Makale Özeti

Bir uygulama için en önde gelen üç teknik tehlike, bellek taşması, SQL aşılama ve siteler arası kodcuk çalıştırmadır. (Bu saldırı şekilleriyle ilgili yazılarımı yazılım güvenliği kategorisinde bulabilirsiniz.) Bunların her üçünün ortak özellikleri ‘uygulamanızı kandırmalarıdır’, uygulamanıza olduğundan başka bir şey olarak görünerek zararlarını verirler. Ama bunlardan çok daha tehlikeli bir başka saldırı şekli var. Doğrudan uygulamanıza değil uygulamanızın kullanıcılarına yönelik olan dolandırma, kandırma çalışmaları.

Makale

Dijital dolandırmanın klasik bir örneği

Geliştirdiğiniz bir uygulamanın başına gelebilecek en kötü şey nedir? Kandırılması, aldatılması, dolandırılması… Nasıl büyütüp yetiştirdiğiniz bir çocuğu başka bir şehre okumaya gönderdiğinizde en çok korktuğunuz şey, kuzu kılığına girmiş kurtlarsa uygulamalarınız için de en çok bunlardan korkmalısınız.
Bir uygulama için en önde gelen üç teknik tehlike, bellek taşması, SQL aşılama ve siteler arası kodcuk çalıştırmadır. (Bu saldırı şekilleriyle ilgili yazılarımı yazılım güvenliği kategorisinde bulabilirsiniz.) Bunların her üçünün ortak özellikleri ‘uygulamanızı kandırmalarıdır’, uygulamanıza olduğundan başka bir şey olarak görünerek zararlarını verirler.
Ama bunlardan çok daha tehlikeli bir başka saldırı şekli var. Doğrudan uygulamanıza değil uygulamanızın kullanıcılarına yönelik olan dolandırma, kandırma çalışmaları. Buna bir de isim verilmiş durumda: ‘Social engineering’, yani sosyal mühendislik ya da insan mühendisliği.
Bu alanın önde gelen isimlerinden birisi Kevin Mitnick. (Kevin Mitnick’le ilgili weblogumda birkaç girdi bulabilirsiniz.)
Mitnick’in ‘Art of Deception’ kitabında bu tür bir dijital dolandırıcılık örneği detaylı olarak anlatılıyor. Aslında bu kitap, baştan sona pek çok örnekle dolu. (Okumanızı tavsiye ederim, çok önemli katkısı olacak.) Ama bu örnek Mitnick’in adlandırdığı gibi gerçekten ‘aldatmanın klasik bir örneği’.
Bir yazılımın ya da bir sistemin güvenliğinden sorumluysanız Mitnick’in ağzından bu hikayeyi kesinlikle dinleyin:

ALDATMANIN KLASİK BİR ÖRNEĞİ

Varlıklarınızın güvenliğine yönelik en önemli tehlike nedir? Cevap basit: Sosyal mühendis – sol elini size izletirken sağ eliyle sırlarınızı çalan ve yanlış yolda olmaktan çekinmeyen bir sihirbaz. Bu karakter çoğunlukla o kadar arkadaş canlısı, etkileyici konuşmalı ve yardıma isteklidir ki, onunla karşılaşmış olmaktan mutluluk duyarsınız.
Sosyal mühendisliğin bir örneğine bakın. Bugün pek çok kimse Stanley Mark Rifkin adındaki genç adamı ve onun şimdi artık tarihe karışmış Los Angeles’taki Security Pacific National Bank ile olan küçük macerasını hatırlamaz. Macerası ile ilgili rivayetler muhteliftir ve Rifkin (benim gibi) kendi hikayesini hiç anlatmamıştır, bu yüzden aşağıdakiler basılmış raporlara dayalı.

Kodun kırılması

1978’de bir gün Rifkin, Security Pacific’in sadece yetkililerin girebildiği ve her gün milyarlarca dolar paranın gönderilip alındığı wire-transfer odasına süzüldü. Ana bilgisayarlarının sorun yaşaması olasılığına karşı bu odanın verilerinin yedekleme sistemini geliştirmek üzere sözleşme yapılmış bir firma için çalışıyordu. Bu rol kendisine banka görevlilerinin bir transferi göndermek üzere nasıl hazırladıkları da dahil olmak üzere transfer süreçlerine erişim sağladı. Transfer emri vermeye yetkili banka görevlilerine transfer odasını aradıkları zaman kullanmak üzere her sabah sıkı korunan bir günlük kodu verildiğini öğrenmişti.
Odanın içinde memurlar her günün kodunu ezberlemeye çalışmaktan kendilerini kurtarmışlardı: Kodu bir kağıt parçasına yazıp kolayca görebilecekleri bir yere iliştiriyorlardı. Bu Kasım gününde Rifkin’in ziyaretinin özel bir sebebi vardı. Bu kağıt parçasına bir göz atmak istiyordu.
Odaya vardığında yedekleme sisteminin normal sistemle uyumlu çalışmasını garantilemek için çalışır havasında işlem süreçleri üzerine notlar almaya başladı.
Bu arada kimseye fark ettirmeden yapıştırılmış kağıdı görüp güvenlik kodunu okudu ve ezberledi. Birkaç dakika sonra da dışarı çıktı. Daha sonra söylediğine göre piyangoda büyük ikramiyeyi kazanmış gibi hissediyordu.

