Kevin Mitnick - Aldatma Sanatı

GR
Bu kitap, bilgi gvenlii ve toplum mhendisliiyle ilgili youn bilgiler

iermektedir. Yolunuzu bulmanz kolaylatrmak iin, ite size kitabn .
ieriine hzl bir bak:
Perde Arkas balnda gvenliin en zayf halkasn aklayacak,
sizin ve irketinizin neden toplum mhendislii saldrlarna maruz kalabileceinizi gstereceim.
Saldr Sanat balnda, toplum mhendislerinin istediklerini elde
etmek iin gveninizle, yardmc olma isteinizle, sevecenliinizle ve
insan saflklarnzla nasl oynadklarm greceksiniz. Sk grlen
saldrlarla ilgili hayal ykler toplum mhendislerinin pek ok kimlie
ve yze brnebildiklerini size gsterecek. Eer daha nce bir toplum
mhendisiyle karlamadnz dnyorsanz, byk olaslkla
yanlyorsunuzdur. Bakalm, bu yklerde daha nce sizin de
yaadnz bir senaryo grecek ve toplum mhendisliinin size
dokunup dokunmadn merak edecek misiniz? Bu olmayacak bir ey
deil. Ancak ikinci blmden dokuzuncu blme kadar okuduktan
sonra, sizi arayan ilk toplum mhendisinin nasl hakkndan geleceinizi
renmi olacaksnz.
Davetsiz Misafirlere Dikkat adl balkta se, toplum mhendislerinin, irket alannza girerek, irketinizi batracak ya da karacak sr-'
lan alp, sizin yksek teknoloji gvenlik nlemlerinizi atlatarak riski
nasl artrdn, uydurma yklerle greceksiniz. Bu balk altnda
anlatlan senaryolar, bir alann intikam almasndan tutun da, sanal
terrizme kadar oluabilecek eitli tehditlerin farkna varmanz salayacaktr. Eer iletmenizi ayakta tutan bilgilere ve verilerinizin gvenliine deer veriyorsanz, onuncu ve on drdnc blmleri batan
sona okumak isteyeceksiniz.
Aksi belirtilmedii takdirde, bu kitapta kullanlan tm yklerin
uydurma ykler olduklarn vurgulamakta yarar var.
tay Ykseltmek balnda irket yaklamn ele alp kurumunuza yaplan toplum mhendislii saldrlarnn baarya ulamalarnn nasl engellenebileceinden sz edeceiz. On beinci blm
baarl bir gvenlik eitimi program iin bir taslak sunmaktadr. Ve on
altnc blm tam hayatnz kurtaracak ey olabilir; kurumunuza
uyarlayabileceiniz, irketinizi ve bilgilerinizi emniyette tutmak iin
hemen uygulamaya geirebileceiniz, her ynyle tam bir gvenlik
kurallar metni.
En sona, ibanda karlatklar bir toplum mhendislii saldrsn
nleyebilmeleri iin alanlarnza yol gstermekte kullanabileceiniz
kilit bilgileri zetleyen kontrol listeleri, tablolar ve emalar ieren
xiv
Aldatma Sanat
Bir Bakta Gvenlik adnda bir blm ekledim. Bu aralar ayn

zamanda, kendi gvenlik eitimi programlarnz oluturmakta kullanabileceiniz deerli bilgiler de iermektedir.
Kitapta pek ok faydal unsurla karlaacaksnz: Terim kutular,
toplum mhendislii ve bilgisayar korsanl terimlerinin aklamalarn
erirler; Mitnick Mesajlar gvenlik stratejinizi glendirmenize yardmc olacak ksa bilgiler sunmaktadr; notlarda ise ek bilgiler ve ilgin
ayrntlar bulunmaktadr.
1
Perde
Arkas
GVENLN EN ZAYIF HALKASI

Br irket parann alabilecei en iyi gvenlik teknolojilerini satn
alm; alanlarn, akam eve giderken her eylerini kilit altna alacak
ekilde son derece iyi eitmi ve bina gvenlik grevlilerini sektrn en
iyi gvenlik irketinden kiralam olabilir.
Bu irket yine de tamamen savunmaszdr.
Bireyler, uzmanlarn nerdii en iyi gvenlik uygulamalarn
altryor, nerilen her gvenlik rnn bilgisayarna yklyor olabilirler ve uygun sistem yaplandrmasn ve gvenlik yamalarn! kullanmak
konularnda son derece dikkatli davranabilirler.
Bu bireyler yine de tamamen savunmaszdrlar.
\ .-- : .,
nsan Unsuru
Yakn bir gemite Kongre'ye ifade verirken, baka birisi gibi davranarak ve yalnzca bu bilgiyi isteyerek, ifreleri ve dier hassas bilgileri
ou zaman irketlerden alabildiimi anlattm.
Tam anlamyla gvende olduunu bilmeyi istemek doal bir
duygudur ama bu, pek ok nsann sahte bir gvenlik hissiyle yetinmesine de neden olur. Karsn, ocuklarn ve evini korumak iin n kapsna, maymuncukla alamaz olarak bilinen, Medico marka bir silindirli kilit
taktrm, sorumluluk sahibi ve sevecen bir ev sahibini dnn.
Davetsiz misafirlere kar ailesini gvenceye ald iin ii rahat. Ama
pencereyi kran ya da garaj kapsnn ifresini bozan hrszlara ne olacak? Gl bir aiarm sistemi yerletirmek daha iyi olurdu ancak yine de
bir garantisi yok. Pahal kilitler olsun ya da olmasn, ev sahibinin
saldrya ak olma hali devam ediyor.
Neden? nk nsan unsuru aslnda gvenliin en zayf halkasdr.
Gvenlik ou zaman bir yanlgdan ibarettir, jin iine dikkatsizlik,
saflk ve cahillik de girince daha da kt olur. Yirminci yzyln en saygn
bilimadam olan Albert Einstein yle demitir: "Yalnzca iki ey sonsuzdur, evren ve insanolunun aptall; aslnda evrenin sonsuzluundan o
kadar da emin deilim." Sonu olarak, insanlar aptailarsa ya da daha
sk grlen ekliyle, doru gvenlik uygulamalar konusunda bilgisizlerse, toplum mhendislii saldrlar baarl olmaktadr. Pek ok biliim teknolojileri (BT) sektr alan, gvenlik bilincine sahip aile
Aldatma Sanat
reisimizle ayn yaklam kullanarak, gvenlik duvarlar, mdahaleleri

ortaya karma sistemleri ya da daha gl tanma sistemleri olan
zaman tabanl kartlar ve biyometrik akll kartlar gibi herkese kabul grm gvenlik rnleri kullandklar iin irketlerini saldrlara kar byk
lde gvende tuttuklar dorultusunda yanl bir kanya sahiptirler.
Gvenlik rnlerinin tek balarna tam bir gvenlik salayacana
inanan biri, gvenlik konusunda kendini kandryor demektir. Bu ancak
hayal aleminde grlebilecek bir durumdur. Bu insanlar er ya da ge,
kanlmaz olarak bir gvenlik sorunu yaayacaklardr.
Tannm bir gvenlik danman olan Bruce Schneier'n da dedii
gibi, "Gvenlik bir rn deil, bir sretir." Dahas, gvenlik bir teknoloji
sorunu deildir; bir insan ve ynetim sorunudur.
Aratrmaclar srekli olarak daha iyi gvenlik teknolojileri gelitirip
teknik aklar smrmeyi giderek zoriatrnca, saldrganlar insan
unsurunu smrme yoluna daha ok gideceklerdir, insanlarn gvenlik
duvarn krmak genellikle daha kolaydr ve bir telefon grmesinden
baka yatrm istemedii gibi riski de ok dktr.
Klasik Bir Aldatma Olay

letmenizin mal varlnn gvenliine kar en byk tehdit nedir?
Yantlamas kolay: toplum mhendisi; siz sa eline bakarken sol eliyle
srlarnz alan acmasz bir sihirbaz. Bu kii ou zaman o kadar
arkada canls, samimi ve yardmseverdir ki onunia karlatnza
kredebilirsiniz bile.
Br toplum mhendislii rneine bakalm: Bugn pek ok insan
Stanley Mark Rifkin adndaki gen adam ve artk var olmayan Los
Angeles'taki Pasifik Hisseleri Ulusal Bankas'yla olan macerasn hatrlamaz. Gerekte ne olduuyla ilgili eitli rivayetler vardr ve Rifkin de,
benim gibi, hikyesini kendi azndan hibir zaman anlatmamtr. Bu
yzden aadakiler yaymlanm makalelerden derlenmitir.
ifre Krmak
1978 ylnda bir gn Rifkin, Pasifik Hisseteri'nin yalnzca yetkili personelinin girebildii ve odadakilerin her gn milyarlarca dolar tutarnda
havale gnderip aldklar havale odasna doru yolland.
Ana bilgisayarn kmesi olaslna kar, havale odasnn verileri iin
yedekieme sistemi gelitirecek bir irkette szlemeli olarak alyordu.
Bu grevi, banka yetkililerinin havaleleri nasl gnderdikleri de dahil olmak
zere, tm havale srelerini renmesini salamt. Her sabah havale
yapmaya yetkili banka alanlarna, havale odasn aradklarnda kullanmalar iin, zenle korunan gnlk bir ifrenin verildiini renmiti.
Gvenliin En Zayf Halkas

Havale odasndaki memurlar her gn deien ifreyi ezberlemek iin
kendilerini yormuyorlard: ifreyi kk bir kda yazp kolayca grebilecekleri bir yere asyorlard. Kasm aynn tam o gnnde Rfkin'in oday
ziyaret etmesinin zel bir nedeni vard. O kda bakmak istiyordu.
Havale odasna gelerek, alma sreleriyle ilgili notlar ald; gya
yedekieme sisteminin olaan sistemlerle tam olarak rttnden
emin olmak istiyordu. Bu srada asl kttaki gvenlik ifresini gizlice
okudu ve ezberledi. Birka dakika sonra dar kt. Daha sonra
sylediine gre, o an kendini piyangoda byk ikramiyeyi kazanm
gibi hissetmiti.
Bir De svire'deki u Banka Hesabna...

leden sonra saat sularnda odadan km, doruca binann
mermer kaplamal giriindeki telefon kulbelerine gitmi, telefona jeton
atarak havale odasnn numarasn evirmiti. Sonra, telefonda baka
bir kla brnm, kendini, banka danman Stanley Rifkin'den,
bankann Uluslararas lemler Birimi'nin bir alan olan Mike
Hansen'a dntrmt.
Bir kaynaa gre, yaplan grme aadaki gibi gelimiti:
"Merhaba, ben Uluslararas lemler'den Mike Hansen," dedi Rifkin,
telefonun dier ucundaki gen kadna.
Kadn ofis numarasn istedi. Bu olaan bir soruydu ve Rifkin hazrlklyd: "286," dedi.
Kadn sonra "Peki, ifre nedir?" diye sordu.
Rfkin'in adrenalinin etkisiyle zaten hzl atan kalbi o anda iyice hzland. Duraksamadan yantlad, "4789." Sonra havale talimatlarn vermeye balad: New York Irving Yatrm Ortakl'ndan Zrih VVozchod
Handels Bankas'ndaki hesaba yatrlmak zere "tam olarak on milyon
iki yz bin dolar." B hesab nceden kendisi atrmt.
Kadn sylenenleri not edip, "Tamam, bilgileri aidim. imdi de birimler aras takas numarasna ihtiyacm var." dedi
Rfkin'in bandan aa kaynar sular dkld; bu beklemedii bir
soru, aratrmasnda unuttuu bir ayrntyd. Ama soukkanlln
koruyup her ey yolundaym gibi davrand ve hi beklemeden cevap
verdi, "Bir kontrol edeyim; sizi hemen ararm." Bu kez bankann baka
bir birimini aramak iin tekrar telefonda klk deitirerek havale odasndaki bir alan gibi davrand. Takas numarasn rendi ve gen kadn
yeniden arad.
Gen kadn numaray ald ve, "Teekkrler" dedi. (Bu koullar altnda,
teekkr etmesi gerekenin aslnda Rifkin olmas gerektii sylenebilir.)
Aldatma Sanat
Amaca Ulalmas
Birka gn sonra Rifkin svire'ye utu, parasn ald ve 8 milyon
dolarn bir yn elmas karlnda bir Rus acentasna verdi. Tekrar
uaa bindi ve talar bir para kuana saklayarak A.B.D. gmrnden geti. Tarihteki en byk banka soygununu yapmt ve bunu bir
silah, hatt bir bilgisayar bile kullanmadan gerekletirmiti. Tuhaf olan,
iledii suun bir sre sonra "en byk bilgisayar dolandrclklar"
bal altnda Ginness Rekorlar Kitab'nn sayfalarnda yer almasyd.
Stanley Rifkin'in insanlar aldatma sanatnda kulland bu beceri ve
teknikler btnne artk toplum mhendislii diyoruz. Aslnda bu i iin
gerekenler zenli bir planlama ve iyi laf yapma yeteneinden ibaret.
Ve bu kitabn konusu ite bu -bendenizin ustas olduu- toplum
mhendislii teknikleri ve irketiniz zerinde kullanlmalar durumunda
nasl kar savunma yapacanz.
Tehlikenin Boyutu
Rifkin'in yks, gvende olduumuz hissinin ne kadar.yanl bir
dnce olduunu mkemmel bir ekilde aklyor. Bu tarz olaylar -belki
10 milyon dolarlk vurgunlar deil ama- her gn oluyor. u anda paralarnz gidiyor olabilir ya da birileri yeni rnlerinizin tasartmlartn
alyor olabilir ve siz bunun farknda bile deilsiniz. Eer irketinizin
bana henz byle bir olay gelmediyse, sormanz gereken ey bunun
olup olmayaca deil, ne zaman olaca.
Artan Endie
Bilgisayar Gvenlii Enstits'nn, 2001 ylnda bilgisayar sularyla ilgili yapt aratrmaya gre, geen on iki ay ierisinde aratrmaya
katlan kurulularn yzde 85'inin bilgisayarlarna yetkisiz giri yaplm.
Bu artc br rakam: Aratrmaya katlan her yz kurulutan yalnzca
on bei yl boyunca gvenlik ihlfi yaamadn syleyebilmi. Bir o
kadar artc olan baka bir veri de bilgisayarlarna izinsiz giriler
sonucunda mali zarara urayan kurulularn oran: yzde 64. Tek bir yl
ierisinde kurulularn yansndan fazlas mali zarara uram.
Kendi deneyimlerim bu tarz aratrmalardaki rakamlarn biraz
abartl olduunu sylyor. Aratrmay yapan kiilerin niyetlerinden
kukuluyum. Ama bu, zararn az olduu anlamna gelmez. Zarar byk.
Gvenlik ihlllerine kar hazrlkl olmayanlar, aslnda kaybetmeye
hazrlanyorlar.
Pek ok irkette kullanlan ticari gvenlik rnleri, ounlukla,
yazlmc veletler olarak bilinen amatr bilgisayar korsanlarna kar

koruma salamay amalamaktadrlar. nternetten indirilmi programlar
kullanan bu yeniyetme korsanlar ou zaman biraz rahatszlk vermekten teye gidemiyorlar. Byk kayplar ve gerek tehlike, maddi bir
kazan salamaya gdlenmi, hedefleri iyi tanmlanm, planl saldrganlardan geliyor. Bu nsanlar, amatrler gibi birok sisteme birden
girmeye almaktansa, her seferinde tek bir hedef zerinde younlayorlar. Amatr korsanlar sayy ok tutmay amalarken, profesyoneller kaliteli ve deerli bilgiyi hedefliyorlar.
Kimlik tespiti iin kullanlan tanma aralar, sistem zkaynaklanna
ve dosyalara eriimin ynetilmesi iin eriim kontrol sistemleri ve hrsz
alarmlarnn elektronik karl olan izinsiz girileri tespit sistemleri gibi
teknolojiler, bir irket gvenlik program iin nemlidirler. Yine de irketler, gvenlik nlemlerine yatrm yapmaktansa, kahveye para harcamay yeliyorlar.
Sulularn akl nasl su ilemeye ynelik alyorsa, bilgisayar korsannn da akl gl gvenlik teknolojilerinin aklarn bulmaya ynelik
alr. ou zaman da bunu teknolojiyi kullanan kiileri hedefleyerek
yaparlar.
Yanltc Uygulamalar
En emniyetli bilgisayarn kapal bir bilgisayar olduuna dair yaygn bir
sz vardr. Akllca ama yanl: Art niyetli bir kii ofise gidip bilgisayar
amas iin birini ikna ederek ii bitirir. Elinizdeki bilgiye sahip olmak
isteyen bir rakibiniz, ou zaman var olan pek ok farkl yoldan birini kullanarak onu elde edebilir. Bu i yalnzca zamana, sabrl olmaya, kiilie
ve srarcla bakar. te bu noktada aldatma sanat devreye girer.
Bir saldrgann, davetsiz misafirin ya da toplum mhendisinin gvenlik nlemlerini atlatmak amacyla, bilgisini paylaacak gvenilir bir kullancy kandrmas ya da hibir eyden kukulanmayan bir hedefi ona
giri hakk tanmas iin aldatmas gerekir. Gvenilir alanlar, hassas
bilgileri paylamalar iin ya da saldrgann ieri szmasn salayacak
bir gvenlik a yaratmalar iin kandrlabildiklerinde, ikna edilebildiklerinde ya da ynlendrilebildiklerinde dnyadaki hibir teknoloji bir irketi koruyamaz. Tpk ifre zmleyicilerinin ifre teknolojisini bertaraf
edecek bir ak bularak, ifrelenmi bir mesajn ieriini renebildikleri
gibi, toplum mhendisleri de gvenlik teknolojilerini bertaraf etmek iin
alanlarnz aldatma yntemi kullanlan
Gvenin Ktye Kullanlmas

ou durumda, baarl toplum mhendislerinin gl nsan ilikileri
vardr. Hzl dost olup gven salayabilmek iin gerekli kiilik zelliklerine sahip; yani etkileyici, nazik ve sevimli kiilerdir. Deneyimli bir toplum
Adatma Sanat
mhendisi, sanatnn stratejilerini ve taktiklerini kullanarak neredeyse

hedefledii her bilgiye ulaabilir.
Yetenekli teknoloji uzmanlar aln teri dkerek bilgisayar kullanmna
bal riskleri en aza indirgemek iin bilgi gvenlii zmleri retmiler,
ancak en zayf halka olan insan unsuruna dokunmamlardr. Tm
zekmza karn, biz insanlar -siz, ben ve dier herkes- birbirimizin
gvenliine ynelik en byk tehdidi oluturuyoruz.
Ulusal Karakterimiz
zellikle Bat dnyasnda, bu tarz tehditlerin zerinde durmuyoruz.
Bize birbirimizden phelenmemiz retilmiyor. Bu en ok da
Amerika'da byle. Bize "komumuzu sevmemiz", birbirimize gvenmemiz ve inanmamz retilir. Yerel gvenlik rgtlerinin, insanlar
evlerini ve arabalarn kilitlemeye ikna etmelerinin ne kadar zor
olduunu bir dnn. Bu tarz aklarn verilebilecei gn gibi ortadadr
ve haya! dnyasnda yaamay tercih eden pek oklar tarafndan gz
ard edilmektedir; ta ki azlar yanana kadar.
Her insann iyi niyetli ve drst olmadn biliyoruz, ancak ou
zaman sanki yle deillermi gibi davranyoruz. Bu muhteem saflk,
Amerikallarn yaamlarnn temel tadr ve bundan vazgemek ac
verici olacaktr. Bir ulus olarak, zgrlk anlaymzn iine, yaanacak
en yi yerin anahtarlarn ve kilitlerin en az gerekli olduu yer anlayn
da koymuuz.
ou insan, kandrlma olaslnn ok dk olduu nancna
dayanarak, bakalar tarafndan kandramayaca varsaymyla hareket
eder; bu ortak inancn bilincinde oian saldrgan, isteini o kadar akllca
sunar ki hi kuku uyandrmaz ve kurbann gvenini smrr.
Kurumsal Saflk
Ulusal karakterimizin bir paras olan bu saflk, bilgisayarlar ilk
olarak uzaktan birbirlerine balandklarnda da grlyordu. Hatrlayn,
ntemet'n ilk ekli olan ARPANet {Savunma Bakanl ileri Aratrma
Projeleri Birimi A} devlet, aratrma ve eitim kurumlan arasnda bilgi
paylamann bir yolu olarak tasarlanmt. Ama, teknolojik ilerlemenin
yansra bilgi zgrlyd. Bylece pek ok eitim kurumu, ilk bilgisayar sistemlerini ya hi ya da ok az gvenlik salayarak kurdular.
Tannm bir yazlm zgrlks olan Richard Stallman, kendi
hesabn bir ifreyle korumay bile reddetmiti.
Ancak internet'in elektronik ticaret iin kullanlmaya balanmas,
zayf gvenlik nlemlerinin, her eyin biribirine kablolarla bal olduu
dnyamzda yarataca tehlikeleri ciddi ekilde aa kard.

Bugnn havaalanlarna bir bakn. Gvenlik en st dzeye ulam
durumda ancak gvenlii ap, kontrol noktalarndan tehlikeli olabilecek
silahlar geiren yolcularla ilgili basnda duyduumuz haberlerle dehete
dyoruz. Hava alanlarmz byle bir alarm durumundayken bu nasl
mmkn olabiliyor? Metal dedektrleri mi doru almyor? Hayr.
Sorun makinelerde deil. Sorun insan unsurunda: Makineleri altran
insanlarda. Hava alan yetkilileri Ulusa! Muhafzlar1! kapya koyup, metal
dedektrleri ve yz tanma sistemleri yerletirebilirler ama aktif gvenlik
grevlilerini, yolcular nasl kontrol edecekleri konusunda eitmek daha
yararl olur gibi grnyor.
Ayn sorun, dnya apnda, tm devlet kurumlar, eitim kurulular ve
ticari iletmeler iin de geerli. Gvenlik uzmanlarnn abalarna karn
bilgiler savunmasz kalyor ve gvenlik zincirinin en zayf halkas olan
nsan halkas glendirmedii srece, toplum mhendislii becerileri
olan saldrganlarca itah ac bir hedef olarak grlmeye devam ediyor.
Her zamankinden ok u anda, pembe gzlklerimizi karp, bilgisayar sistemlerimizin ve alarmzn gizliliine, btnlne ve varlina saldrmaya yeltenecek olanlarn kulland yntemlere kar daha
gz ak olmalyz. Trafikte dier arabalarn hereyi yapabilecei
olaslna kar gelitirilen korunmac srcln gerekliliine zamanla inandk; artk korunmac programclk uygulamalarn da renip
onlara da inanma zamanmz geldi.
zel yaantnz, aklnz ya da irketinizin bilgi sistemlerini ihial
eden bir saldr tehlikesi, banza gelene kadar gerekleecekmi gibi
grnmeyebilir. Maliyetleri yksek olan bylesi bir gerekle yzlemekten kanmak iin, bilgi varlklarmz, kendi kiisel bilgilerimizi ve
ulusumuzun hassas alt yaplarn korumak konusunda hepimizin bilinli,
eitimli ve uyank olmamz gerekmektedir. Ve bu nlemleri bugnden
almamz arttr.
Terristler ve Aldatmacalar
Aldatma sanat, doal olarak, yalnzca toplum mhendisine zg bir
ara deildir. FizikseMerrizm byk yanklar uyandryor ve dnyann
tehlikeli bir yer olduunun daha nce hi varmadmz kadar farkna varmamza yol ayor. Sonuta, medeniyet yalnzca ince bir kaplama gibi.
Eyll 2001'de, New York ve VVashington'a yaplan saldrlar her birimizin -yalnzca Amerikallarn deil, tm uluslarn iyi niyetli insanlarnn
da- yreine hzn ve korku sald. Dnyann her tarafnda, iyi eitilmi
ve yeni saldrlar yapmann frsatn kollayan, takntl terristlerin olduu
gereine kar uyarldk.
Devletlerin son zamanlarda artan abalan, gvenlik bilinci dzeyimizi artrd. Her tr terrizme kar uyank ve tetikte olmalyz.
10
Aldatma Sanat
Terristlerin nasl byk bir hainlikle sahte kimlikler yarattklarn, renci ve komu rollerine brndklerini ve kalabala kartklarn iyice
anlamamz gerekir. Entrikalar evirirlerken, bu sayfalarda okuyacaklarnza benzer aldatma numaralar ekerek asl niyetlerini gizliyorlar.
Bildiim kadaryla, terristler irketlere, ime suyu tesislerine, elektrik retme tesislerine ya da ulusal altyapmzn baka yaamsal nemi
olan paralarna szmak iin henz toplum mhendislii teknikleri kullanmadlarsa da, asl sorun orada yatyor. Bunu yapmak son derece
kolay. Bu kitap sayesinde, irket st ynetimlerinin gvenlik bilincini yerletirip yeni gvenlik politikalarn uygulamaya koyacan umuyorum.
Bu Kitap Hakknda
irket gvenlii bir denge konusudur. Yetersiz gvenlik, irketinizi
ok savunmasz brakrken, gvenliin zerinde fazla durmak ise ile
ilgilenilmesini engelleyip, irketin bymesini ve kazancn kstlar. Asl
zor i gvenlik ve retkenlik arasndaki dengeyi kurmaktr.
irket gvenliiyle lgili baka kitaplar yazlm ve donanm teknolojileri zerine odaklanrlar ve en ciddi tehlikeye yeterince yer vermezler:
insanlarn aldatlmas. Bu kitabn amac, dierlerinden farkl olarak,
sizin, beraber altnz insanlarn ve irketinizin dier alanlarnn
nasl ynlendirilebileceini anlamanza yardmc olmak ve kandrlan
kii konumundan kmak iin ne gibi nlemler alabileceinizi gstermektir. Elinizdeki kitap, ounlukla, saldrganlarn bilgi almak, gvenilir
olduu dnlen ama aslnda yle olmayan bir bilgiyi dorulamak ya
da bir irket rnn tahrip etmek iin kullandklar, teknik olmayan yntemler zerinde duruyor.
Benim grevim, var olan basit bir gerek nedeniyle daha da zorlayor: Her okuyucu, toplum mhendisliinin en byk ustalar olan
anne-babalar tarafndan zaten ynlendirilmi durumda. Anne ve
babanz "sizin iyiliiniz iin," diyerek en doru olduunu dndkleri
eyleri size yaptrmann yoifann buldular. Toplum mhendisleri, hedeflerine ulamak iin hikyelerin, nedenlerin ve gerekelerin zerinde
nasl zenle ve maharetle oynuyorarsa, anne-babalar da ayn yntemleri kullanan baarl birer hikye anlatcsdrlar. Evet, hepimiz, iyi niyetli
(ve bazen o kadar da iyi niyetli olmayan) toplum mhendisleri olan
anne-babalarmtz tarafndan yorulduk.
Bu eitimle artlanm olarak ynlendirilmeye ak hale geldik. Eer
her zaman tetikte olup bakalarna gvenmeseydik, bizden yararlanmak isteyen birinin kuklas olacamz endiesiyle dolu olsaydk, zor bir
yaam sryor olurduk. Kusursuz bir dnyada kuku bile duymadan
bakalarna gvenir, karlatmz insanlarn drst ve gvenilir olduklarndan emin olurduk. Ama kusursuz bir dnyada yaamyoruz ve bu
11
yzden rakiplerimizin yanltc abalarn engellemek iin bir dereceye

kadar ihtiyatl olmalyz.
Kitabn ana paralarn oluturan ikinci ve nc ana balklar,
toplum mhendislerini i banda gsteren hayal yklerden oluuyor.
Bu blmlerde unlar greceksiniz:
.
Telefon beleilerinin yllar nce bulduklar, telefon irketinden

rehberde gemeyen bir numaray almann salam bir yolunu.
Saldrganlarn kullandklar, uyank ve kukucu alanlar bile

bilgisayar kullanc adlann ve ifrelerini vermeye ikna edecek
eitli yntemleri,
Bir lem Merkezi yneticisinin irketinin en gizli rn bilgisini

alabilmesi iin bir saldrgana nasl yardm ettiini,
Bir hanm, her tua basm kaydeden sonra da ayrntlar

saldrgana e-postalayan bir yazlm indirmesi iin kandran bir
toplum mhendisinin kulland yntemleri,
zel dedektiflerin irketinizle ve sizinle ilgili nasl bilgi topladklarn

okuyacaksnz. Bu sonuncunun iinizi rperteceinden eminim.
kinci ve nc ana balklarda geen baz hikyeleri okurken, bunlarn mmkn olmadn bu sayfalarda yazl yalanlarn, aalk
numaralarn ve dalaverelerin hi kimsenin yanna kalmayacan
dnebilirsiniz. Gerek u ki, her olayda anlatlan hikyeler olmu ve
olabilecek olaylar yanstmaktadrlar: Pek ou dnyann bir kesinde
her gn olmaktadr; hatt siz bu kitab okurken sizin kurumunuzun bile
bana geliyor olabilir.
Kitabn ierii, iinizi korumak sz konusu olduunda gerekten
ibret verici olacaktr; kiisel ynden bakldnda ise zel yaamnzda
bilginizin btnln korumak iin toplum mhendislerinin hamlelerini
bertaraf etmenize de fayda salayacaktr.
Kitabn drdnc ana balnda konuyu farkl bir adan ele alyoruz. Buradaki amacm, alanlarnzn toplum mhendisleri tarafndan kandrlmalar ôlasln en aza indirgemek iin gerekli iletme
kurallarn ve bilinlendirme eitimlerini oluturmanza yardm etmek.
Toplum mhendislerinin stratejilerini, yntemlerini ve taktiklerini anlamak, irketinizin retkenliini drmeden BT varlklarnz korumak iin
uygun kontroller yerletirmenize yardmc olacaktr.
Ksacas, bu kitab, toplum mhendisliinin oluturduu ar tehlikeye kar sizleri bilinlendirmek ve irketinizin ve alanlarnzn bu yolla
smrlmesi olasln en aza indirgemenize yardm etmek iin yazdm.
Ya da belki yle sylemeliyim, bu olaslk bir daha hi smrlemeyecekleh kadar azalacaktr.
2
Sanat
ZARARSIZ GB GRNEN
BLGLER
ou insana gre toplum mhendislerinden kaynaklanacak en
byk tehdit nedir? Kendinizi korumak iin ne yapabilirsiniz?
Eer ama ok deerli bir dl ele geirmekse -diyelim ki, bir irketin
fikr sermayesinin nemli bir parasysa- o zaman belki de gerekli olan
oy, mecaz olarak, yalnzca daha gl bir kasa ve daha iyi silahlanm
bekilerdir. yle deil mi?
Ama aslnda bir irketin gvenliinin almas, genellikle kt
adamn irketteki pek ok insann korunmas ve snrlandrlmas iin bir
neden grmedii, son derece masum, gnlk ve nemsiz grnen bir
bilgiyi ya da bir belgeyi elde etmesiyle balar.
Bilginin Gizli Deeri

ou toplum mhendisleri, bir irketin elinde olan ve zararsz gibi
grnen bilgileri el stnde tutarlar nk bu bilgiler, kendilerini daha
inandrc kNabilmelerinde can alc bir rol oynayabilir.
Bu sayfalarda, toplum mhendislerinin saldrlarna sizin de "tank"
olmanz salayarak ilerini nasl yaptklarn gstereceim; bazen olay
kurban rolndeki kiilerin bak asndan sunacam, bylece kendinizi
onlarn yerine koyabilecek ve siz (belki de alanlarnzdan ya da i
arkadalarnzdan biri) olsaydnz nasl bir yant verebileceinizi tartabileceksiniz. ou durumda ayn olaylar toplum mhendisinin bak
asndan da greceksiniz.
lk yk finans endstrisindeki bir ak noktaya deinmektedir.
Creditchex
ngilizler, tutucu bir bankaclk sistemine uzun bir sre katlanmak
zorunda kaldlar. Sradan ve drst bir vatanda olarak bir bankadan
ieri girip bir hesap atramazdnz. Hatrl mterilerden biri sizin iin bir
tavsiye mektubu yazmad srece banka sizi mteri olarak kabul
etmeyi dnmezdi biie.
ingilizlerin bu sistemi gnmzn grnte eitliki bankaclndan doal olarak olduka farkl. yapmaktaki ada rahatlmz,
neredeyse herkesin bir bankaya girip kolaylkla vadesiz ek hesab
16
Aldatma Sanat
Zararsz Gibi Grnen Bilgiler
17
atrabildii, arkada canls ve demokratik Amerika'dan baka hibir

yerde bu kadar gze arpmyor, yle mi? Tam olarak deil. Gerek u
ki, bankalarn anlalabilir nedenlerden tr, gemite karlksz ek
yazm olabilecek biri adna -ki bu, kiinin adli sicilinde banka soygunu
ya da zimmete geirme sularnn olmas kadar kt bir durumdurhesap amak konusunda doal bir ekingenlikleri vardr. Bu yzden,
mstakbel bir mteriyle ilgili hzl bilgiler edinmek pek ok banka iin
olaan bir uygulamadr.
- Pekl. ubenizin alma saatleri nedir? Kadn yantlad ve ardarda gelen somlar yantlamaya devam etti.
- ubenizin ka alan bizim hizmetlerimizden yara} lan\ or9
Bu tarz bilgileri edinmek iin bankalarn i yaptklar balca irketlerden biri de bizim CreditChex adn vereceimiz bir kurulu. Mterilerine
ok nemli bir hizmet sunmakla birlikte, birok irkette olduu gibi, ini
bilen toplum mhendislerine de farknda olmadan kullanl bilgiler
salayabiliyorlar.
- Talebinize yant verme sremiz ne kadar?
lk Grme: Kim Andrevvs

- Ulusal Banka, ben Kim. Size nasl yardmc olabilirim?
- Merhaba Kim. Sana bir sorum olacakt. Sizler CreditChex kullanyor musunuz?
- Evet.
- CreditChex'i aradnz zaman, onlara verdiiniz numaraya ne ad
veriyorsunuz? ye yeri Numaras m?
Kz bir an duraksad; soruyu tartp, bunun neyle ilgili olduunu ve
yant verip vermemesi gerektiini dnd.
Bu arada, telefondaki ara vermeden konumay srdrd:
Sormamn nedeni u: zel dedektiflik konusunda bir kitap
yazyorum.
- Evet, dedi kz, soruyu gnl rahatlyla yantlayarak. Bir yazara
yardmc olabildii in memnun'olmutu.
- Sizin in ayrdmz 800'l numaralardan hangisini

kullanyorsunuz?
- Mteri temsilcilerimiz her zaman size kar nazikle/ m *
- Ne kadar sredir bankada alyorsunuz?
- u anda kullandnz ye yeri Numaras nedir?
- Size saladmz bilgilerde hi tutarszla rastladnz m''
- Hizmetlerimizi gelitirmemiz dorultusunda nsrile iniz olsavd
bunlar neler olurdu?
Ve:
- ubenize dzenli olarak gndereceimiz anketleri doldurmak ister
misiniz?
Kadn yapabileceini syledi, biraz konutular, arayan telefonu kapatt
ve Chris iinin basma dnd.
nc Grme: Henry McKinsey

- CreditChex, ben Henry McKinsey, size nasl yardmc olabilirim?
Arayan, Ulusal Banka'dan aradn syledi. Doru ye yeri
Numarasn, sonra da bilgi istedii kiinin adn ve sosyal gvenlik
numarasn verdi. Henry kiinin doum gnn sordu ve arayan onu da
verdi.
Biraz sonra Henry bilgisayar ekranndan kaytlar okudu.
- ye yeri Numaras deniyor, yle mi?
- Wells Fargo 1998'de, bir kerelik, 2.066 dolar tutarnda YB rapor
- Ht ki.
etmi.
YB (Yetersiz Bakiye), yazlan eke karlk hesapta yeterince para
olmad durumlar iin kullanlan bankaclk terimidir.
- Tamam, harika. Terimleri doru kullanabilmek iin sormutum.

Yani kitap iin. Yardmlarn iin teekkrler. Hoakal, Kim.
kinci Grme: Chrs Ta I bert

- Ulusal Banka, Yeni Hesaplar, ben Chris.
- Bilgi talebi iin bizi ne sklkta aryorsunuz?
- Merhaba, Chris. Ben Alex, dedi arayan. CreditChex'in mteri temsilcisiyim. Hizmetlerimizi gelitirebilmek iin bir aratrma yapyoruz.
Bana birka dakikan ayrabilir misin?

Chris memnuniyetle ayrabileceini syledi ve arayan konumaya
devam etti:
- O zamandan beri baka hareket olmu mu?

- Hayr, olmam.
- Baka sorgulama olmu mu?
- Bir bakalm. Evet, iki tane olmu, ikisi de geen ay. Chicago,
nc Birleik Kredi Birlii.
Bir sonraki ad, Schenectady Yatrm Ortakl'n, okurken bocalad ve
harf harf kodlamak zorunda kald.
- New York Eyaleti'nde, diye de ekledi.
18
Aldatma Sanat
zel Dedektif Banda

Bu grmelerin de ayn kii tarafndan, adna Oscar Grace
diyeceimiz bir zel dedektif tarafndan yaplmt. Grace'in yeni bir
mterisi vard ve bu onun ilk mterilerinden biriydi. Birka ay ncesine
kadar polis olan Grace, yeni ilerin bazlarn rahatlkla zebildiin) fark
etmiti, ancak dierleri kaynaklarn ve yaratcln sonuna kadar kullanmasn gerektirecek kadar zorluydu. Bu seferki i kesinlikle zorlular
snfna giriyordu.
Polisiye romanlarn tandk zel dedektifleri -Sam Spades ve Philip
Marlovves- eini aldatan birini yakalayabilmek iin saatlerce arabalarnda oturup gece yarlarna kadar beklerlerdi. Gerek hayattaki zel
dedektifler de aynsn yapyorlar. zel dedektifler polisiye romanlara
daha az konu olmu ama didien elerin ilerine burun sokmann bir o
kadar nemli baka bir eidini, yani gece nbetleriyle cebellemekten
ok, byk lde toplum mhendislii becerilerine dayanan bir yntem
de kullanyorlar.
Grace'in yeni mterisi, giysiler ve mcevherler iin olduka geni
bir bte ayrabiliyor gibi grnen bir hanmd. Bir gn ofisine gelmi ve
stnde kat yl olmayan tek deri koltua oturmutu. Gucci marka
byk el antasn, markas ona dnk kalacak ekilde masaya koymu
ve boanmak istediini kocasna sylemeyi tasarladn aklamt,
ancak "kk bir sorun" olduunu da itiraf etmiti.
Grne gre kocas bir adm ndeydi. Tasarruf hesaplarndaki
paray ve yatrm hesaplarnda duran daha da byk bir tutar oktan
ekmiti. Kadn paralarn nereye karldn bilmek istiyordu ve boanma avukat hi yardmc olmuyordu. Grace, avukatn, parann nereye
gittii gibi pis ilere elini bulatrmayacak, hzl ykselen, yksek gelirli
danmanlardan biri olduunu tahmin etti.
Acaba Grace ona yardmc olabilir miydi?
Bu iin ocuk oyunca olduuna kadn ikna etti, bir fiyat verdi, masraflarn, gerekletike faturalandrlacan syledi ve ilk deme iin bir
ek ald.
Sonra da zmesi gereken sorunla yzleji. Daha nce hi byle bir
i yapmadysanz ve para zi srmek konusunda pek bir ey bilmiyorsanz ne yaparsnz? Ufak admlar atarak ie balarsnz. te, bize
aktarld kadaryla Grace'in yks:
CreditChex'in ne olduunu ve bu irketin bankalarn hangi konuda
iine yaradn -eski karm bir bankada alrd- biliyordum. Ama kullanlan terimleri ve sreleri bilmiyordum ve eski karma sormak zaman
kayb olacakt.
Birinci adm: Bankaclk terimlerini ren ve stenen eyin konuya

hakim biri tarafndan istendii izlenimini
yaratmann bir yolunu bul. Aradm
bankada, ad Kim olan gen hanm
CreditChex' aradklar zaman kendilerini nasl tanttklarn sorduumda kukuland. Duraksad ve bana syleyip sylememekten emin olamad. Bu beni caydrd m? Elbette hayr. stelik bu duraksama bana nemli bir ipucu, onun iin
inandrc olacak bir neden bulmam
gerektiine dair bir iaret verdi. Ona bir
kitap iin aratrma yaptm oyununu
oynadmda, bu, kukularn giderdi. Bir
kitap ya da senaryo yazar olduunuzu
syleyin, herkesin dili zlverr.
19
Terimler
HEDEF: Bir dalaverenin
kurban.
KA YNA I KUR UTMA K:
Bir saldrgan, gerekletirdii saldry kurbannn anlamasna izin
verirse, o zaman buna kayna kurulmak denir.
Kurban bir kez durumu
anlar ve dier alanlara
ve ynetime bu giriimden
sz ederse, gelecek
saldrlarda ayn kayna
smrmek ok gleecektir.
Elimde Kim'in zerinde ie yarayabilecek baka bilgiler de vard; hakknda

bilgi istediiniz kiiyle ilgili CreditChex'n
ne tr bilgiler istediini, sizin o kiiyle
ilgili neler isteyebileceinizi ve en nemlisi Kim'in alt bankann ye
yeri Numaras'n biliyordum. Bu sorular sormaya hazrdm ama
duraksamas bir tehlike iaretiydi. Kitap aratrmas hikyesini yutmutu, ancak iin banda biraz kukuianmt. Eer bandan yardmc
olmaya hevesli olsayd, srelerle ilgili daha fazla ey anlatmasn
ondan isteyebilirdim.
inizden gelen sese kulak vermeli, hedefin sylediklerini ve nasl
sylediini dikkatle dinlemelisiniz. Bu hanm, ok fazla olaand soru
soracak olsaydm, kafasnda alarm zilleri alacak kadar zeki grnyordu. Her ne kadar kim olduumu ve hangi numaradan aradm bilmese
de, eer bu iin iindeyseniz, telefon ederek irketle ilgili bilgi almaya
alan birine kar, birilerinin ortal ayaa kaldrmasn istemezsiniz.
Bunun nedeni kayna kurutmak istememenizdir; ayn iyerini baka bir
zaman bir kez daha aramak isteyebilirsiniz.
Bir insann bana "Buyrun emrinize amadeyim," diyerek yardmc m
olacan yoksa "Bu adamn niyeti bozuk, polisi arayaym," diye ortal
uyaa m kaldracan anlamak amacyla bana ipucu verecek kk
iaretleri yakalayabilmek iin gzm-kulam hep ak tutarm.
Kim'i biraz diken stnde biri olarak derecelendirdim, bu yzden
l;rkl bir ubedeki baka birini aradm. Chris'le yaptm ikinci
jrmede, aratrma numaras ok iyi i grd. Buradaki yntem,
inandrcl artracak ilgisiz sorularn arasna nemli sorulan sktrmnkta yatyor. CredtChex'deki ye yeri Numaras'n sormadan nce,
Kinkada ne kadar sredir altyla ilgili ona kiisel bir soru ynelterek
hr son dakika kontrol yaptm.
20
Aldatma Sanat
Kiisel bir soru mayn gibidir; bazlar zerinden geer ve hibir

zaman farketmezler; bazlarnda ise patlar ve gvenli bir yer bulmak iin
tela iinde kamalarna neden olur. Bu yzden, eer kiisel bir soru
sorarsam, kar taraf soruyu yantlarsa ve ses tonunda bir deiiklik
olmazsa, byk olaslkla talebin ieriinden phelenmemi demektir.
Yantlanmasn istediim soruyu ona, kuku uyandrmadan rahatlkla
sorabilirim ve byk olaslkla bana istediim cevab verir.
yi bir zel dedektifin bildii bir ey daha vardr: Hibir zaman, kilit
bilgiyi elde ettikten sonra grmeyi hemen bitirme. Bir-iki soru, biraz
sohbetten sonra veda etmek yerinde olabilir. Eer kurban sorduklarnzla ilgili bir eyleri daha sonra hatrlarsa, bunlar byk olaslkla son
birka soru olacaktr. Kalan genellikle unutulur.
Bylece Chris bana ye yeri Numaras'n ve taleplerini bildirmek
iin kullandklar telefon numarasn verdi. CreditChex'ten ne kadar bilgi
edinilebildiini renebileceim sorular da sorabilseydim daha mutlu
olurdum. Ancak ansm zorlamak istemedim.
Bu, CreditChex!ten tutar hanesi bo bir ek almak gibi bir eydi. Artk
istediim zaman arayp bilgi elde edebilirdim. Aldm hizmet iin para
dememe bile gerek yoktu. Grne gre CreditChex temsilcisi stediim bilgileri benimle paylamaya hazrd. Mterimin kocasnn hesap
atrmak iin son zamanlarda bavurduu iki yer vard. O zaman, yaknda eski ei konumuna gelecek olan kadnn arad paralar neredeydi?
CreditChex'teki adamn sayd bankalardan baka nerede olabilirdi ki?
Aldatmacann ncelenmesi
Tm bu dzen toplum mhendisliinin temel taktiklerinden birinin
zerine kurulmutur: yle olmad halde, bir irket alannn, zararsz
olduunu dnd bir bilgiye ulamak.
ilk banka memuru CreditChex' ararken kullanlan tanmlayc sayy
anlatan ye yeri Numaras terimini dorulad. kincisi, CreditChex'in
telefon numarasn ve en can alc bilgi olan bankann ye yeri
Numaras'n salad. Tm bu bilgiler memura zararsz grnyordu. Bu
sayy bakasna sylemenin ne zarar olabilirdi ki?
Tm bunlar nc grme iin gereken zemini hazrlad. Grace'in
Mitnick Mesaj:
ye yeri Numaras, bu durumda, bir ifre kadar nem. tar. Eer banka
alanlar onu bir ATM ifresi olarak grrlerse, bilginin hassasln
kavrayabilirler. irketinizde insanlarn yeterli zeni gstermedikleri kurum
ii bir ifre ya da numara var m?
21
i'lnd; CreditChex'i arayp, kendini mteri bankalardan biri olan Ulusal

HiinkH'nn bir alan gibi tanttktan sonra istedii bilgiyi alabilmesi iin
lliync olan her ey vard.
Bilgi alarken, iyi bir dolandrcnn paranz almada gsterdii
htcoriklilie benzer bir beceriklilik gsteren Grace'in, insanlar okumak
d,:in gelitirilmi yetenekleri vard. Ska uygulanan, masum sorularn
at.sna anahtar sorular katma yntemini o da biliyordu. ye yeri
Numaras'n her ey yolundaym gibi sormadan nce kiisel bir sorunun ikinci memurun ibirlii yapma eilimini leceini de biliyordu.
lk memurun, CredtChex ye numaras iin kullanlan terimi onaylay.rak yapt hataya kar korunmaya neredeyse olanak yoktu. Bu bilginin bankaclk sektrnde o kadar geni bir kullanm var ki nemsiz
(jthi grnyor; zararsz grnml bilgilere en iyi rnek. Ancak ikinci
memur Chris, arayann gerekte syledii kii olup olmadn dorulamadan sorular yantlamaya bu kadar hevesli olmamalyd. En azndan
,itlini ve telefon numarasn alp onu geri aramalyd; bylece daha sonra
Viphe uyanrsa, kar tarafn hangi telefon numarasn kullandnn bir
knydn tutmu olabilirdi. Bu durumda, byle bir arama yapmak, saldrgann CreditChex grevlisi gibi davranmasn daha da gletirirdi.
Daha da iyisi, CreditChex'i, arayann verdii numaradan deil,
hnnkann kaytlarnda bulunan bir numaradan arayp, kiinin gerekten
Df;da alp almadn ve irketin gerekten mteri aratrmas yapp
yapmadn dorulamak olurdu. Gerek dnya uygulamalarn ve bugn
ou insann iinde bulunduu zaman basksn gz nne aldnzda,
alann bir eit saldr gerekletirildiinden kukuland durumlar
dnda, bu tarz bir kontrol aramas yapmas beklentilerin ok tesindedir.
Mhendislik Tuza
nsan avcs firmalarn irket ii yetenekleri bulmak iin toplum
mhendislii taktiklerini kullandklar yaygn olarak bilinir, te bunun
nasl olabileceine dair bir rnek.
1990'larn sonlarnda, pek de ahlaa uygun almayan bir i bulma
^contas, telefon endstrisinde deneyimli elektrik mhendisleri arayan
bir irketi yeni mterisi olarak ald. Bu grevin sorumlusu, buulu bir
ses tonuna ve ekici tavrlara sahip bir hanmd. Bu yeteneklerini telefon zerinden, gven veren ve dosta bir izlenim uyandrmak amacyla
kullanmay da renmiti.
Kadn, rakip bir irkette almak iin ayartlabilecek mhendisler
bulup bulamayacana bakmak amacyla bir cep telefonu hizmet
iglaycsn yoklamaya karar verdi. Santral arayp, "Be yllk
mhendislik deneyimi olan herhangi biriyle grmek istiyorum" diyemezdi. Bunun yerine, biraz sonra greceiniz nedenlerle, yetenek avna
22
Aldatma Sanat
hibir hassasiyeti yokmu gibi grnen ve irket alanlarnn

neredeyse isteyen herkese verdii bir bilgiyi arayarak balad.
/-'.
D: Didi Sands. Nakliye'nin dahilisini biliyordum ama unutmuum.

DG: Bir .saniye.
Kuku uyandrmamak iin, bu noktada Didi, sohbeti srdrmek
amacyla, "ierden" olduunu ve irket binalarnn yerlerini bildiini
gstermek zere tasarlanm sradan gibi grnen bir soru sordu.
D: Hangi binadasnz? Lakeview'da m yoksa ana binada m?
DG: Ana binada (duraksama). Numara 805 555 6469,
Nakliye Blm'n aramann ie yaramayabileceim de dikkate alarak
kendini salama almak amacyla Didi, Gayrimenkul Blm'yle de
grmek istediini syledi. Danma grevlisi o numaray da verdi ve
onu Nakliye Blm'ne balamay denedi ama hatlar meguld.
Bu aamada Did nc bir telefon numarasn, Austin-Texas'taki irket binasnda bulunan Tahsilat Ofsi'nin numarasn da istedi. Danma
grevlisi ondan biraz beklemesini rica etti ve hattan kt. pheli bir
telefon geldiini ve bir eylerin ters gittiini dndn gvenlie
anlatyor olabilir miydi? Kesinlikle olamaz, Didi'nin iinde en kk
bir endie bile yoktu. Yalnzca biraz kzn bana bela olmutu ama
danma grevlisi iin bu sradan bir i gnnn bir parasyd. Bir
dakika sonra, danma grevlisi yeniden hatt ald, Tahsilat Ofsi'nin
numarasna bakp oray arad ve Didi'yi balad.
kinci Grme: Peggy

Sonraki konuma yle geti;
Peggy: Tahsilat Ofisi, Pegg)>.
Didi: Merhaba Peggy. Ben Didi, Thousand Oaks'dan.
'.
"
"
"
"
P: yi.
Saldrgan, Didi Sands adn kullanarak, cep telefonu hizmet

salaycsnn irket binasna telefon etti. Konuma, ksmen yle
geti:
Danma Grevlisi: yi gnler. Ben Marie, size nasl yardma olabilirim?
Didi: Beni Nakliyat Blm'ne balar msnz?
.< DG: yle bir blmmz olduundan emin deilim, rehberime
bakaym. Kim aryordu?
D: Didi
DG: Binada msnz, yolma ...?
D: Hayr, dsardaym.
DG: Ddi, soyadnz?
Merhaba Didi.
D: Nasl gidiyor7
lk Grme: Danma Grevlisi
23
Sonra Didi, i dnyasnda iyi bilmen ve belirli bir kuruluun ya da

alma grubunun btesine harcamalar mal etmek iin kullanlan
ilem kodunu ifade eden terimi kulland.
D: Mkemmel. Sana bir sorum olacak. Belli bir blmn maliyet
merkezi kodunu nasl renebilirim?
P: O blmn bte sorumlusuna ulaman gerek.
D: Thousand Oaks'un bte sorumlusunun kim olduunu biliyor
musun? Bir form doldurmaya alyorum ve doru maliyet merkezi
kodunu bilmiyorum.
P: Tek bildiim, maliyet merkezi kodunu renmen gerektii zaman,
bte sorumlusunu araman gerektii.
D: Texas'daki blmnz iin bir maliyet merkezi kodu var m?
P: Burada bir maliyet merkezi var ama bize hepsinin listesini vermiyorlar.
D: Maliyet merkezi kodu ka basamakl? rnein, sizin maliyet
merkezi kodunuz ne?
P: ey, yle, sen 9WC'yle misin yo/csa SAT'la msn?
Bunlann hangi blmlere ya da gruplara karlk geldii konusunda
Didi'nin en kk bir fikri yoktu ama bu nemli deildi. Soruyu yantlad:
D: 9WC
P: O zaman genellikle drt basamakldrlar. Nereden olduunu
sylemitin?
D: Thousand Oaks, Genel Mdrlk.
P: Evet, Thousand Oaks iin bir tane syleyebilirim. A5N, Nancy'nin N'si.
Yardm etmeye istekli biriye yeterince uzun sre sohbet ederek, Didi
ihtiyac olan maliyet merkezi kodunu ald; dardan birinin iine yarayacakm gibi grnmedii iin kimsenin korumay dnmedii bilgi
paracklarndan biri daha.
nc Grme: se Yarayan Yanl Numara

Didi'nin bir sonraki adm, elindeki maliyet merkezi kodunu bir poker
markas gibi kullanarak daha deerli bir eye dntrmek olacakt.
Gayrimenkul blmn arayp, yanl numara evirmi gibi yapt. "Sizi
rahatsz ettiim iin zr dilerim, ama ..." ile sze balayarak irket
rehberini kaybetmi bir alan olduunu syledi ve yeni bir rehber alabilmek in kiminle konumas gerektiini sordu. Adam rehber
kitapnn eski tarihli olduunu ama irketin intranet sitesinde telefon
numaralanmn bulunduunu syledi.
24
Aldatma Sanat
Didi baslm bir rehber kullanmay tercih ettiini anlatnca, adam ona
matbaay aramasn syledi ve sonra, hibir talep olmadan -belki de
yalnzca ekici sesli kadn telefonda biraz daha uzun sre tutabilmek
iin- numaray buldu ve kadna verdi.
Drdnc Grme: Mcttbaa'dan Bart

Matbaa blmnde Bart adnda biriyle konutu. Didi, Thousand
Oaks'dan aradn ve altklar yeni danmann irket rehberine
ihtiyac olduunu syledi. Eski tarihli olsa da basl bir rehberin danmann daha ok iine yarayacan da vurgulad. Bart, bir talep formu
doldurmas ve kendisine gndermesi gerektiini syledi.
Didi elinde form kalmadn, biraz acelesi olduunu syledi ve acaba
Bart bir incelik yapp formu onun yerine doldurabilir miydi? Adam
biraz fazlaya kaan bir hevesle kabul etti ve Didi ona ayrntlar anlatt. Hayali danmann adresi olarak da, toplum mhendislerinin posta
delii dedikleri, Didi'nn irketinin bu tarz durumlar iin, Mail Boxes
Ete. tlnden ticari irketlerden kiralad posta kutusunu verdi.
Edindii ilk bilgi imdi iine yarayacakt: Rehberin maliyeti ve kargo
iin bir cret alnacakt. Didi, Thousand Oaks iin maliyet merkezi
kodunu verdi.
- 1A5N, Nancy'nin N'si.
Bouk sesli kadn insan avlayan telefon grmelerini yapmaya

hazrd. Her yetenekli toplum mhendisinin sonuna kadar gelitirdii
laf yapma becerisini kullanarak, aknlarn balatmak iin gerekli olan
bilgileri dalavere yoluyla elde etmiti. imdi de semeresini toplamaya
h a z r d .
. . .
ASdatmaeansn ncelenmesi
Baka Deersiz
Bilgiler
Terimler
POSTA DEL: Toplum
mhendislerinin kiralk
posta kutusu iin kullandklar terim. Yaygn olarak
sahte isimle kiralanr ve
kurbann gndermeye ikna
edildii evraklar ya da
paketleri almak iin
kullanlr.
Maliyet merkezi kodu ve dahili telefon

numaralarnn dnda, ie yaramaz gibi
i|ornen baka hangi bilgiler rakibiniz iin son derece deerli olabilir?
Peter Abel'in Telefon Grmesi

- Merhaba, der hattn br ucundaki ses.
- Ben Parkhurst Seyahat Acentas'ndan Tom. San Francisco biletleriniz hazr. Onlar size gnderelim mi yoksa kendiniz mi gelip almak
istersiniz?
- San Francisco mu? der Peter.
irket rehberi birka gn sonra geldiinde, Didi beklediinden daha da

baarl olduunu grd: Rehberde yalnzca adlar ve telefon numaralar
listelenmekle kalmam, kimin kimin iin alt da gsterilmiti.
Tm irketin kurulu emas elindeydi.
Ve kolay elde edilemeyen nemli bir

dlflor ara da, toplum mhendisinin
yoflu almalarla ve gemi nesillerin
yi dolandrclarnn kda dklmemi
lnriyimlerinden ders alarak gelitirdii
Inlfuanlk becerileridir.
25
'::
'
..
'
".
Bu toplum mhendislii saldrsnda Didi, hedef irketin ayr

Dlmnn telefon numaralarn elde ederek ie koyuldu, istedii
numaralar sr olmad iin bu kolayd, zellikle de alanlar iin. Bir
toplum mhendisi ierden biriymi gibi konumay renir ve Didi bu
oyunda becerikliydi. Telefon numaralarndan biri onu bir maliyet merkezi
koduna ynlendirmi, o kodu da irketin telefon rehberinden bir kopya
almak iin kullanmt.
ihtiyac olan temel aralar; arkadaa davranmak, biraz irket ii terimleri kullanmak ve son kurbanda uygulad, iin iine kk, szel
gz krpmalar kartrmakt.
-. '
- Ben San Francisco'ya gitmiyorum ki.

- Siz Peter Abel msnz?
- Evet, ama yapmay dndm bir yolculuk yok.
- Hm, der arayan, dosta glerek.
- Yani San Francisco'ya gitmek istememekte kararlsnz, yle mi7
- Eer patronumu kandrabilirseniz ... der Peter, oluan tatl sohbete
uyum salayarak.
.
- Bir karklk var gibi grnyor, der arayan.
- Sistemlerimizde yolculuk ayrntlarn zlk numarasna gre
sralyoruz. Belki birileri yanl numaray kullanmtr. Sizin Sosyal
Gvenlik Numaranz nedir?
Peter nazik bir ekilde numaray verir. Neden olmasn? Doldurduu,
neredeyse her alan fc-munun zerine bu numaray yazar ve irkette-
Mitnick Mesaj:
'Tpk bir bulmacann paralar gibi her bilgi kendi bana ilgisiz durabilir.
Ancak paralar bir araya getirildiinde, ak bir resim oluur. Bu olayda
toplum mhendisinin grd resim irketin i yapsnn tamam olmutur.
26
Aldatma Sanat
Mitnick Mesaj:
ykn ana fikri: stekte bulunan kiinin sesini tanmyorsanz ve istemek
iin bir nedeni yoksa, hi kimseye kiisel ya da irket ii bilgileri ve tanmlayclar vermeyin.
ki pek ok insann bunu renme ans vardr; insan kaynaklarnn,

maa servisinin ve doal olarak dardaki bir seyahat acentasnn da.
Kimse Sosyal Gvenlik Numaras'm sr gibi saklamaz. Ne fark eder ki?
Yant bulmak zor deil. Etkili bir canlandrma (toplum mhendisinin
kendini baka birinin klna sokmas) iin iki- para bilgi fazlasyla yeterlidir. Yar yeterlilikte bir toplum mhendisi, bir alann adn,
telefon numarasn, Sosyal Gvenlik Numaras'n -ve ii salama
almak iin yneticisinin adn ve telefon numarasn- elde ettikten
sonra, sradaki hedefine ynelirken kendini inandrc gstermek iin
ihtiyac olabilecek her eyle donanm olacaktr.
Eer irketinizin baka bir blmnden olduunu syleyen biri dn
aram, makul bir neden vermi ve zlk numaranz sormu olsayd,
bu bilgiyi ona vermekte tereddt eder miydiniz?
- B arada, Sosyal Gvenlik Numaranz neydi?
Aldatmacann Engellenmesi
irketinizin, herkese ak olmayan bilgilerin ktye kullanlmasndan
doabilecek ciddi sorunlara kar alanlarn bilgilendirme sorumluluu
vardr. zerinde dnlm bir bilgi gvenlii politikas, dzgn bir bilgilendirme ve eitimle birleince irket bilgilerinin doru kullanmyla ilgili
alan bilinci grnr ekilde artacaktr. Bir veri snflandrma politikas,
bilgi vermeye ynelik uygun denetimler getirilmesine yardmc olacaktr.
Veri snflandrma politikas olmadan, tm irket ii bilgilerin -aksi belirtilmedii srece- gizli olarak deerlendirilmesi gerekecektir.
irketinizi zararsz gibi grnen bilgilerin dar szmasndan korumak iin unlar yapn:
Bilgi Gvenlii Birimi'nin, toplum mhendislerinin kulland yntemleri anlatan bilgilendirme eitimleri dzenlemesi gerekir.
Yukarda anlatld zere, yntemlerden biri, hassasm gibi
durmayan bir bilgiyi elde etmek ve bunu ksa vadede gven
yaratmak iin bir poker markas gibi kullanmaktr. Telefonla
arayan birinin, irket sreleri, terimler ve irket ii tanmlayclar
konusunda bilgili olmasnn ne ekil ve tarzda olursa olsun istek
sahibini gerek klmadndan ya da bir eyi bilmesi gerektii
27
konusunda onu yetkili konuma getirmediinden tek tek her

alann haberdar olmas gerekir. Arayan kii eski bir alan ya
<l; gerekli irket ii bilgilere sahip bir szlemeli olabilir. Buna
ilrc, her kurulu, tanmad insanlarla telefonda ya da yzyze
iletiim kurarken alanlarnn kullanmas gereken uygun kimlik
tospit yntemini belirleme sorumluluuna sahiptir.
Mir veri snflandrma politikas tasarlamakla ykml kii ya da
kimiler, zararsz gibi grnen ama hassas bilgilere eriimi olan
alanlara ulalmasn salayabilecek ayrntlar gzden
geirmelidirler. ATM kartnzn ifresini hibir zaman dar vermemenize karn, irket yazlm rnlerini gelitirmek iin kullandnz sunucunun hangisi olduunu birine syler misiniz? Bu
bilgi, irket ana eriim hakk varm gibi davranan biri tarafndan kullanlabilir mi?
na/en irket ii terimleri bilmek bile toplum mhendisinin daha
otoriter ve bilgili grnmesini salayabilir. Saldrgan, kurbanlarn
ikna etmek iin her an olabilecek bu yanl anlamaya sk sk
bavurur. rnein, ye yeri Numaras, bir bankann Yeni
Hesaplar biriminde insanlarn her gn, zerinde pek fazla dnmoden kullandklar bir tanmlaycdr. Ancak byle bir tanmlaycnn bir paroladan fark yoktur. Eer her bir alan bu tanmlaycnn anlamn kavramsa -yani istek sahibinin gerek olup
olmadn kantlamak iin kullanlyorsa- o zaman bu veriye
daha saygyla bakabilirler.
Hibir irket -en azndan birka tanesi- genel mdrlerinin ya da
ynetim kurulu bakanlarnn dorudan telefon numaralarn
dar vermezler. Buna karn, ou irkette, ou birim ve alma grubunun telefon numaralarn dar -zellikle de dier bir
alana ya da alan gibi grnen birine- vermekle ilgili bir ekince yoktur. Alnabilecek bir nlem: alanlarn, szlemelilerin, danmanlarn ve geici grevlilerin dahili telefonlarnn
bakalarna verilmesini yasaklayan bir ynetmelii yrrle
koyun. Daha da nemlisi, telefon numaras soran kiinin gerekten bir alan olup olmadn tam olarak belirlemek iin adm
adm bir sre gelitirin.
alma gruplarnn ve birimlerin muhasebe hesap numaralar
da, (ister basl, ister veri dosyas ya da intranet zerinde elektronik telefon defteri olsun) telefon rehberleri kadar sk, toplum
mhendislerinin hedefi olmaktadrlar. Her irketin bu tarz bilgilerin dar verilmesiyle ilgili iyi anlatlm, yazl bir kurallar
Inilnne ihtiyac vardr. Alnacak nlemler arasnda, hassas bilgilerin irket dndan insanlara verildii durumlarn not edildii
bir kayt defterinin tutulmas da olmaldr.
28
Aldatma Sanat
Mitnick Mesaj:
Eski bir deyite de ifade edildii gibi: Gerek paranoyaklarn bile biivk
olaslkla dmanlar vardr. Her iletmenin de dmanlar olduunu, irket
srlarn tehlikeye sokmak amacyla a altyapsna saldrabilecek saldrganlar bulunduunu varsaymalyz. Sonunuz bir bilgisayar sular istatistii
olmasn, iyi dnlm gvenlik kurallar ve sreleri araclyla uygun
denetimleri yerletirerek gerekli savunmalar kurmann zaman geldi de
geiyor bile.
Sosyal Gvenlik Numaras gibi bilgiler, tek balarna bir tanmlama arac olarak kullanlmamaldrlar. Her alan yalnzca istek
sahibinin kimliini dorulamakla kalmamal, ayn zamanda
istein nedenini de sorgulamaldr. Gvenlik eitimleriniz srasnda alanlarnza u yaklam retmeyi deneyin: Ne zaman
tanmadnz biri size bir soru sorar ya da sizden yardm isterse,
hereyden nce istek onaylanana kadar nazike geri evirmeyi
renin. Sonra -bay ya da bayan Yardmsever olma ynndeki
doal drtnze yenik dmeden nce- onaylama ve irket ii
verilerin darya verilmesiyle ilgili ynetmelikleri ve sreleri
uygulayn. Bu yaklam, bakalarna yardm etmeye ynelik
doal eilimimize ters debilir, ancak salkl, azck bir phecilik, toplum mhendisinin bir sonraki kurban olmaktan kurtulmanz salayabilir.
Bu blmdeki yklerin de gsterdii gibi zararsz zannettiiniz bilgiler irketinizin en nemli srlarnn anahtar olabilirler.
DORUDAN SALDIRI:
YALNIZCA STEYVERMEK
I'ek ok toplum mhendislii saldrs karmaktr. Bir teknik bilgi ve
dtlavore karmnn kullanld bir dizi aama ve ayrntl planlama
l.t.
Ama becerikli bir toplum mhendisinin zaman zaman amacna
li'.ilo, kolayca ve laf dolandrmadan ulamasn da her zaman arpc
llmuijumdur. Greceiniz gibi, bilgiyi dorudan isteyivermek bile tek
| :,..) yeterli olabilir.
Bir MHBM Marifeti

Birinin rehberde gemeyen telefon numarasn m renmek istiyorMIMII/? Bir toplum mhendisi size, bir ksmn bu kitabn sayfalarnda da
bulabileceiniz, eitli yntemler sralayabilir, ancak byk olaslkla en
h.sil yntem tek bir telefon konumas yapmaktr. Tpk aada
.l,lkl gibi.
Numara Ltfen
Saldrgan zel bir telefon irketinin MHBM (Mekanik Hat Belirleme
Mm kezi) numarasn evirir ve telefonu aan kadna yle der:
"Merhaba, ben Paul Anthony. Kablo tamircisiyim. Bir sorunum var,
burudaki bir terminal kutusu bir yangnda yanm. Polisler, manyan
birinin sigortadan para alabilmek iin evini yaktn dnyorlar. Btn
bu iki yz hatlk terminalin tmn yeniden balamam iin beni burada
lok bama braktlar. u anda gerekten ok yardma ihtiyacm var.
(i/23 South Main'de hangi hatlarn alr durumda olmas gerektiini
bana sylebilir misin?"
Telefon irketinin dier birimlerinde, aranan kii, rehberde
demeyen numaralarla ilgili ters sorgulama bilgilerini yalnzca irketin
yi ikili personeline vermeleri gerektiini bilirler. Ancak MHBM'nin de yalnzca irket alanlar tarafndan biliniyor olmas gerekir. Darya hibir zaman bilgi vermiyor olsalar da, ar bir iin altndan kalkmaya
alan baka bir irket alanna biraz yardm edilmesine kim itiraz
odelilir ki? Kadn, adamn durumuna zlr. Kendisinin de ibanda
/, gnler geirdii olmutur ve zor durumda olan baka bir alana
yardm edebilmek iin kurallar birazck esnetir. Ona kablo iftlerini
syler ve o adrese bal tm ak numaralar verir.
30
Aldatma Sanat
AAitnick Mesaj:
Yanmzdaki adama gvenmek insan doasnn bir parasdr, zellikle de
talep saduyulu olup olmadmz lyorsa. Toplum mhendisleri bu
bilgiyi, kurbanlarn smrmek ve amalarna ulamak iin kullanrlar.
A l d a t m a c a ' n n ncelenmesi
Bu yklerde sk sk greceiniz gibi, b'r irkette kullanlan terminolojiyi ye irket yapsn -eitli brolarn ve birimlerini, her birinin ne
yaptn ve hangi bilgileri tuttuklarn- bilmek baarl bir toplum mhendisinin kulland aralarn nemli bir ksmn oluturur.
Gen Bir Kanun Kaa

Kendisine Frank Parsons diyeceimiz bir adam yllardr polisten kamaktayd ve Federal Hkmet tarafndan, hl, 1960'larda sava kart
bir yeralt rgtnn yesi olduu gerekesiyle aranyordu. Lokantalarda
kapya dnk otururdu ve dier insanlarn sknt verici bulduu, arada bir
omuzunun zerinden geriye bakma huyu vard. Birka ylda bir tanrd.
Arada bir yerde, Frank kendini daha nce bulunmad bir ehirde
buldu ve i aramaya koyuldu. Gelimi bilgisayar becerilerine sahip olan
(ayn zamanda gelimi toplum mhendislii becerilerine de sahipti, ancak
bunlar i bavurularnda hi belirtmiyordu) Frank gibi biri iin iyi bir i bulmak genellikle sorun olmuyordu. Ekonominin skk olduu zamanlar
dnda iyi bilgisayar bilgisi olan kiilerin yeteneklerine olan talep genellikle yksek oluyordu ve byleleri ou zaman drt ayak stne dyorlard.
Frank, yaad yerin yaknlarndaki gelir dzeyi yksek insanlara hizmet
veren byk bir bakm yurdunda yksek gelirli bir ie girme frsat buldu.
Bu iin kendisi iin biilmi kaftan olduunu dnd. Ancak bavuru evrakyla boumaya balaynca bir noktada durmak zorunda kald,
iveren ondan Adli Sicil Belgesi istiyordu ve bunu eyalet polisinden ahsen almas gerekiyordu. bavuru evraklarnn arasnda bu belgenin
istenmesi iin kullanlan matbu dileke de vard ve dilekenin zerinde
parmak izi basmak iin kk bir kutucuk bulunuyordu. Her ne kadar
yalnzca sa iaret parmann izini istiyor olsalar da, eer parmak izini
FBI veritabanndaki parmak iziyle karlatrrlarsa ksa sre ierisinde
parasn devletin dedii bir tatil kynde yemek servisi yapyor olurdu.
te yandan Frank, kk bir olaslkla da olsa, bundan syrlabileceini dnyordu. Belki de eyalet polisi parmak izi rneklerini FBI'ya higndermiyordu. Bu durumda gnderip gndermediklerini nasl renebilirdi?
Nasl m? O bir toplum mhendisiydi; nasl rendi sanyorsunuz?
Dorudan Saldr: Yalnzca isteyivermek
31
Mifnick Mesaj:
Akll bilgi dolandrclar, emniyet tekilatnn asayii salama sreleriyle
ilgili bilgi almak iin devlet, eyalet ya da yerel yetkilileri aramaktan ekinmezler. Elinde byle bir bilgiler varken toplum mhendisi irketinizin
sradan gvenlik uygulamalarn atlatabilir.
Eyalet polisine telefon etti: "Merhaba. Adalet Bakanl iin bir alma
yapyoruz. Yeni bir parmak izi tespit sistemi yerletirmek iin gerekli n
koullar aratryoruz. Yaplan ii iyi bilen ve bize yardm edebilecek
biriyle grebilir miyim?"
Yerel uzman telefona geldikten sonra Frank, kullandklar sistemlerle ve parmak izi verilerini saklama ve tarama kapasiteleriyle ilgili bir dizi
soru sordu. Kullandklar donanm hi onlara sorun karm myd?
Ulusal Su Bilgileri Merkezi'nin (USBM) Parmak izi Tarama A'na m
balydlar yoksa yalnzca eyaletinkine mi? Donanm herkesin
renebilecei kadar kolay bir kullanma sahip miydi?
Anahtar soruyu dierlerinin arasna kurnazca sktrmt.
Ald yant kulana mzik gibi geldi. Hayr, USBM'ye bal deillerdi, ellerindekini yalnzca eyaletin Su Bilgileri Dizini'yle karlatryorlard. Frank'in de tm bilmek istedii buydu. Bulunduu eyalette su
kayd yoktu, bylece bavurusunu yapt, ie alnmt ve hi kimse bir
gn masasnn bana dikilip de ona, "Bu beyler FBI'dan geliyorlar,
seninle konumak istiyorlarm," demedi.
Ve kendi sylediine baklrsa iyerindeki herkese rnek bir
alann nasl olmas gerektiini gstermiti.
Kapnn n
Kt kullanlmayan ofis inancna karn iketler her gn yzlerce
sayfa kt tketiyorlar. irketinizdeki basl bilgiler, gvenlik nlemleri
alp zerine "gizlidir" damgas vursanz da, ak bir nokta oluturabilirler.
ite size, toplum mhendislerinin en gizli belgelerinizi nasl ele
geirdiklerini anlatan bir hikye.
Hat evirme Dalaveresi

Telefon irketi her yl Deneme Numaralan Rehberi adnda bir
kitapk karr (ya da en azndan eskiden karrlard, artl tahliye
srem henz dolmad iin karmaya devam edip etmediklerini sormayacam). Bu kitapk, telefon beleilerinin el stnde tuttuklar bir
belgedir, nk irket grevlilerinin, teknisyenlerinin ve dierlerinin
Minick Mesaj:
Bilgi varlklarn korumaya ilikin irket kurallaryla ilgili gvenlik eitimleri, yalnzca irketin BT varlklarna elektronik ya da maddi eriimi olar
alanlara deil, irketteki herkese ynelik olmaldr.
srekli megul alan numaralan ya da ehirleraras hatlar kontrol
etmek iin kullandklar, zenle korunan telefon numaralaryla doludur.
Bu numaralardan, telefon beleileri argosunda hat eviren olarak
bilinen bir tanesi zellikle ok kullanlyd. Telefon beleileri, kendileri
tek kuru para demeden, konuacak baka telefon beleileri bulmak
iin bunu kullanrlard. Bu numara ayn zamanda, rnein bir bankaya
vermek zere, geri arama numaras yaratmak iin de kullanlrd. Bir
toplum mhendisi bankadaki birine ona ofisinden ulalabileceini
syleyerek bu numaray verirdi. Banka, numaray kontrol etmek zere
telefon ettiinde (hat evirme), telefon beleisi telefona cevap verebilir,
izi srlemeyecek bir telefon numaras kullanmann salad korumadan da yararlanm olurdu.
Bir Deneme Numaralan Rehberi, bilgiye a ve testosteronu tavana vurmu herhangi bir telefon beleisi tarafndan kullanlabilecek bir sr harika bilgi ierir. Bu yzden her yl yeni rehberler ktnda, hobileri telefon
an kefetmek olan bir yn gen derhal bu rehberlerin peine der.
Stevie'nin Oyunu
, "' ." .
'' '
Telefon irketleri doal olarak bu kitapklar kolay ulalabilir yerlere

koymaz, bu yzden telefon beleilerinin bir tane elde edebilmeleri iin
yaratc olmalar gerekir. Bunu nasl yaparlar? Kafasn rehberi ele
geirmeye takm hevesli bir gen aadaki gibi bir oyun oynayabilir.
Bir gn, gney California sonbaharnn serin akamlarndan birinde,
kendisine Stevie diyeceimiz biri, kk bir telefon irketinin genel
mdrln arar. Hizmet blgesi ierisindeki tm evlere ve i yerlerine
telefon hatlar da bu binadan dalmaktadr.
,
Grev bandaki teknisyen telefonu atnda, Stevie telefon irketinin basl malzemelerini basp datan blmnde altn aklar.
"Yeni Deneme Numaralar Rehberiniz hazr," der. "Ancak gvenlik
gerekeleriyle eskisini geri almadan yenisini veremiyoruz.
Datmcmzn ii de olduka uzad. Eer sizdeki rehberi kapnzn
nne brakabilirseniz, geerken eskisini alp yenisini brakabilir, sonra
da kendi iine bakar."
Hibir eyden kukulanmayan teknisyen bunun uygun olduunu
dnm olmaldr ki, isteneni tam olarak yapar. Kapanda byk kr-
Dorudan Saldr: Yalnzca isteyivermek
33
- z harflerle, "GZLDR VE RKET KULLANIM NDR-HTYA

KALMADII TAKDRDE, BU BELGE KAIT TME MAKNASINDA
CGTLMELDR," uyars bulunan rehberi binann nne koyar.
Stevie arabasyla gelir ve park edilmi arabalarn iinde bekleyen ya
;s aalarn arkasna saklanm polis ya da irket gvenlik elemanlarna kar etraf dikkatle kolaan eder. Grnrde kimse yoktur. Rahat
tavrlarla ihtiyac olan rehberi alr, arabasna biner ve gider.
ite size, bir toplum mhendisinin "yalnzca isteyivermek" gibi basit
Dir yntemi kullanarak istediklerini ne kadar kolay elde edebildiini
gsteren bir hikye daha.
Gaz Saldrs
Bir toplum mhendislii senaryosunda tehlikede olan yalnzca irket
varlklar deildir. Bazen kurbanlar irket mterileridir. Mteri hizmet
temsilcisi olarak almann getirdii skntlar, neeli anlar ve masum
hatalar vardr. Ancak bu hatalarn bazlar irket mterileri iin kt
sonular dourabilir.
Janie Acton'un yks

Janie Acton, yldan biraz fazla bir sredir, Washington'daki
Hometown Elektrik irketi'nde mteri hizmet temsilcisi olarak bir ofis
blmesini igal etmektedir. Akl ve alkanlyla, en iyi mteri
hizmet temsilcilerinden biri olarak grlmektedir.
Sz konusu telefon geldiinde kran Haftas'dr. Arayan yle der,
"Ben Eduardo, Faturalama Blm'nden. Telefonda bir hanm var,
genel mdr yardmclarndan birinin zel kaleminde sekreter. Bir
bilgiye ihtiyac var ve ben bilgisayarm kullanamyorum. nsan
Kaynaklarndaki u kzdan 'SENSEVYORUM' diyen bir e-posta
aldm ve ekini atmda, bir daha bilgisayarm kullanamaz oldum.
Vrsm. Basit bir virs tarafndan avlandm. Herneyse, benim iin
baz mteri bilgilerine bakabilir misin?
"Elbette," diye yantlad Janie. "Bilgisavarn m kertti? Korkun
bir ey bu."
"Evet."
"Naslyardmc olabilirim?" diye sordu Janie.
Bu noktada saldrgan kendim inanlr klmak iin daha nce yapt
aratrmalara bavurdu. stedii bilginin Mteri Fatura Bilgileri
Sistemi denen bir yerde tutulduunu ve alanlarn bu sisteme ne ad
verdiklerim renmiti. "MFBS'den bir hesap numarasna bakabilir
misin?" diye sordu telefondaki adam.
"Evet, hesap numaras nedir?"
"Numaray bilmiyorum. simden sorgulaman gerekecek. "
'.
"Tamam, isim nedir?"

"Heather Marning. " smin harflerini kodlad ve Janie de ismi bilgisayara girdi.
"Tamam. Geldi."
'
"Harika. Hesap geerli mi?"
'
,
"H h, geerli."
.'.,
"Hesap numaras nedir?" diye sordu adam.
,:
"Kalemin var m?"

"Hazrm."
'
. .
"Hesap numaras, BAZ6573NR27Q."

Adam numaray tekrarlad, sonra da, "Hizmet adresi nedir?" diye
sordu.
, Kadn ona adresi verdi.
"Telefon numaras nedir?"
'..;.
Janie nazik bir ekilde o bilgiyi de okudu.

Arayan teekkr etti, hoakal dedi ve telefonu kapad. Janie beklemedeki aramaya yant verdi ve konunun stnde de hi durmad.
Art Sealy'nin Aratrma Projesi

Art Sealy, yazarlar ve iletmeler iin aratrma yaparak daha ok
para kazanabileceini renince, kk yaynevleririe serbest editr
olarak almay brakmt, iin onu, yasallk ve yasadlk arasndaki
ince izgiye yaklatrd oranda cretinin de artabileceini ksa srede
fark etti. Art, hi farknda olmadan ve kesinlikle yaptna bir isim vermeden bir toplum mhendisi olmutu. Her bilgi simsarnn bildii btn
teknikleri kullanyordu. Yapt ie ynelik doal bir yeteneinin olduu
ortaya kt. Pek ok toplum mhendisinin bakalarndan rendii
teknikleri kendi bana kefediyordu. Bir sre sonra en ufak bir sululuk
duymadan o ince izgiyi at:
Nixon dnemi kabinesiyle ilgili kitap yazan bir adam beni arad.
Nixon'un Hazine Mstear olan VVlliam E. Simon'la igili zel bilgilere
ulaabilecek bir aratrmac aryordu. Bay Simon artk yaamyordu
ama yazarn elinde onunla birlikte alm bir kadnn ad vard.
Kadnn bakentte oturmaya devam ettiinden de olduka emindi,
ancak adresini bulamamt. Kadnn adna, en azndan rehberde olanlar arasnda, kaytl bir telefon yoktu, ite o zaman beni aramt. Ona
kesinlikle-yapabilebileceimi, sorun olmayacan syledim.
Eer ne yaptnz biliyorsanz, ounlukla bir-iki telefon grmesiyle bulabileceiniz bir bilgiydi bu. Her yerel hizmet irketinin bu bilgiyi
itnick Mesaj:
Btn toplum mhendislii saldrlarnn, tamamlanmadan farkedilecek kadar
karmak dzenler ierdiklerini sakn dnmeyin. Bazlar gir-k ya da vrka eklinde ok basit saldrlardr ve . . . ksacas, yalnzca istemek zerine
kuruludurlar.
ou zaman paylaacandan emin olabilirsiniz. Doal olarak biraz zrvalamanz gerekir. Arada bir kk beyaz yalanlar sylemenin kime ne
zarar dokunabilir ki?
ileri ilgin klmak iin her seferinde farkl bir yntem kullanmak
houma gider.
"Ben ynetim katndan bilmem kim," numaras bende hi amamtr. "Genel mdr yardmcs bilmem kimin ofisinden biri u anda
dier hatt bekliyor," numaras da iyidir ve bu olayda da ie yaramtr.
Telefonun dier ucundaki kiinin ibirlii yapmaya ne kadar eilimli
olduunu hissedecek kadar toplum mhendislii igdnz gelitirmi
olmanz gerekir. Bu kez arkada canls yardmsever bir hanma rast
geldim. Tek bir grmede adresi ve telefon numarasn almtm.
Grev tamamlanmt.
Janie mteri bilgilerinin ne kadar hassas olduunu kesinlikle biliyordu. Bir mterinin bilgilerini baka bir mteriyle hibir zaman paylamaz ya da zel bilgileri dar vermezdi.
Ancak doal olarak irket iinden arayan biri iin farkl kurallar
geerliydi. Bir mesai arkada iin bu birtakm oyunu meselesiydi ve ii
bitirmek karlkl yardmlamaya dayanyordu. Faturalamadaki adam
eer bilgisayar bir virs yznden kmemi olsayd ilgili bilgileri kendi
de bulabilirdi; bu yzden Janie bir i arkadana yardm edebilmi
olmaktan memnundu.
Art, peinde olduu kilit bilgilere ularken yava yol ald ve hesap
numaras gibi aslnda ihtiyac olmayan eylerle ilgili sorular da sordu.
Ancak, ayn zamanda hesap numaras bilgisi emniyet sbab grevi de
gryordu. Eer grevli kukulanacak olsayd, ikinci bir grevliyi arayacakt ve bylece baar ans daha ykselecekti, nk hesap
numarasn bilmek ulaaca bir sonraki grevliye kendini daha da
inandrc gstermesine yardmc olacakt.
Birilerinin bu bilgiler iin yalan syleyebilecei, yani arayann
gerekte faturalama blmnden biri olmayabilecei, Janie'nin hi akl-
36
Aldatma Sanat
na gelmemiti. Su elbetteki Janie'nin deildi. Bir mteri dosyasndaki

bilgileri paylamadan nce kiminle konutuundan emin olmas
konusunda kimse onu bilgilendirmemiti. Kimse ona Art'n yapt gibi
bir telefon grmesinin oluturabilecei tehlikelerden sz etmemiti.
irket kurallar arasnda da yoktu, eitimini de almamt ve yneticisi
de bundan hi bahsetmemiti.
,
Gvenlik eitimlerinde aktarlmas gereken bir nokta: Telefonla
arayan birinin ya da bir ziyaretinin, irketteki baz kiilerin adlarn ya
d irket ii terimleri ya da sreleri biliyor olmas, onun iddia ettii kii
olduunu gstermez. Ve bu onu kesinlikle ticari bilgilerin ve bilgisayar
sistemine ya da ana eriim hakknn verilebilecei, yetkili biri durumuna da getirmez.
Gvenlik eitiminin unu vurgulamas gerekir: Bir kukun varsa,
kontrol et, kontrol et, kontrol et.
ilk zamanlarda irket iinde bir bilgiye ulamak bir konum gstergesiydi ve bir ayrcalkt. iler kazanlar doldururlar, makineleri altrrlar, mektuplar yazarlar ve evraklar dosyalarlard. Ustaba ya da
patron onlara neyin, ne zaman ve nasl yaplacan sylerdi. Bir
vardiyada her iinin ka alet yapacan; bu haftay, gelecek haftay ve
ayn sonunu karmak iin fabrikann hangi boyut ve renklerde ve ka
tane alet retmesi gerektiini ustaba ya da patron bilirdi.
iler makineleri, ara ve gereleri; patronlar ise bilgiyi kullanrlard,
iilerin yalnzca, yaptklar ie zg bilgilere ihtiyalar vard.
Gnmz tablosu biraz farkl, yle deil mi? Pek ok fabrika iisi bir
eit bilgisayar ya da bilgisayarla alan makine kullanmaktadr.
Sorumluluklarn yerine getirerek ileri yrtebilmeleri iin, hassas bilgiler i bandaki kullanclarn bilgisayarlarna kadar iner. Bu durum i
gcnn byk ounluu iin ayndr. Bugnn ortamnda alanlarn
yapt neredeyse her ey bilgi kullanmn iermektedir.
..
Bu yzden irket gvenlik kurallarnn konumdan bamsz olarak
tm kurum iine datlmas gerekmektedir. Bir saldrgann peinde
olduu bilgilere yalnzca amirlerin ve st yneticilerin sahip olmadn
herkesin anlamas arttr. Bugn her dzeydeki alanlar, hatt bilgisayar kullanmayanlar bile, hedef olmaya aktrlar. Mteri hizmetleri
blmnde ie yeni balam bir mteri temsilcisi, bir toplum mhendisinin amacna ulamak iin krmak isteyecei zayf halka olabilir.
Gvenlik eitimi ve irket gvenlii kurallar bu halkay glendirmelidir.
GVEN UYANDIRMAK
Bu yklerden bazlar, i dnyasndaki herkesin szme salak
olduuna ve mesleiyle ilgili her srr dar vermeye hazr, hatt istekli
olduuna inandm dnmenize neden olabilir. Toplum mhendisi
Dunun doru olmadn bilir. Neden toplum mhendislii saldrlar bu
kadar baarl oluyor? nsanlar salak ya da saduyusuz olduu iin
deil. Ancak bizler aldatlmaya fazlasyla az, nk insanlar belli
ekillerde ynlendirilirlerse yanl eylere gven duyabiliyorlar.
Toplum mhendisi, kar taraftan kuku ve direni bekler ve her
zaman gvensizlii gvene dntrmeye hazrdr, iyi bir toplum
mhendisi, saldrsn bir satran oyunu gibi planlar ve doru yantlar
verebilmek iin hedefinin sorabilecei sorular nceden tahmin eder.
En ok kullanlan yntemlerden biri, kurbanda gven duygusu
uyandrmaktr. Bir dolandrc ona inanp gvenmenizi nasl salayabilir
ki? inann bana, bunu yapabilir.
Gven: Aldatmann Anahtar

Bir toplum mhendisi, kurduu iletiimi ne kadar olaan bir imi gibi
gsterebilirse, oluan pheleri de o kadar kolay bastrabilir. nsanlarn
kukulanmak iin bir nedenleri olmazsa, toplum mhendisinin, onlarn
gvenini kazanmas daha kolay olur.
Bir kez gvenlerini kazandktan sonra, kpr iner ve kalenin kaplar ardna kadar alr. Bylece toplum mhendisi ieri girip istedii bilgiyi alabilir.
I yklerin ounda, toplum mhendislerine, telefon beleilerine ve dolandrclara bir erkekmi gibi gnderme yaptm dikkatinizi
ekmi olabilir. Bu ovenizm deildir; yalnzca, bu alanlarda alanlarn
ounun erkek olduu gereini vurgular. Her ne kadar ok fazla kadn
toplum mhendisi olmasa da, saylan giderek artmaktadr. Darda,
sadece telefonda bir kadn sesi duyduunuz iin yelkenleri suya indirmemenizi salamaya yetecek kadar ok dii toplum mhendisi vardr.
Dorusunu isterseniz, kadn toplum mhendisleri, ibirlii salamak iin
cinselliklerini kullanabildiklerinden, belirgin bir stnlkleri de yok
deildir. Bu sayfalarda bu kadnlarn birkandan sz edildiini de greceksiniz.
lk Grme: Andrea Lopez

Andrea Lopez, alt video kiralama maazasnda alan telefona
bakt ve ksa bir sre sonra glmsemeye balad. Bir mterinin iini
gcn brakp hizmetten ne kadar memnun kaldn sylemek iin
, aradn duymak gibisi yoktu. Bu arayan, maazayla i yapmaktan ok
memnun kaldn ve yneticiye bir mektup gndermek istediini
sylemiti.
Yneticinin adn ve adresini sormu, Andrea da ona yneticinin adnn
Tommy Allison olduunu sylemi ve adresi vermiti. Arayan tam telefonu kapayacakken aklna baka bir ey gelmi ve,
- irket genel mdrlne de birka satr yazabilirim. Maaza
kodunuz nedir, diye sormutu. Kadn ona maaza kodunu da verdikten sonra adam teekkr etmiti. Kendisine ok yardmc olduu iin
grevliye gzel bir eyler daha syledikten sonra iyi gnler dileyerek
telefonu kapatmt.
"Byle bir telefon, her zaman mesainin daha hzl gemesini salyor.
nsanlar bunu daha sk yapsalar ne kadar gzel olur." diye dnmt
Andrea.
kinci Grme: Ginny

- Stdio Video'yu aradnz iin teekkrler. Ben Ginny, nasl
, yardmc olabilirim?
- Merhaba, Ginny, dedi arayan, heyecanla. Sesi Ginny'le daha nce
her hafta konumu gibi geliyordu.
- Ben Tommy Allison, Forest Park, 863 kodlu maazann mdr.
Burada Roclcy V'i kiralamak isteyen bir mterimiz var ve bizdeki tm
kopyalar darda. Sende olup olmadna bakabilir misin?
Ginny biraz sonra yeniden telefonu eline ald ve,
- Evet, bizde kopya var, dedi.
- Tamam. Mteriye oraya gidip gidemeyeceini soracam. Teekkr
ederim. Eer bizim maazadan bir eye ihtyiacm olursa, arayp
Tommy'i istemen yeterli. Senin iin elimden geleni yapmaktan memnun olacam.
Sonraki birka hafta boyunca Tommy, bir takm konularda yardm
etmesi iin Ginny'i -drt kere daha arad. stekleri mantkl eylerdi
ve kendisine asld duygusunu uyandrmadan her zaman Ginny'e
arkadaa davranyordu. Arada biraz gevezelik de ediyordu. "Oak
Park'taki byk yangn duydun mu? Bir sr yolu kapatmlar" gibi
eylerden sz ediyordu. Bu aramalar gnn duraanlndan biraz uzaklama frsat tanyordu ve Ginny onun aramasndan her zaman memnun
kalyordu.
Bir gn Tommy'nin sesi gergindi.
Gven Uyandrmak
39
- Sizin bilgisayarda bir sorun var m? diye sordu.

- Hayr, diye yantlad Ginny.
- Neden?
- Adamn biri arabasn bir telefon direine arpm. Telefon irketinden gelen tamircinin sylediine gre ehrin bit blgesi onarm
tamamlanana kadar telefonlarm ve internet balantlarm kullanamayacakm.
- Oh, ok kt. Adam yaralanm m?
- Cankurtaranla gtrdler. Her neyse biraz yardmn isteyebilirim.
Burada Godfather H'yi kiralamak isteyen bir mteriniz var ve kredi
kart yannda deil. Bilgileri benim iin kontrol edebilir misin?
- Elbette.
Tommy mterinin adn ve adresini verir. Ginny de adam bilgisayardan bulup, mteri numarasn Tommy'e syler.
- Ge getirmeleri ya da maazaya borcu var m?" diye sorar Tommy.
- Grnen bir ey yok.
- Tamam, harika. Ona burada kat zerinde bir mteri numaras
vereceim. Daha sonra bilgisayarlarmz yeniden almaya
baladnda veritabanmza da eklerim. demesini sizin maazada
kulland kredi kartyla yapmak istiyor ama kart yannda deilmi.
Kart numaras ve son kullanma tarihi nedir?
Ginny son kullanma tarihiyle birlikte kart numarasn da ona verir.
- Yardmn iin teekkrler. Yaknda grrz, der Tommy ve telefonu kapatr.
Doyle Lonnegan'sn yks

Lonnegan, kapnz atnzda karnzda grmek isteyeceiniz trden bir adam deil. Bir zamanlar denmeyen kumar borlarn toplama
iini yapan Doyle Lonnegan, kendi ban belaya sokmad srece,
arada bir birilerine yardm etmeyi de srdrmekteydi. Bu olayda, bir
video maazasn birka kez telefonla aramas iin ona hatr saylr bir
miktar para nerilmiti. Kulaa olduka kolay geliyordu. Sorun "mterilerinden" hibirininin byle bir dolabn nasl evrileceini bilmemesinden kaynaklanyordu. Lonnegan'n yeteneine ve bilgisine sahip birine
ihtiyalar vard.
nsanlar poker masasnda anssz olduklarnda ya da samaladklarnda bahislerini karlamak iin ek yazmazlar. Bunu herkes bilir.
Benim arkadalarm, elindeki paray masaya koymayan bir katyla
neden srekli kumar oynarlar ki? Sormayn. Belki de kafalarnda birka
tahta eksiktir. Ama onlar benim arkadalarm; elden ne gelir?
Adamn paras yokmu; bu yzden de ek almlar. u ie bakn!
40
Aldatma Sanat
Onu alp bir ATM'ye gtrmeliydiler. Yapmalar gereken ey buydu. Ama

hayr; ek aldlar. Hem de tam 3.230 dolarlk!
Doal olarak, ek karlksz kt. Ne bekliyordunuz ki? O zaman
beni aradlar; yardm edebilir miymiim? zerlerine kap kapayarak
insanlarn ellerini ezme iini artk braktm. Dahas artk ok daha iyi
yntemler var. Yzde 30 komisyon alarak, onlara elimden geleni
yapacam syledim. Bylece bana adamn adn ve adresini verdiler
ve ben de bilgisayardan ona en yakn video kiralama maazasnn neresi olduuna baktm.
ok acelem yoktu. Maaza mdrn ho tutmak iin drt telefon
grmesi yapm ve sonra, hop, katnn kredi kart numarasn
alvermitim.
Baka bir arkadam yar plak kzlarn dans ettii bir bar iletiyordu. Elli dolar karlnda adamn poker parasn bardaki POS makinasndan ekti. Bakalm kt bunu karsna nasl aklayacak?
Bankaya bu harcamann kendisine ait olmadn syleyeceini mi
dnyorsunuz? Bir daha dnn. Bizim onu ok iyi tandmz biliyor. Ve eer kredi kart numarasna ulaabiliyorsak, bunun yansra
daha pek ok eye de ulaabileceimizi anlayacaktr. in o tarafnda
endielenecek hibir ey yok.
Tommy'nin Ginny'le yapt ilk konumalar tamamen gven uyandrmaya ynelikti. Asl saldr zaman geldiinde, kadn savunmaya
gememi ve Tommy'i iddia ettii kii, yani zincirdeki baka bir
maazann mdr olarak kabul etmiti.
Hem neden kabul etmesin ki; onu zaten tanyordu. Doal olarak
onunla yalnzca telefonda grmt ama gven duymasn salayacak kadar bir i arkadal yaps kurulmutu. Kadn onu bir kez bir
mdr, ayn irkette alan bir ynetici olarak grdkten sonra istenen
gven salanm ve gerisi tereyandan kl eker gibi olup bitmiti.
Mitnck Mesaj:
Belallar (The Sting) filmindeki gven uyandrma teknii toplum mhendislerinin en etkili taktiklerinden biridir. Konutuunuz kiiyi gerekten tanyp
tanmadnz dnmeniz gerekir. Az da olsa baz durumlarda kar taraftaki
syledii kii olmayabilir. Bu nedenle hepimizin dnmesi, incelemesi ve yetkili olduunu syleyenleri sorgulamay renmesi gerekmektedir.
Gven Uyandrmak
41
Konuya Farkl Bir Bak: Kredi Kart

Ele Geirme
Gven duygusu uyandrmak, bir nceki hikyede anlatld gibi, her
zaman bir dizi telefon grmesi yapmay gerektirmez. Bunun topu topu
be dakika tuttuu bir olay hatrlyorum.
Srpriz!
'
"
Bir keresinde bir lokantada Henry ve babasyla birlikte oturuyordum.

