İnternette Bilişim Suçlarında Kullanılan Metotlar

'Hukuk' forumunda DeMSaL tarafından 18 Temmuz 2010 tarihinde açılan konu

  1. DeMSaL

    DeMSaL Özel Üye

    Sponsorlu Bağlantılar
    İnternette Bilişim Suçlarında Kullanılan Metotlar konusu İnternette Bilişim Suçlarında Kullanılan Metotlar

    1. Sistem Kırıcılık (Hacking)

    Tabi ki popüler olanları içinde ticari sırları çalmada sistem
    kırıcılık (hacking) üç metottan birisidir. E- posta sistem
    kırıcılığın (hacking) en önde olmasının iki nedeni vardır:

    1)Sistem kırıcı (hacking) araçlarının büyük şekilde
    yararlanılabilir alanda olması. Şu anda 100.000 internet
    sitesi düzenlenebilir ücretsiz indirilebilen sistem kırıcı
    (hack) araçları ile doludur.

    2) Sistem kırıcılık (hacking) göreceli olarak çok kolay
    işlemektedir. Derin bilgiye gerek olmadan, basitçe protokol
    veya internet protokol (Ip) adres bilgisi olmadan bir klik ve
    tuş ile kullanabilme kolaylığı vardır. Sistem kırıcılık
    (hacking) üç kategoride yapıyı kırıp içeri girer: Sistem, uzak
    erişim ve fiziksel erişim.

    2. Sosyal Mühendislik

    Temel amacı; sistemlere izinsiz girmek yada dolandırma yolu
    ile bağlantı kurmak, iizinsiz ağa (network) girmek,
    endistüriyel casusluk, kimlik hırsızlığı, sistem yada ağın
    (network) bozulmasına yol açmaktır. Sosyal mühendislik iki ana
    kategoride tarif edilebilir; hem insan kaynaklı, hem de
    bilgisayar kaynaklı saldırı metodudur (Wendy thurs:2001).
    Sosyal mühendislik kişileri kandırarak değerli bilgi ve
    parolalarını ellerinden almayı maçlamaktadır. Bu amaçla
    örneğin e- posta (e-mail) atarak şifre elde etmeye çalışırlar,
    shoulder surfin sörf metodu ile basitçe şisel bilgileri
    toplanan kişiye uygun parola tahminleri yapılır. Bu noktada
    sosyal mühendislerin çalışma etodolojisini anlayabilmek için
    bir örnek çalışmaya bakmak gerekir:

    Klasik bir saldırı metodolojisi: görev - bilgi erişimi: Eldeki
    bilgilerle bir şey yapın diye söylense, elbette temel olarak
    dijital yada yazılı materyalin kopya tarihi değerli olacaktır.
    Rakipler açısından şirket adına ne kadar çok bilgi
    toplanabilirse o kadar çok şirketin durumuna yönelik şirket
    hedefleri, planları, hareketleri, stratejileri hakkında
    değerlendirme yapılabilir. Rakip ile ilgili alınabilecek
    birkaç bilgi aşağıda belirtilmiştir. Pazar ve yeni ürün
    planları Kaynak kodları Şirket stratejileri Üretim, teknolojik
    çalışmalar Olağan ticaret metotları Ürün tasarımı, araştırma
    ve maliyetler Anlaşmalar ve akit tedbirleri; teslim,
    fiyatlandırma, bilimsel terimler. Şirket internet sitesi
    Müşteri ve destekleyici bilgileri Birleşme ve elde etme
    planları Mali bütçeler, gelirler, vergiler. Pazar, reklam
    giderleri. Kaynakların fiyatları, stratejiler, listeler.
    Sorumlular, operasyonlar, organizasyon şeması, isim/aylık
    cetvelleri. Ayrıca tescilli bir şirket çalışması için sıcak
    hedefe yönelik, personel kayıtları olabilir. Aşağıdaki
    bilgilerden herhangi biri de değerli olabilir. Ev adresleri Ev
    telefon numarası Karı koca ve çocuk adları Sosyal Güvenlik
    numarası Hasta kayıtları Kredi kartı kayıtları Performans
    değerlendirmeleri Tüm bu veriler toplanarak elde bulunan veya
    internetten kolaylıkla bulunabilecek yardımcı program veya
    metotlar ile hedefe kolaylıkla varılabilecektir.

