecelerine göre sınıflandırılmalı ve derecesine göre imha teknikleri uygulanmalıdır. Kırpıcılar aktif bir şekilde kullanılmalı hatta kurum dışındaki büyük çöp bidonları kilitlenmelidir. 3.3 Rol Yapma Sosyal mühendislerin en önemli silahlarından biridir. Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından kurbanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler, güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi vb.) olduğu için sahte senaryolar uydurmak ve istenen bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir. Saldırganın senaryonun ana hattı dışına çıkabilecek durumları da göz önüne alıp hazırlık yapması, başarı oranını artıran bir etkendir. Sosyal medyadan elde edilen gerçek bilgilerle hazırlanan senaryonun güçlü ikna yeteneği ile yıldırma, korkutma, pes ettirme taktiği kullanılarak uygulanması genellikle başarıyla sonuçlanmaktadır. Rol yapma tekniği ile telefonda hassas bilgi istenilmesi durumunda öncelikle yapılması gerekenler; Doğrulama için geri arama yapılmalı Bilgi isteyen kişiden kimlik bilgisi istenmeli (sicil no, banka kartı personel numarası) Diğer taraftan kimlik bilgisinin doğrulanması için sorgulama yapılmalı Kayıtlarda anahtar kelimeler tutulmalı ve bunlar sorgulanmalı Tuzak sorularla kimlik doğrulama yapılmalı Aceleci davranmadan soğukkanlı, bir şeylerden emin olarak bilgi verilmeli Her kurum kendi özelinde bu tür durumlara karşı yönergesini işletmelidir. 12 / 22
3.4 Oltalama E-posta ile iletişim üzerinden gerçekleşen bir saldırı yöntemidir. Toplu halde onlarca yüzlerce kişiye yönelik yapılabildiğinden, daha sık olarak bu teknik kullanılır. Telefonda konuşma daha çok ilgi ve merak isteyen, heyecana kapılmadan yapmakla ilgilidir, ancak e-posta saldırıları o dili bilmeyen kişilerce de yapılabilir. Ayrıca teknik açıklıklarla birleştirildiğinde son kullanıcının farkına bile varamayacağı kalitede sahte sayfalar hazırlanabilir. Saldırgan, amacına ulaşmak için kurbanı güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Örneğin saldırgan yolladığı iletinin bir bankanın bilgi işlem bölümünden geldiğine ikna etmek isterse, aynı bankanın önceden yolladığı iletilerdeki biçemi şablon olarak alabilir ve iletiden dışarıya giden bağlantıları kötü niyetli bir sayfaya yönlendirebilir. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, virüslü yazılım kurmak vb.) yönlendirmektir. Farklı nedenler ile oltalama siteleri hazırlanabilir; Parola çalma Uzaktan kod çalıştırma Köle bilgisayar oluşturma Herhangi bir e-postadan şüphe edildiğinde başlık bilgilerine bakıp oltalama olup olmadığına emin olunduktan sonra açılmalıdır. Tanınmayan kişilerden gelen e-postalar ve ekleri herhangi bir kontrol yapılmadan açılmamalıdır. 3.5 Truva Atı Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir. Bir de Road Apple (yol elması) diye adlandırılan truva atları vardır. Bu tür truva atları, e-posta, web gibi elektronik ortamların açıklıklarıyla yayılmak yerine, fiziksel olarak yayılırlar. Örneğin saldırgan, üzerinde merak uyandıracak bir etiket bulunan bir disket, CD ya da flash disk oluşturur ve kurbanın 13 / 22