Sohbet srasnda Henry, kredi kart numarasn telefon numaras gibi
saa sola verdii iin babasna kzd. "Bir ey alrken tabi ki kart
numaran vereceksin" dedi. "Ama kart numaran, onu kaytlarnda
tutan bir maazaya vermek; bu ok aptalca."
"Bunu yaptm tek yer Studio Video" dedi Bay Conklin, ayn video
kiralama maazalar zincirinin adm vererek. "Ama fazla para ekii
var m diye her ay kredi kart ekstremi kontrol ediyorum."
"Elbette anlardn" dedi Henry, "ama kart numaran onlara bir kere
verdin mi, numaray birinin almas iten bile deil."
"Kt niyetli bir alan gibi mi?"
"Hayr, herhangi biri; sadece alanlar deil."
"Samalyorsun" dedi Bay Conklin.
"imdi onlar arayp, bana senin Visa numaran vermelerini salayabilirim" diye hemen atld Henry.
"Hayr, bunu yapamazsn" dedi babas.
"Be dakika iinde yapabilirim, hem de tam burada, karnda. Masay
hi terk etmeden."
Bay Conklin gzlerini ksm ona bakyordu. Kendinden emin olup da
bunu gstermek istemeyen birinin havas vard. "Sen ne sylediinin
farknda deilsin" diyerek gld ve czdann karp iinden kard
bir elli dolarlk banknotu masaya arpt. "Eer sylediini yapabilirsen, u senin."
"Paran istemiyorum baba" dedi Henry.
Cep telefonunu kard, babasna hangi maazay kullandn sordu ve
orann telefon numarasnn yansra Sherman Oaks yaknlarndaki
maazann telefonunu da renmek amacyla Bilinmeyen Numaralar'
arad.
Sonra Sherman Oaks'daki maazay arad. nceki ykde anlatlan
yaklama olduka yakn bir yntem kullanarak, hemen mdrn adn
ve maazann kodunu rendi.
Sonra da babasnn mterisi olduu maazay arad, mdrn adn
kendi adym gibi kullanp, az nce elde ettii maaza kodunu da vererek, herkesin bildii ynetici ayana yatma numarasn ekti. Ve
ayn oyunu yapt. "Bilgisayarlarnz dzgn alyor mu? Bizimkiler
gidip geliyor." Kar tarafn yantn dinledi ve sonra, "Sizin mterilerden biri buradan bir video kiralamak istiyor ama bizim bilgisayarlar
u anda km durumdalar. Mteri numarasna bakp maazanzn
mterisi olup olmadn kontrol etmenizi rica edebilir miyim?" diye
sordu.
Henry kar tarafa babasnn adn verdi. Ardndan yntemde kk bir
deiiklik yaparak, adresi, telefon numarasn ve mteri numarasnn
verildii tarihi de okumasn istedi. Sonra da, "Burada bekleyen bir
yn mterim var. Kredi kart numaras ve son kullanma tarihi
nedir?" diye sordu.
Henry bir eliyle cep telefonunu kulanda tutarken dier eliyle
peetenin zerine numaray yazd. Konumay bitirirken peeteyi
babasnn nne doru itti. Babas ise az ak bakakaltnt. Zavall
adam tamamen ok olmutu; sanki tm emniyet hissi bir darbede
yklp gitmiti.
,
. '.
Tanmadnz biri sizden bir ey istedii zaman kendi vereceiniz

tepkiyi dnn. Pejmrde grnml bir yabanc kapnza geldiinde
onu ieri alma olaslnz dktr; eer iyi giyimli, ayakkablar boyal,
salar taral, nazik tavrl ve glmseyen bir yabanc kapnza gelirse,
herhalde o kadar pheci olmazsnz. Belki de gelen aslnda Onnc
Cuma filmlerinden km Jason'dr, ama olaan grnml ve elinde
keskin bir bak tamayan biri varsa karnzda ie ona gvenerek
balarsnz.
Bu kadar belirgin olmamakla birlikte telefonda konutuumuz insanlar hakknda da benzer bir ekilde hkm veririz. Bu kii bana bir eyler
mi satmaya alyor? Arkadaa ve ak m davranyor yoksa bir bask
ve saldrganlk seziyor muyum? Eitimli biri gibi mi konuuyor? Tm
bunlar ve farknda olmadan bir dzine baka eyi daha, gz ap
kapayncaya kadar, konumann ilk anlarnda tartveririz.
iteyken insanlar srekli bizden bir eyler isterler. Bu adamn
e-posta adresi sende var m? Mteri listesinin en son ekli nerede?
Projenin bu ksmnn taeronu kim? Bana en son proje gncellemesini
gnderir misin ltfen. Kaynak kodun yeni srmne ihtiyacm var.
Ve tahmin edin ne olur: Bu istekleri aldnzn insanlar bazen ahsen tanmadnz kiiler, irketin baka bir blmnde alan ya da
orada altklarn syleyen ahslar olurlar. Ama eer verdikleri bilgi
doruysa ve konu zerinde bilgili gibi grnyorlarsa ("Marianne dedi ki
. . ."; "Dosya K-16 sunucusundaym . . ."; "Yeni rn planlarnn 26
Gven Uyandrmak
43
Mitnck Mesaj:
Aksi ynde dnmemizi gerektirecek bir ey yol<sa, kurduumuz herhangi bir
iletiimde kandrlma olaslmzn dk olduunu dnmek insan
doasnn bir gereidir. Riskleri tartarz sonra da ou zaman insanlara
gvenmeyi tercih ederiz. Medeni insanlarn davran biimi budur...en azndan
daha nce hi dolandrma, ynlendirme ve kandrma yoluyla byk paralar
kaptrmam olan medeni insanlar iin.
ocukken anne-babamz bize yabanclara gvenmememizi retmilerdi.
Belki de bu eski nasihati bugnn i ortamlarnda hepimiz hatrlamalyz.
numaral tashihi . . ."), gven emberimizi, onlar da iine alacak ekilde
geniletiriz ve hi endie duymadan istediklerini onlara veririz.
Arada bir duralayp, kendi kendimize, "Dallas fabrikasndan biri
neden yeni rn planlarn grmeye ihtiya duysun ki?" ya da "Hangi
sunucuda olduunu sylemek herhangi bir eye zarar verir mi ki?" diye
sorabiliriz. Byle bir-iki soru daha sorarz. Eer yantlar mantkl grnr
ve kar tarafn tavr da gven verici olursa kukulanmay brakr,
karmzdaki adama ya da kadna gvenme yolundaki doal eilimimize
geri dneriz. Makul snrlar ierisinde, bizden istenen neyse onu
yaparz.
Bir an iin bile saldrgann yalnzca irket bilgisayar sistemlerinde
alan kiileri hedefleyeceini dnmeyin. Ya haberleme brosundaki adam ne olacak? "Bana bir iyilik yapar msn? Bunu irket ii kurye
torbasna atabilir misin?" Haberleme odasnda alan memur torbaya
att eyin, iine genel mdrn sekreteri iin zel olarak hazrlanm
kk bir program kaydedilmi bir disket olduunu biliyor mudur acaba?
Artk saldrgan, genel mdrn e-postalarnn bir kopyasn da kendine
alabilecektir, inanlmaz! Bu gerekten sizin irketinizde de olabilir mi?
Neden olmasn?
Bir Sentlik Cep Telefonu

Pek ok insan bir mal alacaklar zaman daha ucuzunu bulana kadar
aratrrlar; toplum mhendisleri ise daha ucuzunu aramazlar, bir
rnn fiyatn daha aa ekmenin yollarn ararlar. rnein bazen bir
irket yle bir pazarlama kampanyas dzenler ki gz ard edemezsiniz.
Buna karn toplum mhendisi teklifi inceler ve bu alveriten nasl
daha kazanl kabileceine bakar.
Bir sre nce, lke apnda i yapan bir GSM operatr byk bir promosyon yapmt. irketin tarifelerinden bir tanesine abone olduunuzda
bir sent deyerek yeni bir cep telefonuna sahip oluyordunuz.
Birok insann olduka ge farkettii zere, bir cep telefonu tarifesine abone olmadan nce dikkatli bir mterinin sormas gereken bir
yn soru vardr. Hizmetin analog, dijital ya da her ikisi birden olup
olmad; sabit cretlerin ne kadar olduu gibi sorular, iin bandan,
abonelik taahhd sresinin ne kadar olduunun bilinmesi zellikle
nemlidir. Yani, ka ay ya da yl abone kalmanz gerekecek?
Philadelphia'da oturan bir toplum mhendisini hayal edin. Bir cep
telefonu irketinin abone olunduunda vereceini syledii ucuz cep
telefonunu ok beenmi, ancak telefonla birlikte sattklar tarifeden hi
holanmam. Sorun deil. te bu ii kotarmann yollarndan biri.
lk Grme: Ted
Toplum mhendisi ilk i olarak, bir elektronik eya maazalar
zincirinin West Girard'daki maazasna telefon eder.
- Electron City. Ben Ted.
- Merhaba, Ted. Ben George. Birka gn nce bir cep telefonuyla
ilgili olarak bir sat grevlisiyle konumutum. Hangi tarifeyi istediime karar verdiimde onu arayacam sylemitim ama adn
unuttum. O blmde akam mesaisinde alan adamn ad nedir?
- Birden fazla kii var. JVilliam olabilir mi?
- Emin deilim. Belki.de fVilliam'dr. Grn nasl?
- Uzun boylu. Zayfa.
- Sanrm o. Soyad ne demitin?
- Hadley. H-A-D-L-E-Y.
''''".
;,''..
'.'
- Tamam, oydu. Ne zaman orada olacak?
'
.^
!
,
:
'
'
- Bu haftaki mesai izelgesini bilemiyorum ama akamclar be gibi

gelirler.
- ok iyi. Onu bu gece bulmaya alrm o zaman. Teekkrler, Ted.
kinci Arama: Katie

Bir sonraki grme, ayn maazalar zincirinin North Broad
Caddesi'ndeki maazasyla yaplr.
- Merhaba, Electron City. Ben Katie, size nasl yardmc olabilirim?
- Katie, merhaba. Ben fVilliam Hadley, West Girard maazasndan.
ler nasl bugn?
- Biraz yava. Ne oldu?
. .
- u bir sentlik cep telefonu promosyonu iin gelmi bir mterim

var. Hangisini kastettiimi biliyorsun deil mi?
- B i l i y o r u m . G e e n hafta o n l a r d a n b i r k a t a n e s a t t m .
.'.,,"
Gven Uyandrmak
45
- O promosyon kapsamndaki telefonlardan elinde daha var m?

- Bir yn.
- Harika, nk az nce bir mteriye ondan bir tane sattm. Adam
kredi kartyla dedi; kontrat da imzaladk. Sonra depoya baktm ki
elimizde hi telefon kalmam. ok mahcup oldum. Bana bir iyilik
yapabilir misin? Telefonu almak iin mteriyi sizin maazaya gndereceim. Ona bir sent karlnda telefonu satp, fatura dzenler
misin? Bir de, nasl programlayacan anlatabilmem iin, telefonu
aldktan sonra beni aramas gerekiyor.
- Elbette. Gnder onu buraya.
- Tamam. Ad Ted. Ted Yancy.
Adnn Ted Yancy olduunu syleyen bir adam North Broad Caddesi
maazasna geldiinde, Katie bir fatura dzenler ve adama bir sent
karlnda cep telefonunu satar. Her ey "mesai arkadann" ondan
rica ettii ekilde geliir. Kadn zokay yutmutur.
deme zaman geldiinde mterinin cebinde hi bozuk para yoktur.
Bu yzden kasada bir sentlerin durduu kk blmeye uzanr, bir tane
alr ve deme yaparken bunu kadna verir. Telefonu bir senti bile
demeden almtr.
Artk ayn marka telefonu kullanan baka bir GSM operatrne gitmekte ve istedii tarifeyi semekte zgrdr. Tercihen hibir taahht
gerektirmeyen aydan aya bir tarife seecektir.
alan olduunu ne sren ve irket ii sreleri ve terimleri bilen

kiilere kar insanlarn daha yksek bir gven duymas doaldr. Bu
hikyedefcf toplum murterratsr, c<3<Tt<3$Y<?<?}art3)>g)ayx)J)\as\ jjrenerek,
kendini bir irket alan olarak tantm ve baka bir ubeden bir
kolaylk yapmasn rica ederek bundan yararlanmtr. Byle eyler perakende zincirlerinin farkl maazalar arasnda ve bir irketin farkl birimleri arasnda olur. nsanlar farkl ortamlardadrlar ve hi karlamadklar mesai arkadalaryla srekli beraber alrlar.
Federal Ajanlard
insanlar, kurumlarnn internet zerinde neleri tuttuunu yle bir
durup dnmezler. Los Angeles, KFI Talk Radyosu'ndaki haftalk programm iin yapmc, internet zerinde bir tarama yapm ve Ulusal Su
Bilgileri Merkezi'nin veri tabanna erimek iin kullanlan USBM
klavuzunun bir kopyasn elde etmiti. Bu klavuzun iinde FBl'n ulusal
su veritabanndan bilgi almaya ynelik tm aklamalar bulunuyordu.
Yapmc daha sonra internet zerinde veri tabannn kendisini de bulmutu.
."".-'
Bu klavuz, ulusal veri tabanndan su ve sululara ynelik bilgi

ekebilmek iin kullanlacak biemleri ve komutlar ieren, emniyet tekilat iin hazrlanm bir el kitabdr. lke apndaki tm emniyet birimleri, kendi yetki blgeleri ierisinde sulular yakalamalarna yardmc
olmas iin ayn veri tabanndan sorgulama yapabilirler. Klavuz,
dvmelerden tutun da, gemi omurgalarna ve alnt para ve senetlerin
nominal deerlerine kadar, veri taban ierisinde herhangi bir ey iin
kullanlan kodlar da kapsyordu.
Klavuza eriebilen biri ulusal veri tabanndan bilgi ekebilmek iin
gerekli biemlere ve komutlara bakabilir. Sonra da sreler klavuzundaki aklamalar izleyerek, biraz da cesareti varsa, veri tabanndan bilgi
ekebilir. Klavuzda ayrca sistemi kullanrken danabileceiniz telefon
numaralar da vardr. Sizin irketinizde de rn kodlarn ya da hassas
bilgilere eriim kodlarn ieren benzer el kitaplar olabilir.
FBI hassas klavuzlarnn ve sre bilgilerinin internete balanabilen
herkese ak olduunu kesinlikle hi fark etmedi. Eer durumu bilselerdi bundan memnun kalacaklarn da pek sanmyorum. Bir kopyas
Oregon'daki bir devlet dairesi tarafndan, bir dieri de Texas'daki bir
emniyet brosu tarafndan internete konmutu. Neden? Herhalde birileri, bu bilginin nemli olmadn ve onu internete koymann bir
zararnn olmayacan dnmt. Belki de biri, kendi alanlarna
kolaylk olmas iin onu intranete koymutu. Bunu yapan, veri tabann,
internet zerinde, Google gibi iyi bir arama motoruna eriimi olan,
aralarnda merakllarn, polis olma heveslilerinin, bilgisayar korsanlarnn ve organize su patronlarnn da bulunduu bir sr insana
atn hibir zaman fark etmemitir.
Sisteme Almak
"
...
.V
"
Byle bir bilgiyi kamuda ya da zel sektrde alan bir kiiyi kandrmada kullanmann kural ayndr. Belirli veri tabanlarna ve uygulamalara nasl eriileceini, bir irketin bilgisayar sunucularnn adlarn ya
da bunun gibi eyleri bildii iin toplum mhendisi, inandrcln artrr,
inandrclk ise gven dourur.
Toplum mhendisinin elinde byle kodlar olduktan sonra istedii bilgiyi elde etmesi kolay bir sretir. rnek vermek gerekirse, bir yerel
emniyet mdrlnn teleks brosundaki bir memuru arayp klavuzdaki komutlardan biriyle ilgili bir soru sorarak ie balayabilir. rnein
ilenen sular koduyla ilgili birey sorabilir. "USBM'de bir OFF sorgulamas yaptmda, 'Sistem Arzal' mesaj veriyor. Siz de OFF sorgulamas yaptnzda ayn mesaj alyor musunuz? Benim iin deneyebilir
misiniz?" Bundan baka belki bir AKD -aranan kii dosyas iin polisler
arasnda kullanlan ksaltma- aradn da syleyebilirdi.
Telefonun dier ucundaki teleks memuru, arayann USBM verita-
Gven Uyandrmak
47
bann alma srelerine ve arama komutlarna aina olduu mesajn

alacaktr. USBM kullanma konusunda eitilmi biri dnda baka kim bu
sreleri bilebilir ki?
Memur, sistemin dzgn altn doruladktan sonra, konuma
yle devam edebilir.
"Biraz yardma ihtiyacm var."
"Ne aryordun?"
"Martin Reardon adna bir OFF komutu altrman isteyeceim.
Doum tarihi 18/10/66."
"SOS nedir?" (ABD Emniyet tekilat alanlar Sosyal Gvenlik
Numaras'na bazen ksaca SOS derler.)
"700-14-7435."
Listeye baktktan sonra, memur yle bir sonu elde edebilir,
"2602'si varm."
Saynn anlamn renmek iin saldrgann evrim ii USBM'ye
bakmas yeterli olacaktr: Adamn sicilinde bir dolandrclk suu vardr.
Baarl bir toplum mhendisi, USBM veri tabanna girmenin yollarn bulmakta hi zorlanmaz. stedii bilgiyi almak iin tek yapmas
gereken, yerel emniyet mdrlne bir telefon ap, ierden biriymi
gibi ikna edici bir ekilde konumakken, neden tereddt etsin ki? Her
seferinde baka bir polis brosunu arayp ayn bahaneyi ne srebilir.
Emniyet mdrlklerini, karakollar ya da trafik ubelerini aramann
riskli olup olmadn merak edebilirsiniz. Saldrgan kendini byk bir
risk altna sokmuyor mu?
Cevap: hayr. Ve bunun da bir nedeni var. Tpk ordu mensuplarna
olduu gibi, emniyet tekilat alanlarna da, rtbeye sayg kavram
akademideki ilk gnlerinden beri youn bir ekilde benimsetilmitir.
Toplum mhendisi, bir komiser, komiser yardmcs ya da konutuu
kiiden daha yksek rtbeli biri gibi davranrsa; kurban, stlerinin szlerini sorgulamamas gerektiini syleyen, iyi ilenmi bir dersin etkisiyle
hareket edebilecektir. Dier bir deyile,
rtbenin, zellikle de alt rtbeliler tarafndan sorgulanmamak gibi yararlar
SOS: Sosyal gvenlik
vardr.
numaras iin ABD emniyet
Ancak emniyet tekilatnn ve
tekilatnda kullanlan
ordunun, bir toplum mhendisinin rtgaynresmi ksaltma.
Terimler
beye olan saygy smrlebilecei tek yer olduunu dnmeyin. Bu

sayfalarda geen birka ykde de greceiniz gibi, toplum mhendisleri, irketlere yaptklar saldrlarda da kurum ii unvan ve yetki makamlarn sk sk kullanrlar.
;:.;: .
Toplum mhendislerinin, alanlarnzn insanlara gvenmeye

ynelik doal eilimlerinden yararlanma olasln drmek iin, kuruluunuz ne gibi nlemler alabilir? ite size birka neri.
M t e r i l e r i z i
K o r u y u n
'
inde bulunduumuz bilgi anda mteriye dorudan sat yapan

pek ok irket, kredi kart numaralarn bir dosyada tutmaktadr. Bunun
eitli nedenleri vardr: Alveri yapmak iin maazay ya da internet
sitesini her ziyaret ediinde, mteriyi kredi kart bilgilerini yeniden
verme skntsndan kurtarr. Ancak bu uygulamadan vazgeilmelidir.
Eer kredi kart numaralarn bir dosyada tutmanz gerekiyorsa,
ifreleme ve eriim snrlamalarnn tesine kan gvenlik koullarnn
bu ileme elik etmesi arttr. alanlarn, kitabn bu blmde anlatlan
trden toplum mhendislii oyunlarn tespit edebilecek ekilde eitilmeleri de gerekmektedir. Telefonda iyi ahbaplk kurduunuz ama ahsen karlamadnz mesai arkadanz, aslnda syledii kii olmayabilir. Hassas mteri bilgilerine nasl eriileceini o kadar da bilmesi
gerekmiyor olabilir, nk aslnda irket iin almyordun
.
K i m e G v e n e c e i n i z i B i l i n ; .
'
Mdahalelere kar uyank olmas gerekenler, yalnzca yazlm

mhendisleri, Ar-Ge alanlar ve bunun gibi hassas bilgilere eriimi olan
kiiler deildir. Kuruluunuzdaki neredeyse herkes, kurumu sanayi casuslarna ve bilgi hrszlarna kar korumaya ynelik olarak eitilmelidir.
Byle bir almann balangcnda, kurum apnda bilgi varlklar
incelenmeli; her bilgi, hassasl, ciddiyeti ve deeri asndan deerlendirilmeli ve bir saldrgann bu varlklar tehdit etmek iin hangi toplum
mhendislii yntemlerini kullanaca sorgulanmaldr. Bu sorularn
fVUtnick Mesaj:
Toplum mhendisinin temel alma ynteminden herkes haberdar olmaldr:
Hedefle ilgili mmkn olduu kadar ok bilgi topla ve bu bilgiyi ierden birinin
gvenini kazanmak iin kullan. Sonra da onun grtlana yap!
Gven Uyandrmak
49
antlar gz nne alnarak, bu tarz bilgilere eriim hakk verilmi

ere ynelik eitimlerin tasarlanmas gerekmektedir.
ahsen tanmadnz biri bir bilgi ya da belge istediinde ya da bii: sayarda bir ilem gerekletirilmesini rica ettiinde, alanlarn baz
sorular kendilerine sormalarn salayn. Eer bu bilgiyi en byk dmanma verirsem, bu, bana ya da altm irkete zarar vermek iin
.ânlabilir mi? Bilgisayarma girmem istenen komutlarn olas etkisinin tamamen bilincinde miyim?
Karlatmz her yeni insandan kukulanarak yaantmz srdremeyiz. Yine de, ne kadar gven duymaya meyilli olursak, karmza
kacak bir toplum mhendisinin bizi irketimize ait bilgileri vermeye
kandrabilme olasl da o kadar yksek olur.
Intranet' Neler Koyulabilir?

intranetin baz blmleri darya ak, baz blmleri de alanlara
kapal olabilir. irketiniz, hassas bilgilerin yanl kiilerin de eriebilecei
oir yere konmas olaslna kar ne kadar dikkatli? Herhangi bir hassas bilginin dikkatsizlik nedeniyle internet sitenizin herkese ak blgelerinde de sunulup sunulmad, kuruluunuzdan biri tarafndan en
son ne zaman kontrol edildi?
Eer irketiniz elektronik gvenlik tehditlerinden korunmak iin ara
gvenlik olarak proxy sunucular kurmusa, bu sunucular, doru ayarlandklarndan emin olmak amacyla yakn zamanda kontrol edildiler mi?
Aslna bakarsanz, imdiye dek intranet gvenliinizi hi kontrol
eden oldu mu?
SZE YARDIMCI OLABLRM

Sorunla boutuumuz bir srada bize yardm etmek iin bilgili,
oecerikli ve istekli biri kageldiinde ok memnun oluruz. Toplum
mhendisi bunun farkndadr ve bundan nasl yararlanacan da bilir.
Size nasl sorun karacan da bilir... sonra sorunu zdnde
ona minnettar kalmanz salar... ve sonunda sizden, bu karlamadan
irketinizi (belki de sizi) zararl karacak bir bilgi ya da kk bir i
koparmak iin bu minnettarlnz kullanr. Ama siz deerli birey kayoettiinizin hibir zaman farkna varmazsnz.
ite size, toplum mhendislerinin "yardm etmek" iin ne ktklar
tipik yollardan bazlar.
Bilgisayar A Zayiat
Gn/Zaman: 12 ubat, Pazartesi, leden sonra 3:25
Yer: Starboard Tersane letmeleri
lk Grme: Tom D e Lav

- Tom DeLay, muhasebe.
- Selam Tom. Ben Yardm Masas 'ndan Eddie. Bir bilgisayar a
sorununu zmeye alyoruz. Ekibinde kimsenin evrimii kalmakla
ilgili bir sorunu var m?
- Bildiim kadaryla hayr.
~ Sen de hibir sorunla karlamadn, yle mi?
- Hayr, her ey yolunda grnyor.
- Tamam, iyi o zaman. Dinle, etkilenmi olabilecek insanlar bulmaya
alyoruz. Eer a balantn kesilirse bize hemen haber vermen ok
nemli.
- Bu, kulaa hi ho gelmiyor. Sence byle birey olabilir mi?
- Umarm olmaz; ama olursa ararsn, deil mi?
- Bundan emin olabilirsin.
- A balantsnn kopmas senin iin gerek bir sorun olacakm
gibi grnyor.
- Kesinlikle.
- ... o zaman, hazr biz bunun stnde alrken, sana cep telef omu
vereyim. Bylece ihtiyacn olursa bana dorudan ulaabilirsin.
- Bu ok iyi olur. Numaran alaym.
- 5
5 5
1 0
1 '' '' >
. v ' ''' '' '' ' ' '
- 555 521 0871. Tamam, Teekkrler. Adn neydi?

- Eddie. Bir ey daha; aa hangi noktadan balandn kontrol
etmem gerekiyor. Bilgisayarnn bir yerlerinde, zerinde 'Balant
Noktas Numaras'gibi birey yazan bir etiket olup olmadna bakabilir misin?
- Dur bakaym. Hayr, yle birey grmyorum.
,,
- Peki, bilgisayarn arkasndaki a kablosunu biliyor musun?

- Evet.
- Onu bal olduu yere kadar takip et. Bak bakalm fiin takl
olduu girite bir etiket var m.
- Bir saniye. Evet. Bir dakika, okuyabilmek iin yere melmem
gerekecek. Tamam, yle yazyor: Balant Noktas 6 tire 47.
- yi. Elimdeki kaytlarda da yle geiyorsun, emin olmak istemitim.
:
kinci Grme: Sistem Sorumlusu
' : ' ::
ki gn sonra ayn irketin A Hizmetleri Merkezi'ne bir telefon gelir.

- Merhaba, ben Bob. Muhasebeden Tom DeLay'in ofisimdeyim. Bir
kablo sorununu zmeye alyoruz. 6-47 numaral balanty devre
d brakmanz isteyecektim.
Sistem sorumlusu birka dakika iinde yapabileceim syledi ve ileri
bittiinde balantnn tekrar almas iin ona haber vermeleri gerektiini hatrlatt.
nc Grme: Dmandan Yardm Alma

Bir saat kadar sonra adnn Eddie Martin olduunu syleyen adamn
darda gezinirken telefonu ald. Eddie aramann tersanecilik
iletmesinden geldiini grnce telefonunu amadan nce hzla sessiz
bir yer buldu.
-
Yardm M a s a s , E d d i e .
: .... .
.,:. . .
- Selam Eddie. Senin tarafnda bir yank var, neredesin?

- Bir kablo dolabnn iindeyim. Kim.aryordu?
- Ben Tom DeLay. Seni bulabildiime ok sevindim. Hatrlarsan
geen gn beni aramtn. Sylediin gibi a balantm az nce kesildi. Ne yapacam imdi?
- Evet, ekip olarak u anda bunun stnde alyoruz. Akama kadar
bitirmi oluruz. Bu uygun mu?
.,
,
,
. Size Yardmc Olabilirim
53
- HAYIR! Olmaz! Bu kadar uzun sre balantsz kalrsam isimde

geri kahrm. En erken ne zaman halledebilirsin bu ii?
t-
- ok mu skk durumdasn?
- u anda baka birka eyle de ilgilenebilirim. Yarm saat iinde
bunu halletmeniz mmkn olur mu?
- YARIM SAAT M? ok da birey istemiyorsun. Peki, elimdeki ii
brakp, senin sorununu zmeye alacam.
- ok mteekkir kalrm, Eddie.
Drdnc Arama: Yakaladm Seni!

Krk be dakika sonra ...
- Tom? Ben Eddie. A balantm bir deneyebilir misin?
Biraz sonra:
- Oh, ok iyi; alyor. Harika.
- yi, sorununu zebildiime sevindim.
- Evet, ok teekkrler.
- Dinle, balantnn yeniden kopmasn istemiyorsan altrman

gereken bir program var. Yalnzca birka dakika srer.
- u an ok iyi bir zaman deil.
- Anlyorum ama bu a sorunu yine ortaya karsa ikimizi de byk
dertlerden kurtarr.
- Peki... birka dakika srecekse.
- Yapman gereken u...
Eddie, Tom'u bir web sitesinden kk bir program indirmesi iin adm
adm ynlendirdi. Program indirildikten sonra, Tom'a programn
zerinde ift tklamasn syledi. Tom denedi ama:
- almyor. Hibir ey yapmyor, diye karlk verdi.
- Of, ok kt. Programla ilgili bir sorun olmal. Silelim onu, baka
bir zaman tekrar deneriz. Sonra Tom'a program hem indirdii yerden
hem de p kutusundan sildirdi.
Toplam geen zaman: on iki dakika.
- -
Saldrgann yks
Bobby VVallace, bunun gibi iyi bir i aldktan sonra, bilginin neden
istendiiyle ilgili ak bir soruya mterinin kaamak yantlar vermesinin
her zaman gln olduunu dnmt. Bu ite de aklna yalnzca iki
neden geliyordu. Mteri, hedef irket olan, Starboard Tersane letmelerini satn almay dnen baka bir irketi temsil ediyor ve irketin
mali durumunun gerek yzn renmek istiyor olabilirdi. zellikle de,
hedef irketin olas bir alcdan saklamak isteyebilecei bilgileri. Ya da
Terimler
TRUVA ATI: Kurbann bilgisayarndan ve iinde
bulunduu adan bilgi
toplamak ya da kurbann
bilgisayarna ve dosyalarna zarar verebilmek iin
tasarlanm, kt huylu ya
da zararl kod ieren programdr. Baz Truva Atlan
bilgisayarn iletim sisteminin iinde saklanp her
ilemin ya da her tua
basn kaydn tutacak
veya belirli ilevleri gerekletirebilmek iin a
balants zerinden talimat
alabilecek ekilde tasarlanmlardr ve bunlarn hepsini, kendi varlklarn kurbana sezdirmeden yaparlar.
belki para ynetiminde karanlk ilerin

dndn dnen ve baz st dzey
yneticilerin yolsuzluk yapp yapmadklarn renmek isteyen irket ortaklan
da olabilirlerdi.
Belki de mterisi ona gerek nedeni T^Bff
sylemek istememiti, nk bilginin ne
kadar deerli olduunu bilirse Bobby ii
yapmak iin daha ok para isteyebilirdi.
Bir irketin en gizli dosyalarn ele
geirmenin pek ok yolu vardr. Bobby
birka gn seeneklerin zerinde
dnmt ve bir plan stnde karar
klmadan nce kk de bir aratrma
yapmt. Sonunda zellikle sevdii bir
yntemi, kurbann saldrgandan yardm
istemek zere tuzaa drld
oyunu oynamay semiti.
Balang olarak bir maazadan 39

dolar 95 sente bir cep telefonu almt.
Hedef olarak belirledii adam aram ve
kendini irket yardm masasndan biri
gibi tantarak, ada bir sorun kt
anda Bobby'i cep telefonundan aramas dorultusunda adam
ayarlamt.
Kendini ak etmemek iin araya iki gn koymutu ve sonra da irketin A Hizmetleri Merkezi'ne (AHM) telefon etmiti. Tom'un, yani
hedefinin, bir sorununu zmeye altn syleyerek Tom'un a
balantsnn devre d braklmasn istemiti. Bobby ektii
numarann bu aamasnn en almas zor blm olduunu biliyordu;
pek ok irkette yardm masas alanlar AHM'yle yakn temas iinde
alrlar; hatt, yardm masas ou zaman bilgi ilem biriminin bir
parasdr. Ancak konutuu vurdum duymaz AHM grevlisi, olay
sradan bir ilem yerine koyup bilgisayar a sorununu zmekle
uraan ve yardm masasnda altn syleyen kiiye adn sormadan hedefin balant noktasn devre d brakmay kabul etmiti.
tamamlandnda Tom irketin intranetinden btnyle yaltlmt.
Sunucudaki dosyalara erimesi olanaksz hale gelmiti. Mesai
arkadalaryla dosya alp verememekte, e-postalarn okuyamamakta,
hatt yazcya bir kt bile gnderememekteydi. Bu durum, gnmz
dnyasnda maarada yaamak gibi bir eydi.
Bobby'nin de tahmin ettii zere cep telefonunun almas uzun
srmemiti. Doal olarak skntl bir durumda olan bu zavall "mesai
Size Yardmc Olabilirim
55
i nadasna" yardmc olmak konusunda hevesli grnp sonra AHM'yi

ayarak adamn a balantsn yeniden atrmt. Kurban tekrar arayarak onu bir kez daha kandrmt. Bu kez, Bobby ona yardm ettikten
sonra "hayr" dedii iin Tom'un kendini sulu hissetmesini salamt.
Bunun zerine Tom, bilgisayarna bir yazlm indirme nerisini kabul
etmiti.
Doal olarak, yapmay kabul ettii ey tam olarak grnd ey
deildi. Tom'un a balantsn kmekten koruyaca sylenen yazlm
aslnda bir Truva At'yd. Bobby, Yunanlarn Truvallara yaptn Tom'un
bilgisayarna yapmt; yani dman kalenin iine sokmutu. Tom yazlm
simgesine ift tkladnda hibir ey olmadn sylemiti. Zaten kk
program, tasarm gerei, bilgisayara eriime izin verecek gizli bir yazlm
yklerken bile herhangi birey olduunu gstermezdi.
Program, Bobby'nin uzaktan eriimle Tom'un bilgisayar zerinde
:am bir hakimiyet kurmasn salamt. Bobby Tom'un bilgisayarna
girdiinde onu ilgilendirebilecek muhasabe kaytlarn arayabilir ve
onlar kendine kopyalayabilirdi. Sonra can istedii zaman mterilerinin
arad bilgiyi bulabilmek iin dosyalara bakabilirdi.
Her ey bununla da bitmiyordu. Her zaman geri dnp, ilgin bilgiler
sunabilecek anahtar szckleri kullanarak bir metin aramas yapp, irket yneticilerinin elektronik mesajlarn ve zel notlarn tarayabilirdi.
Hedefini Truva At yazlmn yklemesi iin kandrd gnn akam
Bobby cep telefonunu bir p bidonuna att. Elbette, atmadan nce
hafzasn temizledi ve bataryasn kard, isteyebilecei en son ey
birinin cep telefonunu yanllkla aramas ve telefonun almaya balamasyd!
Aldatmacann incelenmesi
Saldrgan, hedefini, aslnda var olmayan bir sorunu olduuna

inandrarak kendi ana drr. Sorun, bu olayda olduu gibi, henz
gereklememi ama saldrgann gerekleeceini bildii nk kendisinin neden olaca bir sorun da olabilir. Sonra da kendisini sorunu
zebilecek kii olarak tantr.
Bu tarz saldrda kullanlan dzen, saldrgann zellikle iine gelir,
nk nceden ekilen tohum sayesinde hedef, bir sorunu olduunu
x
Mitnick Mesaj:
Eer tanmadnz biri size bir iyilik yapyorsa ve sonra da karlnda sizden bir iyilik bekliyorsa, istenen eyin ne olduu zerinde dikkatle dnmeden
karlk vermeyin.
Termer
UZAKTAN ERML
KOMUT KABUU: Belirli
ilevleri gerekletirmek ya
da programlar altrmak
iin metin tabanl komutlar
kabul eden grafik ierikli
olmayan bir arayzdr.
Teknik aklar smrebilen
ya da kurbannn bilgisayarna bir Truva At
ykleyebilen bir saldrgan
bir komut kabuuna uzaktan eriim salayabilir.
TERS TOPLUM
MHENDSL:
Kurbann bir sorunla
karlat ve yardm iin
saldrgan arad eklinde
gelien toplum mhendislii
saldrs.
Ters toplum mhendisliinin baka bir tr de
saldrgann aleyhinde
olandr. Hedef, bir saldr
yapldn anlar ve iletmenin varlklarm gvenceye alabilmek iin psikolojik etkileme unsurlar kullanarak saldrgandan
mmkn olduu kadar ok
bilgi almaya alr.
anladnda yardm istemek iin kendi

ayayla gelir. Saldrgan yalnzca oturup
telefonun almasn bekler. Bu ynteme,
meslekte byk bir sevecenlikle ters
toplum mhendislii denmitir. Hedefin
kendisini aramasn salayan saldrgan,
annda inanlrlk kazanr. Yani eer ben
yardm masasnda altn dndm birini ararsam ondan kimliini
kantlamasn istemem. te o zaman
saldrgan baarm demektir.
Byle bir dolap evirirken toplum
mhendisi bilgisayarlarla ilgili snrl bilgiye sahip olan bir hedef semeye
alr. Hedef ne kadar ok bilirse
phelenme olasl o kadar oktur; ya
da onunla oyun oynandn hemen
anlayabilir. Zaman zaman bilgisayarla
savaan alanlar olarak sz ettiim,
teknoloji ve sreleriyle ilgili konularda
az bilgili olan kiiler her sylenene inanmaya daha eilimlidirler. Bir yazlmn
verebilecei zararla ilgili olarak hibir
fikirleri olmad iin "u kk program
ykleyiver," gibi bir hileyi yutma olaslklar da yksektir. Dahas, bilgisayar a
zerinden tehlikeye soktuklar bilginin
deeri konusunda fikir sahibi olma
olaslklar da azdr.
'-Z-- Balayan Kza
Kk Bir Yardm
Yeni ie balayanlar, saldrganlar iin en iyi hedeflerdir. Henz ok

insan tanmazlar, irketin srelerini, yaplmas ve yaplmamas
gereken eyleri bilmezler. Ve iyi bir izlenim brakmak adna ne kadar
yardmsever ve hzl olduklarn gstermek iin de heveslidirler.
Yardmscwer A n d r e o " "
- i-.,.' ;,,..: ./\.-:. > :
- nsan Kaynaklar, A n d r e a C a l h o u n .
- Andrea, merhaba, b e n A l e x ; irket G v e n l i i ' n d e n .
E v e t ?
'
: . " ' : ' : '
'
"
' " '
'
':':
:
'
'
57
- Bugn iler nasl?

- yi. Sizin iin ne yapabilirim?
- Yeni balayanlar iin bir gvenlik semineri dzenliyoruz ve deneme
iin birka kiiyi biraraya getirmemiz gerekiyor. Geen ay ie
balayan herkesin adlarna ve telefon numaralarna ihtiyacm var.
Bana bu konuda yardmc olabilir misin?
- Ancak leden sonra karmam mmkn olabilir. Bu uygun mu?
Dahili numaran nedir?
- Elbette olur, dahilim 52... aah, gnn ounda toplantda olacam.
Ofise dndkten sonra seni ararm, bu herhalde drtten sonra olur.
Alex 16:30'da aradnda Andrea listeyi hazrlamt ve adlar ve dahili
numaralan orsa okudu.
Rosemary'e Br Mesaj
Rosemary Morgan yeni iinden ok memnundu. Daha nce hibir dergi
iin almamt ve insanlar beklediinden daha arkada canls bulmutu. Her ay sonunda bitmesi gereken bir baka sayy karabilmek
iin alanlarn ounun bitmek bilmeyen bir bask altnda olduklar
dnlnce bu artc bir durumdu. Bir Perembe sabah ald telefon bu dosta izlenimi pekitirdi
- Rosemary Morgan'la m gryorum?
- Evet.
- Merhaba Rosemary. Ben Bili Jorday; Bilgi Gvenlii Grubu 'ndan.
- Evet?
- Bizim birimden kimse sizinle gvenlik uygulamalar hakknda
grt m?
.
- Sanmyorum.
!
- Peki. Bakalm. ncelikle kimsenin irket dndan getirdii programlar yklemesine izin vermiyoruz. Bunun nedeni lisansl olmayan
yazlm kullanmndan sorumlu olmak istemememiz ve solucan ya da
virs ieren yazlmlarn karabilecei sorunlardan uzak durmak.
- Tamam.
- E-posta uygulamamzdan haberdar msnz?
- Hayr.
- u anda kullandnz e-posta adresi nedir?
- Rosemary@ttrzine.net.
,
....'
- Kullanc ad olarak Rosemary'i mi kullanyorsunuz?

- Hayr, R altizgi Morgan' kullanyorum.
- Tamam. Tm yeni alanlarmz beklemedikleri e-posta eklerini
amalarnn oluturaca tehlikelere kar uyarmak istiyoruz. Pek ok
solucan ve virsler ortalkta geziniyor ve tandnz insanlardan
geliyor gibi grnen e-posta eklerinde geliyorlar. Bu yzden beklemediiniz bir ekli e-posta alrsanz, gnderici olarak grnen
kiinin mesaj size gerekten gnderip gndermediini her zaman
kontrol edip emin olmalsnz. Anlyor musunuz?
- Evet. Bunu duymutum.
- yi. Uygulama her doksan gnde bir parolanz deitirmeniz eklinde. Parolanz en son ne zaman deitirdiniz?
- Yalnzca haftadr burada alyorum, ve daha ilk aldm ifreyi
kullanyorum.
- Tamam, bu iyi. Do/csan gn dolana kadar bekleyebilirsin. Ama
insanlarn, tahmin edilmesi kolay olmayan ifreler kullandndan da
emin olmak istiyoruz. Hem say hem de harf ieren bir ifre mi kullanyorsunuz?
-
Hayr.
. . . '
- Bunu dzeltmeliyiz. u anda kullandnz ifre nedir?

- Kzmn ad, Annette.
- Bu ok gvenli bir ifre deil. Hibir zaman aile bilgilerinize
dayanan ifreler sememelisiniz. Peki... benim yaptmn aynsn
yapabilirsiniz. ifrenizin bir paras olarak u anda kullandnz
kullanmann bir sakncas yok ama her deitirdiinizde iinde bulunduunuz ayn saysn ekleyin.
- Bunu imdi yaparsam, yani Mart iin, m kullanmalym, sfr-
m?
- Nasl isterseniz. Hangisi sizin iin daha rahat olur?
- Sanrm Annette-.
- yi. Deiikliin nasl yaplaca konusunda size yardmc olmam
ister misiniz?
- Hayr, nasl yaplacan biliyorum.
- Gzel. Sylemem gereken birey daha var. Bilgisayarnzda bir
virs koruma yazlm var ve onu gncel tutmanz nemli. Arada bir
bilgisayarnz yavaladnda bile otomatik gncellemeyi devre d
brakmamalsnz. Tamam m?
- Elbette.
- ok iyi. Bilgisayarla ilgili bir sorununuz olduunda aramanz iin
burann telefon numaras sizde var m?
Yoktu. Adam ona numaray verdi, kadn zenle not ald ve bir kez daha
ona ne kadar iyi baktklarn dnerek iine geri dnd.
Bu yk, elinizdeki kitabn temelinde yatan anafikri glendiriyor.
Asl amacndan bamsz olarak bir toplum mhendisinin bir alandan
isteyecei en temel bilgiler, hedefin tanmlama verileridir. irketin doru
Mitnick Mesaj:
: -; ie balayanlarn, irket bilgisayar sistemlerine girilerine izin verilmeden
_.;.e, zellikle ifrelerini bakalarna kesinlikle sylememekle ilgili olan
gvenlik uygulamalar konusunda eitilmeleri gerekir.
romnden tek bir alana ait kullanc ad ve ifre varsa saldrgann

eri girebilmek iin ve peinde olduu herhangi bir bilgiye ulamak iin
htiyac olan her eyi vardr. Bu bilgiyi edinmek, kralln anahtarn bul-ak gibidir. Onlar elindeyken irket bnyesinde zgrce dolaabilir ve
3rad hazineyi bulabilir.
sunduunuz
"Hassas bilgilerini korumak iin aba gstermeyen bir irket dpedz
ihmalcidir." Pek ok insan bu gre katlacaktr. Gerek u ki gizli bilgilerini korumaya ynelik aba gsteren irketler bile ciddi bir tehlike
altnda olabilirler.
te size irketlerin, deneyimli ve baarl profesyoneller tarafndan
tasarlanm gvenlik uygulamalarnn alamayacan dnerek her
gn kendi kendilerini nasl kandrdklarn gsteren bir yk daha.
Steve Cramer'in yks
Steve'in pahal tohumlarla imlendirilmi ve herkesin gptayla bakt
bir bahesi yoktu. imleri bimek iin byk bir makine da gerekmiyordu. Zaten byle bir makine olsa bile kullanmazd. nk bu kk
im bime makinesiyle iinin daha uzun srmesi sayesinde Anna'nn
alt bankadaki insanlarla ilgili hikyeler anlatmasndan ya da ona
yaptklar ileri aklamasndan kurtulup kendi dncelerine odaklanabiliyordu. Hafta sonlarnn ayrlmaz bir paras haline gelen
'sevgilim unu da yapar msn?' listelerinden nefret ediyordu.
Bazlar Steve'in GeminiMed Tbb Cihazlar irketi iin yeni cihazlar
tasarlama iinin skc olduunu dnebilirdi. Ancak Steve hayat kurtardn biliyordu. inin yaratc olduunu dnyordu. Sanatlar,
besteciler, mhendisler de Steve'in yaptna benzer iler yapyorlar ve
daha nce kimsenin yapmad bir eyler yaratyorlard. Son yapt ve
olduka zekice tasarlanm yeni bir eit kalp stenti u ana dek en gurur
duyduu eseriydi.
O cumartesi, saat neredeyse 11:30 olmutu. Steve im bime iini daha
bitiremedii ve kalp stentinin tamamlanmasnda son engel olan g
gereksiniminin drlmesi sorununa ciddi bir zm bulamad iin
huzursuzdu. im bierken zerinde dnmek iin harika bir konuydu
ama hibir zm retememiti. .. . .
Anna kapda belirdi; sam her zaman toz alrken takd krmz desenli kovboy earbyla rtmt. "Telefon" diye bard, "iten aryorlar. "
"Kim?" diye geri bard Steve.
"Ralph diye biri sanrm."
"Ralph m?" Steve GeminiMed'de alan ve onu hafta sonu arayabilecek Ralph isimli birini tanmyordu. Anna ad yanl anlam olmalyd. Steve bunlar dnerek telefona gitti
"Steve, ben Teknik Destek'ten Ramon Perez." Steve, Anna'nn Ramon
gibi bir spanyol adn Ralph'a nasl evirdiini merak etti.
"Bu nezaket icab yaplan bir arama" diyordu Ramon. "Sunuculardan
kt. Bir solucandan pheleniyoruz ve diskleri temizleyip yedekleri ykleyeceiz. aramba ya da Perembe'ye kadar dosyalarnz
ykleyip altrlabilir duruma getiririz. Yani her ey yolunda giderse."
"Bu kesinlikle mmkn deil" dedi Steve sert bir ekilde ve skntsn
belli etmeye alarak. Bu insanlar nasl bu kadar aptal olabiliyorlard?
Tm haftasonu ve gelecek haftann ounda dosyalarna eriemeden i
yapamayaca akllarna gelmiyor muydu? "Olmaz. ki saate kadar
evdeki bilgisayarmn bana oturacam ve dosyalanma erimem
gerekecek. Bilmem anlatabiliyor muyum?"
"Evet, tabi, imdiye kadar aradm herkes listenin banda olmak
istiyor. Buraya gelip bunun stnde almak iin hafta sonumu harcyorum ve konutuum herkesin bana pskrmesi hi ho olmuyor. "
"Teslim tarihim yaklayor ve irket kacak rne ok gveniyor.
Benim bu ii bu leden sonra bitirmem lzm. Bunu kafana sok. "
"Balamadan nce aramam gereken daha bir sr insan var." dedi
Ramon. "Dosyalarnz salya kadar hazr etsek nasl olur?"
"Sal deil, aramba deil. MD!" dedi Steve. Bu kaln kafal adam
durumun nemini anlayamazsa mutlaka baka birini aramas
gerekecekti.
"Tamam, tamam" dedi Ramon ve Steve onun asabi bir ekilde i
geirdiini duydu. "Senin iini grebilmek iin neler yapmam gerektiine bir bakaym. RM22 sunucusunu kullanyorsun, deil ini?"
"RM22 ve GM16. Her ikisini de."
"Peki. Tamam, baz ileri ksa yoldan yapp zaman kazanabilirim.
Kullanc adna ve parolana ihtiyacm olacak."
-:'.'..,
Eyvah, diye dnd Steve. Ne demek oluyor bu? Benim parolama
leden ihtiya duysun ki? Herkes bir tarafa sistem sorumlular neden
sorsun ki bunu?
,
;: ;
, ,
"Soyadn ne demitin? Ve mdrn kim?"
"Ramon Perez. Bak sana ne diyeceim, ilk ie baladnda kullanc
idi alrken doldurduun bir form vard ve oraya parolan da yazmtn.
61
O parolay bulup dosyalarn burada olduunu sana gsterebilirim.

Olur mu?"
Steve bunun zerinde birka saniye dnd sonra da kabul etti.
Ramon dosya dolabndan formlar almaya giderken, o artan bir sabrszlkla telefonun br ucunda bekledi. Steve Ramon'un bir kat ynn
kartrdn duyuyordu.
"te burada" dedi Ramon sonunda. "Janice diye bir ifre koymusun."
"Janice", diye dnd Steve. Annesinin adyd ve gerekten de onu
bazen ifre olarak kullanrd. e girme belgelerini doldururken bu
ifreyi pekala koymu olabilirdi.
"Evet, bu doru" diyerek onaylad.
"Tamam, zaman kaybediyoruz. Gerek olduumu biliyorsun. Ksa yolu
kullanp en abuk ekilde dosyalarn kurtarmam istiyorsan bana
yardm etmen gerekecek."
"Kullanc adm s, d, altizgi, cramer C-R-A-M-E-R. ifre: pelikanl."
"Hemen ie koyulacam" dedi Ramon; sonunda sesi yardmc olabilecekmi gibi geliyordu. "Bana birka saat ver."
Steve im bime iini bitirdi, le yemeini yedi ve bilgisayarnn bana getiinde dosyalarnn geri yklenmi olduklarn grd. O huysuz
sistem sorumlusunu bararak yola getirdii iin kendiyle gurur duydu
ve Anna'nri da ne kadar sert konutuunu duymu olmasn diledi.
Adama ya da patronuna teekkr etmek iyi olurdu ama byle eyleri
yapacak biri olmadnn da farkndayd.
Craig Cogburne'n yks
'
":
Craig Cogburne yksek teknoloji rnleri reten bir irkette pazarlamac olarak alyordu ve iinde de olduka iyiydi. Bir sre sonra mteriyi okumak konusunda bir becerisi olduunu fark etti. Kiinin hangi
konularda direnli olduunu, sat kapatmay kolaylatracak baz
zayflklarn ve aklarn grebiliyordu. Yeteneini kullanmann baka
yollarn bulmaya alt ve izledii yol onu sonu olarak daha kazanl
bir alana gtrd: sanayi casusluu. Kendi azndan dinleyelim:
Bu seferki ok sk bir iti. ok fazla zamanm almad ve Hawaii'ye
hatt belki Tahiti'ye bir gezi yapacak kadar da ok kazan saladm.
Beni tutan adam, doal olarak bana mterinin kim olduunu sylemedi; ama atlacak hzl, byk ve kolay bir admla rekabeti yakalamak
isteyen bir irket olduunu anladm. Tm yapmam gereken kalp stenti
denen yeni bir zamazingoya ait rn zelliklerini ve tasarmlarn ele
geirmekti. Bunun ne olduu konusunda hibir fikrim yoktu. irketin
ad GeminiMed'di. Bu ad hi duymamtm ama yarm dzine yerde
ofisleri olan Fortune 500 irketlerinden biriydi; bu da ii kk bir irkete gre daha kolay, klyordu nk kk irkette konutuun
kiinin olduunu iddia ettiin ve aslnda olmadn adam tanma ans

olduka yksek oluyordu.
Mterim bana bir faks yollad. Gnderilen bir doktor dergisinden alnmt ve GeminiMed'in farkl ve yeni bir tasarm olan bir stent
zerinde altn, admm da STH-100 olduunu yazyordu. Doruyu
sylemek gerekirse bir gazeteci benim iin byk bir ayak iini halletmiti. e koyulmadan nce ihtiyacm olan tek bir ey vard ve o da yeni
rnn adyd.
Birinci sorun: irkette STH-100 zerinde alan kiilerin ya da
tasarmlan grme yetkisine sahip insanlarn adlarn ren. Santral
aradm ve, "Mhendislik ekibinizden biriyle balant kuracama sz
vermitim ve soyadn hatrlamyorum, ama ad S'yle balyordu,"
dedim. Ve santraldaki kz dedi ki, "Scott Archer ve Sam Davidson adnda birileri var." Hangisi STH-100 ekibinde aityor bilmiyordu; bu
yzden rastgele_ Scott Archer'i setim, kz benLona balad.
Adam telefonu atnda, "Merhaba, ben Mike, posta odasndan.
Elimizde STH-100 Kalp Stenti proje ekibine gelmi bir kargo paketi
var. Bunun kime gidecei konusunda bir fikriniz var m? " diye sordum.
Bana ekip liderinin adn verdi, Jerry Mendel. Benim iin Mendel'in
numarasn bulmasn bile saladm.
Aradm. Mendel yerinde yoktu ama telesekreterindeki mesaj ayn on
ne kadar tatilde olacan sylyordu. Bu, kayaa m, her neye gittiyse bir hafta daha yerinde olmayaca anlamna geliyordu ve bu sre
zarfndan birilerinin bireye ihtiyac olursa 9137'den Michelle'i aramalar gerektiini sylyordu. Bu insanlar ok yardmsever oluyorlard. Hem de ok.
Telefonu kapattm ve Michelle'i aradm. Telefonu atnda ona dedim
ki, "Ben Bili Thomas. Jerry bana artnameyi bitirdiimde ekibindekilerin inceleyebilmesi iin sizi aramam gerektiini sylemiti. Kalp
stenti zerinde alyorsunuz, yle deil mi?" Kadn yle olduunu
syledi.
imdi oyunun en zorlu ksmna gelmitik. Eer kadn kukulanr gibi
olursa, Jerry'nin benden yapmam rica ettii bir iyilii yerine getirmeye
altmla ilgili kozumu oynamaya hazrdm. "Hangi sisteme
balsnz?" diye sordum.
"Sistem?"
"Ekibiniz hangi bilgisayar sunucularn kullanyor?"
"Oh," dedi kadn, "RM22. Ekibin bazlar da GMl'y kullanyorlar."
Buna ihtiyacm vard ve bu onu kukulandrmadan alabileceim bir bilgiydi. Elimden geldii lde olaan bir tavr taknm ve bir sonraki
adm iin onu biraz yumuamtm. "Jerry bana gelitirme ekibinde
alanlarn e-posta adreslerini verebileceinizi sylemiti" dedim ve
nefesimi tuttum.
"Elbette. Evrak datm listesi, okumak iin ok uzun; size onu

e-posta'yla gnderebilir miyim?"
Eyvah. Sonu GeminiMed.com'la bitmeyen herhangi bir e-posta adresi
ileri yokua srerdi. "Bana listeyi falcslasanz nasl olur? " dedim.
Bunu yapabileceini syledi.
"Faks makinemizin yanp snyor. Baka bir tanesinin numarasn
almam gerekecek. Sizi biraz sonra ararm." dedim ve telefonu kapattm.
Bu noktada tatsz bir durumda kaldm dnebilirsiniz ama bu da
iin bir paras. Danmada oturan kadna sesim tandk gelmesin diye
bir sre bekledim sonra da onu arayp, "Merhaba, ben Bili Thomas,
buradaki faks makinemiz almyor, sizin makinenize benim iin bir
faks gnderebilirler mi?" dedim. Mmkn olduunu syledi ve bana
numaray verdi.
Sonra da oraya gidip faks alacaktm, yle mi? Tabi ki hayr! Birinci
kural: ok gerekmedike mekna asla girme. Yalnzca telefondaki bir
ses olarak kalrsan senin kimliini belirlemeleri ok daha g olur. Ve
eer senin kimliini belirleyemezlerse, seni tutuklayamazlar. Bir sese
kelepe takmak kolay deildir. Bu yzden bir sre sonra danmay
yeniden aradm ve kza faksmn gelip gelmediini sordum. "Evet,"
diye yantlad.
"Peki" dedim ona, "Onu birlikte altmz bir danmana vermem
gerekiyor. Benim iin gnderebilir misin?" Sorun olmayacan syledi. Hem neden sorun olsundu ki; danmada alan birinin neyin hassas bilgi olduunu bilmesi beklenemezdi. Danma grevlisi "danmana" faks gnderirken, ben de vitrininde "Faks Gnderilir/Al mr"
yazan yaknlardaki bir krtasiyeye doru yryerek gnlk sporumu
yaptm. Faksn benden nce oraya gelmi olmas gerekiyordu ve beklediim gibi ieri girdiimde beni bekliyordu. Alt sayfaya 1.75 dolar
verdim. Bir dolarlk bir banknot ve biraz bozukluk karlnda tm
ekibin adlarna ve e-posta adreslerine sahip olmutum.
eri Girmek
Peki, birka saat iinde ya da drt kiiyle konutum ve irket bilgisayarlarna girebilmek iin dev bir adm attm. Ama olay kalbinden vurmak iin birka para bilgiye daha ihtiyacm vard.
Birincisi, mhendislik sunucusuna dardan balanmak iin gerekli
telefon numarasyd. GeminiMed'i tekrar aradm ve santral memurundan Bilgi lem Birimi'ni balamasn istedim. Telefona kan adama
bilgisayarlar konusunda yardmc olabilecek biriyle grmek istediimi syledim. Beni aktard ve teknik konularla ilgili olarak kafam
karm, biraz da aptalm gibi davrandm. "Evdeyim, yeni bir diziist
bilgisayar aldm ve dardan balanabilecek ekilde onu ayarlamak
istiyorum."
64
Aldatma Sanat
Sre ok akt ama balant iin gerekli telefon numarasna gelene
kadar her eyi bana tek tek anlatmasna izin verdim. Numaray bana
herhangi bir nemsiz bilgiymi gibi verdi. Sonra numaray denerken
onu beklettim. Her ey yolundayd.
Aa balanma engelini amtm. Numaray evirdim ve arayann
dahili a zerindeki bilgisayarlara balanmasna izin veren bir ubirim
sunucusuyla donanm olduunu grdm. Birka denemeden sonra
parolasz konuk hesab olan bir bilgisayara denk geldim. Baz iletim
sistemleri ilk kurulduklarnda kullancy bir kullanc ad ve parola
belirlemesi iin ynlendirirler, ancak ayn zamanda bir de konuk hesab
aarlar. Kullancnn konuk hesab iin ya bir parola belirlemesi ya da
hesab btnyle kapatmas gerekir ama ou insan bunu bilmez ya da
umursamaz. Bu sistem byk olaslkla yeni kurulmutu ve sahibi
konuk hesabn kapatmakla uramamt.
ok kr bir konuk hesab varm ki, u anda UNIX iletim sisteminin eski bir srmn altran bir bilgisayara eriimim var. UNIX
altndaki iletim sistemi, o bilgisayara giri hakk olan herkesin ifrelenmi parolalarm bir parola dosyasnda saklar. Parola dosyas her kullancnn tek ynl kartrlm (bu geri dndrlemez bir eit
ifreleme yntemidir) parolalarn ierir. Tek ynl bir kartrma sonucunda "haydiyap" gibi bir parola ifrelenmi bir karmaayla temsil
edilir. Bu durumda parola UNIX tarafndan on alfanmefik simgeden oluan bir karma dntrlecektir.
Bir kii bir bilgisayara dosya aktarmak isterse, bir kullanc ad ve parola girerek kendini tantmas istenir. Tantm bilgilerini kontrol eden sistem yazlm girilen parolay ifreler sonra da sonucu, parola dosyasndaki ifrelenmi parolayla (yani karmla) karlatrr. Eer ikisi
aynysa, kullancya eriim hakk verilir.
Dosyada yazl parolalar ifreli olduklar iin dosya, ifreleri zmenin

bilinen bir yolu olmad gerekesine dayanarak tm kullanclara aktr. ok sama! Dosyay indirdim ve zerinde bir szlk saldrs yaptm (Bu yntemle ilgili bilgi iin 12. blme baknz) ve
gelitirme ekibindeki mhendislerden biri,
PAROLA KARMAASI: Bir
Steven Gramer adnda bir adamn bilgisayarparolay tek ynl bir
da parolas "Janice" olan bir hesab olduifreleme srecinden
unu rendim. ansm deneyip bu parogeirdikten sonra ortaya
lay kullanarak adamn gelitirme sunucukan anlamsz harf dizililarndan birindeki hesabna girmeye almi. Bu srecin gya geri
tm. e yarasayd, bana biraz zaman kazandndrlemez bir sre
drr ve baka bir risk daha almama gerek
olduu, yani karmdan
kalmazd. Ama olmad.
tekrar parolay elde
Bu, adam bana kullanc adn ve parolasn
etmenin mmkn olmad
vermesi iin kandrmam gerektii anlamna
dnlr.
Terimler

geliyordu. Bunun iin haftasonunu
bekleyecektim.
Kalam zaten biliyorsunuz. Cumartesi gn Cramer'i aradm ve phelerini yenmek iin bir solucanla ve
sunucularn yedekten geri yklenmesi gerektiiyle ilgili bir hikye
uydurdum.
65
Terimler
L NOKTA: Bilginin
braklabilecei ve bakalar
tarafndan bulunma
olaslnn dk olduu
yer. Geleneksel casuslarn
olduu bir dnyada bu,
duvarda yerinde oynam bir
tan arkas olurdu; bilgisayar korsanlarnn dnyasnda bu ounlukla uzak bir
lkedeki bir internet
sitesidir.
Ya ona anlattm ie giri formlarnda parolasnn yazdyla ilgili yk

tutmasayd? e girerken doldurduu
formlarla ilgili bir ey hatrlamayacandan emindim. Yeni ie giren
biri o kadar ok form doldurur ki yllar sonra bu formlarn neler olduunu kim hatrlayabilir? Ne olursa
olsun, eer onda uvallasaydm, elimde kullanabileceim uzun bir isim
listesi vard.
Cramer'in kullanc adn ve parolasn kullanarak sunucuya girdim,
biraz ortala bakndm ve sonunda STH-100'n tasarm dosyalarn
buldum. Hangilerinin anahtar dosyalar olduklarn bilmiyordum, bu
yzden tm dosyalan bir l noktaya, kimseyi kukulandrmadan durabilecekleri in'deki cretsiz bir FTP sitesine aktardm. Ivr zvrm iinden neye ihtiyac varsa mteri kendi arayp bulsun.
..
Hrszlk gibi olan ama her zaman yasad olmayan toplum

mhendislii sanatnda, kendisine Craig Cogburne dediimiz adam ya
da en az onun kadar becerikli bir kii iin burada anlatlan zorluklar
neredeyse sradan eylerdir. Bu adamn amac, gvenlik duvarlaryla ve
ofaan gvenlik teknolojileriyle korunan bir irket bilgisayarnda duran
gizli dosyalan bulup indirmekti.
in ou ocuk oyuncayd. e posta odasndan biri gibi davranarak balad ve teslim edilmeyi bekleyen bir kargo paketi olduunu
syleyerek konuya biraz aciliyet katt. Bu kandrmaca, kalp stenti
gelitirme ekibinin tatilde olan liderinin adn renmesini salad ama
ekip lideri dnceli davranm ve bilgi almaya alan toplum
mhendislerinin iini kolaylatrmak iin yardmcsnn adn ve telefon
numarasn brakmt. Craig ekip liderinin yardmcs olan kadn
aram ve ekip liderinin istei zerine aradn syleyerek btn
pheleri ortadan kaldrmt. Ekip lideri ehir dndayken Michelle'in
sylenenleri dorulamasna da olanak yoktu. Bunu gerek olarak kabul
etti ve ekip yelerinin bir listesini vermek konusunda tereddt etmedi.
Craig iin bu olduka nemli ve deerli bir bilgiydi.
Craig listeyi, genellikle her iki taraf iin de daha kullanl olan
e-posta yerine faksla gndermesini istediinde bile kukulanmad.
Kadn neden bu kadar kolay kanmt? Pek ok alan gibi, patronunun
ie dnp de yaplmasn istedii bir ii yapmaya alan birinin
engellerle karlatn duymasn istememiti. Dahas, arayann
sylediine gre patronu yalnzca adamn isteklerini onaylamakla
kalmam, ayn zamanda ondan yardm da istemiti. Bir kez daha, ou
insan kandrlmaya ak hale getiren, takm oyuncusu olma isteiyle
dolup taan biriyle kar karyayz.
Craig, danmadaki kzn yardmc olacan bilerek faksn danmaya gnderilmesini salam ve bylece binaya girme gereinden de
kurtulmutu. Ne de olsa danma grevlileri etkileyici kiilikleri ve iyi bir
izlenim yaratmadaki becerileri nedeniyle seilirler. Faks alp gndermek
gibi kk iyilikleri yapmak danmada alan birinin grev alanna
girer ve Craig de bundan nasl yararlanacan biliyordu. Kzn dar
gnderdii ey, o bilginin ne kadar deerli olduunu bilen biri iin alarm
zillerinin almasna neden olabilirdi; ama danmada alan birinin
hangi bilginin hassas, hangi bilginin sradan olduunu bilmesi nasl beklenebilir ki?
Farkl bir ynlendirme kullanan Craig, irketin ubirim sunucusuna,
yani dahili a zerinde dier bilgisayar sistemlerine eriim salayan
donanma balanmak iin kullanlan telefon numarasn vermesi iin
bilgi ilemdeki adam ikna etmek amacyla saf ve akn davranmt.
Craig, hi deitirilmemi ve gvenlik duvaryla korunan pek ok
dahili ada var olup dorudan gz nndeki aklardan birini, yani
varsaylan parolalardan birini deneyerek kolaylkla balanmay baard.
Aslnda pek ok iletim sisteminin, ynlendiricinin ve baka benzer
rnn, hatt zel santrallarn varsaylan parolalar evrimii olarak
bulunabilir. Herhangi bir toplum mhendisi, bilgisayar korsan ya da
sanayi casusunun yansra yalnzca konuya merakl olanlar bile listeyi
http://www.phenoelit.de/dpl/dpl.html adresinden bulabilirler. (Nereye
bakmas gerektiini bilenler iin internetin yaam bu kadar kolaylatrmas inanlmaz. Artk siz de nereye bakmanz gerektiini biliyorsunuz.)
Daha sonra Cogburne, kalp stenti gelitirme ekibinin kulland
sunucuya girebilmek iin, dikkatli ve pheci bir adam bile ("Soyadn ne
demitin? Ve mdrn kim?") kullanc adn ve parolasn vermeye ikna
JVUtnick Mesaj:
alan herkesin birinci ncelii eldeki ii bitirmektir. Byle bir bask altnda,
gvenlik uygulamalar sk sk ikinci sraya der veva gzden kaar. Toplum
mhendisleri, ilerini yaparken buna gvenirler.
67
etti. Bu, Craig'in irketin en iyi korunan srlarn kartrmas ve yeni rn

:asanmlarn indirmesi iin kapy ak brakmak gibi bir eydi.
Ya Steve Cramer phelenmeyi srdrseydi? Pazartesi sabah ie
gidene kadar kukularn dile getirmek adna birey yapma olasl
dkt, o zaman da zaten saldry engelleyebilmek iin ok ge kalm
olacakt.
Oynanan son oyunun kilit ksm uydu: Craig ilk bata Steve'in
endielerine kar gayretsiz ve ilgisiz bir rol taknm, sonra da ses
tonunu deitirip Steve'in iini bitirebilmesi iin ona yardm etmeye
alyormu gibi bir hava yaratmt. ou zaman kurban, ona yardm
ettiinize ya da bir iyilik yapmaya altnza inanrsa, baka zamanlarda zenle koruyaca gizli bilgileri sizinle paylaacaktr.
Toplum mhendisinin kulland en gl numaralardan biri olaylarn
gidiini deitirmektir. Bu blm kapsamnda grdnz ey budur.
Toplum mhendisi sorunu yaratr, sonra da mucizevi bir ekilde sorunu
zerek kurban irketin en gizli bilgilerine eriim salamakta kendisine
yardmc olmas iin kandrr. Sizin alanlarnz da byle bir oyuna
gelirler miydi? Bunu nlemek iin belirli gvenlik kurallarn bir kda
dkp datmay hi denediniz mi?
Eitim, Eitim, Eitim...

New York'u grmeye gelmi bir adamla ilgili eski bir fkra vardr.
Adam yoldan birini evirir ve sorar, "Camegie Hall'a nasl ulaabilirim?"
teki cevap verir, "alarak, alarak, alarak." Toplum mhendislii
saldrlarna herkes o kadar aktr ki, bir irketin tek etkili savunmas
alanlarn eitmek, bilgilendirmek ve bir toplum mhendisini tanmak
iin gerekli altyapy onlara vermektir. Sonra da insanlara srekli olarak
eitim srasnda rendikleri hatrlatlmaldr ama bunlarn hepsi unutlur.
Kurulutaki herkes, ahsen tanmad biriyle grt zamanlarda
-zellikle de bu kii bir bilgisayara ya da aa nasl eriileceini soruyorsa- makul dzeyde pheci ve dikkatli olmak konusunda eitilmelidir.
Bakalarna inanmay istemek insan yaratlnda vardr ama Japonlarn
dedii gibi, i dnyas bir sava alandr. iniz savunmadaki bir boluktan byk zarar grebilir. irket gvenlik kurallar uygun olan ve
olmayan davranlar aka tanmlamaldr.
Gvenliin herkese uygun tek bir kalb yoktur. alanlarn ounlukla farkl grevleri ve sorumluluklar, her irket ii konumun da kendine
zg ak noktalar vardr. irketteki herkesin tamamlamakla ykml
olduu bir temel eitim olmaldr. Daha sonra insanlar sorunun bir
paras olma olaslklarn drecek belirli srelere bal kalabilmeleri

iin i profillerine gre de eitim grmelidirler. Hassas bilgileri kullanan
ya da sorumluk gerektiren konumlardaki kiilere ayrca zel eitim verilmelidir.
.
Hassas Bilgileri Emniyete Almak

Bu blmdeki yklerde de grdnz gibi, biri yanlarna gelip
yardm etmeyi teklif ettiinde insanlarn, i gereklerine, bykle ve
irket kltrne uygun olarak tasarlanm irket gvenlik kurallarna
bavurmalar gerekir.
Sizden bir bilgiyi taramanz, bilgisayarnza bilmediiniz komutlar
girmenizi, yazlm ayarlarnz deitirmenizi ve -hepsinin arasnda en
tehlikeli olan- bir e-posta ekini amanz ya da kayna belirsiz bir
yazlm indirmenizi isteyen bir yabancyla hibir zaman ibirlii yapmayn. Hibir ey yapmyormu gibi grnse bile herhangi bir yazlm
program grnd kadar masum olmayabilir.
Eitiminiz ne kadar iyi olursa olsun zaman iinde uygulamakta dikkatsiz davrandmz belirli sreler vardr. Skk bir zamanda, tam da ona
ihtiyacmz olduu anda eitimi unutuveririz. Kullanc adn ve parolay
vermemenin, neredeyse herkesin bildii (ya da bilmesi gerektii) ve hatrlatlmasna pek de gerek olmayan bir ey olduunu dnebilirsiniz.
Mantkl olan budur. Ama aslnda her alana ofis bilgisayarlarnda, ev
bilgisayarlarnda, hatt posta odasndaki saylandrma makinasnda kullandklar kullanc adn ve parolay darya vermelerinin, ATM kartlarnn
ifresini vermekle e deer olduu sk sk hatrlatlmaldr.
Bazen -ama ok ender olarak- gizli bilgileri bir bakasna vermenin
zorunlu hatt nemli olduu durumlar sz konusu olabilir. Bu nedenle
"hibir zaman" konusunda kat kurallar oluturmak, yerinde olmayacaktr. Yine de gvenlik kurallarnz ve srelerinizde, bir alann parolasn bakasna verebilecei durumlarn ve -daha da nemlisi- bu bilgiyi kimin sormaya yetkili olduunun aka belirtilmesi gerekmektedir.
Pek ok kuruluta, kural, irkete ya da baka bir alana zarar verebilecek bilgilerin yalnzca yz yze bilinen kiilere ya da kukuya yer
brakmadan sesinin tannabildii kiilere verilebilecei eklinde olmaldr.
st dzey gvenlik gerektiren durumlarda, sadece kiisel olarak
getirilen ya da gvenilir bir yetkilendirmeyle -rnein nceden kararlatrlm gizli bir ifreyle ve zaman ayarl kartlar gibi iki farkl unsur kullanlarak- gelen talepler deerlendirilmelidir.
., Veri korumas sreleri, irketin hassas ilevleri olan bir blmn-
N O t * ahsen hi bir iletmede parola deitokuuna izin verilmesi

gerektiine inanmyorum. alanlarn kiisel parolalarn deitoku
etmesini ya da paylamasn yasaklayan kat bir kural yerletirmek ok
daha kolaydr. stelik de ok daha gvenlidir. Ancak her iletmenin bu
karar verirken, kendi kltrn ve gvenlik yaklamlarn gz nnde
bulundurmas gerekmektedir.
aen kiisel olarak tannmayan ya da herhangi bir ekilde kefil olun-nam birine bilgi aktarlmamasm ifade etmelidir.
Bu durumda baka bir irket alanndan kulaa gerek gibi gelen
oir talebi, rnein ekibinizdekilerin adlarnn ve e-posta adreslerinin stesinin istendii bir durumu nasl ele alrsnz? Ya da baz evraklarn
sadece irket iinde dolaabileceini alanlarn kafasna nasl
sokarsnz? zmn nemli bir paras, dar gnderilecek bilgileri
deerlendirmek zere her birimden birini grevlendirmek olabilir. Bu
durumda, grevlendirilen alanlara izlemeleri gereken zel kontrol
srelerinin anlatlaca bir ileri gvenlik eitimi verilmelidir.
Kimseyi Unutmayn
Hepimiz altmz irketteki yksek gvenlik gerektiren birimleri
ezbere sayabiliriz. Ama ounlukla gz nnde olmayan, buna karn
saldrlara olduka ak olan yerlere dikkat etmeyiz. Bu olaylardan
birinde, irket iindeki bir numaraya faks ekilmesi yeterince masum ve
gvenli grnebilir; ancak saldrgan, bu gvenlik andan yararlanabilir. Buradaki ders: Sekreterler ve idari memurlardan, irket yneticileri ve st dzey idarecilere kadar herkesin bu tarz oyunlara kar uyank
olmalar iin zel gvenlik eitimleri almas gerektiidir. n kapy kollamay da unutmayn: Danma grevlileri de toplum mhendislerinin
ncelikli hedefleri arasndadr ve baz ziyaretiler ve arayanlar tarafndan
kullanlabilecek aldatma yntemlerine kar uyarlmalar gerekir.
irket gvenlii tarafndan, bir toplum mhendislii oyununa hedef
olduunu dnen alanlar iin bir eit bilgi birikim merkezi niteliinde
tek bir iletiim noktas oluturulmas gerekmektedir. Gvenlik olaylarnn
bildirilecei tek bir noktann olmas, planl bir saldr srasnda saldrnn
ortaya kmas iin etkili bir n uyar sistemi olumasn salayacak,
bylece zaman kaybedilmeden durum kontrol altna al-nabilecektir.
^_
!N| Ot i alacak bir ekilde, arayann adn ve telefon numarasn irket alanlar veri tabanndan kontrol etmek ve geri aramak bile kesin bir
zm deil. Toplum mhendisleri irket veritabanna ad eklemenin ya da
telefon aramalarn ynlendirmenin yollarn bilirler.
BANA YARDIMCI
OLABLR MSNZ?
Yardm teklif ederek toplum mhendislerinin insanlar nasl
kandrdklarn grdnz. Baka bir sevilen yntemde ise roller deiir
ve toplum mhendisi kar tarafn yardmna ihtiyac olduunu syleyerek ynlendirme yapar. Zor durumda olan insanlara hep acmzdr;
bu yzden bu yaklam toplum mhendisinin amacna ulamasnda et{di olduunu tekrar tekrar kantlamtr.
Ziyareti
nc blmde anlatlan yklerden biri, bir saldrgann Sosyal
3./enlik Numaras'n elde edebilmek iin kurbann nasl kandrdndan sz ediyordu. Bu seferki toplum mhendisimiz ayn sonucu elde
stmek iin farkl bir yol izliyor ve sonra da bu bilgiyi kullanyor.
Jones'Iann etelesini Tutmak

Silikon Vadisi'nde, adm vermeyeceimiz bir uluslararas irket var.
Dnyann her tarafna dalm sat brolarnn ve dier tesislerinin
hepsi de bir geni alan a (WAN-Wide Area Netvvork) araclyla irketin genel mdrlne bal. Brian Atterby adnda, zeki, kpr kpr
bir saldrgan, bu tip bir aa, gvenliin, genel mdrle gre daha
gevek olduu en u noktalarndan birinden girmenin daha kolay
olduunu biliyordu.
Saldrgan, Chicago brosunu arad ve Bay Jones'la grmek istediini syledi. Danmadaki kz ona Bay Jones'un ilk adn bilip bilmediini sordu; o da, "Bir yere yazmtm, bulmaya alyorum. Orada Jones
adl ka kii alyor?" diye sordu. Kz, "," diye yantlad. "Hangi
blmde alyor?"
"Adlan okursanz belki hatrlayabilirim", dedi adam ve kz adlar
okudu, "Barry, Joseph ve Gordon."
"Joseph. Evet adnn bu olduuna eminim" dedi adam. "Ve eydeydi...
hangi blmdeydi?"
" gelitirme."
"Hah ite o. Beni ona balayabilir misiniz?"
Kz telefonu aktard. Jones telefonu atnda saldrgan, "Bay Jones?
Merhaba ben bordro servisinden Tony. Maa ekinizin dorudan vakf
hesabnza yatrlmasyla ilgili talebinizi az nce yerine getirdik" dedi.
Tersmler
"BEN U GNDERD"
TARZI GVENLK:
Bilginin nerede olduunu
bilmeye ve o bilgiye ya da
bilgisayar sistemine
erimek iin bir kelime ya
da ad kullanmaya dayanan
gvenlik eklidir.
iin dar neon tabelalar asmyorlard.

Doru yerde bulunmak ounlukla ieri
girebilmek iin yeterliydi. Benzer bir
gvenlik yntemi, irket dnyasnda da
n e y a z | k k j s | k a k u || a m | l y o r v e 'beni-ugnderdi' tarz gvenlik adn vereceim,
ie yaramaz bir koruma salyor.
Filmlerde Grdm
te size pek ok insann hatrlayaca gzel bir filmden bir rnek.

Akbabann'n Gn'nde (Three Days
of the Condor) Robert Redford'un oynad ba karakter Turner, CIA
adna i yapan kk bir aratrma irketinde almaktadr. Bir gn le
yemeinden dndnde tm arkadalarn vurularak ldrlm bulur.
Kim olduklarn bilmedii kt adamlarn kendisini aradklarn bilerek bu
olay kimin ve neden yaptn bulmaya alr.
Hikyenin ilerisinde Turner kt adamlardan birinin telefon
numarasn renmeyi baarr. Ancak bu adam kimdir ve Turner onun
nerede olduunu nasl bulabilir? Tumer'n ans yaver gider, nk
senaryo yazar David Rayfiel, Turner'n gemiine muhabere blnde
telefon hatt teknisyeni olarak eitim alm olma zelliini koymu,
bylece onu telefon irketinin yntemleri ve uygulamalar hakknda bilgili klmt. Turner, kt adamn telefon numarasyla ne yapmas gerektiini gayet iyi biliyordu. Senaryo metninde sahne yle anlatlr:
TURNER YENDEN BALANIR ve BAKA BR NUMARA EVRR.
ZIRR! ZIRR! Sonra:
KADIN SES (FLTRELENM)
MAA, Bayan Coleman konuuyor.
TURNER (ahizeye konuur)
Ben Harold Thomas, Bayan Coleman. Mteri Hizmetleri.
202-555-7389 iin MAA ltfen.
KADIN SES (FLTRELENM)
Bir dakika ltfen.
(hemen sonra)
Leonard Atwood, 765 MacKensie Yolu, Chevy Chase, Maryland
Senaryo yazarnn bir Maryland adresi iin yanllkla bir Washington
alan kodu kullanyor olmas dnda burada ne olduunu anlayabildiniz mi?
Bana Yardmc Olabilir Misiniz?
75
Mifnick Mesaj:
Gizlilik- zerinden gvenlik sistemleri toplum mhendislii saldrlarn
engellemekte etkisizdirler. Dnyadaki herhangi bir bilgisayar sistemini kullanan en az bir insan yardr. Bu yzden, eer saldrgan, sistemleri kullanan
insanlar etkileyebilirse, sistemin gizlilii anlamsz olacaktr.
Ald telefon hatt teknisyenlii eitimi nedeniyle Turner, bir telefon
irketinin MAA (Mteri Ad ve Adresi) brosuna ulamak iin hangi
numaray evirmesi gerektiini biliyordu. MAA, tesisatlar ve dier
yetkili telefon irketi alanlarna kolaylk salamas iin kurulmutu. Bir
tesisat MAA'y arar ve telefon numarasn verirdi. MAA memuru ise
".elefon numarasnn ait olduu kiinin adn ve adresini bulup tesisatya
verirdi.
.
'
Telefon irketini Kandrmak

Gerek dnyada MAA'nn telefon numaras ok iyi saklanan bir srdr.
Her ne kadar telefon irketleri imdilerde ii skya alm ve bilgi vermek
konusunda pek cmert davranmyor olsalar da, o zamanlar gvenlik
uzmanlarnn gizlilik zerinden gvenlik adn verdikleri bir eit 'beni u
gnderdi' tarz gvenlik uygulamas kullanyorlard. MAA'y arayan ve
terminolojiyi bilen herhangi birinin ("Mteri Hizmetleri. 555-1234'le ilgili
MAA ltfen" gibi) bilgi almak iin yetkili olduunu varsayyorlard.
Ne kendinizi tantmaya, ne kimliinizi kantlamaya, ne Sosyal
Gvenlik Numaranz vermeye, ne de hergn deien bir parola girmeye gerek yoktu. Eer aramanz gereken numaray biliyorsanz ve
sesiniz inandrc geliyorsa, o zaman bu
bilgiyi almaya hakknz var demekti.
Bu, telefon irketi asndan ok
yerinde bir varsaym deildi. Gvenlii
salamak yolundaki tek abalar ylda bir
kereden az olmamak zere dnem dnem
telefon numarasn deitirmekti. Buna
ramen bu numaralar hangi dnemde
olursa olsun bu kullanl bilgi kaynandan yararlanmaktan ve baka belei
arkadalaryla yaptklarn paylamaktan
holanan telefon beleileri arasnda
yaygn olarak bilinen numaralard. MAA
brosu dalaveresi, genliimde hobi
olarak telefon beleilii yaptm zamanlarda ilk rendiim eylerden biriydi.
Terimler
GZLLK ZERNDEN
GVENLK: Sistemin (protokollerin, algoritmalarn
ve dahili sistemlerin) alma bilgileriyle ilgili ayrntlar gizli tutmaya dayanan
etkisiz bir bilgisayar gvenlik yntemidir. Gizlilik
zerinden gvenlik, gvenilir bir grup insan dnda
kimsenin sisteme giremeyecei gibi bir yanl inana
dayanr.
i dnyasnda ve devlet dairelerinde 'beni u gnderdi' tarz gvenlik sistemleri kullanlmaya devam edilmektedir. irketinizin birimleri,
alanlar ve terminolojisiyle ilgili yeterli bilgiyi toplam o kadar da
becerikli olmayan herhangi bir saldrgann kendini yetkili biri olarak
tantmas olasdr. Bazen daha az bile yeterli olur. Tm gereken ey
dahili bir telefon numarasdr.
Her ne kadar irketlerde alan pek ok kii gvenlik aklarna

kar ihmalkr, ilgisiz ve dikkatsiz olsa da, Fortune 500 irketleri arasnda bulunan bir bilgisayar merkezinde ynetici unvanyla bulunan birinin
en iyi gvenlik uygulamalar konusunda bilgili olmasn beklersiniz, yle
deil mi?
irketinin Biliim Teknolojileri birimine bal olarak alan bir bilgisayar merkezi yneticisinin basit ve bariz bir toplum mhendislii
dalaveresine kurban gidecei aklnzn ucundan bile gemez. zellikle
de toplum mhendisi ergenlik andan yeni km, hl ocuk saylabilecek biriyse. Ancak bazen beklentilerimizde yanlabiliriz.
Yllar nce radyolar yerel polis ya da itfaiye telsiz konumalarn

dinleyecek ekilde ayarlamak ve her zaman rastlanmayan trden
olduka heyecanl bir banka soygununu, bir iyeri yangnn ya da sratli
bir kovalamacay daha olaylar olurken dinlemek, vakit geirmenin
elenceli yollarndan biriydi. Polis tekilatnn ve itfaiyenin kulland
radyo frekanslar kedeki kitapdan alabileceiniz kitapklarda bile
bulunuyordu; bugn ise internet zerinde listeler Yallne uruyofai \e
bir kitapdan alabileceiniz kitaplardan, yerel tekilatlarn, ile, eyalet
ve hatt baz durumlarda federai brolarn bile radyo frekanslarn bulabilirsiniz.
Bunlar dinleyenler doal olarak yalnzca merakllar deildi. Gecenin
bir yarsnda market soyan hrszlar o tarafa doru bir polis arabasnn
gelip gelmediini renmek iin polis kanaln dinlerlerdi. Uyuturucu
kaaklar Uyuturucu Masas polislerinin yerel hareketlerini buralardan renirlerdi. Bir kundak, nce bir kibrit akp sonra da itfaiyeciler
sndrmeye abalarken tm radyo konumalarn dinleyerek hasta
zevkini tatmin edebilirdi.
Gnmzde bilgisayar teknolojisindeki gelimeler ses mesajlarn
ifreleme olana salad. Mhendisler tek bir mikroyongaya daha fazla
ilem gc tkmann yollarn bulurlarken, bir yandan da kt adamlar ve
merakllarn dinlememesi iin polis kuvvetlerine ynelik kk, ifreli telsizler retmeye baladlar.
Kulak Misafiri Danty
"
" '
. /
Adna Danny diyeceimiz anten merakls ve yetenekli bir bilgisayar

korsan, bu tr telsiz sistemleri reten byk firmalarn birinden, gizli
ifreleme yazlmnn kaynak kodunu ele geirmenin bir yolunu bulup
bulamayacan denemeye karar verirdi. Kodu incelemenin, polis tekilatn dinleyebilmesine olanak salayacan ve belki de, en gelimi
teknolojiye sahip devlet kurumlarnn bile arkadalaryla yapt konumalar dinlemesini gletirecek ekilde teknolojiyi kullanabileceini
umuyordu.
Bilgisayar korsanlarnn karanlk dnyann Danny'leri yalnzca merakl -ve tamamyla- zararsz trden adamlarla tehlikeli adamlar arasnda zel bir snflandrmaya tabidirler. Danny'ler, sunduu heyecan iin
sistemlere ve alara giren ve teknolojinin nasl altn grmenin
keyfini karan muzip bir korsann meraknn yan sra bir uzmann bilgisine de sahiptirler. Ancak onlarn elektronik ortamlar krma ve o alana
girme maceralar gerekten de yalnzca bir maceradr. Bu adamlar, bu
zararsz korsanlar, zevk iin sitelere yasad giri yaparlar.
Yaptklarndan para kazanmazlar; dosyalara zarar vermezler, a
ralantlarn bozmazlar ya da bilgisayar sistemlerini kertmezler.
Dnlarn yalnzca orada olup, gvenlik ve sistem yneticilerinin srt
;onkken dosyalar kopyalamas ve parolalar renmek iin e-postaar taramas, kendileri gibi davetsiz misafirleri darda tutmakla sorumj adamlarn kulaklarn bkmektedir, iin en keyifli yan kar tarafa
stnlk salamaktr.
Bu tanmlara uygun olarak bizim Danny'miz, yalnzca kendi
Dastrlamaz merakn tatmin etmek ve reticinin bulduu akllca yenikleri takdir etmek iin, hedef irketin en iyi korunan rnnn ayrn: arn incelemek istiyordu.
Bilindii zere, rn tasarmlar irketin elindeki herhangi bir ey
adar deerli, korunmas gereken ve zenle saklanan ticari srlardr,
lanny bunu biliyordu ama zerre kadar
.nurunda deildi. Ne de olsa, hedefteki,
sadece byk ve isimsiz bir irketti.
Terimler
Ancak yazlm kaynak kodunu nasl

i de edecekti? ilerin gidiine baklrsa,
'ketin Gvenli iletiim Grubu'na ait
<raliyet mcevherlerini" ele geirmek
: duka kolay olmutu. stelik irket,
asanlarn kendilerini tantmalar iin bir
.erine iki ayr anahtar gerektiren iki
zasamakl! bir kimlik belirleme sistemi
..Hanyordu.
K BASAMAKLI
TANIMLAMA: Kimlii
belirlemek iin iki farkl
tanmlama ekli kullanlmasdr. rnein, bir
kiinin kendini tantabilmek
iin belirli, tanmlanabilir
bir noktadan ve parolay
bilerek aramas gerekebilir.
78
Aldatma Sanat
ite size, byk olaslkla artk aina olduunuz bir rnek. Yeni kredi
kartnz geldiinde, kartn doru kiinin elinde olduundan ve birilerinin
zarf posta kutusundan almadndan emin olmak iin kart veren irket onlar aramanz ister. u sralar kartla birlikte gelen talimatlar genellikle evden aramanz neriyor. Aradnzda, kredi kart irketindeki
yazlm, irketin dedii cretsiz aramalarn yapld santraln salad
ONT'yi (Otomatik Numara Tanmlaycsfn) zmlyor.
Kredi kart irketindeki bir bilgisayar, arayan tarafn numarasn irketin kart sahipleri veri tabannda bulunan numarayla karlatrr.
Grevli, telefonu aana kadar mterinin veri tabanndan ekilen bilgiler
ekranda grnr. Bylece grevli, bilgileri grd anda, aramann bir
mterinin evinden yapldn anlar. Bu, kimlik belirlemenin bir
basamadr.
Sonra grevli sizinle ilgili nne kan bilgilerden birini seer -bu
ounlukla Sosyal Gvenlik Numaras, doum tarihi ya da annenin
kzlk soyad olur- ve bu bilgiyi dorulamak iin size soru sorar. Eer
doru yant verirseniz, bu da kimlik belirlemenin, sizin bildiiniz bir eye
dayanan ikinci basaman oluturur.
Hikyemizde geen gvenli telsiz sistemlerini reten irketin her
alannn bilgisayara girmek iin kulland kullanc ad ve parolann
yan sra bir de Gvenli Kimlik dedikleri kk bir elektronik cihaz
vardr. Buna zaman tabanl anahtar denir. Bu cihazlar iki eittir: Biri bir
kredi kartnn yars boyutundadr ama biraz daha kalndr; dieri ise
insanlarn anahtarlklarna takabilecekleri kadar kktr.
ifreleme dnyasnn bir eseri olan bu aletin zerinde alt basamakl bir say gsteren kk bir ekran vardr. Her altm saniyede bir ekranda farkl bir alt basamakl say grnr. Yetkili bir kiinin, dardan aa
girecei zaman, nce gizli bir kiisel kimlik numaras sonra da anahtar
cihaznda grnen saylar girerek kendini yetkili biri olarak tantmas
gerekir. Dahili sistem tarafndan tanndktan sonra kullanc adn ve
parolasn yazarak girii gerekletirir.
Gen korsan Danny'nin istedii kaynak kodunu alabilmesi iin yalnzca bir alann kullanc adn ve parolasn bulmas yetmiyor (ki bu,
deneyimli bir toplum mhendisi iin ok zor bir i deildir), ayn zamanda zaman tabanl anahtar kontroln de atlatmas gerekiyordu.
Gizli kiisel kimlik numarasyla birlemi zaman tabanl anahtar kullanlan iki basamakl bir kimlik belirleme sistemini alt etmek kulaa tam
Grevimiz Tehlike'den frlam bir i gibi geliyor. Ama toplum mhendisi
iin byle bir ite karlaaca zorluk, zel bir beceriye sahip bir poker
oyuncusunun rakiplerinin yzlerini okumada karlat zorlukla benzerdir. ans yaver giderse, oturduu masadan, dier insanlardan ald
tomarla parayla birlikte kalkabileceini bilir.
Kaleyi Fethetmek
Danny hazrlklarn yapmaya balad. ok gemeden gerek bir
alan roln oynayacak kadar bilgi toplamt. Elinde bir alann ad,
rolm, telefon numaras ve Sosyal Gvenlik Numaras'nn yan sra
rneticisinin ad ve telefon numaras da vard.
O anda kelimenin tam anlamyla frtna ncesi sessizlik hakimdi.
Yapt plan uygulayarak bir sonraki adm atmadan nce Danny'nin
yapmas gereken birey daha kalmt. Bu, kendi abalaryla yapamayaca bir eydi. Bir kar frtnasna ihtiyac vard. Danny'nin, alanlarn
--"islerine ulamasn engelleyecek kadar kt bir hava iin Tabiat
^na'dan kk bir yardm almas gerekiyordu.
Sz konusu fabrikann bulunduu Gney Dakota'da k mevsiminde
<t hava dileyen birinin ok beklemesi gerekmez. Cuma gecesi frtna
koptu. Kar eklinde balayan ya, souk bir yamura dnt ve
oylece sabaha kadar tm yollar kaygan ve tehlikeJi bir buz tabakasya kapland. Danny iin bu harika bir frsatt.
Fabrikay arayp, bilgisayar odasn balattrd ve bilgi ilemin ii
arlarndan birine, kendini Roger Kovvalski olarak tantan bir bilgisayar
iletmenine ulat.
Danny, ele geirdii ve gerek bir alana ait olan ad vererek
Konutu. "Ben Bob Billings. Gvenli letiim Grubu'nda alyorum. u
anda evdeyim ve frtna yznden ie gelemiyorum. Bilgisayarma ve
sunucuya evden ulamam gerekiyor ama Gvenli Kimlik Kart'm
masamda unutmuum. Onu benim iin alr msnz? Ya da baka biri de
alabilir. Sonra aa girmem gerektiinde ekrannda yazan bana okuyabilirsiniz. Ekibimin yetitirmesi gereken nemli bir teslimat var ve bu
durumda ii bitirmem mmkn deil. Ofise gelemiyorum, bu taraflardaki yollar ok tehlikeli bir hale geldi."
"Ben Bilgisayar Merkezi'nden ayrlamam" dedi bilgisayar iletmeni.
Danny hemen atlad, "Sizin bir Gvenli Kimlik Kartnz var m?
"Bilgisayar Merkezi'nde bir tane var," dedi iletmen. "Acil bir durumda iletmenlerin kullanmas iin."
"Tamam" dedi Danny. "Bana byk bir iyilik yapabilir misin? Aa
girmem gerektii zaman Gvenli Kimlik Kart'n kullanabilir miyim?
Yalnzca yollar dzelene kadar."
"Adnz ne demitiniz?" diye sordu Kovvalski
"Bob Billings."
"Kimle alyorsunuz?"
"Ed T r e n t o n ' l a . "
- '
/<
:- .
.,- v
Zor bir durumda kalma tehlikesi varsa, iyi bir toplum mhendisi,
yaplmas gerekenden daha fazla aratrma yapar. "kinci kattaym" diye
devam etti Danny. "Roy Tucker'in yannda oturuyorum."
Adam bu ad da biliyordu. Danny onu ilemeye devam etti. "Masama
gidip Gvenli Kimlik Kart'm alp gelirseniz ok daha kolay olabilir."
Danny adamn bunu yapmayacandan olduka emindi. Her eyden
nce mesaisinin ortasnda ii brakp koridorlardan geip merdivenlerden kp binann br kesine gitmek istemeyecekti. Ayrca baka
birinin masasnn bana geip zel eyalarn kartrr gibi bir durumda
kalmak da istemezdi. Evet, bunu yapmayaca stne oynamak yerinde
olacakt.
Kowalski yardma ihtiyac olan birine hayr demek istemiyordu ama
evet deyip ban belaya sokmak da istemiyordu. Bu yzden karar vermekten ekinerek yana adm att. "Mdrme sormam gerekecek. Biraz
bekler misiniz?" Telefonu brakt ve Danny onun baka bir telefonu alp,
bir numara evirdiini sonra da isteini birine anlattn duydu. O anda
Kovvalski aklamas g birey yapt. Bob Billings adn kullanan
adama kefil olmutu. "Onu tanyorum" dedi yneticisine. "Ed Trenton
iin alyor. Bilgisayar Merkezindeki Gvenli Kimlik Kart'n kullanmasna izin verebilir miyiz?" Danny telefon elinde amacna verilen bu
olaanst ve beklenmedik destek karsnda arp kalmt. Ne ansna ne de kulaklarna inanamyordu.
.-.;. -
--
Birka dakika sonra Kovvalski telefonu yeniden eline ald. "Mdrm
sizinle ahsen konumak istiyor" dedi ve ona mdrnn adn ve cep
telefonu numarasn verdi.
Danny mdr arad ve zerinde alt projenin ayrntlarn ve
ekibinin nemli bir teslimat yetitirmesi gerektiini de ekleyerek tm
hikyeyi bir kez daha anlatt. "Biri gidip kartm alabilirse daha kolay
olur" dedi. "Masamn kilitli olduunu sanmyorum, sol st ekmecede
olmal."
"Peki" dedi mdr," Yalnzca hafta sonu iin olmak kaydyla sanrm
Bilgisayar Merkezi'ndekini kullanmanza izin verebiliriz. Grevli
arkadalara aradnzda eriim ifresini size okumalarn syleyeceim" dedi ve onunla birlikte kullanlacak kiisel tantm numarasn da
verdi.
Tm hafta sonu boyunca irket bilgisayarna girmek istedii zaman
Danny'nin yapt tek ey Bilgisayar Merkezi'ni aramak ve Gvenli Kimlik
Kart'nda yazan alt basamakl sayy okumalarn rica etmek oldu.
Bana Yardmc Olabilir Misiniz?
81
i erden Bitirmek
irketin bilgisayar sistemine girdikten sonra ne olacakt? Danny
'ad yazlmn bulunduu sunucuya girmenin yolunu nasl bulacakt?
Bunun iin zaten hazrlklyd.
Bilgisayar kullanclarnn ou tartma guruplarn bilirler. Bunlar,
insanlarn yant aradklar sorularn koyduklar ya da mzik, bilgisayar
ve daha yzlerce baka konuda sanal arkadalar edinmek iin kulandklar elektronik blten panolardr.
Bir tartma gurubu sitesine mesaj braktklarnda, mesajlarnn ylarca evrimii ve eriilebilir kalacan pek az kii bilir. rnein
3oogle'n, bazlarnn tarihi yirmi yl ncesine dayanan yedi yz milyon
mesajlk bir arivi vardr! Danny ie http://groups.google.com adresine
girmekle balad.
Arama metni olarak "ifreli telsiz iletiimi" ve irketin adn girip bir
alana ait yllar ncesinden kalm bir mesaj buldu. irketin bu rn
gelitirmeye balad yllarda, herhalde polis tekilatlarnn ve federal
Duralarn telsiz sinyallerini kartrmay dnmelerinden ok nce
Diraklm bir mesajd.
Mesajda gnderenin ad da bulunuyordu. Yalnzca ad deil, telefon
numaras ve hatt alt grubun adn vard; Gvenli letiim Grubu.
Danny telefonu ap numaray evirdi. Yapt ok uzun bir at gibi
grnyordu. Adam, yllar sonra da ayn kurulu iin almaya devam
ediyor muydu? Byle frtnal bir hafta sonunda i yerinde olabilir miydi?
Telefon bir kez, iki kez, kez ald ve sonunda ald. Aan kii, "Ben
Scott" dedi.
Danny, irketin Bilgi lem Blm'nden olduunu syleyerek
gelitirme ileri iin kullanlan sunucularn adn vermeye (nceki blmlerden artk aina olduunuz yollardan birini kullanarak) Scott'u ikna etti.
Bu sunucularda, ifreli telsizlerde kullanlan, irkete zg algoritmalarn
ve yazlmlarn kaynak kodlarnn bulunduunu dnyordu.
Danny gittike yaklayor ve heyecan da giderek artyordu. ok az
insann baarabileceini bildii bir eyi baardnda hissedecei heyecann ve byk cokunun beklentisi iindeydi.
Yine de henz hedefine ulamamt. Yardmsever bilgisayar merkezi
mdr sayesinde tm hafta sonu boyunca irketin ana istedii zaman
girebiliyordu. Ayrca hangi sunuculara erimesi gerektiini de biliyordu.
Ancak balanmaya altnda, oturum at ubirim sunucusu Gvenli
iletiim Grubu gelitirme sistemlerine girmesine izin vermedi. O grubun
bilgisayar sistemlerini koruyan bir i gvenlik duvar ya da ynlendirici
olmalyd. Girmek iin baka bir yol bulmas gerekiyordu.
Bir sonraki adm gzn karartmasn gerektirmiti. Danny,

