Sayfayı Yazdır | Pencereyi Kapat

Fiziksel Güvenlik ve Sosyal Mühendislik.

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliði / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarýnýzý Her Türlü Saldýrýya Karþý Korumak Ýçin Yapmanýz Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8478
Tarih: 24-11-2024 Saat 16:18


Konu: Fiziksel Güvenlik ve Sosyal Mühendislik.
Mesajı Yazan: megabros
Konu: Fiziksel Güvenlik ve Sosyal Mühendislik.
Mesaj Tarihi: 07-04-2010 Saat 08:02

Geliþen teknoloji, bilginin günden güne deðer kazanmasý güvenlik gereksinimlerini de ayný ivmeyle arttýrmaktadýr. Burada en sýk yapýlan hata, bilgisayar güvenliðini network güvenliðiyle paralel görmektir. Halbuki bir networke sýzmanýn yolu þifre kýrmaktan deðil, þifreyi sormaktan ve öðrenilen þifreyle kaynaklara ulaþmaktan geçer.

Network dýþý ataklarlar iki baþlýk altýnda kategorize edilebilir. Bunlar fiziksel ataklar (kapýnýn anahtarýný çalmak) ve sosyal mühendislik (kapýyý içeriden açtýrmak) týr.

Fiziksel ataklar:

Hedef alýnan kaynaktan bilgileri alabilmek için yapýlan en etkili saldýrý biçimidir. Günümüzde yüksek kapasiteli sabit disklerin, ve hatta taþýnabilir belleklerin yaygýnlaþmasýyla birlikte fiziksel olarak eriþilebilen bir kaynaktan tüm verilerin alýnabilmesi artýk çocuk oyuncaðý. Tabi ki kulaða kolaymýþ gibi gelse de fiziksel eriþimin saðlanmasý hem zor hem de oldukça risklidir.

a. Fiziksel giriþ:

Çoðu organizasyonda katýlaþtýrýlmýþ güvenlik yapýlarýnda mutlaka bir ya da birkaç yumuþak nokta bulmak mümkündür. Özellikle geri hizmetlerde (temizlik, güvenlik, bakým) bu açýklýklara iþin doðasý gereði fazlaca rastlanýr. Mesela temizlik çalýþanlarýnýn kullanmasý için ayrýlmýþ bir kapý ya da dýþarýdan eriþilebilir bir depo önemli bir güvenlik açýðý teþkil edebilir. Buradan içeri sýzmak isteyen bir þahýsýn iþi çok zor olmayacaktýr çünkü o giriþi kullananlarýn temel amacý temizlik iþlerinin tam ve zamanýnda yapýlmasýný saðlamaktýr; güvenlik deðil. Bu tür kapýlar genellikle mesai saatlerinde kilitsiz tutulurlar.

Binaya giren davetsiz misafir bu noktadan sonra bilgisayarlara eriþip casus programlar yükleyebilir ya da bazý bilgileri çalabilir, switch kabinlerine kablosuz eriþim aygýtlarý takabilir, ya da önemli yazýlý belgere ulaþabilir.

b. Ýzleme

Kablosuz kameralar ve dinleme cihazlarý, kablosuz aðlarýn izlenebilmesi (fiziksel güvenliði mümkün deðildir) her ne kadar filmlerde karþýmýza çýksa da gerçek hayatta da kullanýlan yöntemlerdir. Günümüz teknolojisi sürekli geliþmektedir ve bu geliþim hiç durmamaktadýr. Kimbilir hangi kapýlar arkasýnda hangi izleme teknolojileri geliþtirilmektedir. Bu araþtýrmalar genelde hükümet tabanlý yapýlýr çünkü oldukça maliyetlidirler. Daktilolardan yayýlan elektromanyetik dalgalarýn yakalanmasý bir yana, CRT monitörlerin yaydýklarý radyasyonun baþka bir ortamda görüntüye dönüþtürülebildiði bilinmektedir.