tesadüfen görebileceği bir yere (çöp kutusu, koridor kenarı, tuvalet) atılmış gibi yerleştirir. Aslında zararlı yazılım içeren bu ortam, kurbanın dikkatini çeker ve kullanırsa, zararlı yazılım bilgisayarda çalışarak saldırıyı gerçekleştirir. 3.6 Tersine Sosyal Mühendislik Rol yapma tekniğine benzer bir saldırı yöntemidir. Fakat bu kez yardımı kurbanın kendisi istemektedir. Sabotaj, pazarlama ve destek adımlarından oluşan bir saldırı tekniğidir. Sabotaj adımında; saldırgan bir şekilde kurbanın kullandığı sisteme basit erişimler elde eder. Böylece sistemi bozar ya da bozulmuş görüntüsü verir. Durumu fark eden kurban sistemin düzeltilmesi için yardım aramaya başlar. Pazarlama adımında; kurbanı takip etmekte olan saldırgan yardım talebini gördüğü anda bozulan sistemi sadece kendisinin onarabileceğine dair söylemlerde bulunur ve bir şekilde kurbanı ikna edip güvenini kazanır. Destek adımında; artık kurban sorunun çözülmesi için saldırgana istediği her bilgiyi vermeye başlar ve böylece kritik bilgilere erişim sağlanmış olur. Bu saldırıya karşı tek etkili savunma; çalışanları eğitmek, bilgilendirmek, bir sosyal mühendisi tanımak için gerekli altyapıyı sağlamaktır. Kurumlarda herkesin tamamlamakla yükümlü olduğu temel bir eğitim alınması sağlanmalıdır. Daha detaylı bilgi için referanslarda ki kaynaklar incelenebilir. (bkz.1,2) 14 / 22
4. SOSYAL MÜHENDİSLİK SALDIRILARINDAN KORUNMA YÖNTEMLERİ Sosyal mühendislik saldırıları üç aşamada hazırlanır ve uygulanır. Bunlar; saldırılara hazırlık olan bilgi toplama evresi, saldırının gerçekleştirilme evresi ve başarıya ulaşmış bir saldırı sonrası hakları genişletme evresidir. Bilgi toplama evresinde genelde internet üzerinden, sosyal medya aracılığıyla pek çok bilgiye sahip olunabilmektedir. Toplanan bilgilere göre hazırlanan saldırı senaryosu, saldırının gerçekleştirilmesi evresinde uygulanır ve kurbandan daha kritik bilgiler alınmaya çalışılır. Eğer saldırı başarıya ulaşmış ve kritik bilgi alınmışsa, bu bilgininde kullanılabileceği yeni bir senaryo hazırlanıp daha fazla kritik veriler elde edilebilir. 4.1 Sosyal Mühendislik Saldırısının Tespit Edilmesi 4.1.1 Günümüzde Popüler olan Sosyal Mühendis Davranışları Günlük hayatta karşılaşılan bazı tavır ve davranışlar, acaba sosyal mühendislik saldırısı olabilir mi diye kafalarda soru işareti oluşturmalıdır. Bunun sonucu olarak da sorulan sorulara daha dikkatli cevaplar verilmelidir. Bahsedilen davranışlar şöyledir; Kurum çalışanı gibi davranmak Ortak iş yürütülen bir şirketin çalışanı gibi davranmak Yetkili biri gibi davranmak Yardıma ihtiyacı olan, işe yeni girmiş biri gibi davranmak Bir sistem yaması yükletmek için çalışan bir sistem üreticisi gibi davranmak Önce sorun yaratmak, sonra sorunu çözmeye çalışmak E-posta ekinde zararlı yazılım göndermek Kurum içi terimleri kullanmak 4.1.2 Bir Saldırının Uyarı Sinyalleri Karşıdaki kişinin ağzından çıkabilecek bazı söylemler saldırıya uğranılması ihtimalini yükseltir. Bu söylemler genellikle şöyledir; Bir geri arama numarası vermekten kaçınılması 15 / 22