Bilgisayar Merkezi'nde alan Kovvalski'yi arad ve, "Sunucum balanmama izin vermiyor" diye ikyet etti. "Telnet kullanarak kendi sistemime balanabilmem iin sizin blmn bilgisayarlarnda benim iin
bir hesap aabilir misiniz?"
Mdr zaten zaman tabanl anahtarn salad eriim ifresinin verilmesini onaylamt, bu yzden byle bir istek tuhaf karlanmad.
Kovvalski, Bilgisayar Merkezi bilgisayarlarndan birinde geici bir hesap
at ve bir de parola verdi. Danny'e de, "ihtiyacnz kalmad zaman
haber verirseniz, hesab kaparm." dedi.
Geici hesaba girdikten sonra Danny, a zerinden Gvenli iletiim
Grubu'nun bilgisayar sistemlerine balanmay baard. Ana gelitirme
sunucusuna balanabilmek, amacyla teknik bir ak bulabilmek iin bir
saat boyunca evrimii arama yapt ve sonunda turnay gznden
vurdu. Grne gre sistem ya da a yneticileri iletim sistemlerinde
uzaktan eriime izin veren gvenlik hatalaryla ilgili gelimelerden haberdar deillerdi. Ama Danny haberdard.
Ksa sre ierisinde, arad kaynak kodlarn buldu ve cretsiz saklama alan veren bir e-ticaret sitesine aktard. Dosyalar bulunsa bile bu
siteden kimse onun izini sremezdi.
At oturumu kapatmadan nce atmas gereken bir adm daha
vard: Brakt izleri dikkatle temizlemesi gerekiyordu. Cumartesi gecesi Jay Leno'nun program bittiinde o da kendi iini bitirdi. Danny bunun
ok verimli bir hafta sonu olduuna karar verdi. stelik de kendini hi
riske atmas gerekmemiti. Ba dndrc bir heyecand, hatt kayak
srfnden (snowboard) ve serbest atlaytan (sky diving) bile daha
heyecan vericiydi.
Danny o gece sarho oldu ama viski, cin, bira ya da sake ierek
deil. Ard dosyalara bakarken, parmaklarnn arasndan kaymaya
alan son derece gizli telsiz yazlmna yaklamann verdii g ve
baar duygusuyla sarho olmutu.
:
..
Bir nceki ykde olduu gibi, bu oyunun da ie yaramasnn tek

nedeni, bir irket alannn, arayan kiinin syledii kii olduunu,
sorgulamadan kabullenmesidir. Sorunu olan bir mesai arkadana
yardm etmek sanayi tekerinin dnmesini salayan ve baz irketlerin
personeliyle almay dierlerine gre daha keyifli hale getiren bir
unsurdur. te yandan bu yardmseverlik, bir toplum mhendisinin
smrebilecei nemli bir zaaf da olabilir.
Danny'nin kulland baka bir yntem ise nefisti. Birinin masasndan Gvenli Kimlik Kart'n alp gelmesi talebinde bulunurken srek;:
Bu ykde anlatlanlar zaman tabanl anahtarlarn ve benzer tanmlama yntemlerinin kurnaz bir toplum mhendisine kar koruma salamadklarn bize
gsteriyor. Tek savunma, gvenlik politikalarm bilen ve bakalarnn kt niyetle
'. davranlarn etkileyebileceinin farknda olan saduyulu bir alandr.
olarak emreder gibi konuuyordu. Kimse emir almaktan holanmaz. Bu
tavryla Danny o isteinin geri evrilmesini salad ve baka bir zm
nerisini kabul etti. Bu da tam istedii eydi.
Bilgisayar Merkezi iletmeni Kovvalski, Danny'nin adlarn verdii
Kiileri tanmas nedeniyle tuzaa dmt. Ama neden Kowalski'nin
mdr, hem de bir bilgi ilem yneticisi, tanmad birinin irketin
dahili ana girmesine izin verdi? nk toplum mhendisinin aralar
arasnda yardm talebi en gl silahlardan biridir.
Byle bir ey sizin irketinizde de olabilir mi? Yoksa oktan oldu mu?
Yardmc olan kiinin, arayann gerek bir alan olup olmadn
kontrol etmeden ve gerekli nlemleri almadan saldrgana irket ana
dardan girebilme hakkn tanmas bu yklerde sk sk tekrarlanan
bir konu gibi grnyor. Neden bu konuya bu kadar fazla deiniyorum
dersiniz? nk bu, pek ok toplum mhendislii saldrsnn en nemli unsuru, bir toplum mhendisinin amacna ulamasnn en kolay
yoludur. Neden bir saldrgan basit bir telefon konumasyla bu ii
halledebilecekken saatlerce gvenlik duvarlarn (firevvall) krmaya
urasn?
Toplum mhendisinin bu tarz bir saldry gerekletirmek iin kulland en gl yntemlerden biri, saldrganlar tarafndan ska kullanlan, yardma ihtiyac olduu oyununu oynamaktr. alanlarnzn
mterilere ve mesai arkadalarna yardmc olmalarn engellemek
istemeyeceinize gre onlar, bilgisayar eriimi ya da gizli bilgiler talep
eden kiilere kar kullanmalar iin zel kontrol sreleriyle donatmanz
gerekmektedir.
irket gvenlii sreleri, eitli durumlarda ne tr kontrol mekanizmalarnn kullanlacan ayrntl olarak anlatmaldr. On yedinci
blmde srelerin ayrntl bir listesini bulabilirsiniz, ancak ite size gz
nnde bulundurulabilecek bir takm kurallar:
stekte bulunan kiinin kimliini kontrol etmek iin kullanlabilecek en iyi yollardan biri o kiinin irket rehberindeki telefonunu
84
Aldatma Sanat
aramaktr. Eer kii bir saldrgansa, o zaman kontrol telefe _
sahte alan dier hatt beklerken gerek kiiyle konuma"
ya da alann brakt sesli mesaja ulap alann ses
saldrgann sesiyle karlatrmanz salar.
Eer kimlik kontrol iin irketinizde Sosyal Gvenlik

kullanlyorsa, bu durumda bu numaralarn hassas bilgi sa>
mas ve zenle korunup yabanclara verilmemesi gerekmektec
Ayn ey dahili telefon numaralar, birim fatura bilgileri, har;
e-posta adresleri gibi her trl dahili tanmlayc iin de geerlic
irket eitimleri herkesin dikkatini, yetkili ve bilgili grndkle"

iin bilinmeyen kiilerin irket alan varsaylmalar uygulamasna ekmelidir. Bir kiinin irket uygulamalarn bilmesi ya es
irket ii terimleri kullanmas kimliinin kontrol edilmemesi ir
yeterli neden deildir.
Gvenlik grevlileri ve sistem yneticileri sadece herkesir

gvenlik kurallarna ne kadar uyduunu grecek ekilde konuya
odaklanmamaldrlar. Ayn kurallara, srelere ve uygulamalara
kendilerinin uyduundan da emin olmaldrlar.
Parola ve benzeri eyler, doal olarak, hibir zaman bakasna

verilmemelidir. Bakalarna verilmeyle ilgili kural, zaman taban
anahtarlar ve dier tanmlama yntemleri sz konusu olduunda
daha da nemli olmaktadr. Bu unsurlardan herhangi birinin
bakalarna verilmesinin, irketin bu sistemleri kurma amacna
btnyle aykr olduunun herkese bilinmesi gerekmektedir.
Bakalarna verilmesi, izinin srlemeyecei anlamna gelir.
Eer bir gvenlik sorunu yaanrsa ya da bir eyler ters giderse,
kimin sorumlu olduunu bulamazsnz.
Bu kitapta hep vurguladm gibi, alanlarn kendilerine gelen

talepleri dikkatle deerlendirebilmeleri iin toplum mhendislii
hilelerinin ve tekniklerinin bilincinde olmalar gerekmektedir.
Gvenlik eitiminin bir paras olarak rol yapma eitimlerini de
gz nne alabilirsiniz, bylece alanlarnz toplum mhendisinin nasl altn daha iyi anlayabilirler.
DZMECE STELER
TEHLKEL EKLER
"Karlksz hibir ey olmaz" diye eski bir sz vardr. Buna karn

bedava bir eyler sunma tuzaklar hem yasal ("Ama durun-dahas var!
Hemen arayn ve yannda bir bak seti bir de msr patlatma makinas
verelim!") hem de o kadar da yasal olmayan ("Florida'da bir dnm
bataklk arazisi aln, ikinci dnm bedavaya gelsin!") iler iin nemli bir
ilgi ekme yolu olmay srdryor.
Pek oumuz bedava bireyler elde etmeye o kadar hevesliyiz ki
yaplan neri ya da verilen sz zerinde mantkl dnemeyecek
durumda olabiliyoruz. u yaygn uyary hepimiz biliyoruz; "mterilerin
dikkatine"; ama artk baka bir uyary daha dikkate almann zaman
geldi: Bedava yazlmlara ve "hadi tkla" diyen e-posta eklerine dikkat.
Bilinli bir saldrgan, bir irket ana girebilmek iin bedava bir hediyeye
kar duyduumuz doal drtye hitap etmek dahil, neredeyse her yolu
kullanacaktr. te birka rnek.
Bedava Bir (Boluk) stemez Miydiniz?

Tpk virslerin zamann balangcndan bu yana insanolunun ve
tp uzmanlarnn bana bela olmalar gibi, ok isabetli biimde
adlandrlm bilgisayar virsleri de teknoloji kullanclarnn bana benzer bir bela amlardr. En ok zarar veren virsler, -hi de tesadf
olmayan bir biimde- en ok ilgiyi toplayan ve gz nnde bulunanlar
olmutur. Bunlar bilgisayar varidatlarnn rnleridir.
Kt huylu bilgisayar vandallarna dnen bilgisayar hastalar, ne
kadar zeki olduklarn gsterebilmek iin urap didinirler. Bazen yaptklaryla bir kabul trenindeymi gibi daha yal ve deneyimli bilgisayar korsanlarn etkilemek amacndadrlar. Bu insanlar, zarar vermek zere tasarlanm bir virs ya da solucan yaratmaya gdlenmilerdir. Eer yaptklar
i dosyalar yok edip, sabit srcleri gertiyorsa ve kendini gizlice binlerce insana gnderebiliyorsa, Vandallar baarlar karsnda gururla
kabarrlar. Eer virs, gazetelerin yazaca kadar ve ana haberlerde ona
kar uyarlar yaynlanacak kadar kargaa yarattysa daha da iyi olur.
Vandallar ve virsleriyle ilgili pek ok ey yazld; kitaplar: yazlmlar;
ayrca koruma salamak iin irketler kuruldu ama biz burada onlarn
teknik saldrlarna kar savunmalardan szetmeyeceiz. Bizim u anki
ilgi noktamz vandaln ykc hareketlerinden ok onun uzaktan akrabas
olan toplum mhendisinin maksatl abalar zerinde olacak.
86
Aldatma Sanat
E-posfayla Geldi
Her gn reklam mesajlar ieren ya da ne istediiniz, ne de ihtiyacnz olan bireyleri bedava olarak sunan istenmeyen e-postalar alyorsunuzdur. Nasl eyler olduklarn biliyorsunuz. Yatrm danmanl,
bilgisayarlar, televizyonlar, kameralar, vitaminler ya da seyahatler iin
indirimler; ihtiyacnz olmayan kredi kartlar iin frsatlar; cretli televizyon kanallarn bedava seyretmenizi salayacak bir cihaz; salnz ya
dJ15QKs gcnz artrmann yollar ve daha neler neler.
Ama arada bir, elektronik posta kutunuzda sizin de ilginizi eken bir
teklif gznze iliebilir. Belki bedava bir oyundur, en sevdiiniz yldzn 94
fotograflk albmdr, bedava bir takvim programdr ya da bilgisayarnz
virslere kar koruyacak ok uygun fiyatl bir paylam yazlmdr.
Sunulan herneyse, denemeniz iin sizi ikna etmeye alt dosyay indirmeniz iin sizi ynlendirir.
Ya da belki konu satrnda "Dan, seni zledim" ya da "Anna, neden
bana yazmadn" ya da "Selam Tom, ite sana sz verdiim seksi
fotoraf gibi eyler yazan mesajlar alrsnz. Bylece fotorafa bakmak
ya da mesaj okumak iin eki aarsnz.
Tm bu hareketler -reklam e-postalarndan rendiiniz yazlmlar
indirmek, sizi daha nce duymadnz bir siteye ynlendirecek bir
balantya tklamak, tanmadnz birinden gelen bir eki amak- belaya
davetiye karmaktr. u da var ki, ou zaman ne bekliyorsanz tam
olarak onu grrsnz ya da daha kts mitleriniz boa kar ya da
sevimsiz eylerle karlarsnz ama bunlar zararszdr. Ama bazen,
karnza kan ey bir vandaln eseridir.
Bilgisayarnza kt huylu bir kod gndermek saldrnn yalnzca
kk bir parasdr. Saldrnn baarl olabilmesi iin saldrgann sizi
eki indirmeye ikna etmesi gerekir.
En ok zarar veren kt huylu solucanlarn birkan belirtmek
gerekirse, Love Letter, SirCam ve Anna Koumikova gibi, hepsi de yaylabilmek iin toplum mhendislii aldatma tekniklerine dayanmlar ve
bireyleri karlksz elde etme isteimizden yararlanmlard. Solucan,
gizli bilgiler ve bedava porno gibi ilgi ekici bir ey sunan ya da ok
zekice bir hileyle, sizin gya sipari etmi olduunuz ok pahal bir
eyann faturasnn ekte olduunu syleyen bir mesaj ieren bir
IXI vj i * Bilgisayar dnyasnda Uzaktan Eriindi TruvaAt (Remote

Access Trojan) olarak bilinen bir eit program, saldrgann bilgisayarnz
zerinde tam bir kontol kurmasn salar, tpk sizin klavyenizin banda
oturuyormu gibi!
Dzmece Siteler ve Tehlikeli Ekler

e-postann eki olarak gelir. Bu son tuzak i
kredi kartnzdan sipari etmediiniz bir
rnn parasnn ekildii endiesiyle
sizi eki amaya ynlendirir.
87
Z. ' 7 "~
Trimlr
MALWARE (Kt huylu

yazlmn argo karl) bir
Ne kadar ok insann bu tuzaklara
virs, solucan ya da Truva
dtn bilmek artcdr; e-posta
At gibi zarar verici ilemler
eklerini amann tehlikeleri konusunda \ yapan bilgisayar program.
tekrar tekrar uyarlmamza ramen
tehlikeye kar duyarllmz zaman
iinde azalr ve her birimizi savunmasz brakr.
Zararl Yazlmlarn Belirlenmesi
'
i
|
\
j
I
j
Baka trl bir zararl yazlm (malvvare-malicious softvvare) ise sizin

bilginiz ya da onaynz dnda alan ve siz farknda olmadan grevini yerine getiren bir program bilgisayarnza ykler. Zararl yazlmlar
bata olduka masum grnebilir hatt bir VVord dokman ya da
Povverpoint sunumu ya da makro ilevleri olan herhangi bir program
olabilir ama bunlar baka bir program gizlice ykleyeceklerdir. rnein,
zararl yazlm, Blm 6'da sz edilen Truva At'nn bir eidi olabilir.
Bu yazlm makinanza bir kez kuruldu mu, yazdnz her karakteri -tm
parolalarnz ve kredi kart numaralarnz dahil- saldrgana bildirir.
ok edici bulabileceiniz baka iki tr zararl yazlm daha var. Bir
tanesi saldrgana bilgisayar mikrofonunuzun civarnda konutuunuz
her kelimeyi bildirir (mikrofonunuzun kapal olduunu dndnz
zaman bile). Daha da kts, bilgisayarnza bal bir kameranz varsa,
bir saldrgan, benzer bir teknik kullanarak terminalinizin nnde olup
biten her eyi, kamerann kapal olduunu dndnz zaman bile,
gece ya da gndz, seyredebilir.
Kt bir aka anlay olan bir korsan, hnzrlklaryla rahatsz edici
olmak zere tasarlanm kk bir program bilgisayarnza kurmaya
alabilir. rnein CD srcnz anszn aabilir ya da zerinde
altnz dosyay srekli simge durumuna kltebilir. Ya da gecenin
ortasnda lk ykl bir ses dosyasnn en yksek sesle almasna
neden olabilir. Uyumaya ya da i yapmaya alrken bunlarn hibiri
elenceli gelmeyecektir... ama en azndan kalc zarar vermezler.
Mitnick Mesaj:
Hediye veren samalklara dikkat edin, yoksa irketinizin bana Truva kentinin bana gelenler gelebilir. Ne yapmanz gerektiini bilemiyorsanz, bir eylerin bulamasn engellemek iin koruma kullann.
88
Aldatma Sanat
Bir Arkadatan Mesaj

Aldnz nlemlere karn senaryolar daha da vahimleebilir. Dnn:
ansnz hi zorlamamaya karar verdiniz. Artk bildiiniz ve gvendiiniz,
SecurityFocus.com ya da Amazon.com gibi, gvenlikli siteler dnda hibir
yerden dosya indirmemeye karar verdiniz. Bilinmeyen kaynaklardan gelen
e-postalardaki balantlara artk tklamyorsunuz. Beklemediiniz hibir
e-postadak\ eta amamaya karar verdmiz.. Ve e-ticaret ilemleri yapmak ya
da kiisel bilgiler alp vermek iin girdiiniz sitelerde gvenli site simgesi
olduundan emin olmak iin internet taraycnz kontrol ediyorsunuz.
Ve bir gn bir dostunuzdan ya da i arkadanzdan, eki olan bir
e-posta alyorsunuz. yi tandnz birinden geliyorsa zararl bir ey olamaz, deil mi? zellikle de bilgisayar verileriniz zarar grrse kimi
bildiiniz, srece.
Eki ayorsunuz ve... GM! Az nce bir solucan ya da Truva At
tarafndan vuruldunuz. Tandnz biri neden size bunu yapsn? nk
herey grnd gibi deildir. unu okumutunuz: Birinin bilgisayarna
giren ve sonra da kendini o kiinin adres listesindeki herkese postalayan
solucan. Tm bu insanlar da bildikleri ve gvendikleri birinden bir e-posta
almlard ve bu gvenilir e-postalarn her birinde, durgun bir gle atlm
bir tan yaratt halkalar gibi kendi kendini datan solucanlar da vard.
Bu tekniin bu kadar etkili olmasnn nedeni bir tala iki ku vurma
kuramna dayanr: Dier kukulanmayan kurbanlara yaylma becerisi ve
gvenilir birinden geliyormu gibi grnmesi.
Teknolojinin bugnk seviyesinde, yakn birinden gelen bir e-postann
bile gvenli olup olmayacan dnyor olmanz yaamn zc bir
gereidir.
iinde bulunduumuz bilgi anda, grmeyi beklemediiniz bir

internet sitesine ynlendirilmeyi de ieren bir dolandrclk eidi daha
var. Bu sk sk olur ve deiik ekillerde karmza kar. Aadaki
rnek, intemet'te dolaan gerek bir dmene dayanan tipik bir rnektir.
nsan, dnyay ve kendi yaam tarzm deitiren pek ok harika ey kefetmitir. Ancak teknolojinin her iyi kullanm iin, ister bilgisayar, ister telefon ya da internet olsun, birileri her zaman bunu kendi karlar iin ktye
kullanmann yolunu bulurlar.
89
Mutlu Noeller . . .
Edgar adnda emekli bir sigorta satcs bir gn PayPal'dan bir
e-posta alr. PayPal, hzl ve elverili koullarla evrim ii deme
olanaklar sunan bir irkettir ve bu tarz bir hizmet, zellikle lkenin (hatt
dnyann) herhangi bir yerinde oturan biri, tanmad birinden bir mal
satm alrken kullanldr. PayPal, alcnn kredi kartndan tutar eker ve
paray dorudan satcnn hesabna aktarr.
Bir antika cam kavanoz koleksiyoncusu olarak Edgar evrim ii
mzayede irketi olan eBay araclyla birok kez i yapmtr. PayPal'
sk sk kullanr, bazen haftada birka kere de kulland olur. Bu yzden
2001 tatil dneminde ald, PayPal'dan geliyor gibi grnen ve PayPal
hesabn gncellemesi karlnda bir dl sunan bir e-posta Edgar'n
ilgisini eker. Mesaj yledir:
Mutlu Yllar Deerli PayPal Mterisi;
Yeni yl yaklarken ve hepimiz bir yl daha ilerlerken PayPal size hesabnza
5 dolar kredi eklemek istiyor!
5 dolarlk dlnz alabilmeniz iin tm yapmanz gereken, 1 Ocak 2002

tarihine kadar bilgilerinizi gvenli Pay Pal sitemizden gncellemektir.
Bizdeki bilgilerinizi gncelleyerek siz deerli mteri hizmetlerimize
mkemmel bir hizmet verme olana tanm ve bu srada kaytlarmz
doru tutmamz salam olacaksnz!
Bilgilerinizi imdi gncellemek ve PayPal hesabnza 5 dolar eklemek iin
bu balanty tklaynz: http://www.paypal-secure.com/cgi-bin.
PayPal.com sitesini kullandnz ve bize trmzn en by olmada
yardmc olduunuz iin teekkr ederiz!
En iten dileklerimizle ok "Mutlu Noeller ve Mutlu Yllar,"
PayPal Ekibi
Edgar e-postayla ilgili bireylerin ters olduunu gsteren hatal

ayrntlar da farketmemiti (rnein, selamlama cmlesinden sonraki
noktal virgl ve "deerli mteri hizmetlerimize mkemmel bir hizmet"
diyen bozuk cmle gibi). Linki tklad, istenen bilgileri -ad, adres, telefon
numaras ve kredi kart bilgileri- girdi ve be dolarlk kredisini bir sonraki kredi kart ekstresinde grmek iin oturup beklemeye balad. Onun
yerine grd, hibir zaman almad eyalara ait bir deme listesiydi.
2\vim ii alveri yapmaya yanamayan, Amazon \r 'T3rKa olmu irketlerden ya da Old Navy, Target ya 6-.
o,...:.. . . - "
'
"
'"
'
..;
. "S,
3ir
90
Aldatma Sanat
ta'aft^p b ^ n c a kukuartiYiaMS naKiai1. c M w , i . ^ , : . . - . .::..-'.::.:.z
buann sian.-ard olan 128-bit ifreleme kullanyor OV^H; or

s ^,o .-Hpajjiniz bilgiler bilgisayarnzdan ifreli o.c.-s.. ....'..;
d'7^w-- :- byk bir aba sarfedilerek deifre od.ooli.ife.- -Ya
b n v ^ s - K - a makul bir sre ierisinde krlmazlar; bunu belKi bir
tek Ulusal Gvenlik Ajans (NSA> baarabilir (ve bildiimiz kad&nyla NSA'n.n ne Amerikan vatandalarnn kredi kart numara arn. calr',1;-.,? -e de kimlerin pornografik video kasetler yp -3 fantezi i
amarlar aldn bulmaya ynelik bir ilgisi vardr).
QI c.ifr
^valar, asln*.
j
~J "*' "'"\\
hernsV.J-i Jtf UYS findan krlabilir. Ama geree >* >v Pal, u,r ,<, so.
k crt, mmaras! almak iin tm bu emei safsd&r; V'.csc d? ps:? OK
e"Lica,:ef irfcs^ mterilerinin ftnansal bilgilerini ifrelenmemi verf o ^ ^ n n d a saklama hatasm, yaparken? Daha da kts, beli, bir
sVv 3 ,-.taban. kullanan baz e-ticaret irketleri sorunu, fena halde
n e n d i r l e r : Programn imalattan gelen sistem ynet.cs, jfresnh
;,= :--.oîciprriir Yazlm kutusundan kardklannda, rfres
bo^'û.-"^
^ "boluk" olarak kalmaya devam eder. Bu
^
:
.
!
.
opo^nrm
ierii veritaban sunucusuna balanmay
Re
denemeye ka.*,- vermi internet'teki herkese aiKc.r ^
^
^
z a m a n S3.!d ! r! a l t n d a d r e aoer oe\eKe.: Co y ^ .
-' -- "
senin ruhu GUVMC.:''L."..
'3 korku''"i'5 veryapmayan ayn insanlar, kredi kartlarn tula ve

i bir dkkndan al.veri ederken kullanmakta ya
beionoan yapm u UUMOIMOM
. anneler-.
i C""S
i k i l i i demek .n
.; w* - i akam yemei veya ikilerini demek iin annelern"ble în.eyeceMeri arka sokak barlarnda ve lokantalarnda kul-nm-'V b'- adnca grmezler. Kredi kart slipler bu \acz\-- "-~-rs1jre;d! ai'ir...- --s d= arka sokaktaki p kutularndan arakar.n. ve
" l r h , n o : bir hiaks.z kasiyer ya da garson, admz, ve kred, kan,_n,,iio'.^ :-: -- -- ^ r a not edebilir ya da iinden geirilen herhangi bir
krrti"i^n-in& =x bilgileri sonradan rahata kullanlmak zere saki s i . - vs T.^T.stte kolayca bulunabilen bir kart tokatlama aleti kulr^,r^ ii alveri etmenin tehliKeieri vatu an-.a U/,; GIS:|::'.
la * v betondan yaplm bir dkkndan alveri yapmak kadar
. n v ^ H i ^ r w-o kredi kart irketleri, kartnz evrim ii kullanrken
de size ayn korumay salarlar -eer hesabnzdan size ait olmayan
harcamalar yaplmsa bunun yalnzca
Su vzden benim grme gre sv.im ii SI^-M? v^n'iaâ..
eklpme!; baka bir kuruntu olmaktan teye gu.r.c:.:.
91
Mitnick Mesaj:
Tam anlamyla mkemmel bir gsterge olmasa da, her ne zaman bir site sizden zel olduunu dndnz bir bilgi istiyorsa, balantnn belgeli ve
ifreli olduundan mutlaka emin olun. Ve daha da nemlisi, geersiz, sresi
dolmu ya da iptal edilmi dijital sertifikalar gibi, bir gvenlik sorunu gsteren
herhangi bir iletiim kutusunda hemen Evet'i tklamayn.
Edgar yaygn kullanlan bir internet dmenine yakalanmt. Bu, eitli
sekilerde karmza kan bir dolandrclk tr. Dokuzuncu blmde
anlatlan bir tanesi tpk asl gibi olup, saldrgan tarafndan yem olarak
yaratlm bir balanma sayfasn ierir. Fark, sahte sayfann, kullancnn
ulamak istedii bilgisayar sistemine eriim salamamasdr; bunun yerine kullanc, adn ve parolasn bilgisayar korsanna vermi olur.
Edgar, haydutlarn "paypal-secure.com" adnda -yasal PayPal sitesine ait, gvenli bir sayfa olmas gerekirmi gibi grnen ama yle
olmayan- bir internet adresi satn ald bir dmene yakalanmtr.
Bilgileri o siteye girdiinde, saldrganlara tam istedikleri eyi vermitir.
eitleme zerine eitlemeler

Bilgisayar kullanclarn gizli bilgilerini girebilecekleri dzmece internet sitelerine gitmeleri iin kandrmann ka deiik yolu olabilir?
Kimsenin geerli, kesin bir yant olduunu sanmyorum ancak "ok ama
ok" diye bir cevap verebiliriz.
Kayp Balant
~ \
'
Bir hile srekli karmza kar: Bir siteyi ziyaret etmek iin ekici bir
neden sunan bir e-posta gnderip dorudan oraya ynlendiren bir
balant salamak. Farkl olarak, balant sizi gittiinizi dndnz
siteye gtrmez nk balant aslnda gerek site iin olan balanty
taklit eder. ite internette gerekten kullanlm baka bir rnek, yine
ok suistimal edilen PayPal'n adn kullanmaktadr:
www.PayPai.com
Hemen bakldnda burada PayPal yazyormu gibi grnyor.

Kurban farketse bile yazdaki kk bir hatann " I" harfini" i" gibi gsterdiini dnebilir. Ve kim, bakar bakmaz aadaki linkte kk harf
L yerine 1 saysnn kullanldn farkedebilir?
www.PayPal.com
92
Aldatma Sanat
Bu dalavereyi kredi kart haydutlar arasnda srekli popler klacak

kadar ok yanl yazmlar ve hatal ynlendirmeleri doruymu gibi
kabullenecek insan var. nsanlar dzmece siteye gittiklerinde, oras gitmeyi umduklar yer gibi grnr ve kredi kart bilgilerini huzur iinde girerler. Bu dalaverelerden birini kurmak iin saldrgann tek yapmas
gereken, dzmece bir site ad almak, e-postalarn gndermek ve enayilerin dolandrlmak iin siteye girmelerini beklemektir.
2002'nin ortalarnda bir e-posta aldm; grne gre
"ebay@ebay.com"dan, bir defada pek ok adrese gnderilmiti. Mesaj
ekil 7.1'de sunulmutur.
Balanty tklayan kurbanlar eBay sayfasna ok benzeyen bir web
sayfasna gittiler. Aslnda sayfa, zgn eBay amblemi ve "Ara", "Sat"
gibi, tklandnda ziyaretiyi gerek eBay sayfasna gtren dier gezinme balantlaryla iyi tasarlanmt. Sa alt kede bir gvenlik simgesi de bulunmaktayd. Bilgisiz kurban kandrmak amacyla tasarmc,
kullancnn salad bilgilerin nereye gnderildiini gizlemek iin
HTML ifrelemesi bile kullanmt.
Kt niyetli, bilgisayar tabanl toplum mhendislii saldrsnn
mkemmel bir rneiydi. Yine de kusursuz deildi.
E-posta mesaj ok iyi yazlmamt; zellikle de "Bu duyuruyu
eBay'den aldnz"la balayan paragraf acemice ve samayd (bu oyunlardan sorumlu kiiler yazdklarn kontrol etmesi iin hibir zaman
deneyimli birini tutmazlar ve bu hemen farkedilir). Ayrca dikkatli biri
eBay'in ziyaretine PayPal bilgilerini sormasndan kukulanrd; eBay'n
mterisine baka bir irketle ilgili zel bilgilerini sormas iin hibir
neden olamaz.
Ve internet konusunda bilgili herhangi biri balantnn eBay sayfasna deil, cretsiz bir internet hizmet salaycs olan tripod.com sayfasna ynlendirildiini anlayacaktr. Bu, e-postann yasal olmadnn tam
bir gstergesidir. Yine de eminim pek ok insan, kredi kart numaralar
dahil, istenen bilgileri bu sayfaya girmilerdir.
|N| \J i Neden insanlarn yanltc veya uygunsuz alan adlar

almalarna izin veriliyor? nk geerli kanun ve evrimii alma
kurallar uyarnca, isteyen, kullanmda olmayan bir site adn alabilir.
irketler taklit adreslerin kullanmyla mcadele etmeye alyorlar ama
neye kar olduklarn bir de siz dnn. General Motors, f**kgeneralmotors.com adresini (yldzlar olmadan) alp URL'yi General Motors'un
internet sitesine ynlendiren bir irkete dava at. G.M. kaybetti.
93
msj: Sevgili eBay Kullancs,

Baka ahslarn eBay hesabnz uygunsuz oiarak kullandklar
olduka fark edilir bir hal almtr ve Kullanc Anlamas'nn u maddesi
ihlal edilmitir:
4. Fiyat Verme ve Satn Alma
Sabit fiyatl dzenlemelerimizden biri araclyla bir mal aldnz veya

aada akland zere en yksek fiyat verdiiniz takdirde satcyla
aranzdaki ilemi tamamlamanz gerekmektedir. Eer bir ak artrma
sonunda en yksek fiyat vermiseniz (geerli en dk fiyat ve ihtiyat
ykmllklerini karlamak kaydyla) ve verdiiniz fiyat satc tarafndan
kabul edilmise, satcyla leminizi tamamlamanz gerekmektedir. Aks
halde, ilem kanunen veya bu Anlama gereince yasaklanr.
Bu duyuruyu eBay'den aldnz nk u anki hesabnzn dier eBay
yeleriyle uyumazlklar yaratmas dikkatimizi ekti ve eBay, hesabnzn
en ksa srede onaylanmasn gerekli bulmaktadr. Ltfen hesabnz
onaylaynz aksi halde hesap iptal edilebilecektir. Hesabnz Onaylamak
iin Buray Tklaynz - http://error__ebay.tripod.com
, .
Belirtilen ticari markalar ve iaretler sahiplerine aittir. eBay ve eBay

amblemi eBay Inc.'e ait ticari markalardr.
ekil 7.1 Bu ve benzeri e-postalardaki balantlar dikkatle kullanlmaldr.
nternetin bireysel kullanclar olarak hepimizin uyank olmamz;

kiisel bilgilerin, ifrelerin, hesap numaralarnn, PIN'lerin ve bunun gibi
eylerin ne zaman girileceine bilinli bir ekilde karar vermemiz
gerekir.
Baktklar belli bir internet sayfasnn, gvenli bir sayfann tamas
gereken artlara uyup uymadn syleyebilecek ka kii tanyorsunuz? irketinizin ka alan neye bakmas gerektiini biliyor?
nternet kullanan herkes genellikle sitelerin bir yerlerinde beliren ve
bir asma kilide benzeyen ufak eklin ne olduunu bilmeli. Kilit kapal
olduunda sitenin gvenli olarak sertifikalandn anlamaldr. Kilit ak
olduu zaman ya da kilit gzkmediinde site zgn bir site olarak belgelenmemitir ve gnderilen herhangi bir bilgi aktadr; yani, ifrelenmemitir.
94
Aldatma Sanat
Her eye karn bir irket bilgisayarnn ynetimsel ayrcalklarn elde

etmeyi baarm bir saldrgan, kulARKA KAPI: Kullancnn
lancnn gerekte ne olduu dorulbilgisi dnda bilgisayara
tusundaki grn deitirmek iin
gizli bir yol salayan st
iletim sistemi koduna yamalar yapabilir
kapal bir giri noktas. Bir
ya da zerinde oynayabilir. rnein, bir
yazlm program
internet sitesinin dijital sertifikasnn
gelitirirken programclar
geersiz olduunu belirleyen nternet
tarafndan da kullanlr,
taraycs yazlmndaki program kodbylece sorunlar zmek
larn, kontrol aabilmek iin deitiiin programa girebilirler.
rilebilir. Ya da sistem kk donanm ad
verilen bireyle deitirebilir; iletim sistemi dzeyinde bir ya da daha fazla,
bulunmas daha g arka kap ykleyebilir.
Terimler
Gvenli bir balant, siteyi zgn olarak tanmlar ve iletilen bilgiyi

ifreler, bylece bir saldrgan elde ettii verileri kullanamaz. Bir internet
sitesine, hatt gvenli balant kullanan birisine gvenebilir misiniz?
Hayr, nk site sahibi gerekli tm gvenlik yamalarn uygulamakta ya
da kullanclar ve yneticileri doru ifre uygulamalar konusunda zorlamakta yetersiz kalabilir. Bu yzden gvenli grnen bir sitenin
saldrya ak olmadn varsayamazsnz.
Gvenli HTTP (hypertext transfer protocol) veya SSL (secure sockets
layer) dijital sertifikalar yalnzca uzaktaki siteye gnderilen bilgiyi
ifrelemekte kullanlmaz, ayn zamanda belgeleme yapmak iin de
(doru internet sitesiyle iletiim kurduunuzu dorulamak amacyla)
otomatik bir mekanizma salar. Ancak bu koruma mekanizmas, adres
ubuunda grnen site'adnn, gerekten de ulamak istedii site olup
olmadna dikkat etmeyen kullanclar sz konusu olduunda ie
yarayamaz.
Genellikle gz ard edilen baka bir gvenlik konusu, karmza
unun gibi bir uyar mesajyla kar "Bu site gvenli deil ya da gvenlik sertifikasnn sresi dolmu. Yine de devam etmek istiyor musunuz?"
Pek ok internet kullancs mesaj anlamaz ve ortaya ktnda hemen
"Tamam" ya da "Evef'e tklayarak, bir batan iinde olabileceinin
farknda olmadan iine devam eder. Dikkat edin; gvenlik protokol kullanmayan bir internet sitesinde adresiniz, telefon numaranz, kredi kart
veya banka hesap numaranz gibi kiisel bilgilerinizi ya da zel
kalmasn istediiniz herhangi bir eyleri kesinlikle girmemelisiniz.
Thomas Jefferson zgrlmz srekli tutmann "her zaman
tetikte" olmaktan getiini sylemitir. Bilgiyi deitoku arac olarak
kullanan bir toplumda zel yaam korumak ve gvenlii salamak da
bir o kadar zen gerektirir. .
95
Virslere Duyori Olmak

Virs yazlmlaryla ilgili zel bir not: Virs yazlmlar irket intraneti
iin nemlidir ama ayn zamanda bilgisayar kullanan her alan iin de
nemlidir. Makinalarna virs koruma yazlm yklemi olmak bir yana,
kullanclarn yazlm ak tutmalar da gerekir (bu pek ok insann
sevmedii bir eydir nk bilgisayarn baz ilevlerini kanlmaz olarak
yavalatr).
Virs koruma yazlmlaryla ilgili aklda tutulmas gereken bir baka
nemli nokta daha vardr: Virs tanmlarn gncel tutmak. irketiniz,
yazlm ya da gncellemelerini a zerinden datmak zere yaplandrmad srece, her birey en son virs tanmlar dosyasn kendi
bana indirme sorumluluunu, tamaldr. Kendi kiisel nerim
herkesin virs yazlm seeneklerini ve virs tanmlarn her gn gncellenecek ekilde ayarlamalardr.
Basite sylemek gerekirse, virs tanmlarnz dzenli olarak gncellenmiyorsa savunmaszsnzdr. Byleyken bile, virs koruma
yazlm gelitiren irketlerin henz bilmedii ya da bir tanmlama modeli karmadklar virs ve solucanlara kar tam olarak korunuyor
saylmazsnz.
Evdeki bilgisayarlar ya da dizst bilgisayarlar zerinden uzaktan
eriim hakk tannm tm alanlarn bu makinalar zerinde en azndan gncellenmi virs yazlm ve bir kiisel gvenlik duvar bulundurmas gerekir, iini bilen bir saldrgan en zayf noktay bulmak iin byk
resme bakp oradan saldracaktr. Uzaktan eriimleri olan kiilerin
kiisel gvenlik duvarlar ve gncellenmi antivirs yazlmnn gerekleri
konusunda dzenli olarak uyarlmalar bir irket sorumluluudur; nk
BT mdrlnden uzak olan bireysel alanlarn, yneticilerin, sat
sorumlularnn ve dierlerinin bilgisayarlarn korumasz brakmalarnn
getirecei tehlikeleri hatrlamalarn bekleyemezsiniz.
Bu admlarn dnda, daha az yaygn ama daha az nemli olmayan,
Truva At saldrlarna kar koruma salayan yazlm paketlerinin, dier
adyla anti-Trojan yazlmlarnn kullanlmasn iddetle neririm. Bu
kitap yazld srada iyi bilinen programlardan iki tanesi unlardr: The Cleaner
(www.moosoft.com) ve Trojan Defence
Sweep (www.diamondcs.com.au).
SSL (Gvenli Yuva
Sonu olarak, a geitlerinde
Katman): Hem istemcinin
tehlikeli e-postalara kar tarama yaphem de sunucunun internet
mayan tm irketler iin olabilecek en
zerinden gvenli iletiimle
nemli gvenlik mesaj u olabilir:
belgelenmesini salayan
Hepimiz unutma eilimli olduumuza
Netscape tarafndan
veya iimizi yaparken kenarda kalan
gelitirilmi bir protokol.
Terimler
96
Aldatma Sanat
eyleri ihmal ettiimize gre, gvenilebilecek bir kii ya da kurulutan

gelmedii srece e-posta eklerini amamalar konusunda alanlarn,
farkl ekillerde, tekrar tekrar uyarlmalar gerekir. Ynetim, faal virs
koruma yazlmlarn ve iinde ykc bir yk tayabilen, grnte
gvenli e-postalara kar deeri llemez bir koruma salayan antiTrojan yazlmlarn kullanmalar gerektiini alanlarna hatrlatmaldr.
O ACINDIRMA, SULULUK DUYURMA

| VE SNDRME TEKN KULLANMAK
On beinci blmde de sz edilecei gibi, bir toplum mhendisi
steklerini yerine getirmesi iin hedefini ynlendirmek amacyla etkileme
psikolojisini kullanr. Yetenekli toplum mhendisleri, korku, heyecan ya
;a sululuk gibi duygular uyandracak bir yntem bulma konusunda
:ok ustadrlar. Bunu, elde olan bilgileri derinlemesine incelemeden
nsanlar isteklerini yerine getirmeye ynlendiren istemsiz mekanizmalar
olan psikolojik tetikleyicileri kullanarak yaparlar.
Hem kendimiz hem de bakalar adna zor durumlardan kanma
eilimindeyizdir. Bu olumlu drtden yola karak, saldrgan, kiinin
acma duygusuyla oynayabilir; onun kendini sulu hissetmesini
salayabilir ya da silah olarak sindirmeyi kullanabilir.
ite size, duygularla oynama konusunda en sevilen manevralarla
ilgili birka st dzey ders.
"-..-
Baz insanlarn bir toplantnn, zel bir elencenin ya da bir kitap

tantm kokteylinin yapld bir otelin balo salonunun kapsnda duran
grevliye gittiklerini, sonra da bilet ya da davetiye sorulmadan adamn
yanndan getiklerini hi grdnz m?
ok benzer bir ekilde bir toplum mhendisi de lafazanlkla, girilmesi mmkn deilmi gibi grnen yerlere girebilir. Tpk aadaki, film
endstrisiyle ilgili ykde anlatld gibi.
Telefon Grmesi
- Ron Hillyard'n brosu, ben Dorothy.
- Merhaba Dorothy. Benim adm Kyle Bellamy. Canlandrma
Tasarm'da Brian Glassman'n ekibinde ie baladm. Sizler burada
ileri kesinlikle farkl yrtyorsunuz.
- Sanrm. Daha nce baka bir film irketinde almadm iin pek
bilemiyorum. Sana nasl yardmc olabilirim?
- Doruyu sylemek gerekirse kendimi biraz aptal gibi hissediyorum.
leden sonra fikir alverii iin bir yazar gelecek ve ben onu ieri
almak iin kiminle konumam gerektiini bilmiyorum. Burada,
Brian'n ofisinde alanlar ok iyiler ama onlar ok skboaz ediyormuum gibi geliyor, unu nasl yaparm, bunu nasl yaparm...
Sanki yeni okula balamm da tuvaletin nerede olduunu bilmiyor-
98
Aldatma Sanat
muum gibi. Durumumu anlatabiliyor muyum?
Dorothy gld.
.'/'
- Sen gvenlikle konumak istiyorsun. nce 7'yi, sonra da 6138'i

evir. Eer telefonu Lauren aarsa, ona, sana iyi bakmas gerektiini
sylediimi ilet.
- Teekkrler, Dorothy. Ve eer erkekler tuvaletini bulamazsam, seni
yine arayabilirim!
Bu fikre birlikte gldler ve telefonu kapattlar.
David Haroid'un Hikyesi
'
Film seyretmeye baylrm ve Los Angeles'a tandmda film

endstrisinde alan bir yn insanla tanacam ve onlarn beni partilere gtreceini ya da film stdyolarnda le yemei yiyeceimizi
falan dnmtm. Neyse, Los Angeles'ta bir yl kaldm, yirmi alt
yam doldurmak zereydim ve film dnyasyla en byk yaknlamam
Pheonix ve Cleveland'dan gelen cici insanlarla birlikte yaptm
Universal Studios turu oldu. Sonunda, ileri, beklediim gibi kendi elime
almam gerektiini anladm. Eer onlar beni davet etmezlerse, ben
kendimi davet edecektim. Yaptm da bu oldu.
Bir Los Angeles Times aldm ve birka gn boyunca sinema sayfasn okuyup farkl stdyolardan baz yapmclarn adlarn not ettim.
nce byk stdyolardan birini vurmaya karar verdim.
Santral aradm ve gazetede okuduum bu yapmcnn ofisine
balanmak istediimi syledim. Telefonu aan sekreter ana birine benziyordu. ansl olduumu dndm, nk eer oradaki kefedilmek
iin bekleyen gen bir kz olsayd byk olaslkla bana saatin ka
olduunu bile sylemezdi.
Ama Dorothy yle deildi, sokakta kalm bir kedi yavrusunu evine alacak birine benziyordu. Yeni iinde kendini biraz mahcup hisseden yeni
ocua acyacak biriydi. Ben de kesinlikle doru noktasna dokunmutum.
Birilerini kandrmaya alrken, onlarn size istediinizden daha fazlasn
vermeleri durumu her gn banza gelmez. Bana acyp yalnzca gvenlikte alan insanlardan birinin adn vermekle kalmad, ayn zamanda o
hanma, bana iyi bakmas gerektiini tembihlediini de sylememi istedi.
Dorothy'nin adn kullanmay zaten planlamtm. Bu, ii daha da
kolaylatrd. Lauren hemen ald ve verdiim adn alan veritabannda olup olmadna bakmaya bile yeltenmedi.
leden sonra kapya gittiimde adm ziyareti listesine eklemekle
kalmamlar benim iin bir park yeri bile ayrmlard. Film stdyosu kantininde ge bir le yemei yedim ve akama kadar etraf gezdim. Hatt
birka ses stdyosuna bile girdim ve film ekimlerini seyrettim. Saat 7'ye
kadar oradan ayrlmadm. Geirdiim en heyecan verici gnlerden biriydi.
Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak
99
Herkes bir zamanlar yeniydi. Hepimizin, zellikle gen ve deneyimsiz olduumuz zamanlardan kalan ilk gnlerle ilgili anlarmz vardr. Bu
yzden yeni bir alan yardm istediinde pek ok insann -zellikle de
ie gireli ok olmam olanlarn- kendi yeni yetmelik duygularn hatrlamalarn ve yardmc olmak iin her ii bir kenara brakmalarn
bekleyebilirsiniz. Toplum mhendisi bunu bilir ve kurbanlarnn acma
duygularyla oynamak iin bunu kullanabileceinin farkndadr.
Tanmadmz insanlarn irketimizin binalarna ve brolarna dalavere yapp girmelerini ok kolaylatryoruz. Girite gvenlik grevlileri
olsa ve alan olmayan herhangi biri iin ieri alnma ilemleri yaplsa
bile, bu ykde anlatlan oyunun eitli ekillerde kullanlmas saldrgann bir ziyareti kart almasn ve ieri girmesini salayacaktr. Ya irketiniz ziyaretilere elik edilmesi artn koymusa? Bu iyi bir kural;
ancak sadece, alanlarnz, ziyareti kart olsun olmasn, tek bana
gelen herkesi durdurup ona sorular sorma konusunda gerekten bilinliyse etkili olur. Eer alnan yantlar tatmin edici olmazsa, alanlarnz gvenlie haber vermek konusunda da istekli olmaldrlar.
Dardan gelenlerin lafazanlkla tesislerinize girmesi irketinizin hassas
bilgilerini tehlikeye sokar. Bugnn ortamnda, toplumumuzun zerinde gezinen terr tehdidiyle birlikte, bilgiden ok daha fazlas tehlike altnda olabilir.
imdi Yap'
Toplum mhendislii teknikleri kullanan herkes gerek bir toplum
mhendisi olmak zorunda deildir. Belli bir irketin i ilerini bilen herhangi biri de bir tehdit oluturabilir. Dosyalarnda ve veritabanlarnda
eleman bilgilerinin tmn tutan irketler iin tehlike daha da byktr.
Tahmin edeceiniz gibi, ou irket de byle yapar.
alanlar toplum mhendislii saldrlarn fark edecek ekilde eitilmedii ve yetitirilmedii srece, aadaki ykde geen terkedilmi
kadn gibi kararl insanlar, pek ok drst insann olanaksz olduunu
dnd eyleri yapabilirler.
. . . .
. . .
Doug'n Hikyesi
'
Linda'yla iler zaten iyi gitmiyordu ve Erinle tantm anda onun

benim iin yaratldn anladm. Linda, biraz, nasl desem, tam olarak dengesiz saylmasa da kafas bozulduu zaman ipin ucunu karabilen biri.
Mmkn olduu kadar nazik bir ekilde artk tanmas gerektiini
ona syledim ve eyalarn toplanmasna yardm ettim. Hatt aslnda
benim olan birka Queensryche CD'sini almasna bile izin verdim.
100
Aldatma Sanat
O gider gitmez anahtarcya gidip n kap iin yeni bir kilit aldm ve
hemen o gece takdirdim. Ertesi sabah telefon irketini aradm ve
numaram deitirtip kaytlarda grnmemesini istedim.
Artk Erin'in peinden gitmek iin zgrdm.
Linda'nn Hikyesi
Zaten ayrlmaya hazrdm, sadece daha karar vermemitim. Ama
kimse geri evrilmekten holanmaz. Bu durumda i, "ne kadar iren
biri olduunu ona nasl gsterebilirirn"e geldi.
Bulmam ok uzun srmedi. Baka bir kz olmalyd, yoksa beni bu
kadar alelacele bandan atmazd. Bylece bir sre daha bekleyecek,
sonra da gece ge saatlerde onu arayacaktm. Tam da en az aranmak
istedikleri saatlerde.
Ertesi hafta sonuna kadar bekledim ve Cumartesi gecesi saat 11 gibi
aradm. Numarasn deitirmiti ve yeni numara kaytlarda yoktu. Bu
da onun ne kadar adi biri olduunu gsteriyordu.
Bu ok da byk bir engel deildi. Telefon irketindeki iimden ayrlmadan nce eve getirdiim evraklar kartrmaya baladm. Ve ite
buradayd; Doug'n telefon hattnda oluan bir arzadan kalan tamir
makbuzunu saklamtm ve makbuzun zerinde telefona ait kablo ve ift
numaralar yazyordu. Telefon numaranz istediiniz kadar deitirin,
ayn bakr tel ifti evinizden kp telefon irketinin merkez ofis ya da MO
denen ana santralna balanr. Her evden ve daireden kan bakr teller
kablo ve ift ad verilen saylarla tanmlanr. Eer telefon irketinin ileri
nasl yrttn bilirseniz, ki ben biliyorum, hedefin kablo ve ift
saylarn bilmek telefon numarasn bulmak iin gerekli olan tek eydir.
Kentteki tm merkez ofislerin adresleri ve telefon numaralarnn birlikte bir listesi elimde vard, iren Doug'la yaadm yerin yaknlarndaki bir MO'nun numarasn buldum ve aradm ama doal olarak kimse
amad. Tam da ihtiyacnz olduu anda bu santral grevlisi nerededir?
Yeni bir plan yapmak yaklak yirmi saniyemi ald. Dier merkez ofisleri
aramaya baladm ve sonunda birini buldum. Ama kilometrelerce
tedeydi ve grevli byk olaslkla ayaklarn uzatm oturuyordu.
Yapmasn istediim eyi yapmak istemeyecekti. Planm hazrd.
"Ben Linda, onarm merkezinden," dedim. "Acil bir durum var. Hastane
acil servisinin telefonu arzalanm. Bir teknisyen onarmaya alyor ama
sorunun nerede olduunu bulamyor. Hemen VVebster Merkez Ofisi'ne
gidip MO'dan ayrlan hatt evir sesi olup olmadna baklmas gerek." '
Sonra ona, "Oraya vardnda seni ararm" dedim. nk onarm
merkezini arayp beni sormasn istemiyordum.
Merkez ofisin rahat ortamndan kp arabasnn n camndan buzu ,
101
Mitnick Mesaj:
Hedef irkette islerin nasl yrdn rendikten sonra, toplum mhendisinin
bu bilgiyi kullanarak gerek alanlarla ahbaplk kurmas kolaylar. irketlerin
kendilerine di bileyen eski ve yeni alanlarndan gelebilecek toplum
mhendislii saldrlarna kar hazrlkl olmalar gerekir. Kiilerin gemiini
taramak, bu tarz davranlara eilimi olan ahslar belirlemeye yardmc olabilir. Ancak ou durumda bu insanlar tespit etmek olduka zordur. Byle
durumlarda en uygun koruma, irkette alp almadklar ahsen bilinmeyen
kiilere bilgi vermeden nce aralarnda kiinin i durumunun kontrol de olmak
zere kimlik belirleme ilemlerini denetlemek ve sklatrmaktr.
kazyp gecenin bir yars slak sokaklarda gezinmek istemeyeceinin
farkndaydm. Ama acil bir durum vard ve bu yzden ne kadar megul
olduuyla ilgili bir ey syleyemedi.
Krk be dakika sonra onu VVebster Merkez Ofisi'nden aradmda,
ona 29 numaral kabloyu ve 2481 numaral ifti kontrol etmesini syledim. Kutuya gitti, kontrol etti ve evet, evir sesi geliyordu. Ben bunu
zaten biliyordum.
Sonra ona, "Tamam, imdi bir HK yapman istiyorum," dedim. Bu hat
kontrol ve ayn zamanda telefon numarasn tespit etmesi anlamna
geliyordu. Bunu, arad numaray geri bildiren zel bir numaray arayarak yapyordu. Numarann kaytsz bir numara olduunu ya da daha
yeni deitiini falan bilmiyordu, bu yzden istediimi yapt ve
numarann okunduunu duydum. Harika. Her ey tkr tkr yrmt.
Ona, sanki numary biliyormuum gibi "Sorun herhalde arada bir
yerde" dedim. Adama teekkr ettim ve bunun zerinde almaya
devam edeceimizi syleyip iyi geceler diledim.
Doug'n kaytlarda gzkmeyen bir telefon numarasnn arkasna
saklanarak benden kamaya almas buraya kadard. Elence balamak zereydi.
Bu ykdeki gen hanm intikam almak iin istedii bilgiyi elde
etmeyi baarmt, nk ilerin ileyiiyle ilgili bilgisi vard, telefon
numaralarn, sreleri ve telefon irketinde kullanlan terimleri biliyordu.
Bu bilgileri kullanarak yalnzca istedii numaray elde etmekle
kalmam, bunu souk bir k gecesi bir santral grevlisini ehrin dier
ucundan iini grmesi iin getirterek yapmt.
102
Aldatma Sanat
masn stiyor"
Olduka etkili ve popler bir sindirme ekli -poplerlii basit olmasndan kaynaklanr- yetki kullanarak insan davranlarn etkilemeye
dayanr.
Genel mdr asistannn ad bile ok i grebilir. zel dedektifler ve hatt
insan avclar bunu her zaman yaparlar. Santral ararlar ve genel mdrle
grmek istediklerini sylerler. Sekreter ya da asistan telefonu atnda
genel mdr iin bir evrak veya paket geldiini sylerler ya da bir elektronik
posta eki gnderdiklerini ve onu basp basamayacan sorarlar. Ya da faks
numarasn renmek isterler. Bu arada adnz neydi diye de sorarlar.
Sonra bir sonraki adam ararlar ve: "Bay Bigg'in ofisinden Jeannie
sizi aramam ve bana bir konuda yardmc olabileceinizi syledi."
Bu ynteme ad drme denir ve genellikle saldrgann st dzey
biriyle balants olduuna hedefi inandrarak hzl bir ahbaplk kurulmas iin kullanlan bir taktiktir. Kurban, ortak tandklar olan birine daha
ok yardm etme eilimindedir.
Eer saldrgan olduka hassas bilgilere gz koyduysa, kurbanda,
mdrleriyle bann derde girmesi korkusu gibi ie yarar duygular
uyandrmak iin byle bir yaklama bavurabilir. te bir rnek.
Scoff'un y k s
. . -
"Buyrun ben Scott Abrams."

"Scott, ben Christopher Dalbridge. Az nce Bay Biggley'le konutum
ve sesi biraz kzgn geliyordu. Tm pazar pay aratrma raporlarnn
birer kopyasn incelenmemiz iin bize gndermeniz dorultusunda on
gn nce size bir talimat vermi. Elimize hibir ey gemedi."
"Pazar pay aratrmalar m? Bana kimse bununla ilgili bir ey
sylemedi. Siz hangi birimdesiniz?"
"Biz danmanlk flrmasyz ve imdiden takvimin olduka gerisindeyiz."
"Dinle, u anda bir toplantya girmek zereyim. Bana telefon
numaranz verin ve..."
O anda saldrgan iyice can sklm gibi konuur. "Bay Biggley'e
byle mi sylememi istiyorsunuz? Bakn, analizlerimizi yarn sabah
grmek istiyor ve bu gece onlar stnde almamz gerek. imdi,
raporlar sizden alamadmz iin yapamadmz ona ben mi
syleyeyim yoksa bunu kendiniz mi sylemek istersiniz?"
fkeli bir genel mdr btn haftanz mahvedebilir. Hedef byk
olaslkla toplantya gitmeden nce bu iin halledilmesi gerektiine karar
verecektir. Toplum mhendisi bir kez daha istedii yant almak iin
doru dmeye basmtr.
103
st dzey yneticilerin adn kullanarak sindirme numaras zellikle
kar taraf, irkette olduka alt seviyelerdeyse ok ie yarar. nemli
birinin adnn gemesi yalnzca olaan isteksizliin ya da pheciliin
stesinden gelmekle kalmaz, kiiyi yardmc olmak iin daha istekli
yapar: Yardm ettiiniz kiinin nemli ya da etkili biri olduunu dnyorsanz, var olan yardmc olma gdnz doal olarak katlanacaktr.
Ancak toplum mhendisi bu oyunu oynarken, kiinin kendi patronunun adn kullanmak yerine daha st dzey birinin adn kullanmann
en iyisi olduunu bilir. Ayrca bu yntemin kk bir kuruluta uygulanmas ok gtr. Saldrgan, kurbannn kazara pazarlama genel mdr
yardmcsyla karlap ona, "Beni aramasn sylediiniz adama rn
pazarlama planlarn gnderdim" deyivermesini istemez. Byle bir
cmle rahatlkla, "Ne pazarlama plan? Hangi adam?" gibi bir tepki
dourabilir. Bu da irketin bir oyuna kurban gittiinin anlalmasna
neden olabilir.
Sosyal Gvenlik daresi Sizinle lgili

Ne Biliyor
Ellerinde bizlerle ilgili dosyalar olan devlet dairelerinin, grmeye
yetkili olmayan insanlardan uzak tutmak iin bilgilerimizi kilit altnda tuttuklarn dnmek isteriz. Gerek u ki, federal hkmet bile saldrlara
kar, hayal ettiimiz kadar gvende deildir.
May Linn'in Telefonu

Yer: Sosyal Gvenlik daresi'nin blge ofislerinden biri.
Zaman: Perembe, sabah 10:18.
Mitnick Mesaj:
Sindirme yntemi, bir cezalandrlma korkusu yaratarak insanlar i birlii yapmaya zorlar. Sindirme ayn zamanda kk dme korkusunu ya da bir sonraki
ikramiye iin yetersiz grlme gibi korkulan da uyandrr.
nsanlar, sz konusu gvenlik olduunda yetkiyi sorgulamann kabul edilebilir,
hatt beklenen bir hareket olduu dorultusunda yetitirilmelidirler. Bilgi gvenlii eitimleri, ilikileri zedelemeden, mteri memnuniyeti yntemlerini kullanarak yetkinin nasl sorgulanman gerektiini de vermelidir. Dahas bu beklenti
yukardan aaya doru da desteklenmelidir. Eer konumlarna bakmadan
insanlar sorgulayan bir alann arkasnda durulmuyorsa, oluacak tepki,
sorgulanmann durmas, yani olmasn istediiniz eyin tam tersi olacaktr.
104
Aldatma Sanat
- Mod . Ben May Linn Wang."
Telefonun dier tarafndaki ses ekingen, neredeyse utanga geliyordu.
- Bayan Wang, ben Arthur Arondale, Genel Mfettilik makamndan.
Size 'May' diyebilir miyim?"
- May Linn ltfen, dedi kadn.
- Durum u May Linn. Burada, henz bilgisayar olmayan yeni bir
arkadamz var ve u anda nemli bir projede alt iin benim
bilgisayarm kullanyor. u ie bakar msn, bir Birleik Devletler
devlet dairesiyiz ve bu adamn kullanmas iin bir bilgisayar alacak
kadar btede para olmadn sylyorlar. imdi de mdrm iimde
geri kaldm dnyor ve bahane duymak istemediini sylyor.
Anlatabiliyor muyum?
- Demek istediini ok iyi anlyorum.
- MCS zerinde bir kk arama yapmada bana yardmc olabilir
misin, diye sordu adam, vergi mkelleflerinin bilgilerinin tutulduu
bilgisayar sisteminin adn kullanarak.
- Elbette. Ne gerekiyor?
- lk nce Joseph Johnson, doum tarihi 4/7/69 adyla bir harf taramas yapmam istiyorum." (Harf taramas bilgisayara vergi mkelleflerinin adlarna gre hesap aratmaktr. Arama doum tarihiyle
geniletilir.)
May Linn ksa bir duraksamadan sonra sordu:
- Ne renmek istiyorsun?"
- Hesap numaras nedir, dedi adam, Sosyal Gvenlik Numaras iin
kurum iinde kullanlan terimi kullanarak. Kadn numaray okudu.
- Tamam. Bu hesapla ilgili bir de say taramas yapman isteyeceim,
dedi arayan.
Bu, temel vergi mkellefi bilgilerini okumasn istedii anlamna geliyordu ve May Linn vergi mkellefinin doum yerini, annesinin kzlk
soyadn ve baba adn verdi. Kadn kartn verili ay ve yln ve hangi
blge brosu tarafndan verildiini sylerken arayan sabrla dinledi.
Sonra bir AKAS yapmasn istedi, ("ayrntl kazan sorgusu"nun
ksaltlm.)
. AKAS taramas u soruyu getirdi:
- Hangi yl?
Arayan cevap verdi,
- 2001 yl.
- Miktar 190.286 dolar; yatran Johnson MicroTech, dedi May Linn.
- Baka cret var m?
- Hcsvw?
105
- Tefekkrler, ok yardmc oldun, dedi adam.

Sonra bilgiye ihtiyac olduunda ve bilgisayarn kullanamadnda
yeniden arayabilmek iin ondan izin ald. Yine toplum mhendislerinin en sevdii numaralardan birini, her seferinde yeni bir hedef
bulmakla uramayp srekli ayn kiiyle grebilmek iin bir
balant kurmaya alma yntemini kullanmt.
- nmzdeki hafta arayamazsn", dedi kadn; nk Kentucky'ye
kzkardeinin dnne gidiyordu. Baka ne zaman isterse elinden
geleni yapacakt.
Telefonu kapadnda May Linn, kendi gibi deeri bilinmeyen baka
bir devlet memuruna biraz olsun yardm edebildii iin kendini iyi
hissediyordu.
.
Keith Carter'in yks
Filmlere ve ok satan polisiye romanlara baklacak olursa, zel

dedektifler, etik konusunda eksikleri, insanlardan istediklerini almak
konusunda da fazlalar olan kiiler, ilerini tamamen yasad yntemler
kullanarak,yrtyorlar ve yakalanmaktan kl pay syrlyorlar. Aslnda
zel dedektiflerin byk bir ksm tamamen yasal iler yrtrler. Pek
ou i yaamlarna yeminli polis memurlar olarak baladklar iin
neyin yasal olup neyin olmadn gayet iyi bilirler ve pek ou izgiyi
amaya hevesli deillerdir.
Ancak istisnalar da vardr. Baz zel dedektifler -hem de saylar
azmsanmayacak kadar ok- polisiye yklerde izilen karakterlere
tpatp uyarlar. Meslekte bu adamlara bilgi simsarlar denir. Kurallar
inemeye istekli insanlar iin kullanlan nazik bir deyimdir. Baz ksayollara bavurduklarnda ilerini daha hzl ve daha kolay yapabileceklerini bilirler. Bu ksayollarn, onlar birka yl parmaklklarn arkasna
tkacak sular olmas, en ahlaksz olanlarn caydrmamaktadr.
Yksek gelirli zel dedektifler -kentin kiralarn yksek olduu bir
semtinde haval bir apartman dairesinde alanlar- bu tarz ileri kendileri yapmazlar. Bu ileri yapmas iin bilgi simsarlarn tutmakla yetinirler.
Kendisine Keith Carter diyeceimiz kii etikle kendini yormayan trden bir zel dedektifti.
Elindeki i tam bir "Kocam paray nerede saklyor?" iiydi. Ya da
arada bir olduu ekliyle, "Karm paray nerede saklyor?". Bazen zengin bir kadn gelir ve kendisine ait paralan kocasnn nereye sakladn
renmek ister (paral bir kadnn neden parasz bir adamla evlendii
bilmecesi Keith Carter'in zaman zaman akln kurcalasa da, buna hibir
zaman iyi bir yant bulamamtr).
Bu olayda ad Joe Johnson olan koca, parann stne oturan taraft.
Karsnn ailesinden bor ald on bin dolarla yksek teknoloji irketi
106
Aldatma Sanat
kuran ve bunu yz milyon dolarlk bir irkete dntren akll bir adamd.
Kadnn boanma avukatna gre adam mallarn saklamak konusunda
muazzam bir i yapm ve avukat mal varl beyan talep etmiti.
Keith balang noktasnn Sosyal Gvenlik daresi olmasna karar vermiti. Byle bir durumda Johnson'la ilgili, ie yarayacak bilgilerle dolu olabilecek dosyalar hedefliyordu. Bu bilgiyle donanm olarak Keith kendini
hedef olarak tantabilir ve bankalarn, komisyoncu firmalarn ve off-shore
bankacl yapan kurumlarn ona her eyi anlatmasn salayabilirdi.
ilk olarak, yerel bir ile brosunu, herhangi birinin ehir telefon
rehberinde bulabilecei 800'l numaray kullanarak arad. Telefona kan
memura istihkak ubesinden biriyle grmek istediini syledi. Biraz
bekledi sonra telefon ald. O anda Keith vites deitirdi ve "Merhaba"
diyerek sze giriti. "Ben Gregory Adams, 329 numaral Blge
Brosu'ndan. Sonu 6363'le biten bir hesapla ilgilenen bir tasfiye memuruna ulamaya alyorum. Bendeki numaray evirdiimde faks kyor."
"O Mod iki", dedi adam. Telefon numarasna bakt ve Keith'e verdi.
Keith sonra Mod iki'yi arad. Telefonu May Linn atnda yine tarz
deitirdi ve Genel Mfettilik makamndan arad ve baka birinin
kendi bilgisayarn kullandyla ilgili sradan oyununu oynad. Kadn
ona istedii bilgiyi verdi ve gelecekte yardma ihtiyac olursa elinden
geleni yapacan syledi.
Bu yaklam etkili klan ey, baka birinin bilgisayarn kullanmas
ve "mdrm benden memnun deil" hikyesini kullanarak alann
duygularyla oynamas oldu. yerinde insanlar duygularn pek sk
aa vurmazlar, vurduklarndaysa birilerinin toplum mhendisliine
kar koyduu savunmalarn stnden averirler. "ok zor durumdaym, bana yardm eder misin?" gibi duygusal bir hile, kazanl kmak
iin yaplan tek eydi.
Saldrgan, bu bilgiyi halktan gelen telefonlara bakan bir memurdan
alamazd. Keith'in kulland tarzda bir saldr yalnzca kar tarafta telefonu halka ak olmayan ve dolaysyla arayann ierden biri olduu
beklentisi iinde olan biri varsa geerlidir. Bu da "beni u gnderdi" tarz
gvenlie baka bir rnektir.
Bu saldrnn ie yaramasna yardmc olan unsurlar arasnda unlar vard:
Mod'un telefon numarasnn bilinmesi.

Kullanlan terimlerin bilinmesi; say tarama, harf tarama ve AKAS.
Genel Mfettilik makamndan olduunu sylemek. Her federal
hkmet alan orann geni yetkilere sahip hkmet apnda
bir kurum olduunu bilir ve bu, saldrgana itibarl bir hava verir.
107
Sosyal Gvensizlik
lgin bir ekilde, Sosyal Gvenlik idaresi, kendi alanlar iin
yararl bilgilerle dolu ancak ayn zamanda toplum mhendisleri iin
de olduka deerli olan idari ilemler Talimatnamesi'nin bir kopyasn internete koydu. Bu ykde getii ekliyle ksaltmalar, terimler ve istenilen eyin nasl dile getirilecei orada aka anlatlyor.
Sosyal Gvenlik daresi'yle ilgili daha ok ey mi renmek istiyorsunuz? Googie'da aratmanz ya da aadaki adresi taraycnza
girmeniz yeterli: http://policy.ssa.gov/poms.nsf/. Eer idare bu
yky okumu ve siz bunu okuyana kadar talimatnameyi kaldrmamsa, bir SG memurunun emniyet tekilatna verebilecei bilgilerin neler olduuyla ilgili ayrntl bilgilerde dahil olmak zere birok
evrimii aklama bulacaksnz. Kullanm asndan baklacak otursa, tekilat kavram, bir SG memurunu emniyet tekilatndan
olduuna ikna edebilecek toplum mhendislerini de kapsyor.
Baka bir ilgin ayrnt ise -mantksal olarak bakldnda tamamen

farkl bir blmden bambaka biriyle grlseydi ok daha uygun olacak bir durumda bile- toplum mhendislerinin kimseyi, "Neden beni aryor?" diye dndrmeyecek ekilde isteklerini sunuyor olmalar. Belki
de arayana yardm etmek gnlk dngnn sradanlnda bir deiiklik yaratt iin kurban istein ne kadar olaand olduuna dikkat
etmiyordur.
Sonu olarak bu olaydaki saldrgan, elde olan ie yetecek kadar bilgi
toplamakla yetinmeyerek srekli bavurabilecei bir balant kurmak da
istedi. Acndrma saldrs iin, "klavyeme kahve dktm" gibi sradan bir
hile de kullanabilirdi. Ancak klavye bir gnde deitirilebilecei iin,
burada ie yaramazd. Bu nedenle baka birinin kendi bilgisayarn kullandyla ilgili yky yazd. Bunu haftalarca srdrebilirdi: "Evet, bilgisayarn dn geleceini sanmtm. Bir tane geldi ama baka biri bir
numara ekip aleti kendine alm. Bu yzden bu soytar yine benim
odamda bitiverdi." Ve bu i byle devam edebilir.
"Zavall ben, yardma ihtiyacm var." ok iyi i grr.
Basit Br Telefon
Bir saldrgann balca enstrmanlarndan biri, isteini makul bir
ekilde sunmaktr. Kurbann gnlk ilerinin arasnda gelen isteklere
benzeyen, kurban fazlaca zorlamayacak trden bir ey olmaldr.
Yaamda, pek ok baka eyde olduu gibi, bir gn bir istei mantkl
bir ekilde sunmak zorken, baka bir gn bu i ocuk oyunca olur.
108
Aldatma Sanat
M a r y H'nin Telefonu
'
."'''".
.-"--.
Tarih/Saat: 23 Kasm, Pazartesi, sabah 7:49.

Yer: Mauersby & Storch Mavirlik, New York.
Pek ok insan iin muhasebe ii saylarla boumaktan ve fasulye
saymaktan ibarettir ve genellikle kanal tedavisi kadar elenceli (!)
olduu dnlr. Neyse ki herkes ii byle grmez. rnein Mary
Harris; kdemli muhasebecilik grevini ilgi ekici bulan biridir ve alt
firmada konuya en hakim muhasebecilerinden biri olmasnn nedenlerinden biri de budur.
O pazartesi sabah Mary uzun bir gn olmasn bekledii iin ie bir
an nce balamak amacyla ofise erken geldi. O saatte telefonunun
aldn duyunca ard. Ahizeyi kaldrd:
"Merhaba, ben Peter Sheppard. Arbuckle Destek Hizmetleri'nde
alyorum, irketinize teknik destek veriyoruz. Hafta sonunda bilgisayarlarnda sorun olan insanlardan birka ikyet aldk. Bu sabah herkes
ie gelmeden nce kontrol etmek istedim. Bilgisayarnz kullanrken ya
da aa balanrken sorun yayor musunuz?"
Mary hnz byle bir sorunla karlamadn syledi. Bilgisayarn
at ve nykleme yaplrken Peter ne yapmak istediini ona anlatmaya
balad.
"Birka test yapmak istiyorum", dedi. "Bastnz tular kendi
ekranmda grebiliyorum ve a zerinden doru aktarldndan emin
olmak istiyorum. Her tua basnzda bana onun ne olduunu sylemenizi istiyorum, bylece burada da ayn harf ya da saynn grnp
grnmediine bakabilirim. Tamam m?"
Bilgisayarnn almamasyla ve hibir iin bitmedii skc bir gnle
ilgili kbuslar olan biri olarak Mary bu adamn kendisine yardmc
olmasndan fazlasyla memnun kalmt. Biraz sonra ona, "Giri
ekranndaym ve kullanc adm gireceim. imdi giriyorumM...A...R...Y...D."
"imdiye kadar gayet iyi" dedi Peter. "Onu burada grebiliyorum.
imdi parolan gir ama ne olduunu bana syleme. Hi kimseye
parolan sylernemelisin, teknik servise bile. Parolan korumal olduu
iin burada yldzlar kacak, yani parolan gremem." Bunlarn hibiri
doru deildi ama Mary'nin aklna yatt. Sonra Peter, "Bilgisayarn
aldnda haberim olsun" dedi.
Mary aldn sylediinde Peter ona uygulamalardan iki tanesini
amasn syledi. Kadn her ikisinin de gayet iyi altklarn haber verdi.
Mary her eyin doru bir ekilde almasndan memnun olmutu.
"Bilgisayarnn salam olup olmadn kontrol edebildiim iyi oldu.
109
Birey daha var" dedi Peter ve devam etti, "alanlarn parolalarn

deitirebilmesi iin bir gncelleme yaptk. Bana birka dakikan ayrp
doru alp almadn grmeme yardmc olabilir misin?"
Mary, yardm etmesinden dolay adama mteekkirdi ve hemen
o b u l etti. Peter ona, kullanclarn parolalarn deitirebilmesini
salayan uygulamay altrmak iin yapmas gerekenleri adm adm
anlatt. Parola deitirme aslnda VVindovvs 2000 iletim sisteminin
sradan unsurlarndan biridir. "Hadi imdi parolan gir", dedi kadna.
"Sesli bir ekilde sylememen gerektiini unutma."
Kadn bunu da yaptnda, Peter, "Hzl bir deneme yapmak iin,
sana yeni parolan sorduunda, 'testi23' gir. Sonra dorulama kutucuuna bir kez daha gir ve ENTER'e bas", dedi.
Sunucu balantsn zme ileminde Mary'e yardmc oldu. Sonra
birka dakika bekletip, yeni parolasn deneyerek yeniden balanmasn
istedi. Her ey saat gibi iliyordu, Peter ok memnun kalmt ve -kadn bir
kez daha parolasn aka sylememesi iin uyararak- Mary'nin eski parolasna dnmesi ya da yeni bir tane semesi konusunda yardmc oldu.
"ok iyi, Mary", dedi Peter. "Hibir sorun kmad, bu ok iyi. Dinle,
eer herhangi bir sorun karsa Arbuckle'dan bizi ara. Ben ounlukla
zel projelerde alyorum ama burada telefonu aan herkes sana
yardmc olabilir." Mary ona teekkr etti ve vedalatlar.
Peter'in yks
Peter'le ilgili sylentiler alp ban gitmiti. Mahallesinde onunla birlikte okuia giden birileri, bakalarnn bulamad eyleri bulabilen zeki
bir bilgisayar manya olduunu duymulard. Alice Conrad ondan bir
konuda yardm istediinde nce hayr dedi. Neden yardm edecekti ki?
Bir keresinde o kzla bir yerlerde karlatnda ona kma teklif etmi,
kz da onu geri evirmiti.
Ancak yardm etmeyi reddetmesi kz artm gibi grnmyordu.
Zaten Peter'in yapabilecei birey olduunu dnmediini syledi. Bu
bir meydan okumayd, nk yapabileceinden emindi. Bylece Peter
ii yapmay kabul etti.
Alice'e bir pazarlama irketine danmanlk yapmas iin szleme
teklif edilmiti ama szleme koullar ok iyi deildi. Daha iyi koullar
talep etmeden nce dier danmanlarn szlemelerinin ne tr
koullan ierdiini renmek istiyordu.
Peter'in anlatt ekliyle hikye yle:
Alice iin bunu syleyemem ama yapabileceimi dnmedikleri
bireyi yapmam isteyen insanlardan yaka silkmitim. stelik de ben iin
kolay olduunu bilirken. Peki, o kadar da kolay deildi, en azndan bu
;
sefer. Biraz aba gerektirecekti ama sorun olmayacakt.
.:.
110
Aldatma Sanat
Ona akllnn ne demek olduunu gsterecektim.