Ýzleme denildiðinde çok uç örneklere gitmeye de gerek yok gerçi. Birinin þifresini öðrenmek için omzunun üstünden bir ya da birkaç bakýþ atmak yeterli olacaktýr. Ayný þekilde uzaktan dürbünle de izleme olabilir. Bu örnekleri sadece bilgisayarda sýnýrlandýrmamak da lazým. Birçok önemli þirketin yönetim katlarýnýn yüksek yerlerde olmasý, camdan içerinin izlenip tahtada yapýlan çizimlerin, yazýlan stratejilerin ve alýnan kararlarýn öðrenilmesini engellemektir.

Uzaktan dinleme cihazlarýnýn kullanýmý da bu kategorideki saldýrýlara örnektir. Mikrofonu ve kablosuz baðlantýsý olan açýk durumdaki bir laptop ideal bir dinleme cihazýdýr ve emin olun ki uzun süre hiç dikkat çekmeyecektir.

c. Malzeme hýrsýzlýðý

Hedef bir masaüstü bilgisayar olabildiði gibi dizüstü bilgisayar, sabit disk, avuçiçi bilgisayar ya da cep telefonu daha sýk tercih edilir. Amaç bunlarý satýp para kazanmak deðil, tabi ki üzerindeki bilgilere ulaþmaktýr. Büyük bir þirketin yöneticisinin dizüstü bilgisayarýnda sakladýðý bilgilerin parasal ve rekabet deðeri düþünüldüðünde çok riskli ancak çok etkili bir yöntem olduðu açýktýr. Hele bir de kilitlenmemiþ, çalýþýr durumda çalýndýðýnda tüm þifrelenmiþ dosyalara da eriþim saðlanmýþ olur.

Çok ciddi bir güvenlik tehdidi olarak görülen bu saldýrýya karþý yurtdýþýnda organizasyonlar kurulmakta hatta bununla ilgili yazýlýmlar üretilmektedir. Bu yazýlýmlar sayesinde çalýnan bir bilgisayar tamamen kilit durumuna geçer ve tüm iletiþim portlarý otomatik olarak kapatýlýr, yer tespiti saðlanýr.

d. Çöp kutusu

Masaüstümüzdeki çöp kutusundan bahsetmiyoruz. Eðer gerekli önlemler alýnmazsa deðersiz görülüp çöpe atýlan bazý notlar, elektronik aletler, kullaným kýlavuzlarý sistemler hakkýnda çok önemli bilgiler içerebilir. Bu sebeple Microsoft’un Redmond’daki kampüsünde açýkta çöp kutularý görmek olanaksýzdýr. Askeriyedeki mantýk da böyledir. Hiçbir arþiv çöpe atýlmaz, periyodik olarak belirlenen noktalarda yakýlarak imha edilirler.

ABD Savunma Bakanlýðý kullanmadýðý disklerini elden çýkarýrken önce diskin üzerinde adreslenebilir tüm alanlarýna 0 (sýfýr), daha sonra da tümüne 1 (bir) deðerini seri olarak yazdýrýr. Daha sonra da rasgele bloklar halinde 1′ler ve 0′lar yazýlýr. Ancak bu sayede güvenli bir silinme iþlemi tamamlanmýþ olur.

e. Ýkinci el cihazlar

Elektronik cihazlarda tutulan içerik her ne kadar silindi gibi görünse de manyetik içerik diskte durduðu sürece eriþilebilir kalýr ve geri döndürülebilir. Sýrf bu sebeple ikici el bilgisayarlarýn, disklerin hatta yazýcý kartuþlarýnýn satýn alýnýp üzerlerindeki verilere eriþilmesi söz konusudur. Yazýcý kartuþlarý, önceden yazdýrýlmýþ dökümanlarý üzerlerinde tutabilirler. Özellikle bankalarda çeklerin basýldýðý kartuþlar bu özelliklere sahiptir.