Şu İsviçre’deki banka hesabı…

Öğleden sonra 3 gibi odadan çıktığında doğru binanın mermer lobisindeki paralı telefonlara yöneldi, bozuk para attı ve transfer odasını aradı. Sonra şapkaları değiştirdi, banka danışmanı Stanley Rifkin’den bankanın Uluslararası Departmanı’ndan Mike Hansen’e dönüştü.
Kaynaklardan birine göre konuşma yaklaşık şöyle gelişti:
“Merhaba, ben Uluslararası'ndan Mike Hansen.” dedi telefonu cevaplayan genç kadına.
Kadın ofis numarasını sordu. Bu standart süreçti ve buna hazırlıklıydı, “286” dedi.
Sonra “Tamam, peki kod ne?” sorusu geldi.
Rifkin bu noktada adrenalinle güçlendirilmiş kalp atışının bu noktada “ritmini bulduğunu” söylüyor. Kesintisiz bir şekilde cevabı verdi: “4789”. Sonra da transferle ilgili emri vermeye başladı: “Tam olarak on milyon ikiyüz bin dolar. İsviçre’deki Wozchod Handels Bank of Zurich hesabına New York’taki Irving Trust Company’ye.” İsviçre’deki bankada hesabı daha önceden açmıştı.
“Tamam” dedi kız, “bilgileri aldım. Şimdi ofislerarası anlaşma numarasına ihtiyacım var.”
Rifkin’i ter bastı; bu beklemediği bir soruydu, araştırması sırasında gözden kaçırdığı bir şey. Ama oynadığı karakteri korumayı başardı, her şey yolunda gibi davrandı ve bir an bile kaybetmeden cevap verdi: “Kontrol edeyim. Sizi hemen tekrar ararım.” Bankanın başka bir departmanını aramak için tekrar şapkaları değiştirdi, şimdi transfer odasında çalışan biri rolündeydi. Anlaşma numarasını aldı ve kızı tekrar aradı. Kız numarayı aldı ve “Teşekkürler” dedi.

Kapanışı yapmak

Birkaç gün sonra Rifkin İsviçre’ye uçtu, peşin parayı aldı ve bir Rus ajansına bir yığın elmas için 8 milyon doların üzerinde para ödedi. Elmaslar bir para kemerinde saklı olarak Amerikan gümrüğünden girmek üzere geri uçtu. Tarihteki en büyük banka soygununu yapmıştı – ve bunu bir silah bile, hatta bir bilgisayar bile kullanmadan yapmıştı. İlginç bir şekilde bu macera “Guinness Dünya Rekorları Kitabı”nın sayfalarına “en büyük bilgisayar yolsuzluğu” olarak girdi.
Stanley Rifkin aldatma sanatını kullanmıştı – bugün sosyal mühendislik olarak adlandırılan yetenek ve teknikleri. Aslında tüm gereken mükemmel planlama ve biraz yetenekti.


TEHDİDİN DOĞASI

Rifkin hikayesi, güvenlik duygumuzun ne kadar aldatıcı olabileceğini gösteriyor. Bunun gibi olaylar –tamam belki 10 milyon dolarlık değil ama yine de zararlı olaylar- her gün oluyor. Tam şimdi para kaybediyor olabilirsiniz, ya da birileri yeni ürün planlarını çalıyordur ve bunu bilmezsiniz bile. Henüz şirketinizin başına böyle bir şey gelmediyse, soru olup olmayacağı değil ne zaman olacağı…

Büyüyen bir sorun

Computer Security Institute 2001 bilgisayar suçları anketinde, katılan organizasyonların yüzde 85’inin son oniki ay içinde bilgisayar güvenliği ihlali belirlediklerini rapor etti. Bu hayret verici bir oran: Katılımcıların sadece yüzde 15’i son bir yıl içinde bir güvenlik ihlali yaşamadıklarını söyleyebiliyorlar. Yine hayret verici bir oran da bilgisayar ihlalleri sebebiyle finansal kayba uğradıklarını belirten firmaların oranı: yüzde 64. Organizasyonların yarısından bir hayli fazlası bu sebeple parasal kayba uğramış. Tek bir yılda.
Kendi deneyimlerim bu tür raporlardaki sayıların biraz abartılı olduğuna inanmaya yönlendiriyor beni. Anketi yapan insanların düşünceleri, olası amaçları konusunda şüphelerim var. Ama bu zararın yaygın olmadığı anlamına gelmez; yaygın. Bir güvenlik olayı için planlama yapmayanlar, başarısızlık için planlama yapıyorlar demektir.
Çoğu firmada kullanılmakta olan ticari güvenlik ürünleri amatör bilgisayar zararlısına karşı koruma sağlamaya yöneliktir. Aslında indirilmiş yazılımlarla hacker olmaya çalışan bu taife sadece sivrisinek vızıltısıdır. Daha büyük kayıplar, asıl tehditler, finansal kazanımlarla motive olan ve iyi tanımlanmış hedeflere sahip gelişmiş saldırganlardan gelir. Bu insanlar amatörlerin yaptığı gibi mümkün olduğunca çok sisteme girmeye çalışmaz, bir anda bir hedef üzerinde odaklanırlar. Amatör bilgisayar zararlıları sadece nicelik peşindeyken, profesyoneller kalite ve değer bilgisi peşindedir. Tanıtlama cihazları (kimliği kanıtlamak için), erişim kontrolü (dosyalara ve sistem kaynaklarına erişimi yönetmek için) ve saldırı tespit sistemleri (hırsız alarmlarının elektronik karşıtları) gibi teknolojiler bir kurumsal güvenlik programı için gereklidir. Böyleyken günümüzde bir şirketin güvenlik saldırılarına karşı organizasyonu korumak için karşıt önlemleri kullanmaktan daha çok parayı kahve için harcadığını görmek sıradandır. Suça yatkın bir kafanın tahrike dayanamaması gibi, hacker kafası da güçlü güvenlik teknolojisi savunmalarının etrafından yollar bulmaya güdülüdür. Ve çoğu vakada, bunu teknolojiyi kullanan insanları hedefleyerek yaparlar.