Pazartesi sabah 7:30'u biraz gee pazarlama irketinin brosunu
aradm ve danmayla grp onlara muhasabeden biriyle konumam
gerektiini syledim. Muhasebeden kimsenin gelip gelmediini biliyor
muydu acaba? Danma grevlisi bana, "Sanrm birka dakika nce
Mary'nin geldiini grdm, sizi ona balamaya alaym" dedi.
Mary telefonu atnda ona bilgisayar sorunlaryla ilgili kk
hikyemi anlattm. Hikye tyleri diken diken etmek zere tasarlanmt.
Bylece bana byk bir memnuniyetle yardmc olacakt. Parolasn
deitirmesine yardmc olur olmaz kullanmasn istediim geici parola
olan "testi23"le hemen sisteme girdim.
Ustalk burada iin iine giriyordu; irketin bilgisayar sistemine istediim zaman kendime ait gizli bir parolayla girmemi salayacak kk
bir program ykledim. Mary'le konumam bittikten sonra, ilk iim sisteme girdiimi kimsenin anlamamas iin denetim tarihesini silmek
oldu. Bu kolay bir eydi. Sistem yetkilerimi artrdktan sonra gvenlikle
ilgili www.ntsecurity.nu adl bir internet sayfasnda bulduum clearlogs
adnda bedava bir program indirdim.
Asl ie sra gelmiti. Dosya adnda "szleme" kelimesi geen belgeleri arattrdm ve dosyalan indirdim. Sonra biraz daha arama yaptm
ve ana damar, danman cret bilgilerinin olduu klasr buldum.
Bylece tm szleme dosyalarn biraraya getirdim ve bir demeler listesi yaptm.
Alice szlemelere bakabilir ve dier danmanlara ne kadar verdiklerini grebilirdi. Tm bu dosyalar arama hamalln kendisi yapsn.
Ben onun benden istedii eyi yapmtm.
Verileri kaydettiim disketlerden, kantlar Alice'e gsterebilmek iin
birka dosyann ktsn aldm. Onu benimle bulumaya ve akam
yemee kmaya zorladm. Ktlar kartrrken yznn ald ekli
grmeliydiniz. "Olamaz" dedi. "Olamaz."
Disketleri yanmda getirmemitim. Onlar yemdi. Disketleri almak iin
bana gelmesi gerektiini syledim; ona yaptm iyilikten dolay bana
duyduu minneti gstereceini umuyordum.
Peter'in pazarlama irketini aramas en temel toplum mhendislii
ekline bir rnektir. ok az hazrlk gerektiren, ilk denemede ileyen ve
birka dakikada baarl olan basit bir giriimdir.
Daha da iyisi, kurban Mary'nin bir oyuna ya da bir hileye kurban gittiini dnmesi, durumu bir yerlere bildirmesi ya da yaygara koparmas
iin hibir neden yoktu.
111
AAitnick Mesaj:
steini dile getirme ekline bal olarak bir toplum mhendisinin insanlara bir
i eyler yaptrmasnn ne kadar kolay olduunu grmek artc. Temel art,
psikolojik kurallara dayal istemsiz bir tepkiyi tetiklemek ve arayan bir mtte- fik olarak grdkleri zaman insanlarn zihinlerinde oluan ksayollara gveni mektir.
Plan, Peter'in toplum mhendislii taktiini kullanmas stne
kuruluydu. nce korku uyandrp -bilgisayarnn almayabileceim
dndrerek- Mary'nin ibirlii yapmasn salad. Sonra kadnn kulland uygulamalardan ikisini altrmasn bekledi, bylece kadn
onlarn altndan emin olacakt ve ikisinin arasndaki ilikiyi
glendirecek, bir mttefiklik duygusu uyandracakt. En sonunda, bilgisayarnn salam olduundan emin olmak iin gsterdii yardmdan
duyduu minnettarlkla oynayarak iinin en nemli ksmn gerekletirmek iin biraz daha yardm etmesini salad.
Ona parolasn kendisine bile aklamamasn syleyerek Peter
kusursuz bir ustalkla irket dosyalarnn gvenliiyle ilgili endiesi
konusunda Mary'i ikna etti. Bu davran da, irketi ve kendisini
koruduu iin Peter'in bir sahtekr olmad yolundaki gvenini artrd.
Polis Baskn
yle bir sahne hayal edin: Polis, internet zerinden bedava film datan Arturo Sanchez adnda birini kapana kstrmak ister. Hollyvvood stdyolar adamn telif haklarn ihlal ettiini sylemektedir, adam ise kanlmaz olarak girecekleri bir pazar grmeleri ve yeni filmleri indirilebilir ekle
sokmak iin bir eyler yapmaya balamalar iin onlar drtmeye almaktadr. Arturo bunun stdyolar iin, tamamen gz ard edilen, byk bir
gelir kayna olacana (hakl olarak) parmak basmaya uramaktadr.
Amma zni Ltfen

Bir gece ge saatte eve dndnde yolun karsndan evinin
pencerelerine bakar ve tm klarn snk olduunu fark eder. Halbuki
dar karken birini hep ak brakmaktadr.
Kapsn alarak komusunu uyandrr ve binaya bir polis baskn
yapldn renir. Ancak herkesi aada bekletmilerdir ve komusu
polislerin hangi evi aradklarndan emin deildir. Tek bildii, ellerinde
baz ar eylerle dar ktklardr, ancak her ey sarl olduu iin ne
olduklarn anlayamamtr ve kimseyi kelepeleyip gtrmemilerdir.
112
Aldatma Sanat
Arturo oturduu daireyi kontrol eder. Kt haber: polislerin brakt

ve gn ierisinde arayp bir randevu almas gerektiini syleyen bir
kt bulur. En kt haber ise: bilgisayarlarn gtrmlerdir.
Arturo ortalktan kaybolur ve bir arkadann yannda kalmaya balar
Ama belirsizlik iini kemirmektedir. Polis ne bilmektedir? Sonunda onu
yakalamlar ama kamas iin de bir frsat m tanmlardr? Yoksa bu, kenti
terk etmesine gerek kalmadan zebilecei, tamamen farkl bir konu mudur?
Devam etmeden nce bir an durup dnn: Polisin sizinle ilgili
neler bildiini renmenin bir yolunu hayal edebiliyor musunuz?
Politikac tandklarnz, Emniyet Mdrl'nde arkadalarnz ya da
savclkta dostlarnz olmadn varsayarsak, sradan bir vatanda
olarak sizin bu bilgiyi elde edebilmeniz iin bir yol olabilir mi? Ya da
toplum mhendislii becerileri olan biri byle bir eyi baarabilir mi?
Polisi oyuna Getirmek
Arturo bilgilenme isteini yle tatmin eder: Balang olarak yaknlardaki bir fotokopi dkknnn telefon numarasn bulur, onlan arar ve
faks numaralarn ister.
Sonra blge savcln arar ve evrak blmn ister. Evrak brosuna balandnda kendini Lake Blgesi'nden gelen bir dedektif olarak
tantr ve halihazrda geerli arama emirlerini takip eden memurla
grmek istediini syler.
"Ben ilgileniyorum" der kadn. "ok iyi", diye karlk verir Arturo.
"Dn gece bir suluya baskn yaptk, basknn yazl beyanna ulamaya
alyorum."
"Adreslere gre tutuyoruz", der kadn.
Adresi verir. Kadnn sesi olduka heyecanl gelmitir. "Ah, evet", der
kadn cokuyla. "Biliyorum bunu. Telif sulusu."
"Tamam, o", der Arturo. "Yazl beyann ve arama emrinin bir kopyasna ihtiyacm var."
"Burada, nmde."
"ok iyi", der adam. "u anda dardaym ve bu konuyla ilgili on be '
dakika sonra Gizli Servis'le bir toplantya gireceim. Bugnlerde biraz
dalgnm, dosyay evde unutmuum ve gidip almaya kalkarsam yetiemeyeceim. Sizden bir kopyasn alabilir miyim?"
"Elbette, sorun olmaz. Fotokopilerini ekerim, buraya gelip alabilirsiniz."
"Harika", der Arturo. "ok iyi oldu ama u anda ehrin dier uundaym. Bana fakslamanz mmkn m?"
Bu biraz sorun yaratr ama alamaz birey deildir. "Evrak brosun-
Acndrma, Sululuk Duyuma ve Sindirme Teknii Kullanmak
113
:a faksmz yok", der kadn. "Ama aada sekreter odasnda bir tane
.ar. Kullanmama izin verebilirler."
"Ben sekreter odasn arayp, gerekli ayarlamalar yaparm", der
adam.
Sekreter odasndaki kadn bu ile memnuniyetle ilgilenecektir ama bunu
kimin deyeceini bilmek istemektedir. Bir fatura numarasna ihtiyac vardr.
"Ben numaray alp, sizi yine ararm", der kadna.
Sonra blge savcln arar, yine kendini bir poiis memuru olarak
tantr ve danmadaki grevliye soruverin "Blge savclnn fatura
numaras nedir?" Grevli duraksamadan numaray syler.
Sekreter odasn geri arayp fatura numarasn verir.
Fatura numarasn vermek iin sekreter odasn geri aramas o
hanm biraz daha ilemek iin bahane olur. Kadn yukar kp fakslanacak evraklar almaya ikna eder.
Arturo'nun birka adm daha atmas gereklidir. Her zaman birilerinin

bireylerden kukulanmas olasl vardr ve fotokopi maazasna gidip
belli bir faks almak zere birinin gelmesini bekleyen, sradan giyimli
birka polis memuruyla karlaabilecektir. Biraz bekler, sonra da faksn
gnderilip gnderilmediini kontrol etmek iin sekreter odasna telefon
eder. imdiye dek her ey yolunda gitmitir.
Ayn maaza zincirine bal, ehrin dier tarafndaki baka bir
fotokopi maazasn arar ve ilerinin grlmesinden ne kadar memnun
kaldn ve mdre bir teekkr mektubu yazmak istediini syleyip
mdrn adn sorar. Bu nemli bilgiyi kullanarak ilk fotokopi maazasna telefon eder ve mdrle konumak istediini syler. Kar taraf telefonu atnda Arturo, "Merhaba, ben 628 Hartfield maazasndan
Edward. Mdrm. Anna sizi aramam syledi. Biraz kzgn bir mterimiz var; biri ona yanl maazann faks numarasn vermi. Burada
nemli bir faks bekliyor ve ona verilen faks sizin maazann numaras."
Mdr, maaza alanlarndan birine faks buldurup hemen Hartfield
maazasna gnderteceine sz verir.
Faks ikinci maazaya geldiinde Arturo orada beklemektedir.
Belgeleri aldktan sonra sekreter odasndaki hanma teekkr etmek iin
arar ve "Elinizdeki kopyalar yukar karmanza gerek yok, onlar atabilirsiniz." der. Sonra ilk maazann mdrne de telefon eder ve ona da
ellerindeki faks atabileceklerini syler. Bylece birilerinin gelip sorular
sormas olaslna kar, olan bitenle ilgili ortalkta hibir iz kalmayacaktr. Toplum mhendisleri tedbirin elden braklmamas gerektiini iyi bilirler.
Byle bir dzmeceyle Arturo ilk fotokopi maazasna gelen faks iin
114
Aldatma Sanat
v,
ve ikinci maazaya faks gndermek iin para vermek zorunda

kalmamtr. Eer polis ilk maazaya gelmi olsayd, ikinci noktaya
adam gnderene kadar o oktan gitmi olurdu.
yknn sonu: Yazl beyan ve arama emrinde yazdna gre, polisin
elinde Arturo'nun film kopyalama faaliyetleriyle ilgili belgelenmi deliller
vardr. Arturo'nun bilmek istedii ey budur. Geceyars olmadan eyalet
snrn geer. Arturo yeni bir yaama balamak zere yola kmtr ve
baka bir yerde yeni bir kimlikle iine yeniden balamaya hazrdr.
Blge savclnda alan insanlar srekli emniyet tekilat mensuplaryla temas halindedirler; sorular sorarlar, dzenlemeler yaparlar
mesajlar alrlar. Telefonu ap da kendine polis memuru, komiser
yardmcs ya da baka birey deme cesareti olan herkesin szne
gvenilir. Kullanlan terimleri bilmemesi, gergin olmas, sylediklerini
kartrmas ya da sesinde bir terslik olmas gibi durumlar yoksa kimliini dorulamas iin ona tek bir soru bile sorulmaz. Burada, iki farkl
memurla yaanan da tam olarak budur.
Eksik fatura numaras tek bir telefonla halledilmiti. Sonra Artura
"On be dakika sonra Gizli Servisle bir toplantya gireceim, bugnlerde biraz dalgnm ve dosyay evde unutmuum", gibi bir ykyle
acndrma kartn oynamt. Kadn doal olarak ona acm ve iini
gcn brakp ona yardm etmiti.
Daha sonra Arturo bir deil iki fotokopi maazas kullanarak faks almak
konusunda kendini salama almt. Bunun zerinde bir eitleme yapmak
faksn izlenmesini daha da zorlatrrd: Saldrgan belgeyi baka bir fotokopi
maazasna gndermek yerine, faks numaras gibi gzken ama aslnda
sizin adnza fakslar alan ve e-posta adresinize gnderen cretsiz bir internet hizmetini kullanabilirdi. Bylece belge dorudan saldrgann bilgisayarna indirilir, saldrgann yzn gstermesi hi gerekmezdi, i tamamlanr
tamamlanmaz da e-posta adresi ve elektronik faks numaras terk edilirdi.
Rollerin Deimesi
Kendisine Michael Parker diyeceimiz gen bir adam yksek gelirli
ilerin niversite mezunlarna gittiini ge anlayan insanlardan biriydi.
N \J I '. Nasl oluyor da bir toplum mhendisi emniyet mdrlkleri,
savclklar, telefon irketleri uygulamalar, saldrlarnda iine yarayacak
iletiim ve bilgisayar irketlerinin yaplar gibi, bu kadar ok ileme ynelik ayrnty bilebiliyor? nk bu onun ii. Bu bilgiler toplum mhendisinin sermayesidirler ve kandrma abalarnda ona yardmc olurlar.
115
in gerei, kimsenin iyi bir toplum mhendisi tarafndan kandrlmaya kar

bakl yoldur. Gnlk yaamn hz nedeniyle, bizim iin nemli olan konularda bile, her zaman zerinde dnlm kararlar veremeyiz. Kark durumlar, zaman kstlamalar, ruh hali ya da zihin yorgunluu dikkatimizin dalmasna neden olabilir. Bu yzden zihinsel ksayollar oluturur, bilgiyi tam ve
zenle incelemeden kararlarmz veririz. Bu zihinsel srece otomatik tepki
verme denir. Tm federal, eyalet ve yerel emniyet grevlileri iin bile geerlidir.
Hepimiz insanz.
Yarm burs art eitim kredileriyle yerel bir niversiteye gitme olana
vard ama bu, kiray, yemei, benzini ve araba sigortasn demek iin
geceleri ve hafta sonlan almas anlamna geliyordu. Her zaman
Kisayollar bulmay seven Michael, daha hzl olan ve daha az abayla
sonu veren baka bir yol olabileceini dnd. On yanda ilk kez bir
oilgisayarla oynadndan beri bu aletlerle ilgili pek ok ey renmi ve
nasl altklar konusuna kafay takmt. Hzlandrlm bir bilgisayar
Dilimleri lisans diplomas yaratmay denemeye karar verdi.
stn Baarsz Mezuniyet

Eyalet niversitesinin bilgisayar sistemlerine girip, temiz bir B+ ya da
A- ortalamayla mezun olmu birinin kaytlarn bulabilir, kaytlar kopyalar, adn deitirir ve o yln mezuniyet snf listesine ekleyebilirdi.
Dnnce bu fikirden rahatsz oldu. Kampste bulunan bir renciye
ait baka kaytlarn da olmas gerektiine karar verdi; har deme kaytlar, yurtlar ofisi ve daha kim bilir baka neler. Yalnzca derslerin ve notarn kaydn karmak ok fazla ak olumasna neden olacakt.
Dnp zerinde kurduka aklna uygun bir gemite bilgisayar bilimlerinden mezun kendiyle ayn ad tayan biri olup olmadna bakmak
geldi. Eer varsa, i bavuru formlarna onun Sosyal Gvenlik
Numaras'n girebilirdi, bylece adn ve sosyal gvenlik numarasn
niversiteden kontrol etmek isteyen biri, "Evet, sz konusu diplomay
almtr", yantm alrd. (Kendinin bildii ama ou insann farketmeyecei birey yapp, ie bavururken dier Parker'in Sosyal Gvenlik
Numaras'n girip sonra ie alnrsa, balama formlarna kendi gerek
numarasn yazabilirdi. ou irket, yeni ie giren birinin i bavurusunda farkl bir numara kullanp kullanmadn kontrol etmeyi akl etmezdi.)
Belaya Balanmak
niversite kaytlannda Michael Parker'i nasl bulacakt? yle bir
ey yapt:
116
Aldatma Sanat
niversitenin ana ktphanesine giderek bir bilgisayar ubiriminin

bana oturdu, niversitenin internet sitesine girdi. Sonra renci leri'ni
arad. Telefona kan kiiye artk iyice aina olduunuz toplum mhendislii taktiklerinden birini uygulad. "Bilgi ilem Merkezi'nden aryorum. A
yaplandrmasnda deiiklikler yapyoruz ve eriiminizi engellemediimizden emin olmak istiyoruz. Hangi sunucuya balsnz?"
"Sunucuyla ne demek istiyorsunuz?" diye sordu kar taraf.
"renci akademik verilerine ulamak istediinizde hangi bilgisayara balanyorsunuz?"
Ald yant, admin.rnu.edu oldu. Konutuu kii renci kaytlarnn
tutulduu bilgisayarn adn ona vermiti. Bu, bulmacann ilk parasyd.
Artk hangi makineyi hedef alacan biliyordu.
Adresi bilgisayara girdi ve bir yant alamad. Bu, bekledii bir durumdu,
eriimi engelleyen bir gvenlik duvar vard. O bilgisayar zerinde alan
hizmetlerden herhangi birine balanp balanmadn kontrol etmek iin
bir program altrd ve bir bilgisayarn uzaktan baka bir bilgisayara
balanmasn ve ona bir basit ubirim olarak erimesini salayan bir Telnet
servisinin alt ak bir balant noktas buldu. Oraya girmek iin ihtiyac olan tek ey standart bir kullanc ad ve parolayd.
renci leri'ni tekrar arad ve bu kez farkl biriyle konutuundan
emin olmak iin nce dikkatle dinledi. Bir kadn kt ve ona yine niversite Bilgi lem Merkezi'nden olduunu syledi. dari kaytlar iin yeni bir
iletim sistemi yklediklerini anlatt. Bir ayrcalk yapp, deneme kipinde
olan yeni sisteme onun balanmasn ve renci akademik kaytlarna
eriip eriemediine bakmasn istedi. Balanaca adresin P numarasn verdi ve ona neler yapmas gerektiini anlatt.
Aslnda P adresi kadn Michael'n ktphanede nnde oturduu bilgisayara ynlendirmiti. Sekizinci blmde aklanan srecin aynsn kullanarak, renci kaytlarna bakmak iin girdii sistemde grmeye alk
olduunun tpatp ayns bir giri benzetimcisi, yani sahte bir giri ekran
yaratmt. "almyor" dedi kadn. "Srekli 'Giri Hatal' mesaj veriyor."
Giri benzetimcisi, kullanc ad ve parola girilirken kullanlan tular
oktan Michael'in ubirimine kaydetmiti bile. Kadna, "Baz hesaplar
henz bu makinaya aktarlmad. Size bir hesap aaym, sonra yine
ararm" dedi. Her yetenekli toplum mhendisi gibi ak ular balamak
konusuna dikkat ederek, kadn aramay unutmamay bir kenara not etti.
Telefon edip test sisteminin henz tam olarak almadn ve eer
onun iin bir sorun olmayacaksa sorunun nereden kaynaklandn bulduklarnda arkadalarnn onu arayacaklarn syleyecekti.
Artk Michael hangi bilgisayar sistemine balanmas gerektiini bili-
BAST UBRM: Kendi

mikroilemcisi olmayan
ubirim. Basit ubirimler
yalnzca basit komutlar
kabul ederler ve sadece
harf ve saylan gsterebilirler.
117
yordu ve elinde bir kullanc ad ve parola vard. Ancak doru ad ve mezuniyet

tarihine sahip bir bilgisayar bilimleri
mezununu aratabilmek iin hangi komutlara gereksinimi olacakt? renci
veri taban bunun iin ok uygundu. niversitenin ve renci ilerinin ihtiyalarna gre hazrlanmt ve veri tabanna
eriim iin kendine zg bir kullanm
vard.
lk adm bu son engeli kaldrmakt:

renci veri tabann taramann gizemleri konusunda ona kimin yol
gsterebileceini bulmalyd. renci ilerini tekrar arad ve yine baka
biriyle konutu. Kadna, Mhendislik Fakltesi Dekanl'ndan aradn
syledi ve, "renci akademik dosyalarna ulamakta sorun yaadmz zaman kimi aramamz gerekiyordu?" diye sordu.
Bir sre sonra niversitenin veri taban yneticisiyle telefonda
gryor, ona bir acndrma numaras ekiyordu: "Ben Mark Sellers,
renci ilerinden. Yeni ie balayan birine yardm eder misin? Seni
aradm iin zr dilerim ama u anda herkes toplantda ve etrafta
bana yardm edebilecek kimse yok. 1990 ve 2000 yllar arasndaki bilgisayar bilimleri mezunlarnn listesine ihtiyacm var. Bu akama kadar
istiyorlar ve bunu onlara veremezsem, bu ite uzun sre kalamayabilirim. Ba dertte olan birine yardm etmek ister misin?" insanlara yardm
etmek bu veri taban yneticisinin iinin bir paras olduu iin Michael'a
yapmas gerekenleri adm adm anlatrken iki kat fazla sabr gstermiti.
Konumalar bitene kadar Michael o yllara ait tm bilgisayar bilimleri mezunlarn ieren listeyi indirmiti. Birka dakika iinde bir arama
yapm ve iki Michael Parker birden bulmutu. Bir tanesini seti ve
adamn Sosyal Gvenlik Numaras'nn yan sra veri tabannda bulunan
baka ie yarar bilgileri de ald.
Az nce, "Michael Parker, Bilgisayar Bilimleri Lisans Derecesi'ni
1998 ylnda stn baar ile tamamlamtr" unvann almt. Bu
durumda 'Lisans Derecesi' sahibi olmas ok yerinde bir sonu olmutu.
Bu saldrda daha nce szn etmediim bir yntem kullanld:
Saldrgann, kuruluun veri taban yneticisine nasl ileyeceini bilmedii bir
bilgisayar srecinin admlarn tek tek anlattrmas. Rollerin gl ve etkili bir
ekilde deitirilmesi. Bu, raflarndan mal arakladnz dkknn sahibinden
kutuyu arabanza kadar tamanza yardm etmesini istemek gibi bir ey.
118
A l d a t m a Sanat
-..'
Acndrma, sululuk duyurma ve sindirme, toplum mhendilerinin en
ok kulland psikolojik yntemdir ve bu ykler bu taktiklerin kullanm eklini gstermitir. Siz ve bilgisayarnz bu tarz saldrlardan
kanmak iin neler yapabilirsiniz, biliyor musunuz?
Verilerin Korunmas
Bu blm kapsamnda anlatlan baz ykler, kii irketinizde
alyor (ya da yle grnyor) ve belge, irket ii bir elektronik
postaya ya da faks makinasna gnderiliyor olsa da tanmadnz birine
bir dosya gndermenin tehlikelerini vurguluyor.
irket gvenlik kurallar, gndericinin ahsen tanmad birine
nemli bilgileri teslim etmesiyle ilgili son derece net olmaldr. Hassas
bilgiler ieren dosyalarn aktarlmasna ynelik zorunlu sreler belirlenmelidir. ahsen tannmayan birinden gelen bir talep durumunda, kontrol
etmek iin tanmlanm ak admlar olmaldr ve bunlar bilginin hassaslna gre farkl dzeylerde yetkiler gerektirmelidir.
ite gz nne alnacak birka teknik:
Bilginin neden istendiini renin \\OTIYTI'I\ tesV^ s>&WteU\d.er\ yetki
alnmasn gerektirebilir).
Bu ilemlere ait kiisel ya da birim ii gnlk tutun.
Sreler konusunda eitilmi ve hassas bilgileri dar vermek

zere yetkilendirilmi kiilerin bir listesini bulundurun. alma
grubunun dna gnderilecek bilgilerin yalnzca bu kiiler
tarafndan gnderilmesini zorunlu kln.
Eer istek yazl olarak yaplmsa (e-posta, faks ya da posta),

istein, gnderdiini dndnz kiiden geldiinden emin
olmak iin gerekli nlemleri aln.
Parolalara likin
Hassas bilgiye eriimi olan tm alanlarn -bugn bu neredeyse
Mitnick Mesaj:
Bilgisayar kullanclar bu teknolojik dnyada var olan toplum mhendisliine
ilikin tehditler ve zayflklardan bazen btnyle habersiz oluyorlar. Bilgiye
eriimleri var, ancak yine de neyin bir gvenlik tehdidi olabileceiyle ilgili
ayrntl bilgileri yok. Toplum mhendisi, arad bilginin deerini tam olarak
bilmeyen bir alan hedefleyecektir; bylece hedef, tanmad birinin isteini
yerine getirmeye daha meyilli olacaktr.
119
bilgisayarla alan herkes anlamna geliyor- parola deitirmek gibi

basit ileri birka saniyeliine bile olsa yapmalarnn byk gvenlik
aklarna neden olabileceini bilmeleri gerekiyor.
Gvenlik eitimleri parola konusunu da iermelidir ve konu,
parolann ne zaman ve nasl deitirilebilecei, nelerin geerli parolalar
olaca ve bu srece bakalarn da katmann oluturabilecei
tehlikelere odaklanmaldr. Eitim, tm alanlara, zellikle parolalarnn sorulduu isteklere kar pheyle yaklamalar gerektiini vurgulamaldr.
Dardan bakldnda bunun alanlara aktarmak iin ok basit bir
mesaj olduu dnlebilir. yle deildir. Byle bir fikri takdir etmeleri
iin alanlarn, parolann deitirilmesi gibi basit bir iin nasl gvenlik
aklarna yol aacan anlam olmalar gerekir. Bir ocua, "Kardan
karya geerken her iki yne de bak" diyebilirsiniz ama ocuk bunun
neden nemli olduunu anlayana kadar olaya at gzlkleriyle bakmasna gz yummanz gerekir. At gzlkleriyle baklan kurallar ya gz ard
edilir ya da unutulur.
Merkez Br Bildirim Noktas

Gvenlik politikanz, kuruluunuza girme teebbsleri gibi grnen
pheli faaliyetlerin bildirilecei bir kii ya da guruptan oluan merkez
bir nokta da oluturmaldr. Tm alanlar elektronik ya da fiziksel bir
mdahaleden kukulandklarnda kimi aramalar gerektiini bilmelidirler.
Bildirimin yaplmas gereken noktann telefon numaras her zaman el
atnda olmaldr; bylece alanlar bir saldr gerekletiinden phelenirlerse numaray bulmaya almak zorunda kalmazlar.
Bilgisayar n Koruyun
alanlar bir bilgisayar sunucusu ya da a adnn nemsiz bir bilgi
olmadn bilmelidirler. Aksine, gven uyandrabilmesi ya da istedii bilginin yerini renmesi iin saldrgana nemli bir kaynak oluturabilirler.
zellikle veri taban yneticileri gibi, yazlmlarla alan kiiler
teknik uzmanl olanlar grubuna girerler ve onlarn, kendilerinden bilgi
ve tavsiye isteyen kiilerin kimliklerini dorulamak konusunda ok kat
ve zel kurallar erevesinde almalar gereklidir.
Srekli olarak bilgisayar destei veren kiiler, ne tr isteklerin krmz
Parolalar toplum mhendislii saldrlarnn o kadar nemli

bir odak noktasdr ki on altnc blm tamamyla buna ayrdk. Orada
parolalarn ynetilmesiyle ilgili nerilen kurallar bulabileceiniz.
120
Aldatma Sanat
k yaktn, dier bir deyile, arayann bir toplum mhendislii

saldrs gerekletirdiini gsteren durumlara kar ok iyi bir eitimden
geirilmelidirler.
Bu blmn en son yksnde veri taban yneticisinin bak
asndan, arayann gerek birinin kstaslarna uyduunu da belirtmeden geemeyeceim. Kampsten aryordu ve iinde bulunduu site
kesinlikle kullanc ad ve parola gerektiren bir siteydi. Bilgi talep eden
birinin kimliini dorulamak iin standart srelerin olmasnn nemini
bu durum bir kez daha vurguluyor. zellikle de, arayann gizli kaytlara
ulamak konusunda yardm istedii byle bir olayda.
Tm bu neriler, niversiteler ve yksekokullar iin ikiye katlanyor.
Bilgisayar korsanlnn pek ok niversite rencisinin en sevdii ura
olduu yeni bir haber saylmaz ve renci kaytlarnn ve bazen de
faklte kaytlarnn ekici hedefler tekil etmeleri de artc deildir. Bu
smr o kadar byk boyutlardadr ki baz irketler kampsleri tehlikeli blgeler olarak deerlendirirler ve sonu .edu ile biten retim kurumlarnn eriimini engellemek iin gvenlik duvarlar olutururlar.
Uzun lafn ksas her trl renci ve personel kaytlar balca hedefler olarak grlmeli ve hassas bilgi kapsamnda ok iyi korunmaldr.
Eitim pular
ou toplum mhendislii saldrlar -nereye bakacan bilenler
iin- savunulmas komik olacak kadar kolay eylerdir.
irket bak asndan baktmzda iyi bir eitim verilmesi iin
nemli bir gereksinim vardr. Ancak ayn zamanda, insanlara rendiklerini hatrlatacak eitli yollar da olmaldr.
Kullancnn bilgisayar alrken her gn baka bir mesaj ieren bir
ekran kabilir. Mesaj yle tasarlanm olmaldr ki, kendiliinden kaybolmamal ve kullancnn okuduuna dair bir eit onay kutucuuna tklamasn gerektirmelidir.
nerebileceim bir baka yaklam ise bir dizi gvenlik mesajdr.
Sk sk grlen hatrlatma mesajlar nemlidir nk bir bilinlilik program srekli ve sonsuz olmaldr. erikleri sunarken mesajlar her
seferinde ayn ekilde dile getirilmemelidir. Aratrmalara gre farkl bir
cmleyle sunulduunda ya da farkl rnekler kullanldnda bu mesajlar
daha etkili olmaktadr.
Bir dier kusursuz yaklam ise irket bltenine ksa ilanlar vermektir. Her ne kadar bir gvenlik kesi ok yerinde olacaksa da bu ilanlar
tam bir ke oluturmamaldr. Onun yerine, okuduunuz gazetedeki
kk ilanlar gibi, iki ya da stun geniliinde bir ilan kutusu tasarlanabilir. Bltenin her basksnda, bu ksa ve dikkat ekici yntemle yeni
bir gvenlik unsuru hatrlatlabilir.
TERS DALAVERE
Bu kitabn baka bir yerinde de sz edilen Belallar (The Sting) filmi

-ki bana gre dolandrclkla ilgili yaplm herhalde en iyi filmdir- zorlu
bir kumpas byleyici bir ayrntlkta anlatr. Fimdeki dalavere, "byk
dalavereler" olarak bilinen byk dolandrclk eidinden biri olan
"telleme" iinin nasl yrtldnn ak bir rneidir. Profesyonel bir
ekibin bir oyun evirip bir gecede nasl byk paralar hortumladm
renmek istiyorsanz bundan iyi bir ders kitab yoktur.
Ancak geleneksel dolandrclklar, ne tr bir ayak oyunu kullanrlarsa kullansnlar, belli bir yol izlerler. Bazen oyun ters ynde oynanr,
buna da ters dalavere denir. Saldrgann, kurbann yardm iin saldrgan arayaca ya da kurbann bir mesai arkadann isteine saldrgann yant verecei ekilde ortam dzenledii karmak bir dolaptr.
Bu i nasl m yaplr? imdi greceksiniz.
Tatl Diife kna Sanat

Sradan biri bir bilgisayar korsann gznde canlandrdnda
ounlukla ilk akla gelen, en iyi arkada bilgisayar olan ve anlk
mesajlar dnda konuma zrl olan, yalnz, iine kapank bir
gerzein sevimsiz grntsdr. Genellikle bilgisayar korsanl becerileri de olan toplum mhendisinin br cebinde insan becerileri de
vardr, insanlar kullanp ynlendirerek kesinlikle aklnza gelmeyecek
yollarla bilgi toplamasn salayacak iyi gelitirilmi yeteneklere sahiptir.
Angela'y Arayan Kii

Yer: Federal Sanayi Bankas, Valley ubesi.
Zaman: Sabah 11:27.
Angela Wisnowski, kendisine byk bir miras kalmak zere olduunu
ve tasarruf hesaplan, mevduat sertifikalan
ve nerebilecei gvenli ama iyi faiz veren
baka yatrm aralar olup olmad
konusunda bilgi almak istediini syleyen
TERS DALAVERE:
bir adamdan bir telefon ald. Angela adama
Saldrya urayan kiinin
olduka ok seenek olduunu ve bankaya
saldrgandan yardm istekadar gelip karlkl grmek isteyip istedii bir dolandrclk ekli.
meyeceini sordu. Adam para eline geer
Terimler
Ters Dalavere
123
Bu iyi diye dnd arayan. nsanlarn en kk bir drtmeyle

dvermemeleri iyi oluyor. Eer biraz direnmezlerse i ok kolaylayor ve ben tembellemeye balyorum.
- Darya birey gndermeden nce onay almamz konusunda kafay
tm bir ube mdrm var, hepsi bu. Ama bilgiyi fakslamamz
istemiyorsanz nemli deil. Onaya gerek yok.
- Angela yarm saat kadar sonra burada olur. Ona seni aramasn
syleyebilirim, dedi Louis.
- ifreyi vererek bunun geerli bir istek olduunu gsteremediiniz
iin ona bugn gnderemediimi sylerim. Eer yarn doktor bana
rapor vermezse, onu yeniden ararm.
':
- Tamam, olur.
- Mesaj, acil, diyordu. Neyse bo ver, onay olmadan elim kolum
bal. Ona gndermeye altm ama senin ifreyi veremediini
sylersin deil mi?
Louis sonunda baskya dayanamad. Ahizeden skntl bir i geirme
duyuldu.
-Peki, dedi. Biraz bekle, bilgisayarma kadar gitmem gerekiyor.
Hangi ifreyi istiyorsun?
- B, dedi arayan.
Louis aramay beklemeye ald, biraz sonra yeniden at.
- 3184.
- Bu doru ifre deil.
.
.
- Bu doru. B ifresi 3184..

- Ben B demedim, E dedim.
- Kahretsin. Bir dakika bekle.
Louis yeniden ifrelere bakarken biraz daha bekledi.
- E ifresi 9697.
- 9697, tamam. Faks hemen gnderiyorum. Tamam m?
- Tamam. Teekkrler.
WaUerv Arayan Kii

- Federal Sanayi Bankas, ben Walter.
- Merhaba, Walter, ben Studio City 38 nolu ubeden Bob Grabowski,
dedi arayan. Bir mteri hesabna ait imza kartonuna ihtiyacm var,
bana onu fakslayabilir misin?
, mza kartonu yalnzca mterinin imzasn iermez, sosyal gvenlik
numaras, doum tarihi, annesinin kzlk soyad ve bazen de ehliyet
numarasna gibi dier tanmlayc bilgileri de ierir. Bir toplum
mhendisi iin ok kullanldr.
124
Aldatma Sanat
- Elbette. C ifresi nedir?
- u anda bilgisayarm baka biri kullanyor, dedi arayan. Ama az
nce B'yi ve E'yi kullanmtm ve onlar hathyorum. Onlardan birini
sorabilirsin.
- Tamam, E ifresi nedir?
- E ifresi 9697.
Birka dakika sonra Waiter istenen imza kartonunu fakslar.
Donncs Plaiee'i Arayan Kii

- Merhaba, ben Bay Anselmo.
- Size bugn nasl yardmc olabilirim?
- Hesabma para yattn renebilmek iin aramam gereken 800'l
numara hangisiydi?
- Bankann bir mterisi misiniz?
- Evet, ama numaray uzun sredir kullanmadm ve imdi de nereye
yazdm hatrlamyorum.
- Numara 800-555-8600.
- Tamam, teekkrler.
Vince Capelli'nin yks

Spokane'li bir polis memurunun olu olan Vince, saatlerce kle gibi
alp, asgar cret alabilmek iin kelleyi koltua almayacan erken
yalardan beri biliyordu. Yaamnn iki temel amac Spokane'den ayrlmak ve kendi iini kurmak oldu. Okul yllar boyunca arkadalarnn
onunla alay etmesi onu daha da kztrmt. Kendi iini kurmaya
hevesli olmas ama bir iin nasl yrtleceiyle ilgili hibir fikri olmamas onlara gln geliyordu.
ten ie Vince arkadalarnn hakl olduunu da biliyordu. yi olduu
tek ey okulun beyzbol takmnn tutucusu olarak yapt iti. Ama
bunda da burs kazanacak ya da profesyonel beyzbol oynayacak kadar
iyi deildi. O zaman nasl bir ie giriecekti?
Vince'in grubundaki arkadalar bir eyi tam olarak anlamamlard:
Aralarnda birinin olan bir ey -yeni bir sustal ak, k bir ift scak
tutan eldiven, ekici bir kz arkada- eer Vince'in houna gitmise ok
gemeden onun oluyordu. Ne alyor ne de birilerini arkadan vuruyordu, bunu yapmasna gerek yoktu. ocuklar ellerindekileri isteyerek
veriyorlard ve sonra da bunun nasl olduunu dnyorlard. Vince'e
sormak da bir ie yaramyordu, nk kendi de bilmiyordu. Grne
gre her ne isterse insanlar ona bunlar veriyordu.
Vince Capelli, bu ad hi duymam olsa bile, erken yalardan beri bir
toplum mhendisiydi.
Ters Dalavere
125
Okul diplomalarm ellerine aldktan sonra arkadalar glmeyi kestiler.

Dierleri, ehirde dolap "Yannda patates kzartmas ister misiniz?"
diye sormak zorunda kalmayacaklar bir i bulmaya alrlarken
Vince'in babas, tekilattan ayrlp kendi zel dedektiflik iini kuran
eski bir polis arkadayla konumas iin onu San Francisco'ya gndermiti. Adam, Vince'in bu ie ok uygun olan yeteneini grm ve
hemen onu ie almt.
Bu alt yl nceydi. in, oturup beklemeyi gerektiren can skc saatlerle dolu sadakatsiz elerle ilgili bilgi toplama ksmndan nefret ediyordu, ancak zavall bir mteveffann dava alacak kadar zengin olup
olmadm renmeye alan avukatlarn verdii mal varlklarn
renme ilerini her zaman heyecan verici buluyordu. Bu tarz iler ona
akln kullanmas iin pek ok frsat sunuyordu.
Tpk Joe Markowitz adnda bir adamn banka hesaplarna bakmas
gerektii zaman olduu gibi. Joe'nun eski bir arkadan dolandrm
gibi bir durumu vard ve u anda arkada, dava aarsa para alabilecek
kadar Markowitz'in ykl olup olmadn renmek istiyordu.
Vince'in ilk adm bankann gvenlik ifrelerinden en az bir, ama tercihen
iki tanesini ele geirmekti. Bu kulaa neredeyse imknsz bir imi gibi
geliyor. Nasl bir numara bir banka alann ifreleri vermesi konusunda
ikna edebilirdi ki? Kendi kendinize sorun; eer siz bu ii yapmak istiyor
olsaydnz, bunu nasr yapacanzla ilgili bir fikriniz olur muydu?
Vince gibi insanlar iin bu i ok kolaydr.
lerinde ve irketlerinde kullandklar terimleri biliyorsanz insanlar
size gvenirler. Yakn evrelerinin bir parasym gibi grnrsnz.
Gizli bir tokalama gibidir. Vince'den dinleyelim:
Byle bir i iin o kadar ok eye ihtiyacm yoktu. Bu i beyin cerrahisi
deil. e balamak iin tek gereken ey bir ube mmarasyd. Buffalo
Beacon Street ubesini aradmda telefona kan adamn sesi bir gie
grevlisi gibi geliyordu.
"Ben Tim Ackerman" dedim. Herhangi bir ad olurdu, nasl olsa bir yerlere yazmayacakt. "O ubenin numaras nedir?"
"Telefon numaras m, ube numaras m?" diye bilmek istedi ama bu
olduka aptalcayd, nk zaten telefon ediyordum, deil mi?
"ube numaras."
"3182", dedi adam hi duraksamadan. Ne, "Neden bilmek istiyorsunuz?" diye sordu, ne de baka bir ey. Hassas bilgi olmad iin, kullandklar her kt parasnn stnde yazlyd.
kinci adm hedefimin alt ubeyi aramak, orada alanlardan
birinin adn ve onun ne zaman le yemeine kacan renmekti.
Angela 12:30'da yemee kyordu. Her ey olduka iyi gidiyordu.
nc admda Angela le tatilindeyken ayn ubeyi tekrar arayacak,
Boston'daki u ve u numaral ubeden aradm syleyecek, Angela'nm
126
Aldatma Sanat
bu bilginin fakslanmasn istediini belirterek gnlk ifreyi alacaktm.
En zorlu ksm buydu, tekerler dnmeye buradan balayacakt. Eer
toplum mhendislii becerisini snayacak bir snav yapyor olsaydm,
kurbann hakl olarak kukuland benzer bir durum koyardm ve onu
krp istediiniz bilgiyi alana kadar orada kalmak zorunda kalrdnz.
Bunu bir senaryodaki satrlar tekrarlayarak ya da belli kalplar ezberleyerek yapamazsnz; kurbannz okumanz, ne hissettiini anlamanz,
oltay suya atp ekerek bir bal yakahyormu gibi onunla oynamanz
gerekir. Ta ki zokay yutturup, onu kaya ekene kadar.
Bylece onu ama drdm ve gnlk ifrelerden birini aldm. ou
bankada yalnzca tek bir tane kullanrlar, yle olsayd iim bitmi
saylrd. Federal Sanayi Bankas'nda be tane kullanyorlar ve beinden birini bilmek ii ok fazla ansa brakmak olurdu. Bete iki olursa
bu kk oyunun bir sonraki sahnesini tamamlamak iin daha fazla
ansm olacakt. "B demedim, E dedim," ksmna baylyorum. e
yarad zaman harika oluyor. Ve ou zaman da ie yaryor.
nc bir tane almak daha da iyi olurdu. Tek bir aramada tane birden almay baarmlm da vardr. B, D ve E'nin okunular sizi yanl anladklarn iddia edebileceiniz kadar birbirlerine benzerler. Ama
gerek bir aknla konuuyor olmanz gerekir. Bu kadn yle deildi.
ki taneyle yetinecektim.
Gnlk ifreler imza kartonunu almak iin benim kozum olacaklar.
Aryorum ve adam benden bir ifre istiyor. C'yi istiyor ve ben de yalnzca B ve E var. Ama bu dnyann sonu deil. Byle anlarda sakin
olmalsnz, kendinize gvenmeli ve iinize devam etmelisiniz. Hi
istifimi bozmadan ona, "Biri benim bilgisayarm kullanyor, bana
dierlerinden birini sor" oyununu oynadm.
"Hepimiz ayn irketin alanlaryz, hepimiz bu iin iindeyiz; adam
yokua srme". Byle bir anda kurbannzn bu ekilde dndn
mit edersiniz. Adam tam kitabna gre oynad. Sunduum seeneklerden birini sordu, ona doru yant verdim ve imza kartonunu fakslad.
neredeyse bitmiti. Bir grme daha yapp elektronik bir sesin istediiniz bilgiyi okuduu ve mterilerin otomatik hizmet iin kullandklar 800'l numaray buldum. mza kartonunda hedefimin tm hesap
numaralan ve kiisel kimlik numaras vard, nk bu banka Sosyal
Gvenlik Numaras'nn son drt ya da be basaman kullanyordu.
Elimde kalem 800'l numaray evirdim ve birka dakikam tulara
basarak geirerek adamn drt hesabnn birden son durumlarn
rendim. i salama almak iin her birine en son yatrd ve ektii
paralan da bir kenara not ettim.
Mterimin arad her ey fazlasyla tamamd. Her olasla kar her
zaman biraz fazla bilgi vermek houma gider. Mteri velinimetimizdir. Ne de olsa srekli gelen iler iletmenin varln srdrmesini salayan eylerdir, yle deil mi?
Ters Dalavere
127
Tm bu olayn kilit noktas o ok nemli gnlk ifreleri almakt ve
ounu yapmak iin saldrgan, yani Vince, pek ok farkl teknik kulland.
Biraz laf ebelii yaparak ie balamt ki Louis ona ifreyi vermekte
isteksiz davrand. Louis phelenmekte haklyd, ifreler dier ynde kullanlmak zere tasarlanmlard. lerin olaan srecinde onu arayan,
tanmad kiinin gvenlik kodunu vermesi gerekirdi. Bu Vince iin ok
kritik bir and, tm abalarnn baarya ulap ulamamas buna balyd.
Louis'in phesi karsnda Vince adam etkileme abasn artrarak
acndrma ("doktora gitme"), bask ("yapacak ynla iim var ve saat
neredeyse drt oldu") ve etkileme ("ona bana ifreyi vermediini syle")
yntemlerine bavurdu. Aklllk edip Vince aslnda hi tehdit kullanmad,
yalnzca ima etti: Eer bana gvenlik ifresini vermezsen arkadann
ihtiyac olan mteri bilgilerini gnderemem ve ona aslnda gnderebilecek durumda olduumu fakat senin ibirlii yapmadn sylerim.
Yine de kabahati Louis'e atmakta acele etmeyelim. Ne de olsa telefondaki kii, arkada Angela'nn bir faks beklediini biliyordu; en azndan biliyormu gibi grnyordu. Arayan, gvenlik ifrelerinden de haberdard ve onlara atanm harflerle tanmlandklarn biliyordu. Arayan,
ube mdrnn daha fazla gvenlik iin bunun yaplmasn istediini
sylemiti, istedii dorulamay ona vermemek iin ortalkta bir neden
grnmyordu.
Louis yalnz deildi. Banka alanlar neredeyse her gn gvenlik
ifrelerini toplum mhendislerine verirler. nanlmaz ama gerek.
zel bir dedektifin kulland yntemlerin yasal olmaktan kp
yasad olmaya balad ince bir izgi vardr. ube numarasn
aldnda Vince henz yasad deildi. Louis'i gnlk gvenlik
ifrelerinden ikisini vermeye kandrdnda da yasad birey yapmamt. Bir banka mterisinin bilgilerini kendisine fakslanmasn istedii anda izgiyi at.
Ama Vince ve patronu iin bu dk riskli bir sutu. Para ya da mal
aldnzda birileri onun kaybolduunu anlarlar. Bilgi aldnzda ou
zaman bunu kimse fark etmez, nk bilgi hl ellerindedir.
AAitnick Mesaj:
Szel gvenlik ifreleri, verilerin korunmas iin elverili ve gvenilir bir yntem sunmada parolalara denktirler. Ancak alanlarn toplum, mhendislerinin
kulland dalavereler konusunda bilgili olmalar ve kralln anahtarlarn teslim etmemek zere yetitirilmeleri gerekir.
128
Aldatma Sanat
Dalavereye let Olan Polisler

Hilebaz bir zel dedektif ya da toplum mhendisi iin birinin ehliyet
numarasn bilmesinin gerektii durumlar sk sk ortaya kar. rnein, birinin
banka hesaplaryla ilgili bilgi almak iin onun kimliine brnmek istiyorsanz.
Birinin czdann yrtmek ya da uygun bir anda omuzunun
zerinden gz ucuyla bakmak dnda ehliyet numarasn renmek
olanaksza yakn olmaldr. Ancak ok fazla toplum mhendislii becerilerine sahip olmayan biri iin bile bu pek zor bir i saylmaz.
Dzenli olarak ehliyet numaralar ve ara plaka numaralan renmesi gereken -kendisine Eric Mantini diyeceim- bir toplum mhendisi
var. Eric, Motorlu Tatlar Mdrl'n aramann ve bilgi almas gerektiinde hep ayn oyunu oynamann, iinde bulunduu tehlikeyi gereksiz
lde artrdna karar verdi ve bu sreci kolaylatrmann bir yolunun
bulunup bulunmadn aratrd.
Byk olaslkla daha nce kimse dnmemiti ama istedii anda
bu bilgiyi almann bir yolunu buldu. Bu ii Blge Motorlu Tatlar
Mdrl'nn yrrle koyduu bir hizmetten yararlanarak yapt. Pek
ok blge mdrl, ayrcalkl bilgiler olmadklar srece, vatandalarla ilgili bilgileri sigorta kurumlarna, zel dedektiflere ve eyalet yasalar
uyarnca ticaretin ve genel toplumun lehine olmak kaydyla paylamann uygun olduu belli baka kurululara amlard.
Motorlu Tatlar Mdrl'nn, doal olarak, hangi tr verilerin verileceine ilikin uygun kstlamalar vardr. Sigorta sektr dosyalardan
belli tr bilgiler alabilir ama dierleri alamaz. zel dedektifler iin farkl
snrlamalar geerlidir ve bu byle gider.
Emniyet tekilat mensuplar iin de farkl bir kural geerlidir. Motorlu
Tatlar Mdrl, kendini uygun ekilde tantan yeminli bir polis
memuruna kaytlar ndaki tm bilgileri aacaktr. Eric'in yaad eyalette
Motorlu Tatlar Mdrl'nn bir emniyet grevlisinden istedii tanmlamalar Talep Kodu ve memurun ehliyet numarasyd. MTM alan,
bilgi vermeden nce her zaman memurun adn ehliyet numarasyla ve
baka bir bilgiyle -genellikle doum tarihiyle- karlatracakt.
Toplum mhendisi Eric'in yapmak istedii, kendini bir emniyet tekilat mensubunun kimliine brndrmekten baka birey deildi. Bunu
nasl baaracakt? Polislere bir ters dalavere uygulayarak!
Eric'in Dalaveresi
nce bilinmeyen numaralan arad ve eyalet bakentindeki Motorlu
Tatlar Genel Mdrl'nn telefon numarasn istedi. Ald numara
503-555-5000'di ve doal olarak, vatandan aramas iin ayrlm tele-
Ters Dalavere
129
fondu. Sonra yaknlardaki bir karakolu arayarak haberleme brosunu

-dier emniyet tekilat birimleriyle, ulusal su veri tabanyla, yerel
yetkililerle ve benzeri yerlerle iletiimin kurulduu birimi- istedi.
Haberleme brosunda telefona kan memura Eyalet Motorlu Tatlar
Genel Mdrl'nn emniyet tekilatn aramas iin ayrlm
numaray renmek istediini syledi.
"Sen kimsin?" diye sordu haberlemedeki polis.
"Ben Al. 503-555-5753' aryordum" dedi Eric. Bu yar yarya
varsaym ve yar yarya uydurulmu bir numarayd. Emniyet tekilatndan gelecek telefonlar iin MTM'de kurulan zel bro numarasnn
halka ak numarayla ayn blge koduna sahip olmas gerekirdi ve sonraki basaman da ayn olaca neredeyse kesindi. Tm bilmesi
gereken son drt basamakt.
Karakol haberleme brolarna dardan telefon gelmezdi ve arayan
kii numarann ounu biliyordu. Tekilattan biri olduu akt.
"Numara 503-555-6127" dedi memur.
Artk Eric'in elinde emniyet tekilat mensuplarnn kullanmna zel
MTM numaras vard. Ama yalnzca telefon numaras onun iini grmyordu; o bronun birden fazla telefon hatt olmalyd ve Eric'in ka
hat olduunu ve her birinin numarasn renmesi gerekiyordu.
Santral
Plann uygulamaya koymak iin, emniyet tekilatndan arayanlarn
aramalarm ynlendiren MTM santralna erimesi gerekiyordu.
Telekomnikasyon Mdrl'n arad ve en ok kullanlan ticari telefon santrallerinden biri olan DMS-100'leri reten Nortel'den aradn
syledi. "DMS-100 zerinde alan santral teknisyenlerinden biriyle
grebilir miyim?"
Teknisyen telefonu atnda, Teksas Nortel Teknik Destek Merkezi'nden
aradn ve tm santrallar en son yazlmla gncelleyebilmek iin
merkez bir veri taban oluturduklarn anlatt. Her ey uzaktan yaplacakt ve santral teknisyenlerinin mdahalesine gerek olmayacakt. Ancak
santraln bilgisayar balant numarasna ihtiyalar vard, bylece gncellemeleri dorudan Destek Merkezi'nden yapabileceklerdi.
Olduka akla yatkn grnyordu ve teknisyen, Eric'e telefon
numarasn verdi. Artk eyaletin telefon santrallarmdan birine dorudan
balanabilecekti.
Tpk her irket bilgisayar anda olduu gibi saldrganlara kar korunmak iin bu tarz ticari santraller de parola korumaldr. Telefon
beleilii gemii olan her iyi toplum mhendisinin bildii zere
Nortel santrallerin yazlm gncellemeleri iin kulland standart bir
kullanc ad vard: NTD (Nortel Teknik Destek'in ba harfleri, yani
. ok gizli bir ey deil). Peki ya parola? Eric pek ok kez balanmaya
130
Aldatma Sanat
alarak, her seferinde bariz ve sk kullanlan olaslklar denedi.
Kullanc adyla ayn harfleri, NTD, girmek de ie yaramad.
"Yardmc" kelimesi de olmad, "yama" da.
Sonra "gncelleme"yi denedi... ve girdi. Baka ne beklenirdi ki! Bariz,
kolayca tahmin edilebilen bir parola kullanlmas, hi parola olmamasndan yalnzca bir nebze daha iyidir.
Konunuzda bilgili olmak iyidir. Eric'in o santralin nasl programland
ve sorunlarn nasl zld hakknda byk olaslkla o telaisyen
kadar bilgisi vard. Yetkili bir kullanc olarak santrale eritikten sonra
hedefi olan telefon hatlar zerinde tam kontrol salayabilecekti.
Emniyet tekilat mensuplarnn MTM'yi aramak iin kullandklar
numaray, 555-6127, bilgisayarndan arattrd. Ayn mdrlkte on
dokuz tane daha hat olduunu grd. Grne gre arayanlar oktu.
Her gelen aramada santral megul olmayan birini bulana kadar yirmi
hatt taramaya programlanmt.
Sradaki on sekiz numaral hatt seti ve bu hattan aramalar baka bir
telefona ynlendirecek ifreyi girdi. Ynlendirilen telefon numaras
olarak da yeni ve ucuz, hazr kartl cep telefonu numarasn kulland.
Bunlar, i bittikten sonra atacak kadar ucuz olduklar iin uyuturucu
kaaklarnn tercih ettii trden telefonlard.
On sekizinci hatt arama ynlendirme alr durumdayken, bronun
ardarda gelen on yedi telefonla urat bir srada bir sonraki telefon
MTM brosunda almayacak onun yerine Eric'in cep telefonuna ynlendirilecekti. Arkasna yasland ve beklemeye balad.
MTM'ye gelen arama
O sabah saat sekizden biraz nce telefon ald. Bu iin en iyi ve en keyifli blmyd. Toplum mhendisi Eric oturmu, onu gelip tutuklamaya yetkili ya da bir arama emri karp aleyhine delil toplamak iin
baskn yapabilecek bir polisle konuuyordu.
Ve yalnzca tek bir polis aramayacakt, bir biri ardna bir sr polis
arayacakt. Bir keresinde Eric bir lokantada arkadalaryla le yemei
yerken her be dakikada bir telefon gelmi, dn ald bir kalemle
bilgileri bir kat peetenin stne yazmt. Buna hl durup durup
gler.
Ancak polis memurlaryla konumak iyi bir toptan m\\"\\4\s.mt te
sknt vermez. Aslnda emniyet tekilat birimlerini kandrmann heyecan Eric'in oynad oyunu byk olaslkla daha elenceli klmtr.
Eric'in anlatt kadaryla grmeler yle geiyordu:
"MTM, yardmc olabilir miyim?"
"Ben Dedektif Andrew Cole."
"Merhaba dedektif. Bugn sizin iin ne yapabilirim?"
Emniyet tekilatnda fotoraf istemek iin kullanlan terimi kullanarak
Ters Dalavere
131
"005602789 nolu ehliyet iin soundex gerekiyor" diyebilirdi. Bu, ie

yarar bir eydi; rnein polisler bir pheliyi tutuklamaya giderlerken
adamn neye benzediini grmek iin kullanrlard.
"Elbette, hemen kaytlara bakaym" diyordu Eric. "Detektif Cole, bal
olduunuz yer neresi?"
"Jefferson Blgesi." Sonra Eric asl sorulan sormaya balyordu:
"Dedektif, talep kodunuz nedir?", "Ehliyet numaranz?", "Doum tarihiniz?"
Arayan, kiisel tanmlama bilgilerini veriyordu. Eric bilgileri dorulamakla urayormu gibi yapp, sonra da arayana bilgilerinin dorulandn sylyordu. En sonunda arayann MTM'den istedii eylerin
ayrntlarn soruyordu. stenen ad aryormu gibi yapp, arayann
tularn tklamasn duymasn salyor sonra da yle bir ey diyordu.
"Kahretsin, bilgisayarm yine kt. Kusura bakma, dedektif, bilgisayarm bu hafta hep gidip geliyor. Tekrar arayp baka bir grevlinin
size yardmc olmasn isteyebilir misiniz?'"
Bylece neden isteinde yardmc olamadyla ilgili memur beyde
herhangi bir phe uyandrmadan ak ular balyordu. Bu arada Eric
bir kimlik almt. Bunlar, ihtiyac olduu zaman gizli MTM bilgilerini almakta kullanabilecei ayrntlard.
Eric birka saat telefonlara yant verip dzinelerce talep kodu elde
ettikten sonra santrale baland ve ynlendirme ilemini iptal etti.
Sonraki aylarda, bilgiyi nasl aldn bilmek istemeyen yasal zel
dedektiflik firmalarnn ona verdii ileri yapmay srdrd. Gerektii
zaman yeniden santrala balanyor, ynlendirmeyi ayor ve bir yn
polis memuru bilgisi daha topluyordu.
Eric'in bu dalavereyi yapmak iin bir dizi insan stnde oynad
oyunlar bir gzden geirelim. lk baarl admda haberleme brosundaki bir memurun, karsndakini baka bir polis memuru varsayp, hibir kimlik tespiti yapmadan tamamyla yabanc birine gizli MTM telefon
numarasn vermesini salad.
Sonra Eyalet Telekomnikasyon Mdrl'ndeki kii de ayn eyi
yapt. Eric'in santral reticisi firmada alt iddiasn olduu gibi kabul
etti ve MTM'ye hizmet veren telefon santralnn dardan balanma
numarasn bir yabancya verdi.
Eric'in santrala eriebilmesinin nedeni, byk lde, santral reticisinin tm santrallarnda ayn kullanc adn kullanmasndan kaynaklanan zayf gvenlik uygulamasyd. Bu dikkatsizlik, toplum mhendisinin parolay tahmin etmesini kolaylatrd, nk santral teknisyenlerinin herkes gibi hatrlamas kolay olacak parolalar seeceini biliyordu.
132
Aldatma Sanat
Santrala eritikten sonra MTM'nin emniyet tekilat telefon hatlarndan birini kendi cep telefonuna ynlendirdi.
Hepsinin stne en cretkr ksm olarak, birbiri ardna polis
memurlarn kandrp yalnzca talep kodlarn almakla kalmad, ayn
zamanda onlarn kendi kiisel bilgilerini vermelerini de salad. Bylece
Eric onlarn kimliine brnebilecekti.
Bu dolab evirmek iin her ne kadar teknik bilgi gerekse de, bir
sahtekrla konutuklarn bilmeyen bir grup insann yardm olmasayd
bu dolap ie yaramazd.
Bu yk, insanlarn, "Neden ben?" diye sormadklar bir durumun bir
baka rnei. Haberleme brosu memuru neden tanmad bir polis
memuruna -ya da bu durumda olduu gibi kendini polis memuru olarak
tantan birine- bu bilgiyi versin ki? Bilgiyi kendi mesai arkadalarndan
ya da amirinden almasn da syleyebilirdi. Verebileceim tek yant,
insanlarn bu soruyu kendilerine sk sk sormamalar eklinde olur.
Sormak akllarna gelmiyor mu? Meydan okuyan ya da yardm etmeye
isteksiz biri gibi gzkmek mi istemiyorlar? Belki de. Dier aklamalar
tahminden teye gitmez. Ama toplum mhendisleri nedenlerle ilgilenmezler; yalnzca bu kk gerein, aksi durumda alnmas zor olacak
bilgileri almalarn kolaylatrmasyla ilgilenirler.
Doru kullanld takdirde bir ifre ok nemli bir gvenlik nlemidir.
Yanl kullanlan bir gvenlik ifresi, hi olmamas kadar kt olabilir;
nk aslnda var olmayan sahte bir gven hissi uyandrr. Eer alanlarnz onlar gizli tutamyorlarsa ifrelerin ne anlam var?
Szel gvenlik ifreleri kullanmas gereken herhangi bir irketin,
alanlarna bu ifreleri ne zaman ve nasl kullanacaklarn aka
anlatmas gerekmektedir. yi bir eitimle, bu blmn ilk yksnde
geen karakter, yabanc birine gvenlik ifresi vermesi istendiinde,
kolaylkla alabilen igdlerini dinlemek zorunda kalmazd. Bu
koullar altnda bu bilginin ona sorulmamas gerektiini hissetti ama
ak bir gvenlik politikasnn olmamas -ve gl bir saduyu- yelkenleri suya indirmesine neden oldu.
Mitnick Mesaj:
irketinizde bir telefon santral olsayd, sorumlu kii satcdan gelen ve balant numarasn isteyen bir telefon karsnda ne yapard? Ve bu arada, bu kii
santraln standart parolasn hi deitirmi miydi? O parola herhangi bir
szlkte bulunabilecek, kolay tahmin edilebilir bir parola myd?
Ters Dalavere
133
Gvenlik srelerinde, bir alann doru olmayan bir gvenlik ifresi talebinde bulunduu durumlar da ieren admlar olmaldr. Tm
alanlar, gnlk ifre ya da parola gibi tanmlama bilgileriyle ilgili gelen
pheli talepleri hemen bildirecek ekilde eitilmelidirler. Ayrca istekte
bulunan kiinin kimliinin onaylanmad durumlar da haber vermelidirler.
En azndan, alan, arayann adn, telefon numarasn, ofis ya da
birimini not etmeli, sonra telefonu kapatmaldr. Geri aramadan nce irkette o isimde alan birinin olup olmadn ve arayaca telefonun
evrimii ya da basl rehberdeki numarayla uyuup uyumadn kontrol etmelidir. ou zaman bu basit yntem bile arayann syledii kii
olup olmadn anlamak iin yeterlidir.
irketin evrimii bir rehber yerine basl bir telefon rehberi varsa
kimlik tespiti ilemi biraz gleir. e yeni balayanlar olur; iten
ayrlanlar; insanlarn birimleri, konumlar ve telefon numaralar deiebilir. Basl rehberler basldklar gn, hatt daha datlmadan nce
gncelliklerini yitirirler. evrimii rehberler bile her zaman gvenilir
deillerdir, nk toplum mhendisleri onlarla nasl oynayacaklarn
bilirler. Eer bir alan, bamsz bir kaynaktan telefon numarasn
dorulayamyorsa, ona, ilgili kiinin yneticisini aramak gibi farkl bir yol
kullanmas konusunda talimatlar da verilmelidir.
i-
Davetsiz
Dihhati
iln
ERYE GRMEK
Dardan birinin bir irket alannn kimliine brnmesi ve gvenlik konusunda en duyarl olanlar bile inandracak kadar baarl bir taklit yapmas neden bu kadar kolaydr? Peki, gvenlik srelerini ok iyi
bilen, tanmadklar insanlara pheyle bakan ve irketlerinin karlarn
korumak konusunda titiz davranan kiileri kandrmak neden bu kadar
kolaydr?
Bu blmde anlatlan ykleri okurken bu sorulan aklnzda tutun.
Mahcup Olmu Gvenlik Grevlisi

Gn/Saat: 17 Ekim, Sal, sabah 02:16.
Yer: Skywatcher Havaclk irketi'nin Tucson-Arizona dndaki fabrikas.
Gvenlik Grevlisinin yks

Deri ayakkablarnn topuklarnn, iinde neredeyse hi kimsenin
bulunmad fabrikann zemininde tklaym duymak Leroy Greene'e
gece saatlerini gvenlik odasnda video monitrlerini seyrederek
geirmekten daha iyi gelmiti. Orada ekranlara bakmaktan baka bir
ey yapmasna, hatt bir dergi ya da ciltli ncil'ini okumasna dahi izin
verilmiyordu. Oturup hibir eyin hareket etmedii sabit grntlere
bakmas gerekiyordu.
Ama koridorlarda gezinirken en azndan bacaklarm ayor ve iin iine
kollarm ve omuzlarn da katt zaman biraz egzersiz yapm oluyordu. Lise Amerikan futbolu takmnda ehir ampiyonasnda sa kanat
oynam biri iin bu pek de bir egzersiz saylmazd. Yine de i itir, diye
dnd.
Gneybat kesini dnd ve bir kilometre uzunluundaki retim
alanna bakan kprden yrmeye balad. Aaya bakt ve iki kiinin,
yapm tamamlanmam helikopterlerin retim hattnn yanndan
getiklerini grd. Gecenin bu saati iin tuhaf bir grntyd. "Kontrol
etsem iyi olacak" diye dnd.
Leroy, onu retim alannda ikilinin arkasna karacak merdivenlere
doru yneldi ve o tam yanlarna gelene kadar adamlar onun geldiini
hissetmediler. "Gnaydn. Gvenlik kartlarnz grebilir miyim ltfen"
dedi. Leroy byle anlarda hep sesini yumuak tutmaya alrd; sadece
cssesinin bile rktc gzkebileceim biliyordu.
138
Aldatma Sanat
"Merhaba Leroy", dedi bir tanesi, yaka kartndan adn okuyarak. "Ben
Tom Stilton, Phoenbc'deki Genel Mdrlk pazarlama blmnden.
Toplant iin ehre geldim ve arkadama dnyann en iyi helikopterlerinin yapld yeri gstermek istedim."
"Evet. Kartnz ltfen" dedi Leroy. Ne kadar gen olduklar gznden
kamamt. Pazarlamada olduunu syleyen, liseyi yeni bitirmi gibi
duruyordu, dierinin salar omuzlarna kadar iniyor ve on be
yalarnda grnyordu.
Ksa sal olan, kartm karmak iin elini cebine att sonra tm ceplerini yoklamaya balad. Leroy birdenbire bu ile ilgili kt bir hisse
kapld. "Kahretsin" dedi adam. "Arabada brakm olmalym. Gidip
alabilirim; park yerine gidip gelmem on dakika srmez."
Leroy bu arada not defterim karmt. "Adnz ne demitiniz?" diye
sordu ve ald cevab dikkatle not etti. Sonra da Gvenlik Ofsi'ne
kadar onunla gelmelerini rica etti. Tom, asansrde alt aydr irkette
altn ve bu yzden bann belaya girmesini istemediini syledi.
Gvenlik odasnda Leroy ikiliyi sorgularken gece devriyesinden iki
kii daha onlara katld. Stilton kendi telefon numarasn verdi ve
mdrnn Judy Undenvood olduunu syleyerek onun telefon
numarasn da verdi. Bilgiler bilgisayardaki verilerle uyuyordu. Leroy
dier iki gvenlik grevlisini bir kenara ekti ve aralarnda ne yapmalar gerektiini konutular. Kimse bu ite yanl birey yapmak
istemiyordu. de, kadn gecenin bir yansnda yatandan kaldrmak anlamna gelse de mdr aramann en iyisi olduunu dnyorlard.
Leroy Bayan Undervvood'u kendisi arad, kim olduunu anlatt ve kendisiyle birlikte alan Tom Stilton adl birinin olup olmadn sordu.
Kadnn sesi yar uykulu geliyordu. "Evet" dedi.
"Sabah 2:30'da onu zerinde kimlik kart olmadan retim hatlarnn
bulunduu alanda bulduk."
"Onunla konuaym" dedi Bayan Undenvood.
Stilton telefona kt ve "Judy, gecenin ortasnda bu adamlar seni
uyandrd iin ok zgnm. Umarm bu benim aleyhime bir durum
olmaz." dedi.
Adam dinledi ve sonra devam etti. "Yeni basn aklamasyla ilgili
toplant iin zaten sabah erkenden burada olmam gerekiyordu. Her
neyse, Thompson anlamasyla ilgili e-postay aldn m? Bu ii kaybetmemek iin Pazartesi sabah Jim'le grmemiz gerekiyor. Ve sai:
gnk le yemei planmz hl geerli, deil mi?"
Biraz daha dinledi, hoakal dedi ve telefonu kapatt.
Bu Leroy'u artt; kadmm her eyin yolunda olduunu kendisine de
sylemesi iin telefonu geri alacan dnyordu. Mdr tekrar
arayp ona bunu sorup sormamas gerektiini dnd ama sonv.
ieriye Girmek
139
vazgeti. Gecenin ortasnda onu zaten bir kere rahatsz etmiti, ikinci
bir kere arayacak olursa sinirlenebilir ve kendisini mdrne ikayet
edebilirdi. "Ortal kartrmaya ne gerek var?" diye dnd.
Stilton, "retim hattnn kalann arkadama gstermemde bir salanca var m?" diye sordu Leroy'a. "Bizimle gelip yanmzda durmak ister
misiniz? "
"Gidebilirsiniz" dedi Leroy. "Gezin ama bir dahaki sefere kartnz
unutmayn. Ve mesai saatleri dnda fabrikada kalacaksanz gvenlii
haberdar edin. Kural byle."
"Bunu unutmam Leroy", dedi Stilton ve gittiler.
Daha on dakika gememiti ki Gvenlik Ofsi'ndeki telefon ald.
Arayan Bayan Undenvood'du. "O adam kimdi?", diye sordu. Srekli
soru sormaya altn ama adamn konumasn kesmeyip len
yemee kmaktan falan sz ettiini anlatt ve kadm onun kim
olduunu bilmiyordu.
Gvenlik grevlileri danmay ve park yeri giriinde grevli bekiyi
aradlar. Her ikisi de birka dakika nce iki gen adamn ktn
sylediler.
Sonradan yky anlatrken Leroy her zaman yle bitiriyordu; "Tanr
biliyor patron beni batan aa fralad. Hl bir iim olduu iin
ok anslym."
Joe Harper'n yks

On yedi yandaki Joe Harper yalnzca neler bulabileceini merak
ettii iin bir yldan uzun sredir, bazen gece bazen gndz binalara
giriyordu. Her ikisi de gece alan, mzisyen bir babann ve kokteyl
garsonu bir annenin olu olarak Joe'nun kendi bana geirecek ok
zaman vard. Ayn olaya ait kendi yks her eyin nasl gelitiine
eitici bir k tutmaktadr:
Helikopter pilotu olmak isteyen Kenny adnda bir arkadam var.
Helikopterleri yaptklar retim alanm grmek iin onu Skywatcher
fabrikasna sokup sokamayacam sordu. Daha nce baka yerlere
girdiimi biliyordu. Girmemem gereken yerlere girmeye almak
benim iin tam bir heyecan frtmasdr.
Ancak bir fabrikaya ya da ofis binasna elini kolunu sallayarak giremezsin. zerinde dnmeli, planlar ve hedefle ilgili tam bir keif yapmalsn. Adlar, unvanlar, raporlama yaps ve telefon numaralar iin
irketin internet sayfasna bakar, gazete kuprlerini ve dergi yazlarn
okursun. Benim gvenlik anlaym titiz bir aratrma oluturur; bu
yzden bana meydan okuyan herkesle, bir alan kadar bilgili bir ekilde konuabilirim.
Bu durumda nereden balayacaktm? nce internetten irketin nerel-
140
Aldatma Sanat
erde brolarnn olduuna baktm ve irket Genel Mdrl'nn
Phoenix'de olduunu rendim. Mkemmel. Arayp pazarlama
blmn istedim; her irketin bir pazarlama blm vardr. Telefonu
bir hanm at ve ona Blue Pencil Graphics'den aradm syleyerek,
hizmetlerimizden yararlanmak isteyip istemeyeceklerini renmek iin
kiminle konumam gerektiini sordum. lgilinin Tom Stilton olduunu
syledi. Telefon numarasn istedim ama kadn bana bu bilgiyi dar
vermediklerini ancak beni ona balayabileceini syledi. Stilton'm
telefonunu telesekreter at ve sesli mesaj yle dedi, "Ben Grafik
Blm'nden Tom Stilton, dahil 3147, ltfen mesaj braknz." Dar
dahili numara vermiyorlard ama bu adam brakt sesli mesajda kendisinkini veriyordu. Bu iyiydi. Artk elimde bir ad ve bir dahil numara
vard.
Ayn ofisi bir kez daha aradm. "Merhaba, Tom Stilton'u aryordum
ama yerinde yok. Mdrne birka kk soru sormak istiyordum. 'y
Mdr de dardayd, ama iim bittiinde md'irnn de adn renmitim. Ve o da nazik bir ekilde sesli mesajnda dahil numarasn
brakmt.
Herhalde danma grevlisinden zorlanmadan geebilirdim ama fabrikann oradan arabayla gemitim ve park yerinin evresinde tel it
olduunu hatrlyordum. it demek, ieri girmeye altnzda sizi
kontrol etmek isteyen bir beki demektir. Geceleri plakalar not ediyor
olabilirlerdi; bu yzden bit pazarndan eski bir plaka almak zorunda
kaldm.
Ama nce beki kulbesinin telefon numarasn bulmam gerekiyordu.
Yeniden aradmda ayn santral memuru karsa beni tanmamas iin
biraz bekledim. Sonra aradm ve dedim ki, "Ridge Caddesi beki
kulbesindeki telefonun srekli gidip geldii yolunda bir ikyet
almtk; sorun devam ediyor mu?" Santral memuru kadn bilmediini
syledi ama beni oraya balayacakt.
Telefonu bir adam at. "Ridge Caddesi kaps, ben Ryan." "Merhaba
Ryan, adm John." dedim. "Orada telefonlarla ilgili bir sorun yayor
musunuz? " Adam yalnzca dk cretli bir gvenlik grevlisiydi ama
sanrm biraz eitim almt; nk hemen, "Adnz John muydu?
Soyadnz neydi?" diye sordu. Sanki onu duymam gibi konumay
srdrdm. "Daha nce biri arayp bir sorun olduunu sylemiti".
Telefonu azndan uzakta tutup bardm duyabiliyordum. "Hey,
Bruce, Roger. Bu telefonda bir sorun olmu muydu?" Tekrar ahizeyi
kulana gtrd ve "Hayr, bildiimiz kadaryla hi sorun kmam."
dedi.
"Orada ka hat var? "
Admla ilgilenmeyi tamamen brakmt. "ki" dedi.
"u anda hangisini kullanyorsun?"
eriye Girmek
141
"3140."
Yakaladm! "Her ikisi de alyor mu?"
"yle grnyor."
"Tamam" dedim. "Tom, eer herhangi bir sorunla karlarsanz,
teknik servisi aramanz yeterli. Seve seve yardmc oluruz."
Arkadam ve ben hemen ertesi gece fabrikay ziyaret etmeye karar
verdik. Akamstne doru pazarlamadaki adamn adn kullanarak
nbeti kulbesini aradm. "Merhaba, ben Grafik blmnden Tom
Stilton. Zorlu bir teslim tarihi yaklayor ve bize yardm etmek iin
ehre gelecek birka arkada var. Byk olaslkla sabah birden ikiden
nce orada olmazlar. O saatte vardiyanz devam ediyor mu?"
Hayr dedii iin mutluydu; gece yars kyordu.
"Bir sonraki adam iin bir not brak" dedim. "ki kii gelip de Tom
Stilton'u grmek istediklerini sylerlerse, onlar ieri alsn, olur mu?"
Evet, dedi adam sorun olmazd. Adm, blmm ve dahili numaram
ald ve ilgileneceini syledi.
kiyi biraz gee arabayla kapya gittik, Tom Stilton'n adn verdim ve
uykulu bir beki ieri girmemiz gereken kapy iaret etti ve nereye
park etmemiz gerektiini gsterdi.
Binaya girdiimizde, danmada, her zamanki mesai saatleri d
imzalarnn atld bir gvenlik noktas daha vard. Grevliye sabaha
bitirmem gereken bir rapor olduunu ve bu arkadamn fabrikay
grmek istediini syledim. "Helikopterlere baylr" dedim "Sanrm
helikopter kullanmay renmek istiyor." Benden kartm istedi. Elimi
cebime attm sonra stm yokladm ve arabada brakm olabileceimi syledim. "Gidip alaym" dedim. "On dakika srer." Adam ise, "Bo
ver, sorun yok, imzalaman yeterli." dedi.
retim hatt boyunca yrmek ok iyiydi. Ta ki o am yarmas Leroy
bizi durdurana kadar.
Gvenlik ofisinde, irket alan olmayan birinin ok sinirli ve korkmu davranacan anladm. ler iyice kartnda gerekten kzm
gibi davrandm. Sanki gerekten sylediim kiiymiim de bana inanmamalarna bozulmuum gibi.
Mdrm olduunu sylediim kadn arayp aramayacaklarna karar
vermeye ve ev numarasn bilgisayardan bulmaya alrlarken bir an
iin, "Tabana kuvvet kamann tam zaman" diye dndm. Ama iin
iinde park yeri kaps vard, binadan kmay basarsak bile. kapy
kapatrlard ve biz hepten ierde kalrdk.
Leroy, Stilton'un mdr olan kadn arayp sonrasnda telefonu bana
verdiinde kadn bana barmaya balad. "Kimsiniz, kiminle konuuyorum ? " dedi ama ben de sanki tatl bir sohbet ediyormcasna konumaya devam ettim, sonra da telefonu kapattm.
142
Aldatma Sanat
Gecenin ortasnda irket numarasn verebilecek birini bulmak ne kadar
zaman alr? Kadn gvenlik ofisini arayp adamlar uyarmadan nce
buradan kmak iin on be dakikadan az zamanmz olduuna karar
verdim.
ok acelemiz varm gibi grnmeden oradan kabildiimiz kadar
hzl ktk. Kapdaki beki bize el sallamakla yetindiinde kesinlikle
ok ferahlamtk.
Bu hikyenin dayand gerek olayda saldrganlarn gerekten
ergenlik anda genler olduklarn vurgulamakta yarar var. ieri girme
giriimi bu iten syrlp syrlmayacaklarn grmek iin yaptklar bir
elenceydi. Ama bir ift gen iin bu kadar kolay olduysa yetikin hrszlar, sanayi casuslar ya da terristler iin ok daha kolay olurdu.
deneyimli gvenlik grevlisi bir ift davetsiz misafirin ellerini kollarn sallayarak gitmelerine nasl izin verdiler? stelik bunlar herhangi
iki kii deil, makul birini kukuya drecek kadar gen bir ikiliyken.
Leroy nceleri doru bir hareket yapp phelenmiti. Onlar
Gvenlik Ofisi'ne gtrmekte ve adnn Tm Stilton olduunu syleyen
adam sorgulayarak, verdii adlar ve telefon numaralarn kontrol
etmekte haklyd. Yneticisine telefon etmek konusundaki karar da son
derece yerindeydi.
Ama sonunda gen adamn kendine gvenine ve fkesine aldand.
Bir hrsz ya da ieri zorla girmeye alan birinden beklenecek trden
bir davran deildi; yalnzca bir alan byle davranabilirdi... Ya da
Leroy yle olacan varsaymt. Leroy hislerine deil, salam kimlik
tespitine inanacak ekilde eitilmeliydi.
Gen adam telefonu, kendisine vermeden kapattnda neden daha
fazla kukulanmamt? Bylece Leroy, kimliin dorulunu dorudan
Judy Underwood'dan renebilir ve ocuun gece ge saatte fabrikada
bulunmasnn bir nedeni olduuna dair ondan gvence alabilirdi.
Mitnick Mesaj:
Etkileyici insanlarn ou zaman ekici kiilikleri vardr. Genellikle hzl
harekete geerler ve olduka konukandrlar. Toplum mhendisleri de ibirlii
yaptracak ekilde insanlarn dnce srelerini bozmakta ustadrlar.
Herhangi birinin bu tarz bir etkilemeye ak olmadn dnmek toplum
mhendisinin becerilerini ve avlanma gdsn hafife almak olur.
te yandan iyi bir toplum mhendisi hi bir zaman hasmn hafife almaz.
ieriye Girmek
143
Leroy yle cretkr bir dalavereye gelmiti ki durumu ak diye

grmesi gerekirdi. Ama bir de onun bak asndan bakalm: Bir lise
mezunu, i endiesi, gecenin ortasnda bir irket yneticisini ikinci kez
rahatsz etmenin kendi ban derde sokup sokmayaca dncesinin
getirdii kararszlk. Eer siz onun yerinde olsaydnz, ikinci aramay
yapar mydnz?"
Ancak doal olarak ikinci arama tek olas hareket deildi. Gvenlik
grevlisi baka ne yapabilirdi?
Mdre telefon etmeden nce ikiliden resimli kimlik belgeleri gstermelerini isteyebilirdi. Fabrikaya arabayla gelmilerdi, yani en azndan
birinin src ehliyeti vard. in banda sahte isim verdikleri hemen
ortaya kard (profesyonel biri elinde sahte bir kimlikle gelebilirdi ama
bu genler yle bir nlem almamlard). Her koulda Leroy kimlik belgelerini inceleyip bilgiyi not etmeliydi. kisi de zerlerinde kimlik
olmadn syleyecek olsalard, bu durumda onlar arabaya kadar
gtrp "Tom Stilton"un orada braktn syledii irket kimlik kartn
alacaklard.
Telefon grmesinin ardndan, gvenlik ekibinden biri, binadan
ayrlana kadar ikisiyle birlikte kalmalyd. Sonra arabalarna kadar onlarla birlikte gitmeli ve plakalarn not etmeliydi. Eer yeterince dikkatli
biriyse (saldrgann bit pazarndan ald) plakann geerli bir kayt puluna sahip olmadn grrd. Bu da durumu daha derinlemesine incelemek zere ikisini alkoymak iin yeterli bir nedendi.
p Dal
p dal terimi, ie yarar bilgiler bulmak iin hedefin pn
kartrma ii iin kullanlr. Bu yntemi kullanarak bir hedefle ilgili elde
edebileceiniz bilgi miktar artcdr.
ou insan neleri attna pek dikkat etmez: telefon faturalar, kredi
kart ekstreleri, reeteli ila kutular, banka faturalar, ile ilgili belgeler
ve daha neler neler.
yerlerinde alanlar, birilerinin, ilerine yarayacak bilgileri bulmak
iin pleri kartrdklar konusunda uyarlmaldrlar.
Lise yllarmda yerel telefon irketi binalarnn arkasndaki pleri
kartrmaya giderdim. Genellikle yalnz olurdum ama arada bir telefon
irketlerine benzer bir ilgi duyan baka arkadalarla da gittiim olurdu.
p dalnda bir kere ustalatnz m, birka numara kapyordunuz;
rnein tuvaletlerden gelen p torbalarndan uzak durmak iin zen
gstermeyi ve eldiven giymenin nemini kavramak gibi.
p dal elenceli deildir, ama getirii inanlmazdr-irketin dahl
144
Aldatma Sanat
Terimler
P DALII: Ya kendi
bana deerli olan ya da
dahil telefon numaralar ve
unvanlar gibi toplum
mhendislii srasnda kullanlabilecek aralar olan
atlm bilgileri bir irketin
pnden (genellikle darda ve korumasz olan bir
plkten) toplama ii.
telefon rehberleri, bilgisayar kullanm

klavuzlar, alan listeleri, santral cihazlarnn nasl programlandn gsteren
atlm ktlar ve daha fazlas- hepsi
orada durmu alnmay beklerler.
Yeni rehberlerin kt akamlarda
p ziyaretleri yapardm, nk p
bidonlarnda dnmeden atlm ynla eski rehber olurdu. Baka tuhaf
zamanlarda da baz ilgin bilgi cevherleri ierebilecek not ktlar, mektuplar,
raporlar gibi eyler bulmak iin giderdim.
Gittiimde nce mukavva kutular

bulur, bunlar ekip karr, bir kenara koyardm. Biri bana ne yaptm
soracak olursa, ki bu arada srada olurdu, bir arkadamn tandn ve
ona yardmc olmak iin kutu topladm sylerdim. Bekiler, gtrmek
iin kutulara koyduum belgeleri hibir zaman fark etmezdi. Baz durumlarda bana ekip gitmemi sylerlerdi, ben de baka bir telefon irketinin
merkez binasna giderdim.
Bugn nasl bilmiyorum ama o zamanlar hangi torbalarda ilgin bir
eylerin olabileceini anlamak kolayd. Yerden sprlen tozlar ve kantin pleri dorudan byk torbalara koyulurken, ofis p kutularnda
temizlikilerin bir bir karp azlarn baladklar beyaz, tek kullanmlk p torbalar kullanlrd.
Bir keresinde, arkadalarla birlikte kartrrken elle yrtlm katlar
bulduk. Sadece yrtlmakla kalmam, birileri enmeyip katlar kk
paralara da ayrmt. Hepsi birden, kullanl bir ekilde tek bir yirmi
litrelik p torbasna doldurulmutu. Torbay civardaki rek dkknlarndan birine gtrdk, paralan bir masaya yaydk ve hepsini tek tek
birletirmeye baladk.
Hepimiz yapboz yapan kiilerdik, o yzden bu bize dev bir yapbozun
heyecan verici meydan okumasn yaatyordu... Ama sonucuna baklrsa, ocuksu bir heyecandan daha fazlasn ieriyordu. Tamamlandnda, irketin kritik bilgisayar sistemlerinden birine ait tm kullanc adlar
ve parolalarnn bulunduu bir liste ortaya kmt.
p dal maceralarmz gsterdiimiz abaya ve aldmz riske
deer miydi? Kesinlikle deerdi. Dndnzden daha da fazlasna
deerdi, nk bu iin tehlikesi sfrd. O zamanlar byleydi, bugn de
byle. Arazilerine izinsiz girmediiniz srece bakalarnn pn
kartrmak yzde yz yasaldr.
Doal olarak kafalarn pe sokanlar bir tek telefon beleileri ve
bilgisayar korsanlar deildir. lkedeki tm polis kuvvetleri, dzenli
ieriye Girmek
145
aralklarla plerden bilgi toplarlar ve mafya babalarndan tutun da basit

hrszlara kadar bir yn insan plerden toplanan kantlara
dayandrlarak hkm giymitir. Bizimki de dahil, istihbarat rgtleri bu
yola yllardr bavurmaktadrlar.
James Bond iin aalk bir yntem olabilir. Sinemaseverler onu
dizlerinin stnde p kartrrken deil de kurnazca dmann alt edip
bir fst yataa atarken grmeyi tercih edeceklerdir. Deerli bir ey
muz kabuklarnn ve kahve artklarnn arasndan karabildiinde
gerek casuslar o kadar mklpesent deildirler. zellikle pten bilgi
toplamak tehlikeye atlmalarn nleyecekse.
irketler de p dal oyununu oynarlar. Gazetelerin Haziran 2000'de

bayram ettikleri bir gn vard, Oracle irketinin (Oracle Genel Mdr Larry
Ellison herhalde lkenin en lafn esirgemeyen Microsoft kartyd) bir
aratrma irketi tuttuunu ve aratrma irketinin sust yakalandn
yazyorlard. Grne gre, aratrmaclar, Microsoft'un destekledii ACT
adl bir halkla ilikiler irketinin pn istiyorlard ama yakalanma
tehlikesini gze alamadlar. Basnda kanlara gre aratrma irketi bir
kadn gndermi ve kadn ACT p karlnda kapclara 60 dolar teklif
etmiti. Kapclar teklifi geri evirmilerdi. Ertesi gece kadn yine gelmi ve
teklifini 500 dolara karm, balarndaki adama da 200 dolar teklif etmiti.
Kapclar kadna "hayr" demiler, sonra da polise haber vermilerdi.
nde gelen internet gazetecilerinden Declan McCullah, edebiyattan
esinlenerek, konuyla ilgili VVired News yazsnn baln yle atmt,
"MS'yi Gzetleyen Oracle Olmasn?" Time dergisi dorudan Oracle
Genel Mdr Ellison'u mimleyip, yazsn baln basite, "Dikizci
Larry," eklinde belirlemiti.
'
Benim yaadklarma ve Oracle'n yaptna bakarak neden birilerinin bakalarnn pn almak isteyeceini merak edebilirsiniz.
Yant, sanrm, tehlike boyutunun sfr ama kazancn hatr saylr
olmas olurdu. Tamam, belki kapclara rvet vermek sonularn
istendii gibi olma olasln artrr ama biraz kirlenmeyi gze alan biri
iin rvet gerekli deildir.
Bir toplum mhendisi iin p dallarnn kendi faydalar da vardr.
Hedef irkete yapaca saldry ynlendirebilecek kadar isim, blmler,
unvanlar, telefon numaralan ve proje grevlendirmeleri gibi bilgileri
bulabilecei, aralarnda not defterleri, ajandalar, mektuplar ve benzeri
eyler olan eyalar toplayabilir. plerden, irket kurulu emalar, ir-
146
Aldatma Sanat
Mitnick Mesaj:
Sizin pnz dmannzn hazinesi olabilir. zel yaammzda attmz eyalarn ok zerinde durmayz; o zaman neden i yerindeki insanlarn farkl bir
yaklam olmas gerektiine inanyoruz? Her ey igcn tehlikeler (deerli
bilgiler arayan ahlakszlar) ve verilen aklara (tcden geirilmemi ya da
doru drst silinmemi hassas bilgiler) konusunda eitmekte bitiyor.
ket yapsyla ilgili notlar, yolculuk tarihleri ve bunun gibi bilgiler kabilir.
Tm bu ayrntlar ieriden birine nemsiz gibi grnebilir, ancak bir
saldrgan iin fazlasyla deerli bilgiler olabilir.
Mark Joseph Edvvards, Internet Security with Windows NT adl
kitabnda kimilerine sadece p gibi grnen materyallerden "yazm
hatalar yznden atlm raporlar, kt paralarna yazlm parolalar,
zerlerinde telefon numaras olan 'seni surdan aradlar' gibi notlar,
iinde hl evrak olan klasrler, silinmemi ya da imha edilmemi
disketler ve bantlar; hepsi de olas bir saldrgana yardmc olacak
eylerdir." diye bahseder.
Yazar devam eder ve u soruyu sorar: "... temizliki olarak alan
kiiler kimlerdir? Temizlikilerin bilgisayar odasna girmemesine karar
vermisinizdir; ama unutmayn ki p kutular girebilir. Eer federal
kurumlar p kutularna ve kt tclerine eriimi olan insanlara
sicil soruturmas yapmay gerekli gryorlarsa, belki siz de bunu yapmalsnz."
Kk Den AAdr
Harlan Fortis her zamanki gibi Blge Otoyol Dairesi'ndeki iine
geldii zaman kimse bir tuhaflk olduunu dnmemiti. Evden aceleyle
ktn ve kartn unuttuunu syledi. Gvenlik grevlisi, burada
alt iki yllk sre boyunca Harlan'n hafta ii her gn ofise girip ktn grmt. Geici bir alan kart vererek bir imza attrd ve adam
iinin bana gitti.
iki gn sonra iler karmaya balad. Hikye tm blme saman
alevi gibi yayld. Duyan insanlarn yars olayn doru olamayacan
dnyordu. Kalanlar ise kahkahalarla glsnler mi yoksa zavall
adama acsnlar m bilemiyorlard.
Ne de olsa George Adamson nazik ve sevecen biri ve balarna
gelen en iyi blm yneticisiydi. Yaadklarn hak etmemiti. Yani
hikyenin gerek olduu dnlrse.
Sorun, George'un bir cuma gn ge saatte Harlan' odasna
ieriye Girmek
147
arp, elinden geldii kadar nazik bir ekilde pazartesi gn yeni birimine gitmesinin gerektiini sylemesiyle balad; Salk Hizmetleri
Dairesi'ne. Harlan iin bu iten atlmak gibi deildi. Daha da ktyd;
kk drcyd. Sesini ksp bunu sineye ekmeyecekti.
Ayn akam, sundurmasnda oturmu, evlerine dnen insanlar
seyrediyordu. Sonunda ayn mahallede oturan David adndaki ocuu
grd. Okuldan mobiletiyle eve dnen o ocua herkes "Sava
Oyunlan'ndaki ocuk" diyordu. David'i durdurdu; bu ama iin ald
Mountain Dew Code Red ieceini verdi ve ona bir i teklif etti:
Bilgisayarlarla ilgili yardm ve azn sk tutmas karlnda en yeni
video oyun konsolu ve alt yeni oyun.
Harlan -phe uyandrabilecek ayrntlara girmeden- projesini anlattktan sonra David yardm etmeyi kabul etti. Harlan'a ne yapmas gerektiini
aklad. Bir modem satn alacak, ofise gidecek, fazladan bir telefon girii
olan birinin bilgisayarna modemi balayacakt. Cihaz kimsenin gremeyecei bir ekilde masann altna saklayacakt. Sonra tehlikeli ksm
geliyordu. Harlan'n, bilgisayarn bana oturup, bir uzaktan eriim yazlm
paketini indirip altrmas gerekiyordu. Her an masann sahibi geri
gelebilir ya da baka biri geerken Harlan' adamn ofisinde grebilirdi. O
kadar huzursuzdu ki ocuun onun iin yazd listeden yapmas gerekenleri glkle okuyabiliyordu. Ama ii bitirdi ve farkedilmeden binadan kt.
Bombay Yerletirmek
David o gece yemekten sonra ona urad, ikisi birlikte Harlan'n bilgisayarnn bana oturdular ve olan birka dakika iinde modeme
balanp eriim salayarak George Adamson'n makinasna ulat. ok
zor olmamt, nk George parolasn deitirmek gibi emniyet
nlemlerini hibir zaman almazd ve srekli birilerinden bir dosyay
indirmesini ya da elektronik postayla gndermesini isterdi. Zaman
iinde ofisteki herkes adamn parolasn renmiti.
David biraz gezindikten sonra bilgisayarda BteSlaytlar2002.ppt
dosyasn buldu ve onu Harlan'n bilgisayarna indirdi. Harlan sonra
ocua eve gitmesini ve birka saat sonra geri gelmesini syledi.
David geri geldiinde, Harlan ondan Otoyol Dairesi'nin bilgisayar
sistemine balanmasn ve ayn dosyay, eskisini silerek, bulduklar
yere koymasn istedi. Harlan David'e video oyun konsolunu gsterdi ve
her ey yolunda giderse aletin yarn onun olacana sz verdi.
George'u artmak
Bte grmeleri gibi kulaa skc gelen bir eyin pek kimsenin
ilgisini ekeceini dnmezsiniz ama Blge Konseyi'nin toplant odas,
gazeteciler, zel ilgi guruplarnn temsilcileri, halktan insanlar ve hatt iki
televizyon haber ekibiyle tkabasa dolmutu.
148
Aldatma Sanat
George bu grmelerde her zaman ok eyin risk altnda olduunu

dnmt. Kesenin azn aacak olan le Konseyi'ydi ve George
ikna edici bir sunum yapmazsa Otoyol Btesi ksalacakt. Sonra da
herkes yollardaki ukurlardan, almayan trafik lambalarndan ve
tehlikeli drtyol azlarndan ikyeti olmaya balayacak ve onu
sulayacakt. Ertesi yl yaam daha da sefil bir hal alacakt. Krsye
kacak kii olarak tantldnda kendine gveniyordu. Bu sunum
zerinde alt hafta almt ve PovverPoint slaytlarn karsna, dier
yneticilere ve baz yakn arkadalarna gstermiti. Herkes bunun
imdiye kadar yapt en iyi sunum olduunda hemfikirdi.
ilk slayt ok iyi gitti. Her zamankindan farkl olarak btn Konsey
yeleri dikkatlerini ona vermi gibiydiler. Vurgulamak istedii noktalar
etkili bir ekilde belirtiyordu.
Ve sonra birden her ey ters gitmeye balad. Drdnc slaytta
geen yl alan yeni otoyolun gnbatmnda ekilmi bir fotorafnn
olmas gerekiyordu. Onun yerine baka bir ey vard, fazlasyla kk
drc bir ey: Penthouse ya da Hustler tr bir dergiden alnma bir
resim. Dinleyicilerin hayret dolu seslerini duydu ve bir sonraki slayta
gemek iin hemen dizst bilgisayarnn dmesine bast.
Bu daha da ktyd. Hayal gcne hibir ey braklmamt.
Tklayarak bir sonraki slayta gemeye alyordu ki dinleyicilerden
biri projektrn fiini ekti ve bu srada toplant bakan tokman
serte vurarak grltnn iinde toplantnn ertelendiini duyurdu.
Bu tepesi atm alan, gen bir bilgisayar korsannn bilgilerini kullanarak, daire yneticisinin bilgisayarna girmeyi baarm, nemli bir
PovverPoint sunumunu indirmi ve baz slaytlar kesinlikle kk
drc baka resimlerle deitirmiti. Sonra da sunumu adamn bilgisayarna geri koymutu.
Modem bir fie takl ve ofis bilgisayarlarndan birine balyken
gen korsan telefon hattn kullanarak dardan balanabilmiti.
ocuk, uzaktan eriim yazlmn nceden kurmutu, bylece bilgisayara balandktan sonra sistemde duran her dosyaya tam eriim
salayabilecekti. Bilgisayar, kuruluun ama bal olduu ve ocuk
mdrn kullanc adn ve parolasn bildii iin kolaylkla mdrn
dosyalarna eriebilirdi.
Dergi resimlerini taraycdan geirmek de dahil, tm i yalnzca
birka saat srmt. Sonu olarak iyi bir adamn erefine srlen leke
ise akl almaz bir byklktedir.
ieriye Girmek
149
Mitnick Mesaj:
iten atlan, baka bir birime aktarlan ya da klme nedeniyle iine son verilen alanlarn byk blm hi sorun yaratmazlar. Ancak bir irketin
felaketi nlemek iin ne gibi nlemler alabileceini anlamas iin bir tane sorun
kmas yeter.
Deneyimlerin ve istatistiklerin aka gsterdiine gre irkete en byk tehlike
ierden gelmektedir. Deerli bilgilerin nerede durduuyla ilgili ayrntl bilgiyi
ve irketi nereden vurmann en byk zarar vereceini ancak ierdekiler
bilebilirler.
Terfi steyen Biri

Gzel bir sonbahar gn leden nce Peter Milton, Honorable Oto
Yedek Paralan'nn Denver'daki blge ofisi binasnn lobisine girdi. Bu
irket, araba piyasas iin ulusal boyutta bir yedek para toptancsdr.
Peter danmada bekledii srada danma grevlisi gen hanm onu
ziyareti olarak kaydetti, arayan birine arabayla geli yolunu anlatt ve
kargo irketinden gelen bir adamla ilgilendi. Bunlarn hepsi aa yukar
ayn zamanda oldu.
Kadn ona yardmc olmak iin zaman bulunca, "Bu kadar ok eyi
bir arada yapmay nasl rendiniz?", diye sordu Peter. Kadn glmsedi; grne gre bunu farketmesinden memnun olmutu. Ona Dallas
Brosu pazarlamadan olduunu ve Atlanta blge satlar sorumlusu
Mike Talbott'un kendisiyle greceini syledi. "Bugn ziyaret edeceimiz bir mterimiz var" dedi. "Burada, lobide bekleyeceim."
"Pazarlama", dedi gen kadn neredeyse arzu dolu bir ekilde ve
Peter ona glmsedi. Ardndan ne geleceini duymak istiyordu. "niversiteye gitseydim, bu konuda eitim alrdm." dedi. "Pazarlamada almay ok isterdim."
Peter yeniden glmsedi. "Kaila", dedi, masann stndeki levhadan
kadnn adn okuyarak. "Dallas bromuzda eskiden sekreter olan bir
hanm vard. Kendini yl nce pazarlamaya aldrd. imdi pazarlama
mdr yardmcs ve eskiden kazandnn iki katn kazanyor."
Kaila ltl gzlerle bakt. Adam devam etti, "Bilgisayar kullanabilir
misin?"
"Elbette", dedi kadn.
"Pazarlamada bir sekreterlik ii iin yukardakilere seni nermeme
ne dersin?"
Birden yz aydnland. "Bunun iin Dallas'a bile giderim."
150
Aldatma Sanat
"Dallas'a baylacaksn." dedi adam. "u anda bir ak olup olmadna dair birey syleyemem ama elimden geleni yapacam."
Kaila, takm elbiseli, kravatl, dzgn kesimli ve iyi taral salar olan
bu cici adamn i yaamnda byk bir deiiklik yaratabileceini
dnd.
Peter lobide oturdu, dizst bilgisayarn at ve i yapmaya balad.

