6 Şubat 2010 Cumartesi

Sosyal Mühendis Saldırıları

Sosyal Mühendislik Saldırıları - İçerik
• Sosyal mühendislik nedir?
– Yöntemleri?
– Oluşturabildiği tehditler?
– Alınabilecek önlemler?


Sosyal Mühendislik – Neden Önemli?
• İnsan faktörü içermeyen bir bilgisayar
sistemi yoktur.
• Kevin Mitnick: Pentagon, Sun
Microsystems, Motorola gibi birçok yeri
kırarak FBI'ın en çok arananlar listesine
giren ilk hacker.
“Güvenlik zincirindeki en zayıf halka
insandır.”


Sosyal Mühendislik :
Bilgisayar güvenliği terimleriyle Sosyal
Mühendislik, insanlar arasındaki
iletişimdeki ve insan davranışındaki
modelleri açıklıklar olarak tanıyıp,
bunlardan faydalanarak güvenlik
süreçlerini atlatma yöntemine dayanan
müdahalelere verilen isimdir.


Sosyal Mühendislik Süreci
1. Bilgi Toplama
2. İlişki Oluşturma
3. İstismar
4. Uygulama


Sosyal Mühendislik Yöntemleri
• Sahte senaryolar uydurmak (pretexting)
• Güvenilir bir kaynak olduğuna ikna etmek
(phishing)
• Truva atları (trojan)
• Güvenilir bilgi karşılığında yardım, para,
eşantiyon, hediye, … önermek
• Güven kazanarak bilgi edinmek
• Omuz sörfü, çöp karıştırmak, eski
donanımları kurcalamak

Yöntemler - Güvenilir olduğuna ikna etmek
From: Komiser Kolombo
To: Ben
Bu email adresinden yüksek düzey bir bürokrata küfür içerikli mesaj
atılmıştır. Konuyu incelemem için mesajı alır almaz şifrenizi yollamanız
gereklidir.

• Genellikle e-posta üzerinden gerçekleşen bir
yöntemdir.
• Saldırgan, amacına ulaşmak için güvenilir ya da
doğruluğu sorgulanamaz bir kaynaktan geldiğine
inandırır.
• Hedef, saldırılanı bilgi vermeye zorlamak ya da
hatalı bir hareket yapmaya (sahte web sitesine
tıklamak, virüslü yazılım kurmak, …)
yönlendirmektir.


Yöntemler - Bilgi Karşılığı Başka Bir Şey Önermek
Tebrikler! Çekilişimizi kazandınız. Parayı yollamamız için lütfen bize hesap
numaranızı ve doğum tarihinizi gönderin.

• Hassas bilgiye ulaşmak için, kişinin
hassasiyetlerini kullanan bir yöntemdir.
– Kurban, sonunda karlı (ya da zarar
görmeden) çıkacağına ikna edildiği bir
senaryoyla hassas bilgiyi verebilir, ya da
saldırgan yerine zararlı işlemler yapabilir.
• Hediyeli anket,
• Ödüllü soru,
•…


Yöntemler - Güven Kazanmak
Yıllar sonra Facebook’tan ilkokul arkadaşımla karşılaştım. O da sistem
yöneticisiymiş. Sabaha kadar Msn’den mesleğimiz hakkında konuştuk.

• Saldırganın hedefine, iş dışında ya da iş
sırasında güvenini sağlayacak şekilde
iletişime geçip ikna ederek bilgi vermesine
ya da istediğini yaptırmasına dayanan bir
yöntemdir.
– Şirket/kuruma sağlayıcı olarak yaklaşıp erişim
hakkı olan personelle güvene dayanan
arkadaşlık kurmak
– İş dışında oluşan ilişkileri suistimal etmek
– Kurbanla ortak ilgileri / beğenileri paylaşıyor
izlenimi vererek güven sağlamak


Yöntemler - Diğer
• Omuz sörfü -- Şifreyi yazarken, erişimi
kısıtlı sistemlere erişirken kurbanı izlemek
• Çöp karıştırmak -- Çöpe atılmış CD,
disket, kağıt, ajanda, not, post-it, … gibi
eşyaları incelemek
• Eski donanımları kurcalamak -- Hurdaya
çıkmış, ikinci el satış sitelerinde satışa
sunulmuş, çöpe atılmış, kullanılmadığı için
hibe edilmiş donanımın içeriğini incelemek


Sosyal Mühendislik -- Tehditler
• Yetkisiz Erişim
• Hizmet Hırsızlığı
• İtibar ve Güven Kaybı
• Dağıtık Hizmet Engelleme
• Hassas Bilgiye Erişim
• Veri Kaybı
• Yasal Yükümlülükler
• Hukuki Yaptırım ya da Cezalar

Sosyal Mühendislik - Önlemler
• Artırılmış Fiziksel Güvenlik
• Etkili Güvenlik Politikaları
• Güvenliğe Aykırı Davranışların Uyarılması
• Detaylı Olay Müdahale Yöntemleri
• Denetleme


Önlemler -- Artırılmış Fiziksel Güvenlik
• Fiziksel güvenlik ve yerel / konsoldan
erişim güvenliği genellikle uzaktan erişime
göre olma olasılığı daha az görülür.
– Sisteminize fiziksel erişimi olan herkese
güveniyor musunuz?
– Bütün kullanıcılarınıza güveniyor musunuz?
–…
– Elektrikler kesildiğinde kart erişiminiz nasıl
çalışıyor?