Sıra dışı taleplerde bulunulması Yetkili olduğunun öne sürülmesi Acilliğin üzerine vurgu yapılması İsteğin yerine getirilmemesi durumunda kötü sonuçlar doğacağının söylenmesi Soru sorulduğunda rahatsız olunması Bilinen adların sıralanması İltifat edilmesi ve kur yapılması 4.1.3 Saldırılara En Sık Maruz Kalan Hedefler Kurumlarda sosyal mühendislik saldırılarına en sık maruz kalan personeller; Bilginin değerinden habersiz olanlar Danışma görevlileri, santral memurları, güvenlik görevlileri vs. Özel ayrıcalıklara sahip olan çalışanlar Yardım masası, sistem yöneticileri, bilgisayar işletmenleri vs. Üretici/satıcı firmalar Bilgisayar donanımı, yazılım üreticileri vs. Belli bölümler Muhasebe, insan kaynakları vs. 4.1.4 Kurumları Saldırılara Açık Duruma Getiren Bazı Unsurlar Kurumları saldırılara karşı potansiyel hedef olarak sunan bazı unsurlar vardır. Bunlar; Çok sayıda çalışan Birden fazla tesis Güvenlik eğitimlerinin yetersizliği Veri sınıflandırma sisteminin bulunmaması Olay bildirme planının bulunmaması... 16 / 22
4.2 Sosyal Mühendislik Saldırılarına Karşı Korunma Sosyal mühendislik saldırılarına karşı kusursuz bir koruma sağlamak imkânsızdır. Alınacak bütün önlemler aşılabilir. Çünkü insan faktörü her zaman iş başındadır. Ancak saldırıların başarı ihtimalleri bazı yöntemler ile düşürülebilir. Bu yöntemleri sıralayacak olursak başlıcaları; Güvenlik bilincini arttırma eğitimleri İçerik doğrulama Fiziksel güvenlik Sınırlı veri paylaşımı Kurum içi sosyal mühendislik testleri Veri sınıflandırma politikasıdır. 4.2.1 Güvenlik Bilincini Arttırma Eğitimleri Güvenlik bilincini arttırmak sosyal mühendislik saldırılarını önlemek için basit ve etkili bir çözümdür. Her kurum personelinin bu eğitimlere dâhil olması sağlanmalıdır. Güvenlik bilincini arttırma eğitim içeriğinde olması gereken bazı önemli maddeler şöyledir; Kurumun her an saldırıya maruz kalabileceği Sorunun sadece teknoloji sorunu olmadığı Tüm kurum çalışanlarının bilgi güvenliğinin bir parçası olduğu Prosedürlerin ve uygulanmalarının önemi Örneğin, şifre oluşturma prosedürü Bilgisayara girişin ve şifrenin güvenliği Bilgisayarda donanım ve yazılım değişikliği yapmanın önemi Dizüstü bilgisayar kullanımı Dosya erişimleri ve paylaşımları Yazıcı kullanımı Taşınabilir medya kullanımı Virüslerden korunma İnternet erişim güvenliği 17 / 22
5651 sayılı kanun E-posta güvenliği Yedekleme Bilgisayar güvenlik olayları ihbarı Sosyal Mühendislik Eğitim verildikten sonra oluşturulan güvenlik bilinci sürekli hale getirilmelidir. Bunun için yapılabilecekler şöyledir; Kurumun iç sayfasına bilgi güvenliğiyle ilgili karikatürler, ipuçları koyulabilir. Çeşitli bilgi güvenliği posterleri asılabilir. Bülten panolarına duyurular asılabilir. Hatırlatma amaçlı e-postalar atılabilir. Bilgi güvenliğiyle ilgili internet siteleri takip edilebilir. www.bilgigüvenligi.gov.tr www.bilgimikoruyorum.org.tr Güvenlik bilinci çalışan, performans raporlarının ve yıllık değerlendirmelerinin bir parçası haline getirilebilir. Broşürler dağıtılabilir. Sesli mesaj sistemi aracılığıyla güvenliği hatırlatan duyurular yapılabilir. Güvenlikle ilişkili ekran koruyucular ve arka plan resimleri kullanılabilir. 