On-on be dakika sonra yeniden masaya geldi. "Grne gre Mike'in
ii uzad. Beklerken e-postalarma bakabileceim bir konferans salonu
var m?"
-i
Kaila konferans salonlarnn kullanm saatlerini ayarlayan adam

arad ve Peter'in ayrtlmam bir tanesini kullanabilmesi iin gerekli
ayarlamalar yapt. Silikon Vadisi irketlerinden gelen bir gelenei
srdrerek (Apple herhalde bu uygulamay ilk balatandr), baz konferans salonlarna izgi film kahramanlarnn, lokanta zincirlerinin, film
yldzlarnn ya da izgi roman kahramanlarnn isimleri verilmiti. Fare
Minnie salonunu bulmas sylendi. Kadn giri ilemlerini yapt ve Fare
Minnie salonuna nasl gideceini anlatt.
Peter oday buldu, ieri yerleti ve bilgisayarn ethemet giriini kullanarak aa balad.
Neler olup bittiini anlayabildiniz mi?
Doru; saldrgan irketin gvenlik duvarnn arkasna geerek irket
ana balanmt.
Anhony'nin yks
Sanrm Anthony Lake'in tembel bir iadam olduu sylenebilirdi.
Ya da belki "dzenbaz" demek daha yerinde olabilir.
'*"
j
Baka insanlar iin almak yerine kendi iini kurmak istemiti; hayali sabit bir yerde duraca ve tm lkede koturup durmasn gerektirmeyecek bir dkkn amakt. Ancak para getireceinden emin olduu
bir i yapmak istiyordu.
Ne tr bir dkkn olabilirdi acaba? Bulmas uzun srmedi. Araba

tamiratndan anlyordu, bylece araba yedek paralar dkknnda
karar kld.
Baarl olmay nasl garantiye alabilirdi? Yant aklna imek gibi

geldi: Honorable Oto Yedek Para Toptancs'n tm mallarn kendisine
maliyetine satmaya ikna etmek.
-i
Doal olarak byle bir eyi isteyerek yapmazlard. Ancak Anthony
insanlar nasl kandracan, arkada Mickey ise bakalarnn bilgisayarlarna nasl gireceini biliyordu. kisi birlikte zekice bir plan yaptlar.
ieriye Girmek
151
Mitnick Mesaj:
alanlarnz, bir kitab yalnzca kapana bakarak deerlendirmemeleri
konusunda eitin. Bir kiiye, yalnzca iyi giyimli olduu ve sa ba yapl
olduu iin inanlmamak.
O sonbahar gn kendini inandrc bir ekilde Peter Milton adnda
bir alan olarak tantt ve alanlar dalavereye getirip Honorable Oto
Yedek Para binasna girerek, dizst bilgisayarn aa balad.
imdiye kadar her ey yolunda gitmiti. Bundan sonra yapmas
gerekenler kolay olmayacakt, zellikle de Anthony kendine on be
dakikalk bir limit belirlemiken. Daha uzun srerse farkedilme
tehlikesinin giderek artacan dnyordu.
Bilgisayar aldklar irkete bal bir destek personeli gibi davranarak
daha nce yapt bir telefon grmesinde onlara uzun bir terane okumutu. "irketinizin bizimle iki yllk bir destek kontrat var, bu yzden
sizi veri tabanmza ekliyoruz bylece kullandnz bir yazlm iin bir
yama ya da yeni bir ykseltilmi srm ktnda haberiniz olacak.
Hangi uygulamalar kullandnz renebilir miyim?" Gelen yant bir
program listesi eklindeydi ve muhasebeci bir arkada MAS 90 adl
programn aradklar -perakende dkknlarn listesi ve her birine verilen
indirimler ve deme koullarn ieren- program olduunu syledi.
Bu kilit bilgiden yararlanarak, adaki tm geerli terminalleri tanmlayan bir yazlm kulland ve muhasebe blmnn kulland doru
sunucuyu bulmas ok zamann almad. Dizst bilgisayarna ykl
korsanlk aralar takmndan bir program altrd ve onu hedef
sunucuda bulunan yetkili kullanclar belirlemek iin kulland. Baka bir
programla, "boluk" ve "parola" gibi sk kullanlan parolalar denemeye
balad. "Parola" ie yarad. alacak bir durum deildi. parola
semeye gelince insanlar tm yaratclklarn kaybediyorlard.
Yalnzca alt dakika gemiti ve oyunun yars bitmi, ieri girmiti.
Bir dakikay da yeni irket adn, adresini, telefon numarasn ve
balant numarasn dikkatle mteri listesine eklemekle geirdi. Ve sra
en kritik, her eyin temel amac olan deiiklie geldi. Bu, tm
Honorable Oto Yedek Paralar'nn ona %1 kazanla satlacan
belirleyen deiiklikti.
Yaklak on dakika iinde ii bitmiti. Kaila'ya teekkr edip e-postalarn okuma iini bitirdiini syleyecek kadar oyaland. Ayrca Mike
Talbot'un kendisine ulatn, planda bir deiiklik olduunu ve mterinin ofisinde buluacaklarn syledi. Kaila'ya onu pazarlamadaki o i
iin nereceini sylemeyi de ihmal etmedi ekledi.
152
Aldatma Sanat
Kendini Peter Milton olarak adlandran saldrgan iki psikolojik tahrip

teknii kullanmt; biri planlyd dieri de o anda uydurulmutu.
yi para kazanan bir ynetici gibi giyinmiti. Kravat, ceket, dzgn
kesimli salar; bunlar kk ayrntlar gibi grnebilirler ama kesinlikle
bir etki brakrlard. Bunu ben istemeden kefetmitim. GTE Kaliforniya
ofisinde -artk var olmayan byk bir telefon irketinde- altm ksa
sre ierisinde kartm olmadan rahat ama dzgn giyimli -rnein, spor
bir gmlek, pilisiz pantolon ve Dockers ayakkablarla- bir ekilde ie
gelirsem durdurulup sorguya ekilirdim. Kartn nerede, kimsin, nerede
alyorsun? Baka bir gn ise, yine kartsz ama takm elbise ve kravat
takp i adam gibi giderdim. Eskiden kalma, hemen arkasndan geme
ynteminin bir trn kullanp, binann iine ya da gvenlikli bir girie
doru yryen insan kalabalnn arasna karrdm. Ana girie yaklarlarken baz insanlara taklp onlardan biriymi gibi sohbet ede ede
yrrdm. Kapdan geerdim ve gvenlik grevlileri kartmn olmadn
anlasalar bile ynetici gibi gzktm ve kartlar olan insanlarla birlikte yrdm iin bana birey demezlerdi.
Bu deneyimim sayesinde gvenlik grevlilerinin davranlarnn ne
kadar tahmin edilebilir olduunu rendim. Onlar da hepimiz gibi
grne bakp karar veriyorlard. Bu da toplum mhendislerinin kullanmay rendikleri ciddi bir zayflkt.
Saldrgann ikinci psikolojik silah danmada grevli kzn gsterdi
olaanst abay grmesiyle devreye girdi. Pek ok ii ayn anda
yaparak, telaa kaplmadan, herkese tm dikkatini verdii hissini yaratyordu. Peter, kzn, kendini kantlamaya alan, ykselmek isteyen biri
olduu kansna vard. Pazarlama blmnde altn syleyince kzn
tepkisine bakp onunla bir yaknlk kurup kuramayacana dair ipular
arad. Saldrgan iin bu, daha iyi bir ie kaydrlmas iin yardm etmeye
alacana sz vererek etkileyebilecei insanlar listesine birinin daha
eklenmesi anlamna geliyordu. (Eer Muhasebe blmne gitmek istediini sylemi olsayd, doal olarak Peter da orada bir i bulmasnda
yardmc olabilecek balantlarnn olduunu syleyecekti.)
Saldrganlar bu ykde kullanlan baka bir psikolojik silah dahs
kullanmay ok severler: ki kademeli bir saldryla gven yaratmak
nce pazarlamadaki ile ilgili biraz sohbet etti ve sonra da gerek
birinin "ismini brakma" -baka bir alann adn verme- tekniini ku :
land. Sras gelmiken, kendi kulland ad da gerek bir alana aitt
Al sohbetinden sonra konferans salonuna gemeyi hemer
isteyebilirdi. Ama onun yerine biraz oturup alrm gibi yapt; gya barkadan bekliyordu. Olas pheleri bastrmann baka bir yolu da
buydu, nk saldrganlar ortalkta fazla dolamazlard. Yine de ortalk-
ieriye Girmek
153
Mitnick Mesaj: X
Yabanc birinin irket ama dizst bilgisayarn balayabilecei bir yere
girmesine izin vermek gvenlik sorunlar oluma tehlikesini artrr. Br alann,
zellikle de ehir dndan gelmi birinin, konferans salonundan e-postalanna
bakmas son derece makuldr. Ama ziyareti gvenilir bir alan deilse ya da
a, yetkisiz balantlar engelleyecek ekilde yaplandrlmamsa, bu durum
irket dosyalarnn tehlikeye girmesine olanak tanyan zayf halka olabilir.
ta fazla dolamad; toplum mhendisleri su mahalinde gereinden
uzun kalmann doru birey olmadn bilirler.
;
unu da eklemek gerekir ki: Bu yaznn hazrland dnemdeki
yasalara gre Anthony lobiye girerek bir su ilememitir. Gerek bir
alann adn kulland zaman da su ilememitir. Ayrca konferans
salonunu kendisi iin amalarn salamasnda da bir su unsuru bulunmamaktadr. irket ana balandnda ve hedef bilgisayar aradnda
da henz bir su ilememitir.
Bilgisayar sistemini krana kadar herhangi bir su ilememitir.
Kevin' Merak Edenler

Yllar nce kk bir ite alrken, bilgi ilem blmn oluturan
dier bilgisayarcyla birlikte oturduum ofise ne zaman girsem,
adamlardan biri (burada ona Joe diyeceim) bilgisayarndaki grnty
hzla deitiriyordu. Bunun pheli bir durum olduunu hemen anladm.
Ayn gn ierisinde bu olay iki kere daha tekrarlannca, bilmem gereken
bir eyler olduundan emin olmutum. Bu adam benim grmemi
istemedii nasl bir i yapyor olabilirdi?
Joe'nun bilgisayar irketin minibilgisayarlarna eriimi olan bir ubirim
gibi alyordu, bylece neler yaptn izleyebileceim bir takip program
ykledim. Program omuzunun stnden bakan bir televizyon kameras
gibi alyor, bilgisayarnda ne gryorsa aynsn bana da gsteriyordu.
Benim masam Joe'nun masasnn yanndayd; grmesini zorlatrmak iin kendi monitrm mmkn olduunca dndrdm ama her an
bakabilir ve onun yaptklarn izlediimi anlayabilirdi. Ancak bu sorun
olmayacakt, nk yapt ie kendini fazlasyla kaptrmt.
Grdm ey karsnda ok ardm. Alak herifin benim bordro
bilgilerimi kartrdn grnce azm ak kald. Adam benim maama bakyordu!
O srada orada aylktm ve Joe'nun ondan daha fazla maa c
aldm fikrine dayanamadn dndm.
154
Aldatma Sanat
Birka dakika sonra, programlama bilgisi olmayan deneyimsiz bilgisayar korsanlarnn kulland trden aralar indirdiini grdm.
Demek Joe dnyadan habersizdi ve Amerika'nn en deneyimli bilgisayar
korsanlarndan birinin yannda oturduu konusunda en kk bir fikri
yoktu. Bu ok gln bir durumdu.
Maamla ilgili bilgileri oktan almt, bu yzden onu durdurmak iin
ok geti. Ayrca vergi dairesinde ya da Sosyal Gvenlik Dairesi'nde
alan ve bilgisayar eriimi olan herhangi biri de maanza bakabilirdi.
Ne iler kartrdn bildiimi syleyerek elimdeki kozu kaybetmek
istemiyordum. O zamanlar en byk amacm fazla su yzne kmamakt, iyi bir toplum mhendisi, becerilerinin ve bilgisinin reklamn yapmaz. nsanlarn her zaman sizi hafife almalarn istersiniz, tehlike olarak
grmelerini deil.
:
Bylece olayn stnde durmadm ve Joe benimle ilgili bir sr bildiini sanrken ben kendi kendime gldm, halbuki her ey tam tersiydi.
Onun neler kartrdn bilerek kozlar ben elimde tutuyordum.
Zamanla, Bi grubunda altmz mesai arkadamn hepsinin
de -ekipteki tek kz iin de geerli olmak zere- grdkleri u ya da bu
irin sekreterin ya da yakkl bir olann eve gtrdkleri maalarna
bakp elendiklerini kefettim. Merak ettikleri herkesin maana ve primlerine bakyorlard. Bunlarn arasnda st dzey yneticiler de vard.
Bu yk ilgin bir sorunu yanstmaktadr. Bordro dosyalar irketin
bilgisayar sisteminin ynetiminden sorumlu kiiler tarafndan eriilebilecek bir konumdadrlar. yine bir personel sorunu durumuna gelir: kimin
gvenilir olduuna karar vermek. Baz durumlarda B alanlar saa
sola gz atmak fikrini ekici bulurlar. Bunu yapacak olanaklar da vardr
nk bu dosyalara eriimi kstlayan kontrolleri amak iin zel haklara
sahiptirler.
Alnacak bir nlem, bordro dosyalan gibi zellikle hassas dosyalara
eriimi denetlemek olabilir. Gerekli haklara sahip herhangi biri denetimi
kaldrabilir ya da takip edilmelerini salayacak yerleri temizleyebilir,
ancak atlacak her adm ahlksz bir alann izlerini saklayabilmesi
iin daha fazla aba harcamasn gerektirecektir.
Toplum mhendisleri, pleri kartrmaktan tutun da bir gvenlik
grevlisini ya da danma memurunu kandrmaya kadar eitli yntemlerle irket alannza girebilirler. Ama bunlara kar da alabileceiniz
nlemler olduunu duymak hounuza gidecektir.
ieriye Girmek
155
Mesai Saatleri Dnda Gvenlik

iyerine kartlar olmadan gelen tm alanlarn, lobide ya da gvenlik ofisinde, o gn iin geici bir kart vermek amacyla durdurulmalar
gerekir. Personel kart yannda olmayan biriyle karlatklarnda irket
gvenlik grevlilerinin izleyecekleri belirli admlar olsayd, bu blmde
anlatlan ilk olay ok daha farkl bir ekilde sonulanabilirdi.
Gvenliin ncelik tamad irketlerde ya da irket ii alanlarda
herkesin kartn grnr bir yerde tamasnda srar etmek nemli
olmayabilir. Ama hassas blgelere sahip alanlarda bu kural, kat bir ekilde uygulanan, standart bir kural olmaldr. alanlar kart gstermeyen kiileri durdurmak konusunda eitilmeli ve tevik edilmelidirler.
st dzey alanlara da kendisini durduran kiiyi kk drmeden
bu tarz kontrolleri kabullenmeleri retilmelidir.
irket kurallar, srekli kartn takmay unutan kiilere verilecek
cezalar konusunda alanlar uyarmaldr. Cezalarn arasnda alann
bir gnlne cretsiz uzaklatrlmas ya da siciline geecek bir
uyarnn verilmesi olabilir. Baz irketler giderek artan sert cezalar
yrrle koymulardr. Bu cezalar, kiinin mdrne durumun
iletilemesi, sonra da resm bir ihtar eklinde olabilir.
Ek olarak, korunmas gereken hassas bilgilerin olduu yerlerde,
mesai saatleri dnda ie gelecek kiilere izin verilebilmesi iin gerekli
sreler oturtulmaldr. Bir zm, bu ziyaretlerin irket gvenlii ya da
bu ie bakan birim araclyla yaplmas olabilir. Bu birim mesai d
alma talebiyle arayan herhangi bir alann kimliini kiinin
mdrn arayarak ya da baka makul bir gvenlik yntemi izleyerek
dzenli olarak kontrol edebilir.
plere Saygl Olmak

p dal yks, irket atklarnzn olas ktye kullanm yollarnn stnde durdu. te pler konusunda akll olmann sekiz
anahtar:
Tm hassas bilgileri hassaslk derecesine gre snflandrn.
Hassas bilgilerin atlmasna ynelik olarak irket apnda i

sreleri oluturun.
Atlacak tm hassas bilgilerin nce kt tcden geirilmesi
konusunda srarl davrann ve tcden gemeyecek kadar
kk olup nemli bilgiler ieren kat paralarndan kurtulmak
zere gvenli bir yntem belirleyin. Kt tcler, kararl bir
saldrgann biraz sabrla bir araya getirebilecei kt eritle.;
karan ucuz makinelerden olmamaldrlar. Onlar yerine apraz
tc denen trler ya da kty ie yaramaz bir kspeye
dntren makineler kullanlmaldr.
156
Aldatma Sanat
Atlmadan nce veri kayt ortamlarn -disketler, sktrlm

diskler, dosya saklamak iin kullanlan CD'ler ve DVD'ler, bantlar, eski sabit srcler ve dierlerini- tamamen silecek ya da
kullanlmaz hale getirecek bir yntem oluturulmasn salayn.
Dosyalar silmenin onlar gerek anlamda ortadan kaldrmadn, silinen dosyalarn yeniden kurtarlabildiklerini unutmayn. Enron yneticileri ve pek ok bakalar bunu ac bir ekilde rendiler. Kaydedilebilir ortamlar yalnzca pe atmak
mahallenizin arkada canls p dalcsna davetiye karmaktr.
(Kaydedilebilir ortamlarn ve aralarn atlmasna ynelik belirli
kurallar iin 16. blme baknz.)
Temizlik ekiplerinizin seiminde uygun lde bir kontrol

salayn, gerekirse sicillerine bakr.
alanlarnz, pe attklar eyin ieriine dikkat etmeleri

konusunda dzenli olarak uyarn.
Byk p bidonlarn kilitleyin.

Hassas malzemeler iin farkl atk varilleri kullann ve bu tarz
ilerde uzmanlam bir irketle anlaarak malzemelerin
imhasn salayn.
alanlara Gle Gle Derken

Hassas bilgilere, parolalara, dardan eriim numaralarna ve benzer eylere eriimi olan bir alan iten ayrlrken uyulmas gereken kat
kurallar olmas gerektii bu sayfalarda daha nce vurgulanmt.
Gvenlik sreleriniz kimlerin hangi sistemlerde yetkili olduunu takip
edecek yollar iermelidir. Kararl bir toplum mhendisinin gvenlik bariyerlerinizden gemesini engellemek zor bir itir ama eski alanlarnz
iin de bunun kolay olmamas gerekir.
Kolaylkla gz ard edilebilen baka bir ayrnt ise arivden yedekleme
bantlarn almaya yetkili bir alan iten ayrldnda grlr. Kda
dklm bir kurallar btn, kiinin adnn yetki listesinden silinmesi iin
hemen arivleme irketinin aranmas gerektiini vurgulamald'r.
Kitabn on altnc blmnde bu nemli konuyla ilgili ayrntl bilgi verilmektedir, ancak bu ykde de grld zere, yerletirilmesi gereken
baz kilit gvenlik nlemlerini burada belirtmek yerinde olacaktr:
Bir alan ayrldnda atlacak admlarn tam ve ayrntl bir

kontrol listesi tutulmaiidr ve hassas bilgilere eriimi olan alanlar iin zel maddeler bulunmaldr.
alann bilgisayar eriiminin zaman kaybetmeden -hatt kii

daha binay terk etmeden nce- kapatlmasna ynelik bir kural
belirlenmelidir.
ieriye Girmek
157
Kiinin tantm kartnn ve eer varsa, anahtarlarn ve elektronik

eriim cihazlarnn geri alnmasyla ilgili bir sre oluturulmaldr.
Gvenlik grevlilerinin giri kart olmayan alanlar ieri

almadan nce resimli bir kimlik kart grmeleri ve kiinin irkette
alp almadnn bir listeden kontrol edilmesi kurallarn
getiren maddeler olmaldr.
Baz admlar kimi irketler iin ar ya da daha pahal olabilirken

bakalar iin uygun olabilir. Bu tarz kat gvenlik nlemleri arasnda
aadakiler bulunabilir:
Elektronik kimlik kartlaryla alan manyetik giri kaplar bulunmaldr. Kiinin irket personeli olduunun ve binaya girmeye
yetkili olup olmadnn elektronik olarak annda belirlenebilmesi
iin her alan, kartn taraycdan geirir. (u da unutulmamaldr ki, her eye karn gvenlik grevlileri hemen arkasndan
gemelere -yetkisiz birinin gerek bir alann hemen arkasndan ieriye szmasna- kar uyank olacak ekilde eitilmelidir.)
Ayrlan kiiyle (zellikle bu kii iten atlmsa) ayn i ekibinde

alan herkese parolalarn deitirme zorunluluu getirilmelidir.
(Bu ok abartl gibi mi grnyor? General Telephone irketindeki ksa sreli hizmetimden uzun yllar sonra, Pacific Bell
gvenlik sorumlularnn General Telephone'un beni ie aldn
rendiklerinde "glmekten krldklarn" duydum. Bu General
Telephone'un yararna oldu, nk beni iten kardktan sonra
nl bir bilgisayar korsann onlarla alm olduunu rendiklerinde, irketteki herkesin parolalarn deitirmesini zorunlu
klmlar!)
Binalarnzn hapishane gibi olmasn istemezsiniz ama ayn zamanda dn iten atlp bugn zarar vermeye niyetli olarak geri gelen birine
kar da korunmanz gerekir.
,
Kimseyi U n u t m a y n
'
Gvenlik politikalar ie yeni girmi alanlar ve hassas bilgiyle

har neir olmayan, danma grevlisi gibi kiileri gz ard etme eilimindedirler. Daha nce grdmz gibi, danma grevlileri saldrganlar iin elverili hedeflerdir ve araba yedek paralan irketine girii anlatan yk de bu konuda rnek oluturuyor. irketin farkl bir tesisinde
altn syleyen ve bir profesyonel gibi giyinmi arkada canls bir
kii grnd gibi olmayabilir. Danma grevlileri yeri geldiinde irket kimliini nazike soracak ekilde eitilmi olmaldrlar ve bu eitim
yalnzca ana girite duran danma grevlisine deil, le saatlerinde
ya da kahve molalarnda onlarn yerine bakan kiilere de verilmelidir.
irket dndan gelen ziyaretiler iin gvenlik kurallar resimli bir
158
Aldatma Sanat
kimlik gsterilmesini ve bilginin kaydedilmesini zorunlu tutmaldr. Sahte

kimlik retmek zor deildir, ancak kimliin gsterilmesi olas saldrganlar iin bahane retme iini bir derece zorlatrmaktadr.
Baz irketlerde ziyaretilerin lobiden alnp toplantdan toplantya
giderken kendilerine elik edilmesi zorunluluu getiren bir kural uygulamak mantkl olabilir. Elik eden grevlinin ziyaretiyi ilk toplantsna
gtrdnde bu kiinin binaya alan olarak m yoksa dardan bir
ziyareti olarak m girdiini aka belirtme koulu olmaldr. Neden bu
nemlidir? nk, daha nceki hikyelerde de grdmz gibi, bir
saldrgan sk sk ilk karlat kiiye kendini belirli bir kii olarak
tantrken ikinci karlatna tamamen farkl biri olarak tantmaktadr.
Bir saldrgann lobide kendini gstermesi, danma grevlisini bir
mhendisle randevusu olduuna inandrmas... sonra mhendisin
odasna kadar gtrlmesi ve orada kendini irkete bir rn satmak
isteyen bir sat temsilcisi olarak tantmas... ve en sonunda da
mhendisle grmesi bittiinde binada serbeste gezinme frsat bulmas son derece kolaydr.
Baka bir ofisten gelen bir alan ieri almadan nce kiinin
gerekten bir alan olup olmadnn tespiti iin uygun sreler bulunmaldr. Danma ve gvenlik grevlileri, saldrganlarn irket binalarna
girebilmek iin kullandklar, bir alann kimliine brnme yntemlerinin bilincinde olmaldrlar.
Binann iine girmeyi baaran ve dizst bilgisayarn irket gvenlik duvarnn arkasndan aa balayan bir saldrgana kar korunmak
iin ne yaplabilir? Bugnn teknolojileri gz nne alndnda bu g
bir itir. Konferans salonlar, eitim odalar ve benzeri yerlerde kilit altna alnmam a girileri bulunmamaldr; ya da en azndan, bu giriler
gvenlik duvarlar ya da routerlarla koruma altna alnm olmaldrlar.
Ama en iyi koruma, aa balanan herkesin kendini tantmas iin gvenli bir yol oluturmaktr
Bilgiyi Salama ln!

Kk bir uyar: irketinizin her B alan ne kadar maa aldnz,
genel mdrn ne kadar para aldn ve kayak tatiline giderken kimin
irket jetini kullandn byk olaslkla biliyordur ya da ok gemeden
renecektir.
Baz irketlerde B ya da muhasebe alanlarnn kendi maalarn
ykseltmeleri, sahte bir satcya deme yapmalar, insan kaynaklar
kaytlarndan olumsuz sicilleri silmeleri ve bunun gibi eyler yapmalar
bile mmkndr. Bazen yalnzca yakalanma korkusu onlar drst
olmaya iter... sonunda bir gn gelir ve adamn agzll ya da ahlksz ruhu tehlikeyi bir kenara iterek, gtrebildii kadar para gtrmesine
neden olur.
ieriye Girmek
159
Elbette buna kar da zmler vardr. Hassas dosyalara, uygun

eriim kontrolleri yerletirilerek yalnzca yetkili kiilerin onlar amas
salanabilir. Baz iletim sistemleri belli olaylar, rnein baarl olsun
olmasn korumal bir dosyaya ulamaya alan herkesi, kaydedecek
ekilde ayarlanabilen denetim kontrolleri ierir.
Eer irketiniz konunun bilincindeyse ve hassas dosyalar koruyan
uygun denetim mekanizmalar ve eriim snrlamalar yerletirmise,
doru ynde gl admlar atyorsunuz demektir.
'1
TEKNOLOJY VE TOPLUM
MHENDSLN BRLETRMEK
Bir toplum mhendisi, amacna ulamasna yardmc olmas iin

insanlar bireyler yapmaya ynlendirebilirle yeteneiyle yaar; ancak
baarl olabilmek iin, ou zaman hatr saylr bir bilgi birikimine sahip
olmasnn yansra bilgisayar ve telefon sistemleriyle har neir olmas
da gerekir.
te size teknolojinin nemli bir rol oynad zgn toplum mhendislii dolaplarndan bir rnek.
Parmaklklarn arasndan korsanlk

Fiziksel, iletiimsel ya da elektronik olarak zorla ieri girmelere kar
korunan en gvenli yerler arasnda sizce nereler vardr? Fort Knox*
mu? Doru. Beyaz Saray m? Kesinlikle. Bir dan altna gml Kuzey
Amerika Hava Savunma ss, NORAD m? phesiz.
Ya hapishaneler ve tutukevlerine ne dersiniz? lkedeki herhangi bir
yerden daha korunakl olmallar, yle deil mi? nsanlar ender olarak
kaarlar, katklarnda da genellikle ksa srede yakalanrlar. Federal bir
tesisin toplum mhendislii saldrlarna kar dayankl olacan
dnrsnz. Ancak yanlrsnz, hibir yerde kusursuz gvenlik diye
birey yoktur.
Birka yl nce bir ift dzenbaz (aslnda profesyonel dolandrclar)
bir sorunla karlatlar. En son kaldrdklar ykl parann bir blge
yargcna ait olduu ortaya kt. kilinin geen yllarda zaman zaman
yasayla balar derde girmiti ama bu kez federal yetkililer durumla
daha ok ilgilendiler. Dzenbazlardan birini, Charles Gondorff u
enselediler ve onu San Diego yaknlarndaki bir tutukevine attlar.
Federal sulh hakimi, kama olasl olduu ve topluma zararl olduu
gerekesiyle Gondorff un gz altna alnmasna karar verdi.
Arkada Johnny Hooker, Charlie'nin bir savunma avukatna ihtiyac
olacan biliyordu. Ama paray nereden bulacakt? Pek ok dolandrc
gibi o da paralar gzel giysilere, haval kameralara ve kadnlara yatrm, bylece para, geldii kadar hzla suyunu ekmiti. Johnny'nin,
zerinde, yaamasna yetecek kadar para nadiren bulunurdu.
iyi bir avukat tutacak kadar paray baka bir dolap evirerek bulmas
gerekiyordu. Johnny bunu tek bana baaramazd. Oynadklar oyunlarn arkasndaki adam hep Charlie Gondorff olmutu. Ama Johnny,
162
Aldatma Sanat
Terimler
DOR UDAN BALANTI
HZMET: Ahize
kaldrldnda dorudan
sabit bir numaraya
balanan telefonlar iin
telefon irketlerinde
kullanlan bir terim.
REDDET-KES: Belirli bir
telefon numarasnda gelen
aramalarn engellenmesi
eklinde gerekli ayarlamalar yaplarak sunulan
bir telefon irketi hizmet
seenei.
Federaller iin iinde iki kiinin olduunu

bilirken ve dierini de yakalamak iin bu
kadar heveslilerken ne yapacan sormak iin tutukevine gitmeye cesaret
edemezdi. Yalnzca ailesinin ziyaret
etmesine izin veriliyordu, bu da sahte
kimlik belgesi gsterip ailenin bir ferdi
olduunu ne srmesi gerekecek
demekti. Federal bir hapishanede sahte
kimlik kullanmaya almak pek iyi bir
fikir gibi gelmedi.
Hayr, Gondorffla balant kurmak
iin baka bir yol bulmas gerekecekti.
Kolay olmayacakt. Herhangi bir federal, eyalet ya da yerel hapishanede

tutuklu bulunan birinin gelen telefonlara
kmasna izin verilmezdi. Federal bir
tutukevinde her tutuklu telefonunun
yannda asl duran levhada yle bir ey yazldr: "Bu levha buraya, bu
telefondan yaplan tm grmelerin dinlendiini ve telefonu kullanmann konumann dinleneceinin kabul edilmesi anlamna geldiini
hatrlatmak iin koyulmutur." Eer su ilemek gibi bir plannz varsa,
devlet grevlilerinin telefonu dinlemesinin tek bir sonucu vardr:
Hapishanedeki tatilinizin sresinin biraz daha uzamas.
Ancak Johnny belli aramalarn dinlenmediini biliyordu. rnein
mvekkil-avukat grmesi gibi. Aslnda Gondorffun tutulduu yerde
dorudan Federal Kamu Savunma Brosu'na (KSB) bal telefonlar
vard. O telefonlardan birini kaldryordun ve KSB'deki bal olduu telefona dorudan ulayordun. Telefon irketleri buna Dorudan Balant
Hizmeti adn verir. Hibir eyden kukulanmayan yetkililer bu hizmetin
gvenli ve kurcalanmaya dayankl olduunu varsayyorlard, nk
darya yaplan aramalar yalnzca KSB'ye gidiyor, gelen aramalar ise
engelleniyordu. Biri telefon numaralarn bulmay basarsa bile numaralar telefon irketindeki santralda reddet-kes eklinde programlanmlard.
Johnny bu sorunu zmenin bir yolu olmas gerektiine karar verdi.
Gondorff zaten ierden, KSB telefonlarndan birini kaldrp unu sylemeyi de denemiti: "Ben Tom, telefon irketi onarm blmnden. Biri at stnde bir test yapyoruz, nce dokuz sonra da sfr sfr tulamanz gerekiyor." Dokuz d hatt eriimi salayacak, sfr sfr da
ehirleraras santrale balayacakt, ie yaramad. KSB'de telefonu aar
kii bu numaray zaten biliyordu.
Johnny'nin ileri daha iyi gidiyordu. Tutukevinde on hcre birir
Teknolojiyi ve Toplum Mhendisliini Birletirmek
163
oulunduunu ve bunlarn her birinin Kamu Savunma Brosu'yla dorudan balantl olduunu kolaylkla renmiti. Baz engellerle karlayordu ama iyi bir toplum mhendisi olarak ayaa taklp duran bu can
skc talarn evresinden dolamann yollarn da buluyordu. Acaba
Gondorff hangi birimdeydi? O hcre biriminde bulunan dorudan balant hattnn telefon numaras neydi? Ve hapishane yetkilileri tarafndan
engellenmeden ilk mesaj Gondorff a nasl ulatracakt?
Federal kurumlarda bulunan gizli telefonlarn numaralarn elde
etmek, sradan insanlara olanaksz gibi grnen bir ey iken ancak bir
dalavereci iin ounlukla birka telefon grmesiyle ele geirebilecek
bir bilgidir. Kafasnda oluturduu plan birka gece yatanda dnerek
gzden geirdikten sonra Johnny bir sabah her ey kafasnda be adm
olarak planlanm bir ekilde uyand.
nce, KSB'ye dorudan bal on telefonun numaralarn renecekti.
On telefonu birden gelen aramalar alacak ekilde deitirecekti.
Gondorffun hangi hcre biriminde olduunu bulacakt.
Sonra hangi telefonun bu birime bal olduunu renecekti.
En sonunda, yetkileri kukulandrmadan Gondorffla bir telefon
grmesi ayarlayacakt.
ocuk oyunca, diye dnd.
Bell nct'y Aryor...
Johnny, federal hkmet adna mal ve hizmet satn alan Genel

Hizmet daresi'nden aryormu numaras yaparak telefon irketi mdrln aramakla ie balad. Bir ek hizmet szlemesi zerinde
altn ve kullanlan dorudan balant hizmetlerinin fatura bilgilerine
ihtiyac olduunu syledi. Bu listeye San Diego tutukevinin telefon
numaralarnn ve aylk giderlerinin de dahil olmas gerektiini ekledi.
Kardaki hanm yardmc olmaktan memnun olacakt.
Numaralar elde ettikten sonra emin olmak iin bu hatlardan birini
evirdi ve karlnda duyduu ey tipik bir kayd oldu. "Bu hattn
balants kesilmitir ya da hat hizmet ddr." iin aslnn bu kaytta
sylenenle uzaktan yakndan bir ilgisi olmadn biliyordu, tam bekledii gibi, hat, gelen aramalar engellemek zere programlanmt.
Telefon irketinin alma ekilleri ve sreleriyle ilgili geni bilgisi
sayesinde RCMAC, Recent Change Memory Authorization Center
(Ksa Sreli Hafza Deiim Yetki Merkezi - bu adlar kimin uydurduunu
hep merak etmiimdir!) adnda bir blme ulamas gerektiini biliyordu. Telefon irketinin lemler Ofisi'ni aramakla ie balad ve onarmdan aradn syleyip, verdii alan kodu ve nekin ait olduu blgeye
164
Aldatma Sanat
bakan RCMAC'nin telefon numarasn istedi. Tutukevindeki tm telefon

hatt hizmetleri ayn merkez ofisten veriliyordu. Bu, onanma gitmi ve
yardma ihtiyac olan teknisyenlerin her zaman yapt trden, sradan
bir istekti ve memur ona numaray vermekte tereddt etmedi.
RCMAC'yi arad, sahte bir ad verdi ve yine onarm blmnde
altn syledi. Telefonu aan kadndan, daha nce ilemler ofisinden ald numaralardan birine ulamasn istedi. Kadn numaray bulduunda Johnny sordu: "Numara reddet-kes olarak m ayarlanm?"
"Evet", dedi kadn.
"Eh, bu, mteriye neden hi telefon gelmediini aklyor!", dedi
Johnny. "Bana bir iyilik yapabilir misin? Hat snf numarasn deitirmeni ya da reddet-kes zelliini kaldrman isteyeceim, olur mu?"
Kadn, deiimi gerekletirebilmek iin bir hizmet emri gerekip
gerekmediini kontrol etmek iin baka bir bilgisayar sistemine
bakarken ksa bir sessizlik oldu. "Bu numarann yalnzca arama yapmaya ak olmas gerekiyor. Deiiklik yapmak iin hizmet emri yok."
"Doru, bir yanllk oldu. Emri dn karmamz gerekiyordu ama bu
mteriyle her zaman ilgilenen abone temsilcisi hastalanp eve gitti ve
bu ii yapmay bakasna sylemeyi de unuttu. Bu yzden mteri u
anda kplere binmi durumda."
Kadn bir an duralayp, standart alma ekline aykr ve olaan d
bu istei deerlendirdi, sonra da, "Tamam", dedi. Kadnn deiiklii
girmek iin tulara bastn duyabiliyordu. Birka saniye sonra i bitmiti.
Buzlar zlm, aralarnda bir eit yaknlama olumutu.
Kadnn tavrlarn ve yardm etme isteini tartarak, Johnny hepsini yaptrmakta tereddt etmedi. "Bana yardm edebileceiniz birka dakikanz
daha var m?" diye sordu.
"Var", diye yantlad kadn. "Ne gerekiyordu?"
"Ayn mteriye ait baka numaralar da var ve hepsinde de ayn
sorun mevcut. Ben numaralar size okursam, siz de reddet-kes ayarlarn
dzeltebilir misiniz?" Kadn bunun sorun olmayacan syledi.
Birka dakika sonra telefon hatlarnn hepsi de gelen aramalar alacak ekilde "dzeltilmiti."
Gondorffun bulunmas
Bir sonraki adm Gondorffun hangi hcre biriminde olduunu bulmakt. Hapishane ve tutukevlerini ynetenler bu bilgiyi dardan birilerinin renmesini kesinlikle istemezler. Johnny'nin bir kez daha toplum
mhendislii becerilerine gvenmesi gerekiyordu.
165
Baka bir ehirdeki bir federal hapishaneyi arad; Johnny Miami'yi

aramt -ama baka herhangi bir yer de i grrd- ve New York'taki
tutukevinden aradn syledi. Mdrln tutuklu bilgisayarnda
alan biriyle konumak istedi. Tutuklu bilgisayar, lkenin herhangi bir
yerinde Hapishaneler Mdrl'ne bal tesislerde tutulan mahkmlarla ilgili bilgilerin sakland bilgisayar sistemiydi.
lgili kii telefona ktnda Johnny, Brooklyn aksanyla konumaya
balad. "Merhaba," dedi. Ben New York Federal Tutukevi'nden
Thomas. Tutuklu bilgisayaryla balantmz gidip geliyor, bir tutuklunun
yerini bulmama yardmc olabilir misin, sanrm sizin orada tutuluyor" ve
GondonTun adn ve kayt numarasn verdi.
"Hayr, burada deil", dedi adam birka saniye sonra. "San
Diego'daki tutukevinde."
Johnny arm gibi yapt. "San Diego mu? Geen hafta korumal
bir uakla Miami'ye aktarlmas gerekiyordu! Ayn adamdan m sz ediyoruz? Adamn doum tarihi nedir?"
"3/12/60", dedi adam ekrandan okuyarak.
"Evet, ayn adam. Hangi hcre biriminde tutuluyor?"
"Hcre On Kuzey", dedi adam. Her ne kadar New York'taki bir hapishane grevlisinin byle bir eyi renmek istemesinin anlalr bir
nedeni olmasa da soruyu neeyle yantlamt.
Johnny tm telefonlar gelen aramalar iin atrm ve Gondorffun
hangi hcre biriminde olduunu da renmiti. Bir sonraki adm hangi
telefon numarasnn Hcre On Kuzey olduunu bulmakt.
Bu biraz zor olacakt. Johnny numaralardan birini arad. Telefon zili
kapal olaca iin kimsenin telefonun aldn anlamayacan biliyordu. Oturdu ve Fodor'un Avrupa'nn Byk Kentleri adl gezi rehberine
gz gezdirirken bir yandan da ahizeden alma sesini dinliyordu.
Sonunda biri telefonu at. Dier utaki tutuklu doal olarak mahkemece
belirlenmi avukatna ulamaya alyordu. Johnny kar tarafn beklentisine karlk verecek yant hazrlamt. "Kamu Savunma Brosu",
dedi.
Adam avukatyla grmek istediini sylediinde, Johnny, "Burada
olup olmadn bakaym, hangi hcre biriminden aryorsun?" dedi.
Adamn yantn not etti, bekletme dmesine bast, otuz saniye sonra
yeniden at ve, "Mahkemedeymi, daha sonra araman gerekecek",
diyerek kapatt.
Sabahnn ounu bunu yaparak geirdi ama daha kts de olabilirdi. Drdnc denemesinde Hcre On Kuzey"\ buldu. Bylece
Johnny artk Gondorffun birimine ait KSB numarasn biliyordu.
166
Aldatma Sanat
Saatlerinizi ayarlayn
''
imdi i Gondorffa tutuklular dorudan Kamu Savunma Brosu'yla

grtren telefonu ne zaman aacan syleyen bir mesaj gndermeye kalyordu. Bu grndnden daha kolay bir iti.
Johnny tutukevini arayarak, en resmi sesiyle kendini bir alan
olarak tantt ve Hcre On Kuzey'le grmek istediini syledi. Arama
hemen aktarld. nfaz koruma memuru telefonu atnda Johnny, yeni
tutuklularn giri ve klarn dzenleyen Datm ve Tahliye Birimi'nin i
grmelerde kullanlan ksaltmasn kullanarak memuru kandrd. "Ben
DT'den Tyson", dedi. "Tutuklu Gondorffla grmem gerek.
Gndermemiz gereken ona ait eyalar var, nereye gnderilmesini istiyorsa orann adresini vermesi gerekiyor. Onu telefona arabilir misiniz?"
Johnny memurun oturma salonuna bardn duydu. Birka
dakikalk sabrsz bir bekleyiten sonra, telefona tandk bir ses kt.
Johnny ona, "Konumam bitene kadar sakn sesini karma", dedi.
Eyalarn nereye gnderilmesini istediini konuuyorlarm gibi grnmesi iin Johnny ona sylemesi gerekenleri anlatt, sonra da, "Bugn
leden sonra saat birde Kamu Savunma Brosu telefonunun banda
olabileceksen, yant verme. Olamayacaksan, o zaman orada olabilecein
bir saati syle", dedi. Gondorff yant vermedi. Johnny devam etti. "iyi.
Saat birde orada ol. Seni arayacam. Ahizeyi kaldr. Eer telefon
otomatik olarak Kamu Savunma Brosu'nu aramaya balarsa her yirmi
saniyede bir telefonun dmesine bas. Sesimi duyana kadar bunu yapmay srdr."
Saat birde Gondorff telefonu at ve Johnny orada onu bekliyordu.
Sohbet eder gibi, aceleye getirmeden, keyifle konutular ve benzet
grmeler Gondorffun mahkeme masraflarn karlamak iin evirecekleri dolabn ayrntlarn konumak amacyla birka kere daha tekrarland. Hepsi de devlet gzetiminin dnda gereklemiti.
Bu olay, bir toplum mhendisinin, her biri tek bana nemsiz gibi
duran ileri yapmalar iin farkl insanlar kandrarak, olanaksz
zannedilen bir ii nasl baardn gsteren arpc bir rnektir. Aslnda,
yaplan her hareket, dalavere tamamlanana kadar bulmacann bir
parasn oluturur.
ilk telefon irketi alan, federal hkmete bal Genel Hizmetler
daresi'nden birine bilgi verdiini dnyordu...
Bir sonraki telefon irketi alan, telefon hizmet snfn bir hizmet
emri olmadan deitirmemesi gerektiini biliyordu ama yine de sevimi,
adama yardmc oldu. Bylece tutukevindeki Kamu Savunma Brosu
167
telefonlarnn tm dardan aranabilir duruma geldi.

Miami tutukevindeki adam iin baka bir federal merkezde alan ve
bilgisayarla sorun yaayan birine yardm etmek gayet mantklyd. Her ne
kadar hcre birimini renmek istemesi iin bir neden yokmu gibi gzkse
de, soruya yant vermemesi iin de bir neden yoktu, yle deil mi?
Ve arayann ayn tesis iinden biri olduunu sanan Hcre On
Kuzej/de grevli memur, adamn resmi bir i iin aradn dnyordu, istedii olduka mantklyd, bu yzden Gondorff isimli tutukluyu
telefona ard. Sorun olmad.
Bir dizi iyi planlanm adm bir araya getirip dalavereyi tamamlamlard.
Hzl dosya indirme

Hukuk fakltesini bitirmelerinden on yl sonra Ned Racine hl, faturasn deyecek kadar paras olmayan insanlarn kytrk ileriyle
urarken, snf arkadalar, baheleri olan gzel evlerde yayor, ehir
klplerine ye oluyor, haftada bir-iki kez golf oynuyorlard. Sonunda bir
gn Ned'in canna tak etti.
imdiye kadar elde ettii tek iyi mterisi, irket birlemeleri ve
devirler konusunda uzmanlam, kk ama olduka baarl bir
muhasebe irketiydi. Uzun sredir Ned'le i yapmyorlard. Ned mterilerinin, gazetelerde kmas halinde birka halka ak irketin hisse
senedi fiyatlarn etkileyebilecek baz ilere kartklarn anlamt.
nemsiz, dorudan ilem grmeyen hisselerdi ama baz alardan bu
daha iyiydi; fiyatlardaki kk bir frlama yatrmlardan elde edilen byk
yzdeli bir getiri anlamna geliyordu. Adamlarn dosyalarna ulap neyle
uratklarn bir bulabilirse i tamam olacakt.
Allmadk yntemler konusunda akll birini tanyan bir arkada vard.
Adam plan dinledi, gaza geldi ve yardm etmeyi kabul etti. Ned'in portfyndeki hisse senetleri yzdesine bakp her zaman aldndan daha
kk bir cret karlnda Ned'e ne yapmas geveteOT. aulatt. Ayrca ona
piyasaya kal ok az zaman olmu kk ve kullanl bir alet de verdi.
Birka gn boyunca Ned, muhasebe irketinin gsterisiz, maaza
Mitnick Mesaj:
Sanayi casuslar ve bilgisayarlara giren kiiler, hedef iletmelere bazen fiziksel
olarak da girerler. eri girmek iin bir demir sopa kullanmak yerine, toplum
mhendisi kapnn dier tarafndaki insan etkilemek iin aldatma sanatn kullanr.
168
Aldatma Sanat
vitrinine benzeyen brosunun bulunduu kk i hannn araba park

yerini gzetledi. ou insan be buuk, alt gibi kyordu. Yediye doru
park yeri tamamen boalyordu. Temizlikiler yedi buuk gibi geliyorlard. Mkemmel.
Ertesi gece, sekize birka dakika kala, Ned otoparkn kasndaki
yola arabasn park etti. Bekledii gibi temizlik hizmetleri irketinin
kamyonu saylmazsa park yeri botu. Ned kapya kulan koydu ve
elektrikli sprgenin grltsn duydu. Serte kapy ald ve beklemeye balad. Takm elbise giymi, kravat takmt ve elinde ypranm
antasn tayordu. Yant gelmedi ama o sabrlyd. Bir daha ald.
Sonunda kapda temizlikilerden biri belirdi. "Merhaba", dedi Ned, cam
kapnn arkasndan bararak ve daha nce irket ortaklarndan
birinden ald kartviziti gstererek. "Anahtarlarm arabama kilitlemiim,
masama gitmem gerekiyor."
Adam kapy at, sonra Ned'in arkasndan tekrar kilitledi ve koridora giderek Ned'in gittii yeri grebilmesi iin klar at. Neden olmasn;
ekmeini kazanmasn salayan insanlardan birine yardmc olmaya
alyordu. Byle dnmesi iin her nedeni vard.
Ned ortaklardan birinin bilgisayarnn bana oturdu ve makinay
at. Bilgisayar alrken ona verilen kk aleti bilgisayarn USB giriine
takt. Bir anahtarlkta tanabilecek kadar kk bir aletti, ancak yine de
120 megabayt veri tayabiliyordu. Ortan sekreterinin bir Post-it kda yazp ekrana yaptrd kullanc adn ve parolasn kullanarak aa
girdi. Be dakikadan az bir srede bilgisayarda ve ortaklarn a
klasrnde ykl tm izelge ve belge dosyalarn indirmi evine gidiyordu.
Kolay para
Lisede ilk defa bilgisayarlarla tantmda, Los Angeles'taki tm
okullarn paylat merkezi bir DEC PDP 11 minibilgisayarna modem
araclyla balanyorduk. O bilgisayarda kurulu iletim sisteminin ad
RSTS/E'ydi ve ilk kullanmay rendiim iletim sistemiydi.
O zamanlar, yani 1981'de DEC firmas rn kullanclar iin yllk bir konferans dzenliyordu ve bir yerde konferanslardan birinin Los Angeles'ta
dzenleneceini okudum. Bu iletim sisteminin kullanclar iin hazrlanan
tannm bir dergide LOCK-11 adl yeni bir gvenlik rnnn duyurusu vard.
rn akllca hazrlanm bir reklam kampanyasyla sunuluyordu. "Saat
sabah 3:30 ve sokan ilersinde oturan Johnny sizin balant numaranz 336.
denemesinde bulmu, 555-0336. O ieri girmi, sizi de dar sepetlemi
Sizin de bir LOCK-11'iniz olsun." Reklamn anlattna gre rn bilgisayar
korsanlarna kar tam koruma salyordu. Ve konferansta tantlyor olacakt
rn grmeyi ben de ok istiyordum. Yllardr birlikte korsanlk yap-
F
169
tmz, liseden snf arkadam ve dostum ama sonradan bana kar

alan bir federal ihbarc olan Vinny, yeni DEC rnne ynelik ilgimi
paylayordu ve konferansa onunla birlikte gitmem iin srar etti.
Pein para
'
rn tantmna gittiimizde LOCK-11'in evresindeki kalabalkta bir

alkalanma vard. Grne gre tasarmclar kimsenin rnlerini kramayacana dair annda deme yapacaklar bir bahis oluturmulard.
Bu reddedemeyeceim bir meydan okumayd.
Dorudan LOCK-11'in tantm masasna gittik ve banda rnn
tasarmclar olan adamn durduunu grdk. Onlar tanmtm ve
onlar da beni tanmlard; yetkililerle yaadm ilk genlik srtmelerimle ilgili Los Angeles Times gazetesinde kan byk bir yaz
nedeniyle, genliimde bile bir telefon beleisi ve bilgisayar korsan
olarak belli bir nm vard. Yazda anlatldna gre, gecenin bir
yarsnda Pasifik Telefon irketi binasna girebilmek iin kapdakileri
ikna etmi ve gvenlik grevlilerinin burunlarnn dibinden elimde bilgisayar kullanm klavuziaryla kp gitmitim. (Grne gre Los
Angeles Times arpc bir yk karmak istemiti ve adm yaynlamak
ilerine yaramt. Daha ergenlik anda olduum iin, yaz su ileyen
ocuklarn isimlerinin saklanmas yasasn inemese de geleneklere
aykr bir durumu vard.)
Vinny ve ben oraya gittiimizde, bu her iki tarafta da bir ilgi uyand.
Kar tarafta bir ilgi uyandrmt, nk benim gazetede okuduklar korsan olduumu anlamlard ve beni grdklerine biraz armlard.
Bizim tarafta da aknlk yaratmt, nk tasarmclardan her birinin
yaka kartnn arkasna bir 100 dolarlk banknot sktrlmt. Sistemlerini
krabilecek kiiye verecekleri dl 300 dolard. Bu, bir ift okul ocuu
iin ok para gibi grnyordu. e koyulmak iin sabrszlanyorduk.
LOCK-11 iki katl gvenlie dayanan bilindik bir yntemle yaplmt.
Her zamanki gibi kullancnn geerli bir kimlii ve parolas olmalyd,
ama buna ek olarak kimlik ve parola yalnzca yetkili ubirimlerden girildiinde .
ie yaryordu. Bu yaklama uhirim \
TrfTilf
i
tabanl gvenlik deniyordu. Sistemi kra- |
i
bilmek iin bir korsann yalnzca kimlik \
UBRM TABANLI
\
ve parolay bilmesi yeterli deildi, bilgiyi j GVENLK: Ksmen belirli I
doru ubirimden giriyor olmas da j bir ubirimin tanmlan- \
gerekiyordu. yi kurulmu bir sistemdi ve i masna bal olarak kul- i
LOCK-11'in yaratclar kt adamlar j landan gvenlik; bu gven- I
darda tutacandan emindiler. Onlara | tik yntemi zellikle IBM in j
bir ders verecek ve stne stlk yz I byk bilgisayarlarnda ok \
dolar kazanacaktk.
i
kullanlrd.
i
170
Aldatma Sanat
Mitnick Mesaj: ^
| te, akll insanlarn rakiplerini hafife almalarna bir rnek daha. Siz ne dersiniz:
Siz de irketinizin gvenlik nlemlerine, zerlerine 300 dolar bahse girecek kadar
gveniyor musunuz? Bazen teknolojik bir gvenlik nleminin evresinden dolaI mann tek yolu sizin dndnz ekilde deildir.
RSTS/E stad olarak bilinen ve benim de tandm adamlardan biri

bizden nce tantm masasna gelmiti. Yllar nce kendi arkadalar
beni geri evirdikten sonra DEC dahil gelitirme bilgisayarna girmem
konusunda bana meydan okuyan adamlardan biriydi. O gnden bu yana
saygn bir programc olmutu. Biz gelmeden nce LOCK-11'i krmay
denediini fakat baaramadn rendik. Olay tasarmclara, rnlerinin gerekten gvenli olduu konusunda byk gven vermiti.
Yarma ok basitti: Kryordun, paray alyordun. yi bir tantm gsterisiydi; biri onlar kk drp paray almad srece. rnlerinden
o kadar eminlerdi ki tantm masasna sistemdeki baz hesaplara ait
hesap numaralarn ve parolan ieren bir listeyi asma cretini bile
gstermilerdi. Hibiri de yle sradan hesaplar deildi, hepsi de yetkilerle donatlm ayrcalkl hesaplard.
Bu aslnda kulaa geldii kadar arpc birey deildi. Byle bir
dzenekte, her ubirimin dorudan bilgisayarn stndeki girilerden
birine balandn biliyordum. Konferans salonuna bir ziyaretinin yalnzca ayrcalklar olmayan bir kullanc olarak balanabilmesine izin
veren be ubirim kurduklarn anlamak iin dhi olmaya gerek yoktu.
Dier bir deyile bu ubirimierden balanmak yalnzca sistem yneticisi
olmayan hesaplarla mmknd, iki yol varm gibi grnyordu: Ya
gvenlik yazlmn olduu gibi bertaraf edecektik -ki bu LOCK-11'in
tasarlan amacyd- ya da bir ekilde tasarmclarn dnmedii bir
ekilde yazlmn evresinden dolaacaktk.
Meydan okumaya karlk vermek

Vinny ve ben oradan uzaklap bahsi konumaya baladk ve benim
aklma bir plan geldi. Masum masum ortalkta gezinip uzaktan tantm
masasn gzlyorduk. len olduunda ve kalabalk azaldnda
tasarmc aralktan yararlanp birlikte yemee gittiler ve geride aralarndan birinin kars ya da kz arkada olabilecek bir kadn braktlar.
Tekrar geri gittik ve ondan bundan konuarak ben kadn oyalamaya
baladm. "Ne kadar zamandr irkette alyorsunuz? irketinizin
pazarda baka hangi rnleri var?" gibi eyler.
Bu srada Vinny kadnn grebilecei alann dnda ie koyulmu,
her ikimizin de gelitirdii bir becerisini kullanyordu. Bilgisayarlara
171
girme lgnlmz ve sihirbazla duyduum kendi ilgim dnda, ikimiz

de kilit amakla ok ilgileniyorduk. Kkken San Femando Vadisi'nde,
kilit ama, kelepelerden kurtulma, sahte kimlik yaratma gibi konulardabir ocuun bilmemesi gereken her eyle ilgili aykr kitaplarn bulunduu bir kitapnn raflarn didik didik etmitim.
Vinny de benim gibi hrdavatdan alnm herhangi bir sradan kilidi amak konusunda olduka iyi olana kadar almt. Bir ara kilitlerle
ilgili akalar yapmaya baylrdm. rnein daha gvenli olsun diye iki
kilit birden kullanan birini grrsem iki kilidi de aar, yerlerini
deitirirdim, bu da her birini yanl anahtarla amaya alan kilit sahibinin kafasn kartrp cann skard.
Sergi salonunda ben gen kadn oyalarken Vinny masann
gerisinde grlmeyecek ekilde yere km, adamlarn PDP-11 minibilgisayarlarnn ve kablo sonlarnn durduu dolabn kilidini ayordu.
Dolabn kilitli olduunu dnmeleri aka gibiydi. ilingirlerin gofret kilit
dedikleri, bizim gibi olduka acemi kilit aclar tarafndan bile
anahtarsz amas ok kolay olan kilitler kullanyorlard.
Vinny'nin kilidi amas bir dakika kadar srd. Dolabn iinde tam
arad eyi bulmutu. Kullanc ubirimlerini balamak iin bir dizi
balant noktasnn yan sra konsol ubirimi iin de ayr bir balant
noktas vard. Bu ubirim bilgisayar iletmeninin ya da sistem yneticisinin tm bilgisayarlar ynetmesi iin kullanlyordu. Vinny konsol
balantsndan kan bir kabloyu tantm masasndaki ubirimlerden
birine takt.
Bu, bu ubirimin artk bir konsol ubirimi olarak tannaca anlamna
geliyordu. Yeni bir kablo taklm makinann bana oturdum ve tasarmclarn korkusuzca verdikleri parolalardan birini kullanarak sisteme
girdim. LOCK-11 yazlm artk beni yetkili bir ubirimden balanyor
olarak grd iin bana giri izni vermiti ve bir sistem yneticisinin
yetkileriyle balanmtm. Buradaki tm ubirimlerden ayrcalkl kullanc olarak balanmam salayacak ekilde deitirerek iletim sistemini yamaladm.
Gizli yamam yklendikten sonra Vinny ubirim kablosunu karp ilk
takl olduu yere geri takma iini yapt. Sonra kilidi yeniden kurcalayp
bu sefer dolabn kapsn kilitledi.
Bilgisayarda hangi dosyalarn olduunu grmek iin bir dizin
dkm aldm. LOCK-11'in programna ve ilgili dosyalara bakarken ok
artc bulduum bir eyle, bu bilgisayarda bulunmamas gereken bir
dizinle karlatm. Tasarmclar kendilerinden ve yazlmlarnn alamaz olduundan o kadar eminlerdi ki, yeni rnlerinin kaynak kodlarn
kaldrmaya bile yeltenmemilerdi. Hemen yanndaki kt alma ubirimine geerek, kaynak kodunun paralarn, o zamanlar kullanlan yeil
eritli srekli formlara bastrmaya baladm.
172
Aldatma Sanat
Vinny kilidi kapamay yeni bitirmi ve yanma gelmiti ki adamlar

le yemeinden dnyorlard. Yazc yazmasn srdrrken, beni bilgisayarn klavyesine bireyler girerken buldular. "Ne yapyorsun,
Kevin?" diye sordu bir tanesi.
"Sadece kaynak kodlarnzn ktsn aldryorum" dedim. Doal
olarak aka yaptm dndler. Ta ki yazcya bakp ktlarn gerekten titizlikle koruduklar rnlerinin kaynak kodu olduunu grnceye
. kadar.
Ayrcalkl kullanc olarak girdiime inanamadlar. "Bir Kontrol-T gir",
dedi tasarmclardan biri. Girdim. Ekranda kan grnt sylediklerimi
doruluyordu. Vinny, " yz dolar, ltfen", derken adam alnna vuruyordu.
Adamlar paray dediler. Gnn kalannda Vinny ve ben konferans
kartlarmza taktmz yz dolarlk banknotlarla dolatk. Herkes paralarn ne anlama geldiini biliyordu.
Vinny ve ben, doal olarak, yazlm yenmitik ve eer tasarm ekibi
yarma iin daha iyi kurallar belirleselerdi ya da daha iyi bir kilit kullansalard ya da tehizatlarnn banda dursalard, o gn bir ift
ocuun elinden ektiklerini ekmeyeceklerdi.
Sonradan rendim ki tasarm ekibi para ekmek iin bankaya uramak zorunda kalm. Bize verdikleri yz dolarlk banknotlar yanlarnda
getirdikleri tm paraym.
Bir saldr arac olarak szlk

Eer biri parolanz ele geirirse sisteminizi igal edebilir. ou
durumda neyin ters gittiini bile anlamazsnz.
Adna van Peters diyeceim gen bir saldrgann yeni bir oyunun
kaynak kodunu ele geirmek gibi bir hedefi vard. irketin geni alan
ana (WAN) girmekte zorlanmamt, nk bilgisayar korsan
arkadalarndan biri irketin internet sunucularndan birini oktan
amt. Arkada internet yazlmnda gncellenmemi bir ak bulduktan sonra sistemin iki ynl sunucu olarak kurulduunu anlaynca
neredeyse kk dilini yutmutu. Yani dahil aa girmek iin de bir giri
noktas bulunuyordu.
Ama ivan balandktan sonra, Louvre mzesine girmek ve Mona
Lisa'y bulmaya almakla e deer bir zorlukla karlamt. Mze
haritas elinizde yoksa orada haftalarca gezinebilirdiniz. irket, yzlerce
ofisi ve binlerce bilgisayar sunucusu olan dnya apnda bir irketti ve
tam olarak gelitirme sistemlerine ait bir dizin sunmuyor ya da onu
doru yere gtrecek bir tur rehberi de salamyordu.
Hedefledii sunucuyu bulmak iin teknik bir yaklam kullanmak yer-
173
ine ivan bir toplum mhendislii yaklam kulland. Bu kitapta aklanan

yntemlere dayanan telefon grmeleri yapt. nce, Bl teknik destek
servisini arayarak ekibiyle tasarladklar rnde arayz sorunu yaayan
bir irket alan olduunu syledi ve oyun gelitirme ekibinin proje liderinin telefon numarasn istedi.
Sonra kendisine verilen ad, Bi'den biri gibi davranarak arad. "Bu
gece ge saatlerde bir router deitireceiz ve ekibinizin sunucuyla
balantsnn kopmayacandan emin olmak istiyoruz. Bunun iin ekibinizin hangi sunucuyu kullandn bilmemiz gerekiyor." A srekli
yenileniyordu ve sunucunun adn vermenin hibir zarar olmazd, yle
deil mi? Sunucu parola korumal olduuna gre yalnzca adn bilmek
ieri girmeye alan birinin iine yaramazd. Bylece adam saldrgana
sunucunun adn verdi. Arayann anlattklarnn doru olup olmadn
kontrol etmeye ya da adamn adn soyad ve telefonunu almaya yeltenmedi bile. Yalnzca sunucu adlarn verdi; ATM5 ve ATM6.
Parola saldrs
......._. ; . ; . .
..
...
Bu noktada ivan tanmlama bilgilerini almak iin teknik bir yaklam

kulland. Uzaktan eriim kabiliyeti sunan sistemlere yaplan teknik
saldrlarn ounda ilk adm sisteme ilk giri noktasn oluturacak zayf
parolal bir hesap bulmaktr.
Bir saldrgan parolalar uzaktan tanmlayacak korsanlk aralar kullanmaya kalkarsa, bu abas onun irketin ama saatlerce bal
kalmasn gerektirebilirdi. Akas bunu yapmas pek akllca olmazd,
nk ne kadar uzun sre bal kalrsa farkedilme ve yakalanma riski
de o kadar artard.
--.....
Hazrlk adm olarak ivan hedef sistemin ayrntlarn gsteren bir
saym yapacakt. Bir kez daha internet bu ama iin gerekli yazlm
kolayca salyordu (http://ntsleuth.Ocatch.com; "catch" kelimesinin
bandaki sfr). van, internet'te saym srecini otomatikletiren ve
herkese ak pek ok korsanlk arac buldu. Kuruluun ounlukla
Windows tabanl sunucular kullandn bilerek, bir NetBIOS (temel
giri/k sistemi) saym program olan NBTE'nin yazlmn indirdi.
ATM5 sunucusunun P adresini girdi ve
program altrmaya balad. Saym
program sunucuda tanml pek ok
1 hesap bulmutu.
SAYIM: Hedef sistemde
sunulan hizmetleri, iletim

sistemi tabann ve sisteme
eriimi olan kullanclarn
hesap adlarnn listesini
veren bir sre.
Var olan hesaplar belirlendikten

sonra, ayn saym aracnn bilgisayar
sistemine szlk saldrs yapma zellii
kullanlabilirdi. Szlk saldrs ou bilgisayar gvenlii alannn ve saldrganlarn olduka yakndan bildikleri br
174
Aldatma Sanat
eydir ama pek ok kii bunun mmkn olduunu, duyunca herhalde

akna urayacaktr. Bu tarz bir saldr, sistemdeki her kullancnn
parolasn ska kullanlan kelimeleri tarayarak ortaya karmaya yneliktir.
Baz eyleri yapmak konusunda tembellik edebiliyoruz ama parolalarn seerlerken insanlarn yaratclklarnn ve hayal glerinin kaybolduunu grmek beni hep hayrete drmtr. oumuz bize koruma salayan bir parola isteriz ama ayn zamanda kolay hatrlanmasn
da isteriz ve bu genellikle kendimize yakn eyler olmas anlamna gelir.
Admzn ba harfleri, gbek admz, lkabmz, eimizin ad, en
sevdiimiz ark, film ya da yemek olabilir. Oturduumuz sokan ad ya
da yaadmz ehrin ad, kullandmz arabann markas, Havvai'de
kalmak istediimiz sahildeki tatil kynn ad ya da en iyi alabalklar
avladmz en sevdiimiz akarsuyun ad. Burada kan deseni
grdnz m? Bunlar ounlukla kii adlar, yer adlar ya da szlkte
bulunabilecek szckler. Bir szlk saldrs, sk kullanlan kelimeleri
hzl bir ekilde girerek her birinin bir ya da daha fazla kullanc
hesabnn parolas olup olmadna bakar.
van szlk saldrsn basamakta altrd. lkinde yaklak 800
kelimelik en sk kullanlan parolalardan oluan basit bir liste kulland. Bu
listede gizli, i ve parola kelimeleri de vard. Program ayrca szlk
kelimelerinin yanna say ekleyerek ya da iinde bulunan ayn saysn
girerek sra deiiklikleri de yapyordu. Program her kelimeyi belirlenmi
tm kullanc hesaplarnda deniyordu. e yaramad.
Sonraki denemesinde ivan, Google arama motoruna gitti ve "szck
listeleri szlkler" anahtar kelimeleriyle arama yapt, ingilizce ve pek
ok yabanc dil iin kapsaml szck listeleri ve szlkler bulunan binlerce site buldu. Bir ngilizce szln tmn indirdi. Sonra Google'da
bulduu baz szck listelerini de indirerek elindekileri zenginletirdi.
van www.outpost9.com/filesAA/ordLists.html sitesini semiti.
Bu site ona, aralarnda soyadlarn, adlarn, kongre yelerinin adlarnn
ve ilgili kelimelerin, oyuncularn adlarnn, incil'den kelimelerin ve adlarn
olduu, indirilebilecek (hepsi de cretsiz) bir dizi dosya sunuyordu.
Szck listeleri sunan pek ok siteden biri de aslnda Oxford niversitesinin sitesiydi; ftp://ftp.ox.ac.uk/pub/wordlists.
Dier siteler izgi film karakterlerini, Shakespeare'in kulland
szckleri, Odyssea'da geen kelimeleri, Tolkien ve Uzay Yolu dizisinin
yan sra bilim ve dinle ilgili olanlar da ieren baka listeler de sunuyorlard. (Bir irket 4,4 milyon szck ieren bir listeyi yalnzca 20 dolara satmaktadr.) Saldr program szlkteki kelimelerin anagramlarn -pek ok
bilgisayar kullancsnn gvenliklerini artrdn dnd, sevilen W
yntemdir- deneyecek ekilde de programlanabilir. ,
175
Dndnden daha hzl

ivan hangi szck listesini kullanacana karar verdikten sonra saldrya
geti. Yazlm otomatik olarak alyordu ve van dikkatini baka eylere
.erebilirdi. in inanlmaz taraf ise uydu: Byle bir saldr srasnda bilgisa.ar korsannn Rip van Winkle gibi uykuya dalacan ve uyandnda
yazlmn daha kck bir yol katetmi olacan dnebilirsiniz. Aslnda,
saldrlan iletim sistemi tabanna, sistemin gvenlik ayarlarna ve a balantsna baklarak ingilizce szlkte bulunan btn szckler -alacak ek"ide- otuz dakikadan az bir sre ierisinde denenebilir!
Bu saldr srerken ivan baka bir bilgisayardan gelitirme grubunun
kulland dier sunucu olan ATM'ya benzer bir saldr balatt. Yirmi
dakika sonra saldr yazlm hibir eyin farknda olmayan kullanclarn
ounun olanaksz olduunu dnd bir ii baard. Yazlm kullanclardan birinin, Yzklerin Efendisi kitabndaki Hobbitlerden birinin
ad olan "Frodo" kelimesini parola olarak kullandn bulmutu.
ivan, elinde bu parolayla bu kullancnn hesabndan ATM6
sunucusuna baland.
Saldrganmz iin hem iyi hem de kt haberler vard. yi haber,
krd hesabn, bir sonraki admda nemli olacak ynetici zellikleri
olmasyd. Kt haber ise oyunun kaynak kodu hibir yerde yoktu. O
zaman dier makinada, szlk saldrsna kar direnli olduunu
anlad ATM5'te olmalyd. Ama ivan'n vazgemeye niyeti yoktu, denemedii birka numaras daha vard.
Baz Windows ve Unix iletim sistemlerinde ifrelenmi oarolalar,
ykl olduklar bilgisayara eriimi olan herkese aktr. Bunun nedeni
ifreli parolalarn knlamamas ve bu yzden korumaya gerek olmamasdr. Bu kuram yanltr. Yine internette bulunabilen pwdump3 adl
baka bir arala van, ATM6 makinasndaki ifrelenmi parolalar bulup
indirdi.
Tipik bir ifrelenmi parola dosyas aadaki gibidir:
Administrator:500:95E4321A38AD8D6AB75EOC8D76954A50:
2E48927AOBO4F3BFB341E26F6D6E9A97:::
akasper:1110:5A8D7E9E3C3954F642C5C736306CBFEF:393C
E7F90A8357F157873D72D0490821: : :
digger:llll:5D15COD58DD216C525AD3B83FA6627C7:17AD
564144308B42B8403DOIAE256558: : :
ellgan:1112:2017D4A5D8D1383EFF17365FAFIFFE89:O7AEC9
50C22CBB9C2C734EB89320DB13: : :
tabeck:1115:9F5890B3FECCAB7EAAD3B435B51404EE:lFOl
5A728447212FCO5EID2D820B35B: : :
176
Aldatma Sanat
vkantar:1116:81A6A5DO35596E7DAAD3B435B51404EE;B93
3D36DD12258946FCC7BD153F1CD6E : ; :
vwallwick:1119:25904EC665BA30F4449AF42E1054F192:15B
2B7953FB632907455D2706A432469 : : :
mmcdonald:1121:A4AEDO98D29A3217AAD3B435B51404EE:
E40670F936B79C2ED522F5ECA9398A27 : : :
kworkman:1141:C5C598AF45768635AAD3B435B51404EE:DE
C8E827A121273EFO84CDBF5FD1925C : : :
van bilgisayarna indirdii ifrelenmi parolalara, baka bir ara kullanarak kaba kuvvet (brte force) olarak bilinen farkl bir parola saldrs
yapt. Bu tarz saldrlar alfanmerik karakterlerin ve ou zel simgenin
kombinasyonlarn dener.
ivan, L0phtcrack3 adl bir yazlm kulland, ("loft-krak eklinde
okunur ve www.atstake.com sitesinde bulunabilir; baz mkemmel parola ele geirme aralar iin baka bir kaynak da www.elcomsoft.com
'dur.) Sistem yneticileri L0phtcrack3 yazlmn zayf parolalar denetlemek iin, saldrganlar ise parolalar krmak iin kullanrlar. LC3 harf, say
ve aralarnda !@#$%A& gibi simgelerin de bulunduu karakter kombinasyonlaryla parolalar yoklar (Ancak, dikkat edilmelidir ki, yazcdan
bastrlamayacak karakterler kullanldnda LC3 parolay bulmay
baaramaz).
Programn neredeyse inanlmaza yakn bir hz vardr. lemcisi 1
GHz olan bir makinada hz saniyede 2,8 milyon denemeye kadar kabilmektedir. Bu hzda bile, eer sistem yneticisi Windows iletim sisteminde doru ayarlamalar yaptysa (LANMAN ifreli parolalarnn kullanlmasn iptal etmek gibi), bir parolann krlmas yine de olduka
uzun bir zaman alabilir.
Bu nedenle saldrgan sk sk parola dosyalarn indirir ve hedef irketin ana bal kalp farkedilme riskini artrmaktansa saldry kendi
bilgisayarnda ya da baka bir bilgisayarda yapar.
Terimler
KABA KUVVET
SALDIRISI: Harfsaysal
karakterlerin ve zel
simgelerin mmkn olan
her kombinasyonunu
deneyen bir parola belirleme stratejisi.
van iin, bekleyi o kadar uzun

srmedi. Birka saat sonra, kulland
yazlm, gelitirme ekibi yelerinin her
birine ait parolalar verdi. Ama bunlar
ATM6 makinasnn kullanclarnn parolalaryd ve ivan peinde olduu kaynak
kodlarnn bu sunucuda olmadn
zaten biliyordu.
imdi ne olacakt? Daha ATM5 makinesinde bulunan bir hesabn parolasn
bulmay baaramamt. Bilgisayar kor-
177
sanlarna zg dnme eklini kullanarak ve sradan kullanclarn

zayf gvenlik alkanlklarn anlam biri olarak, ekip yelerinden
birinin her iki makina iin de ayn parolay kullanyor olabileceini
dnd.
Tam tahmin ettii gibiydi. Ekip yelerinden biri "oyuncular" olan
parolasn hem ATM5'de hem de ATM6'da kullanyordu.
Arad programlar bulabilmesi iin kap ardna kadar almt.
Kaynak kodu klasrn bulduktan ve onu zevkle indirdikten sonra sistem kranlara zg bir adm daha att. leride yazlmn gncellenmi
srmn almak isteyebileceini dnerek ynetici haklar olan ama
kullanlmayan bir hesabn parolasn deitirdi.
Hem teknik hem de insan kaynakl aklardan faydalanan bu saldrda saldrgan, tescilli bilgileri tutan gelitirme sunucularnn adlarn ve
yerlerini renmek iin sahte bir telefon grmesi yapmt.
Sonra, gelitirme sunucusunda hesab olan herkesin geerli hesap
adlarn belirlemek iin bir yazlm kulland. Sonra da birbiri ardna iki
parola saldrs gerekletirdi. Bunlarn arasnda, bir ngilizce szlkte
bulunan tm kelimeleri deneyerek ska kullanlan parolalar arayan
szlk saldrs da vard. Bazen bu szlk, adlar, yerler ve zel ilgi alanlar ieren pek ok baka szck listesiyle desteklenebilir.
Hem ticari hem de halka ak korsanlk aralar, akla gelen herhangi bir ama iin kullanabilmek zere herkes tarafndan elde edilebildiklerinden, yatrmlarnz olan bilgisayar sistemlerini ve a altyapnz
korurken uyank davranmanz olduka nemlidir.
Bu tehlikenin boyutu abartlm deildir. Computer VVorld dergisine
gre, New York merkezli Oppenheimer Fonlar'nn incelenmesinden
artc bir bulgu elde edilmitir. irketin A Gvenliinden Sorumlu
Genel Mdr Yardmcs, standart yazlm paketleri kullanarak irket
alanlarna bir parola saldrs yapmtr. Dergideki yazya gre
dakika ierisinde 800 alann parolas krlmtr.
Mitnick Mesaj:
Monopol oyununun terimleri gibi, parolanz iin szlkten aldnz bir kelime kullanrsanz sonu, Hemen Hapse Git; Balanmtan Geme, 200 Dolar Alma eklinde olur. alanlarnz, varlklarnz gerekten koruyacak parolalar semeleri
konusunda eitmelisiniz.
178
Aldatma Sanat
Aldatmacann engellenmesi
Toplum mhendislii saldrlar teknolojik bir unsur eklendiinde
daha tehlikeli bir hal alabilmektedir. Bu tarz bir saldry engellemek,
genellikle hem insan boyutunda hem de teknik boyutta nlem almay
gerektirir.
Hayr demeyi renin

Buradaki ilk ykde telefon irketinin RCMAC memuru, deiimi
onaylayan hizmet emirleri yokken on telefon hattnn reddet-kes durumunu kaldrmamalyd. alanlarn gvenlik kurallarn ve srelerini
bilmeleri yeterli deildir; bu kurallarn, zararn olumasn engellemek
iin ne kadar nemli olduunu da anlam olmalar gerekir.
Gvenlik kurallar srelerinin uygulanmas bir dl-ceza sistemi
ierisinde tevik edilmelidir. Doal olarak kurallar esnek olmal ancak
gz ard edilme olaslklar yksek, sorumluluk gerektiren admlar atma
iini alanlara brakmamaldr. Ayrca bir gvenlik bilinci program,
gvenlik srelerinin evresinden dolaan ksayollar kullanmann -her
ne kadar alnan ileri zamannda tamamlamak nemli olsa da- irket ve
alanlar iin ykc olabilecei konusunda ikna edici olmaldr.
Ayn dikkat telefonda yabanc birine bilgi verirken de gsterilmelidir.
Arayan kendini ne kadar ikna edici bir tarzda tantrsa tantsn, irketteki deneyiminden ve konumundan bamsz olarak, kimlii onaylanana
kadar, ona herkese ak olarak belirlenmi bilgiler dnda bilgi verilmemelidir. Eer bu kurala sk bir ekilde uyulsayd, bu ykde geen
toplum mhendislii oyunu baarsz olur ve federal tutuklu Gondorff bir
daha arkada Johnny'le birlikte kimseye yeni bir oyun oynayamazd.
u husus o kadar nemli ki bu kitapta bunu srekli yineliyorum:
Kontrol, kontrol, kontrol. Yzyze yaplmam herhangi bir istek, istek
sahibinin kimliini kontrol etmeden yerine getirilmemelidir; nokta.
Temizlik
Yirmi drt saat alan gvenlik grevlileri olmayan irketler iin
saldrgann mesai saatlerinden sonra ofise girmesi ciddi bir sorundur
Temizlikiler, irketten gibi grnen ve bir tuhaflk grmedikleri herkese
ounlukla saygyla davranrlar. Ne de olsa bu kii onlarn ban belaya
sokabilecek ya da onlar iten attrabilecek biridir. Bu yzden ister irket
eleman olsunlar ister taeron bir temizlik irketinden geliyor olsunla^
temizlik ekipleri fiziksel gvenlik konularnda eitilmelidirler.
Temizlik iinin niversite diplomas gerektirdii sylenemez, hatt
ingilizce konumay bile gerektirmez ve verilen eitimler, eer varss
farkl iler iin ne tr temizlik malzemeleri kullanlaca gibi gvenlik e
179
ilgisi olmayan konularda olurlar. Genellikle bu insanlar, "Eer mesai

saatleri dnda kendisini ieri almanz isteyen biri olursa, irket kimlik
kartn gstermesi arttr. Sonra sizin temizlik irketini arayp, durumu
anlatmanz ve kar tarafn size izin vermesini beklemeniz gerekir", gibi
talimatlar almazlar.
Bir kuruluun -bana gelmeden nce- bu blmde anlatlan durumlara kar hazrlkl olmas ve alanlarn ona gre eitmesi gerekir.
Grdm kadaryla, hepsi olmasa da, zel sektr iletmelerinin ou
fiziksel gvenliin bu boyutu konusunda fazlasyla gevek davranyorlar. Soruna dier ynden yaklap sorumluluu irketin kendi alanlarna da ykleyebilirsiniz. Yirmi drt saat gvenlik hizmeti olmayan bir
irket, mesai saatleri dnda i yerine gelen alanlarna kendi
anahtarlarn ve manyetik giri kartlarn getirmelerini art koabilir.
Temizlik grevlilerine hibir zaman birini ieri almamalar konusunda
kesin talimatlar verebilir. Temizlik irketine de ieriye kimseyi almamalar konusunda alanlarnn her zaman eitimli olmalar gerektiini
hatrlatabilirsiniz. u basit bir kuraldr: Kapy kimseye amayn. Eer bu
uygunsa, temizlik irketi szlemesinin maddelerinden biri olarak
yazya dklebilir.
Temizlik ekipleri ayn zamanda birinin arkasndan geme
teknikleriyle ilgili de eitilmelidirler. Ayrca birinin, bir irket alanna
benziyor diye, hemen pelerinden binaya girmeye almasna izin vermeyecek ekilde de bilgilendirilmeliler.
Arada bir -rnein ylda ya da drt kere- ieri girme testleri ve
aklk deerlendirmeleri yapn. Temizlik ekibi alrken kapya birini
gnderin ve o kii temizlikileri ikna ederek ieri girmeye alsn. Bu i
iin kendi alanlarnz kullanmaktansa bu tarz ieri girme testlerinde
uzmanlam irketlerle almay tercih edin.
Kulaktan kulaa: Parolalarnz gizli tutun

Giderek daha ok irket teknik yntemlere dayanan gvenlik kurallarn uygulamaya geiriyor. rnein, parola kurallarn denetleyecek
ekilde iletim sistemi ayarlanabilir ve hesab kilitlemeden nce
baarsz parola giri denemelerinin says snrlandrlabilir. Aslnda
Microsoft VVndovvs'un iletmelere ynelik srm paketlerine bu zellik
genellikle mevcuttur. Ancak daha fazte aba gerektiren zelliklerden
mterilerin ne kadar abuk skld grlnce, rnler gvenlik
ayarlar kapal olarak sunulmaya baland. Yazlm irketlerinin -tam
tersi olmas gerekirken- rnlerini gvenlik ayarlar kapatlm olarak
teslim etmeyi durdurmasnn tam zamanym gibi grnyor. (Sanrm
yaknda bunu kendileri de anlayacaklar.)
irket gvenlik kurallarnn, kolay yanlabilen insanlara gereinden
fazla bel balamamak amacyla, mmkn olduunca teknolojik gven-
180
Aldatma Sanat
lik unsurlarn uygulamalar konusunda sistem yneticilerine dayatmada

bulunmas son derece doaldr. rnein belirli bir hesapta birbiri ardna
yaplan baarsz giri denemelerinin saysn snrlamann bir saldrgann iini olduka zorlatracan grmek ok fazla kafa yormay
gerektirmez.
Her kurulu, salam gvenlik ve alan retkenlii arasndaki hassas dengeyi korumak zorundadr. Bu, baz alanlarn gvenlii hie
saymalarna, alman nlemlerin hassas irket bilgilerini korumada ne
kadar nemli olduunu grememelerine neden olur.
Eer irket kurallarnn deinmedii baz konular varsa, alanlar
en az zorluk ekecekleri yoldan, ilerini kolaylatracak en uygun
hareketi yaparak grevlerini yerine getirebilirler. Baz alanlar
deiime diren gsterebilir ve doru gvenlik alkanlklarn ak ak
hie sayabilir. Basit olmayan ve uzun parola kurallarna uyan ama sonra
da parolasn bir not kdna yazp meydan okurcasna bilgisayarnn
ekranna yaptran alanlarla karlamsnzdr.
irketinizi korumann en etkili yollarndan biri, teknik altyapnzda,
gl gvenlik ayarlarnn yan sra kefedilmesi zor parolalar kullanmaktr.
Parola kurallaryla ilgili ayrntl deerlendirmeleri 16. blmde bulabilirsiniz.
12
E YEN GRENLERE SALDIRILAR
Burada anlatlan yklerin ounun da gsterdii gibi becerikli bir

toplum mhendisi ounlukla kurum ii yetki sralamasnda alt seviyede
olan alanlar hedefler. Bu insanlar, hassas irket bilgilerine saldrgan bir adm daha yaklatracak, zararsz gibi grnen bilgileri vermeleri dorultusunda ynlendirmek kolaydr.
Bir saldrgann ie yeni balam alanlara saldrmasnn nedeni,
onlarn ou zaman belirli irket bilgilerinin ya da baz hareketlerin olas
sonularnn farknda olmamalardr. Ayrca en bilinen toplum mhendislii tekniklerinden bazlaryla kolayca etki altna girme eilimindedirler;
yetkili kii izlenimi uyandran biri, arkada canls ve sevimli duran biri,
irkette kurbann da tand kiileri tanyan biri, saldrgann isteklerinin
ok acil olduuyla ilgili bir talep ya da kurbann bir yardm greceine ya
da gze gireceine ynelik edindii bir kan gibi.
imdi de i bandaki alt seviye alanlara yaplan saldrlara baz
rnekler verelim.
Yardmsever Gvenlik Grevlisi

Dolandrclar agzl birini bulmaya alrlar nk dolandrlma
olaslklar yksek olanlar onlardr. Toplum mhendisleri temizlik
ekibinden ya da gvenlik grevlilerinden birini seerken iyi huylu,
arkada canls ve gvenilir birini bulmay umarlar. nk en byk
olaslkla yardm etmeyi isteyebilecekler onlardr. Aada anlatlan
ykde saldrgann aklndan geen de tam byle bir eydir.
Elliot'un Bak As
..,
Gn/Saat: ubat 1998, Sal, sabah 03:26.

Yer: Marchand Mikrosistemler tesisi, Nashua-New Hampshire
Elliot Stanley saat ba kmas gereken devriyeler dnda yerinden
ayrlmamas gerektiini biliyordu. Ama gecenin bir yans olmutu ve
mesaisi baladndan beri tek bir kii bile grmemiti. Telefondaki
zavall adamn sesi gerekten yardma ihtiyac varm gibi geliyordu. Ve
birilerine kk bir iyilik yapmak insann her zaman kendini daha iyi hissetmesini salyordu.
182
Aldatma Sanat
'in yks
Bili Goodrock'un ok basit, hi deimeden on iki yandan beri baland tek bir amac vard: Yirmi drt yana gelmeden ve kendi birikimlerinin tek kuruuna dokunmadan emekli olmak. Kendi bana da
baarl olabileceini, her eye kadir, huysuz babasna gsterecekti.
ki yl kalmt ve gelecek yirmi drt ayda baarl bir i adam ve zeki
bir yatrmc olarak zengin olamayaca olduka akt. Bir ara silahla
banka soymay da dnm ama bunun hikyelerde kalmas gerektiine ve tehlike-kazan dengesinin berbat olduuna karar vermiti.
Onun yerine, Rifkin gibi, bir bankay elektronik olarak soymann hayallerini kuruyordu.
Bili en son ailesiyle birlikte Avrupa'ya gittiinde Monaco'da 100
franklk bir banka hesab atrd. Yz frank orada duruyordu ama o
parann bir anda yedi basamakl olmasn salayacak bir plan vard.
Eer ans yaver giderse bu miktar sekiz basamakl bile olabilirdi.
BiH'in kz arkada Annemarie byk bir Boston bankasnda birleme
ve devirler blmnde alyordu. Bir gn kz arkadann ofisinde, onun
ge saatlere kalm bir toplantdan kmasn beklerken, merakn yenemedi ve kendi dizst bilgisayarn, iinde bekledii konferans salonundaki ethernet giriine balad, ite! Dahili aa, bankann ana balanmt... hem de gvenlik duvarnn arkasndan. Aklna bir fikir.geldi.
Baarl bir bilgisayar mhendislii doktoras yapmakta olan ve
Marchand Microsystems'da staj yapan Julia adnda gen bir kadn
tanyan bir snf arkadayla yeteneklerini bir araya getirdiler. Julia ierden nemli bilgiler edinmek iin iyi bir kaynak gibi grnyordu. Kadna
bir film senaryosu yazdklarn sylediler ve Julia onlara inand. Onlarla
bir yk yazmann elenceli olduunu dnyordu ve anlattklar
dmenin nasl evrileceiyle ilgili tm ayrntlar onlara anlatt. Fikrin ok
iyi olduunu dnyor ve film yazlarnda adnn gemesi iin srekli
kafalarn tlyordu. Onu senaryolarn nasl sk sk alndyla ilgili
uyardlar ve bunlar kimseyi anlatmamas iin yemin ettirdiler.
Julia tarafndan iyi yetitirilmi olarak iin tehlikeli ksmn Bili kendi
yapt ve ii kotarabileceinden hi kuku duymad. Kendi azndan
dinleyelim:
leden sonra telefon ettim ve gece gvenlik amirinin adnn isaiah
Adams olduunu renmeyi baardm. Gece 21:30'da binay aradm ve
giri gvenlik masasnda duran bekiyle konutum. Hikyem tamamen
aciliyete dayalyd ve biraz telaa kaplm gibi konutum. "Arabamla
ilgili bir sorun kt ve tesise gelemiyorum" dedim. "Acil bir durum var ve
gerekten yardma ihtiyacm var. Gvenlik amiri isaiah' aramay denedim ama evde deil. Bana bir kerelik yardmc olabilir misiniz, ok makbule geecek."
e Yeni Girenlere Saldrlar
183
Geni tesisteki odalarn her biri numaralyd, bylece adama bilgisayar laboratuvarnn numarasn verdim ve yerini bilip bilmediini sordum. Bildiini syledi ve benim iin oraya gitmeyi kabul etti. Odaya
gitmesi birka dakikasn alacakt. Tek bir telefon hattm olduunu ve
onu da sorunu zmek iin aa balanmakta kullandm gibi bir bahaneyi ne srerek onu laboratuvardan arayacam syledim.
Aradmda oraya varm beni bekliyordu. Ona zerinde "elmer"
yazan bir etiket olan ubirimi nerede bulacan akladm. Bu, Julia'nn
anlattna gre, irketin pazarlad iletim sistemlerinin piyasa srmlerinin yapld ana bilgisayard. Beki bilgisayar bulduunu
sylediinde Julia'nn bize doru bilgi verdiini anladm ve iim bir ho
oldu. Birka kere Enter tuuna basmasn syledim, o da bana ekrana
pound () iaretlerinin ktn syledi. Bu bilgisayara kk hesaptan,
yani tm sistem yetkilerinin olduu sper-kullanc hesabndan girildiini gsteriyordu. Beki, klavyede tek parmak yazyordu ve ben ona, biraz
zorlu olan bir sonraki komutu sylerken kan ter iinde kald.
echo 'fix'.x:0:0::/:/bin/sh' >> /etc/passwd
Sonunda doru girmeyi baard ve bylece hesaplardan birinin adn
deitirdik. Sonra ona u komutu girmesini syledim:
echo 'fix: : 10300;0:0' 55 /etc/shadow
Bu komut, iki nokta st stelerin arasndaki ifreli parolay oluturdu,
iki nokta ststelerin arasna hibir ey koymamak parolann olmayaca anlamna gelir. Bu yzden, hesaptaki dzeltmeyi bo bir parola kullanarak parola dosyasna eklemek iin bu iki komut yetmiti. Daha da
iyisi, bu hesap da sper-kullanc yetkilerine sahip olacakt.
Bunun ardndan ondan yapmasn istediim ey, dosya adlarnn
uzun bir listesini karan tekrarlanan bir dizin komutu oldu. Sonra kd
ileri doru beslemesini, yrtmasn ve yanna alp beki kulbesine dnmesini syledim, nk daha sonra oradan bana bireyler okumasn
isteyebilirdim.
iin gzel yan bekinin yeni bir hesap atndan haberi yoktu. Ona
dizinlere gre dosya adlarn bastrtmtm, nk daha nce yazd
N O T t Burada kullanlan arka kap, iletim sistemi giri programn
deitiren trden deil. Daha dorusu giri programnn kulland
dinamik kitaplktaki belirli bir ilev, gizli bir giri noktasn yaratacak ekilde deitiriliyor. Sradan saldrlarda saldrganlar ounlukla ya giri
programn deitirirler ya da dorudan ona yama yaparlar ama dikkatli
sistem yneticileri program ykleme cd'sinde ya da baka datm ortamlarnda bulunan ekliyle karlatrarak deiiklii fark edebilirler.
184
Aldatma Sanat
YAMA: altrlabilir bir

programa yerletirildiinde,
var olan sorunu zen bir
program parac.
komutlarn bilgisayar odasndan onunla

birlikte kmasn istiyordum. Bylece sistem yneticisi ya da iletmeni ertesi
sabah bir gvenlik ihlali olduuna dair
hibir ey fark etmeyecekti.
Artk bir hesabm, parolam ve tam

yetkim vard. Geceyarsndan az nce
sisteme telefonla balandm ve Julia'nn
"film senaryosu iin" zenle yazd komutlar girmeye baladm. Gz
ap kapayncaya kadar irketin iletim sistemi yazlmnn yeni srmnn kaynak kodunun ana kopyasnn durduu gelitirme sistemine
erimitim.
Julia'nn yazd ve iletim sistemi kitaplklarndan birindeki bir altprogram deitirdiini syledii yamay ykledim. Aslnda bu yama, sisteme gizli bir parola kullanarak uzaktan eriim salayacak bir arka kap
oluturuyordu.
Julia'nn benim iin yazd talimatlar zenle uygulayarak, nce
yamay ykledim; sonra da, yaptklarmdan geriye hibir iz kalmayacak
ekilde dzeltme hesabn kaldran ve tm denetleme gnlklerini
tertemiz eden admlar atp etkili bir ekilde izlerimi yokettim.
Yaknda irket yeni iletim sistemi gncellemelerini, dnya apnda
finansal kurulular olan mterilerine gndermeye balayacakt. Ve
gnderdikleri her kopya, gnderilmeden nce ana datm srmne
yerletirdiim arka kapy ierecekti. Bylece gncellemeyi ykleyen her
bankann ve menkul deerler irketinin bilgisayar sistemine erimemi
salayacakt.
Henz tam olarak hedefime varmamtm, yapacak daha ok iim
vard. "Ziyaret" etmek istediim her finansal kurumun dahili ana
girmem gerekiyordu. Sonra hangi bilgisayarlarn para havaleleri iin
kullandklarn bulmam ve yaptklar ilemlerin ayrntlarn ve paray tam
olarak nasl havale ettiklerini renebilmek iin gzetleme yazlmlar
yklemem gerekecekti.
Bunlar tmn uzaktan, herhangi bir yerdeki bir bilgisayardan yapabilirdim. rnein bir deniz kysndan. Bekle beni Tahiti, geliyorum.
Yeniden bekiyi aradm, yardmlar iin teekkr ettim ve ona
dkm pe atabileceini syledim.
Gvenlik grevlisinin grevleriyle ilgili ald talimatlar vard ama ne

kadar ayrntl ve iyi dnlm de olsalar bu talimatlar her olas durumu
ngrmyordu. irket alan olduunu dnd biri iin bir bilgisayara
ie Yeni Girenlere Saldrlar
185
Mitnick Mesaj:
Bir saldrgan bir bilgisayar sistemine ya da ana endi ulaamyorsa, bunu yapmas iin baka birisini bulmaya alacaktr. Plann yrmesi iin fiziksel girilerin zorunlu olduu durumlarda kurban arac olarak kullanmak, ii kendisinin
yapmasndan daha iyi bile olabilir, nk saldrgan bylece farkedilme ve yakalanma tehlikesini olduka azaltabilir.
oirka komut girmesinin yaratabilecei zarardan kimse ona sz etmemiti.