Sosyal Mühendislik:

Bu yöntem doðuþtan yetenek gerektirir çünkü insanlarý kandýrmaya, ikna etmeye,manipulasyona ve güven kurmaya dayanýr. Bir organizasyondaki en güvenilmez ve zayýf nokta hedef alýnýr : Ýnsan. Ýnsanlarýn güvenini kazanmak kolay deðildir, ama bir kez kazanýldýðýnda ise yapýlacak þeylerin sýnýrý olamaz. Hedef “‘insan”‘ olduðuna göre “‘insan”‘ýn zayýf yönleri kullanýlarak çeþitli iþlerin yapýlmasý saðlanabilir.

Taklit

Kýsa süreli bir gözlemle girilecek organizasyondaki çalýþanlarýn isimleri öðrenilir, kýyafetlerine dikkat edilir ve hatta yaka kartlarýnýn bile kopyasýný çýkarma yoluna gidilebilir. Böylece bir çalýþanmýþ gibi içeriye giriþ saðlanýldýðý gibi kaynaklara da eriþilebilir.

Telefonla arayýp yetkili biriymiþ gibi konuþmak ve bilgilere ulaþmak, ya da bazý iþlemleri yaptýrmak mümkündür.

Sahtekarlýk

Hayali firmalar uydurup þirketlerle iliþkiye geçmek suretiyle bilgi alýþveriþinde bulunmak, yanýltýcý ve yönlendirici elektronik postalar atarak insanlarýn þifrerini öðrenmek bu yönteme girer.

Þubat 2004′te Sean Michael Breen (Razor 1911) bu suçtan dolayý 4 yýl hapis ve $700.000 para cezasýna çarptýrýndý. Breen’in tek yaptýðý çeþitli oyun firmalarýna mail yollayýp kendi internet sitelerinde incelemesini yazmak üzere henüz çýkmamýþ olan oyunlarýn kopyasýný istemek ve bu oyunlarý kýrýp internette oyun henüz piyasaya çýkmadan daðýtmaktý. Burada dikkat edilecek konu þu ki, oyunlarý (Quake, Warcraft3, Terminal Velocity vb.) Breen izinsiz olarak indirmedi; oyun firmalarý kendi elleriyle yolladý.

Kompliman

Yetkili birinden yardým isteyip o sýrada sürekli onu överek gururu okþanýr ve bu zayýflýðýndan faydalanýlarak fazlaca bilgi alýnmasý saðlanýr. Örneðin bir þirketin bilgi iþleminden bilgi alýnmak isteniyorsa önce santral aranýr ve bilgi iþlem’e yönlendirmesi rica edilir. Bilgi iþlem çaðrýnýn organizasyon içinden geldiðini görüp ahizeyi ona göre kaldýrýr. Böylece birinci kademe güven iliþkisi kurulmuþ olur. Ýþin geri kalan kýsmý saldýran tarafýn yeteneðiyle doðru orantýlýdýr. Karþý taraf ne kadar pohpohlanýrsa aðzýndan o kadar çok laf alýnýr.

Görüldüðü üzere herhangi bir bilgiye eriþmenin türlü yollarý var. Tabi þunu unutmamak gerekir ki elde edilmek istenen bilginin türü her ne olursa olsun ve hangi amaca hizmet ederse etsin bu yollarý kullanmak hiçbir kültürde etik kabul edilemez. Yapýlan iþin bilgi hýrsýzlýðý olmasý, bilgisayarlarla sýnýrlý kalmasý suçun çehresini yumuþatmaz.

Bu güne kadar fiziksel güvenlik önlemlerini almamýþ, çalýþanlarýný sosyal mühendisliðe karþý eðitmemiþ bir kurum ya da kuruluþa söylenecek iki söz vardýr: Ya “‘bugüne kadar hiç cazip bir hedef olmamýþsýnýz”‘, ya da “‘ayakta uyumuþsunuz!!!”‘

Saygýlar.



Sayfayı Yazdır | Pencereyi Kapat