    a. Sosyal Mühendislere Karşı Savunmayı Arttırma

    Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli
    olarak değişik taktikleri de kullanarak bilgisayar
    sistemlerine yönelik yasal olmayan şekilde erişmeye
    çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network)
    korumak için daha fazla zaman ve para harcarlar. Daha çok,
    yapılan harcamalar teknolojik güvenlik önlemleridir; sistem
    yükseltmeleri,güvenlik sistem paketleri, en son teknoloji
    kripto sistemleri gibi. Fakat yeni bir yol olan sosyal
    mühendislik bu önlemleri önemsemeden yasal olmayan
    uygulamalarına devam etmektedir.Bu tip saldırılara karşı
    kurumların savunmaları için iyi politikalara sahip olmaları
    gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir.
    Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele
    içerisinde, son teknolojik değişimlere ayak uyduran ama bunun
    her zaman sistem kırıcıların (hacker) ve script şakacılarının
    (script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan
    güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara
    yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni
    güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni
    standart, ürünlerin standartdını sağlama açısından takip etme
    çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler,
    güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik
    araçlarının bir yere toplanarak kullanımı ile çalışan insan
    aracına farklı yollardan giderler.

    Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze
    almasın. Bunun anlamı güvenlik zayıflıkları programların,
    platformun, ağın (network) yada donanımların bağımsızlığı ile
    ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik
    sistemleri fonksiyonlarında insanî aracılık sistemleri
    gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde
    hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe
    karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi
    sömürü metotlarını kullandıkları, nasıl çeşitli şekilde
    kişilik özelliklerini değiştirerek başarılı bir sosyal
    mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu
    metotlar kullanılarak kişisel özellikleri de artırmak
    mümkündür, böylelikle daha başka yeni metotlarda
    geliştirilebilecektir.

    Sorumluluğun yayılımı : Eğer hedefe onların kendi

    hareketlerinden sadece sorumlu olmadıklarına inandırılırsa,
    sosyal mühendisin ricasına uygun hareket ederler. Sosyal
    mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları
    durumda, kişisel sorumluluk konusunu şaşırtma ile o kadar
    sulandırırlar ki bir karar vermeye zorlarlar. Sosyal
    mühendisler karar verme sürecinde diğer çalışanların
    isimlerini kullanırlar, ya da yüksek seviyeden
    yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı
    ile, iddia ederler.

    Göze girme şansı: Hedef eğer bir rica ile razı olan birisi
    ise, başarılı olma şansı yüksektir. Bir rakip olarak onu
    yönlendirmede bu çok büyük bir avantaj sağlar, ya da
    bilinmeyene göre yardım verir, sıcak bayan sesini kullanarak
    telefon aracılığı ile iletişime girerler. Sistem kırıcıları
    (hackers) topluluğuna teknoloji ile içli dışlı insanlar olarak
    toplumsal ilişkilerde çoğu zaman beceriksiz insanlar topluluğu
    olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal
    mühendisler etkilemenin yüksek hiçbir formunu kullanmadan
    bilgi elde ederler.

    İlişkilere Güvenmek: Çoğu zaman, sosyal mühendisler
    belirledikleri kurban ile iyi güvenilir bir ilişki için
    beklerler ve o zaman bu güveni sömürürler. Bunu takip eden
    zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve doğal
    seyir içinde problem ortaya çıkar ve sosyal mühendis büyük
    hamlesini yapar. Böylece karşı taraftan şans verilmiş olur.
    Ahlâkî görev: Hedefi dışarıdan ahlaksal olarak davranmaya
    cesaretlendirmek ya da başarı şansı için ahlaki hareket
    arttırmayı sağlamak. Bu durum için hedef olan kişi ya da
    organizasyondan bilgilerin sömürülerek alınmasını gerektiren
    bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna
    inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse,
    başarı şansı artmış demektir.