Her ne kadar gvenli bir laboratuvarn kilitli kapsnn arkasnda da
olsa, bekinin de ibirliiyle, datm kopyasnnn sakland kritik sisteme eriim olduka kolay olmutu. Bekinin elinde, doal olarak, tm
kilitli kaplarn anahtarlar vard.
Aslnda drst olan bir alan bile (hikyemizde doktora rencisi
ve irket stajyeri olan Julia) bir toplum mhendislii saldrs iin can
alc neme sahip bilgileri vermesi iin kandrlabilirya da bunu yapmas
iin ona para yedirilebilir. rnein hedef bilgisayar sisteminin nerede
olduu ve -bu saldrnn baars iin ok nemli olan- yazlmn yeni
srmnn ne zaman datma kaca gibi bilgileri verebilirler, iletim
sisteminin temiz bir kaynaktan yeniden yaplandrld durumda, bu tarz
bir deiikliin ok erken yaplmas, fark edilme ya da geersiz olma
tehlikesini getirdii iin zaman bilmek nemlidir.
Bekinin kty giriteki masasna gtrmesini salamann, sonra da
onu orada pe attrmann altndaki nedeni grebildiniz mi? Bu nemli bir
admd. Bir sonraki i gnnde bilgisayar iletmenleri ie geldiklerinde,
saldrgan, kt alma ubiriminde ya da laboratuvarn pnde onlarn bu
kant grmelerini istemiyordu. Bekiye akla yatkn bir aklama yaparak
dkm yannda gtrmesini salamas bu riskten kurtulmasna yetmiti.
Acil Yama
Teknik destek biriminde alan birinin dardan birine bilgisayar
ana giri hakk tanmann douraca sakncalarn bilincinde olmasn
beklersiniz. Ancak bu dardan biri, yardmsever bir yazlm satcs gibi
davranan akll bir toplum mhendisi ise, sonular pek beklediiniz gibi
kmayabilir.
Faydal Bir Telefon Grmesi
-;
' ' \
Arayan, orada bilgisayarlardan kimin sorumlu olduunu bilmek istiyordu ve santral memuru onu teknik destek sorumlusu Paul Ahearn'a
balad.
186
Aldatma Sanat
Arayan, kendini Edward olarak tantarak, veritaban satcs

SeerVVare'dan aradn syledi. "Grne gre baz mterilerimiz
acil gncellemeyle ilgili e-postamz almamlar, bu yzden yamann
yklenmesinde sorun kp kmadn kontrol etmek iin bazlarn
aryoruz. Yeni gncellemeyi ykleyebildiniz mi?"
Paul yle birey grmediinden olduka emin olduunu syledi.
Edvvard, "Program zaman zaman byk veri kayplarna neden olabilir,
bu nedenle en ksa srede yklemenizi neririz" dedi. "Evet" dedi Paul, bu
kesinlikle yapmak isteyecei bir ey olurdu. "Tamam" diye karlk verdi
arayan. "Size yamay bir bant ya da CD'ye yklenmi olarak gnderebiliriz
ve unu da eklemek isterim ki bu gerekten nemli nk iki irket, imdiden pek ok gne ait verilerini kaybettiler. Bu yzden, bu olay sizin de
banza gelmeden, elinize geer gemez yamay yklenmelisiniz."
"internet sitenizden indirmem mmkn deil mi?" diye sordu Paul.
*
"Yaknda hazr olacan sanyorum; teknik ekip hasar dzeltmeye

almakla megul. sterseniz mteri destek hizmetlerinin yamay
uzaktan yklemesini salayabiliriz. Sisteminize balanmak iin telefon
hattn kullanabilir ya da, destekliyorsanz, Telnefi deneyebiliriz."
"zellikle internetten Telnet'e izin vermiyoruz; gvenli deil" diye
karlk verdi Paul. "Eer SSH kullanabilirseniz, bu olabilir".
"Evet, SSH'imiz var. P adresiniz nedir?"
Paul ona P adresini verdi ve Edvvard hangi kullanc adn ve parolay kullanabileceini sordu. Paul ona bu bilgileri de verdi.
Bu telefon gerekten de veritaban reticisinden gelmi olabilirdi.
Ancak o zaman bu yk bu kitapta yer almazd.
Topjum mhendisi kritik verilerin yok olabilecei gibi bir korku
uyandrarak kurbann etkiledi ve sorunu halledecek hzl bir zm nerdi.
Ayrca bir toplum mhendisinin, bilginin deerini bilen birini hedefledii zaman, uzaktan eriim elde edebilmek iin ok inandrc ve ikna
edici nedenler bulmas gerekir. Bazen iin iine aciliyet katarak kurbann hzl hareket etmeye zorlayp konuyu fazla dnmesine izin vermeden isteini kabul etmesini salar.
Bir saldrgan, irketinizin dosyalarnda duran hangi tr bilgiye ulamak isteyebilir? Bazen hi korumaya ihtiyacnz olmadn dndnz bir ey olabilir.
187
Kara h 'y.q_ Ge 1 en Te I el o n
- nsan Kaynaklar, ben Sarah.
- Merhaba Sarah. Ben George, irket otoparknda grevliyim.
Asansrlere binmek ve otoparka girmek iin kullandnz eriim kartlarn hatrlyor musun? Bir sorun kt ve son on be gn iinde yeni
girenler iin atmz btn kartlar yeniden programlamam:
gerekiyor.
- Adlarna m ihtiyacnz var?
- Ve telefon numaralarna.
- Yeni ie alnanlar listesine bakp seni geri arayabilirim. Tele]on
numaran nedir?
- 73... Ah, az sonra kahve molasna kacam, yarm saat sonr ben
seni arasam nasl olur?
- Tamam, olur.
Adam geri aradnda, kz~.
- Evet, yalnzca iki kii var. Finans blmnden Anna Myrtle,
sekreter, ve yeni genel mdr yardmcs Bay Undenvood, dedi.
- Telefon numaralar?
- Evet, tamam. Bay Undenvood 6973. Anna Myrtle. 2127.
- ok yardmc oldun, teekkrler.
Anna'ya Gelen Telefon

- Finans blm, Anna'yla gryorsunuz.
- Ge saatlere kadar alan birini bulabildiim iin ok memnunum.
Ben Ron Vittaro. Ticaret blmnn a sorumlusuyum. Sanrm henvz
tantrlmadk. irkete hogeldin.
- Teekkr ederim.
- Anna, Los Angeles'taym ve bir krizi zmeye alyorum. Bana
ayrabilecein bir on dakikan var m?
- Elbette. Ne yapmam gerekiyor?
- Ofisime k. Nerede olduunu biliyor musun?
- Hayr.
- Peki, on beinci katta kedeki oda; oda numaras 1502. Birka
dakika iinde seni oradan ararm. Ofise gittiinde aramamn dorudan sesli mesaja balanmamas iin ileri tuuna basman gerekecek.
- Tamam, imdi gidiyorum.
On dakika sonra Ron'un odasna varm, arama aktarma ilevini iptal
etmi bekliyordu ki telefon ald. Adam, kza oturmasn ve internet
taraycsn altrmasn syledi. Aldnda yazmas iin www.geocities.com/ron-insen/eser.doc.exe adresini verdi.
188
Aldatma Sanat
Bir iletiim kutusu kt ve adam "A" dmesini tklamasn syledi.
Bilgisayar yazy indiriyormu gibi gzkt ama sonra ekran karard.
Anna bireylerin ters gidiyor gibi grndn sylediinde adam
karlk verdi:
- Ah, hayr. Srekli o web sitesinden bir eyler indirmekte glk
ekiyorum ama dzeltildiini sanmtm. Peki, bo ver o zaman,
dosyay daha sonra baka bir ekilde indiririm.
Oluan sorundan sonra bilgisayarnn dzgn alp almadndan
emin olmak iin Anna'dan bilgisayarn yeniden balatmasn istedi.
Yeniden balatmas iin gerekli admlar kza anlatt.
Bilgisayar yeniden dzgn bir ekilde almaya baladnda, ona
itenlikle teekkr etti ve telefonu kapatt. Anna zerinde alt ii
bitirmek iin fmans blmne geri dnd.
Kurt Dillon'un yks

Millard-Fenton yaynclk, i yapmak zere olduklar yeni yazarlar
konusunda olduka heyecanlydlar. Bu yazar, bir Fortune 500 irketinin, anlatacak ilgin ykleri olan emekli genel mdryd. Biri,
grmeleri ayarlamas iin adam bir yazar manajerine ynlendirmiti.
Menajer, yaynevi szlemelerinin nasl yapldyla ilgili hibir ey
bilmediini itiraf etmek istemiyordu; bu
nedenle, bilmesi gerekenleri renmesine yardmc olmas iin eski bir arkadan tutmutu. Bu eski arkada, ne
yazk
ki, pek iyi bir seim deildi. Kurt
CASUS YAZILIM: Hedefin
Dillon aratrmalarnda olaand olabilgisayar faaliyetlerini
rak adlandrabileceimiz, pek de etik
gizlice izlemesi iin zel
olmayan yntemler kullanrd.
olarak yaplm program.
Bunun bir eidi de,
evrimii reklamlarn internette gezinme alkanlklarna gre tasarlanabilmesi iin internetten alveri
edenlerin ziyaret ettikleri
siteleri takip etmek iin kullanlr. Yazlm, kullancnn,
aralarnda girilen parolalar
ve klavyeden yazd
yazlar, e-postalar, sohbetler, annda mesajlar,
ziyaret edilen tm a sayfalar ve ekran resimleri
olan tm faaliyetlerini
yakalar.
Kurt, Ron Vittaro adyla Geocities'den

cretsiz bir site ald ve yeni siteye bir
casus yazlm ykledi. Yazlmn adn
eser.doc.exe olarak deitirdi, bylece
dosya bir Word belgesi olarak gzkecek
ve kuku uyandrmayacakt. Aslnda iler
Kurt'un beklediinden daha iyi yrmt,
nk gerek Vittaro, Windows iletim sistemindeki "Bilinen dosya trleri iin dosya
uzantlarn gizle" seeneinin varsaylar
ayarn hi deitirmemiti. Bu ayar yznden dosyann ad zaten eser.doc
olarak kmt.
Sonra hanm arkadalarndan birinin
Vittaro'nun sekreterini aramasn sa-

lad. Dillon'un ynlendirmeleriyle kadn
Vittaro'nun sekreteriyle konutu. "Ultimate
Kitabevleri, Toronto'nun bakan Paul
Spadone'un ynetici asistanym. Bay
Vittaro patronumla bir sre nce bir kitap
fuarnda tanm ve ortak yrtlebilecek bir projeyle ilgili konumak iin aramasn istemi. Bay Spadone srekli
seyahatlerde, bu yzden benden Bay
Vittaro'nun ne zaman ofisinde olacan
renmemi istedi."
189
SESSZ YKLEME:
Bilgisayar kullancsnn ya
da iletmeninin fark
etmeyecei ekilde bir
yazdm uygulamas ykleme
yntemi.
kisi ajandalar karlatrmay bitirdiklerinde, Kurt'un bayan arkada

Bay Vittaro'nun ofisinde olaca tarihlerle ilgili saldrgana yeterince bilgi
salamt. Bu ayn zamanda Vittaro'nun yerinde olmayaca tarihleri de
bildirdii anlamna geliyordu. Vittaro'nun sekreterinin de onun yokluundan faydalanp biraz kayak yapmaya gideceini renmek iin de uzun
uzun sohbet etmesi gerekmemiti. Ksa bir sre iin ikisi de ofiste olmayacaklard. Mkemmel.
ikisinin birden olmadklar ilk gn, emin olmak iin uyduruk, acil bir
mesajla telefon ettiinde danma grevlisi ona, "Bay Vittaro ofisinde
deil, sekreteri de bugn yok. ikisi de bugn, yarn ve sonraki gn burada olmayacaklar" dedi.
Yeni bir alan oyununa alet etme konusunda ilk denemesinde
baarl olmutu ve aslnda herkese bilinen, ticari olarak bulunabilen ve
saldrgann sessiz ykleme iin zerinde oynad bir casus yazlm
olan bir "eseri" indirmesini istediinde kz gzn krpmadan indirmiti.
Sessiz ykleme yntemiyle kurulum hibir virs koruma yazlm tarafndan farkedilmez. Tuhaf bir nedenden tr virs koruma programlar
yapan reticiler halihazrda varolan casus yazlmlar bulacak bir rn
pazara srmyorlar.
Gen kadnn, yazlm Vittaro'nun bilgisayarna yklemesinin hemen
ardndan, Kurt, Geocities sitesine geri gitti ve doc.exe dosyasn internette bulduu bir kitapla deitirdi. Birileri oyunu farkeder ve ne olduunu
anlamak iin siteye gelip bakacak olurlarsa tm bulabilecekleri zararsz,
acemice yazlm, baslamaz bir kitap metninden ibaret olacakt.
Program, yklendikten ve bilgisayar yeniden balatldktan sonra
hemen harekete gemek zere ayarlanmt. Ron Vittaro birka gn
iinde dnecek, ie balayacak ve casus yazlm klavyeden bilgisayarna girdii her eyi, gnderdii e-postalar ve o anda ekranndan grdklerinin bir resmini ona iletecekti. Hepsi dzenli aralklarla Ukrayna'daki
cretsiz elektronik posta hizmeti veren bir siteye gnderilecekti.
Vittaro'nun dnnden birka gn sonra Kurt, Ukrayna'daki posta

kutusuna birikmi gnlk dosyalarn kartryordu ve ok gemeden
190
AJdatma Sanat
Millard-Fenton Yayncln o yazarla anlamak iin tam olarak nereye

kadar gitmek istediini anlatan gizli e-postalar buldu. Bu bilgiyle donanarak yazarn menajerinin anlamay btnyle kaybetme riski olumadan, ilk teklif edilenden ok daha iyi koullar iin pazarlk etmesi
kolay olacakt. Bu da doal olarak menajer iin daha dolgun bir komisyon anlamna geliyordu.
Bu oyunda saldrgan, arac olarak yeni bir alan seerek, onun
ibirlii yapma ve iyi birtakm oyuncusu olma isteine gvendi ve baar
ansn artrd. Yeni elemann irket, alanlar ve dalavere teebbsn aksatacak gvenlik uygulamalar konusunda daha az bilgili
olma olasl vard.
Kurt, fnans blmnde bir memur olan Anna'yla grmesinde
genel mdr yardmcs gibi davrand iin, kzn, kendisinin yetkisini
sorgulama olaslnn ok dk olduunu biliyordu. Aksine, bir genel
mdr yardmcsna hizmet ederek gze girebileceini de dnebilirdi.
Anna'ya adm adm anlatt, casus yazlm kurmaya ynelik sre
dardan bakldnda zararsz grnyordu. Anna'nn, zararsz gibi grnen davranlarnn bir saldrgana irketin karlaryla ters ynde kullanlabilecek deerli bilgiler salad konusunda en kk bir fikri yoktu.
Ve neden genel mdr yardmcsnn mesajlarn Ukrayna'daki bir
e-posta adresine gndermeyi semiti? Pek ok nedenden tr uzak
yerler bir saldrgann izinin srlmesi ya da ona kar harekete geilmesi ansn azaltr. Bunun gibi lkelerde bu tarz sular genellikle dk
nceliklidirler ve internet zerinden ilenen bir su kaydadeer bir su
deildir. Bu yzden Amerikan emniyet birimiyle ibirlii yapma olasl
dk olan lkelerden e-posta adresleri almak ekici bir stratejidir.
Bir toplum mhendisi, her zaman isteklerinde yanl bir eyler
olduunu anlama ans dk alanlar hedeflemeyi tercih eder. Bu,
iini kolaylatrmakla kalmaz, bu blmde anlatlan yklerde olduu
gibi tehlikeyi de azaltr.
Gafili Kandrmak
Daha nce bir yabancnn talimatlarn yerine getirmeye ikna olmamalar iin alanlarn youn bir ekilde eitilmeleri gerektiini vurgulamtm. Tm alanlar ayrca bir istei, baka birinin bilgisayarnda
yerine getirmenin tehlikesini de anlamak zorundadrlar. irket kurallar,
yneticiler tarafndan zellikle onaylanmad srece bunu yasakla-
ie Yeni Girenlere Saldrlar 191
Mitnick Mesaj:
Mesai arkadanzdan ya da bir astnzdan yardm istemek olaan bir durumdur.
Toplum mhendisleri insanlarn yardm etmeye ve iyi bir talam oyuncusu olmaya
ynelik isteklerim smrmeyi bilirler. Saldrgan, amacna yaklaabilmek iin hi bir
eyin farknda olmayan alanlar kandrp eitli ileri yapmalarn salayarak bu
olumlu ve insan nitelii kullanr. Birilerinin sizi kandrmaya alp almadm
anlayabilmeniz iin bu basit nohay anlam olmanz gereklidir.
maldrlar. Mmkn olabilecei durumlar arasnda unlar olabilir:
stek iyi tandnz birinden geliVyse, yto. vx.e tur grmede

dile getirildiyse ya da arayann sesini tandnzdan emin
olduunuz bir telefon grmesi srasnda alndysa.
Denenmi yntemler kullanarak istek sahibinin kimlik tespiti

olumlu bir ekilde yaplmsa.
Yaplacak ilem, istek sahibini ahsen tanyan bir ynetici ya da

benzeri bir yetkili tarafndan onaylandysa.
Bir eyler isteyen kii st dzey bir ynetici olduunu iddia etse bile
alanlar ahsen tanmadklar kiilere yardm etmemeleri konusunda
eitilmelidirler. Kimlik tespitiyle ilgili gvenlik sreleri yrrle konduktan sonra ynetim, bir kural bertaraf etmesini isteyen st dzey bir
yneticiye meydan okumas anlamna gelse bile alanlarn bu kurallara uymalarn desteklemelidir.
Her irketin, bilgisayarlar ya da bilgisayar donanmlaryla ilgili taleplere yant vermek konusunda alanlara yol gsterecek kural ve sreleri olmaldr. Yaynclk irketiyle ilgili ykde toplum mhendisi bilgi
gvenlii kurallar ve sreleriyle i\giV\ b\r e\t\m almam yeni bir alan
seti. Bu tarz bir saldrnn nne gemek iin yeni ya da eski her
alann basit bir kurala uymas salanmaldr: Tanmadnz birinin
isteini yerine getirmek iin bilgisayar sistemini kullanmaynz. Nokta.
Bir bilgisayara ya da bilgisayarla ilgili bir donanma fiziksel ya da
elektronik eriimi olan bir alann bir saldrgan adna zararl hareketler
yapmak zere ynlendirilmeye ak olduunu unutmaynz.
alanlar ve zellikle Bi elemanlar, dardan birinin bilgisayar
ana erimesine izirfvermenin, banka hesap numarasn telefonla sat
yapan birine vermekle ya da telefon kart kodunu hapisteki bir
yabancya vermekle arasnda bir fark olmadnn bilincinde olmaldrlar. alanlar bir istei yerine getirmenin, hassas bilgilerin aa kmasna ya da irket bilgisayar sisteminin paylama almasna neden
olup olmad konusu dikkatle tartmaldrlar.
192
Aldatma Sanat
Bi personeli de satc gibi arayan tanmadklar kiilere kar tetikte

olmaldrlar. Genel olarak bir irket her teknoloji satcsnn balant
kuraca belli kiiler grevlendirmen ve dier alanlarn telefon ya da
bilgisayar donanmlarna ynelik satclardan gelen bilgi ya da deiiklik
taleplerine yant vermemesi iin bir kural koymaldr. Bu yolla belirlenen
kiiler, arayan ya da ziyaret eden satclara aina olurlar ve sahtekr
tarafndan kandrlma olaslklar der. irketin destek szlemesinin
olmad bir satc aradnda bile buna kukuyla baklmaldr.
Kurulutaki herkesin, bilgi gvenliinin zayflklar ve gelebilecek
tehditler konusunda uyarlmalar gerekmektedir. Gvenlik grevlileri ve
benzer alanlara yalnzca gvenlik eitiminin deil ayn zamanda bilgi
gvenlii eiliminin de verilmesi gerektii unutulmamaldr. Gvenlik
grevlileri, tm tesise fiziksel eriimleri olduu iin, kendilerine kar kullanlabilecek toplum mhendislii tekniklerini tanyabilmelidirler.
Casus Yazlmlara Dikkat

Casus yazlmlar bir zamanlar ounlukla ocuklarnn internette ne
yaptn merak eden ana-babalar tarafndan ya da hangi alanlarn
internette gezerek iten kaytardn belirlemeye alan iverenler
tarafndan kullanlrd. Daha ciddi bir kullanm bilgi varlklarna kar
olas hrszlklar ya da sanayi casusluunu belirlemeye ynelikti.
Tasarmclar casus yazlmlarn ocuklar korumak iin bir ara
olduunu syleyerek pazarlarlar ama asl pazar bakalarn gzetlemek
isteyen insanlardr. Bugnlerde, casus yazlm satlar insanlarn
elerinin ya da benzer nemli kiilerin kendilerini aldatp aldatmadklarn renmek istemeleriyle byk lde artmtr.
Bu kitaptaki casus yazlm yksn yazmaya balamadan ksa bir
sre nce, benim adma e-postalarma bakan kii (internet kullanmam
yasak olduundan) bir dizi casus yazlmn reklamn yapan bir spam
e-posta bulmu. Reklam yaplan programlardan biri yle birey:
EN OK STEYECENZ EY: Bu gl gzetleme ve
casus program, geri planda kendisini farkettirmeden alrken
tm klavye girilerini ve tm ak pencerelerin zaman ve balklarn gizlice kaydeder. Gnlkler ifrelenip sizin belirlediiniz
bir e-posta adresine otomatik olarak gnderilebilir ya da sabit
diske kaydedilebilirler. Programa eriim parola korumaldr ve
CTRL+ALT+DEL mensnde gzkmesi engellenebilir.
Yazlan nternet adreslerini grmek, sohbet oturumlarn,
e-postalar ve pek ok baka eyi (hatt parolalar ;-)) izlemek
iin kullanabilirsiniz.
Farkedilmeden HERHANG BR PC'ye ykleyin ve gnlkleri kendinize gndertin'.'.
ie Yeni Girenlere Saldrlar 193
Virs Koruma Boluu
Virs koruma yazlmlar ticar casus yazlmlar bulamazlar ve

bylece amac bakalarn gzetlemek bile olsa yazlma kt huylu
bir yazlm deilmi gibi yaklam olurlar. Bylece telefon dinlemenin bilgisayar karl farkedilmez ve hepimiz iin srekli
yasad bir gzlem altnda olma riskini yaratr. Virs koruma programlan reticileri, doal olarak, casus yazlmlarn yasal amalar iin
de kullanldn ve bu nedenle kt huylu olarak nitelendirilmemesi
gerektiini ne srebilirler. Ancak, bir zamanlar bilgisayar korsanlar
tarafndan kullanlm aralarn, artk serbeste datlan ya da
gvenlie ynelik yazlm olarak satlan gelimi ekilleri yine de
kt huylu yazlm olarak muamele grebiliyor. Burada bir ifte standart var ve ben bunun nedenini merak ediyorum.
Ayn e-postada tantlan baka bir rn, kullancnn bilgisayarndan,

tpk kullancnn omuzunun zerinden bakan bir video kamera gibi
ekran resimleri alabileceini sylyordu. Bu yazlmlardan bazlar kurbann bilgisayarna fiziksel eriim salamay bile gerektirmez. Kur, program uzaktan ayarla ve annda bilgisayar dinleyebilir duruma ge! FBI
bu teknolojiye baylyor olmal.
Casus yazlmlar bu kadar kolay bulunurken, irketinizin iki koruma
dzeyi oluturmas gerekmektedir. Tm bilgisayarlara SpyCop gibi
(www.spycop.com adresinden salanabilir) casus yazlmlar tespit
eden bir program yklemeli ve alanlarnzn dzenli olarak tarama
yaptrmalarn salamalsnz. Buna ek olarak, alanlarnz bir program indirmeye ya da kt huylu bir yazlm kurabilecek bir e-posta eki
amaya yneltecek dalaverelerin oluturduu tehlikelere kar eitmeniz de gerekir.
Bir alann kahve molas, le yemei ya da bir toplant iin
masasnda bulunmad durumlarda casus yazlmlarn yklenmesini
engellemek iin alnacak nlemlere ek olarak, tm alanlarn bilgisayar sistemlerini ifreli bir ekran koruyucu ya da benzer bir yntemle kilitlemeleri de yetkisiz birinin alann bilgisayarna erimesi tehlikesini
byk lde azaltacaktr. Kiinin odasna ya da blmesine szan hi
kimse dosyalarna eriip, e-postalarn okuyup casus yazlmlar ve kt
huylu programlar ykleyemeyecektir. Ekran koruyucu parolasn devreye sokmak iin gerekli kaynak yok denecek kadar az, alanlarn bilgisayarlarn korumada salad kazansa muazzam lde byktr.
Bu koullarda fayda-maliyet analizini yapmak iin ok kafa yormaya
gerek yoktur.
ZEKCE OYNANMI OYUNLAR

Hassas bilgiler talep eden ya da bir saldrgann iine yarayabilecek
bir eyler isteyen yabanc biri aradnda, telefonu aan kiinin,
arayann telefon numarasn alacak ve kiinin gerekten syledii kii
-irket alan ya da ortak allan bir firma personeli ya da satclardan birinden gelen bir teknik destek grevlisi- olup olmadn kontrol
etmek iin onu geri arayacak ekilde eitilmesi gerektiini artk iyice
grm olmalsnz.
Arayanlarn kimliinin tespiti iin irket alanlarnn zenle izlemesi gereken oturmu bir sre olsa bile, ok ynl saldrganlar kurbanlarn syledikleri kiiler olduklarna inandrmak iin yine de eitli oyunlar oynayabilirler. Aada anlatld gibi, gvenlik bilinci yerlemi
alanlar bile bu tarz yntemlerle tuzaa drlebilirler.
Yanltc Arayan Kimlii

Cep telefonuna arama gelen herkes, arayan kimlii olarak bilinen,
arayann numarasn grme zelliini bilir, i dnyasnda, aramann irket iinden mi yoksa dndan m geldiini bir bakta anlamak gibi de
bir faydas vardr.
Yllar nce, telefon irketlerinin bu hizmeti halka sunmalarna izin
verilmedii zamanlarda baz hrsl telefon beleileri arayan numaray
grmenin salad olanaklarla tanmlard. Daha arayan kii bir ey
syleyemeden onu adyla selamlayp insanlar hayrete drerek
eleniyorlard.
Gvende olduunuzu dndnz bir anda, grdnze
gvenerek -yani telefonun ekrannda, arayann numarasn grerekkimlik tespiti uygulamas, aslnda saldrgann tam da yapmanz istedii
ey olabilir.
Lnda'mn Telefon Grmesi

Gn/Saat: 23 Temmuz, Sal, saat 15:12
Yer: Starbeat Havaclk, Finans Dairesi
Tam patronuna bir not yazarken Linda HH'in telefonu ald. Arayann
numarasna baktnda aramann New York Genel Mdrlk binasndan,
Victor Martin adl birinden geldiini grd. Bu tand bir isim deildi.
196
Aldatma Sanat
Yazd notla ilgili dnce akn kaybetmemek iin aramay telesekretere brakmay dnd. Ama merakna yenildi ve telefonu at.
Arayan kendini tantt ve rn Aratrma'dan olduunu, Genel Mdr'n
istedii bir eyler zerinde altn syledi. "Baz bankaclarla toplant
iin Boston'a gidiyor, iinde bulunduumuz aylk dneme ait balca
finansal verilere ihtiyac var" dedi. "Ve bir ey daha. Apache projesiyle ilgili
finansal tahminlere de gereksinimi var" diye ekledi Victor, irketin baharda piyasaya srecei nemli rnlerden birinin kod adn kullanarak.
Kadn ona e-posta adresini sordu ama adam e-posta almakla ilgili
bir sorunu olduunu, teknik servisin bunun zerinde altn syledi
ve bu yzden verileri fakslayp fakslayamayacan sordu. Kadn bunun
sorun olmayacan syledi ve Victor ona dahili faks numarasn verdi.
Birka dakika sonra Linda ona faks yollad.
Ama Victor, rn Aratrma'da almyordu. Aslnda o irkette bile
almyordu.
"
Jack'n y k s
. . " - . .
Jack Davvkins profesyonel yaamna erken yalarda Yankee

Stadyumu'nda oynanan malarda, kalabalk metro istasyonlarnda ve
Times Meydan'na gece gelen turist kalabalnn arasnda yankesicilik
yaparak balad. O kadar evik ve becerikliydi ki adama fark ettirmeden
kolundan saatini bile alabilirdi. Ama sarsak ergenlik anda hantallam ve yakalanmt. Islahevinde, yakalanma tehlikesi ok daha
dk olan yeni bir meslek edinmiti.
u anki ii, bir irketin aylk kr-zarar durumunu ve nakit akm bilgilerini, veriler ABD Sermaye Piyasas Kurulu'na verilmeden ve halka
almadan nce ele geirmesini gerektiriyordu. Mterisi, bu bilgileri
neden istediini sylemeyen bir di hekimiydi. Jack'e kalrsa adamn
gizlilii komikti. Bylelerini daha nce de grmt; adamn byk
olaslkla bir kumar sorunu vard ya da daha karsnn bilmedii masrafl
bir kz arkadaa sahipti. Ya da belki hisse senetleriyle oynamada ne
kadar akll olduuyla ilgili karsna hava atarken bir tomar para kaybetmi ve eyrek dnemlik sonularn akladklarnda irket hisse senetlerinin ne yne gideceini renenerek, kesin bir eye byk oynayp
ok kazanmak istiyordu.
nsanlar, dikkatli bir toplum mhendisinin daha nce karlamad
bir durumu zmek iin ne kadar az zamana ihtiyac olduunu rendiklerinde aryorlar. Jack di hekimiyle yapt toplantdan eve dnene
kadar oktan bir plan yapmt. Arkada Charles Bates kendi telefon
santral dier bir deyile PBX' olan Panda ithalat adl bir irkette al
yordu.
Telefon sistemleri konusunda bilgili insanlarn aina olduu terimler-
r
r[
Zekice Oynanm Oyunlar
197
i
I
le ifade edersek, PBX, Tl olarak bilinen bir dijital telefon hizmetine

balyd ve PRI ISDN olarak ayarlyd. Bu, Panda'dan yaplan her aramada kurulum ve dier grme bilgileri veri kanalndan telefon irketi
santralna gidiyor anlamna geliyordu. Bu bilgiler arasnda (eer engellenmemise) alc uta numara grntleme arayzne aktarlan,
arayann telefon numaras da vard.
Jack'in arkada, aranan kiinin arayan numaray grebilecei e
kilde santral nasl programlayacan biliyordu. stelik Panda ofisinden
kullanlan gerek telefon numarasn deil, santrala her ne telefon
numaras programlandysa kar tarafn onu grmesini salayabiliyordu.
Bu dmenin ilemesinin nedeni, yerel telefon irketlerinin mterinin
kulland telefon numarasyla mterinin parasn dedii telefon
numarasn karlatrmaya yanamamasyd.
Jack Davvkins'in ihtiyac olan tek ey byle bir telefon hizmetini kullanabilmekti. Neyseki arkada ve ksa bir sre iin su orta olan
Charles Bates kk bir cret karlnda her zaman yardm etmeye
hazrd. Bu durumda Jack ve Charles irket telefon santraln geici
olarak programlamlard. Bylece Panda irketinin iindeki belli bir
telefondan arandnda Victor Martin'in telefon numarasn gsterecek
ve arama Starbeat Havaclk'tan geliyor gibi grnecekti.
Grnen numarann istediiniz numarayla deitirilebilecei fikri o
kadar az bilinir ki bu yzden ok az sorgulanr. Bu olayda Linda, rn
Aratrma'dan olduunu dnd kiiye istedii faks memnuniyetle
gnderdi.
Jack telefonu kapattnda Charles irket telefon santraln yeniden
programlayp telefon numarasn asl ayarlarna geri dndrd.
Baz irketler mterilerinin ya da mal aldklar irketlerin alanlarnn telefon numaralarn bilmelerini istemez. rnein, Ford firmas
Mteri Destek Merkezi'nden arayan her mteri temsilcisinin dorudan
telefon numarasn grmek yerine, Merkezden gelen tm aramalarn
Merkezin 800'l numarasn ve "Ford Destek" gibi bir bilgi gstermesini
isteyebilir. Microsoft, alanlarnn arad herkesin arayan numaraya
bakp dahili numaralan renmemesi iin, alanlarna telefon numa
ralarn yalnzca kendi setikleri muhataplarna verme seeneini
tanyabilir. Bu yolla irket dahil numaralarnn gizliliini koruyabilir.
Ancak bu yeniden programlanma zellii, akaclar, fatura tahsildarlar, telefonla sat yapanlar ve tabii, toplum mhendisleri iin ok kullanl bir ara oluturmaktadr.
198
Aldatma Sanat
eitleme: Amerika Birleik

Devletleri Bakan Aryor
Los Angeles, KFI Talk Radio adndaki bir radyoda "internetin
Karanlk Yz" adl bir programn ikinci sunucusu olarak radyonun program ynetmeniyle birlikte alyordum. Tandm en iine bal ve
alkan insanlardan biri olan David, ok megul olduu iin telefonla
ulalmas zor biriydi. Arayan numara gstergesine bakp konumak
istedii biri deilse telefonu amayan insanlardand.
Cep telefonumda arama engeli olduu iin ben aradmda kimin
aradn gremiyor ve telefonu amyordu. Telesekreter devreye giriyordu ve bu benim iin ok can skc oluyordu.
Yksek teknoloji irketlerin ofis bulan bir emlak irketinin sahibi olan
eski bir arkadamla bu konuda ne yaplabileceini grtm. Birlikte bir
plan yaptk. irketine ait bir Meridian telefon santralna eriimi vard ve
bir nceki ykde anlatld gibi, arayan tarafn numarasn yeniden
programlayabiliyordu. Ne zaman program ynetmeniyle konumam
gerekse ve ona ulaamazsam, arkadamdan, setiim bir numarann
arayan numara olarak gzkmesi iin gerekli programlamay yapmasn
rica ederdim. Bazen aramay David'in yardmcsndan ya da radyo istasyonunun sahibi olan holdingden geliyormu gibi gstermesini isterdim.
Ama en sevdiim, aramay David'in kendi evinden geliyormu gibi
gstermekti. Byle olduu zaman telefonu hep ayordu. Ancak adama
hakkn vermek lzm. Telefonu ap onu bir kez daha kandrdm
grnce olay aka yollu karlamay biliyordu. Bunun en iyi taraf ise
istediim eyin ne olduunu anlayp sorunu zene kadar telefonda
kalmasyd.
Bu kk numaray Art Bell Shovv'da gsterdiimde, arayan kimliimi FBI Los Angeles genel merkezinin ad ve numaras olarak
deitirdim. Art tm bu olanLra olduka ard ve yasad bir ey yaptm konusunda beni uyard. Sahtecilik yapmadm srece bunun
tamamyla yasal olduunu ona anlattm. Programdan sonra bunu nasi
yaptm soran yzlerce e-posta aldm. Artk siz biliyorsunuz.
Toplum mhendisinin inanlrln artrmas iin bu kusursuz bir
aratr. rnein, toplum mhendislii saldr srecinin aratrma aamasnda hedefin arayan numaralar grebildii anlalrsa, saldrgan
kendi numarasn gvenilir bir irketten ya da alandan geliyormu
gibi gsterebilir. Bir fatura tahsildar, yapt aramalar iyerinizden
geliyor gibi gsterebilir.
Ama durup bunun etkilerini dnmek gerek. Bir bilgisayar saldrgan, irketinizin B biriminden olduunu syleyerek sizi evinizden
arayabilir. Telefondaki kii, ken bir sunucudan dosyalarnz kurtarmak
199
JVtnick Mesaj:
Bir daha size bir telefon geldiinde ve telefonun gstergesine bakp arayann sevgili
anneniz olduunu grdnzde, hi belli olmaz, sevimli, yal bir toplum mhendisiyle karlaabilirsiniz.
iin acilen parolanza ihtiya duymaktadr. Ya da arayan numara olarak

bankanzn veya menkul kymet danmannzn ad ve numaras
gzkebilir ve o tatl sesli kz hesap numaralarnz ve annenizin kzlk
soyadn kontrol etmesi gerektiini sylemektedir. i salama almak
iin sistemde oluan bir sorun nedeniyle ATM kart numaranz da elindeki bilgiyle karlatrmas gerekmektedir. pheli hisse senetlerinin
alnp satld bir yer, aramalarn Merrill Lynch ya da Citibank'tan
yaplyormu gibi gsterebilir. Kimlik bilgilerinizi almaya alan biri
Visa'dan aryormu gibi grnp, sizi kredi kart numaranz vermeye
kandrabilir. Size di bileyen biri, arayp vergi dairesinden ya da FBI'dan
olduunu syleyebilir.
Bir PRI'ya bal bir telefon sistemine eriiminiz ve satc irketin
internet sayfasndan edinebileceiniz kk bir programlama bilginiz
varsa, bu taktii arkadalarnza sk oyunlar oynamak iin kullanabilirsiniz. Tandnz abartl politik eilimleri olan biri var m?
Gsterilecek numaray 202 456-1414 programlayp, arayan numaralarda gsterilen arayan kimliini "BEYAZ SARAY" olarak deitirebilirsiniz.
Bakann onu aradn dnecektir!
Hikyenin ana fikri basittir: Dahil aramalar grdnz durumlar
dnda arayan kimliine gvenilmez. Hem ite hem de evde, herkes
arayan numara kdnn farknda olmal ve telefonda gzken adn
ve numarann kimlik tespiti iin gvenilir bir veri olmadnn bilincinde
olmaldr.
Grnmez alan
Shirley Cutlass hzl para kazanmann yeni ve heyecanl bir yolunu
bulmutu. Artk para kazanmak iin yrtnma devri kapanmt. Son yllarn en sk ilenen suunu ileyen yzlerce dalavereciden biri olmutu.
Shirley bir kimlik hrszyd.
Bugn gzn bir kredi kart irketinin mteri hizmetleri blmnden gizli bilgi almaya dikmiti. Her zamanki devlerini yerine getirdikten
sonra, hedef irketi arad ve telefonu aan santral memuruna Telekomnikasyon birimine balanmak istediini syledi. Telekomnikasyona
balandnda sesli mesaj yneticisiyle konumak istedi.
200
Aldatma Sanat
Aratrmalarndan edindii bilgileri kullanarak adnn Norma Todd

olduunu ve Cleveland brosundan aradn syledi. Artk size de tandk
gelen bir klf uydurarak bir haftalna irket genel mdrlne geleceini ve ehirleraras telefon grmesi yapmadan sesli mesajlarn kontrol
etmek iin orada bir sesli mesaj kutusuna ihtiyac olduunu anlatt. Adam
konuyla ilgileneceini ve gerekli dzenlemeleri yaptktan sonra ihtiyac
olan bilgileri vermek iin onu arayacan syledi.
uh bir ses tonuyla kadn, "u anda bir toplantya gidiyorum, sizi bir
saat sonra yeniden arayabilir miyim?" diye sordu.
Tekrar aradnda adam her eyin ayarlandn syledi ve ona dahili
numara ve geici paroladan oluan bilgiyi verdi. Adam, sesli mesaj
parolasn nasl deitireceini bilip bilmediini sordu ve kadn yaplmas gerekenleri adam kadar iyi bilse de yine de anlatmasna izin verdi.
"Ha, birde", dedi kadn ve sordu, "mesajlarm otelden kontrol etmek
iin hangi numaray evirmem gerekiyor?" Adam ona numaray verdi.
Shirley o numaray arad, parolay deitirdi ve arayanlar iin yeni
bir selamlama mesaj kaydetti.
Shirley Saldrr
imdiye kadar yapt, altyapy oluturmaktan ibaretti. Artk aldatma

sanatn kullanmaya hazrd.
irketin mteri hizmetleri blmn arad. "Cleveland brosu.
Tahsilatta alyorum" dedi ve artk aina olduunuz bahanenin bir
baka eidini anlatmaya giriti. "Teknik destek ekibi bilgisayarm tamir
etmeye urayor, bu yzden bir bilgiyi bulmak iin yardmnza ihtiyacm var." Ve kimliini almaya niyetli olduu kiinin adn ve doum
tarihini verdi. Sonra istedii bilgileri sralad: Adresi, annesinin kzlk soyad, kart numaras, kredi limiti, kullanabilecei kredi miktar ve gemi
demeleri. "Beni bu numaradan arayabilirsiniz", diyerek ses mesaj
yneticisinin onun iin ayrd dahili numaray verdi. "Eer yerimde yoksam, bilgiyi sesli mesaj olarak brakabilirsiniz."
Sabah baka ilerle uramay srdrd ve leden sonra ses
mesajn kontrol etti. stedii her ey oradayd. Telefonu kapamada"
nce kendi selamlama mesajn sildi. Geride sesinin kaydn brakmadikkatsiz bir hareket olacakt.
Amerika'nn en hzl artan, yeni yzyln en popler suu olan kimi hrszlna bir kurban daha verilmiti. Shirley az nce ele geirdii kre:
kartn ve kimlik bilgilerini kullanarak kurbann kartndan harcama yakmaya balamt bile.
. -.,- .
r.
201
Mitnick Mesaj:
Arada bir itendi sesli mesaj kutunuzu aramay deneyin; eer size ait olmayan bir selamlama mesaj duyarsanz, hayatnmn ilk toplum mhendisiyle karlatnz demeldir.
evirileri bu dalaverede saldrgan nce irketin sesli mesaj yneticisini, geici bir sesli mesaj kutusu amas iin bir irket alan olduu
yolunda kandrd. Eer adam kimlik tespiti yapacak olsayd, kadnn
verdii adn ve telefon numarasnn irket alanlar veri tabanndaki
listelerle uyutuunu grecekti.
Geriye kalan, yalnzca bilgisayar sorunuyla ilgili geerli bir mazeret
vermek, ihtiyac olan bilgileri kar taraftan istemek ve bilgilerin sesli
mesaja braklmasn rica etmekten ibaretti. Neden bir alan baka bir
irket mensubuna yardm etmesin ki? Shirley'nin verdii numarann
dahili bir numara olduu ak bir ekilde grlrken kukulanmak iin
hibir neden yoktu.
Sekreter
Robert Jorday adndaki bilgisayar korsan kresel bir irket olan
Rudolfo Gemicilik Inc.'in bilgisayar sistemlerine dzenli olarak giriyordu.
irket, sonunda birilerinin ubirim sunucularna balandn ve bu
sunucular zerinden kullancnn irketteki herhangi bir bilgisayara girebildiini anlad. irket an korumak iin, her ubirim sunucusuna telefon hatl modem taklmasna karar verildi.
.-.
Robert, A Hizmetleri Merkezi'ni, Hukuk ileri'nden arayan bir
avukatm gibi arad ve aa balanmakta glk ektiini syledi.
Konutuu a yneticisi ona birka gvenlik sorunu yaadklarn bu yzden tm telefon balantl kullanclarn aylk parolay yneticilerinden
almas gerektiini belirtti. Robert her ayn parolasnn yneticilere nasl
aktarldn ve parolay nasl ele geirebileceini dnd. rendii
kadaryla arad yant, bir sonraki ayn parolasnn ofis postas
araclyla bir not olarak her irket yneticisine iletilmesinde yatyordu.
Bu, ileri kolaylatrmt. Robert kk bir aratrma yapt, hemen
ayn birinden sonra irketi arad ve yneticilerden birinin, adnn Janet
olduunu syledii sekreteriyle grt. "Merhaba, Janet. Ben Aratrma
ve Gelitirme'den Randy Goldstein. irket dndan ubirim sunucusuna
balanmak iin kullanlan yeni parola notunu aldma emin gibiyim ama
hibir yerde bulamyorum. Bu ayn notunu siz aldnz m?"
Evet, dedi kadn, almlard.
202
Aldatma Sanat
Mitnick Mesaj:
Becerikli toplum mhendisi, insanlar etkileyerek kendisine iyilikyapmalarm salamak konusunda ok aklldr. Bir faks alp sonra onu baka bir yere gndermek o
kadar zararsz grnr ki bir danma grevlisini ya da baka birini bunuyapmaya
Uma etmek ok kolaydr. Biri sizden bilgi talep ederek bir iyilik yapmanz istiyorsa
ve siz o kiiyi tanmyor ya da lamliini kontrol edemiyorsanz, "hayr" deyin.
Onu kendisine fakslayp fakslayamayacan sordu ve kz kabul etti.

Ona irket alannda baka bir binann danma faks numarasn verdi.
Burada fakslarn kendisi adna bekletimesi iin gerekli dzenlemeleri
oktan yapmt. Daha sonra da parola faksnn kendisine ynlendirilmesini salayacakt. Ancak bu kez Robert farkl bir faks ynlendirme yntemi kulland. Danma grevlisine bir evrimii faks
hizmetinin numarasn vermiti. Bu numaraya faks gnderdiinizde
otomatik sistem onu abonenin e-posta adresine gnderiyordu.
Yeni parola Robert'm in'deki bir cretsiz e-posta hizmetinden ald
e-posta l noktasna geldi. Faksn nereye gittii izlenecek olursa,
soruturmay yrten kii inli yetkililerle ibirlii salayabilmek iin
san ban yolacakt. Byle konularda inlilerin pek yardmc olmayacaklarn Robert biliyordu. En gzeli ise faks makinasnn banda hi
bulunmam olmasyd.
Trafik Mahkemesi
Ar hz cezas kesilen herkes herhalde cezadan syrlmann bir yolunu bulmay hayal etmitir. Ehliyet kursuna giderek, cezay deyerek ya da
yargc polis hzlerinin ya da radar cihaznn en son ne zaman bakmdan getiini deerlendirmeye ikna etmeye alarak bu i olmaz. Hayr,
en gzel senaryo sistemi ait ederek ceza makbuzundan kurtulmaktr.
Dalavere
Her ne kadar bir trafik cezasndan kurtulmak iin bu yntemi nermesem de (her zaman sylendii zere, bunu kendiniz yapmay denemeyin), toplum mhendislerinin aldatma sanatn kullanmalarna iyi bir
rnek oluturmaktadr.
Bu trafik ihlalcisinin ad Paul Durea olsun.
lk Admlar
- Los Angeles Emniyet Mdrl, Hollenbeck birimi.
- Merhaba, Celp Brosu'ndan biriyle grmek istemitim.
203
- Mahkeme celplerine ben bakyorum.

- ok iyi. Ben avukat John Leland; Meecham, Meecham ve Talbott
Avukatlk Brosu'ndan. Bir memuru bir davaya armam gerekiyor.
- Peki, hangi memuru?
- Bronuzda Memur Kendall adnda biri var m?
- Sicil numaras nedir?
- 21349
- Evet, var. Ne zaman ihtiyacnz var?
- Gelecek ay bir ara ama bu dava iin baka tanklar da davet etmem
ve sonra da mahkemeye hangi gnlerin bizim iin daha uygun
olduunu sylemem gerekiyor. Gelecek ay Memur Kendall'm msait
olabilecei gnler hangileri?
- Bakalm...Yirmisinden yirmi ne kadar tatilde ve sekiziyle on
alts arasnda da eitimde olacak.
- Teekkrler. renmek istediim buydu. Mahkeme tarihi belli
olduu zaman sizi yine ararm.
Blge Mahkemesi, Ktip Masas

Paul: Bu trafik cezas iin bir mahkeme tarihi belirlemek istiyorum.
Ktip: Tamam. Size, gelecek ayn yirmi altsn verebilirim.
-
Bir tebligat ayarlamak istiyordum.
- Trafik cezas iin tebligat m istiyorsunuz?
'
- Evet.
- Tamam. Tebligat varn sabah ya da leden sonra yapabiliriz.
Hangisini tercih edersiniz?
- leden sonra.
- Tebligat yarn leden sonra 13:30'da 6 numaral mahkeme salonunda.
- Teekkrler, orada olacam.
Blge Mahkemesi, Alt Numaral Mahkeme

Tarih: Perembe, leden sonra 13:45
Katip: Bay Durea, ltfen krsye yaklan.
Yarg: Bay Durea, bugn leden sonra size aklanan seenekleri
anladnz m?
Paul: Evet, sayn yarg.
Yarg: Trafik okuluna gitme seeneini kullanmak ister misiniz?
Sekiz saatlik bir kursu baaryla tamamladktan sonra davanz decektir. Kaytlarnz inceledim ve u anda gerekli niteliklere sahip
grnyorsunuz.
104
Aldatma Sanat
Paul: Hayr, sayn yarg. Davamn grlmesini talep ediyorum. Bir
ey daha var sayn yarg, lke dna kmam gerekiyor ama ayn
sekizinde ve dokuzunda uygun olacam. Davamn o gnlerden
birinde grlmesi mmkn olabilir mi? Yarn Avrupa'ya i gezisine
gidiyorum ve drt hafta sonra dneceim.
Yarg: Pekala. Dava 8 Haziran, sabah 08:30'de drt numaral
mahkeme salonunda grlecektir.
Paul: Teekkrler, sayn yarg.
Blge Mahkemesi, Drt Numaral Mahkeme

Paul ayn sekizinde mahkemeye erken geldi. Yarg geldiinde katip
ona polis memurlarnn gelmedii davalarn bir listesini verdi. Yarg,
aralarnda Paul'tin de olduu davallar ard ve onlara davalarnn
dtn syledi.
Polis ceza kestii zaman ceza makbuzunun zerine adn ve sicil
numarasn da yazar (ya da alt kurumda bu kiiye zg numaraya
ne ad veriliyorsa onu yazar). Grevli olduu karakolu bulmak ok kolay
olur. Bilinmeyen numaralan arayp makbuzun stnde yazan emniyet
mdrl karakolunun adn (otoyol devriyesi, blge erifi ya da herneyse) vermeniz ayanz kapdan ieri sokmanz iin yeterlidir.
Karakolu aradktan sonra, trafik cezasnn kesildii blgeyle ilgili
mahkeme celplerine bakan memura sizi ynlendirebilirler.
Emniyet mensuplar dzenli olarak mahkemelere arlrlar; bu,
yaptklar iin bir parasdr. Bir blge savcs ya da savunma avukat bir
polis memurunun tanklna ihtiya duyarsa ve sistemin nasl ilediini
biliyorsa, nce memurun ne zaman uygun olduunu renir. Bunu yapmak kolaydr, karakoldaki celp memurunu aramak yeterli olur.
ounlukla bu grmelerde avukat memurun u ve u tarihlerde
uygun olup olmadn sorar. Bu oyunu oynayabilmek iin Paui'un duruma gre davranmas, celp grevlisinin polis memurunun dolu olduu
zamanlan vermesi iin elle tutulur bir neden bulmas gerekiyordu.
Mahkeme binasna gittiinde neden Paul ktibe dorudan istedi
eyi sylemedi? Basit; anladm kadaryla ou yerde trafik mahkemesi ktipleri halkn mahkeme tarihi semesine izin vermezler. Eer ktibin nerdii br tarih kiiye uymuyorsa, ktip bir iki tarih nerisinde daha
bulunur ama daha fazlasn yapmaz. te yandan tebligatta kendir
gsterecek zaman ayrabilmi birinin ans daha yksektir.
Paul bir tebligat hakk olduunu biliyordu. Yarglarn gn taleplerine
ounlukla olumlu baktn da biliyordu. Polis memurunun eitim gnlerire
denk gelen gnleri zellikle seti. Polisin durumu gz nne alndna.-
205
Mitnick Mesaj*.
nsan akl muhteem bir eser. Biimsiz bir durumdan syrlmak ya da istediklerini elde
etmek iin dolambal yolla retmekte insanlarn ne kadar yaratc olduunu grmek
ilgin. Kamu ve zel sektrde bilgi ve bilgisayar sistemlerini korumak iin sizin de
ayn yaratcl ve hayal gcn gstermeniz gerekir. Bu yzden dostlarm, irketinizin gvenlik politikalarn olutururken yaratc olun ve olaylara dardan bakn.
eitime gitmek bir trafik mahkemesinde bulunmaktan daha nemli olacakt.

Trafik mahkemelerinde, polis memuru mahkemeye gelmezse dava
der. Ne para cezas, ne trafik okulu, ne ceza puan... hibir ey olmaz.
Daha da iyisi trafik suu kayda da gemez!
Tahminime gre baz polis yetkilileri, mahkeme grevlileri, blge
savclar ve benzeri kiiler bu yky okuyacaklar ve bu numarann
ilediini bildikleri iin balarn sallayacaklar. Ama ba sallamakla kalacaklar ve hibir ey deimeyecek. Bu konuda bahse girebilirim. 1992'de
kan Sneakers adl filmdeki Cosmo karakterinin de syledii gibi, "Her
ey ya birdir ya sfrdr", yani sonu olarak her ey bilgiye dayanyor.
Emniyet mdrl birimleri bir polis memurunun aylk programn,
arayan neredeyse herkese vermeye istekli olduklar srece trafik
cezalarndan kurtulmak her zaman mmkn olacaktr. irketinizin ya da
kurumunuzun yapt ilemlerde de akll bir toplum mhendisinin
almalarn pek de istemeyeceiniz bilgileri almak iin kullanabilecei
benzer aklar var m?
Samantba'nn ntikam
-. , ... . ..
Samantha Gregson kzgnd.

niversiteden iletme diplomas alabilmek iin ok alm ve bunu
baarmak iin bir yn renci kredisi almt. Byk paralar kazanabilecei bir kariyer sahibi olmak iin niversite diplomas gerektii her
zaman beynine kaznmt. Sonunda mezun olmu ama hibir yerde eli
yz dzgn bir i bulamamt.
Lambeck malattaki ie girebildii iin ok memnun olmutu.
Sekreterlik ii yapmak kk drc olabilirdi ama Bay Cartright onu
ie almaktan ne kadar memnun olduklarn ve u anda ie sekreterlikle
balamasnn, alacak ilk idari olmayan konuma onun gelmesini
salayacan sylemiti.
ki ay sonra Cartright'n en alttaki rn yneticilerinden birinin ayrlacan duydu. O gece gzn krpmad ve kendini beinci katta, kaps
olan bir odada, toplantlara katlp kararlar alrken hayal etti.
206
Aldatma Sanat
Ertesi sabah ilk i olarak Bay Cartright'n odasna gitti. Cartright ona,
profesyonel bir konuma gemeden nce yaptklar iin piyasasn daha
iyi renmesi gerektiini dndklerini syledi. Sonra da gidip,
piyasay ondan ok daha az tanyan irket dndan bir amatr ie
aldlar.
O zaman yava yava anlamaya balad. irkette alan pek ok
kadn vard ama neredeyse hepsi de sekreter konumundaydlar. Ona
yneticilik grevi vermeyeceklerdi. Hibir zaman.
deme
Onlara bunu nasl deteceini planlamas neredeyse bir haftasn

ald. Bir ay kadar nce yeni bir rn tantm iin bir ticaret dergisinden
gelen adam ona aslmt. Birka hafta sonra adam Samantha'y iten
aram ve Cobra 273 rnyle ilgili biraz n bilgi verebilirse ona iek
gndereceini ve gerekten ok sk bir bilgi olursa onu yemee karmak iin ikago'dan kalkp geleceini sylemiti.
Bu konumadan ksa bir sre sonra irket ana balanmaya
alan gen Bay Johannson'un yannda durmutu. Hi dnmeden
adamn parmaklarn seyretti (buna omuz gezintisi de denir). Parola
olarak "marty63" girmiti.
Plan olumaya balyordu. irkete geldikten sonra yazd bir notu
hatrlad. Dosyalarn arasnda bir kopyasn buldu ve ilkinin tarzn kullanarak yeni bir tane daha yazd. yle bir ey olmutu:
KME: C. Pelton, B Blm
'
KMDEN: L. Cartright, Gelitirme

Martin Johansson, blmmdeki bir zel projeler ekibiyle birlikte
alacaktr.
Bu nedenle kendisine, mhendislik grubunun tm sunucularna
erimek zere yetki vermi bulunuyorum. Bay Johansson'un gvenlik
profilinin bir rn gelitiricisiyle ayn haklara sahip olacak ekilde
gncellenmesi gerekecektir.
Louis Cartright
Herkes yemee ktktan sonra Bay Cartright'n imzasn ilk nottar
kesip yenisine yaptrd ve kenarlarn daksilledi. Elde ettii eyin b'~
fotokopisini ekti ve sonra fotokopinin fotokopisini ekti. mzan"
evresindeki kt kenar izleri glkle seilebiliyordu.
Bay Cartrigth'n odasnn yaknndaki makinadan faks ekti.
gn sonra mesaiye kald ve herkes gidene kadar bekle;
Johannson'un odasna girdi ve aa adamn kullanc adn ve parolas"
marty63', girerek balanmay denedi. e yarad.

Dakikalar ierisinde Cobra 273'n
rn zelliklerini ieren dosyay buldu ve
onlar sktrarak bir disketin iine kaydetti.
Serin gece esintisinde park yerine
doru yrrken disket gvenli bir ekilde
antasnda duruyordu. Disketi o gece
dergi muhabirine yollayacakt.
207
Terimler
OMUZ GEZNTS:
Klavyeye bilgi giren birini,
parolasn ya da baka kullanc bilgilerini grp almak amacyla seyretmek.
- .-. -.
Can sklm bir alan, dosyalan tarar, hzl bir kes-yaptr ve daksilleme ileminin ardndan biraz yaratc bir fotokopicilik yapar ve ardndan faks gider. Ve bingo! Gizli pazarlama ve rn bilgilerini dar karmtr.
Birka gn sonra bir ekonomi dergisi muhabiri ok yeni bir rnn
zellikleri ve pazarlama planlaryla ilgili byk bir haber patlatr. Bu
haberi ieren dergi, rnn piyasaya srlmesinden aylar nce
piyasadaki dergi abonelerinin elinde olacaktr. Rekabeti firmalar aylar
ncesinden benzer rnler gelitirmeye balayacaklar ve Cobra 273'
kstekleyecek reklam kampanyalar hazrlayacaklardr.
Doal olarak dergi hibir zaman haber kaynan aklamayacaktr.
Rekabeti bir irketin ya da bakalarnn ilerine yarayabilecek
deerli, hassas ve nemli bilgiler istendiinde, alanlar, arayan
numaraya bakmann kabul edilebilir bir kimlik tespit yntemi
olmadnn bilince olmaldrlar. Talebin geerliliinin ve arayann bu bilgiyi almaya yetkili olup olmadnn, kiinin yneticisine sorularak
dorulanmas gibi farkl kontrol yntemleri de kullanlmaldr.
Kontrol sreci her irketin kendisi iin tanmlamas gereken bir
denge unsuru ierir: Gveniik-retkenlik dengesi. Balayc gvenlik
nlemlerine hangi ncelikler tannacaktr? alanlar gvenlik ilemlerini uygulamaya direnecekler ve hatt i ykmllklerini yerine getirebilmek iin gvenlii bir kenara m brakacaklardr? alanlar gvenliin kendileri ve irketleri iin tad nemin farkndalar mdr? irket
kltrne ve ticari gereksinimlere gre gelitirilecek bir gvenlik politikasnn bu sorular yantlamas gerekmektedir.
ou insan, ilerini yapmalarn geciktiren eylere kanlmaz olarak
sknt gzyle bakar ve zaman kayb gibi grnen herhangi bir gvenlik nlemini ciddiye almayabilir. Bu ite kilit unsur, gvenliin gnlk
sorumluluklarnn bir paras olduu konusunda alanlar eitimlerle
tevik etmektir.
208
Aldatma Sanat
Arayan kimlii hizmeti, irket dndan gelen sesli aramalar tanmlamak iin hibir zaman kullanlmasa da ONT (otomatik numara tanmlaycs) yntemi kullanlabilir. Gelen tm aramalarn cretinin irket
tarafndan dendii bir cretsiz arama hizmetine abone olunursa ONT
hizmeti irkete verilir ve bu, kimlik tespiti iin gvenilir bir ara oluturur.
Arayan kimliinin aksine telefon irketi santral arayan numaray
verirken mterinin gnderdii bilgiyi kullanmaz. ONT tarafndan
aktarlan numara arayan tarafa ait fatura numarasdr.
Pek ok modem reticisinin rnlerine arayan kimlii grme zellii
eklediklerine de dikkat ediniz, bylece yalnzca nceden yetkilendirilmi
bir telefon numaras listesine uzaktan eriim hakk tanyarak irket an
korumaktadrlar. Arayan numaray tanyan modemler dk gvenlikli
bir ortamda kabul edilebilir tanmlama yntemleridir, ancak u ana kadar
da aka grlebildii zere, grnen numaray deitirmek bilgisayar
krclar iin nispeten kolay bir tekniktir ve bu nedenle yksek gvenlikli bir ortamda arayann kimliini ve arad yeri tanmlamak konusunda
gvenilir deildir.
irket telefon sisteminde bir sesli mesaj kutusu oluturmas iin sistem yneticisinin kandrld hikyedeki ekliyle kimlik hrszl olayn
zmek iin tm telefon hizmetlerinin, tm sesli mesaj kutularnn ve
gerek basl gerekse evrimii irket rehberinde geen tm numaralarn
bu ama iin hazrlanm bir form doldurularak yazl talep edilmesini
zorunlu tutun. alann yneticisi talebi imzaiamal ve sesli mesaj
yneticisi imzay kontrol etmelidir.
irket gvenlik kurallar, yeni bilgisayar hesaplarnn almasnn ya
da yetkilerin artrlmasnn sadece talepte bulunan kiinin olumlu
onaynn alnmasndan sonra gerekletirilmesini zorunlu klmaldr.
Talep onay, sistem yneticisini ya da onun yerine bakan kiiyi basl ya
da evrimii irket rehberinde geen numarasndan aramak eklinde
olabilir. Eer irket, alanlarn dijital olarak mesajlarn imzalayabildikleri gvenli e-posta sistemi kullanyorsa, bu tanmlama yntemi de
geerli bir yntem olarak kullanlabilir.
irket bilgisayar sistemlerine eriimi olsun olmasn, her alann bir
toplum mhendisi tarafndan kandrlabileceini unutmayn. Gvenlik biline
eitimlerine herkesin katlmasn salayn. dari yardmclar, danma
grevlileri, santral memurlar ve gvenlik grevlileri kendilerine yneltileble^
cek toplum mhendislii saldr tekniklerinin bilincinde olmaldrlar. Bylece
bu saldrlara kar kendilerini savunmaya hazr olabilirler.
SANAYI CASUSLUU
Devlete, irketlere ve niversite sistemlerine kar olduka youn bir
bilgi saldrs tehdidi vardr. Basn neredeyse her gn, yeni bir bilgisayar
virsnden, "hizmet ddr (denial of service)" saldrsndan ya da internetteki bir e-ticaret sitesinden kredi kart bilgilerinin alnmasndan sz
etmektedir.
--
Borland'n Symantec'i ticari srlarn almakla sulamas, Cadence

Tasarm Sistemleri'nin bir rakibini kaynak kodlarn almakla sulayarak
dava amas gibi sanayi casusluu olaylarn basnda gryoruz.
Bunlar her gn oluyor.
Br Dalavere zerine eitleme

Aadaki ykde anlatlan dalavere, her ne kadar Kstebek (The
Insider) gibi bir Hoilyvvood filminden ya da John Grisham'n bir romanndan frlam gibiyse de herhalde birok kereler baaryla uygulanmtr.
Toplu Dava
nemli bir eczaclk irketi olan Pharmomedic'e kar alm byk
bir toplu dava hayal edin. Davann konusu, irketin ok kullanlan ilalarndan birinin, ancak bir hastann ilac yllarca kullanmasyla ortaya kabilecek, ykc bir yan etkisi olduunun irket tarafndan bilinmesidir, iddiaya
gre bu tehlikenin varln gsteren eitli aratrma sonular irketin
elinde vardr ama bu kantlar saklanm ve olmas gerektii gibi FDA'ya
(Food and Drug Administration - Gda ve ila idaresi) teslim edilmemitir.
Toplu davay aan New York hukuk firmasnn bandaki yetkili
avukat VVilliam ("Billy") Chaney'in elinde iddiay destekleyen iki
Pharmomedic doktoruna ait grevden alnma belgeleri vardr. Ancak her
iki doktor da emekli olmu ve ne ellerinde dosya ya da belge vardr, ne
de gl ve ikna edici bir ekilde tanklk yapacak konumdadrlar. Billy
durumunun sallantda olduunun farkndadr. Sonu raporlarndan
birinin bir kopyasn ya da yneticiler arasnda gidip gelmi bir yazma
ya da bilgi notunu elde edemezse, dava decektir.
Bylece, daha nce de kendilerine i verdii, Andreeson ve Oullar
zel dedektiflik acentasna yeni bir ile gider. Billy, Pete ve adamlarnn
o bilgileri nasl elde ettiklerini bilmez, bilmek de istemez. Tek bildii,
Pete Andreeson'un iyi bir dedektif olduudur.
210
Aldatma Sanat
Andreeson iin bu tarz bir grev, kendisinin karanlk iler dedii trden bir itir. Birinci kural, onu tutan irketler ve hukuk firmalar hibir
zaman bilgiyi nasl elde ettiini renemeyeceklerdir ve bylece her
zaman tam ve akla yatkn bir inkr nedenleri olacaktr. Eer elini tan
altna sokacak biri varsa bu da Pete'tir ve byk ilerde ald cretlere
baklrsa bu tehlikeye girdiine deer gibi grnmektedir. Ayrca insanlar tongaya drmekten de kiisel bir zevk almaktadr.
Eer Chaney'in bulmasn istedii dosyalar gerekten varlarsa ve
imha edilmemiterse, Pharmomedic'in dosyalan arasnda bir yerlerde
olmalan gerekir. Ama onlar koca irketin dev dosya ynnn arasnda
bulmak byk bir i olacaktr. te yandan dosyalarn kopyalarn kendi
hukukularna, Jenkins ve Petry'e de vermi olabilirler. Eer savunma
avukatlar bu belgelerin varlndan haberdarlarsa ve aratrma
safhasnda onlar geri evirmedilerse, o zaman hukukuluk mesleinin
etiine aykr davranmlar ve yasalar inemilerdir. Pete'in kitabnda,
byle bir durum her saldry mubah klmaktadr.
Pete'in Saldrs
Pete adamlarndan bazlarn bu konuyu aratrmalar iin
grevlendirir ve birka gn iinde Jenkins ve Petry'nin kendi
bnyelerinde tutmadklar yedeklemelerini hangi irkette sakladklarn
renir. Ayrca saklama irketinin elinde, hukuk firmasnn bantlar almak
iin yetkilendirdii kiilere ait bir liste olduunu da renir. Bu insanlarn
her birinin kendilerine ait parolalar olduu da bilinen eyler arasndadr.
Pete, adamlarndan ikisini karanlk bir i yapmalar iin yollar.
Adamlar internette www.southord.com adresinden sipari edilebilecek
bir maymuncukla kilidi aarlar. Birka dakika iinde, sabaha kar
sularnda saklama irketinin brolarna szarlar ve bir bilgisayar aarlar.
Windows 98 logosunu grmek holarna gider, nk bu, iin ok kolay
olaca anlamna gelmektedir. Windows 98 kendini tantman gerektirmez.
Ksa bir aramadan sonra saklama irketi mterilerinden her birinin, bantlar almas iin yetkilendirdii insanlarn adlarnn bulunduu bir Microsoft
Access veritaban bulurlar. Jenkins ve Petry yetki listesine sahte bir ad
eklerler. Bu ad, adamlardan birinin bulduu sahte ehliyetlerden birindeki
adla ayndr. (Kilitli depo blgesine zorla girip mterinin istedii bantlar da
o anda bulabilirler miydi? Kesinlikle; ama o'zaman, aralarnda hukuk firmasnn da olduu tm mteriler irkete girildiini renirler ve saldrganlar stnlklerini kaybederlerdi. Profesyoneller "gerekirse" diye her zamar
gelecekte ulaabilecekleri ak bir kap brakrlar.)
Sanayi casuslarnn gelecekte kullanmak zere arka cepte tutma
uygulamasn uyarak, her ihtimale kar, yetkilendirme listesinin olduu
dosyay bir diskete kopyalarlar. Hibirinin bunun nerede ie yarayabilecei konusunda bir fikri yoktur ama bu da arada bir ie yarayan, "Hazr
gelmiken unu da alsak", trnden bir bilgidir.
211
Mitnick Mesaj;:
Deerli bilgiler ne ekilde olurlarsa olsunlar ya da nerede dururlarsa dursunlar korunmaldrlar. Bir kuruluun mteri listesi kt zerinde ya da elektronik dosya olarak ofisinizde veya bir kasada dursa da ayn deere sahiptir.
Toplum mhendisleri, evresinden en kolay dolaacaklar ve en az korunan
saldr noktasn her zaman tercih ederler. Bir irketin irket d yedekleme
bantlarn saklad yer, farkedilme ya da yakalanma tehlikesinin dk olduu
bir nokta olarak grlmt. Deerli, hassas ve nemli verilerini nc ahslara emanet eden her kurulu gizliliini korumak iin verilerini ifremelidir.
Ertesi gn adamlardan biri saklama irketini arayarak, yetki listesine
ekledikleri ad ve ada ait parolay verir. Geen aya ait tm Jenkins ve
Petry bantlarn ister ve paketi bir kurye servisinin gelip alacan syler.
kindi vaktinde bantlar Andreeson'un elindedir. Adamlar, istedikleri
zaman tarama yapacak ekilde, tm verileri kendi bilgisayar sistemlerine
aktarmlardr. Pek ok baka irket gibi, hukuk firmasnn da yedekienmi verilerini ifrelemeyle uramamas Andreeson'u memnun eder.
Bantlar ertesi gn saklama irketine teslim edilir ve kimsenin
operasyondan haberi olmaz.
Gevek fiziksel gvenlik nedeniyle, kt adamlar saklama irketinin
kilidini kolaylkla amlar, bilgisayarna ulamlar ve saklama deposuna ulamaya yetkili kiilerin listesinin bulunduu veri tabanyla
oynamlardr. Listeye bir ad eklemek sahtekrlarn, irketin saklama
deposuna zorla girmelerine gerek brakmadan istedikleri yedekleme
bantlarn elde etmelerini salamtr. ou irket, yedekleme
dosyalarn ifrelemediinden bilgi, almalar iin orada durmaktadr.
Bu olay, geerli gvenlik nlemleri almayan bir hizmet irketinin,
saldrganlarn mterisinin bilgi varlklarna ulamasn nasl kolaylatrdna bir rnek daha oluturuyor.
Yeni Orta
Toplum mhendislerinin sradan dolandrclara ve ktlara gre
bir stnl vardr, bu da uzaklktr. Bir kt, yalnzca yannzdayken
sizi kandrabilir ve eer oyuna geldiinizi yeterince erken anlarsanz, onu
iyice tarif edebilir hatt polisleri zamannda arabilirsiniz.
Toplum mhendisleri ounlukla bu tehlikeden hastalkm gibi uzak
dururlar. Ancak bazen bu tehlikeye de girmek gerekir.
212
Aldatma Sanat
Jessica'nn yks
Jessica Andover gsterili bir robotik irketinde alt iin ok

mutluydu. Yalnzca yeni nesil bir teknoloji irketiydi ve pek de iyi para
vermiyor olabilirdi ama kkt ve insanlar arkada canlsyd. Ayrca
kendisine verilen irket hisse senetlerinin her an onu zengin edebileceini bilmenin heyecan da vard. Belki irket kurucular gibi milyoner
olmazd ama yeterince zengin olurdu.
Austos'ta bir Sal sabah lobiden girdiinde Rick Daggot'un l l
glmsemesine neden olan ey de aynen buydu. Pahal grnml
takm elbisesi (Armani), ar altn kol saati (Rolex President) ve
kusursuz sa kesimiyle, lise yllarnda Jessica gibi kzlar lgna eviren
trden, erkeksi, kendi gvenen bir havaya sahipti.
"Merhaba", dedi adam. "Ben Rick Daggot. Larry'yle randevum vard."
Jessica'nn glmsemesi birden kayboldu. "Larry mi?" deyiverdi.
"Larry bu hafta tatilde."
Rick, elektronik ajandasn karp atktan sonra ona gstererek,
"Saat birde onunla randevum var. Onunla bulumak iin Louisville'den
buraya utum", dedi. Jessica ona bakt ve ban olumsuz bir ekilde iki
yana sallad. "Yirmisi" dedi. "Bu gelecek hafta." Adam avu ii bilgisayarn kendine evirip bakt. "Ah, hayr!" diye inledi. "Yaptm aptalla
inanamyorum."
"En azndan sizin iin dn biletinizi ayarlayabilir miyim?" diye
sordu kz, adam iin zlerek.
Kz telefon grmesini yaparken Rick, Larry'yle birlikte bir stratejik
pazarlama ortakl kurmay tasarladklarn itiraf etti. Rick'in irketi retim ve montaj band iin rnler retiyordu. Bu paralar yeni rnler
C2Alpha'y mkemmel bir ekilde tamamlayacakt. Rick'in rnleri ve
C2Alpha birlikte, her iki irket iin de nemli sanayi pazarlar aacagl bir zm oluturacakt.
Jessica leden sonra ge bir saate uak reservasyonunu yapma;,
bitirdiinde, Rick, "En azndan, eer buradaysa Steve'le grebilirim
dedi. Ama irketin genel mdr yardmcs ve kurucularndan biri ola"
Steve de ofis dndayd.
Jessica'ya ok iyi davranan ve biraz da aslan Rick, burada oldu.na ve leden sonra ge saatlere kadar eve dnemeyeceine gre baz
kilit kiileri le yemeine gtrmek istediini syledi. Sonra da ekle:
"Sen de tabii; le saatinde yerine bakabilecek biri var m?"
Kendisinin de aralarna katlaca dncesiyle mahcup ca
Jessica sordu, "Kimlerin gelmesini istiyorsun?" Adam, yeniden avu :
bilgisayarna bakt ve birka kiinin -AR-GE'den iki mhendisin, ye"
213
sat ve pazarlama sorumlusunun ve projeye atanan finans mdrnnadn verdi. Rick, Jessica'ya irketle olan ilikisini onlara anlatmasn
nerdi ve kendini onlara tantmak istediini syledi. Jessica'nn her
zaman gitmek istedii, evredeki en iyi lokantaya gideceklerini ve saat
12:30 iin bir masa ayrtacan da ekledi. Her eyin yolunda olup
olmadndan emin olmak iin leden nce arayacakt.
Lokantada bulutuklarnda -drd ve Jessica- masa henz hazr
deildi, bylece bara oturdular ve Rick ikileri ve yemei kendisinin
deyeceini bir kez daha vurgulad. Rick, tarz ve kalitesi olan bir
adamd. lk tantnz andan itibaren onun yannda kendinizi yllardr
tandnz birinin yannda olduunuz kadar rahat hissediyordunuz. Her
zaman ne sylemesi gerektiini iyi biliyormu gibi grnyor, sohbet
durulduunda neeli ya da komik bir yorum yapabiliyor ve onun yaknlarnda olduunuz iin kendinizi iyi hissetmenizi salyordu.
Kurmakta ok hevesli grnd ortak pazarlama zmn hepsinin gzlerinde canlandrmasna yetecek kadar, kendi irketinin rnleriyle ilgili de yeterince ayrnt anlatmt. irketinin sat yapmakta
olduu pek ok Fortune 500 irketinin adn da vermi, masadaki
herkese, fabrikadan kt andan itibaren, rnlerinin ok iyi i
yapaca hayalini kurdurmay baarmt.
Sonra Rick mhendislerden biri olan Brian'n yanna geti. Dierleri
kendi aralarnda sohbet ederlerken, Rick baz fikirlerini Brian'la zel
olarak paylat ve ondan C2Alpha'nn kendine zg nitelikleri ve onu
piyasadaki benzerlerinden neyin ayrd gibi bilgiler ald. Brian'n gurur
duyduu ve ok "sk" olduunu dnd bir iki zellii irketin nemsizmi gibi gstermeye altn da rendi.
Rick, tarzn srdrp her biriyle kk sohbetler etti. Pazarlama
sorumlusu, piyasaya srm tarihi ve pazarlama planlarndan bahsetme
olana bulduu iin mutluydu. Cebinden bir zarf kard. Malzeme ve
imalat maliyetlerinin ayrntlarn, fiyat noktas ile beklenen kr payn,
adlarn sralad satclarla ne tr anlamalar yaptn bir bir anlatt.
Masalar hazr olduunda Rick herkesle gr alveriinde bulunmu ve herkesi kendine hayran brakmt. Yemein sonunda hepsi
Rick'le tokalap teekkr ettiler. Rick her biriyle kartvizit alp verdikten
sonra, mhendis olan Brian'a Larry dner dnmez daha uzun bir
grme yapmak istediini de syledi.
Ertesi gn Brian telefonu atnda arayann Rick olduunu grmt. Rick az nce Larry'le konutuunu sylyordu. "Baz zellikleri
grmek iin Pazartesi geri geleceim", dedi. "Sizin rnle ilgili en ksa
srede bilgi sahibi olmam istiyor. En son tasarmlar ve zellikleri ona
e-postalaman istediini syledi. Bilmemi istedii ksmlar karp, bana
yollayacak."
214
Aldatma Sanat
Mhendis bunun uygun olacan syledi. "yi", diye karlk verdi

Rick. Sonra srdrd, "Larry e-postasna ulamakta bir sorun yayormu. Otelin i merkezinden kendisine bir Yahoo adresi almalarn rica
etmi. Belgeleri onun her zaman kulland e-posta adresine gndermek yerine dosyalar larryrobotics@yahoo.com adresine gndermen
gerekiyormu."
Ertesi Pazartesi sabah Larry gneten yanm ve rahatlam olarak
girdiinde Jessica ilk haberi vermek ve Rick'i ve ve anlatmak iin ok
heyecanlyd. "Ne mthi bir adam. Bazlarmz yemee gtrd, beni
bile." Larry anlamam gibi duruyordu. "Rick mi? Rick de kim ya?"
"Neden sz ediyorsun? Yeni i ortan."
"Ne!!!???"
"Sorduu sorulardan herkes ok etkilendi."
"Rick diye birini tanmyorum ..."
"Senin neyin var? aka m bu, Larry? Benimle dalga geiyorsun
deil mi?".
"Yneticileri konferans salonuna topla. Hemen imdi. Ne ileri varsa
brakp gelsinler. O gn le yemeine gelenleri de ar. Sen de dahil."
Kasvetli bir havada, pek konumadan masann evresine toplandlar. Larry ieri girip oturdu ve konumaya balad. "Rick adnda
kimseyi tanmyorum. Sizden sakladm bir i ortam da yok. Bunun
en azndan ak olduunu dnyordum. Eer aramzda aka yapmaktan holanan biri varsa, imdi ortaya kmasn istiyorum."
Hi ses kmad. Her an oda daha kararyormu gibiydi.
Sonunda Brian konutu. "Ekinde rn zellikleri ve kaynak kodu
olan e-postay sana gnderdiimde neden birey sylemedin?"
"Ne e-postas?!"
Brian gerildi. "Ah ... hayr!"
Cliff, dier mhendis, araya girdi. "Hepimize kartvizitini verdi. Tek
yapmamz gereken onu arayp neler olup bittiini renmek."
Brian avu ii bilgisayarn kard, bir bilgiye bakt ve aleti masan"
stnden kaydrarak Larry'e doru itti. mitlerini kesmeden hepsi hipnotize gibi Larry'nn telefonu eviriini seyrediyorlard. Bir an sonra telefonun hoperlrn aan dmeye bast ve hepsi megul sesini duydula'
Yirmi dakika boyunca numaray defalarca evirdikten sonra, can iyice
sklm Larry acil bir kesinti yaratmasn rica etmek iin santral arad
Biraz sonra santral yeniden hatt geldi. Meydan okur bir tonca
"Beyefendi bu numaray nereden buldunuz?" diye sordu. Larry aci e-
215
grmesi gereken bir adamn kartvizitinden aldn syledi. Santral,

"zgnm", dedi. "O bir telefon irketi test numaras. Her zaman
megul alar."
*
Larry, Rick'le paylalan bilgilerin bir listesini karmaya balad.
Grnt hi iyi deildi.
iki polis dedektifi gelip tutanak tuttular. Hikyeyi dinledikten sonra,
eyalet kanunlarna gre herhangi bir su ilenmediini ve yapabilecekleri bir ey olmadn sylediler. Larry'e FBI'la grmesini nerdiler,
nk eyaletler aras ticaretle ilgili sular onlarn yetki alanna giriyordu.
Rick Daggot kendini farkl tantarak mhendisten test sonularn gndermesini istediinde federal bir su ilemi olabilirdi ama bunu renmek iin FBI'la konumas gerekiyordu.
ay sonra Larry mutfakta oturmu, kahvalt edip gazetesini
okurken az kalsn kahvesini dkyordu. "Rick" adn ilk duyduu andan
beri olmasndan korktuu ey, en byk kbusu gereklemiti.
Ekonomi sayfasnda byk puntolarla verilen haberde, daha nce adn
hi duymad bir irketin, geen iki yldr kendi irketinin gelitirdii
C2Alpha'nm tpatp ayns gibi grnen yeni rnn piyasaya
srdn duyuruyordu.
Kandrmaca yoluyla o insanlar pazarda ne gemilerdi. Ryalar
yklmt. Aratrmaya ve gelitirmeye yatrlan milyonlarca dolar ziyan
olmutu. Ve onlara kar tek bir kant bile yoktu.
Scirtirny Sanford'un yks

Dzgn bir ite alp byk paralar kazanacak kadar akll ama bir
dolandrc olarak hayatn kazanmay tercih edecek kadar da sahtekr
bir adam olan Sammy Sanford kendini ok iyi idare ediyordu.
Zamannda iki sorunu olduu iin erken emeklilie zorlanm bir
casusun dikkatini ekmiti. Adam kzgn ve intikam doluydu ve devletin
onu uzmanlatrd yetenekleri satmann bir yolunu bulmutu. Her
zaman kullanabilecei insanlara kar gz akt ve ilk karlatklarnda Sammy'nin yeteneini grmt. Sammy bu ii kolay bulmu ve ilgi
noktasn insanlarn paralarn arpmaktan irket srlarn arpmaya
doru evirmenin olduka kazanl olduunu da grmt. Devamn
kendisinden dinleyelim:
ou insann benim yaptm ileri yapacak cesareti yoktur, insanlar telefondan ya da internet zerinden kandrmaya alrsnz ve
kimse sizi grmez. Ama eski usul, yz yze trnden iyi bir dolandrc
(ve onlardan, ortalkta dndnzden daha ok var) gznzn
iine bakp kuyruklu bir yalan syler ve siz ona inanrsnz. Bunun su
olduunu dnen bir iki savc biliyorum. Ben buna yetenek derdim.
Ama gznz kapatp ie dalamazsnz, nce ortal yoklamanz
216
Aldatma Sanat
gerekir. Sokakta tavclk yaparken dosta bir sohbetle ve dikkatle kurulmu cmlelerle adamn nabzn yoklayabilirsiniz. Doru yantlar
alrsnz ve ak!., kuu kafese alrsnz.
irket ii, byk dalavere dediimiz trden bir itir. nden hazrlk
yapmanz gerekir. Hassas noktalarnn ne olduunu, ne bilmek istediklerini, neye ihtiyalar olduunu bilmelisiniz. Bir saldr planlayn, sabrl
olun, devinizi yapn. Oynayacanz rol belirleyin ve ne syleyeceinizi iyi aln. Hazr olana kadar kaplarna gitmeyin.
Bu i iin hz kazanana kadar haftadan fazla zaman harcadm.
Mteri, "irketimin" ne yaptn ve bunun neden iyi bir pazarlama
ortakl olacan nasl anlatacam bana iki gnde retti.
Sonra ansm yaver gitti. irketi aradm ve bir giriim sermayesi irketinden aradm, bir toplant ayarlamak istediimizi syledim.
nmzdeki bir iki ay iinde tm ortaklarmzn bulunabilecei bir
zaman ayarlamaya alyorum. Uzak durmam gereken, Larry'nin
ehirde olmayaca herhangi bir zaman aral var myd acaba? Ve
kadn "evet" dedi. irketi kurduundan beri iki yldr hi tatil yapmamt;
ancak kars Austos'un ilk haftasnda onu bir golf tatiline srklyordu.
Yalnzca iki hafta sonrayd. Bekleyebilirdim.
Bu srada bir ekonomi dergisinden, irketin halkla ilikilerini yrten
firmann adn buldum. Robotik irketi mterileri iin topladklar ilginin
houma gittiini ve onlarn iini kim gryorsa kendi irketimle ilgili
olarak onunla konumak istediimi belirttim. Yeni bir mteri kazanma
fikrinden holanan cvl cvl gen bir hanm olduu ortaya kt. Pahal
bir le yemeinde, niyetlendiinden bir kadeh fazla iti ve "mterilerinin sorunlarn anlamakta ve doru halkla ilikiler zmleri bulmakta ah ne kadar iyi" olduklarna beni ikna etmek iin elinden geleni yapt,
ikna edilmesi g birini oynuyordum. Baz ayrntlara ihtiyacm vard.
Biraz drtklemenin ardndan masa temizlenene kadar bana yeni rn
ve irketin karlat sorunlar hakknda beklediimden daha ok ey
anlatmt.
.
Her ey tkr tkr yrd. Bulumann gelecek hafta olmasyla ilgili
ok mahcup olduum ama gelmiken ekiple tanabileceim yksn
danma grevlisi olduu gibi yutmutu. Hatt arada bana acmt bile
le yemei, bahi dahil, bana 150 dolara mal oldu ve istediimi
aldm. Telefon numaralar, unvanlar ve sylediim kii olduuma inanan
kilit bir mhendis.
Brian'n beni arttn itiraf etmeliyim. Ne istesem gnderecek trden bir adama benziyordu. Konuyu atmda, bir eyleri sylemiyormu gibi gelmiti. Beklenmeyeni beklemek her zaman ie yarar. Larry
adna alnm e-posta adresi, her olasla kar arka cebimde duruyordu. Yahoo gvenlik sorumlular, izleyebilmeleri iin adresi birinin kullan-
217
masn herhalde hl bekliyorlardr. Daha ok bekleyecekler. iten

gemiti. Ben yeni bir projeye atlmtm bile.
Yz yze dalavere eviren kii kendini hedefe kabul ettirebilecek bir
ekilde gstermelidir. Yarlara giderken kendini baka bir ekle
sokarken, mahallenin barna giderken baka, haval bir otelin k barna
giderken daha baka grnecektir.
Sanayi casusluunda da ayn ekildedir. Eer casus, oturmu bir firmann yneticisi, bir danman ya da sat sorumlusu klna girecekse
yapaca saldr ceket giyip kravat takmay ve pahal bir anta tamay
gerektirebilir. Bir yazlm mhendisi, teknik eleman ya da posta odasndan biri gibi davranaca baka bir ite giysiler, niforma, her ey farkl
grnmelidir.
irkete szabilmek iin kendini Rick Daggot olarak tantan kiinin irketin rn ve piyasayla ilgili ayrntl bilgiyle donanm, bir gven ve
baar grnts oluturmas gerekiyordu.
nceden bilmesi gereken bilgiyi edinmekte ok glk ekmemiti.
Genel mdrn ne zaman yerinde olmayacan renmek iin basit bir
oyun oynamt. ok zor olmasa da, biraz dikkat gerektiren konu, yaptklaryla ilgili "konuya hakim" grnecek kadar projeye ynelik bilgi
toplamakt. Bu tarz bilgiler ou zaman mal aldklar irketlerin, yatrmclarn, para toplamak iin konutuklar giriim sermayecilerinin, altklar bankann ve hukuk irketinin bildikleri eylerdi. Ancak saldrgan
dikkatli olmalyd. irket ii bilgileri paylaabilecek birini bulmak zor bir
iti ve bilgi alnabilecek birini bulmak iin iki ya da kayna yoklamak
itnick Mesaj:
Her ne kadar ou toplum mhendislii saldrs telefon ya da e-posta zerinden
gereklese de gzkara bir saldrgann iyerinizde ahsen belirmeyeceini
dnmemelisiniz. ou zaman sahtekr, Photoshop gibi kolayca bulunabilen
bir yazlm kullanarak bir personel kartnn sahtesini hazrladktan sonra irket
binasna girebilmek iin baz toplum mhendislii tekniklerini kullanr. Ya telefon irketinin test numarasnn yazl olduu kartvizitlere ne demeli? Bir zel
dedektiflik dizisi olan Rockford Dosyalar adl televizyon programnda akllca ve
elenceli saylabilecek bir teknik gsterilmiti. Aktr James Garner'n oynad
Rodford karakterinin arabasnda, gerektii hallerde uygun kart basmak iin
kulland, tanabilir bir kartvizit basma makinas vard. Bu gnlerde toplum
mhendisleri kartvizitlerini bir saat iinde bir fotokopicide bastrabilir ya da bir
lazer yazcdan kt alabilirler.
218
Aldatma Sanat
'. Souktan Gelen Casus, Son Casus ve daha pek ok dikkate

deer romann yazar olan John Le Carre, itinal, yaam boyu
dolandrclkla uram bir babann olu olarak byd. Daha Le Carre
bir ocukken, babasn bakalarn kandrmakta baarl olmasna ramen,
ahmak durumuna dp baka bir dolandrcnn kurban olduunu
rendiinde ok armt. Bu da herkesin, hatt bir toplum mhendisinin bile, baka bir toplum mhendisi tarafndan avlanabileceini bize
gsteriyor.
insanlarn oynanan oyunu farketmelerine neden olabilirdi. O taraf

tehlikeliydi. Dnyadaki Rick Daggot'lar seimlerini dikkatle yapmal ve
her bilgi patikasndan bir kez gemelidirler.
:
le yemei de baka bir zorlu giriimdi. ncelikle her eyi yle
ayarlamalyd ki, dierlerine duyurmadan herkesle birka dakika yalnz
kalabilmel'ydi. Jessica'ya 12:30 dedi ama masay saat 13:00 iin ayrtt. Yemek yiyecekleri yer, hesab irket masraflarna ekleyebileceiniz
trden, k bir lokantayd. Saat oynamasnn birer iki iin bara oturmalarn gerektireceini umuyordu, tam da byle olmutu. Tek tek
herkesin yanlarna gidip sohbet etmek iin kusursuz bir frsatt.
Yine de Rick'in bir sahtekr olduunu ortaya karacak, atabilecei
bir sr yanl adm vard. Ancak kendine fazlasyla gvenen ve kurnaz
bir sanayi casusu kendini byle bir tehlikeye maruz brakrd. Ama yllarca sokaklarda tavc olarak almak Rick'in yeteneklerini gelitirmi ve
dili srse de tm kukular yattracak kadar iyi bir ekilde olay kapatabileceine dair kendine gvenmesini salamt. Buras tm srecin
en zorlu ve en tehlikeli ksmyd ve byle bir dalavereyi evirirken duy1
duu kvan neden hzl arabalar kullanmad, gk dal (skydiving
yapmad ya da karsn aldatmadn anlamasn salamt. ini
yaparken yeterince heyecanlanyordu. Ka kii, diye merak etti, ka ki
bu kadar ansl olabilirdi ki?
Akl banda bir avu kadn ve erkein aralarna bir sahtek'
almalarnn nedeni ne olabilir? Oluan bir durumu hem aklmzla hem de
igdlerimizle tartarz. Eer anlatt hikye tutarlysa -bu, aklla yaplar
ksmdr- ve dolandrc inanlr bir grnt izdiyse ou zaman yelkerleri suya indiririz. Baarl bir dolandrcy ya da toplum mhendisini parmaklklarn arkasna denlerden ayran unsur inanlr grntdr.
Kendi kendinize sorun: Rick'in anlatt gibi bir yky asla yutrr-ayacamdan ne kadar eminim? Eer yutmayacanzdan eminseniz :
zaman kendinize birinin size byle bir numara yapmaya kalkp kakmadn sorun. Eer ikinci soruya verdiiniz yant evetse, b\olaslkla birinci sorunun doru yant da bu olacaktr.
219
Birdirbir
Size bir soru: Aadaki ykde sanayi casusluuyla ilgili bir ey
yoktur. Okurken, bakn bakalm, neden bu yky bu blmde anlattm anlayabilecek misiniz!
Harry Tardy evine dnmt ve can skknd. Askere yazlmak,
acemi birliinden atlana kadar, ok iyi bir fikir gibi gelmiti. imdi nefret
ettii bu yere geri dnm yerel yksekokulda bilgisayar dersleri alyor
ve dnyaya bir tokat patlatmann yollarn aryordu.
Sonunda bir plan yapt. Snfndaki adamlardan biriyle bir kadeh bir
ey ierlerken, herkesi kmseyen, ok bilmi bir herif olan hocalarndan ikyet ediyorlard. Birlikte adam yakacak kurnaz bir plan yaptlar.
ok kullanlan bir PDA'nn (personal digital asistant - kiisel dijital
yardmc) kaynak kodunu ele geirecekler ve irketin, kt adamn bilgisayar hocas olduunu dnecei ekilde geride iz brakarak,
hocann bilgisayarna gndereceklerdi.
Yeni arkada Kari Alexander, birka numara bildiini sylemiti ve
bu iin nasl kotarlacan Harry'ye gsterecekti. Tabii, yakalanmadan.
devlerini Yapyorlar
Yapt ilk aratrmada Harry, rnn, PDA reticisinin deniz an bir
yerdeki Genel Mdrl'ne bal Gelitirme Merkezi'nde yapldn
renmiti. Ama Birleik Devletler'de de bir Ar-Ge merkezi vard. Karl'n
sylediine gre bu iyi bir eydi, nk yaptklar iin yrmesi iin
Birleik Devletler'de de kaynak koduna ihtiya duyan bir irkete ait bir
tesis olmas gerekiyordu.
Bu noktada Harry deniz an Gelitirme Merkezi'ni aramaya hazrd.
Burada devreye kendini acndrma girecekti. "Aman tanrm, bam
dertte, yardma ihtiyacm var, ltfen, ltfen bana yardm edin." Yapacaklar acndrma doal olarak bundan daha st kapal olacakt. Kari bir
metin yazd ama Harry onu okumaya alrken sahte olduu kard
her sesten belli oluyordu. Sonu olarak sylemek istediini sohbet eder
gibi syleyebilmesi iin Karl'la oturup altlar.
Sonunda, Kari yannda otururken,
Harry'nin syledii ey aadaki gibiydi,
r
i
"Minneapolis Ar-Ge'den aryorum. |
Sunucumuza tm blm etkileyen bir [
solucan girdi, iletim sistemini yeniden |
yklememiz gerekti ve yedekleri geri j
ykleyeceimiz zaman yedeklemelerden hibirinin salam olmadn grdk.
GZIP- Bir Linux GNU

uyguamas kullanarak
dosyalarn tek bir
sktrlm dosyada
toplanmas.
220
Aldatma Sanat
HERKESE A IK FTP: FTP

(file transfer protocol dosya aktarm protokol)
kullanma hesabnz olmasa
da bir bilgisayara uzaktan
erimenizi salayan bir
programdr. Her ne kadar
herkese ak FTP'lere parolanz eriim mmknse de
genellikle belli kalsrlerin
kullanc haklar snrlandrlmtr.
Bilin bakalm yedeklerin salamln

kimin kontrol etmesi gerekiyor? Bendenizin. Bu yzden patronumdan bir araba
dolusu fra yedim ve yneticiler veri
kaybettik diye veryansn ettiler. Mmkn
olduu kadar hzl, kaynak kodu
klasrnn en son haline ihtiyacm var.
Ne kadar hzl gnderebilirseniz o kadar
iyi. Kaynak kodunu zip'leyip bana gndermenizi rica ediyorum."
Bu aamada Kari bir kda bir not

yazp verdi ve Harry telefonun dier
ucundaki adama dosyay dahil olarak
Minneapolis Ar-Ge'ye yollamasn istediini syledi. Bu nemli bir ayrntyd.
Telefonun ucundaki adam, dosyann irketin baka bir blmne gnderilmesinin istendiinden emin olunca,
rahatlamt; bunda ne terslik olabilirdi ki?
Adam dosyalar zip'leyip gndermeyi kabul etti. Kari yanndayken
Harry, byk kaynak kodunu tek bir dosyaya sdrmak iin yapmas
gerekenleri adama adm adm anlatt. Ayrca sktrlm dosyada kullanmas iin bir dosya ismi verdi: "yeniveri". Bunun eski, bozuk
dosyalarla karmamas iin gerekli olduunu da anlatt.
Bir sonraki adm Harry'nin anlamas iin Karl'n iki kere anlatmas
gerekmiti ama Karl'n hayalini kurduu kk birdirbir oyunu iin bu
nemliydi. Harry Minneapolis Ar-Ge'yi arayacak ve oradaki birine yle
diyecekti: "Size bir dosya gndermek istiyorum ve sonra bu dosyay benim
iin baka bir yere gndermenizi rica ediyorum." Bu talep doal olarak
kulaa akla yatkn gelen her trl nedenle sslenip pslenmiti. Harry'nin
kafasn kartran ey uydu: "Size bir dosya gndereceim", demesi
gerekiyordu ancak dosyay gnderecek kii kendisi deildi. Ar-Ge
blmnde konutuu adamn dosyann kendisinden geldiini dnmesini istiyordu. Aslnda merkeze gelecek dosya Avrupa'dan gelen tescilli kaynak kodu dosyasyd. "Baka bir ktadan gelen bir ey iin neden ben
gnderdim diyorum?" Harry bunun nedenini bilmek istiyordu.
"Ar-Ge Merkezi'ndeki adam kilit kii", diye aklad Kar!.
i
"Amerika'daki bir baka alana bir iyilik yaptn dnyor olmas
gerek, senden bir dosya alacak sonra senin iin o dosyay baka birine
iletecek."
Harry sonunda anlamt. Ar-Ge Merkezini arad, BilgisayaMerkezi'yle grmek istediini syledi, orada da bir bilgisayar ileimeniyle konumak istedi. Sesi Harry kadar gen gelen biri kt telefona
Harry ona "merhaba" dedi ve irketin Chicago retim blmnde"
221
aradn ve birlikte bir projede altklar bir dosyay ortaklarndan

birine gndermeye altm aMad. "Ancak", dedi ve ekledi, "Ynlendiricide bir sorun var ve onlarn ana ulaamyor. Dosyay size gndermek istiyorum. Dosyay gnderdikten sonra sizi arayp onu ortan bilgisayarna aktarmanz iin gerekli admlar anlatrm."
imdilik her ey yolundayd. Sonra Harry adama bilgisayar
merkezinin herkese ak bir FTP hesabnn olup olmadn sordu. Bu,
bir dizine dosya yklemek ya da bir dizinden dosya almak iin kullanlan
parolasz bir kurulumdu. Evet, herkese ak FTP vard ve adam oraya
ulamak iin gerekli olan P adresini Harry'e verdi.
Eldeki bu bilgilerle Harry denizar Gelitirme Merkezi'ni yine arad.
Sktrlm dosya hazrd ve Harry herkese ak FTP sitesine dosyay
aktarmak iin gerekli aklamalar yapt. Be dakikadan ksa bir sre
iinde sktrlm kaynak kodu dosyas Ar-Ge Merkezi'ndeki ocua
gnderilmiti..
Kurban Tuzaa Drmek

Hedeflerine giden yolu yarlamlard. imdi, devam etmeden nce
dosyann geldiinden emin olmak iin Harry ve Karl'n beklemeleri
gerekiyordu. Beklerken, odann dier tarafnda duran, hocann masasna gittiler ve atlmas gereken iki nemli admla ilgilendiler, ilk adm bu
makinada da bir herkese ak FTP sunucusu oluturmakt, bylece
oyunlarnn son ayanda dosyann gelebilecei bir yer olacakt.
ikinci adm zorlu olabiliecek bir soruna zm bulmaya ynelikti. Ar-Ge
Merkezi'ndeki adamdan dosyay warren@rms.ca.edu gibi bir adrese
gndermelerini akas isteyemezlerdi. Alan adnn ".edu" olmas
byk bir ak vermek demekti. Yar uyank bir bilgisayarc bile bunun
bir okulun adresini olduunu anlar, annda tm harekt sona erdirirdi.
Bundan kanmak iin hocann bilgisayarndaki VVndovvs'a girdiler ve
dosyann gnderilecei adres olarak verecekleri makinann P
numarasna baktlar.
O srada Ar-Ge Merkezi'ndeki bilgisayar iletmenini arama zaman
gelmiti. Harry telefonla ona ulat ve, "Sz ettiim dosyay az nce
gnderdim. Gelip gelmediine bir bakabilir misin?" diye sordu. Evet,
gelmiti. Harry dosyay baka bir yere iletmesini rica etti ve ona P
adresini verdi. Gen adam balanty kurup dosyay gndermeye
balayana kadar telefonda bekledi ve hocann bilgisayarndaki -dosyay
almakla megul- sabit srcnn yanp snmeye balaynca
ikisinin de suratnda kocaman birer glmseme belirdi.
Harry ve adam, bir gn bilgisayarlarn ve ara birimlerinin nasl daha
gvenilir olacayla ilgili biraz sohbet ettiler ve sonra Harry teekkr
ederek veda etti.
222
Aldatma Sanat
kisi, dosyay hocann bilgisayarndan bir ift diskete kopyaladlar.

Daha sonra bakmak iin her biri birer kopya almt, doya doya bakabilecein bir tabloyu mzeden alp kimseye birey syleyememek gibi
bir eydi bu. Ancak bu durumda daha ok onlar gerek tablonun birer
kopyasn alm gibiydiler ve gerek olan hl mzede duruyordu.
Sonra Kari, Harry'e hocann makinasndan FTP sunucusunu kaldrmann admlarn ve yaptklarndan geriye birey kalmamas iin
denetleme izlerini nasl sileceini anlatt. Geriye bir tek, kolayca bulunabilecek bir yerde duran alnt bir dosya kalmt.
Son bir adm olarak kaynak kodunun bir parasn dorudan
hocann bilgisayarndan Usenet'e koydular. Yalnzca kk bir parayd, bylece irkete byk bir zarar vermemi olacaklar ama hocaya
kadar takip edilebilecek ak izler brakm olacaklard. Adam baz eyleri aklamakta ok zorlanacakt.
Bu dalaverenin yrmesi iin birka unsur bir araya getirilmi olsa
da kendini andrp yardm isteyen -patronumdan fra yedim, yneticiler veryansn ettiler, gibi- iyi bir rol yapma olmadan bu i baarlamazd.
Bu ve telefonun dier ucundaki adama sorunu nasl zeceini anlatan
ayrntl bir aklama olduka inandrc bir dalavere olarak kendini gsterdi. Bu noktada ve pek ok baka zamanda da ie yaramt.
ikinci nemli nokta, dosyann deerini anlayacak adamdan dosyay
irket ii bir adrese gndermesini istemilerdi.
Bulmacann nc paras ise bilgisayar iletmeninin dosyann irket iinden gnderildiini grmesiydi. Bu da yalnzca, dosyay ona gnderen adamn eer d a balants alyor olsayd bunu kendisinin
de gnderebilecei anlamna gelebilirdi ya da en azndan yle gibi
grnrd. Dosyay onun adna gndermekte ne gibi bir saknca olabilirdi ki?
Sktrlm dosyaya farkl bir ad verilmesine ne dersiniz? Kk
gibi grnse de nemli bir ayrnt. Saldrgan, dosyann iinde bir kaynak
kod olduunu gsteren ya da rnle ilgili bir adla grlmesi riskini gze
alamazd. Byle bir ada sahip bir dosyay irket dna gnderme talebi
alarm zillerini aldrabilirdi. Dosyann zararsz grnml bir adla
Mitnick Mesaj:
Her alann beynine kaznm temel bir kural olmaldr: Ynetimin onay
olmad srece, gndereceiniz yer irketinizin dahil andaym gibi
gzlcse de, ahsen tanmadnz kiilere dosya gndermeyin.
223
yeniden adlandrlmas nemliydi. Saldrganlarn da ngrd zere

ikinci gen adamn dosyay irket dna gndermekle ilgili hibir ekincesi olmad. Bilginin gerekte ne olduuyla ilgili hibir ipucu vermeyen
"yeniveri" gibi bir ad olan bir dosya zaten onu pek kukulandrmazd.
Sonu olarak bu yknn sanayi casusluuyla ilgili bir blmde ne
aradn zebildiniz mi? zemediyseniz, ite yant: Bu iki rencinin
haince bir aka olarak yaptklar ey, rakip bir firmann ya da yabanc bir
lkenin tuttuu profesyonel bir sanayi casusu tarafndan kolaylkla
yaplabilirdi. Her koulda da irketin zarar korkun olur, rakip firmann
rn piyasaya kt zaman yeni rnlerinin satlarna ciddi bir darbe
vurulmu olurdu.
Benzer bir saldr sizin irketinize kar kolayca gerekletirilebilir mi?
Uzun sredir irketlere sorun oluturan sanayi casusluu, Souk
Sava'n da sona ermesiyle cret karl irket srlarn ele geirmeye
odaklanm geleneksel casuslarn ekmek kaps oldu. Yabanc
hkmetler ve irketler serbest alan sanayi casuslarn bilgi almalar
iin tutuyorlar. Yerel irketler de, rekabeti bilgiler elde etme abalarnda izgiyi aan bilgi simsarlarna bavuruyorlar. ou zaman eski
asker casuslar, kurulular kolaylkla smrmek iin gerekli n bilgiye
ve deneyime sahip endstriyel bilgi simsarlarna dnyorlard. zellikle bilgilerini korumak ve alanlarn eitmek konusunda gerekli
nlemleri almay baaramam kurulular balca hedeflerdi.
Gvenli Saklama irketi ..