4.2.2 İçerik Doğrulama Kurum içerisine giren ve çıkan bilgiler bir prosedür dahilinde olmalıdır. Hangi veriye kimin ulaşacağının bilgisi daha önceden belirlenmeli ve oluşturulan prosedür eksiksiz işletilmelidir. Fakat bunu da aşmaya çalışan saldırgan, kurum içerisinden bilgi toplayabilmek için kendini kurum çalışanı olarak gösterebilir. Bu yüzden içerik doğrulamayı kurum güvenlik politikası haline getirmek sosyal mühendislik saldırılarına karşı alınacak önemli güvenlik önlemidir. Sadece kurum çalışanları ile sınırlı kalmadan iş yapılan bütün kişi ve kurumlar ile anlaşmaya varma evresinde, kurum için oluşturulan güvenlik politikasından bahsedip, bu çerçevede iş yapmak ve kurum hakkında üçüncü şahıslara bilgi verilmesinin sınırlarını çizmek gerekmektedir. 18 / 22
4.2.3 Fiziksel Güvenlik Sadece yetkili kişilerin kurum içerisindeki sınırlı bölümlere erişim izni olduğundan emin olmak için uygun erişim kontrol mekanizmaları olması gerekir. Kurum içerisinde kritik öneme sahip yerlere girip çıkan personel önceden belirlenmeli ve bu yerlere girip çıkarken doğru kişi olduğunu belirten kontrol mekanizmaları koyulması gerekmektedir. Tekli, ikili, üçlü kimlik doğrulama mekanizmaları olabilir. Önem derecesine binaen ve kullanılabilirliği göz ardı etmeden buna karar verilmelidir. 4.2.4 Sınırlı Veri Paylaşımı İnternet gibi kurumun dışarıya açık olan yüzünde paylaşılan verilere son derece dikkat edilmeli ve bu durum sürekli izlenmelidir. Herhangi bir aşırılığa gidildiğinde hemen önlemler alınmalıdır. Bu önlemler saldırganların pasif bilgi toplamasını zorlaştıracak ve hazırlanacak olan saldırı senaryosunun gerçekçiliğinin önüne geçilmesini sağlayacaktır. 4.2.5 Kurum İçi Sosyal Mühendislik Testleri Kurumdaki güvenlik bilincini takip etmek amacıyla, yönetimin de desteği ile kurum çalışanlarına güvenlik ekibi tarafından, ara ara özel sosyal mühendislik testleri yapılmalıdır. Bu testler tamamen fayda odaklı düşünülüp yöneticiden temizlik elemanına kadar ayrım yapılmadan tüm kurum personelini kapsamalıdır. 4.2.6 Veri Sınıflandırma Politikası Veri sınıflandırma politikası her kurumda kesinlikle olması gereken bir prosedürdür. Temelde, ulaşması gereken personele ve kritik seviyelerine göre veriler sınıflandırılmalıdır. Veri sınıflandırma her seviye için farklı görüntüleme, düzenleme ve paylaşma kurallarını içerir. Veri sınıflandırma politikası ile hassas kurum bilgilerinin derecesi artar. Herhangi bir tehlike anında hangi çalışan grubuna ait bilgi ifşa olmuş, risk ne seviyededir anlayabilmek için ve sosyal mühendisleri caydırmak için önemli bir yöntemdir. 4.3 Kurum Güvenlik Politikası İçin Önemli Tavsiyeler Her kurumun kendi özelinde oluşturmak durumunda olduğu kurum güvenlik politikasının içeriğinde olması gereken başlıca temel maddeler; Risk analizi yapılmalıdır. 19 / 22