Önlemler - Etkili Güvenlik Politikaları
• Güvenlik politikaları açık, anlaşılır,
mantığa uygun, uygulanabilir, erişilebilir ve
kapsayıcı olmalıdır.
• Kurumla çalışanları ve sağlayıcıları
arasındaki güvenlik ilişkisi belirlenmelidir.
• Azı mı, çoğu mu zarar?


Sosyal Muh. : Bu şirket bir aile gibidir, şirket kültürümüz ve güvene dayanırr.
Sosyal Muh. Konusmaya devam ediyor : sana uyuşturucu testi yapabilmemiz ve bilgisayarın ve evini arayabilmemiz için bu kagıdı imzala haydi şimdi.

Kurban sosyal muhendisin imzalaması için verdigi kagıdı okumak ister ve. sosyal mühendis.

Sosyal Muh. Konusmaya devam ediyor : bill ve melinda gates gibi bir halimmi var diyerek kurbana o anda anlık piskoloji bozuklugu yaşatır.

Kurban : kalemi alabilirmiyim ? der ve imzayı atar ( Şapa oturur =))


Önemler - Uyarma ve Cezalandırma

• Çalışanlar politikalar hakkında ne kadar
bilgiliyse, güvenlik politikaları o kadar
değerlidir.
• Üst yönetim, tüm çalışanların güvenlik
kontrollerine uymaları için gerekeni
yapmaya kararlı olmalıdır.
• Eğitimle birlikte gelen yaptırımlar,
çalışanların güvenlik politikalarını izlemesini
sağlar.


Önlemler - Olay Müdahalesi
• Bir sosyal mühendislik saldırısı sırasında
yapılacakların belirlenmesi özellikle
önemlidir.
– E-posta mesajlarının asıl kaynağı,
– Web adreslerinin kimlik doğrulama yöntemleri,
– Telefonlarda arayan bilgisinin belirlenmesi,
– Olay meydana geldikten sonra durumun yetkili
personele iletilmesi.


Önlemler – Denetleme (1)
• Bilgi Toplama
– Kurumsal web sayfaları
– Arama motorları
– Haber grupları / forumlar
– İş arama siteleri
– Sosyal ağ siteleri (orkut, facebook, linkedin, ...)
– Sarı sayfalar


Önlemler – Denetleme (2)
• Fiziksel Erişim
– Çalışan biriymiş gibi yapmak
– Çalışanları arkasından giriş yapmak
– Postacı, tamirci, misafir, ... gibi davranmak
– Mesai saatleri dışında girmek
• İlişki Kurmak
– Sosyal mühendislik yöntemlerini denemek
• Her çalışma ortamı için uygun ya da yasal
olmayabilir.


Önlemler – Denetleme (3)
• Bilgiye Erişim
– Çalışanları izlemek (omuz sörfü, kulak
misafirliği, ...)
– Ofis içindeki çöpleri karıştırmak,
klavyelerin/telefonların/takvimlerin altına,
post-it notlarına, panolara göz atmak
– Ekranı kilitlenmemiş bilgisayarları kullanmak,
kullanıcıları bilgisayarlarını kullanıma açmaya
ikna etmek


Önlemler - Diğer
• Herkesi tanıyan tek bir kişi
• Merkezi güvenlik kayıtları
• Zorunlu geri arama ve geri arama sırasında
kontrol
• Anahtar sorular – kullanıcı kayıtlarının
doğrulanması
– Kimlik/personel bilgileri
– Kişisel soru/yanıtlar (ilk kayıt sırasında
belirlenebilir)
• Tuzak sorular
• Hatta bekletmek – hızlı ve hatalı tepki
vermemek


Sonuç
• Bir güvenlik sisteminin en zayıf halkası,
insan bileşenidir.
• Sosyal mühendislik saldırılarının başarısı,
bilgisayar ve ağ sistemlerindeki yerel
zayıflıkların gerçekleşme olasılığını artırır.
• Güvenlik politikalarının güncel tutulması,
ve personelin uygun bir şekilde
bilgilendirilmesi, sosyal mühendislik
saldırılarının etkisini azaltmaya yardımcı
olur.

Teşekkürler

??????????????????


http://byege.blogspot.com/

Hiç yorum yok :

Yorum Gönderme