Bilgilerini farkl bir yerde tutan bir irketin yaad sorunlara ne zm
getirebilirdi? irket, verilerini ifrelemi olsayd buradaki tehlike
nlenebilirdi. Evet, ifreleme daha fazla zaman ve harcama gerektirir ama
harcanan abalara deer. ifreli dosyalarn ifreleme/deifreleme sistemlerinin dzgn alp almad dzenli olarak kontrol edilmelidir.
Her zaman ifre anahtarnn kaybolmas ya da anahtar bilen tek
kiiye otobs arpmas gibi tehlikeler vardr. Ama yaanabilecek can
sknts, bu ekilde asgar dzeye indirilir ve hassas bilgilerini kendi
bnyesi dnda ticar bir firmada tutan ve ifreleme kullanmayan herhangi biri, ak szllm balayn ama, salaktr. Kt bir
mahallede cebinizden yirmi dolarlk banknotlar sarktarak yrmek,
esasen soyulmaya davetiye karmak gibi bir eydir.
Yedekleme ortamlarn birilerinin alp gtrebilecei bir yerde brakmak sk grlen bir gvenlik adr. Yllar nce mteri bilgilerini korumak iin daha iyi nlemler alabilecek bir irkette alyordum.
224
Aldatma Sanat
Yedekleme sorumlular irketin yedekleme bantlarn her gn bir

kuryenin gelip almas iin kilitli bilgisayar odasnn dna brakyorlard.
Herhangi biri, irketin ifrelenmemi metinler ieren tm belgelerinin
bulunduu bu bantlar alp gidebilirdi. Eer yedekleme verileri ifrelenmi olsalard, malzeme kayb sadece biraz ba artrd. Eer ifrelenmemi olsalard; irket stndeki byle bir etkiyi benden daha iyi
gznzde canlandrabilirsiniz.
Byk irketler iin, verileri bnyeleri dnda saklama gereksinimi
kanlmazdr. Ancak irketinizin gvenlik srelerinin arasnda, saklama irketinin kendi gvenlik kurallar ve uygulamalar konusunda ne
kadar saduyulu davrandn kontrol etme zorunluluu da olmaldr.
Eer sizin irketiniz kadar kararl deillerse, tm gvenlik abalarnz
boa gidebilir.
Kk irketlerin yedekleme iin iyi bir seenekleri daha vardr. Yeni
ve deitirilmi dosyalarn her gece evrimii saklama ortam sunan irketlerden birine gnderebilirler. Yine verilerin ifrelenmesi nemlidir.
Aksi durumda bilgiler, yoldan km bir saklama irketi alannn
yansra evrimii saklama irketinin bilgisayar sistemlerine ya da ana
girebilecek her bilgisayar korsanna da ak olur.
Tabii ki, yedekleme dosyalarnzn gvenliini korumak iin bir
ifreleme sistemi kurduunuz gibi, ifre anahtarlarn ya da parolalar
saklamak iin de stn bir gvenlik sreci oluturmanz gerekmektedir.
Verileri ifrelemek iin kullanlan anahtarlar bir kasada ya da kilit altnda
tutulmaldr. Sradan irket uygulamalar bu verilerle ilgilenen alann
aniden ayrlabilecei, lebilecei ya da baka bir ie geebilecei
olaslklarna kar alnacak nlemleri de kapsamaldr. Saklama yerini
ve ifreleme/deifreleme admlarnn yansra anahtarlarn nasl
deitirildiiyle ilgili kurallar da bilen her zaman en az iki kii olmaldr.
Kurallar ayrca ifreleme anahtarlarna eriimi olan alann ayrlmas
durumunda ifrelerin hemen deitirilmesini de zorunlu klmaldr.
O Da Kim?
Bu blmde anlatlan, bilgi paylamalar iin alanlar kandrmak
amacyla etkileyiciliini kullanan kurnaz dolandrc rnei, kimlik tespitinin nemini bir kez daha vurgular. Kaynak kodunun bir FTP sitesine
ynlendirilmesi talebi de talep sahibini tanmann nemine iaret eder.
On altnc blmde, bilgi ya da bir ilemin yaplmas talebiyle gelen
herhangi bir yabancnn kimlik tespitini yapmak iin belirli kurallar bulacaksnz. Kimlik tespitinin neminden kitabn her yerinde sz ettik; 16
blmde bunun nasl yaplmas gerektiinin ayrntlarn greceksiniz.
tam
VhsEltmeln
'5
BLG GVENLNN ON!

BLMEK VE ETM
Birtoplum mhendisine, iki ay iinde piyasaya karacanz ok sk

yeni rnnzn planlarn ele geirme grevi verilmi. Onu ne durduracak?
Gvenlik duvarnz m? Hayr.
Gl kimlik tespit cihazlar m? Hayr.
Hrsz uyar sistemleri mi? Hayr.
ifreleme mi? Hayr.
Telefon hatt kullanan aramal modemler iin snrl numara kullanm
m? Hayr.
Dardan birinin hangi sunucunun rn planlarn ierdiini bulmasn zorlatrmak iin sunuculara ifreli adlar vermek mi? Hayr.
Gerek u ki, dnyada bir toplum mhendislii saldrsn engelleyebilecek bir teknoloji yok.
Teknoloji, Eitim v@ Sreler

zerine Gvenlik
Gvenlik delme testleri yapan irketlerin raporlarna gre toplum
mhendislii yntemleri kullanlarak mteri irketin bilgisayar sistemlerine girme denemeleri neredeyse yzde 100 baarl oluyor. Gvenlik
teknolojileri insanlar karar verme srecinin dnda tutarak bu tarz
saldrlar daha gletiriyor. Ancak toplum mhendislii tehdidini azaltmann aslnda en etkili yolu, gvenlik teknolojileriyle birlikte, alan
davranlarna ve alnacak eitimlere baz temel artlar getiren gvenlik
srelerinin ortak kullanmndan gemektedir.
rn planlarn korumann yalnzca tek bir yolu vardr ve bu da eitimli, bilinli ve saduyulu bir i gcdr. Bunlar, sreler ve kurallar konusundaki eitimlerin yan sra -belki de daha nemli olan- srekli bir bilinlilik
program da ierir. Baz yetkililer bir irketin toplam gvenlik btesinin
yzde 40'nn bilinUik eitimlerine ayrlmasn nermektedirler.
ilk adm, psikolojik olarak onlar etkilemek isteyecek tekinsiz insanlarn bulunduuna dair, kurulutaki herkesi bilinlendirmektir. alanlar
228
Aldatma Sanat
hangi bilgilerin korunmas gerektii ve bunlarn nasl korunaca

konusunda eitilmelidirler, insanlarn nasl etki altnda kalabilecekleriyle
ilgili bilgileri olursa, gelimekte olan bir saldry grebilmek iin ok
daha iyi bir konumda olacaklardr.
Gvenlik bilinci, ayn zamanda irketteki herkesi irket gvenlik
kurallar ve sreleriyle ilgili olarak eitmek anlamna da gelir. 17.
blmde de anlatld gibi, politikalar, irket bilgi sistemlerini ve hassas
bilgileri koruma dorultusunda, alan davranlarn ynlendirmesi iin
hazrlanm nemli kurallardr.
Bu blm ve bir sonraki, sizi maliyetli olabilecek saldrlardan
koruyabilecek bir gvenlik tasarm ortaya koymaktadr. Eer iyi
dnlm sreleri takip eden, eitimli ve dikkatli alanlarnz yoksa
bu i olaslk olmaktan kp deerli bilgilerinizi ne zaman bir toplum
mhendisine kaptracanz ekline brnerek kesinlik kazanr. Bu
kurallar yerletirmeden nce bir saldrnn gereklemesini beklemeyin,
iinizin ve alanlarnzn rahatl asndan bu ok ykc olabilir.
Saldrganlarn nsan Yaradlndan

Nasl Faydalandklarnn Anlalmas
Baarl bir eitim program gelitirmek iin, ncelikle insanlarn
neden saldrlara kar ak olduunu anlamanz gerekir. Eitimlerinizde
bu eilimleri tanmlayarak -rnein rol yapma grmelerinde dikkati
buna ekebilirsiniz- neden hepimizin toplum mhendislerinin etkisi altnda kalabileceimizi anlamalar iin alanlarnza yardmc olabilirsiniz.
Etkileme, toplum bilimcilerin en azndan elli yldr zerinde altklar bir konudur. Robert B. Cialdini, Scientific American'da (ubat 2001)
aratrmasn zetleyerek, bir istee olumlu yant alma giriiminde kullanlan "insan yaradlnn alt eilimi"ni sundu.
Bu alt eilim, toplum mhendislerinin (bazen bilinli, ou zaman da
bilinsiz olarak) etkileme denemelerini dayandrdklar eilimlerle
ayndr.
Yetki
'
Yetkili biri bir talepte bulunduu zaman insanlarn bu talebi yerir;

getirme eilimi vardr. Bu sayfalarda daha nce de sz edildii zere, c "
kii, talepte bulunan kiinin yetkili olduuna ya da byle bir talep:?
bulunabilmek iin yetkilendirilmi olduuna inanrsa istei yerine get"meye ikna edilebilir.
Dr. Cialdini "Etki" adl kitabnda ABD'nin orta bat kesimindeki hastanede yaplan bir aratrmay yazmaktadr. Yirmi iki ayr hemire k e ^ ; -
Bilgi Gvenliinin nemini Bilmek ve Eitim
229
ni hastane doktorlarndan biri olarak tantan biri tarafndan aranr ve

kendilerine koutaki bir hastaya bir ila vermeleri konusunda talimatlar
verilir. Bu talimatlar alan hemireler arayan tanmyorlardr ve gerek bir
doktor olup olmadn (ki deildir) bilmiyorlardr. lala ilgili talimat telefonla verilmektedir ve bu da hastane kurallarna aykrdr. Ayrca verilmesi istenen ilacn koularda kullanlmasna izin verilmemektedir ve uygulanmas istenen doz gnlk dozun iki katdr. Bu yzden hastann
yaamn tehlikeye atma olasl vardr. Ancak olaylarn yzde 95'inde
Cialdini'nin anlattna gre "hemire, kou ila dolabndan istenen
dozu alr ve ilac vermek zere hastann odasna doru giderken", bir
gzlemci tarafndan durdurulur ve kendisine deneyden bahsedilir.
Saldn rnekleri: Bir toplum mhendisi, bgi-ilem biriminden aradm ya da ynetici olduunu veya bir irket yneticisinin yanndan aradn syleyerek kendini yetkili biriymi
gibi gstermeye alr.
Sevme
stekte bulunan kii kendini sevimli ya da kurbanla ortak ilgi alanlar,
inanlar ve tavrlar olan biri olarak gsterebilirse, insanlarda istei yerine getirme eilimi ortaya kar.
Saldr rnekleri: Sohbet araclyla saldrgan, kurbann bir
hobisini ya da ilgi alann renmeyi baarr ve ayn hobi ya da
ilgi alanna benzer bir ilgi ve hayranlk duyduunu syler. Ayn
eyaletten ya da ayn okuldan olduklarn veya benzer hedefleri
paylatklarn iddia edebilir. Toplum mhendisi, benzerlik
grntsn yaratabilmek iin hedefinin davranlarn taklit
etme yoluna da gidecektir.
Karlk Bekleme
Bize deerli bir ey verilir ya da verilecei taahdnde bulunulursa
hi dnmeden istei yerine getiririz. Armaan, bir maddi cisim, tavsiye
ya da yardm olabilir. Biri sizin iin bir ey yapt zaman, karlk verme
eilimi hissedersiniz. Bu karlk vermeye ynelik gl eilim armaan
alacak olan kiinin onu talep etmedii durumlarda bile kendini gsterir,
insanlar bize bir "iyilik" yapmalar (isteimizi yerine getirmeleri)
konusunda etkilemenin en etkili yollarndan biri ona bir hediye vererek ya
da yardm ederek bir zorunluluk duymalarn salamaktr.
Hare Krina dini tarikatnn yeleri, nce insanlara hediye olarak bir
kitap ya da iek vererek insanlar amalar iin bata bulunmalar
konusunda etkilemekte ok baarldrlar. Eer kii, hediyeyi geri vermeyi denerse, veren kii, "O bizim size armaanmz", diyerek geri
evirir. Karlk vermeye ynelik davransal kural Krinalar tarafndan
balar byk lde artrmak iin kullanlmtr.
230
Aldatma Sanat
Saldr rnekleri: Bir alan, B biriminden aradn syleyen
birinden bir telefon alr. Arayan, baz irket bilgisayarlarna
virs koruma yazlmnn tanmad, bilgisayardaki tm
dosyalan yok edebilecek bir virs bulatn ve oluabilecek
sorunlar engellemek iin baz yntemleri anlatmak istediini
syler. Bunun ardndan arayan kiinin yeni gncellenmi ve kullanclarm parolalarn deitirebilmelerini salayan bir yazlm
denemesini rica eder. alan geri evirmekte isteksiz kalr,
nk arayan az nce onu gya bir virsten koruyarak yardm
etmitir. Arayann isteini yerine getirerek karlk verir.
Herkesin iinde bir amaca destek ya da bir sz verdikten sonra

insanlarn isteklerini yerine getirme eilimleri depreir. Bir kez bireyi
yapacamza dair bir sz verdik mi, gvenilmeyen ya da istenmeyen
biri olarak grnmek istemeyiz ve verdiimiz szle ya da yaptmz
aklamayla ters dmemek iin ii tamamlama eilimine gireriz.
Saldr rnei: Saldrgan, iinde yeni saylabilecek bir alanla
balant kurar ve irketin bilgi sistemlerini kullanmasna izin
verilebilmesinin bir art olarak belirli gvenlik kurallarna ve
srelerine uymas gerektiini hatrlatr. Birka gvenlik uygula- .
masndan sz ettikten sonra arayan, kullancdan, tahmin etmesi
g bir parola seilmesi kural uyarnca "uyumluluk kontrol"
iin parolasn sylemesini ister. Kullanc parolasn akladktan sonra arayan gelecekte parolalar yle bir yntemle oluturmasn nerir ki bylece saldrgan parolay tahmin edebilecektir.
Kurban, irket kurallarna uymak zere daha nce verdii taahht dorultusunda ve arayann yalnzca kurallara uyulup uyulmadn kontrol ettii varsaymyla istei yerine getirir.
Toplum inde Kabul Grme
'
nsanlar, davranlarnn bakalarnn davranlaryla ayn olduunu

bilirlerse istekleri yerine getirme eilimleri daha da artar. Bakalarnn
hareketleri, sz konusu davrann doru ve yerinde bir hareket olduunun onay olarak grlr.
Saldr rnei: Arayan, bir aratrma yaptm anlatr ve birimde kendisine yardmc olduunu iddia ettii dier insanlarn
adlarn verir. Kurban dierlerinin katlmnn, istein geerliliini gsterdiini dnerek yardmc olmay kabul eder.
Arayan, aralarnda kurbann bilgisayar kullanc adn ve parolasn aklamaya ynelten sorularn da bulunduu bir dizi soru
231
Aranan nesnenin miktar azsa ve onu elde etmek iin bir rekabet
varsa ya da yalnzca ksa bir sre iin orada olacaksa insanlar istekleri
yerine getirme eilimine girerler.
Saldr rnei: Saldrgan, irketin yeni internet sitesine kayt
olan ilk 500 kiinin en yeni filmlere bedava bilet kazanacan
syleyen e-postalar yollar. Hibir eyin farknda olmayan bir
alan, siteye kaydolurken ondan irket e-posta adresi ve bir
parola semesi istenir. Pek ok insann, kolaylk olsun diye, kullandklar her bilgisayar sisteminde ayn ya da benzer parolalar
kullanma eilimi vardr. Saldrgan bundan yararlanarak internet
sitesi kayt ilemlerinde girilen kullanc ad ve parolay kullanp
hedefin ev ya da i bilgisayar sistemlerine girmeye alr.
Eitim ve Bilinlendirme
Programlar Hazrlamak
Bir gvenlik kurallar kitap karmak ya da alanlar gvenlik
kurallarn ayrntl olarak anlatan bir intranet sayfasna ynlendirmek
riski tek bana azaltmaz. Her iletme yalnzca kurallar yazl olarak
belirlemekle kalmamal, ayn zamanda irket bilgi ya da bilgisayar sistemleriyle alan herkesi kurallar renmeye ve uygulamaya ynlendirmek iin gerekli abay da gstermelidir. Ayrca, insanlarn kolaylk
olsun diye kuraln etrafndan dolamamalar iin, her kuraln altnda
yatan nedenlerin herkes tarafndan anlaldndan emin olmalsnz.
Aksi halde bilgisizlik her zaman alann bahanesi olur ve toplum
mhendisleri bu a hep smrrler.
Herhangi bir gvenlik bilinlendirme programnn temel amac, kuruluun bilgi varlklarn korumak iin her alann katkda bulunmasn
tevik edip, insanlarn davran ve tavrlarn deitirmek amacyla onlar
etkilemektir. Bu noktada en byk tevik edici unsur, katklarnn yalnzca irkete deil ayn zamanda tek tek her alana getirecei kazantan
sz etmek olacaktr. irket her alanla ilgili belli zel bilgilere sahip
olduuna gre, alanlar bilgi ve bilgi sistemlerini korumak iin paylarna deni yaptklarnda, aslnda kendi bilgilerini de koruyor olacaklardr.
Bir gvenlik eitim program byk bir destee ihtiya duyar. Eitim
giriiminin hassas bilgilere ya da irket bilgisayar sistemlerine eriimi
olan herkese ulamas, srekli olmas ve alanlar yeni tehditlere ve
aklara kar uyarabilmek iin dzenli olarak gncellenmesi gerekir.
alanlar, st ynetimin programa tamamen bal olduunu grmelidirler. Bu ballk gerek bir ballk olmaldr ve sadece mhrl bir
"Tam destek veriyoruz", notundan ibaret olmamaldr. Program, onu
232
Aldatma Sanat
gelitirmeye, duyurmaya, denemeye ve baarsn lmeye yetecek

kadar da kaynaa sahip olmaldr.
Hedefler
Bir bilgi gvenlii eitimi ve bilinlendirme programnn gelitirilmesinde aklda tutulmas gereken en nemli yol gsterici, programn
irketlerinin her an bir saldrya urayabilecei bilincini tm alanlarda
uyandrmaya odaklanmas olmaldr. Bilgisayar sistemlerine girmeye ya
da hassas bilgileri almaya ynelik giriimlere kar yaplan her savunmada alanlarn tmnn birer rol olduunu renmeleri arttr.
Bilgi gvenliinin pek ok ekli teknoloji ierdii iin, alanlarn,
sorunun gvenlik duvarlar ve dier gvenlik teknolojileriyle
zldn dnmeleri ok kolaydr. Eitimin balca hedeflerinden
biri, her alann, kuruluun genel gvenliinin en n saflarnda durduunun farkna varmasn salamak olmaldr.
Gvenlik eitimlerinin kurallar aktarmaktan te daha nemli bir
amac olmaldr. Eitim program tasarmcs, ilerini bitirme basksyla
gvenlik ykmllklerini uygulamama ya da gz ard etme eklinde
grlen, alan tarafndaki gl tahrikleri grebilmelidir. Toplum
mhendislii taktikleriyle ilgili bilgi ve saldrlara kar nasl savunma
yaplaca nemlidir ama bu sadece eitim arlkl olarak alanlar
bilgiyi kullanmaya tevik etmek zere tasarlanmsa ie yarar.
Eer eitimi tamamlayan herkes, bilgi gvenliinin iinin bir paras
olduu gereine inanm ve harekete gemise irket o zaman programnn ana hedefine ulatn varsayabilir.
alanlar, toplum mhendislii saldrlar tehdidinin gerek
olduunu ve ciddi bir hassas bilgi kaybnn irketi olduu kadar kendi
kiisel bilgilerini ve ilerini de tehlikeye sokabileceini kabul edip anlamaldrlar, iteki bilgi gvenlii konusunda dikkatsiz davranmakla, ATM
ya da kredi kart numaras konusunda dikkatsiz davranmak bir bakma
ayndr. Gvenlik uygulamalar konusunda istek uyandrmak iin bu ok
yerinde bir benzetme olabilir.
Eitim ve Bilinlendirme
Programn Oluturmak
Bilgi gvenlii programn tasarlamakla ykml kii bunun tek
beden bir proje olmadn bilmelidir. Eitim daha ok irket iindeki
farkl gruplarn belirli gereksinimlerini karlayacak ekilde tasarlanmaldr. 16. blmde d erevesi verilen gvenlik kurallarnn ou
tm alanlar iin uygun olsa da, dier pek oklar da zgndr. Er.
azndan ou irket u belirgin gruplar iin eitim programlarna ihtiya
233
I zgn bir program gelitirmek iin yeterli kayna olmayan

iletmeler iin gvenlik bilinlendirme eitimi hizmeti veren pek ok eitim
irketi bulunmaktadr. Gvenli Dnya Fuar (www.secureworldexpo.com)
gibi fuarlar bu irketlerin bir araya gelme yerleridir.
duyacaktr: Yneticiler, bilgi-ilem personeli, bilgisayar kullanclar,
teknik olmayan personel, idar yardmclar, danma grevlileri ve gvenlik grevlileri (16. blmde grevlere gre kural dalmna baknz.).
Bir irketin gvenlik grevlileri, bilgisayar konusunda bilgilerinin
olmas beklenmedii iin ve belki ok snrl kullanmlar dnda, irket
bilgisayarlaryla har neir olmadklarndan, bu tarz eitimler gelitirilirken gz nne alnmazlar. Ancak toplum mhendisleri gvenlik
grevlilerini ya da baka insanlar binaya ya da ofise girmelerine izin
vermeleri iin ya da bilgisayar gvenlik ihlallerine neden olacak bir
davranta bulunmalar dorultusunda kandrabilirler. Her ne kadar
gvenlik gleri bilgisayarla alan personele verilen eitimin tmn
almak zorunda deilse de gvenlik bilinlendirme programlarnda da
gz ard edilmemelidir.
dnyasnda, tm alanlarn eitilmesinin gerektii ve gvenlik
kadar herhalde ayn anda hem nemli hem de skc ok az konu vardr,
iyi tasarlanm gvenlik eitimi programlar, renenlerin hem ilgisini
ekmeli hem de onlar heveslendirmelidir.
Ama, bilgi gvenlii bilinlendirme eitimlerini ekici ve karlkl
etkileimli yapmak olmaldr. Kullanlabilecek yntemler arasnda,
toplum mhendislii tekniklerini rol yapma oyunlaryla gstermek; daha
az ansl olan dier iletmelere yakn zamanda yaplan saldrlarla ilgili
basn haberlerini incelemek ve irketlerin kayplar nleme yollarn
tartmak ya da ayn anda hem elenceli hem de eitici olmas asndan gvenlik videolarn gstermek olabilir. Videolar ve ilgili malzemeleri
pazarlayan pek ok gvenlik bilinlendirme irketi bulunmaktadr.
Bu kitaptaki ykler, tehlikeye kar uyarmak ve insan
davranlarnn aklarn gstermek amacyla toplum mhendislii
teknik ve yntemleriyle ilgili pek ok bilgi sunmaktadr. Oradaki senaryolar, rol yapma faaliyetlerine temel olacak ekilde kullanabilirsiniz.
ykler ayn zamanda, saldrnn baarl olmasn engellemek iin kurbanlarn nasl davranmas gerektiiyle ilgili renkli tartmalar yapabilme
frsat da sunmaktadr.
Becerikli bir program gelitiricisi ve becerikli eiticiler, snfn
havasn canl tutmak ve bu srada insanlar zmn paras olmaya
tevik etmek iin zlecek bir sr sorunun yan sra pek ok baka frsat da bulacaklardr.
234
Aldatma Sanat
Eitimin Yaps
Temel bir gvenlik bilinlendirme eitim program tm alanlarn
katlaca ekilde gelitirilmelidir. Yeni ie girenlerin intibak eitimlerinin
bir paras olarak bu eitimi alma zorunluluklar olmaldr. Hibir alana temel bir gvenlik bilinlendirme oturumuna katlmadan bilgisayar
eriimi verilmemesini neririm.
lk bilinlendirme eitimi iin dikkatleri ekmeye odaklanm ve
nemli mesajlarn hatrlanaca kadar ksa bir oturum uygun olabilir.
zerinde durduumuz konularn miktar kesinlikle daha uzun bir eitim
gerektirse de, makul sayda, nemli mesajlarla birlikte verilmi bir bilin
ve istek oluturmann nemi, benim grme gre, insanlar ok fazla
bilgiyle buluturan yarm gnlk ya da tam gnlk eitimlerden ok
daha fazladr.
Bu oturumlarn zerinde durulmas, tm alanlarn sk skya
uyduu gvenlik alkanlklar olmad durumda irkete ve bireysel
olarak alanlara gelebilecek zararlarn deerlendirildiini gstermektedir. Belirli gvenlik uygulamalarn renmekten daha da nemlisi;
alanlarn, gvenlik adna kiisel sorumluluk almalar konusunda
tevik edilmeleridir.
alanlarn rahatlkla snflarda toplanamad durumlarda irket,
videolar, bilgisayar tabanl eitimler, evrimii dersler ya da basl
malzemeler gibi farkl bilgilendirme yntemleri kullanarak bilinlendirme
eitimleri gelitirmeyi de gz nnde tutmaldr.
ilk ksa oturumdan sonra, belirli aklar ve irketteki konumlarna
gre saldr teknikleri konusunda alanlar eitecek daha uzun oturumlar gelitirilmelidir. Hatrlatma eitimleri ylda en az bir kez zorunlu
olmaldr. Tehdidin boyutu ve insanlar smrmek iin kullanlan yntemler srekli deimektedir, bu yzden programn ierii de srekli
gncellenmelidir. Dahas, insanlarn bilinlilii ve uyankl zaman
iinde azalr; bu nedenle gvenlik ilkelerini vurgulamak iin eitimin
dzenli aralklarla tekrarlanmas gerekir. Bu noktada dikkatler yine,
belirli tehditlerin ve toplum mhendislii yntemlerinin zerinde olduu
kadar, alanlar gvenlik kurallarnn nemine inandrmak ve kurallara
bal kalmaya tevik etmek zerinde de olmaldr.
Yneticiler altlarnda alanlara gvenlik kurallar ve srelerine
aina olmalar ve gvenlik bilinlendirme programna katlmalar iin
yeterince zaman tanmaldrlar. alanlarn kendi istedikleri zaman
gvenlik kurallarn renmeleri ya da eitimlere katlmalar beklenemez. Yeni ie girenlere ise i sorumluluklarn almadan nce gvenlik
kurallarn ve basl gvenlik uygulamalarn gzden geirmek iin yeterli zaman verilmelidir.
Kurum iinde konumlar deierek hassas bilgilere ya da bilgisayar
235
sistemlerine eriimi gerektiren bir ie geen alanlarn, doal olarak,

yeni sorumluluklarna uygun olarak tasarlanm gvenlik eitimi programn tamamlamalar gerekir. rnein, bir bilgisayar iletmeni sistem
yneticisi olursa ya da bir danma grevlisi, idar yardmc olursa ona
yeniden eitim verilmesi arttr.
Eitimin erii
Temele indirgendiklerinde tm toplum mhendislii saldrlar ayn
unsuru kullanrlar: Aldatma. Saldrgann bir alan ya da hassas bilgilere ulamaya veya bilgisayarlar ve bilgisayar donanmlar kullanlarak
yaplan iler konusunda kurbana talimat vermeye yetkili baka bir kii
olduuna kurban inandrlr. Bu saldrlarn hemen hepsi hedef olan
alann iki ey yapmasyla boa karlabilir:
istekte bulunan kiinin kimliini kontrol etmekle: Bu kii gerekten olduunu syledii kii mi?
Kiinin yetkili olup olmadn kontrol etmekle: Kiinin bu bilgiyi

renmeye ihtiyac var m ya da byle bir istekte bulunmak iin
yetkili mi?
Eer bilinlendirme eitimi programlan, her alann davranlarn

bu kriterlere aykr olan tm istekleri sorgulamak konusunda tutarl olacak ekilde deitirebilirse, o zaman toplum mhendislii saldrlaryla
ilikilendirilebilecek risk byk lde azaltm olur.
nsan davranlarna ve toplum mhendislii tekniklerine odaklanan
gvenlik bilinlendirme ve eitim programlarnda bulunabilecek kullanl bilgiler arasnda unlar yer alabilir:
Saldrganlarn insanlar aldatmak iin toplum mhendislii

becerilerini nasl kullandklarnn bir aklamas,
Toplum mhendislerinin amalarna ulamak iin kullandklar

yntemler,
Olas bir toplum mhendislii saldrsnn nasl farkedilecei,
pheli bir istei deerlendirme sreleri,
Toplum mhendislii giriimlerinin ya da baarl saldrlarn nereye haber verilecei,
N Vj I I Gvenlik bilinci ve eitimi hi bir zaman kusursuz olmayaca

iin derinlemesine bir savunma oluturabilmek iin mmkn olduu kadar
gvenlik teknolojisi kullanmaya aln. Bu, gvenlik nlemlerinin alanlardan ok, teknoloji tarafndan alnmasdr. rnein, iletim sistemi,
alanlarn internetten dosya indirmesini ya da ksa ve kolay parolalar
semesini engelleyecek ekilde ayarlanabilir.
236
Aldatma Sanat
Kiinin sahip olduunu iddia ettii konumuna ve nemine bakmakszn pheli bir istekte bulunan herkesi sorgulamann
nemi,
ilerindeki drt kar tarafa yardmc olmalar gerektiini

sylese de, dzgn bir kimlik tespiti olmadan gz kapal kimseye gvenmemeleri gerektii gerei,
Bir bilgi ya da ilem talebinde bulunan herhangi birinin kimliini

ve yetkisini kontrol etmenin nemi (Kimlik tespiti yntemleri iin
baknz "Onay ve Yetkilendirme Sreleri", 16. Blm),
Her trl veri snflandrma sistemiyle ilgili bilginin yansra hassas bilgileri koruma sreleri,
irketin gvenlik kurallarnn ve srelerinin yeri ile bilgi ve irket

bilgi sistemlerini korumadaki nemleri,
Kilit gvenlik kurallar ve anlamlarna ilikin bir zet. rnein, her

alann tahmini g bir parolay nasl oluturacana ilikin bilgilendirilmesi.
Tanm itibaryla toplum mhendislii, insanlar aras bir eit etkileim

yntemidir. Bir saldrgan hedefine ulamak iin eitli iletiim yntemleri ve
teknolojilerini sk sk kullanacaktr. Bu nedenle iyi tasarlanm bir bilinlendirme programnn aadakilerin tmn ya da bir ksmn iermesi gerekmektedir:
Bilgisayar ve sesli mesaj parolalaryla ilgili gvenlik sreleri,
Hassas bilgilerin ya da malzemelerin verilmesine ynelik sre,
Aralarnda virslerin, solucanlarn ve Truva Atlarnn da olduu

kt huylu yazlmlara kar alnacak nlemleri de ierecek ekilde e-posta kullanm kurallar,
Yaka kart takmak gibi fiziksel gvenlik zorunluluklar,
Binada kart takmayan kiileri sorgulama ykmll,
Sesli mesaj kullanm iin en doru gvenlik uygulamalar,
Bilgilerin snflandrmasnn nasl yaplaca ve hassas bilgile'

korumak iin alnacak nlemler,
Hassas belgelerin ve gizli dosyalar ieren ya da bir zamanla"

iermi bilgisayar tanabilir ortamlarnnn doru bir ekilde silirmesi,
Eer irket, toplum mhendislii saldrlarna kar savunmasn"

etkinliini lmek iin delme testi yapmay planlyorsa, alanlar t_
uygulamadan haberdar eden bir uyar yapmaldr. Byle bir test"
paras olarak saldrganlarn yntemlerini kullanan birinin telefon ya es
Bilgi Gvenliinin nemini'Bilmek ve Eitim 237

baka bir ara kullanarak iletiime geebileceini alanlarnzn
bilmesini salayn. Bu testlerin sonularn, alanlar cezalandrmak
iin deil, baz alanlardaki ek eitim ihtiyacn belirlemek iin kullann.
Yukardaki trr.-maddelerle ilgili ayrntlar 16. blmde bulabilirsiniz.
lm
irketiniz, bilgisayar sistemine eriim hakk tanmadan nce alanlarn gvenlik bilinlendirme eitiminde sunulan bilgilere hakimiyetini
lmek isteyebilir. Eer evrimii yaplacak testler tasarlarsanz, pek
ok snav deerlendirme yazlm, glendirilmesi gereken eitim alanlarn belirlemek iin test sonularn abucak deerlendirebilir.
irketiniz bir dl ve alann tevik amacyla gvenlik eitimini
tamamladn gsteren bir sertifika sunmay da dnebilir.
Program tamamlamann kalplam bir sonucu olarak, programda
retilen gvenlik kurallarna ve ilkelerine uyacana dair her alandan bir taahht belgesini imzalamasnn istenmesini neririm.
Aratrmalara gre, byle bir belge imzalayarak balln gsteren kii,
srelere uymak konusunda daha ok aba gsterebiliyor.
Srekli Bilin
Pek ok insan bilir ki, nemli konularda bile, renilenler, dzenli
olarak tekrarlanmadklar srece yok olma eilimindedirler. alanlarn
toplum mhendislii saldrlarna kar korunmak konusunda hzlarn
kaybetmemeleri iin bir srekli bilin program nemlidir.
Gvenlii, alan dnce zincirinin en nnde tutan yntemlerden
biri de bilgi gvenliini her irket alan iin bir i sorumluluu olarak
tanmlamaktr. Bu, alanlarn irketin genel gvenliindeki can alc
rollerini anlamalarna yardmc olacaktr. Aksi takdirde "gvenlik benim
iim deil" trnden gl bir eilim oluacaktr.
Bir bilgi gvenlii programnn genel sorumluluu ounlukla gvenlik
birimindeki ya da bilgi ilem birimindeki birine verilse de, bir bilgi gvenlii
bilinlendirme programnn gelitirilmesi ii, byk olaslkla eitim biriminin ortak bir projesi olarak en iyi ekilde yaplandrlm olacaktr.
Srekli bilin programnn yaratc olmas gerekir ve iyi gvenlik
alkanlklar konusunda alanlara srekli hatrlatc gvenlik mesajlar
iletmek iin mmkn olan her kanal kullanmaldr. Yntemler, program
gelitirip uygulamaya koyacak insanlarn hayal edebildii lde yeni
kanallarn yan sra S"or trl geleneksel kanaldan da yararlanmaldrlar.
Geleneksel reklamclkta olduu gibi elenceli ve akllca oim&lan ie
238
Aldatma Sanat
yarar. Mesajlardaki sz sralarnn deitirilmesi de ainalk yaratp gz

ard edilmelerini engeller.
Bir srekli bilin programnn ieriinde bulunabilecekler unlar olabilir:
Bu kitabn birer kopyasn tm alanlara vermek.
irket bltenine bilgi salayc unsurlar koymak: Makaleler, kutu

iine yazlm hatrlatmalar (tercihen ksa, dikkat ekici noktalar
eklinde) ya da karikatrler olabilir.
Ayn Gvenlik alan'nn bir resmini koymak.
alanlarn gittikleri yerlere posterler asmak.
Blten panolarna duyurular asmak.
Maa bordro zarflarna brorler koymak.
Hatrlatma amal e-postalar gndermek.
Gvenlikle ilikili ekran koruyucular kullanmak.
Sesli mesaj sistemi araclyla gvenlii hatrlatan duyurular

yapmak.
zerinde, "Sizi arayan gerekten olduunu iddia ettii kii mi?"

gibi eyler yazan yapkanl etiketler bastrmak.
Bilgisayara balanrken, "Eer e-postayla gizli bilgiler gnderiyorsanz, mutlaka ifre koyun", gibi hatrlatma mesajlarnn kmas iin ayarlamalar yapmak.
Gvenlik bilincini alan performans raporlarnn ve yllk deerlendirmelerin ayrlmaz bir paras durumuna getirmek.
ntranete, alanlarn ilgisini ekecek karikatrler, fkralar ya da

baka eyler biiminde gvenlik bilinci hatrlatclar koymak.
Kafeteryada sk sk farkl bir gvenlik unsurunu hatrlatan bir

elektronik mesaj tahtas kullanmak.
Dosyalar ve brorler datmak.
Dikkat ekici ayrntlar dnlebilir, rnein kafeteryada cretsiz fal kurabiyeleri datlabilir ve her birinde fal yerine bir gvenlik hatrlatcs olabilir.
Tehlike her zaman var; hatrlatclarn da her zaman var olmas

gerekir.
Benim Bundan karm Ne?

Gvenlik bilinlendirme ve eitim programlarna ek olarak, ileyen
ve iyi tantlm bir dllendirme sistemini de ciddi ekilde neririm. Bir
toplum mhendislii saldrsn tespit edip nlemi ya da bilgi gvenlii
Bilgi Gvenliinin nemini Bilmek ve Eitim 239

programnn baarsna byk bir katkda bulunmu alanlarnza
teekkr etmelisiniz. dl programnn varl gvenlik bilinlendirme
oturumlarnda tm alanlara anlatlmal ve gvenlik ihlalleri tm kurulua geni bir ekilde duyurulmaldr.
iin dier yznde insanlar, ister dikkatsizlikten ister direnmekten
olsun, bilgi gvenlii kurallarna uymamann sonularnn da farknda
olmaldrlar. Her ne kadar hepimiz hata yapsak da gvenlik kurallarnn
srekli ihlali de ho karlanmamaldr.
RKET BLG GVENL

KURALLARI NERLER
FBl'in yapt ve Associated Press'in Nisan 2002'de yaynlad bir
aratrmann sonularna baklrsa, byk irketlerin ve devlet kurumlarnn onda dokuzu bilgisayar krclarnn saldrsna uram. lgin bir
ekilde aratrma her irketten yalnzca birinin saldrlar bildirdiini
ya da kamuoyuna akladn ortaya karm. Bir saldrya kurban gittikleri konusunda suskun kalmalar mantkl olabilir. Mterilerinin
gvenini yitirmemek ve irketin aklarnn olabileceini renen saldrganlarn yeni saldrlarn engellemek iin ou iletme, bilgisayar
gvenliine ynelik saldrlar kamuoyuna aklamazlar oiaylarn ak
bir ekilde rapor etmezler.
Grne gre, toplum mhendislii saldrlaryla ilgili hi istatistik
yok; olsayd da saylar olduka gvenilmez olurdu. ou durumda, bir irket, bir toplum mhendisinin bilgiyi ne zaman aldn hibir zaman bilemez ve bu yzden pek ok saldr fark edilmez ve rapor edilmeden kalr.
Toplum mhendislii saldrlarnn ouna kar etkili nlemler alnabilir. Doruyu sylemek gerekirse kurulutaki herkes gvenliin nemini anlamad ve irket gvenlik kurallarna uyup bunu iinin bir
paras olarak kabul etmedii srece, toplum mhendislii saldrlan her
zaman irketler iin byk bir tehlike olmaya devam edeceklerdir.
Aslnda, gvenlik aklarn kapamak iin teknolojik silahlarn
gelimesi, tescilli irket bilgilerine ulamak ya da irket ana girmek iin
insanlar kullanan toplum mhendislii saldrlarn kesinlikle ciddi lde
sklatracak ve ortam, bilgi hrszlan iin daha ekici bir hal alacaktr. Bir
sanayi casusu doal olarak amacna ulama iini en kolay ve en dk
fark edilme tehlikesi olan yoldan yapacaktr, iin dorusu, bilgisayar sistemlerini ve an en son kan gvenlik teknolojilerini kullanarak koruyan
bir irket, hedeflerine ulamak iin toplum mhendislii stratejilerini, yntemlerini ve taktiklerini kullanan saldrganlardan gelecek saldrlara daha
ok maruz kalma tehlikesiyle kar karya kalacaktr.
Bu blm, toplum mhendislii saldr riskini en aza indirgeyecek
ekilde tasarlanm belli kurallar sunmaktadr. Kurallar tam olarak
sadece teknik aklan smrmeye ynelik saldrlara hitap etmemektedirler. Gvenilir bir alan, saldrgann hassas irket bilgilerine ya da
bilgisayar sistem ve alarna eriebilmesini salayan bilgiler vermeye
ya da bir i yapmaya kandrabilmek iin oynanan oyunlar ya da ne
srlen bahaneleri de kapsamaktadrlar.
242
Aldatma Sanat
Gvenlik Kural Nedir?

Gvenlik kurallar, bilgiyi korumak amacyla, alan davranlar iin
yn gstericidir ve olas gvenlik tehditlerini bertaraf etmek iin etkili
kontroller gelitirilmesinin temel tadr. Bu kurallar, i toplum mhendislii saldrlarn tespit etmeye ve nlemeye gelince daha da nemli
olmaktadrlar.
Etkili gvenlik kontrolleri, iyi dzenlenmi kurallar ve srelerle
alanlar eiterek yerletirilir. Ancak unu da vurgulamak gerekir ki,
tm alanlar tarafndan sadakatle uygulansa da gvenlik kurallar her
toplum mhendislii saldrsnn engelleneceini garanti etmezler.
Ama, daha ok, riski kabul edilebilir dzeye indirebilmektir.
Burada sunulan kurallar, tam anlamyla toplum mhendislii konularyla ilgili olmasa da toplum mhendislii saldrlarnda ounlukla kullanlan teknikleri de iermektedirler. rnein e-postalar amakla ilgili
kurallar bilgisayar krclarnn sk sk kulland bir yntemle ilgilidir.
Saldrgan, kurbann bilgisayarnda kontrol ele geirmesini salayan
kt huylu Truva At yazlmlarn e-posta araclyla ykleyebilir.
Bir Program Oluturmann Admlar

Kapsaml bir bilgi gvenlii program, ie genellikle eyi belirleyip
risk lm yaparak balar:
a
Kurumun bilgi varlklarndan hangilerinin korunmas gerekir?
Bu varlklara kar ne gibi tehditler vardr?
Bu olas tehditler gerekletii durumda kuruma ne gibi zararlar

gelebilir?
Risk deerlendirmenin ncelikli amac hangi bilgi varlklarnn acilen

korunmalar gerektiini belirlemek ve maliyet-kr analizi yaparak nlem
almann uygun maliyetli olup olmadna bakmaktr. Daha ak ifade
etmek gerekirse, hangi varlklar en nce koruma altna alnacak ve bu
varlklar korumak iin ne kadar zaman harcanacaktr?
st ynetimin gvenlik kurallar ve bilgi gvenlii program gelitirmenin nemini gl bir ekilde desteklemesi ve bu gr paylamas
nemlidir. Dier herhangi bir irket programnda olduu gibi, eer
gvenlik program baarl olacaksa, ynetim yalnzca bir onay imzas
atmakla kalmamal, ahsen rnek olarak balln gstermelidir.
alanlar, bilgi gvenliinin irket faaliyetleri asndan can alc
olduu, irket ii bilgilerin korunmasnn irket varlnn korunmas iin
nemli olduu ve alanlarn ilerinin programn baarsna bal olabilecei gereklerine ynetimin gl bir ekilde bal olduunun bilincinde olmaldrlar.
irket Bilgi Gvenlii Kurallar nerileri
243
Bilgi gvenlii kurallarn temize ekmekle grevlendirilmi personelin, kurallarn teknik terimler kullanlmadan yazlmas ve teknik
olmayan alanlar tarafndan rahata anlalabilmesi gerektiini
anlam olmas arttr. Belgenin, her kuraln neden nemli olduunu da
aklamas gerekir; aksi halde, alanlar, kurallar zaman kayb olarak
grerek bir kenara itebilirler. Kurallar byk olaslkla onlar yerletirmeye yarayan srelerden daha az sklkta deieceinden kurallar
kaleme alan kii, kurallar tantan bir belge oluturmal ve sreler iin
de ayr bir belge amaldr.
Ek olarak, kurallar yazan kii, gvenlik teknolojilerinin iyi bilgi
gvenlii uygulamalarn oturtmakta kullanlabileceini de bilmelidir.
rnein, ou iletim sistemi, kullanc parolalarnn uzunluk gibi baz
zelliklere uyup uymadklarn kontrol edecek ekilde ayarlanabilmektedir. Baz irketlerde kullanclarn program indirmesi iletim sistemindeki yerel ya da genel ayarlar araclyla denetlenebilir. Kurallar, insankaynakl karar alma mekanizmalarn devre d brakmaya kyasla daha
uygun maliyetli olduu koullarda, gvenlik teknolojileri kullanma zorunluluunu da getirmelidir.
t
alanlar, gvenlik kuralarna ve srelerine uymadklar takdirde

oluabilecek sonular hakknda da uyarlmaldrlar. Kurallara uymamann karl olarak bir takm uygun cezalar yerletirilmeli ve herkese
duyurulmaldr. Ayn zamanda, gvenlik uygulamalar konusunda
baarl ya da bir gvenlik olayn farkedip bildirmi alanlar iin de bir
dl sistemi oluturulmaldr. Ne zaman bir alan bir gvenlik ihlalini
engellemekten dl alrsa, bu, tm irket iinde -irket blteninde kan
bir makale eklinde bile olsa- duyurulmaldr.
Gvenlik bilinlendirme programnn bir amac, gvenlik kurallarnn
nemini ve bu kurallara uymamaktan doabilecek zarar anlatmaktr.
nsan yaradl gerei, alanlar zaman zaman makul gzkmeyen ya
da zaman alc gibi grnen kurallar gz ard edecek ya da boluklarndan yararlanacaktr. alanlarn, kurallar evrelerinden dolalacak
birer engel gibi grmek yerine, kurallarn nemini anlamalar ve uymaya
istekli olmalarn salamak ynetimin sorumluluklar arasndadr.
Bilgi gvenlii kurallarnn deimez kurallar olmadn belirtmekte
yarar vardr, i ortamlar deitike, piyasaya yeni gvenlik teknolojileri
ktka ve gvenlik aklar evrimietike kurallarn deitirilmesi ya da
desteklenmesi gerekebilir. Dzenli bir gzden geirme ve -gncelleme
sreci devreye alnmaldr. irket gvenlik kurallanm ve srelerini
intranet zerinden herkese an ya da bu tarz kurallar herkesin ulaabilecei bir klasre koyun. Bu hareket, kurallarn ve srelerin daha sk
okunma olasln artrr ve alanlarn bilgi gvenliiyle ilgili sorularna daha hzl yant bulmalar asndan etkili bir yntem olur.
Sonu olarak, eitimlerdeki aklar ya da irket kural ve srelerine
244
Aldatma Sanat
uyumdaki eksiklii ortaya karmak amacyla, toplum mhendislii yntem ve taktikleri kullanlarak dzenli delme testleri ve ak deerlendirmeleri yaplmaldr. Aldatc delme testleri uygulanmadan nce bu
tarz testlerin zaman zaman yaplaca alanlara duyurulmaldr.
Bu Kurallar Nasl Kullanlr?

Bu blmde aytntlaryla anlatlan kurallar, tm gvenlik risklerini
azaltmas iin nemli olduuna inandm bilgi gvenlii kurallarnn yalnzca kk bir parasdr. Buna gre, burada sz geen kurallarn
kapsaml bir bilgi gvenlii kural listesi olduu dnlmemelidir. Bu
kurallar, daha ok, irketinizin belirli ihtiyalarna uygun olabilecek kapsaml bir gvenlik kurallar btn oluturabilmek iin bir temeldir.
Kurallar hazrlayanlar, irketlerine zg, evrelerine ve i hedeflerine uygun kurallar semelidirler. Her kurulu, i gereksinimleri, yasal
ykmllkleri, kurum kltr ve kulland bilgi sistemlerine gre
aada anlatlan kurallardan ihtiyac olan alabilir, dierlerini bir kenara
brakabilir.
Her veri snfndaki kurallarn ne kadar kat olacayla ilgili de verilecek kararlar vardr. Tek bir binaya san ve alanlarn ounun birbirini
tand kk bir irketin, telefon edip o irkette altn syleyen bir
saldrgandan korkmasna gerek yoktur (ancak saldrgan, bir satc firmadan arad ayana da yatabilir). Ayrca artan risklere karn rahat bir
kurum kltrne sahip bir irket, gvenlik hedeflerine ulamak iin nerilen kurallarn yalnzca kk bir blmn kullanmak isteyebilir.
Veri Snflandrma
Bir veri snflandrma politikas kuruluun bilgi varlklarn korumak
iin nemlidir ve hassas bilgilerin yaylmasn denetleyen bir snfland""ma sistemi getirir. Bu politika, tm alanlar her bilgi parasnn hassaslk derecesi konusunda bilinlendirerek irket bilgilerini korumak ibir ereve oluturur.
Veri snflandrma politikas olmadan almak -bu, artk gnmzce
pek ok irketin olmazsa olmazdr- kararlarn ounu bireysel dzeyce
alanlara brakr. Doal olarak alan kararlar, bilginin hassash
nemi ve deerinden ok byk lde znel unsurlara dayar alanlar bir bilgi talebine karlk vererek, bilgiyi bir saldrgann e ~rine teslim edebilecekleri olaslndan habersiz olduklar iin de t ;
duyurulur.
Veri snflandrma politikas pek ok dzeyden birinde deerli c : lerin snflandrlmas iin yol gstericidir. Her bilgi paras ~
snflandrlmasyla alanlar, hassas bilgilerin kastsz olarak irker.e-
245
dar kmasn nleyecek bir veri kullanm srecine uyabileceklerdir.

Bu sreler alanlarn hassas bilgileri yetkisiz kiilere vermek iin
kandrlmalar olasln azaltacaktr.
Her alan (normal olarak bilgisayar ya da irket iletiim alarn
kullanmayanlar da dahil) irketin veri snflandrma politikas konusunda
eitilmelidir. irket igcnn -temizlikiler, gvenlik grevlileri,
fotokopicilerin yansra danmanlar, taeronlar ve hatt stajyerler de
aralarnda olmak zere- her yesinin hassas bilgilere eriimi olabileceinden, herkes bir saldrnn hedefi olabilir.
Ynetim, irket iinde halihazrda kullanmda olan her bilgi iin bir
bilgi sahibi belirlemelidir. Dier eylerin yan sra bilgi sahibi bilgi varlklarnn korunmasndan sorumludur. Bilgiyi koruma gereksinimine gre
hangi derece snflandrma yaplacana o karar verir ve dzenli olarak
snflandrma derecelerini yeniden deerlendirir ve uygun grd
deiiklikleri yapar. Bilgi sahibi, veri koruma grevini bir vekile ya da
sorumluya da devredebilir.
Snflandrmalar ve Tanmlar
Bilgi, hassaslna gre deien snflandrma dzeylerine blnmelidir. Bir snflandrma sistemi bir kez kurulduktan sonra bilgiyi
yeniden snflandrmak zaman isteyen ve pahal bir i haline gelir. rnek
snflandrmamzda, orta-byk lekli iletmelerin ou iin uygun olacak drt snflandrma dzeyi setim. Hassas bilgilerin says ve eidine gre iletmeler, belirli bilgi eitlerini de kapsamak iin yeni
snflandrmalar eklemek isteyebilirler. Daha kk iletmelerde
dzeyli bir snflandrma sistemi yeterli olacaktr.
Gizli: Bu bilgi smf en hassas olandr. Gizli bilgiler yalnzca kurum ii
kullanm iindir. ou zaman kesinlikle bilmesi art olan snrl sayda
insan tarafndan bilinmelidir. Gizli bilgi, herhangi bir yetkisiz paylamn
irkete, hissedarlara ve/veya mterilere ciddi zararlar verebilecei bir
yapdadr. Bu bilgiler genel olarak aadaki gruplardan birine girerler:
Ticari srlar, tescilli kaynak kodlar, teknik ya da ilevsel zellikler

ya da bir rakibin iine yarayabilecek rn bilgileri gibi bilgiler.
Halka almam finansal ya da pazarlamaya ynelik bilgiler.
Gelecekteki i stratejileri gibi irketin ileri iin nemli olan dier
bilgiler.
zel: Bu snflandrma, kurum iinde kullanlmas ngrlen kiisel nitelikteki bilgileri ierir. zel bilginin yetkisiz datm alanlarn ya da yetkisiz kiilerin (zellikle toplum mhendislerinin) eline getii zaman irkete ciddi ekilde zarar verebilmektedir. Bu tarz bilgilerin arasnda alanlarn tbb
gemii, salk yardmlar, banka hesap bilgileri, cret gemii ya da halka ak
olmayan dier kiisel tanmlamalar bulunmaktadr.
246
Aldatma Sanat
I N V J 11 "Dahili" olarak snflandrlm bilgiler, gvenlik personeli

tarafndan sk sk "Hassas" olarak da adlandrlrlar, Ben Dahil eklinde
kullanacam nk terimin kendisi bilginin hitap ettii kiileri tanmlyor.
Hassas terimini bir gvenlik snflandrmas olarak deil de Gizli, zel ve
Dahili bilgilerinin tmn anlatan bir terim olarak kullandm. Hassas,
zellikle Genel olarak tanmlanmam her trl irket bilgisine karlk
gelmektedir.
Dahil: Bu bilgi smf kuramda alan herkese rahatlkla datlabilir.

Dahil bilginin yetkisiz datmnn ou zaman irkete, hissedarlara, i
ortaklarna, mterilere ya da alanlara ciddi bir zarar vermesi beklenmez. Buna karn, toplum mhendislii becerilerini kullanmakta usta olan
kiiler bu bilgiyi kullanarak yetkili bir alan, taeron ya da satc firma
gibi davranp hibir eyden kukulanmayan personeli hassas bilgileri vermesi dorultusunda kandrabilir ve bu, irket bilgisayar sistemlerine yetkisiz bir eriim salanmasna neden olabilir.
Satc firmalara, taeronlara, ortak irketlere ve benzeri nc ahslara
dahil bilgi verilmeden nce taraflar arasnda bir gizlilik anlamas imzalanmaldr. Dahil bilgiler genellikle gnlk ilerde kullanlan, darya verilmemesi gereken irket kurulu emalar, a balant numaralan, dahil
sistem adlan, uzaktan eriim sreleri, maliyet merkezi kodlan ve bunun
gibi herhangi bir bilgiyi ierebilir.
Genel: zellikle kamuya duyurmak zere belirlenmi bilgilerdir. Basn
aklamalar, mteri destek iletiim bilgilen ya da rn brorleri gibi bu
tarz bilgiler herkese serbeste datlabilir. Genel olarak snflandrlmam
dier tm bilgilerin hassas bilgi olarak ele alnmas gerektii unutulmamaldr.
Snflandrlm Veri Terimleri

Snflandrmalarna gre veriler belli dzeylerdeki kiilere datlmaldrlar. Bu blmde verilen baz kurallar bilginin onaylanmam
kiilere verilmesiyle ilgilidir. Bu ifadeyi amak gerekirse onaylanmam
kii, irkette halen almakta ya da bilgiyi almak iin doru konumda
olup olmadnn ya da gvenilir bir nc ahsn ona kefil olup
olmadnn alan tarafndan bilinmedii kiidir.
Bunun tam tersi olan, gvenilir kii, yzyze karlatnz, bilgi eriimi
iin yeterli yetkiye sahip bir irket alan, mteri ya da irket danman
olarak tandnz kiidir. Gvenilir kii irketinizle uzun sredir alan bir irketin eleman da olabilir (rnein, bir mteri, satc ya da sr saklama anlamas imzalanm bir stratejik i orta gibi).
nc ahs kefaletinde, bir gvenilir kii, bir kiinin i durumu ve
kiinin bilgi ya da i istemeye yetkili olup olmadyla ilgili kontrol veris;
247
salar. Baz durumlarda bu kurallar, kefil olduklar birinden gelen bilgi ya

da i taleplerine karlk vermeden nce gvenilir kiinin irkette almaya devam edip etmediini de dorulamanz gerektirir.
Ayrcalkl hesap, temel kullanc hesabnn tesinde bilgisayar ya da
benzeri bir ortama eriim izni soran, sistem ynetici hesab trnden bir
hesaptr. Ayrcalkl hesaplara sahip olan alanlar genellikle kullanc
yetkilerini deitirip, sistem ilevleri gerekletirebilirler.
Genel blm posta kutusu, blm adna genel bir mesajla alan bir
sesli mesaj kutusudur. Byle bir kutu belirli bir blmde alanlarn
adlarn ve dahili numaralarn korumak amacyla kullanlr.
Onay ve Yetkilendirme Sreleri

Bilgi hrszlar, gizli irket bilgilerine ulamak ve bu bilgileri ele
geirmek iin ounlukla gerek alanlar, taeronlar, satclar ya da i
ortaklar gibi davranarak aldatma taktikleri kullanrlar. Etkili bilgi gvenliini srekli klmak iin bir i yapmas ya da hassas bir bilgi vermesi
istenen bir alan, arayann kimliini tespit etmeli ve bir istekte bulunma yetkisinin olup olmadn onaylattrmaldr.
Bu blmde nerilen sreler, herhangi bir iletiim aracyla -telefon,
faks ya da e-posta- kendisinden bir ey istenmi bir alana, istein
geerli ve isteyenin de gerek olup olmadn belirlemekte yardmc
olmak zere tasarlanmlardr.
Gvenilir Kiiden Gelen stekler

Bir gvenilir kiiden gelen i ya da bilgi talebi durumunda unlarn
yaplmas gerekebilir:
Kiinin irket bnyesinde altnn ya da sz konusu snfa ait

bilgilere eriim koulunu da ieren bir ilikinin varlnn kontrol
edilmesi. Bunun amac, iliii kesilmi alanlarn, satclarn,
taeronlarn ve benzer kiilerin kendilerini alyor olarak
gstermelerini nlemektir,
Kiinin bilme gereksiniminin ve bir i ya da bilgi talebinde bulunmaya yetkili olup olmadnn kontrol edilmesi.
Onaylanmam Bir Kiiden Gelen stekler

Onaylanmam bir kii bir istekte bulunduu zaman, istekte bulunan
kiinin bu talepte bulunmaya yetkili olup olmadn belirlemek iin
uygun bir onay sreci kullanlmaldr. zellikle de istek, bilgisayarlar ya
da bilgisayar donanmlaryla ilgiliyse. Bu sre, toplum mhendislii
saldrlarnn baarl olmasn engellemek iin temel bir nlemdir. Eer
248
Aldatma Sanat
bu onay sreleri uygulanrsa, baarl toplum mhendislii saldrnn

saysn byk lde azalacaktr.
Sreci maliyet artrc ya da alanlarn onu boverecei kadar hantal yapmamanz da nemlidir.
Aada da belirtildii gibi onay sreci admdan oluur:
Kiinin olduunu syledii kii olup olmadnn kontrol edilmesi.
Talep sahibinin halen irkette altnn ya da irketle bilme

gerei oluturabilecek bir ilikisinin olduunun belirlenmesi.
Kiinin ilgili bilgiyi almaya ya da ilgili ii talep etmeye yetkili olup
olmadnn belirlenmesi.
Birinci Adm: Kimiik Tespiti

nerilen onay admlar, etkinliklerine gre aada sralanmlardr;
say ne kadar byk olursa yntem o kadar etkilidir. Her eyle birlikte,
ilgili yntemin zayflyla ve bir toplum mhendisinin alanlar
kandrabilmek iin bu yntemi ama ya da evresinden dolama yoluyla ilgili bir aklama bulunmaktadr.
1. Arayan Kimlii (bu zelliin irket telefon sisteminde var
olduunu varsayyoruz): Arayan numaraya bakarak, aramann
irket iinden mi yoksa dndan m geldii bulunabilir ve
arayann verdii kimliin grnen ad ve telefon numarasyla
uyuup uyumadna baklr.
Zayfl: Dardan gelen aramaya ait arayan kimlii bilgileri,
dijital telefon hizmetlerine bal bir PBX ya da telefon santralna
eriimi olan herhangi biri tarafndan sahte bilgilerle deitirilebilir.
2. Geri Arama: stek sahibi, irket rehberinden bulunur ve
rehberde geen dahil numara aranarak istekte bulunan kiinin
gerekten irkette alp almad kontrol edilir.
Zayfl: alan, listede geen irket dahil numarasn kontrol
amal olarak arad zaman, yeterli bilgiye sahip bir saldrgan,
aramay kendi d hattna aktarlacak ekilde ynlendirebilir.
3. Kefil Olunmas: istek sahibine kefil olmu bir gvenilir kii istekte bulunan kiinin kimliini onaylam olur.
Zayfl: Baka biri gibi davranan saldrganlar, farkl bir alan
kimliklerinin doruluuna ounlukla inandrabilirler ve o alann kendilerine kefil olmasn salayabilirler.
4. Gizli Ortak Bilgi: Kurum apnda kullanlan, parola ya da gnlk ifre gibi bir gizli ortak bilgi.
Zayfl: Eer gizli ortak bilgiyi ok kii bilirse, saldrgann onu
renmesi daha kolay olur.
249
5. alann Yneticisi/Mdr: alann bal olduu ynetici

aranr ve onay istenir.
Zayfl: Eer yneticinin numaralarn istekte bulunan ahs
vermise, alan o numaray aradnda ulat kii gerek
ynetici deil aslnda saldrgann su orta olabilir.
6. Gvenli e-posta: Dijital olarak imzal bir mesaj istenir.
Zayfl: Eer saldrgan zaten alann bilgisayarna girmi ve
alann imza parolasn alabilmek iin tu girilerini kaydeden
bir program yklemise, bu durumda alandan geliyormu gibi
grnen dijital imzal bir e-posta gnderebilir.
7. Sesi ahsen Tanmak: Kendisine istek gelen kiinin istek
sahibiyle daha nceden alm olmas (tercihen yz yze), bir
gvenilir kii olduundan emin olmas ve kiinin sesini telefondan tanyacak kadar kiiyi tanmas.
Zayfl: Bu olduka gvenli bir yntemdir ve bir saldrgan
tarafndan kolay kolay alamaz, ancak kendisine istek gelen kii
arayan tanimyorsa ya da daha nce onunla hi konumamsa
bu yntem bir ie yaramaz.
8. Deiken Parola zm: stek sahibi gvenli kimlik gibi bir
deiken parola zmyle kendini tantr.
Zayfl: Bu yntemi amak iin saldrgann, hem deiken
parola cihazlarndan birini, hem de cihazn ait olduu alann
kimlik numarasn ele geirmesi gerekir ya da bir alan cihazn
zerinden bilgiyi okumas ve kimlik numarasn vermesi iin
kandrabilir.
9. Kimliiyle Birlikte Gelen Kii: istekte bulunan kii ahsen gelir
ve tercihen resimli personel kartn ya da baka uygun bir kimlik
kartn gsterir.
Zayfl: Saldrganlar sk sk bir alann kartn alabilir ya da
gerek gibi grnen bir sahtesini yapabilirler. Ancak saldrganlar
ounlukla bu yaklam kullanmazlar nk bir yere ahsen gitmek saldrgan byk bir tannma ve alkonma tehlikesine sokar.
kinci Adm: Dorumunun Kontrol

En byk bilgi gvenlii tehdidi bir profesyonel toplum mhendisinden ya da becerikli bir bilgisayar krcsndan gelmez. ok daha yakndaki birinden, ksa sre nce iten atlm, intikam almak isteyen ya da
irketten ald bilgileri kullanarak kendi iini kurmay mit eden
alandan gelir (Bu srecin baka biri trnn, satc, danman ya da
szlemeli ii gibi irketinizle farkl bir i ilikisi olan kiiler iin de kullanlabileceini unutmaynz).
250
Aldatma Sanat
Baka birine Hassas bilgiler vermeden ya da bilgisayar ve bilgisayar

donanmlaryla ilgili baka birinin verdii talimatlara uymadan nce
konutuunuz kimsenin sizinle ayn irkette alp almadn u
yntemlerden birini kullanarak kontrol edebilirsiniz.
Personel Telefon Rehberinden Kontrol: Eer irket, alanlarn listesinin titizlikle tutulduu bir evrimii telefon rehberi
bulunduruyorsa, arayann bu listede olduundan emin olun.
Arayann Yneticisinden Kontrol: Arayann yneticisini,
arayann verdii numaradan deil, irket rehberinde geen
numarasndan arayn.
Arayann Birim ya da Gurubundan Kontrol: Arayann birimini ya da i grubunu arayn ve orada alan herhangi birinden
sz konusu kiinin orada almakta olup olmadn renin.
nc dm: Bilme Gereinin Kontrol

istekte bulunan kiinin halen irkette alp almadn ya da irketinizle bir ilikisi kalp kalmadn kontrol etmenin yansra, bir de,
istek sahibinin istedii bilgiyi talep etmeye ya da bilgisayarlar veya bilgisayar donanmlarn etkileyecek belirli ilemleri talep etmeye yetkili
olup olmad konusu vardr.
Bunun kontrol u yntemlerden biri kullanlarak yaplabilir:
yeri Unvan/ Gurubu/Sorumluluklar Listelerine Bavurun: Bir
irket hangi alanlarn ne tr bilgileri almaya yetkili olduunu ieren
listeler kararak yetkilendirme bilgilerine hzl eriim salayabilir. Bu listeler alan unvanna, birimine ve i gurubuna, sorumluluklara ya da
baka verilere gre sralanm olabilir. Bu tarz listelerin evrimii tutulmas ve srekli gncellenerek yetkilendirme bilgilerine hzl eriim
salamas gerekir. ounlukla bilgi sahipleri, denetimleri altnda olan
bilgilere eriilebilmesi iin listelerin oluturulmasndan ve gncellenmesinden sorumludurlar.
Bir Yneticiden Onay Aln: Bir alan, istei yerine getirmek zere
onay almak iin kendi yneticisiyle ya da istek sahibinin yneticisiyle
balantya geer.
IV| v^ I * Bu tarz listelerin toplum mhendisine davetiye karmak

olduu da gz nnde bulundurulmaldr. Dnn: Eer bir irketi hedefleyen bir saldrgan irketin byle listeler tuttuunu renecek olursa bir
tanesini ele geirmek iin bir nedeni olacaktr. Ele geirdikten sonra da bu
tarz listeler saldrgana pek ok kap aarlar ve irket iin ciddi bir tehlike
olutururlar.
V.
251
Bilgi Sahibinden ya da Sorumlusundan Onay Ain: Belirli bir

kiinin bilgiye eriimi olup olmayacayla ilgili son sz hakk bilgi sahibinindir. Bilgisayar tabanl eriim kontrol sreci, var olan i tanmlarna
uygun bilgilere erime talebinin onay iin alann kendi yneticisini
aramasdr. Eer byle bir tanm yoksa, ilgili bilgi sahibini arayp izin
istemek yneticinin sorumluluudur. Bu emir-komuta zincirine uyulmas
gerekir, yoksa bilgi sahipleri sk sk gelen bir talep aknna urarlar.
Tescilli Bir Yazlm Paketi Araclyla Onay Aln: Rekabeti bir
ortamda alan byk bir irketin bilme gerei yetkilerini veren tescilli
bir yazlm paketi gelitirmesi kullanl olabilir. Byle bir veritaban,
alan adlarn ve gizli bilgilere eriim yetkilerini tutar. Kullanclar her
alann eriim yetkilerini gremezler ama onun yerine istekte bulunan
kiinin adn ve istenen bilginin tanmlaycsn girebilirler. Daha sonra
yazlm, aranan kiinin ilgili bilgileri almaya yetkili olup olmadna dair
bir sonu karr. Bu seenek, deerli, nemli ya da hassas bilgilere
eriim yetkisine sahip personel listelerinin alnma tehlikesini bertaraf
eder.
Ynetim Kurallar
Aadaki kurallar ynetici seviyesindeki alanlarla ilgilidir. Veri
Snflandrlmas, Bilgi Verilmesi, Telefon daresi ve eitli Kurallar gibi
konulara blnmlerdir. Her kural snf kurallarn rahat tanmlanabilmeleri iin kendine zg bir saylandrma iermektedir.
Veri Snflandrma Kurallar

Veri Snflandrma, irketinizin hassas verilerinin nasl snflandrldna ve bu bilgilere kimlerin eriim yetkisinin olmas gerektiine
deinir.
.
1-1 Veri snflandrmas yapn

Kural: Tm deerli, hassas ya da nemli i bilgileri ilgili bilgi sahibi
ya da vekili tarafndan bir snflandrmaya tutulmaldr.
Aklamalar/Notlar: ilgili bilgi sahibi ya da vekili i hedeflerine ulamak iin dzenli olarak kullanlan herhangi bir bilgiyi uygun veri snfna
yerletirecektir. Bilgi sahibi, bu tarz bilgilere kimlerin eriebileceini ve
bu bilgilerle neler yaplabileceini denetler. Bilgi sahibi, snflandrmay
yeniden yapabilir ve dzenli olarak snflandrmann yenilenmesi iin bir
zaman belirleyebilir.
Baka bir ekilde snflandrlmam her bilgi hassas olarak
snflandrlmaldr.
252
Aldatma Sanat
1 -2 Snflara g r e k u l l a n m a sreleri karn

Kural: irket her snf bilginin verilmesine ynelik sreler oluturmaldr.
Aklamalar/Notlar: Snflandrmalar yapldktan sonra, bilginin
alanlara ve dardan kiilere verilmesiyle ilgili, daha nce bu
blmde Onay ve Yetkilendirme konusunda anlatld gibi sreler
oluturulmaldr.
.
1 -3 Tm eleri iaretleyin
Kural: Gizli, zel ya da dahil bilgi ieren hem basl malzemeleri,
hem de bilgisayar saklama ortamlarn ilgili veri snflandrmasn
gsterecek ak bir ekilde iaretleyin.
Aklamalar/Notlar: Basl belgelerin, stnde gze arpan bir veri
snf iareti olan bir kapak sayfas olmaldr ve veri snf, belge
aldnda grlecek ekilde her sayfada bulunmaldr.
lgili veri snflaryla kolaylkla iaretlenemeyen tm elektronik
dosyalar, (veritaban ya da ham veri dosyalar), uygunsuz bir ekilde
datlmasn, deitirilmesini, yok edilmesini ya da eriilemez duruma
getirilmesini nlemek iin eriim denetimleriyle korunmaldrlar.
Disketler, bantlar ve CD-ROM'lar gibi tm bilgisayar aralarnn,
ilerindeki en st snf veriye gre iaretlenmeleri gerekmektedir.
Bilginin Verilmesi
Bilgi verilmesi, kim olduklarna ve bilme gereklerine baklarak bilginin eitli ahslara verilmesini kapsar.
2-1 alan k i m l i i n i n tespiti sreci
Kural: Gizli ya da hassas bilgilerin verilmesini ya da herhangi bir bilgisayar donanmnn ya da yazlmnn kullanlmasn ieren bir iin
yaplmasndan nce kiinin kimliinin, i durumunun ve yetkilerinin
kontrol edilebilmesi iin alanlarn kullanabilecei kapsaml sreler
irket tarafndan oluturulmaldr.
Akiamalar/Notlar: irketin bykl ve gvenlik ihtiyalarna
uygun olarak, kimlik tespiti iin, gelimi gvenlik teknolojileri kullanlmaldr. En iyi gvenlik uygulamas, tanmlama anahtarn gizli ortak bilgiyle birlikte kullanarak istekte bulunan kiileri doru bir ekilde tanmlamaktr. Bu uygulama, riski byk lde azaltsa da baz iletmeler iin
maliyeti ok yksek olabilir. Bu koullarda irket, gnlk bir parola ya da
ifre gibi tm irket apnda geerli bir gizli ortak bilgi kullanabilir.
2-2 Bilginin nc ahslara verilmesi
Kural: Bir dizi kendini kantlam bilgi verme sreci yrrle konmal ve tm alanlar bu sreleri izlemeleri konusunda eitilmelidirler.
253
Aklamalar/Notlar: Datm srelerinin genel olarak unlar iin

oluturulmas gerekir;
irket iine verilecek bilgiler,
Danmanlara, geici iilere, stajyerlere, irketle alc-satc

ilikisi ya da stratejik ortaklk anlamas olan kurulularn
alanlarna ve bunun gibi, irketle oturmu bir ilikisi olan kurulularn alanlarna bilginin verilmesi,
irket dna verilecek bilgiler,
Bilgi ahsen, telefonla, e-postayla, faksla, sesli mesajla, posta

araclyla, imzal kuryeyle ve elektronik aktarmla veriliyorsa
her veri snfyla ilgili bilgiler.
2-3 Gizli bilgilerin datm

Kural: Yetkisiz kiilerin eline getiinde byk zararlara neden olabilecek irket bilgileri olan gizli bilgiler ancak almaya yetkili bir gvenilir
kiiye verilebilir.
Aklamalar/Notlar: Fiziksel (yani basl ya da tanabilir saklama
ortam) olarak gizli bilgiler u ekilde teslim edilebilir:
ahsen,
Mhrl ve gizli damgas vurulmu olarak dahili kuryeyle,
irket dna itibarl bir kurye irketinin hizmetiyle ya da taahhtl

veya onayl posta hizmeti kullanarak.
Elektronik (bilgisayar dosyalar, veritaban dosyalar, e-posta) olarak

gizli bilgiler u ekilde teslim edilebilir:
ifreli e-posta ieriinde,
ifreli bir dosya olarak e-posta ekinde,
irket dahil andaki bir sunucuya elektronik aktarmla,
Bir faks program kullanarak bilgisayardan. Ancak kar makinay

ilgili kiinin kullandndan ya da faks gnderilirken ilgili kiinin
makinann banda beklediinden emin olunmas gerekir. Dier
bir seenek ise, ifreli bir telefon hattndan parola korumal bir
faks sunucusundan gnderilmesi durumunda, faksn alc
olmadan gnderilmesi mmkndr.
Gizli bilgiler, karlkl, irket ii telefonla, irket dndan ifreli telefonla, ifreli uydu aktarmyla, ifreli videokonferans balantsyla ve
ifreli internet Protokol zerinden ses geidiyle (VolP) yaplan karlkl grmelerle de iletilebilirler.
Faksla gnderimlerde nerilen yntem, gnderenin bir kapak say-
254
Aldatma Sanat
fas gndermesini, alcnn sayfay almas zerinde karlk olarak

baka bir sayfa gndererek faks makinasnn banda olduunu gstermesini iermektedir. Gnderen, daha sonra faksn tmn gnderir.
u iletiim kanallar ise gizli bilgilerin grlmesi ya da datlmas
iin kabul edilebilir yntemler deillerdir: ifresiz e-postalar, sesli
mesajlar, posta hizmetleri ya da herhangi bir telsiz iletiim yntemi (cep
telefonlar, ksa mesaj hizmetleri ya da telsiz telefonlar)
2-4 zel bilgilerin datm

Kural: Aa ktklar takdirde alanlara ya da irkete zarar vermek zere kullanlabilecek, alan ya da alanlarla ilgili kiisel bilgileri ifade eden zel bilgiler, yalnzca onu almaya yetkili bir gvenilir
kiiye teslim edilebilir.
Aklamalar/Notlar: Fiziksel (yani basl ya da tanabilir saklama
ortam) olarak zel bilgiler u ekilde teslim edilebilir:
ahsen,
Mhrl ve zel damgas vurulmu olarak dahil kuryeyle,
Posta hizmetiyle,
Elektronik (bilgisayar dosyalan, veritaban dosyalar, e-posta) olarak

zel bilgiler u ekilde teslim edilebilir:
Dahil e-postayla,
irket dahil andaki bir sunucuya elektronik aktarmla,
Bir faks program kullanarak bilgisayardan, ancak kar makinay

ilgili kiinin kullandndan ya da faks gnderilirken ilgili kiinin
makinann banda beklediinden emin olunmas gerekir. Dier
bir seenek ise, ifreli bir telefon hattndan parola korumal bir
faks sunucusuna gnderilmesi durumunda, faksn alc olmadan
gnderilmesi mmkndr.
zel bilgiler, karlkl, irket ii telefonla, uydu aktarmyla,

videokonferans balantsyla ve ifreli nternet Protokol izerinden ses
geidiyle (VolP) yaplan karlkl grmelerle de iletilebilirler.
u iletiim kanallar ise zel bilgilerin grlmesi ya da datlmas
iin kabul edilebilir yntemler deillerdir: ifresiz e-postalar, sesli
mesajlar, posta hizmetleri ya da herhangi bir telsiz iletiim yntemi (cep
telefonlar, ksa mesaj hizmetleri ya da telsiz telefonlar)
2-5 Dahil bilgilerin datm!

Kural: Dahil bilgiler, yalnzca irket iinde datlabilecek ya da
gizlilik anlamas imzalam gvenilir kiilere verilebilecek bilgilerdir.
Dahil bilginin datmna ynelik ynergeler hazrlamanz gerekir.
255
Aiklamaiar/NotSar: Dahil bilgiler, aralarnda dahil e-posta da

olmak zere her yolla iletilebilirler, ancak ifreli olmadklar srece
e-postayla irket dna gnderilemezler.
2-6 Hassas bilgilerin telefon zerinden grlmesi

Kural: Genel snfnda tanmlanmam herhangi bir bilgiyi telefon
zerinde grmeden nce, bilgiyi verecek kiinin, kar tarafn sesini
daha nceden ahsen duymu olmas ya da irket telefon sisteminin
aramann istek sahibine ait dahil bir numaradan yapldn tespit etmi
olmas gerekmektedir.
Aklamaiar/Notlar: Eer istekte bulunan kiinin sesi tannmyorsa,
kaytl bir ses mesajndan sesleri karlatrabilmek iin arayann dahil
numarasn arayn ya da arayann yneticisine kimliini ve bilme gereini onaylattrn.
2-7 Girite yo da danmada grevli personel sreleri.

Kural: Giri grevlileri, irkette alp almadn bilmedikleri
herhangi birine herhangi bir paketi verirlerken resimli kimlik kontrol
yapmaldrlar. Kiinin adnn, ehliyet numarasnn, doum tarihinin, alnan paketin ve almn gerekletii gn ve saatin ilendii bir kayt defteri tutulmaldr.
klamaar/Notlar: Bu kural dar gnderilen paketlerin
tayclara ya da kurye hizmeti veren irketlere teslim edilmesinde de
geerlidir. Bu irketler, alanlarn kimliklerinin kontrol edilebilecei
kimlik kartlar karrlar.
2-8 nc ahslara yazlm aktarm

Kural: Herhangi bir yazlm, program ya da bilgisayar aklamalarnn verilmesinden ya da aktarlmasndan nce istek sahibinin
doru kii olduu belirlenmeli ve bu aktarmn, sz konusu bilginin veri
snfyla tutarl olup olmad kesinletirilmelidir. irket bnyesinde kaynak kodu biiminde yaplm yazlmlar ounlukla irket mlk saylr
ve gizli olarak snflandrlrlar.
Aklamalar/Kurallar: Yetki belirlenmesi genellikle istekte bulunan
kiinin iini yapmak iin yazlm eriimine ihtiyac olup olmadna gre
yaplr.
2-9 Sat ve pazarlamann mteri nerilerinin

incelemesi
Kural: Sat ve pazarlama personeli, dahil geri arama numaralarn,
rn planlarn, rn grubu iletiim sorumlularn ya da dier hassas bilgileri olas bir mteriye vermeden nce verilen nerileri incelemelidir.
Aklamalar/Notlar: Sat ve pazarlama temsilcisiyle balant
256
Aldatma Sanat
kurup, onu ufukta byk bir almn olacana inandrmak, sanayi casuslarnn sk kullandklar yntemler arasndadr. Sat frsatndan yararlanma abasyla sat ve pazarlama temsilcileri, saldrgan tarafndan
hassas bilgilere ulamak iin poker markas olarak kullanlabilecek bilgileri sk sk verirler.
2-10 Dosya ve verilerin aktarm

Kural: stek sahibi, kimlii belirlenmi ve veriyi ilgili tanabilir ortamda almas gerektii anlalm bir gvenilir kii olmad srece dosyalar
ya da dier elektronik veriler hibir tanabilir ortama aktarlmamaldr.
Aklama!ar/Not!ar: Bir toplum mhendisi hassas bilgilerin bir
banda, diskete ya da dier tanabilir ortamlara kopyalanm olarak
kendine gnderilmesini ya da birinin gelip almas iin girite bekletilmesini istemek iin akla yatkn bir gereke sunarak alan kandrabilir.
Telefon daresi
Telefon idaresi kurallar, alanlarn, arayan kimliini kontrol edebilmelerini ve irketi arayan kiilere kar kendi iletiim bilgilerini korumalarn salar.
3-1 Bilgisayar balants ya da faks numaralarnda
aramalarn ynlendirilmesi
Kural: Aramalar d hat telefon numaralarna ynlendiren arama
ynlendirme hizmetleri irket iindeki herhangi bir modem ya da faks
numarasna salanmamaldr.
Aklamalar/Notlar: ok ynl saldrganlar, dahil numaralan
saldrgann kontrol altndaki bir d hat telefonuna ynlendirmeleri
konusunda telefon irketi personelini ya da dahil telekomnikasyon
alanlarn kandrmaya alabilirler. Bu saldr, saldrgann, fakslara
mdahale edebilmesine, gizli bilgilerin irket iine fakslanmalarn
isteyebilmesine (alanlar kurum iine birey fakslamann emin
olduunu varsayarlar) ya da balant hatlarn giri srecinin aynsn
taklit eden tuzak bir bilgisayara ynlendirerek modemle balanan kullanclarn parolalarn ele geirmesine yol aacaktr.
irket iinde kullanlan telefon hizmetine gre arama ynlendirme
zellii," telekomnikasyon blmnden ok, iletiim hizmeti
salaycsnn kontrol altnda olabilir. Bu durumda arama ynlendirme
zelliinin balant ve faksa ayrlm telefon numaralarnda bulunmamasn isteyen bir taleple iletiim hizmet salaycsna gidilmesi gerekecektir.
257
3-2 Arayan kimlii

Kural: irket telefon sistemi, tm dahil telefonlara arayan hat
tanmlama (arayan kimlii) hizmetini salamaldr ve eer mnknse,
dardan gelen aramalarda farkl bir alma sesi kullanlmaldr.
Aklamalar/Notlar: Eer alanlar, irket dndan gelen aramalarn kimden geldiini grebilirlerse, bu onlarn bir saldry
engellemelerine ya da ilgili gvenlik sorumlusuna saldrgan tarif
etmelerine yardmc olabilir.
3-3 Nezaket telefonlar
Kural: Ziyaretilerin irket alan gibi davranmalarn nlemek iin
her nezaket telefonunun nereden edildii (rnein, "Danma")
aranann telefon gstergesinde aka grlebilmelidir.
kamalar/Notlar: Eer dahil aramalarn arayan kimlikleri yalnzca dahili numaray gsteriyorsa, danma ve dier herkese ak yerlerdeki irket telefonlarndan yaplan aramalara ynelik uygun nlemler
alnmaldr. Bir saldrgann bu telefonlardan birinden arama yapmas ve
aramann herhangi bir baka alann telefonundan yapld dorultusunda arad kiiyi kandrmasnn mmkn olmamas gerekmektedir.
3-4 Telefon sistemleri ile gelen retici parolalar
Kural: Sesli mesaj yneticisi, irket alanlar tarafndan kullanlmadan nce telefon sistemiyle birlikte gelen parolalar deitirilmelidir.
Aklamalar/Notlar: Toplum mhendisleri, reticilerden ilk parola
listelerini edinebilir ve bunlar ynetici hesaplarna erimek iin kullanabilirler.
3-5 Blm sesli mesaj kutular
Kural: Daryla balants olabilecek her blme iin bir sesli mesaj
kutusu oluturun.
Aklamalar/Notlar: Toplum mhendisliinin ilk adm hedef irket
ve alanlar hakknda bilgi toplamaktr. irket, alanlarn ad ve telefon numaralarna eriimi snrlayarak, toplum mhendisinin irket iinden hedef belirlemesini ya da alanlar kandrmak iin bakalarnn
adlarn kullanmasn gletirebilir.
3-6 Telefon sistem satcsnn onaylanmas
Kural: Satc firmadan gelen hizmet teknisyenlerinden hibirine,
satc firma bilgileri ve gelenlerin yetkileri onaylanmadan, irket telefon
sistemine uzaktan eriim hakk tannmamaldr.
Aklamalar/Notlar: irket telefon sistemlerine giren bilgisayar
krclar sesli mesaj kutusu yaratma, dier kullanclara gelen mesajlara
258
Aldatma Sanat
".
mdahale etme ya da parasn irketin dedii telefon grmeleri

yapabilme becerisini kazanrlar.
3-7 Telefon sisteminin ayarlanmas
Kural: Sesli mesaj yneticisi, telefon sisteminde ilgili gvenlik
ayarlamalarn yaparak gvenlik gerekliliklerinin yerine getirilmesini
salar.
Aklamalar/Notlar: Telefon sistemleri sesli mesajlar iin az ya da
ok kapsaml gvenlik dzeylerine gre ayarlanabilirler. Ynetici, irket
gvenlik anlaynn bilincinde olmal ve sistemi hassas bilgileri korumak zere ayarlamak iin gvenlik sorumlularyla birlikte almaldr.
3-8 A r a m a izleme zellii
..'.
Kural: iletiim hizmetleri veren firmann snrlamalarna gre,

alanlarn, arayann saldrgan olduundan kukulandklar durumda
kstrp kovalayan bu ilevi altrabilmeleri salanabilecek ekilde,
arama izleme zellii devreye sokulmaldr.
sklamalar/Notlar: alanlar, arama izleme ilevinin kullanm ve
kullanlaca durumlar konusunda eitilmelidirler. Arayan kii, aka,
irket bilgisayar sistemlerine yetkisiz girmeye ya da hassas bilgileri ele
geirmeye alyorsa, bir arama izleme sreci balatlmaldr. Ne
zaman bir alan arama izleme zelliini altrrsa, Olay Bildirme
Merkezi'ne de hemen haber verilmelidir.
:
3-9 Otomatik telefon sistemleri

Kural: Eer irket otomatik bir yant verme sistemi kullanyorsa, sistem bir alana ya da blme aramay aktarrken dahil numaray
sylemeyecek ekilde programlanmaldr.
.
Aklamalar/Notlar: Saldrganlar bir irketin otomatik telefon sistemini, alan adlarn dahil telefonlarla karlatrmak iin kullanabilirler. Daha sonra saldrganlar bu dahil numara bilgilerini kullanarak
aradklar kiileri irket ii bilgi almaya yetkili alanlar olduklarna
inandrrlar.
3-10 Birbiri ardna baarsz girme denemesinden

sonra sesli mesaj kutularnn kapatlmas
Kural: Pepee belirli bir sayda baarsz girme denemesi olduunda sesli mesaj hesaplarn kilitleyecek ekilde irket telefon sisteminin
programlanmas.
Aklamalar/Notlar: Telekomnikasyon yneticisi ard ardna be
baarsz giri denemesinden sonra sesli mesaj kutusunu kapatmaldr.
Ynetici daha sonra kilitli sesli mesaj kutularn tek tek kendisi amaldr.
259
3-11 Smrlandmlm dahil telefonlar

Kural: ou zaman dardan gelen aramalar kabul etmeyen
blm ve i gruplarna ait tm dahil telefonlar (yardm masas, bilgisayar odas, alan teknik destek vb.) yalnzca dier dahil telefonlarn
ulaabilecei ekilde programlanmaldr. Dier bir seenek ise parola
korumal olmas ve dardan arayan alanlarn doru parolay girmeleridir.
Aklamalar/Notlar: Her ne kadar bu kural amatr toplum
mhendislerinin ou giriimlerini nleyebilse de, kararl bir toplum
mhendisinin bazen bir alan snrl bir hatt aramaya ve kar
taraftan saldrgan geri aramaya ya da yalnzca snrl hatt bir toplu
grme oluturmaya ikna edebilecei de unutulmamaldr. Saldrgana
yardmc olacak ekilde alanlarn kandrlmas yntemi bu taktiklerle
ilgili bilinci artrmak amacyla gvenlik eitimleri srasnda tartlmaldr.
eitli
4-1 Personel kart tasarm

Kural: Personel kartlar uzaktan tannabilecek byk bir fotoraf
ierecek ekilde tasarlanmaldr.
Aklamalar/Notlar: Sradan tasarml irket kimlik kartlarndaki
fotoraflar ie yaramazdan bir gmlek stndr. Binaya giren biriyle,
kimlik kontrolne yetkili bir gvenlik ya da danma grevlisi arasndaki
uzaklk o kadar fazladr ki, kii yryp geerken, resim, seilemeyecek
kadar kk kalr. Byle bir durumda fotorafn ie yarayabilmesi iin
kartn yeniden tasarlanmas arttr.
4-2 K o n u m ya da sorumluluk deitirirken eriim
haklarnn gzden geirilmesi

Kural: Ne zaman bir irket alannn konumu deiir ya da sorumluluklar azalr veya oalrsa, alann yneticisi, gerekli gvenlik profilinin oluturulmas iin deiimden B'y haberdar eder.
Aklamalar/Noiar: alanlarn eriim yetkilerinin ynetimi, korunmas gereken bilgilerin aa kmasn kstlamak iin arttr. En dk
yetki kural geerli olacaktr: Kullanclara verilen eriim yetkileri ilerini
yapmalarnda gerekli olan en dk seviye olacaktr. Ykseltilmi eriim
yetkileriyle sonulanan deiim talepleri ykseltilmi eriim yetkileri
veren bir kuralla balantl olmaldr.
Hesap sahibinin eriim yetkilerini ihtiya dorultusunda ayarlamalar
iin B birimine haber verme sorumluluu, alann yneticisinin ya da
insan kaynaklan blmnndr.
260
Aldatma Sanat
4-3 irket alan o l m a y a n l a r iin zel kimlik

Kural: irketiniz, dzenli olarak ieride ii olan ama irket alan
olmayan kiiler ve gvenilir kuryeler iin zel fotorafl irket kart karmaldr.
. ,
.
Aklamalar/Notlar: Dzenli olarak binaya girmesi gereken irket
d kiiler (rnein, kafeteryaya yiyecek ve iecek getirenler, fotokopi
makinas tamircileri ya da telefon balamaya gelenler) irketiniz iin bir
tehdit oluturabilirler. Bu ziyaretilere kart karmaya ek olarak irketlerin, alanlarna kartsz bir ziyareti grdklerinde nasl davranmalar
gerektii konusunda da eitim verilmelidir.
4-4 Taeronlarn bilgisayar hesaplarn k a p a t m a k
Kural: Kendisine bir bilgisayar hesab alm bir taeron iini
bitirdikten ya da szlemesi sona erdikten sonra, sorumlu ynetici derhal bilgi teknolojileri blmn haberdar ederek uzaktan eriim iin telefon balants ya da internet eriimleri ve veritaban eriim hesaplan da
dahil olmak zere taeronun bilgisayar hesaplarn kapattracaktr.
Aklamalar/Notlar: Bir alann iine son verildiinde verilere
ulamak iin irket sistemleri ve sreleri bilgisini kullanma tehlikesi
vardr. Eski alann kulland ya da bildii tm bilgisayar hesaplar
hemen kapatlmaldr. Bu hesaplarn arasnda retim veri tabanna
eriim, uzaktan balant ve bilgisayar balantl donanmlara eriim iin
kullanlan dier hesaplar da bulunmaldr.
4-5 Olay b i l d i r m e merkezi
Kural: Bir olay bildirme merkezi kurulmal ya da daha kk irketlerde, olas gvenlik olaylarna ynelik uyarlar alp duyuracak bir
olay bildirme sorumlusu ve yardmcs seilmelidir.
Aklamalar/Notlar: pheli gvenlik olaylarnn bildirilmesi ilevini
merkezletirerek daha nce fark edilemeyecek trden bir saldrnn fark
edilmesi salanabilir. irket apnda dzenli saldrlar grlr ve bunlar
bildirilirse olay bildirme merkezi saldrgann neyi hedeflediini bulabilir;
bylece ilgili varlklar korumak iin zel bir aba harcanabilir.
Olay raporlarn almakla grevlendirilmi alanlar toplum
mhendislii yntem ve taktiklerine aina olmaldrlar. Bylece raporlar
deerlendirip, devam eden olan bir saldry grebilirler.
4-6 Olay b i l d i r m e hatts
Kural: Olay bildirme merkezine hatrlamas kolay bir dahil numaras
olan bir hat alabilir.
Aklamalar/Notlar: alanlar bir toplum mhendislii saldrsnn
hedefi olduklarndan phelendiklerinde hemen olay bildirme merkezini
261
haberdar edebilmelidirler. Haberin zamannda verilebilmesi iin ilgili

numara, tm irket telefon santral memurlarnn ve danma
grevlilerinin nlerinde asl olmal ya da rahat ulaabilecekleri bir yerde
durmaldr.
irket apnda bir erken uyar sistemi, srmekte olan bir saldry
tespit edip karlk vermeye byk lde yardmc olabilir. Yazl tzkler uyarnca, olay bildirme merkezi grevlileri, personelin dikkatli olmas
iin bir saldrnn sz konusu olduu dorultusunda hemen hedeflenen
gruplara uyar gnderirler. Uyarnn zamannda yaplabilmesi iin
merkez numarasnn irket bnyesinde herkese datlm olmas
gerekir.
4-7 Hassas alanlar kapatlmaldr
Kural: Bir gvenlik grevlisi hassas ya da gvenli alanlar gzetim
altnda tutacak ve bu alanlara giri iki kademeli tantm gerektirecektir.
Aklamalar/Notlar: Kabul edilebilir tantm ekillerinden biri
alann kartn geirip bir eriim ifresi girmesinin istendii dijital elektronik kilittir. Hassas blgeleri gvenlik altna almann en emin yolu,
kapya kartl girii gzetleyecek bir gvenlik grevlisi yerletirmektir.
Bunun ok maliyetli olduu kurulularda kimlik kontrol iin iki kademeli
tantm kullanlmaldr. Riske ve maliyete gre biyometrik zellikli bir
giri kart da nerilir.
4-8 A ve telefon kutular
Kural: A kablolar, telefon kablolar ya da a eriim noktalar bulunan kutular, dolaplar ya da odalar her zaman kapal tutulmaldr.
Akiamalar/Motlar: Yalnzca yetkili personelin telefon ve a kutularna, odalara ve dolaplara eriimine izin verilmelidir. Dardan gelen
onarm grevlileri ya da satc firma sorumlularnn kimlikleri bilgi gvenliinden sorumlu blmn kard sreler kullanlarak, kuku brakmayacak biimde kontrol edilmelidirler. Telefon hatlarna, a balant
noktalarna, dmelere, kprlere ya da dier ilgili cihazlara eriim
olmas, bilgisayar ve a gvenliini krmak isteyen bir saldrgan tarafndan kullanlabilir.
4-9 irket ii posta kutu!an