Kurumun bilgi varlıkları nelerdir? Bu varlıklar ne gibi tehdit altındadır? Bu tehditler gerçekleşirse kuruma ne gibi zararlar gelebilir? Veri sınıflandırılması yapılmalıdır. Tasnif dışı Hizmete özel Gizli Çalışan kimliği tespit süreci oluşturulmalıdır. Tüm çalışanlar personel kimlik kartlarını yakalarına takmalıdır. Kurumda bilgi güvenliği şubesi kurulmalıdır. Kurumda olay bildirme merkezi kurulmalıdır. Kurumda periyodik olarak bilgi güvenliği testleri yapılmalıdır. Anti virüs yazılımları mutlaka tüm bilgisayarlara kurulmalı ve tanım dosyaları güncel tutulmalıdır. Çöpe atılması gereken dokümanlar kırpıcılardan geçirilmelidir. Şifre korumalı ekran koruyucular kullanılmalıdır. İşten ayrılan çalışanların uyması gereken prosedürler hazırlanmalıdır. Kuruma ziyaretçi olarak gelen kişilerden kimlik alınmalı, kurum içerisinden bir çalışan bu kişiye refakat etmelidir. Kurumda mutlaka ve mutlaka güçlü şifreler kullanılmalı ve kesinlikle bir yerlere yazılmamalı ya da başkalarıyla paylaşılmamalıdır. En az sekiz karakterli olmalıdır. Rakam ve özel karakterler (?,!, @, ) içermelidir. Büyük ve küçük harf kullanılmalıdır. Konu ile ilgili, referanslarda ki kaynaklardan daha detaylı bilgi edinilebilir. (bkz. 4,5) 20 / 22
5. DİKKAT EDİLMESİ GEREKEN DİĞER HUSUSLAR Güvenlik duvarı korumaları, anti virüsler, casus yazılımlara karşı korumalar ve e-posta filtreleri kullanılmalıdır. Kullanıcı adı parola gibi kişisel verilerin kullanılması gereken durumlarda daha dikkatli davranılmalıdır. Kurumlar için, oluşabilecek bir acil durumda müdahale stratejisi geliştirilmelidir. Herkese açık olan blog ve tartışma forumları gibi sosyal medya ortamlarında kurumsal kimlik kullanımından kaçınılmalıdır. Web sitelerinin URL lerine dikkat edilmelidir. Sahte web siteleri genellikle gerçek bir siteyle aynı görünür fakat URL yazımı veya domaini farklıdır. Gizli ve kritik bilgiler içeren kurum e-posta kutuları vb. çevrim içi uygulamalara; kafe, otel gibi halka açık yerlerde bağlantı kurulmamalıdır. Web sitelerinin sertifikaları kontrol edilmeden o site üzerinden hassas veriler gönderilmemelidir. Kişisel ve finansal bilgiler e-posta ile paylaşılmamalıdır. Bu bilgileri isteyen e-postalara da itibar edilmemelidir. Tüm fiziksel giriş ve çıkış noktalarının güvenli olması sağlanmalıdır. Kişisel veya kurumsal veriler, bilgi isteyen kişinin kimliğinden emin olunmadıkça paylaşılmamalıdır. Eğer varsa sanal klavye kullanılmalıdır. Kurum web sitesinde yayınlanan veriler için çok dikkatli davranılmalıdır. Organizasyon şeması gibi verileri paylaşmaktan olabildiğince kaçınılmalıdır. Hassas veri içeren baskılar kullanım sonrası imha edilmeli, çöp kutuları dâhil olmak üzere kurum dışına okunur şekilde çıkarılmamalıdır. 21 / 22
KAYNAKÇA [1] Can BİCAN, http://www.bilgiguvenligi.gov.tr/sosyal-muhendislik/sosyal-muhendislik-saldirilari- 3.html [2] Kevin MITNICK, Aldatma Sanatı [3] Dinesh Shetty, http://www.exploit-db.com/wp-content/themes/exploit/docs/18135.pdf [4] CSO EXECUTIVE GUIDE, http://assets.csoonline.com/documents/cache/pdfs/social- Engineering-Ultimate-Guide.pdf [5] Tolga MATARACIOĞLU, http://www.bilgiguvenligi.gov.tr/sosyal-muhendislik/turkiyedeki-kamukurumlarinda-sosyal-muhendislik-uygulamalari-3.html 22 / 22