    Suçluluk: Eğer mümkünse çoğu insan suçluluk hissinde olmaktan
    sakınır. Sosyal mühendisler çoğu zaman, psikodrama
    üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın yüreği
    cız eder, empati ve duygudaşlık meydana getirirler. Eğer
    suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa
    hedef bundan çok fazla memnun olacaktır. Rica edilen bilginin
    yerine getirilmeyeceğine inanarak, belirleyici problemlerin
    rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp
    denge içinde iyilik olsun diye yapılmasını sağlarlar.

    Künye: Sosyal mühendisin hüneri ile daha çok hedef tanımlanır
    ve bilgiye erişilir. Sosyal mühendisler iletişim anında daha
    çok zekice bir araya getirilmiş öncelikli, temelli
    girişimlerle bağlantı kurmaya çalışırlar.

    Faydalı olmaya istekli olmak: Sosyal mühendisler diğer
    insanlara yardım etmeden zevk alanlara güvenerek eylemlerini
    yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı
    ister ya da bir hesaba giriş için yardım etmesini ister.
    Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme
    düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz
    cazibesine sırtlarını dayayarak işlerini yaparlar.
    Birbirine göre ayarlama: Hedef ile en az çatışma en iyisidir.
    Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu
    ile zekice ve sabırlı sunuş yaparlar. Emir gibi, bir şey
    sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına
    nadiren çalışırlar. Sosyal mühendis kahramanları genellikle
    direkt rica edenler, uydurma durum, kişisel ikna gibi
    kategorileri kullanırlar.

    Direkt rica edenler: muhtemelen en basit metottur, ve başarı
    için en son olan yoldur. Bir işe basitçe girişildiğinde
    sorulan bilgidir. Direkt rica genellikle meydan okumadır ve
    genellikle ret edilir. Başarı şansı düşük olduğundan nadiren
    tercih edilir.

    Uydurma durum: bir şey veya bir organizasyonun özelliğine göre
    elde edilen bilgilerle yapılan üretilen bir durum, bir kriz
    veya özel bir an ile ilgili olarak bu durumdan faydalanmadır.
    Kriz durumları anlık yardım içerir, sosyal mühendisler hedefin
    güvenini arttırıcı durumun gerekliliği ve yardım edilme ile
    ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri
    gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki;
    kahramanlar gerçek tabanlı şeylere ihtiyaç duymaz, sadece
    ortalama gerekli şeylerle çalışırlar.

    Ki ş isel İ kna , Kişisel olarak yardım yapmayı isteyen
    bununla ilgili istekli insan gibi davranırlar. Amaçları
    kuvvetli uyum değildir, gönüllü-uyumlu insan anlayışına
    ulaşmaya çalışmaktır. Birçok bilişim teknolojisi (IT)
    güvenliğinde çalışan insan gerekli bilgilerden yoksun
    bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği
    farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu,
    güvenlik öngörüleri ve güvenlik bilgileri olmalıdır.
    Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu
    saldırılara karşı kurumların savunma aracıdır. Sosyal
    mühendisler psikoloji üzerine kurulu ve sosyal hainliklere
    dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George
    Stevens:2001). Bu çok özel saldırı metodunun farkındalığında
    özel süreçlerde eğitim ve çalışma gerektirir.

