İnternette Bilişim Suçlarında Kullanılan Metotlar

İnternette Bilişim Suçlarında Kullanılan Metotlar
 
 1. Sistem Kırıcılık (Hacking)
 

Tabi ki popüler olanları içinde ticari sırları çalmada sistem

kırıcılık (hacking) üç metottan birisidir. E- posta sistem

kırıcılığın (hacking) en önde olmasının iki nedeni vardır:
 

1)Sistem kırıcı (hacking) araçlarının büyük şekilde

yararlanılabilir alanda olması. Şu anda 100.000 internet

sitesi düzenlenebilir ücretsiz indirilebilen sistem kırıcı

(hack) araçları ile doludur.
 

2) Sistem kırıcılık (hacking) göreceli olarak çok kolay

işlemektedir. Derin bilgiye gerek olmadan, basitçe protokol

veya internet protokol (Ip) adres bilgisi olmadan bir klik ve

tuş ile kullanabilme kolaylığı vardır. Sistem kırıcılık

(hacking) üç kategoride yapıyı kırıp içeri girer: Sistem, uzak

erişim ve fiziksel erişim.
 

2. Sosyal Mühendislik
 

Temel amacı; sistemlere izinsiz girmek yada dolandırma yolu

ile bağlantı kurmak, iizinsiz ağa (network) girmek,

endistüriyel casusluk, kimlik hırsızlığı, sistem yada ağın

(network) bozulmasına yol açmaktır. Sosyal mühendislik iki ana

kategoride tarif edilebilir; hem insan kaynaklı, hem de

bilgisayar kaynaklı saldırı metodudur (Wendy thurs:2001).

Sosyal mühendislik kişileri kandırarak değerli bilgi ve

parolalarını ellerinden almayı maçlamaktadır. Bu amaçla

örneğin e- posta (e-mail) atarak şifre elde etmeye çalışırlar,

shoulder surfin sörf metodu ile basitçe şisel bilgileri

toplanan kişiye uygun parola tahminleri yapılır. Bu noktada

sosyal mühendislerin çalışma etodolojisini anlayabilmek için

bir örnek çalışmaya bakmak gerekir:
 

Klasik bir saldırı metodolojisi: görev - bilgi erişimi: Eldeki

bilgilerle bir şey yapın diye söylense, elbette temel olarak

dijital yada yazılı materyalin kopya tarihi değerli olacaktır.

Rakipler açısından şirket adına ne kadar çok bilgi

toplanabilirse o kadar çok şirketin durumuna yönelik şirket

hedefleri, planları, hareketleri, stratejileri hakkında

değerlendirme yapılabilir. Rakip ile ilgili alınabilecek

birkaç bilgi aşağıda belirtilmiştir. Pazar ve yeni ürün

planları Kaynak kodları Şirket stratejileri Üretim, teknolojik

çalışmalar Olağan ticaret metotları Ürün tasarımı, araştırma

ve maliyetler Anlaşmalar ve akit tedbirleri; teslim,

fiyatlandırma, bilimsel terimler. Şirket internet sitesi

Müşteri ve destekleyici bilgileri Birleşme ve elde etme

planları Mali bütçeler, gelirler, vergiler. Pazar, reklam

giderleri. Kaynakların fiyatları, stratejiler, listeler.

Sorumlular, operasyonlar, organizasyon şeması, isim/aylık

cetvelleri. Ayrıca tescilli bir şirket çalışması için sıcak

hedefe yönelik, personel kayıtları olabilir. Aşağıdaki

bilgilerden herhangi biri de değerli olabilir. Ev adresleri Ev

telefon numarası Karı koca ve çocuk adları Sosyal Güvenlik

numarası Hasta kayıtları Kredi kartı kayıtları Performans

değerlendirmeleri Tüm bu veriler toplanarak elde bulunan veya

internetten kolaylıkla bulunabilecek yardımcı program veya

metotlar ile hedefe kolaylıkla varılabilecektir.
 

a. Sosyal Mühendislere Karşı Savunmayı Arttırma
 

Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli

olarak değişik taktikleri de kullanarak bilgisayar

sistemlerine yönelik yasal olmayan şekilde erişmeye

çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network)

korumak için daha fazla zaman ve para harcarlar. Daha çok,

yapılan harcamalar teknolojik güvenlik önlemleridir; sistem

yükseltmeleri,güvenlik sistem paketleri, en son teknoloji

kripto sistemleri gibi. Fakat yeni bir yol olan sosyal

mühendislik bu önlemleri önemsemeden yasal olmayan

uygulamalarına devam etmektedir.Bu tip saldırılara karşı

kurumların savunmaları için iyi politikalara sahip olmaları

gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir.

Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele

içerisinde, son teknolojik değişimlere ayak uyduran ama bunun

her zaman sistem kırıcıların (hacker) ve script şakacılarının

(script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan

güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara

yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni

güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni

standart, ürünlerin standartdını sağlama açısından takip etme

çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler,

güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik

araçlarının bir yere toplanarak kullanımı ile çalışan insan

aracına farklı yollardan giderler.
 

Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze

almasın. Bunun anlamı güvenlik zayıflıkları programların,

platformun, ağın (network) yada donanımların bağımsızlığı ile

ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik

sistemleri fonksiyonlarında insanî aracılık sistemleri

gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde

hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe

karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi

sömürü metotlarını kullandıkları, nasıl çeşitli şekilde

kişilik özelliklerini değiştirerek başarılı bir sosyal

mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu

metotlar kullanılarak kişisel özellikleri de artırmak

mümkündür, böylelikle daha başka yeni metotlarda

geliştirilebilecektir.
 

Sorumluluğun yayılımı : Eğer hedefe onların kendi
 

hareketlerinden sadece sorumlu olmadıklarına inandırılırsa,

sosyal mühendisin ricasına uygun hareket ederler. Sosyal

mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları

durumda, kişisel sorumluluk konusunu şaşırtma ile o kadar

sulandırırlar ki bir karar vermeye zorlarlar. Sosyal

mühendisler karar verme sürecinde diğer çalışanların

isimlerini kullanırlar, ya da yüksek seviyeden

yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı

ile, iddia ederler.
 

Göze girme şansı: Hedef eğer bir rica ile razı olan birisi

ise, başarılı olma şansı yüksektir. Bir rakip olarak onu

yönlendirmede bu çok büyük bir avantaj sağlar, ya da

bilinmeyene göre yardım verir, sıcak bayan sesini kullanarak

telefon aracılığı ile iletişime girerler. Sistem kırıcıları

(hackers) topluluğuna teknoloji ile içli dışlı insanlar olarak

toplumsal ilişkilerde çoğu zaman beceriksiz insanlar topluluğu

olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal

mühendisler etkilemenin yüksek hiçbir formunu kullanmadan

bilgi elde ederler.
 

İlişkilere Güvenmek: Çoğu zaman, sosyal mühendisler

belirledikleri kurban ile iyi güvenilir bir ilişki için

beklerler ve o zaman bu güveni sömürürler. Bunu takip eden

zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve doğal

seyir içinde problem ortaya çıkar ve sosyal mühendis büyük

hamlesini yapar. Böylece karşı taraftan şans verilmiş olur.

Ahlâkî görev: Hedefi dışarıdan ahlaksal olarak davranmaya

cesaretlendirmek ya da başarı şansı için ahlaki hareket

arttırmayı sağlamak. Bu durum için hedef olan kişi ya da

organizasyondan bilgilerin sömürülerek alınmasını gerektiren

bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna

inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse,

başarı şansı artmış demektir.
 

Suçluluk: Eğer mümkünse çoğu insan suçluluk hissinde olmaktan

sakınır. Sosyal mühendisler çoğu zaman, psikodrama

üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın yüreği

cız eder, empati ve duygudaşlık meydana getirirler. Eğer

suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa

hedef bundan çok fazla memnun olacaktır. Rica edilen bilginin

yerine getirilmeyeceğine inanarak, belirleyici problemlerin

rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp

denge içinde iyilik olsun diye yapılmasını sağlarlar.
 

Künye: Sosyal mühendisin hüneri ile daha çok hedef tanımlanır

ve bilgiye erişilir. Sosyal mühendisler iletişim anında daha

çok zekice bir araya getirilmiş öncelikli, temelli

girişimlerle bağlantı kurmaya çalışırlar.
 

Faydalı olmaya istekli olmak: Sosyal mühendisler diğer

insanlara yardım etmeden zevk alanlara güvenerek eylemlerini

yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı

ister ya da bir hesaba giriş için yardım etmesini ister.

Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme

düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz

cazibesine sırtlarını dayayarak işlerini yaparlar.

Birbirine göre ayarlama: Hedef ile en az çatışma en iyisidir.

Sosyal mühendisler likle ortamın gerektirdiği ses tonu

ile zekice ve sabırlı sunuş yaparlar. Emir gibi, bir şey

sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına

nadiren çalışırlar. Sosyal mühendis kahramanları likle

direkt rica edenler, uydurma durum, kişisel ikna gibi

kategorileri kullanırlar.
 

Direkt rica edenler: muhtemelen en basit metottur, ve başarı

için en son olan yoldur. Bir işe basitçe girişildiğinde

sorulan bilgidir. Direkt rica likle meydan okumadır ve

likle ret edilir. Başarı şansı düşük olduğundan nadiren

tercih edilir.
 

Uydurma durum: bir şey veya bir organizasyonun özelliğine göre

elde edilen bilgilerle yapılan üretilen bir durum, bir kriz

veya özel bir an ile ilgili olarak bu durumdan faydalanmadır.

Kriz durumları anlık yardım içerir, sosyal mühendisler hedefin

güvenini arttırıcı durumun gerekliliği ve yardım edilme ile

ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri

gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki;

kahramanlar gerçek tabanlı şeylere ihtiyaç duymaz, sadece

ortalama gerekli şeylerle çalışırlar.
 

