Yaşam Tarzı 13 EKİM 2011 / 10:58

Detaya inmeyi beceren, sosyal mühendis olur!

RSA Conference 2011’in ikinci gününde İnternet Güvenliği Danışmanlar Grubu’nun Başkanı Ira Winkler bir sunum yaptı. Winkler, ‘Sosyal Mühendisliğin Gerçek Örnekleri’ başlıklı sunumunda sosyal mühendisliği eleştirirken, bir tarafta da sağladığı güce dikkat çekti. Handan Aybars Londra'dan bildiriyor.



RSA Conference 2011'e damgasını vuran Ira Winkler'in konuşması şöyle: “Her şeye bir isim takmak istiyoruz ve sosyal mühendislik de bence böyle bir şey. Bugün her şeyin adı sosyal mühendislik ve eğer bir saldırı tekniğinin ötesinde veya insani içeriği olan bir şeyler görünce bunun adı sosyal mühendislik oluyor. Sosyal mühendislik aslında insanların bilgisayarla ilgili bilgilerini telefonda vermelerini sağlamaktı. 1980-90’larda hacker’lar bunu kullanırdı yoğun olarak. Çünkü o zamanlarda kişisel bilgiyi alabilmek bu kadar kolaydı.

Sosyal mühendislik aslında geleneksel casusluk yapısı. Kimin manipüle edilebilir olduğuna bakarsınız, casus doğru insanı bulur ve bilgileri de adım adım alır. Kişilerin parasal ihtiyaçları, ideolojisi, egosu da onları bu casuslara yardım etmeye iter.

Mühendislik bir bilimdir. Tekrar edilebilir bir süreci temsil eder. Ama artık aptallığın adı sosyal mühendislik oldu. Bu süreç Melisa ve I Love You virüsleri ile başladı. Basın ve profesyoneller de kullanıcılara aptal demek istemedikleri için bu ismi kullanıyorlar. Hedef günümüzde sosyal mühendislikle teknik engelleri aşmak ve bilgiye ulaşmak. Sonuçta sosyal mühendislik ile birinden bilgi alabilecekken, neden çalasın ki?

Orta seviye banka çalışanların, üst düzey yöneticilerle ilgili bilgi vermesini sağlamak için türü yöntemler kullanılabilir. Örneğin bir program hazırladığınızı, patronunuzla ilgili bilgi almak istediğinizi söylerseniz bu olur. Mr. Really Big Executive hakkında bilgi istendiği zaman, çalışanı da bu bilgileri düşünmeden paylaşabilir. Kişi, tüm mail adreslerini casusa verebilir."

Çin sosyal mühendislik konusunda çok ciddi

"Çin burada önemli. Onlar sosyal mühendisliği daha derin ele alıyor. İnternet, sosyal medya gibi yapılarda arama yapılıyor, LinkedIn gibi sitelerde arıyorlar. Peşinde oldukları kişilerin bilgilerini, ilgilerini, profillerini biliyorlar. Güvenlik söz konusu olduğu zaman herkes bilgi ile donanmıştır ve sosyal mühendislik de bizi nasıl kullanması gerektiğini bilir. İşin kötü tarafı, ‘Bunu yapma’ demek de işe yaramaz.

Bunun için şirket içinde güvenlik politikası oluşturmak, sade bir yapı geliştirmek, şirket içinde ortak bir zihin yaratabilmek gerekir ki dışarı bilgiler sızmasın. Kişiler hangi dosyayı açmamaları gerektiğini bilsin, ortak bir zihin yaratılabilsin. Ama 20 yıldır sosyal mühendislik değişmedi, hala insanların aynı kırılganlıklarını kullanıyor. Sosyal ağları denetlemek de bu yapıdan şirket olarak etkilenmemek için önemli.”