    3. Dumpster Diving (Çöpleri Boşaltma)

    Çöpleri karıştırma çok pis bir iştir, fakat ticari ve değerli
    bilgileri elde etme açısından çok önemli ve başarılı bir
    tekniktir. Çöpleri karıştırma kulağa iğrenç gelse de, kanunî
    bir iştir. Çöp umuma açık yer üzerinde sokaklarda, geçitlerde
    bulunuyorsa, kolaylıkla erişilebilecek yer olarak göz önüne
    alınır.Amerikan mahkemeleri; ticari şirketlerce
    erişilebilecek alanlardaki çöpler, özel mülkiyetten çıkar.
    Bunlar sadece izinsiz girilmez levhası olan yerlerde
    bulunuyorsa ve siz eğer izinsiz boşaltım işlemi için
    girmişseniz suç işlemiş olursunuz; şeklinde hüküm vermektedir.
    Paylaşılan çöpler ile ilgili potansiyel güvenlik zayıflıkları
    olarak; şirket telefon rehberleri, organizasyon şekilleri,
    kısa notlar, şirketin siyaset tarzı, toplantı zamanları,
    sosyal olay ve tatiller, elle yapılan sistemler, bağlantı isim
    ve parolalarını içeren hassas yazıcı çıktıları, diskler ve
    kayıt üniteleri, şirket mektup başlıkları ve kısa not
    formları, zamanı geçmiş donanımlar belirlenmiştir. Çöpler,
    zengin bir bilgi kaynağı olarak ortak casusluk iîmkanını
    sunmaktadır. Yukarıda sayılan her bir araç uzman birinin
    elinde birçok işe yarayabilir. Konunun önemine uygun olarak,
    Amerika' da, çöpleri boşaltma ile ilgili kanun maddeleri
    hazırlanmıştır an act concerning dumpester diving. Kanun
    tasarısına konan bu ilke bilgisayar sistem kırma (hack) ve
    kanunsuz dinleme vb. ile aynı sayılarak, ticari gizliliği
    koruma kanunu adı altında başlıklandırılmıştır. Çöp boşaltma
    kurbanı olan şirketin kendine karşı bu bilgilerin kullanılması
    durumunda yüksek mahkeme yolu ile bunu bozma gibi bir hakkı
    vardır. Bu şirketler ayrıca cezayı gerektiren tazminat hakkı
    için dava açma hakkı elde ederler.

    4. Kuvvetli Darbe (Whacking)

    Temel olarak kuvvetli darbe kablosuz sistem kırma (hacking)
    dır. Kablosuz ağı (network) gizli dinleyen sistemlerin hepsi
    doğru bir radyo kanalını bulmayı ve kablosuz iletimin içinde
    bulunabilmeyi gerektirir. Gerekli donanım ile ofis binalarının
    dışından sinyallerin toplanabilmesi mümkündür. Bir defa
    yüklenen bir kablosuz şebeke sistemi ile davetsiz misafir
    genelde şifrelenmemiş (kriptolanmamış) olarak ağdan (network)
    gönderilen bilgiyi toplar.

    5. Kolay Telefon Düşmesi

    Ortak bilgide (corporate espionage) telefon düşmesi başka bir
    yol olarak kullanılmaktadır. Dijital kayıt yapan alet ile faks
    cihazını iletim ve kabulünü izleyen bir sistemi oluşturmak,
    faks cihazına bir bilgi gelmeden önce kimsenin bilgisi olmadan
    bir kopyasının alınması, telefon ile görüşmede bir kişinin
    sesleri toplanarak, banka hesabına erişmek mümkündür.

    Sonuç

    Çağımızda bilginin kullanımı artık yetmemekte kullanılan
    bilginin korunması ve sağlıklı şekilde iletilmesi ön plana
    çıkmaktadır. Ülkemizin de bilgi politikasının değişen şartlara
    uygun hâle getirilmesi artık temel bir mecburiyet hâline
    gelmiştir. Bilginin gelinen noktada önemi ortadadır. Bilgiye
    sahip olan, ister devlet isterse özel sektör olsun, artık
    ekonomik değer ifade eden bu ****dan dolayı hedef hâline
    gelmiştir. Çalışmada ortaya konan tehlikeler elbetteki
    aysbergin görünen kısmıdır.
     

Bu Sayfayı Paylaş