Ki ş isel İ kna , Kişisel olarak yardım yapmayı isteyen

bununla ilgili istekli insan gibi davranırlar. Amaçları

kuvvetli uyum değildir, gönüllü-uyumlu insan anlayışına

ulaşmaya çalışmaktır. Birçok bilişim teknolojisi (IT)

güvenliğinde çalışan insan gerekli bilgilerden yoksun

bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği

farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu,

güvenlik öngörüleri ve güvenlik bilgileri olmalıdır.

Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu

saldırılara karşı kurumların savunma aracıdır. Sosyal

mühendisler psikoloji üzerine kurulu ve sosyal hainliklere

dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George

Stevens:2001). Bu çok özel saldırı metodunun farkındalığında

özel süreçlerde eğitim ve çalışma gerektirir.
 

3. Dumpster Diving (Çöpleri Boşaltma)
 

Çöpleri karıştırma çok pis bir iştir, fakat ticari ve değerli

bilgileri elde etme açısından çok önemli ve başarılı bir

tekniktir. Çöpleri karıştırma kulağa iğrenç gelse de, kanunî

bir iştir. Çöp umuma açık yer üzerinde sokaklarda, geçitlerde

bulunuyorsa, kolaylıkla erişilebilecek yer olarak göz önüne

alınır.Amerikan mahkemeleri; ticari şirketlerce

erişilebilecek alanlardaki çöpler, özel mülkiyetten çıkar.

Bunlar sadece izinsiz girilmez levhası olan yerlerde

bulunuyorsa ve siz eğer izinsiz boşaltım işlemi için

girmişseniz suç işlemiş olursunuz; şeklinde hüküm vermektedir.

Paylaşılan çöpler ile ilgili potansiyel güvenlik zayıflıkları

olarak; şirket telefon rehberleri, organizasyon şekilleri,

kısa notlar, şirketin siyaset tarzı, toplantı zamanları,

sosyal olay ve tatiller, elle yapılan sistemler, bağlantı isim

ve parolalarını içeren hassas yazıcı çıktıları, diskler ve

kayıt üniteleri, şirket mektup başlıkları ve kısa not

formları, zamanı geçmiş donanımlar belirlenmiştir. Çöpler,

zengin bir bilgi kaynağı olarak ortak casusluk iîmkanını

sunmaktadır. Yukarıda sayılan her bir araç uzman birinin

elinde birçok işe yarayabilir. Konunun önemine uygun olarak,

Amerika' da, çöpleri boşaltma ile ilgili kanun maddeleri

hazırlanmıştır an act concerning dumpester diving. Kanun

tasarısına konan bu ilke bilgisayar sistem kırma (hack) ve

kanunsuz dinleme vb. ile aynı sayılarak, ticari gizliliği

koruma kanunu adı altında başlıklandırılmıştır. Çöp boşaltma

kurbanı olan şirketin kendine karşı bu bilgilerin kullanılması

durumunda yüksek mahkeme yolu ile bunu bozma gibi bir hakkı

vardır. Bu şirketler ayrıca cezayı gerektiren tazminat hakkı

için dava açma hakkı elde ederler.
 

4. Kuvvetli Darbe (Whacking)
 

Temel olarak kuvvetli darbe kablosuz sistem kırma (hacking)

dır. Kablosuz ağı (network) gizli dinleyen sistemlerin hepsi

doğru bir radyo kanalını bulmayı ve kablosuz iletimin içinde

bulunabilmeyi gerektirir. Gerekli donanım ile ofis binalarının

dışından sinyallerin toplanabilmesi mümkündür. Bir defa

yüklenen bir kablosuz şebeke sistemi ile davetsiz misafir

de şifrelenmemiş (kriptolanmamış) olarak ağdan (network)

gönderilen bilgiyi toplar.
 

5. Kolay Telefon Düşmesi
 

Ortak bilgide (corporate espionage) telefon düşmesi başka bir

yol olarak kullanılmaktadır. Dijital kayıt yapan alet ile faks

cihazını iletim ve kabulünü izleyen bir sistemi oluşturmak,

faks cihazına bir bilgi gelmeden önce kimsenin bilgisi olmadan

bir kopyasının alınması, telefon ile görüşmede bir kişinin

sesleri toplanarak, banka hesabına erişmek mümkündür.
 

Sonuç
 

Çağımızda bilginin kullanımı artık yetmemekte kullanılan

bilginin korunması ve sağlıklı şekilde iletilmesi ön plana

çıkmaktadır. Ülkemizin de bilgi politikasının değişen şartlara

uygun hâle getirilmesi artık temel bir mecburiyet hâline

gelmiştir. Bilginin gelinen noktada önemi ortadadır. Bilgiye

sahip olan, ister devlet isterse özel sektör olsun, artık

ekonomik değer ifade eden bu ****dan dolayı hedef hâline

gelmiştir. Çalışmada ortaya konan tehlikeler elbetteki

aysbergin görünen kısmıdır.