Kural: irket ii posta kutular herkese ak yerlere konmamaldr.
Aklamalar/Notlar: irket ii posta alm noktalarna eriimi olan
sanayi casuslar ya da bilgisayar krclar, alanlar gizli bilgi vermeye
ya da saldrgana yardmc olacak bir ilem yapmaya yetkilendiren sahte
yetki mektuplarn ya da dahil formlar rahatlkla gnderebilirler. Ayrca
saldrgan, iinde bir yazlm gncellemesi ykleme ya da saldrgann
amalar dorultusunda yerletirilmi makrolar ieren bir dosyay ama
262
Aldatma Sanat
talimatlar ieren bir disket ya da baka elektronik ortamlar gnderebilir.

irket ii postayla gelen herhangi bir paketin, doal olarak, alclar
tarafndan gvenilir olduunu varsaylr.
4-10 irket b l t e n panosu
Kural: irket alanlar yararna olan blten panolar dardan
gelenlerin eriebilecei yerlere almamaldrlar.
Aklamalar/Notlar: Pek ok iletmede, herkesin okuyabilmesi iin irkete ya da alana ait zel bilgilerin asld blten panolar bulunur.
alan haberleri, alan listeleri, dahil mektuplar, ilanlarda ad geen
alanlarn ev telefon numaralan ve dier benzeri bilgiler panoya aslrlar.
Blten panolar, ziyaretilerin giremeyecei irket kafeteryalarnn
yaknlarna, sigara ve kahve molas kelerine yerletirilebilir. Bu tarz
bilgiler ziyaretilerin ya da gelip geenlerin ulaabilecei yerlerde bulunmamaldr.
4-11 Bilgisayar merkezi girii
Kural: Bilgisayar odas ya da veri merkezi her zaman kilitli tutulmal
ve alanlarn ieri girerken kimlik gstermeleri zorunlu olmaldr.
Aklamalar/Notlar: irket gvenlii, tm girilerin elektronik olarak
kaytlarnn tutulabilmesi ve denetlenebilmesi iin elektronik kart ya da
kart okuyucu kullanma seeneini de deerlendirmelidir.
4-12 Hizmet salayciardaki mteri h e s a p l a n
Kural: irkete nemli hizmetler salayan satclara sipari veren irket alanlar yetkisiz kiilerin irket adna sipari vermelerini nlemek
iin parolal bir hesap amaldrlar.
Aklamalar/Notlar: Siparile alan irketler ve pek ok baka
firma, mterilerinin parola koymalarna izin verirler. irket ise ie uygun
hizmet alabilmek iin tm satclarnda parola oluturmaldr. Bu kural
zellikle telekomnikasyon ve internet hizmetleri iin nemlidir. Kritik
hizmetlerin etkilendii durumlarda, arayann sipari vermek iin yetkili
olup olmadn kontrol etmek iin ortak bir bilgi kullanlmas arttr.
Sosyal gvenlik numaras, irket vergi numaras, annenin kzlk soyad
ya da benzeri tanmlayc bilgilerin kullanlmamas gerektii de unutulmamaldr.
Bir toplum mhendisi, rnein telefon irketini arayp modem hatlarna ynlendirme eklenmesi iin talimat verebilir ya da kullanclar ana bilgisayar arattrdklarnda sahte bir P numaras vermek iin eviri bilgilerinin deitirilmesini internet Hizmet Salaycsndan isteyebilir.
263
4-13 Blm balant sorumlusu

Kural: irketiniz, her blmden ya da i grubundan bir kiiye
balant kurulacak kii sorumluluunu verdii bir program tesis edebilir.
Bylece herhangi bir alan, o blmden olduunu iddia eden bilinmeyen kiilerin gerekliini kolaylkla dorulayabilir. rnein, yardm
masas destek isteyen bir alann kimliini onaylatmak iin ilgili
blmn balant kiisini arayabilir.
Aklamalar/Notlar: Kimliin bu yntemle tespiti, bu tarz alanlar
parolalar yenilemek ya da bilgisayar hesabyla ilikili konularda destek
almak istediinde kendi blmnden dier alanlara kefil olacak
alan saysn da azaltr.
Toplum mhendislii saldrlarnn baarl olmalarnn bir nedeni de
teknik destek alanlarnn yeterli zamanlarnn olmamas ve istek
sahibinin kimlik tespitini doru bir yntemle yapmamalardr. Balant
kiisinin kefil olmas, teknik destek ekibinin onay amacyla ahsen
grmeleri gereken kii saysn azaltr.
4-14 Mteri parolalar

Kural: Mteri hizmet temsilcilerinin mteri hesap parolalarn
alma yetkilen olmayacaktr.
Aklamalar/Notlar: Toplum mhendisleri sk sk mteri hizmetlerini arayp parola ya da Sosyal Gvenlik Numaras gibi mteri tanmlama bilgilerini elde etmeye alrlar. Bir toplum mhendisi bu bilgiyi kullanarak baka bir mteri temsilcisini arayp, mteri gibi davranp bilgi
elde etmeye ya da sahte sipariler vermeye alabilir.
Bu denemelerin baarya ulamasn engellemek iin mteri hizmet
yazlm yalnzca arayann verdii tanmlama bilgilerinin girilebilecei
ekilde tasarlanmaldr ve temsilci, sistemden sadece parolann doru
olup olmadn syleyen bir mesaj almaldr.
4-15 Aklk testleri

Kural: Gvenlik bilinlendirme ve alan intibak eitimleri srasnda
gvenlik aklarn test etmek iin irketin toplum mhendislii taktikleri
kullanacan bildirilmesi gerekmektedir.
Aklamalar/Notlar: Toplum mhendislii delme testleri nceden
bildirilmeden yaplrsa dier alanlarn ya da testi yapan irket elemanlarnn kendilerine kar aldatc taktikler kullanmas nedeniyle irket
alanlarnda fke, utanma ya da baka duygusal sarsntlar oluabilir.
4-16 irket Gizli b i l g i l e r i n i n gsterilmesi
Kural: Halka aklanmas dnlmeyen irket bilgileri herkesin
grebilecei yerlere almamaldr.
264
Aldatma Sanat
AkSamalar/Notiar: Gizli rn ya da sre bilgilerine ek olarak,

dahil telefon numaralar veya alan listeleri gibi listeler ya da her
blmn yneticilerinin listesini ieren bina grev izelgeleri gibi dahil
iletiim bilgilerinin de gzlerden uzak tutulmalar gerekmektedir.
4-17 Gvenlik bilinlendirme eitimi
Kural: irketin tm alanlar, alan intibak eitimleri srasnda bir
gvenlik bilinlendirme eitimini de tamamlamaldrlar. Dahas, her
alan, on iki ay gememek kouluyla gvenlik eitimlerini yrten
blmn belirledii dzenli aralklarla gvenlik bilincini tazeleme eitimleri
almaldr.
Aklamalar/Notlar: Pek ok kurulu u kullanc bilinlendirme
eitimini tamamen gz ard eder. 2001 Kresel Bilgi Gvenlii
Aratrmas'na gre, aratrmaya katlan kurulularn yalnzca yzde
30'u kullanclara ynelik bilinlendirme eitimlerine para ayrmaktadr.
Bilinlendirme eitimi toplum mhendislii teknikleri kullanlarak
baarya ulaabilen gvenlik ihlallerinin saysn azaltmaya ynelik
nemli bir gerekliliktir.
4-18 Bilgisayar eriimi iin gvenlik eitimi dersleri
Kural: alanlar herhangi bir irkette, bilgisayar sistemine eriim
hakk elde etmeden nce bilgi gvenlii derslerini baaryla ta'mamlam olmaldrlar.
Aklamalar/Notlar: Toplum mhendisleri sk sk yeni ie girenleri
hedef alrlar ve onlarn gurup olarak irketin gvenlik kurallarn, veri
snflandrma ve hassas bilgilerin kullanmna ynelik doru sreleri
bilme olaslklarnn dk olduunu bilirler.
Eitim, alanlarn gvenlik kurallaryla ilgili olarak sorular sormalarna da olanak tanmaldr. Eitimin ardndan hesap sahibinin
gvenlik kurallarn anladn ve kurallara uyacan taahht eden bir
belge imzalamas zorunlu olmaldr.
4-19 alan kart renkli baskl olmaldr
Kural: Kimlik kartlar, kart sahibinin alan, taeron, geici satc,
danman, ziyareti ya da stajyer olduunu gsterecek ekilde renklendirilmi olmaldr.
Ak!ama!ar/Notlar: Kart rengi, kiinin konumunu uzaktan anlamak
iin ok iyi bir yoldur. Dier bir seenek ise kart sahibinin konumunu
belirtmek iin iri harfler kullanlmasdr, ancak renkli bir tasarm olmas
hataya mahal vermez ve grmesi daha kolaydr.
Binann iine girebilmek iin toplum mhendislerinin ska kullandklar bir yntem ise kurye ya da tamirci klna girmektir. eri girebildikten sonra saldrgan baka bir alan olarak davranabilir ya da hibi'
265
eyin farknda olmayan alanlarn ibirliini elde etmek iin unvanyla

ilgili yalan syleyebilir. rnein, binaya telefon tamircisi olarak giren bir
kii bir alan gibi davranamaz, nk kartnn rengi onu ele verir.
Bilgi lem Teknolojileri Kurallar

Herhangi bir irketin bilgi ilem teknolojileri blm kuruluun bilgi
varlklarn korumada yardmc olmas iin kurallara zel bir gereksinim
duymaktadr. Bir kurulutaki B ilemlerinin zgn yapsn yanstabilmek amacyla, B kurallarn Genel, Yardm Masas, Bilgisayar
Ynetimi ve Bilgisayar ilemleri olarak bldm.
5-1 B blm alan iletiim bilgiler:

Kural: B blm alanlarnn telefon numaralan ve e-posta
adresleri, bilme gerei olmayan herhangi birine verilmemelidir.
Aklamalar/Notlar: Bu kuraln amac, iletiim bilgilerinin toplum
mhendisleri tarafndan ele geirilmesini engellemektir. B iin yanzca
genel bir iletiim numaras ya da e-posta adresi verilerek dardan arayanlarn B blm alanlarna dorudan ulamas engellenecektir. Site
yneticisinin ve teknik hizmetlerin e-posta adresi yalnzca admin@companyname.com gibi gene! adlardan olumaldr. Verilen telefon numaralan
bireysel alanlara deil, blmn sesli mesaj kutusuna balanmaldrlar.
Dorudan iletiim bilgileri herkese ak olduu zaman bir bilgisayar
krcsnn belirli B alanlarna ulamas ve bir saldrda kullanlabilecek bilgileri ya da B alan gibi davranmak amacyla adlarn ve
iletiim bilgilerini vermeleri iin onlar kandrmas kolaylaacaktr.
5-2 Teknik destek talepleri

Kural: Tm teknik destek talepleri bu tarz talepleri deerlendiren
gruba ynlendirilmelidir.
Aklamalar/Motiar: Toplum mhendisleri, genel olarak teknik destek
konularyla ilgilenmeyen ve bu tarz isteklere yant verebilmek iin uygun
gvenlik srelerinin farknda olmayan B alanlarn aramay deneyebilirler. Buna gre B alanlar bu istekleri geri evirmek ve arayan
destek vermekle ykml gruba ynlendirmek zere eitilmelidirler.
Yardm Masas .
....
6-1 Uzaktan eriim sreleri

Kural: Yardm masas alanlar, haric a eriim noktalan ya da
266
Aldatma Sanat
balant numaralar da aralarnda olmak zere uzaktan eriimle ilgili bilgileri ve ayrntlar aklamamaldrlar. Ancak, istek sahibi aadaki
koullardan birine uyuyorsa durum deiebilir:
Dahil bilgi alabileceine dair yetkili olduunun onaylanm

olmas. .
.'.
Haric bir kullanc olarak irket ana balanmaya yetkili olduunun onaylanm olmas. Kii ahsen tannmad srece bu
blmde anlatlan Onay ve Yetkilendirme Srelerine uygun
olarak istek sahibinin kimlik tespiti kuku brakmayacak ekilde
:
yaplmaldr.
Aklamaiar/Notlar: Hem ileri bilgisayarla ilgili konularda kullanclara destek vermek olduu, hem de arttrlm sistem yetkileri
olduu iin irket yardm masas sk sk toplum mhendisinin balca
hedefi olur. Tm yardm masas alanlar, irket kaynaklarna yetkisiz
kiilerin ulamasna yol aabilecek yetkisiz bilgi aktarmlarn
engelleyen bir insan gvenlik duvar olacak ekilde yetitirilmelidirler.
En basit kural, kimlik tespitinin sonucu olumlu kmadan hibir zaman
uzaktan eriim srelerini kimseye aklamamaktr.
6-2 Parolalar ilk duruma dndrmek

Kural: Bir kullanc hesabna ait parola yalnzca hesap sahibinin
istei dorultusunda yenilenebilir.
Aklamalar/Notlar: Toplum mhendisleri tarafndan en sk
oynanan oyun, baka birinin hesabnn parolasn ilk duruma dndrtmek ya da deitirtmektir. Saldrgan, parolasn unutmu ya da kaybetmi bir alan gibi davranr. Bu tarz bir saldrnn baar ansn azaltabilmek iin, parolay ilk durumuna dndrmeye ynelik bir talep
geldiinde B alan herhangi bir ilem yapmadan nce talebi veren
alan geri aramaldr ve bu arama iin alan telefon rehberindeki
numaray kullanmaldr. Bu srele ilgili olarak Onay ve Yetkilendirme
Srelerine baknz.
6-3 Yetkilerin deiimi

Kural: Bir kullancnn yetkilerini ya da eriim haklarn artrmaya
ynelik tm talepler hesap sahibinin yneticisi tarafndan yazl olarak
onaylanm olmaldr. Ayrca bu tarz taleplerin Onay ve Yetkilendirme
Srelerine uygun olarak geerlilikleri onaylanmaldr.
Aklamalar/Notlar: Bir bilgisayar krcs standart bir kullanc
hesabna girdikten sonra bir sonraki adm saldrgann tm sistem
zerinde tam kontrol salamas iin yetkilerini artrmas olur.
Yetkilendirme sreciyle ilgili bilgisi olan bir saldrgan e-postayla, faksla
ya da telefonla, yetkili gibi grnen bir talepte bulunabilir. rnein,
saldrgan teknik destek ya da yardm masasn arayp girebildii hesa-
267
ba ek eriim haklar alabilmek iin bir teknisyeni ikna etmeye alabilir.

6-4 Yeni hesap yetkisi
Kural: alanlar, taeronlar ya da dier yetkili kiilerin kullanm iin
alacak yeni hesap talepleri alann yneticisi tarafndan imzalanm
yazl bir belgeyle ya da dijital olarak imzalanm elektronik postayla
yaplmaldr. Bu istekler irket ii posta araclyla teyit edilmelidir.
Aklamalar/Notlar: Parolalar ve dier bilgiler bilgisayar sistemlerine girmek iin faydal olduklarndan, bilgi hrszlarnn eriim salamada kullandklar en ncelikli hedeflerdir ve zel nlemler alnmas arttr.
Bu kuraln amac bilgisayar krclarnn yetkili personel gibi davranmasn ya da yeni hesap taleplerinin sahtesini oluturmasn nlemek
iindir. Bu nedenle tm bu tarz istekler Onay ve Yetkilendirme Sreleri
kullanlarak phe kalmayacak biimde onaylanmaldrlar.
6-5 Yeni parolalarn teslimi

Kural: Yeni parolalar irket gizli bilgileri olarak ele alnmal ve ahsen, taahhtl posta gibi imzal teslimatla ya da gvenilir kargo irketleri gibi gvenli yntemler kullanarak teslim edilmelidirler (bkz. gizli bilgilerin datm ile ilgili kurallar).
Aklamalar/Notlar: irket ii posta da kullanlabilir, ancak parolalarn, ieriini gstermeyen gvenli zarflarda gnderilmesi gerekir.
nerilen bir yntem de her blmden bir bilgisayar iletiim sorumlusu
belirlemektir. Bu kii yeni hesap ayrntlarnn datmndan ve parolalarn kaybeden ya da unutan alanlara kefil olmaktan sorumludur.
Bu durumda, destek personeli her zaman ahsen tand kk bir
gurupla birlikte alyor olacaktr.
6-6 Bir hesabn kapatlmas
Kural: Bir kullanc hesabn kapatmadan nce talebin yetkili
birinden geldiinin dorulanmas gerekmektedir.
Aklamalar/Notlar: Bu kuraln amac, saldrgann bir hesabn kapatlmasn isteyip sonra da kullancnn bilgisayar sistemine eriememesi sorununu zmeye alyor numaras yapmas engellemek
iindir. Toplum mhendisi kullancnn sisteme girememesiyle ilgili nceden bilgisi olan bir teknisyen gibi davranarak kurban aradnda, kurban, yaplan kontroller srasnda parolas istendiinde ou zaman bu
bilgiyi verir.
6-7 A balant noktalarnn ve aralarnn devre d
braklmas
Kural: Hibir alan kim olduunu bilmedikleri bir teknik destek alan
iin herhangi bir a aracn ya da balant noktasn kapatmamaldr.
268
Aldatma Sanat
Aklamalar/Notlar: Bu kuraln amac, bir saldrgann bir a balantsnn kapatlmasn isteyip sonra da aa eriim sorununu zmek iin
alan aramasn engellemektir. Yardmsever bir teknisyen klndaki
toplum mhendisi, kullancnn a sorununa ilikin n bilgisi varm gibi
davrandnda, kurban, yaplan kontroller srasnda parolas istendiinde ou zaman bu bilgiyi verir.
6-8 Telsiz eriimi srelerinin aklanmas
Kural: Hibir alan telsiz ana balanmaya yetkili olmayan kimselere
telsiz a zerinden irket ana balanma srelerini aklamamahdr.
Aklamalar/Notlar: Telsiz eriim bilgilerini aklamadan nce
kiinin harici kullanc olarak irket ana balanmaya yetkili olup olmad her zaman nceden kontrol edilmelidir (bkz. Onay ve Yetkilendirme
Sreleri).
6-9 Kullanc gizlilii
Kural: Bilgisayarla ilgili sorun olduunu bildiren alanlarn adlar
bilgi ilem blm dndan kimseye aklanmamaldr.
Aklamalar/Notlar: Sradan bir saldrda toplum mhendisi yardm
masasn arar ve yakn zamanda bilgisayarlarnda sorun olduunu
bildiren alanlarn adlarn ister. Arayan alan, taeron ya da telefon
irketi eleman gibi davranabilir. Sorun olduunu syleyen kiilerin
adlarn aldktan sonra toplum mhendisi yardm masas ya da teknik
destek personeli gibi davranr ve alan arayarak sorunu zmek iin
aradn syler. Arama srasnda saldrgan, kurban istedii bilgileri vermesi ya da saldrgan hedefine gtrecek bir ilem yapmas iin
kandrr.
6-10 Komut g i r m e k ya da p r o g r a m altrmak
Kural: Bi blmnde ayrcalkl hesaplan olan alanlar, ahsen
tanmadklar birinin istei zerine herhangi bir komut ya da progam
altrmamaldrlar.
Aklamalar/Notlar: Saldrganlarn bir Truva At ya da baka bir
kt huylu yazlm yklemek iin ska kullandklar bir yntem de var
olan bir programn adn deitirmek ve sonra da yardm masasn arayarak program altrmaya urarken hata mesaj verdiini sylemektir. Saldrgan, yardm masas teknisyenini program altrmaya ikna
eder. Teknisyen program altrdnda kt huylu yazlm altran
kullancnn yetkilerini grr ve saldrgana ayn yetkilen verdii bir ilem
gerekletirir. Bu, saldrgann irket sistemini ele geirmesini salar.
Bu kural destek personelinin bir istee bal olarak herhangi bir program altrmadan nce alan konumunun dorulanmasn zorunlu
tutarak yukarda bahsedilen taktie kar bir nlem getirmektedir.
269
7-1 Genel eriim haklarnn deitirilmesi

Kural: Bir elektronik i profiliyle ilgili genei eriim haklarn
deitirme talebi irket anda eriim haklarn yneten gurup tarafndan
onaylanmaldr.
Aklamalar/Notlar: Yetkililer her deiim talebinin bilgi gvenlii
iin bir tehdit unsuru oluturup oluturmadn deerlendireceklerdir.
Eer oluturuyorsa, sorumlu kii istek sahibini gerekli konularda uyaracak ve yaplacak deiiklikler konusunda ortak bir karara varacaklardr.
7-2 Uzaktan eriim talepleri
Kural: Uzaktan bilgisayar eriimi yalnzca irket d noktalardan bilgisayar sistemlerine girme gereklilii olduunu gsteren alanlara verilecektir.
Aklamalar/Notlar: Yetkili personel tarafndan irket ana dardan balanma ihtiyacna gre bu tarz eriimin yalnzca gerek duyanlara
verilecek ekilde snrlandrlmas uzaktan eriimli kullanclarn ynetimini ve oluan riski byk lde azaltacaktr. Dardan balanma
yetkileri olan kiilerin says ne kadar az olursa saldrgann hedef
seenekleri de o kadar az olacaktr. Saldrgann irket ana girmek iin
balantlarn almak ya da onlarn kimliine brnmek niyetiyle uzak
kullanclar hedefleyebilecein'! hibir zaman unutmaynz.
7-3 Ayrcalkl hesap parolalarnn ilk duruma getirilmesi

Kural: Yetkili bir hesaba ait parolann ilk durumuna getirilmesi talebi,
hesabn bulunduu bilgisayardan sorumlu sistem yneticisi tarafndan
onaylanmaldr. Yeni parola, irket ii postayla gnderilmeli ya da ahsen iletilmelidir.
Aklamalar/Notlar: Ayrcalkl hesaplarn tm sistem kaynaklarna
ve bilgisayar sistemindeki dosyalara eriimi vardr. Doal olarak bu
hesaplarda mmkn olan en gl koruma kullanlmaldr.
7-4 Dardan gelen destek personelinin uzaktan eriimi

Kural: Hibir dardan destek personeline (yazlm ya da donanm
satan firmadan gelen personel gibi) ilgili hizmetleri vermeye yetkili olup
olmadklar kontrol edilmeden ve kimlik tespiti yaplmadan irket bilgisayar sistemlerine ya da ilgili aralara uzaktan erime hakk ya da bilgisi
verilmemelidir. Eer destek hizmeti vermek zere satc firma yetkili
eriim talep ediyorsa, verilen hizmet sona erdiinde satc firmann kulland hesabn parolas zaman kaybetmeden deitirilmelidir.
Aklamalar/Notlar: Bilgisayar krclar irket bilgisayar ya da
telekomnikasyon ana girebilmek iin satcym gibi davranabilirler.
270
Aldatma Sanat
Bu nedenle sistemde herhangi bir i gerekletirme yetkilerinin yansra

satcnn kimliinin de onaylanmas nemlidir. Ayrca i bittiinde
satcnn kulland hesap parolas deitirilerek sistem kaplar kapatlmaldr.
Hibir satc firmann geici olarak bile herhangi bir hesap iin kendi
istedii parolay kullanmasna izin verilmemelidir. Baz satclarn farkl
bilgisayar sistemlerinde ayn ya da benzer parolalar kullandklar bilinmektedir. rnein, bir a gvenlik irketi tm mteri bilgisayar sistemlerindeki hesaplarna ayn parola ile erimektedir ve stne stlk
darya Telnet eriimine de izin verilmitir.
7-5 irket sistemlerine uzaktan eriim iin gl tanmlama

Kural: irket ana uzaktan eriim iin kullanlan tm balant noktalar deiken parolalar ya da biyometrikler gibi gl tanmlama
aralaryla korunmaldrlar.
Aiklamaiar/Notlar: Pek ok iletme, uzak kullanclar tanmlamann tek yolu olarak sabit parolalara gvenirler. Bu uygulama sakncaldr nk gvensizdir. Bilgisayar krclar kurbann anda olas en
zayf balanty oluturabilecek uzaktan eriim noktasn hedeflerler.
Baka birinin parolanz renip renmediini hibir zaman bilemezsiniz.
Bu nedenle uzaktan eriim noktalar, zaman tabanl anahtarlar, akll kartlar ya da biyometrik aralar gibi gl tanmlama aralaryla korunmaldr, bylece araya girerek alnm parolalarn saldrgan iin hibir
deeri olmaz.
Deiken parolalara dayal tanmlamalar kullansz olduklarndan,
bilgisayar kullanclar, tahmin edilmesi zor parola seme kuralna sadakatle uymaldrlar.
7-6 letim sistemi ayarlar!
Kural: Sistem yneticileri mmkn olan her noktada iletim sistemlerinin tm geerli gvenlik kural ve sreleriyle tutarl bir ekilde
ayarlanm olduundan emin olmaldrlar.
Aklamalar/Notlar: Gvenlik kurallarn hazrlamak ve datmak
tehlikeyi azaltmaya ynelik nemli bir admdr ama ou durumda uyup
uymamak ister istemez bireysel alana kalmtr. Ancak bilgisayarla
ilgili birok kural, parolalarn sahip olmas gereken uzunluk gibi, iletirr
sistemi ayarlar sayesinde zorunlu duruma getirilebilir. Gvenlik kuralarn iletim sistemi zelliklerini ayarlayarak otomatikletirmek, kararla"
etkili bir ekilde insan unsurunun elinden alp kuruluun genel gvenli ni artrmaktadr.
271
7-7 Zorunlu sre am

Kural: Tm bilgisayar hesaplar bir yl ierisinde kapanmaya
ayarlanmaldr.
Aklamalar/Notlar: Bu kuraln amac, bilgisayar krclar sk sk,
kullanlmayan hesaplar hedefledikleri iin, artk kullanlmayan bilgisayar hesaplarn ortadan kaldrmaktr. Bu sre eski alanlara ya da
taeronlara ait ve kazara olduu gibi braklm herhangi bir bilgisayar
hesabnn otomatik olarak kaldrlacan garantiler. .
Ynetimin takdirine bal olarak yenileme zamannda alanlarn
gvenlik tazeleme eitimi almalar ya da bilgi gvenlik kurallarn gzden geirip bunlara uyacaklarna dair bir taahhtname imzalamalar
zorunlu tutulabilir.
7-8 Genel e-posta adresleri
Kural: B blm daryla srekli iletiimi olan her blm iin genel
bir e-posta adresi oluturacaktr.
Ak!amalar/Notlar: Genel e-posta adresi santral memurlar
tarafndan ya da irketin internet sitesi araclyla darya verilebilir.
Bylece her alan kendi ahs e-posta adresini yalnzca bilmesi
gereken kiilere verecektir.
Bir toplum mhendislii saldrsnn ilk aamasnda saldrgan genellikle alanlarn telefon numaralarn, adlarn ve unvanlarn renmeye alr. ou zaman bu bilgi irket internet sitesinde bulunabilir ya
da istendiinde herkese verilebilir. Genel sesli mesaj kutularnn
ve/veya e-posta adreslerinin yaratlmas alan adlarnn belirli blmler ya da sorumluluklarla badatrlmasn zorlatrmaktadr.
7-9 Alan tescilleri iin iletiim bilgileri

Kural: internet adres alanlar ya da alan adlar almak iin kayt
olurken salanan iletiim bilgileri idar, teknik ya da dier alanlarn
bireysel olarak adlarn vermemelidir. Onun yerine oraya genel bir
e-posta adresi ve ana irket telefon numaras girilmelidir.
Aklamalar/Notlar: Bu kuraln amac iletiim bilgilerinin bilgisayar
krcs tarafndan ktye kullanlmasn nlemektir. Bireylerin adlar ve
telefon numaralar verildiinde bir saldrgan bu bilgileri kullanarak kiilerle balant kurabilir ve onlar sistem bilgileri vermeleri ya da saldrgann amacna uyan bir ilem yapmalar dorultusunda kandrabilir.
Toplum mhendisi dier irket alanlarn kandrabilmek iin ad
geen alanlardan biri gibi davranabilir.
Belirli bir alann e-posta adresi yerine, iletiim bilgisi administrator@company.com eklinde olmaldr. Telekomnikasyon blm
alanlar, idar ve teknik iletiim iin genel bir sesli mesaj kutusu olu-
272
Aldatma Sanat
turarak bir toplum mhendislii saldrsnda ie yarayabilecek bilgilerin

gizliliini korumu olurlar.
7 - 1 0 Gveniik ve iletim sistemi gncellemelerinin yklenmesi
Kural: iletim sistemi ve uygulama yazlmlarna ynelik tm gvenlik yamalan, ktklar zaman en ksa srede yklenmelidirler. Eer bu
kural grev-kritik retim sistemlerinin ileyiiyle atyorsa bu tarz gncellemeler uygun olduklar zaman yaplmaldrlar.
Aklamaar/Motlar: Bir ak grldnde bir yamann ya da geici bir zmn var olup olmadn renmek iin yazlm reticisi
zaman kaybetmeden aranmaldr. Yamalanmam bir bilgisayar sistemi
kuruma en byk gvenlik tehditlerinden birini oluturur. Sistem yneticileri gerekli zmleri uygulamay geciktirirlerse pencere o kadar alr
ki saldrgan trmanp ieri girebilir.
Bulunan dzinelerce gvenlik a haftalk olarak internette yaynlanmaktadr. Bilgi ilem alanlar mmkn olan en ksa srede gvenlik yamalarn ve zmlerini ykleme abalan konusunda uyank
davranana kadar, irket a hep bir gvenlik ihlali yaama tehlikesiyle
kar karya kalacaktr. letmede kullanlan uygulama programlan ve
iletim sisteminin zayflklaryla ilgili yaplan aklamalardan haberdar
olmak olduka nemlidir.
7-11 nternet sayfalarndaki iletiim bilgileri
Kura!: irketin haric internet sayfas, irket yaps ile ilgili hibir bilgi
vermemeli ya da alanlar isim isim gstermemelidir.
Aklamalar/Notlar: Kurulu emalar, hiyerari emalar, alan
ya da blm listeleri, raporlama yaps, adlar, unvanlar, dahili telefon
numaralar, alan numaralan ya da irket yapsna ynelik benzeri bilgiler internet sayfalarnda genel eriime ak olmamaldrlar.
Bilgisayar krclar, yararl bilgileri sk sk hedefin internet sayfasndan
bulurlar. Saldrgan, evirdii bir dolapta konuya hakim bir alan gibi grnmek iin bu bilgiyi kullanr. Elinde bu bilgi varken toplum mhendisinin
inandrc olma olasl daha fazladr. Dahas, saldrgan, bu bilgiyi inceleyerek
deerli, hassas ya da nemli bilgilere eriimi olabilecek hedefleri bulabilir.
7-12 Ayrcalkl hesaplarn oluturulmas
Kural: Sistem yneticisi tarafndan onaylanmad srece hibir
ayrcalkl hesap almamal ya da herhangi bir hesabn sistem yetkileri
artrlmamahdr.
Aklamalar/Notlar. Bilgisayar krclar sk sk donanm ya da
yazlm satcs firma yetkilisi gibi davranarak teknik personeli onaylan-
273
mam hesaplar amalar dorultusunda kandrmaya alabilirler. Bu

kuraln amac, ayrcalkl hesaplarn oluurulmas zerine daha byk
bir denetim getirerek bu saldrlar engellemektir. Yksek yetkilerle
donatlm bir hesap ama talebini sistem yneticisi onaylam
olmaldr.
7-13 Misafir hesaplar
Kural: Herhangi bir bilgisayar sisteminde ya da ilgili a aralarnda
bulunan misafir hesaplar, ynetimin onaylad adsz eriimli FTP
(dosya aktarm protokol) sunucusu hari, devre d braklmal ya da
kaldrlmaldr.
Aklamalar/Notlar: Misafir hesabn amac kendilerine ait bir hesap
almasna gerek olmayan kiilere geici eriim salamaktr. Pek ok
iletim sistemi misafir hesaplar alm olarak gelir. Misafir hesaplar her
zaman devre d braklmaldr, nk varlklar kullanc sorumluluu
ilkesine aykrdr. B tm bilgisayarlardaki faaliyeti denetleyebilmen ve
onlar belirli bir kullancyla badatrabilmelidir.
Toplum mhendisleri ya dorudan kullanp ya da yetkili personeli bir
misafir hesab kullanmaya ikna edip yetkisiz eriim salamak iin misafir hesaplarndan kolaylkla yararlanrlar.
7-14 irket dnda tutulan yedeklerin irelenmesi

Kural: irket dnda tutulan herhangi bir veri yetkisiz eriimi
engellemek iin ifrelenmelidir.
Aklamalar/Kurallar: Herhangi bir bilginin yeniden yerine koyulmas gerektii durumlarda sorumlular tm bilgilerin geri getirilebileceinden emin olmaldrlar. Bu da, verilerin geri getirilebileceinden
emin olmak iin dzenli olarak ifreli dosyalardan rastgele bir rnekleme
deneme deifrelemesi yaplmasn gerektirir. Ayrca verileri ifrelemek
iin kullanlan anahtar kaybolma ya da bulunamama olaslna kar
gvenilir bir yneticiye emanet edilmelidir.
7-15 balantlarna ziyareti eriimi

Kural: Herkese ak tm ethemet eriim noktalan dahili aa yetkisiz
ulam engellemek iin paral ada (segmented network) bulundurulmaldr.
Aklamalar/Notlar: Bu kuraln amac, dardan kiilerin irket
alanna girdiklerinde dahil aa balanmalarn nlemektir. Konferans
salonlarna, kafeteryaya, eitim merkezlerine ya da ziyaretilerin eriimi
olabilecek baka yerlere yerletirilen ethernet girileri ziyaretilerin irket
bilgisayar sistemlerine yetkisiz eriimini engellemek iin filtreienmelidir.
A ya da gvenlik sorumlusu, bu noktalardan eriimi engelleyebilmek iin, eer varsa, sanal bir LAN anahtar oluturmay seebilir.
274
Aldatma Sanat
7-16 Balant modemleri

Kural: Aramalara ak balant modemleri drdnc altan nce
almayacak ekilde ayarlanmaldrlar.
Aklamalar/Notlar: Sava Oyunlar (War Games) adl filmde de
anlatld gibi korsanlar modem bal telefon hatlarn bulmak iin
sava aramas olarak bilinen bir teknik kullanrlar. Sre, saldrgann irketin bulunduu blgede kullanlan alan prefikslerini tanmlamas ile
balar. Bu prefiksle balayan her numara, modem bal hatlar bulmak
iin bir tarama programnn da yardmyla taranr. Sreci hzlandrmak
iin bu programlar bir sonraki numaray denemeden nce modem
yantn bir ya da iki al sresi kadar beklemek zere ayarlanmlardr.
Bir irket modem hattnn otomatik yant seeneini en az drt al
olarak ayarlarsa tarama programlar modemli hatlar bulamayacaklardr.
7-17 Virs koruma yazlmlar

Kural: Her bilgisayar sistemine virs koruma yazlmlarnn son
srmleri yklenmeli ve altrlmaldr.
Aklamalar/Notlar: Virs koruma yazlmlarn ve ablon
dosyalarn (yeni virsleri bulmak iin virs yazlmlarna zg ablonlar
tanyan programlar) kullanc bilgisayarlarna kadar otomatik olarak indirememi irketlerde bireysel kullanclar, yazlm, irket ana uzaktan
erimek iin kullanlan bilgisayar sistemlerindekiler de dahil, kendi sistemlerine ykleme ve srekli gncelleme sorumluluunu almaldrlar.
Eer uygunsa bu yazlm virs ve Truva At imzalar iin her gece
otomatik olarak gncellenecek ekilde ayarlanmaldr. ablon ya da
imza dosyalan kullanc bilgisayarlarna kadar indirilmezse, kullanclar
en azndan haftada bir ablon dosyalarn gncelleme sorumluluunu
tayacaklardr.
Bu uygulamalar irket bilgisayar sistemlerine balanan tm
masast ve dizst makinalar iin geerlidir ve bilgisayarn irkete ait
ya da ahsa ait olup olmadna gre de deimez.
7-18 Gelen e-posta ekleri (yksek gvenlik gereksinimi)
Kural: Yksek gvenlik ihtiyalar olan bir kuruluta irket gvenlik
duvar tm e-posta eklerini eleyecek ekilde ayarlanmaldr.
Aklamalar/Notlar: Bu kural yalnzca yksek gvenlik gereksinimleri olan ya da e-posta ekinde dosya almaya ihtiyac olmayan iletmeler iin geerlidir.
7-19 Yazlm onay

Kural: Tm yeni yazlmlar, yazlm zmleri ya da gncellemeleri,
ister fiziksel ortamda olsun, ister internet zerinden elde edilmi olsun
J
%
f
I
j|s
275
yklenmeden nce gvenilirlikleri dorulanmaldr. Bu kural, zellikle

sistem yetkilen gerektiren yazlmlar yklenirken bilgi ilem blmn
ilgilendirir.
t>-
Aklamalar/Notlar: Bu kuralda sz edilen bilgisayar yazlmlar

iletim sistemi paralarn, uygulamalar, yazlm zmlerini, yamalar
ya da herhangi bir yazlm gncellemesini ierir. Pek ok yazlm reticisi, mterinin datmn ieriini genellikle bir dijital imza kullanarak
kontrol edebilecei yntemler yerletirmilerdir, ieriin onaylanmad
her durumda, yazlmn gvenilirliini dorulamak iin reticiye bavurulmaldr.
Bilgisayar saldrganlarnn yazlm reticisinde yaplm ve irkete
postalanm gibi grnen bir paketle kurbana yazlm gnderdii de bilinmektedir. Aldnz her yazlmn, zellikle de talep etmediiniz bir
yazlmsa, irket sistemine yklemeden nce gvenilirliini dorulamanz nemlidir.
Becerikli bir saldrgann kurumunuzun bir reticiden yazlm sipari
ettiini renebileceini unutmayn. Elinde bu bilgi varken saldrgan,
gerek reticiye verilen siparii iptal edebilir ve siparii kendi yerine
getirebilir. O zaman yazlm, kt huylu bir ilev gerekletirmek zere
deitirilmi olur ve irketinize asl paketinde, gerekirse vakumlanm
olarak gnderilir. rn yklendikten sonra kontrol artk saldrgann eline
geer.
7-20 Varsaylan parolalar

Kura!: Varsaylan bir parolaya sahip olan tm iletim sistemi
yazlmlarnn ve donanmlarnn irket parola kurallar dorultusunda
parolalar deitirilmelidir.
Aklamalar/Notiar: Pek ok iletim sistemi ve bilgisayarla ilgili
donanmlar varsaylan parolalarla gnderilirler; dier bir deyile satlan
her para ayn parolaya sahiptir. Varsaylan parolalarn deitirilmesi
konusunu ihmal etmek, irketi tehlikeye sokan ciddi bir hatadr.
Varsaylan parolalar herkese bilinirler ve internet sayfalarnda
bulunurlar. Bir saldr srasnda saldrgann denedii ilk parola, reticinin
koyduu varsaylan paroladr.
7-21 Baarsz eriim denemeleri sonucu kilitlenme

(dk-orta dzey gvenlik)
Kural: zellikle dk ve orta dzey gvenlik gereksinimleri olan bir
kurumda ayn hesaba birbiri ardna belirli bir sayda girme giriimi olursa hesap bir sreliine kilitlenmelidir.
Aklamalar/Notlar: Tm irket bilgisayarlar ve sunucularna birbiri
ardna yaplan baarsz girme denemelerine bir snr getirilmelidir. Bu
276
Aldatma Sanat
kural deneme yanlmayla parola tahmini, szlk saldrs ya da kaba

kuvvetle yetkisiz eriim salama yntemlerini engellemek iin gereklidir.
Sistem yneticisi gvenlik ayarlarn, pepee baarsz balanma
giriimi eiine gelindiinde hesab kilitleyecek ekilde yapmaldr. Yedi
baarsz denemeden sonra bir hesabn en az otuz dakika boyunca kilitlenmesi nerilir.
7-22 Baarsz eriim g i r i i m l e r i sonucu hesabn
kapatlmas (yksek gvenlik)

Kural: Yksek gvenlik gereksinimleri olan bir kurumda ayn hesaba birbiri ardna belirli bir sayda baarsz girme giriimi olursa hesap,
destei veren grup tarafndan dzeltilene kadar kapatlmaldr.
AtkSamalar/Notlar: Tm irket bilgisayarlar ve sunucularna birbiri
ardna yaplan baarsz girme denemelerine bir snr getirilmelidir. Bu
kural deneme yanlmayla parola tahmini, szlk saldrs ya da kaba
kuvvetle yetkisiz eriim salama yntemlerini engellemek iin gereklidir.
Sistem yneticisi, gvenlik ayarlarn, be baarsz balanma giriiminden sonra hesab kapayacak ekilde yapmaldr. Byle bir saldrnn
ardndan hesap sahibinin hesab atrmak iin teknik destek birimini ya
da hesap desteinden sorumlu grubu aramas gerekir. Hesab yeniden
devreye sokmadan nce ilgili birimin Onay ve Yetkilendirme Srelerine
uygun olarak hesap sahibi iin kesinlikle bir kimlik tespiti yapmas arttr.
7-23 Ayrcalkl hesaplarn p a r o l a l a r n n dzenli o l a r a k
deitirilmesi
Kural: Tm ayrcalkl hesap sahiplerinin en ok otuz gnde bir
parolalarn deitirmeleri zorunluluu getirilecektir.
Aklamalar/Notlar: letim sistemi snrlamalarna bal olarak, sistem yneticisi sistem yazlmnn gvenlik zelliklerini ayarlayarak kullanclar bu kurala uymaya zorlayabilir.
7 - 2 4 Kullanc p a r o l a l a r n n dzenli o l a r a k d e i i m i
Kurai: Tm hesap sahipleri en ok altm gnde bir parolalarn
deitirmelidirler.
Aklamalar/Notlar: Bu zellie sahip iletim sistemleri kullanarak,
sistem yneticisi, yazlmn gvenlik zelliklerinin ayarlanmasyla kullanclar bu kurala uymaya zorlayabilir.
7-25 Yeni hesap parolas o l u t u r m a k
Kural: Yeni bilgisayar hesaplar, sresi dolmu bir parolayla oluturulmal, bylece hesap sahibine ilk kullanm iin yeni bir parola belirleme
zorunluluu getirilmelidir.
,

Aklamalar/Notlar: Bu zorunluluk kendi parolasn
sahibinden baka kimsenin bilmemesini salar.
277
hesap
7-26 Al parolalar
Kural: Tm bilgisayar sistemleri alta parola isteyecek ekilde
ayarlanmaldrlar.
Aiklama!ar/Notlar: Bilgisayarlar aldklar zaman iletim sistemi
yklenmeden nce parola soracak ekilde ayarlanmaldrlar. Bu, yetkisiz kimselerin baka birinin bilgisayarn ap kullanmasn engeller. Bu
kural irket iindeki tm bilgisayarlar iin geerlidir.
7-27 Ayrcalkl hesaplar iin parola z o r u n l u l u k l a r
Kural: Tm ayrcalkl hesaplarn gl parolalar olmaldr. Parola
aadaki zelliklere uymaldr.
Herhangi bir dildeki szlklerde bulunmamaldr.
Byk ve kk harflerden olumal ve en az bir harf, bir simge

ve bir say iermelidir.
En az 12 karakter uzunluunda olmaldr.
irkete ya da bireye herhangi bir nedenle verilmemelidir.
"
Aklamalar/Notlar: ou durumda bilgisayar krclar sistem yetkileri elde etmek iin belirli hesaplar hedeflerler. Zaman zaman saldrgan, sistem zerinde tam kontrol salamak iin baka aklar da
smrr.
Saldrgann deneyecei ilk parolalar basit, szlkte bulunan sk kullanlan kelimeler olacaktr. Gl parolalarn seilmesi, bir saldrgann
deneme yanlma, szlk saldrs ya da kaba kuvvet saldrs kullanarak
parolay bulma olasln azaltr ve gvenlii artrr.
7-28 Telsiz eriim noktalar
Kural: Bir telsiz ana eriimi olan tm kullanclar irket alarn
korumak iin VPN (virtual private netvvork - sanal zel a) teknolojisi
kullanmaldrlar.
Aklamalar/Notlar: Telsiz alara, sava sr ad verilen yeni bir
yntemle saldrlyor. Bu yntem 802.11B NIC kartyla donanm bir
dizst bilgisayarla telsiz a bulana kadar yrmek ya da arabayla
dolamaktan ibaret.
Pek ok irket telsiz balantsn ifreleyerek gvence altna alan
VVEP'i (vvireless equivalency protokol - telsiz denklik protokol) bile
devreye sokmadan telsiz alarn kullanmaya baladlar. Ak olduu
zaman bile VVEP'in geerli srm (2002'nin ortalarnda) yetersizdir.
278
Aldatma Sanat
Krlp ardna kadar almtr ve pek ok internet sitesi ak telsiz sistemlerini bulmak iin yntemler retmeye ve WEP zellii ak telsiz
eriim noktalarn krmaya adanmtr.
Bu yzden, VPN teknolojisi kullanarak 802.11 B protokolne ek bir
koruma salanmas nemlidir.
7-29 Virs ablon dosyalarnn gncellenmesi

Kural: Her bilgisayar sistemi virs koruma yazlmlar iin
virs/Truva At ablon dosyalarn otomatik olarak gncellemek zere
programlanmaldr.
. . .
Asklamalar/Notlar: Bu tarz gncellemeler en azndan haftada bir
yaplmaldr. alanlarn, bilgisayarlarn ak braktklar iletmelerde
ablon dosyalarnn her gece gncellenmesi iddetle nerilir.
Virs koruma yazlmlar yeni tr kt huylu yazlmlar grecek ekilde gncellenmezse etkisiz kalr. Desen dosyalar gncellenmediinde
virs, solucan ve Truva At tehlikesi byk lde artt iin virs ya da
kt huylu yazlm koruma rnlerinin gncel tutulmas nemlidir.
Bilgisayar lemleri
"
8-1 Komut girmek ve program altrmak

Kural: Bilgisayar ilemlerinden sorumlu personel, tanmadklar
birinden gelen talep zerine komut girmemeli ve program altrmamaldr. Onaylanmam bir kiinin istekte bulunmak iin geerli bir
nedeni varm gibi grnen durumlar ortaya karsa ncelikle
yneticinin onay alnmadan bu istek yerine getirilmemelidir.
Aklamalar/Notlar: Bilgisayar ilemleri alanlar, konumlar
gerei ounlukla ayrcalkl hesap eriimleri olduu iin toplum
mhendislerinin ok kulland hedefler arasndadrlar ve saldrgan
onlarn dier Bi alanlarna gre irket sreleriyle ilgili olarak daha az
bilgili ve daha az deneyimli olduklarn dnr. Bu kuraln amac,
toplum mhendislerinin bilgisayar ilemleri alanlarn kandrmalarn
nlemek amacyla uygun bir kontrol ve denge unsuru oluturmaktr.
8-2 Ayrcalkl hesabi o l a n alanlar
Kural: Ayrcalkl hesaplan olan alanlar onaylanmam kiilere
destek ve bilgi vermemelidirler. zellikle de bilgisayar yardm (bir uygulamann kullanm konusunda eitim gibi), herhangi bir irket veritabanna eriim, yazlm indirme ya da uzaktan eriim yeteneine sahip
alanlarn adlarnn aklanmas gibi durumlar sz konusu olduunda
bu geerlidir.
Aklamalar/Notlar: Toplum mhendisleri ounlukla ayrcalkl
279
hesaplan olan alanlar hedeflerler. Bu kuraln amac ayrcalkl

hesaplara sahip B alanlarn toplum mhendislii saldrs olabilecek
telefonlar baaryla ele almalar konusunda ynlendirmektir.
8-3 Dahil sistem bilgileri
Kural: Bilgisayar ilemleri personeli, istek sahibine kimlik tespiti
yapmadan, irket bilgisayar sistemleri ya da ilgili donanmlarla ilgili
deerli bilgileri kesinlikle aklamamaldr.
Aklamalar/Notlar: Bilgisayar krclar sistem eriim sreleri, haric uzaktan eriim noktalar ve telefon balant numaralar gibi, saldrgan iin nemli olabilecek deerli bilgileri elde edebilmek iin sk sk bilgisayar ilemleri personeliyle iletiim kurarlar.
Teknik destek personeli ya da yardm masas olan irketlerde, bilgisayar sistemleri ya da ilgili donanma ynelik sorularn bilgisayar
ilemleri personeline gelmesi olaand bir durum olarak grlmelidir.
Herhangi bir veri talebi, irket veri snflandrma kurallar erevesinde
istek sahibinin bu bilgiyi istemeye yetkili olup olmadn belirlemek
zere incelenmelidir. Veri snfna karar verilemediinde bilgi dahil
olarak deerlendirilmelidir.
Baz durumlarda satc firmadan gelen teknik destek sorumlularnn,
irketin bilgisayar sistemine eriimi olan kiilerle iletiim kurmalar
gerekir. Bu tarz firmalarn, irketlerin B blmlerinde iletiim kurduklar
belirli kiiler olmas gerekir, bylece bu kiiler karlkl onay asndan
birbirlerini tanyor olurlar.
8-4 Parolalarn aklanmas
Kural: Bilgisayar ilemleri personeli hibir zaman kendilerine ait
olan ya da onlara emanet edilmi parolalar bir bilgi ilem yneticisinin
onay olmadan aklamamaldrlar.
Aklamalar/Notlar: Genel olarak baka birine parola sylemek
yasaktr. Kural, acil bir durumda bilgisayar ilemleri personelinin nc
ahslara bir parolay verebilecei durumunu gz nnde bulundurur.
Herhangi bir parolann aklanmasn yasaklayan genel kurala gelen bu
istisna, bir bilgi ilem yneticisinin zel iznini gerektirir. Daha fazla nlem
almak adna, tanmlama bilgilerini aklama sorumluluunun, onay sreleriyle ilgili zel eitim alm bir grup kiiyle snrlandrlmas da arttr.
8-5 Elektronik o r t a m
Kural: Dar verilmek zere snflandrlmam bilgiler ieren tm
elektronik ortamlar fiziksel olarak gvenli bir yere kilitlenmelidirler.
Aklamalar/Notlar: Bu kuraln amac elektronik ortamlarda saklanm hassas bilgilerin fiziksel olarak alnmasn nlemektir.
280
Aldatma Sanat
8-7 Yedekleme ortamlar

Kural: Bilgisayar ilemleri personeli yedekleme ortamlarn irket
kasasnda ya da baka bir gvenli yerde saklamaldr.
Aklamalar/Notlar: Yedekleme ortamlar bilgisayar krclarnn
balca hedeflerindendir. Zincirin zayf halkas fiziksel olarak korunmayan yedekleme ortamlar olabilecekken, bir saldrgan, bir bilgisayar
sistemine girmeye almak iin zaman harcamayacaktr. Yedekleme
ortamlar alndktan sonra saldrgan, veriler ifreli olmad srece,
oraya kaytl herhangi bir dosyaya eriebilecektir. Bu yzden yedekleme
ortamlarn fiziksel olarak gvence altna almak irket bilgilerinin gizliliini korumak iin nemli bir sre olacaktr.
*
Tm alanlar in Geerli Kurallar

Bilgi ilem, insan kaynaklar, muhasebe ya da destek hizmetleri; irketin neresinde alyor olurlarsa olsunlar her alann bilmesi
gereken belirli gvenlik kurallar vardr. Bu kurallar, genel, bilgisayar kullanm, e-posta kullanm, evden alanlara ynelik kurallar, telefon kullanm, faks kullanm, sesli mesaj kullanm ve parolalar eklinde
snflandrlmtr.
Genel
9-1 pheli a r a m a l a r n r a p o r edilmesi
Kural: Herhangi bir pheli bilgi ya da bilgisayar ilemi talebinde
bulunulmas durumu da dahil olmak zere bir gvenlik ihlaline maruz
kaldklarndan kukulanan alanlar hemen olay irketin olay bildirme
grubuna bildirmelidirler.
Aklamalar/Notlar: Toplum mhendisi, isteklerini yerine getirmeye
hedefini ikna edemedii durumda, her zaman baka birini deneyecektir.
pheii bir aramay ya da olay bildiren alan, bir saldr olduu yolunda irketi bilgilendirmek iin ilk adm atm olur. Bylece, alanlar,
toplum mhendislii saldrlarna kar ilk savunma hattn olutururlar.
9-2 pheli a r a m a l a r b e l g e l e m e k
Kural: Bir toplum mhendislii saldrs gibi grnen pheli bir aramada, alan, uygun olduu lde, saldrgann ne baarmaya
altn anlatacak kadar ayrnt renmeye almal ve belgeleme
amacyla bu ayrntlarla ilgili notlar almaldr.
Aklamalar/Notlar: Bu tarz ayrntlar, olay bildirme grubuna
bildirildiinde, saldrnn ynnn ya da amacnn bulunmasna yardmc
olur.
'
281
9-3 Balant numaralarnn verilmesi

Kural: irket alanlar irketin modem telefon numaralarn aklamamah ve bu tarz istekleri her zaman yardm masasna ya da teknik
destek personeline ynlendirmelidir.
Akamalar/NotSar: Balant telefon numaralan, yalnzca i ykmllklerini yerine getirebilmek iin bunun gibi bilgilere gereksinimi olan
alanlara verilecek trden bir dahil bilgi olarak deerlendirilmelidir.
Toplum mhendisleri dzenli olarak biigi taleplerine kar daha az
korumac davranacak alanlar ya da blmleri hedeflerler. rnein
saldrgan, bir faturalama sorununu zmeye alan bir telefon irketi
alan gibi kendini gsterip demeler blmn arayabilir. Saldrgan
daha sonra sorunu zebilmek iin bildikleri baka faks ya da balant
numaras olup olmadn sorar. Toplum mhendisi sk sk bu tarz bilgiyi
vermenin oluturduu tehlikenin farknda olmayan ya da irket bilgi verme
kural ve srelerine ynelik yeterli eitimi almam bir alan seer.
9-4 irket k i m l i k kartlar
Kural: iinde bulunduklar ofis blgesi haricinde, st ve orta ynetim
de dahil, tm irket alanlar her zaman personel kartlarn takmaldrlar.
kiamaiar/Notlar: irket yneticileri de dahil tm alanlar, halka
ak yerler ya da kiinin kendi ofisi ya da alma alan dndaki her
yerde, kimlik takmann zorunlu olduunu anlamalar iin eitilmeli ve
tevik edilmelidirler.
.. : .
9-5 Kimlik kart ihiaerinin sorgulanmas

Kural: Tm alanlar irket kimlik kart ya da ziyareti kart takmayan tanmadklar kiileri hemen sorgulamaldrlar.
Aklamalar/Notlar: Her ne kadar hibir irket, ak gz alanlarn
kimliksiz koridora kan baka alanlar enseledii bir kltr yaratmak
istemese de bilgilerini koruma endiesine sahip herhangi bir irketin,
bina iinde sorgulanmadan dolaan bir toplum mhendisi tehdidini de
ciddiye almas gerekir. "Her zaman kartl dola" kuraln yerletirmek iin
gayretli olduunu gsteren alanlar tevik etmek iin irket
gazetesinde ya da blten panosunda duyurulmas, birka saatlik cretli
izin ya da ahsi dosyasna konacak bir tavsiye mektubu verilmesi gibi
eitli uygulamalar kullanlabilir.
9-6 Pepee gemek (gvenlikli girilerden geiler)
Kural: Binaya giren alanlar, ieri girmek iin manyetik kart gibi
gvenli aralar kullandklarnda tanmadklar hi kimsenin hemen
arkalarndan gelmesine izin vermemelidirler (pepee gemek).
Aklamalar/Notlar: alanlar, bir tesise ya da gvenli bir alana
282
Aldatma Sanat
girmeye alan tanmadklar kiilerin kendilerini tantmalarn istemenin, kabalk olmayacan bilmelidirler.
Toplum mhendisleri pepee geme olarak bilinen bir teknik kullanrlar. Bu teknikte tesise ya da hassas bir alana giren birini beklerler
ve onunla birlikte ieri giriverirler. ou insan, byk olaslkla irket
alan olduklarn varsayd dier kiileri sorgulamaktan rahatsz olur.
Baka bir pepee geme teknii ise bir sr kutuyu birden tamaktr,
bylece hibir eyin farknda olmayan bir alan, yardm etmek iin
kapy aar ya da tutar.
9-7 Hassas belgelerin kt t c d e n geirilmesi
Kural: Atlacak hassas belgeler apraz tcden geirilmelidir.
Herhangi bir zamanda hassas bilgiler ya da malzemeler iermi olan
sabit srcler de dahil tm tanabilir ortamlar bilgi gvenliinden
sorumlu grup tarafndan belirlenen sreler gereince yok edilmelidir.
Aklamalar/Notlar: Sradan kt tcler belgeleri yeterli
lde paralamazlar; apraz-tcler ise belgeleri tannmaz duruma
getirirler. En iyi gvenlik uygulamas, kuruluun, balca rakiplerinin,
atlm malzemelerin arasnda ilerine yarayacak bilgiler arayacaklarn
varsaymasdr.
Sanayi casuslar ve bilgisayar sadrganlar hassas bilgileri srekli
pe atlm malzemelerden karrlar. Baz durumlarda rakip irketlerin
pleri vermeleri iin temizlikilere rvet vermeye teebbs ettikleri de
bilinir. Yakn bir rnek, bir sermaye piyasas arac kurumu alan ieriden edinilen bilgiyle yaplan alm satmlara ynelik pte bir takm
malzemeler bulmutu.
9-8 Kiisel tanmlayclar

Kural: Kimlik numaras, Sosyal Gvenlik Numaras, ehliyet
numaras, doum tarihi ve yeri ve annenin kzlk soyad gibi kiisel
tanmlayclar kimlik tespiti amacyla kullanlmamaldrlar. Bu tanmlayclar sr deildir ve saysz yntemle elde edilebilirler.
Aklamalar/Notlar: Bir toplum mhendisi baka insanlarn kiisel
tanmlayclarn bir cret karlnda edinebilir. Aslnda genel kannn
aksine internet eriimi ve kredi kart olan herhangi biri bu kiisel tanmlama
bilgilerini ele geirebilir. Ak tehlikeye karn bankalar, hizmet irketleri ve
kredi kart irketleri sk sk bu tanmlayclar kullanmaktadrlar. Sadece bu
nedenle kimlik hrszl son on yln en hzl artan suu olmutur.
9-9 Kurulu emalar

Kural: irketin kurulu emasnda gsterilen ayrntlar irket
alanlar dnda kimseye verilmemelidir.
Aklamalar/Notlar: irket yaps bilgileri kurulu emalarn, hiye-
283
rari emalarn, blm alan listelerini, raporlama yapsn, alan

adlarn, alan unvanlarn, dahil telefon numaralarn, kimlik numaralarn ya da benzeri bilgileri ierir.
Toplum mhendislii saldrsnn ilk aamasnda ama irketin i
yapsyla ilgili bilgi toplamaktr. Sonra bu bilgiler bir saldr plan yapmak
iin kullanlr. Saldrgan, hangi alanlarn arad bilgiye eriimi olabileceine karar verebilmek iin bu bilgiyi inceler. Saldr srasnda bilgi,
saldrgann iine hakim bir alan olarak grnmesini salar ve kurbann i birlii yapmaya ikna etme olasln artrr.
9-10 alanlarla ilgili zel bilgiler

Kural: alanlarn zel bilgilerine ynelik tm talepler insan kaynaklarna ynlendirilmelidir.
Aklamalar/Notlar: Bu kuraln bir istisnas, ile ilgili bir konuda
balant kurulmas gereken ya da kar taraftan telefon bekleyen bir
alann telefon numarasnn verilmesi olabilir. Ancak numaray isteyen
kiinin telefon numarasnn alnmas ve alann onu geri aramas her
zaman tercih edilmesi gereken yoldur.
Bilgisayar Kullanm
10-1 Bilgisayara komut girmek
Kural: istek sahibinin bilgi ilem blmnn bir alan olduu
onaylanmad srece irket alanlar, baka birinin istei zerine bilgisayara ya da bilgisayarlarla ilgili donanma hibir zaman komut
girmemelidirler.
Aklamalar/Notlar: Toplum mhendislerinin ska oynad bir oyun,
alandan sistem ayarlarn deitiren bir komut girmesini istemeleridir.
Bu sayede saldrgan, kendini tantmadan kurbann bilgisayarna girebilir
ya da teknik bir saldrda kullanlabilecek bilgilere eriebilir.
10-2 Dahil adlandrma standartlar

Kural: istek sahibinin irkette alt onaylanmadan alanlar bilgisayar sistemlerinin ya da veri tabanlarnn adlarn aklamamaldrlar.
Aklamalar/Notlar: Toplum mhendisleri bazen irket bilgisayar
sistemlerinin adlarn elde etmeye alrlar. Adlar rendikten sonra
saldrgan, irketi arar ve sistemleri kullanmakta sorun eken bir alan
gibi davranr. Toplum mhendisi o sisteme verilen dahil ad bilerek
inandrcln artrr.
10-3 Program altrma talepleri

Kural: irket alanlar, baka birinin istei zerine herhangi bir bilgisayar uygulamasn ya da programn altrmamaldrlar.
284
Aldatma Sanat
Aklamalar/Notlar: Program veya uygulama altrmaya ya da

bilgisayarda herhangi bir ilem yapmaya ynelik talepler talep sahibinin
bilgi ilem blm alan olduu onaylanana kadar reddedilmelidir.
Eer talep bir dosyadan ya da elektronik mesajdan, gizli bilgilerin ekilmesiyle ilgiliyse, talebe karlk vermek, gizli bilgi verme sreleriyle
uyumlu olmaldr (bkz. Bilgi Verme Kurallar).
Bilgisayar saldrganlar sistemi ele geirmelerini salayacak programlar altrmalar iin insanlar kandrrlar. Hibir eyden kukulanmayan bir kullanc, saldrgann yerletirdii bir program altrdnda,
ortaya kan sonu, saldrgann, kurbann bilgisayarna erimesine
neden olabilir. Bir toplum mhendisi zarar verebilecek bilgisayar komutlarn altrmas iin birilerini kandrabilirken, teknik tabanl bir saldr,
benzer bir zarar bilgisayar programlarn altrmas iin bilgisayarn
iletim sistemini kandrarak yapabilir.
10-4 Yazlm indirmek ya da yklemek

Kural: istek sahibinin bilgi ilem blmnn bir alan olduu
onaylanmad srece irket alanlar baka birinin istei dorultusunda hibir zaman yazlm indirmemeli ya da yklememelidir.
Aklamalar/Notlar: alanlar bilgisayarlarla ilgili donanma ynelik herhangi bir olaand ilem talebine kar her zaman uyank
olmaldrlar.
Toplum mhendislerinin ska kulland taktiklerden birisi, hibir
eyden kukulanmayan kurbanlarn saldrgana bilgisayar ya da a
gvenliini ama amacnda yardmc olacak bir program yklemeye ya
da indirmeye ikna etmektir. Baz durumlarda program gizlice kullancy
gzetleyebilir ya da gizli bir uzaktan kontrol yazlmyla saldrgann bilgisayar sistemini ele geirmesini salayabilir.
10-5 Dz m e t i n parolalar ye e-posta
Kural: ifreli olmadklar srece parolalar e-postayla gnderilmemelidirler.
Aklamalar/Notlar: Her ne kadar nerilmese de bu kural aadaki gibi snrl koullarda e-ticaret sitelerinde de kullanlabilir:
Siteye kaydolmu mterilere parolalarnn gnderilmesi.
Parolasn unutmu ya da kaybetmi mterilere parolalarnn

gnderilmesi.
10-6 Gvenlikle ilgili yazlmlar

Kural: irket alanlar hibir zaman virs/Truva At koruma, gvenlik
duvar ya da dier gvenlikle ilgili yazlmlar bilgi ilem blmnden alnm bir onay olmadan devre d brakmamal ya da kaldrmamaldrlar.
285
Aklamalar/Notlar: Bilgisayar kullanclar bazen gvenlikle ilgili

yazlmlar, baka herhangi bir nedeni olmadan, bilgisayarlarnn hzn
artracan dnerek kapatrlar.
Bir toplum mhendisi, gvenlikle ilgili tehditlerden irketi korumak
iin gerekli olan bir yazlm kaldrmas ya da devre d brakmas iin
bir alan kandrmaya alabilir.
10-7 M o d e m l e r i n y k l e n m e s i
Kural: Bi blmnden onay alnmadan herhangi bir bilgisayara
modem balanamaz.
Aklamalar/Notlar: alma ortamnda masalarda ya da bilgisayarlarn stnde duran modemlerin -zellikle de irket ana bahlarsaciddi bir gvenlik tehdidi oluturduklar bilinmelidir. Buna gre, bu kural
modem balama srelerini dzenlemektedir.
Bilgisayar korsanlar bir telefon silsilesine bal alan bir modem
hatt olup olmadn anlamak iin sava aramas denen bir teknik kullanrlar. Ayn teknik, irket iinde modemlere bal telefon numaralarn
bulmak iin de kullanlabilir. Eer saldrgan, bilgisayar sisteminin, kolay
tahmin edilebilir bir parolas olan ya da hi parolas olmayan zayf bir
uzaktan eriim program kullanan bir modeme bal olduunu grrse,
kolaylkla irket ana girebilir.
10-8 M o d e m l e r ve o t o m a t i k yant v e r m e a y a r l a r
Kural: Birilerinin bilgisayar sistemine modem balantsndan
girmesini nlemek amacyla B onayl tm bilgisayarlarn, modem
otomatik yant verme zellikleri kapatlmaldr.
.
Akiamalar/NotSar: Bilgi ilem blm, uygun olduu lde,
modem araclyla harici bilgisayar sistemlerine balanmas gereken
alanlar iin d hat balantlarda kullanlacak bir modem havuzu tahsis etmelidir.
10-9 Krma a r a i a n
Kural: alanlar yazlm koruma mekanizmalarn alt etmek zere
tasarlanm yazlm aralar indirmeme!'! ya da kullanmamaldrlar.
Akama/Motlar: nternette ticar yazlmlar ve paylam yazlmlarn krmak zere tasarlanm programlara adanm dzinelerce site
vardr. Bu aralarn kullanm yalnzca yazlm sahibinin telif haklarn
inemekle kalmamakta, ayn zamanda olduka da byk bir tehlike
oluturmaktadr. Bu programlar bilinmeyen kaynaklardan geldii iin
kullancnn bilgisayarna zarar verebilecek kt huylu yazlmlar ierebilir ya da program yazan kiinin, kullancnn bilgisayarna eriebilmesi iin birTruvaAt yerletirebilir.
286
Aldatma Sanat
10-10 evrimii irket bilgilen

Kurai: alanlar herhangi bir herkese ak haber gurubuna, foruma
ya da bltene irkete ait donanm ya da yazlmlarla ilgili ayrntlar yazmamal ve kurallara uygun olanlar dnda iletiim bilgileri vermemelidirler.
Aklamalar/Notlar: Usenet'e, evrimii forumlara, blten panolarna ya da yazma listelerine braklm herhangi bir mesaj, hedef irket
ya da hedef bireyle ilgili bilgi toplarken aratrlabilir. Bir toplum
mhendislii saldrsnn aratrma aamasnda, saldrgan irketle,
rnleriyle ve alanlaryla ilgili yararl bilgiler bulabilmek iin internetteki mesaj guruplar taranabilir.
Baz mesajlar saldrgann saldrsn ilerletmek iin kullanabilecei
ufak tefek bilgiler de ierir. rnein, bir a yneticisi belirli bir marka ve
model gvenlik duvar iin gvenlik duvar filtrelerinin ayarlanmasyla
ilgili bir soru mesaj brakm olabilir. Bu mesaj bulan bir saldrgan irket ana girebilmesi iin evresinden dolamasn salayacak, irketin
gvenlik duvar ayarlar ve tryle ilgili deerli bilgiler elde edebilir.
alanlarn haber gruplarna nereden geldiinin anlalmayaca
adsz hesaplardan mesaj gndermelerine izin vererek bu sorun azaltlabilir ya da nne geilebilir. Kural, doal olarak alanlarn irketle ilikilendirilebilecek herhangi bir iletiim bilgisi brakmamalar artn da
getirmelidir.
10-11 Disketler ve d i e r elektronik ortamlar
Kural: Eer bilgisayar bilgilerini saklamak iin kullanlan disket ya
da CD-ROM gibi ortamlar, alma alannda ya da alann masasnda
braklmsa ve bilinmeyen bir kaynaktan geliyorsa bilgisayar sistemine
sokulmamaldr.
Aklamalar/Notlar: Saldrganlarn kt huylu yazlm yklemek
iin kullandklar yntemlerden biri programlar bir diskete ya da
CD-ROM'a koyup ilgi ekici bir ekilde etiketlemektir (rnein,
"Personel Maa Verileri-Gizlidir"). Sonra bunun birka kopyasn
alanlarn kullandklar alanlara brakrlar. Yalnzca biri bir bilgisayara
girer ve iindeki dosyalar alrsa, saldrgann kt huylu yazlm almaya balar. Bu, sisteme girilmesini salayacak bir arka kap yaratabilir
ya da aa baka trl zararlar verebilir.
, .
10-12 Tanabilir ortamlarn atlmas

Kural: Bilgi silinmi bile olsa herhangi bir zaman aralnda hassas
irket bilgilerinin tutulduu bir elektronik ortam pe atmadan nce
ortam manyetik olarak silinmeli ya da kurtarlamayacak ekilde zarar
grm olmaldr.
287
Akiamalar/Notiar: Basl belgelerin tlmesi bugnlerde

sradan ilerden biri olduysa da, irket alanlar bir zamanlar hassas
bilgiler iermi bir elektronik ortam pe atmann yaratabilecei tehdidi
gzard edebilirler. Bilgisayar saldrganlar, atlm elektronik ortamlarda
bulunan bilgileri geri getirmeye alrlar. alanlar, dosyalan silerek,
bu dosyalarn geri getirilemeyeceini varsayyor olabilirler. Bu varsaym
tamamen yanltr ve gizli i bilgilerinin yanl ellere dmesine neden
olabilir. Bu nedenle genel olarak snflandrlmam bilgiler iermekte ya
da bir zamanlar iermi olan tm elektronik ortamlar tamamen temizlenmeli ya da sorumlu grubun onaylad yntemler kullanlarak yok
edilmelidir.
10-13 Parola korumal ekran koruyucular

Kura!: Tm bilgisayar kullanclar bir ekran koruyucusu parolas
oluturmal ve belli bir sre kullanlmad zaman bilgisayar kilitleyen
bir zaman am sresi belirlemelidir.
Aklamalar/Notlar: Tm alanlar bir ekran koruyucu parolas ve
on dakikadan fazla olmamak zere bir zaman am sresi ayarlamaldrlar. Bu kuraln amac yetkisiz kiilerin baka birinin bilgisayarn
kullanmasn nlemektir. Bu nedenle bu kural irket bilgisayar sistemlerini, dardan binaya girebilen kiilere kar korur.
10-14 Parola gizlilik taahhd

Kural: Yeni bir bilgisayar hesab almadan nce alan ya da
taeron, parolalarn hibir zaman herhangi birine aklanmamas ya da
paylalmamas gerektiini ve bu kurallara uymay kabul ettiini
gsteren yazl bir beyan imzalamaldr.
Aklamalar/NotSar: Anlamada, bu tarz bir anlamaya uyulmad
durumda bunun, cezas iten karmaya kadar varan ciddi bir disiplin
suu tekil edeceini belirten bir madde de bulundurulmaldr.
E-Posta Kullanm
11-1 E-Posta ekleri

Kural: E-posta ekleri gvenilir bir kiiden gelmedii ya da ile ilgili
olarak beklenmedii srece almamaldr.
Aklamalar/Notlar: Tm e-posta ekleri yakndan izlenmelidir. Alc,
eki amadan nce gvenilir bir kiinin ekli bir e-posta gnderileceine
dair n bilgi vermesini zorunlu tutabilirsiniz. Bu, saldrganlarn toplum
mhendislii taktikleri kullanarak insanlar ekleri amalar dorultusun-
da kandrabilme riskini azaltacaktr.
Bir bilgisayar sistemine girmenin yntemlerinden biri, saldrgann
sisteme girebilmesini salayacak bir ak yaratan kt huylu birprog-
288
Aldatma Sanat
ram altrmas iin alan kandrmaktr. Saldrgan, altrlabilir bir

kod ya da makro ieren bir e-posta eki gndererek kullancnn bilgisayarnn kontroln ele geirebilir.
Bir toplum mhendisi kt huylu e-posta ekleri gnderebilir, sonra
da telefonla arayp alcy eki amaya ikna etmeye alabilir.
11 -2 Haric adreslere o t o m a t i k y n l e n d i r m e
Kural: Gelen e-postalarn otomatik olarak harici bir e-posta adresine
ynlendirilmesi yasaktr.
Aklamalar/Notiar: Bu kuraln amac, dahil bir e-posta adresine
gnderilmi bir e-postay dardan birinin almasn nlemektir.
alanlar, ofisten uzak olacaklar zaman gelen e-postalarn bazen
irket dndan bir e-posta adresine ynlendirirler. Ya da bir saldrgan,
bir alan kandrarak e-postalar irket dndan bir adrese postalayan
bir dahil e-posta adresi oluturtabilir. Saldrgan, daha sonra dahil
e-posta adresi olan, ieriden biri gibi davranarak, insanlarn hassas bilgileri dahil adrese gndermelerini salayabilir.
11-3 E-postaarsn y n l e n d i r i l m e s i
Kural: Onaylanmam bir kiiden gelen herhangi bir baka onaylanmam kiiye e-posta aktarma talebi, talep sahibine kimlik tespiti yaplmasn gerektirir.
11-4 E-postaSann onaylanmas
. Kural: Genel olarak snflandrlmam bir bilgi talebi ieren ya da
bilgisayarlarla ilgili donanmlara ynelik bir ilem yaplmasn isteyen ve
gvenilir bir kiiden geliyor gibi grnen bir e-posta mesaj iin ek bir
tanmlama ekli daha gereklidir ( bkz. Onay ve Yetkilendirme Sreleri).
klamaar/Notlar: Bir saldrgan bire-postay ve baln kolaylkla taklit ederek onu farkl bir e-posta adresinden geliyormu gibi
gsterebilir. Ayrca girdii bir bilgisayar sisteminden de e-posta gnderebilir. E-postann baln inceleyerek bile mdahale edilmi bir
dahil sistemden gnderilip gnderilmediini ayrt edemezsiniz.
12-1 Telefon anketlerine katlmak

Kural: alanlar, baka kurulularn ya da kiilerin soru sorma
yoluyla yapt anketlere katlamazlar. Bu tarz talepler halkla ilikiler
blmne ya da dier sorumlu kiilere ynlendirilmelidir.
Aklamalar/Notlar: irkete kar kullanlabilecek deerli bilgileri
elde edebilmek iin toplum mhendislerinin kulland yntemlerden biri
289
de alan arayp bir anket yaptn sylemektir. Yasal bir aratrmaya

katkda bulunduklarna inandklar zaman insanlarn irket ya da kendileriyle ilgili yabanclara bilgi vermek konusunda ne kadar rahat olduklarna inanamazsnz. Saldrgan, zararsz grnml sorularn arasna
yantlarn bilmek istedii birka soruyu daha sktrr. Sonu olarak bu
tarz bilgiler irket ana girmek iin kullanlabilirler.
12-2 Dahil telefon numaralarnn verilmesi
Kurai: Eer onaylanmam bir kii bir alana telefon numarasn
sorarsa, alan, irket ilerinin ynetilmesi ile ilgili olarak numaray vermenin gerekli olup olmad dorultusunda uygun bir karar verebilir.
Aklamalar/Notlar: Bu kuraln amac dahil telefon numaralarn
vermenin gerekli olup olmad zerinde dnlm bir karar vermeye
alanlar ynlendirmektir. Numaray renmek iin iyi bir nedenleri
varm gibi grnmeyen insanlarla urarken en emin yol ana irket
telefonunu aramalar ve oradan aktarlmalarn sylemektir.
12-3 Sesli mesaj parolalar
Kural: Herhangi birinin sesli mesaj kutusuna parola bilgileri ieren
mesajlar brakmak yasaktr.
Aklamalar/Notlar: Kolay tahmin edilebilir bir eriim koduyla yetersiz bir ekilde korunduklar iin bir toplum mhendisi sk sk bir alann
sesli mesaj kutusuna eriebilir. Saldr trlerinden birinde, bilgili bir bilgisayar krcs kendi sahte sesli mesaj kutusunu yaratabilir ve baka bir
alan parola bilgilerini ieren bir mesaj brakmaya ikna edebilir. Bu
kural bu tarz bir oyunun stesinden gelmek iindir.
Faks Kullanm
13-1 Faks gnderilmesi
Kural: istek sahibinin kimlik tespiti yaplmadan kimseden faks alnamaz ve kimseye faks gnderilemez.
Aklamalar/Notlar: Bilgi hrszlar, gvenilir alanlar, irket iindeki bir faks makinasna hassas bilgileri gndermeleri dorultusunda
kandrabilirler. Kurbana faks numarasn vermeden nce saldrgan, sekreter ya da idar yardmc gibi, hibir eyden haberi olmayan bir alan
arar ve daha sonra alnmas iin kendilerine bir faks gnderilip gnderilemeyeceini sorar. Ardndan, masum alan faks aldktan sonra, saldrgan alan arar ve faksn baka bir yere fakslanmasn rica eder.
Arada, bunun acil bir toplant iin gerekli olduunu sylemeyi de ihmal
etmez. Faks gndermesi istenen kii, o bilginin deeri konusunda bir
fikri olmad iin istei yerine getirir.
290
Aldatma Sanat
13-2 Faksla g n d e r i l m i t a l i m a t l a r n o n a y l a n m a s
Kural: Faksla gelen talimatlar yerine getirmeden nce, gnderenin
irketin bir alan ya da bir gvenilir kii olduu onaylanmaldr.
Aklamalar/Notlar: Faks araclyla, bilgisayara komut girilmesi ya da
bilgi istenmesi gibi olaand istekler gnderildii zaman alanlar dikkatli
olmaldrlar. Fakslanm belgelerin balnda geen bilgiler gnderici faks
makinasnn ayarlaryla oynanarak deitirilebilir. Bu yzden faks bal
yetki ya da kimlik tespiti iin yeterli bir veri olarak kabul edilmemelidir.
13-3 Faksla hassas biigiierin gnderilmesi

Kural: Baka alanlarn da eriebilecei bir yerde duran bir faks
makinasna hassas bilgi gndermeden nce, gnderen, bir kapak sayfas gndermelidir. Alc, kapak sayfasn alr almaz karlk olarak bir
sayfa gnderir ve faks banda olduunu gsterir. Gnderici, daha
sonra faksn tmn gnderir.
Aklamalar/Notlar: Bu tokalama sreci, gndericinin, alcnn
makinann banda bulunduundan emin olmasn salar. Bu sre
ayrca, mesaj alacak faks numarasnn baka bir numaraya ynlendirilmediini de dorular.
13-4 Parola fakslamak yasaktr

Kural: Parolalar hibir koulda faks araclyla gnderilmemelidir.
Aklamalar/Notlar: Tanmlama bilgilerini faksla gndermek gvenli deildir. ou faks makinas, ok sayda alann birden elinin altndadr. Dahas, fakslar genel telefon santrallar ana baldrlar.
Gnderilen faks baka bir numarada bulunan saldrgana gidecek ekilde arama ynlendirmesi yaplabilir.
14-1 Sesli mesaj p a r o l a l a r

Kural: Sesli mesaj parolalar hibir nedenle bakalarna verilmemelidirler. Buna ek olarak sesli mesaj parolalar en ok doksan gnde bir
deitirilmelidir.
Aklamalar/Notlar: Gizli irket bilgileri sesli mesaj kutularna
braklabilir. Bu bilgiyi korumak iin alanlar sesli mesaj parolalarn sk
sk deitirmeli ve bunlar hibir zaman bakalarna vermemelidirler.
Ayrca, on iki aylk dnemler ierisinde sesli mesaj kullanclar ayn ya
da benzer parolalar kullanmamaldrlar.
14-2 oklu sistemlerde p a r o l a l a r
Kural: Sesli mesaj kullanclar ister dahil isterse haric, telefon ya
291
da bilgisayar sistemlerinde kullandklar parolay kullanmamaldrlar.

Aklamalar/Notlar: Sesli mesaj ve bilgisayar gibi farkl ortamlarda
ayn ya da benzer parolay kullanmak, bir tanesini tespit ettikten sonra
toplum mhendislerinin tm parolalar tahmin etmelerini kolaylatrr.
14-3 Sesli mesaj parolalarnn ayarlanmas

Kural: Sesli mesaj kullanclar ve yneticiler tahmin edilmesi zor
olan sesli mesaj parolalar kullanmaldrlar. Parolalar herhangi bir ekilde kullanan kiiyle ya da irketle ilikilendirilmemeli ve tahmin edilme
olasl olan ngrlebilir bir dzende olmamaldr.
Aklamalar/Notlar: Parolalar ardk ya da tekrarlanan saylar
(rnein, 1111, 1234, 1010) iermemelidir. Dahil telefon numaralarnn
ayns ya da benzeri olmamal, adres, posta kodu, doum tarihi, ara
plakas, telefon numaras, arlk, IQ ya da baka trl tahmin edilebilir
kiisel bilgilerle ilikili olmamaldrlar.
14-4 "Eski" olarak iaretlenmi mesajlar

Kural: Dinlenmemi sesli mesajlar yeni mesaj olarak iaretlenmediinde sesli mesaj yneticisi, olas bir gvenlik ihlaline kar uyarlmal ve sesli mesaj parolas hemen deitirilmelidir.
Aklamalar/Notlar: Toplum mhendisleri eitli yollarla sesli mesaj
kutularna ulaabilirler. Hi dinlemedii mesajlarn yeni mesaj olarak
gemedii bir durumda, alan, birinin sesli mesaj kutusuna yetkisiz
giri yapp mesajlar dinlediini varsaymahdr.
14-5 Haric sesli mesaj al notlar

Kural: irket alanlar darya ynelik sesli mesaj al notlarnda verdikleri bilgiyi snrlamaldrlar. Genel olarak, alann gnlk ileri
ya da yolculuk tarihleriyle ilgili bilgiler verilmemelidir.
Aklamalar/Notlar: Darya ynelik al notlar, soyad, dahili
telefon numaras ya da yerinde bulunmama nedenlerini (yolculuk, tatil
tarihleri ya da gnlk program gibi) iermemelidir. Bir saldrgan bu bilgiyi dier alanlar kandrmaya ynelik akla yatkn bir hikye uydurabilmek iin kullanr.
14-6 Sesli mesaj parola dzenleri

Kural: Sesli mesaj kullanclar bir blm sabit kalan, kalan
ngrlebilir bir ekilde deien parolalar sememelidirler.
Aklamalar/Notlar: rnein, son iki basaman iinde bulunulan
aya karlk geldii 743501, 743502, 743503 gibi parolalar kullanlmamaldr.
292
Aldatma Sanat
14-7 Gizli ya da zel bilgiler

Kurai: Gizli ya da zel bilgiler sesli mesajlarla aktarlmamaldr.
Aklamalar/Notlar: irket telefon sistemi ou zaman irket bilgisayar sistemlerinden daha fazla saldrya aktr. Parolalar, bir saldrgann yapt tahminleri byk lde kolaylatran bir dizi saydan
oluur. Ayrca baz kurulularda sesli mesaj parolalar yneticileri adna
mesaj alma sorumluluu olan sekreterlere ya da ynetici asistanlarna
verilebilmektedir. Yukardaki bilgilerin nda kimsenin sesli mesaj
kutusuna hassas bilgiler braklmamaldr.
Parolalar
15-1 Telefon gvenlii
Kural: Parolalar hibir zaman telefonda verilmemelidir.
Aklamaiar/Not!ar: Saldrganlar, ya ahsen ya da teknolojik bir
ara yardmyla telefon grmelerini dinlemenin yollarn bulabilirler.
15-2 Bilgisayar parolalarnn verilmesi
Kural: Bilgi ilem yneticisinin yazl onay olmadan bilgisayar kullanclar hibir koulda parolalarn bakalarna vermemelidirler.
Aklamalar/Notlar: Pek ok toplum mhendislii saldrsnn amac
hibir eyden kukulanmayan kiilerin hesap adlarn ve parolalarn aklamalar dorultusunda onlar kandrmaktr. Bu kural irkete kar yaplan
toplum mhendislii saldrlarnn baar olasln azaltmak iin nemli bir
admdr. Sonu olarak, bu kurala irket bnyesinde harfiyen uyulmaldr.
15-3 nternet parolalar
Kural: alanlar, irket sisteminde kullandklar parolann bir benzerini ya da aynsn internet sitelerinde de kullanmamaldrlar.
Aklamalar/Notlar: Kt amal internet sitesi sahipleri deerli bir
ey sunan ya da bir dl kazanma olasl olduunu syleyen bir site
yapabilirler. Ziyaretilerin kayt olabilmek iin bir e-posta adresi, kullanc ad ve parola girmeleri gerekir. ou insan ayn ya da benzer
kayt bilgilerini tekrar tekrar kullandklar iin kt amal internet
sitelerinin sahipleri kullanlan parolay ve bu parolann eitli ekillerini
hedefin ev "ya da i bilgisayarna saldrmak iin kullanabilirler.
Ziyaretinin i bilgisayar kayt ilemi srasnda girdii e-posta adresinden de bazen bulunabilir.
15-4 oklu sistemlerde parolalar
Kural: irket alanlar ayn ya da benzeri bir parolay birden fazla
sistemde kullanmamaldrlar. Bu kural eitli aralar (bilgisayar ya da
293
sesli mesaj); eitli konumlar (ev ya da i); eitli sistemleri, aralar

(ynlendirici ya da gvenlik duvar) ya da programlar (veritaban ya da
uygulama) kapsayabilir.
Aklamalar/Notlar: Saldrganlar bilgisayar sistemlerine ya da
alarna girmek iin insan doasn kullanrlar. ou insann girdikleri
her sistemde bir sr parolay aklda tutma kemekeinden kurtulmak
iin ayn ya da benzer parolalar kullandklarn bilirler. Bu yzden saldrgan, hedefin hesabnn olduu sistemlerden birinin parolasn renmeye alr. Parolay br kez rendikten sonra ayn parolann ya da bir
benzerinin alann kulland dier sistemlere ve aralara eriim
salama olasl yksektir.
15-5 Parolalarn y e n i d e n kullanlmas
Kural: Hibir bilgisayar kullancs on sekiz aylk sre ierisinde ayn
ya da benzer bir parola kullanmamaldr.
Aklamalar/Notlar: Parolann sk deitirilmesi, bir sadrgann bir
kullancnn parolasn kefetmesi durumunda oluabilecek zarar en
aza indirger. Yeni parolay nceki parolalardan farkl yapmak saldrgann tahmin etmesini zorlatrr.
15-6 Parola yaps
"
Kural: alanlar, bir blm sabit kalan dier blm ngrlebilir

bir ekilde deien parolalar sememelidirler.
Aklamalar/Notlar: rnein, son iki basaman iinde bulunulan aya
karlk geldii KevinOl, KevinO2, KevinO3 gibi parolalar kullanlmamaldr.
15-7 Parola seimi
Kural: Bilgisayar kullanclar aadaki koullar salayan bir parola yaratmal ya da semelidir.
Standart kullanc hesaplar iin en az sekiz karakter ve ayrcalkl hesaplar iin en az on iki karakter uzunluunda olmaldr.
En az bir say, bir simge ($, -, I, & gibi), bir kk harf ve bir
byk harf (iletim sisteminde bulunan farkl yaz ekillerinin el
verdii lde) iermelidir.
Aadakilerden herhangi birini de iermemelidir: Herhangi bir

dildeki szlkte bulunabilecek bir kelime, alann soyad, hobileri, plaka numaras, Sosyal Gvenlik Numaras, adresi, telefon
numaras, evcil hayvannn ad, doum gn ya da bu kelimeleri
ieren kelime gruplar.
Daha nce kullanlm bir parolann bir taraf sabit bir taraf
deimi trden farkl bir ekli de olmamaldr, kevin, kevini,
kevin2 ya da kevinocak, kevinubat gibi.
294
Aldatma Sanat
Aklamalar/Notlar: Yukarda sralanan zelliklerin kullanlmas

toplum mhendisinin tahmin etmesinin zor olaca bir parola ortaya
karacaktr. Dier bir seenek ise sesli-sessiz harf yntemidir. Bu yntemle hatrlamas ve okumas kolay bir parola elde edilebilir. Byle bir
parola oluturabilmek iin "ABABABAB" ablonunda B harflerini sessiz
harflerle, A harflerini ise sesli harflerler deitirin. rnek vermek
gerekirse, MIKOFASO ya da KUSOCENA olabilir.
15-8 Parolalar not etmek
Kural: alanlar parolalarn yalnzca bilgisayardan ya da baka
parola korumal donanmdan uzakta gvenli bir yere koyacaklarsa bir
yere not edebilirler.
Aklamalar/Notlar: alanlara parolalarn hibir zaman bir yere
yazmamalar salk verilmelidir. Ancak baz koullar altnda bu gerekli
olabilir. rnein, alann farkl bilgisayar sistemlerinde birden fazla
hesab varsa. Herhangi bir yazl parola bilgisayardan uzakta gvenli bir
yere konmaldr. Hibir koulda parola klavyenin altna saklanmamal ya
da monitre yaptrlmamaldr.
15-9 Bilgisayar dosyalarndaki ifrelenmemi parolalar

Kural: ifrelenmemi parolalar herhangi bir bilgisayar dosyasnda saklanmayacak ya da bir ilev tuuyla arlabilecek ekilde programlanmayacaktr. Gerekli olduu durumda parolalar, Bi blmnn yetkisiz eriimleri
engellemek iin onaylad bir ifreleme yazlm kullanlarak saklanmaldr.
Aklamalar/Notlar: Parolalar ifrelenmemi olarak tutulduklar bilgisayar veri dosyalarndan, toplu komut dosyalarndan, ubirim ilev
tularndan, giri dosyalarndan, makro ya da yaz programlarndan
veya FTP sitelerinin parolalarn ieren herhangi bir veri dosyasndan bir
saldrgan tarafndan kolaylkla bulunup karlabilir.
Dardan alanlar In Kurallar

Dardan alanlar, irket gvenlik duvarnn dndadrlar ve bu
nedenle saldrlara aktrlar. Bu kurallar toplum mhendisinin dardan
alan personelinizi verilerinize alan bir kap olarak kullanmasn
nlemenize yardmc olacaktr.
16-1 Kk istemciler
Kural: Uzaktan eriim yetkisine sahip tm irket alanlar irket
ana balanmak iin kk istemci kullanmaldrlar.
Aklamalar/Notlar: Bir saldrgan, saldr stratejisini kurarken,
dardan irket ana eriimi olan kullanclar bulmaya alr. Bu
nedenle dardan alanlar balca hedefleri olutururlar. Bu kiilerin
295
bilgisayarlarnda sk gvenlik kontrollerinin olma olasl zayftr ve bu,

irket ana girebilecek ak bir nokta brakr.
Gvenilir bir aa balanan herhangi bir bilgisayar, klavye girilerini
kaydeden programlarla tuzaklanabilir ya da balantlar karlabilir. Bir
kk istemci stratejisi sorunlar zmek iin kullanlabilir. Kk istemci, srcs olmayan bir bilgisayar ya da aptal bir ubirim gibidir. Ubirim
gibi alan bu bilgisayarda gerekli saklama ortamlar yoktur ancak buna
karlk iletim sistemi, uygulama programlar ve tm veriler irket anda durur. Kk istemci zerinden aa eriilmesi, yamalanmam sistemlerin, eskimi iletim sistemlerinin ve kt huylu programlarn oluturduu riski byk lde azaltmaktadr. Ayn zamanda dardan alanlarn gvenliini salamak da merkezi gvenlik kontrolleri sayesinde
daha kolay ve etkili olur. Gvenlik konularyla tam anlamyla ilgilenmek
konusunda ii deneyimsiz kullanclara brakmaktansa bu tarz ykmllkler eitimli a ya da sistem yneticilerine braklmaldr.
16-2 Dardan alanlarn bilgisayarlar iin gvenlik

yazlmlar
Kural: irket ana balanmak iin kullanlan herhangi bir haric bilgisayar sisteminde virs ve Truva At koruma programlar ve (donanmdan ya da yazlmdan gelen) kiisel bir gvenlik duvar bulunmaldr. Virs
ve Truva At tanm dosyalan en azndan haftalk olarak yenilenmelidir.
Aklamalar/Notlar: Genellikle dardan ve evden alanlar gvenlik konularnda bilgili deillerdir ve dikkatsizlik ya da ihmalkrlkla bilgisayar sistemlerini ya da irket alarn saldrya ak brakabilirler. Bu
nedenle dardan alanlar dzgn bir ekilde eitilmezlerse ciddi bir
gvenlik tehdidi oluturmaktadrlar. Kt huylu yazlmlara kar korunmak iin virsten ve Truva Atndan korunma programlarnn yklenmesine ek olarak, saldrganlarn alanlara sunulan herhangi bir hizmete
dardan eriebilmelerini engellemek iin de bir gvenlik duvar arttr.
Microsoft'a yaplan bir saldrnn da gsterdii gibi, kt huylu
yazlmlarn oalmasna kar en elzem gvenlik teknolojilerini kullanmamann riski hafife alnmamaldr. Dardan alan bir Microsoft
alannn bilgisayar sistemine bir Truva At bular. Saldrgan ya da
saldrganlar alann gvenilir an kullanarak gelitirme kaynak kodlarn almak iin Microsoft'un gelitirme ana girebilmilerdir.
nsan Kaynaklar Kurallar

insan kaynaklan blmlerinin, kendi alma ortamlar araclyla
kiisel bilgileri elde etmeye alanlara kar personeli korumak konusunda zel bir grevleri vardr. K alanlarnn ayn zamanda irketlerini
mutsuz ve eski alanlara kar koruma sorumluluklar da vardr.
296
Aldatma Sanat
17-1 Ayrlan alanlar

Kural: Ne zaman bir alan irketten ayrlr ya da ilikisi kesilirse,
insan kaynaklar hemen aadaki ilemleri yerine getirmelidir:
evrimii telefon rehberinden kiinin adn karmal ve sesli

mesajlarn iptal etmeli ya da ynlendirmelidir.
Bina girilerinde ya da irket lobilerinde grevli personeli bilgilendirmelidir.
alann adn ayrlan alanlar listesine eklemeli ve bu liste,

skl bir haftadan daha az olmayacak ekilde tm alanlara
gnderilmelidir.
Aklamalar/Kurallar: Bina girilerinde grevli alanlar eski bir

alann binaya yeniden girmesini nlemek zere uyarlmaldrlar.
Ayrca, dier alanlarn da uyarlmas eski alann halen alyormu gibi davranarak bakalarn irkete zarar verebilecek hareketlerde
bulunmalar dorultusunda kandrmasn nleyecektir.
Baz koullarda eski alanla ayn blmde alan herkesin parolalarn deitirmelerinin istenmesi gerekli olabilir. (Yalnzca bilgisayar
korsanl konusundaki nm nedeniyle GTE'deki iime son verildiinde
irket tm alanlarn parolalarn deitirmelerini zorunlu tutmutu.)
17-2 B blmnn uyarlmas

Kural: irkette alan bir kii iten ayrldnda ya da iine son verildiinde insan kaynaklar, eski alann, aralarnda veri taban eriimi,
uzaktan balant ya da uzak noktalardan internet eriimi hesaplarnn
da bulunduu tm bilgisayar hesaplarn iptal etmesi iin bilgi ilem
blmn hemen haberdar etmelidir.
Aklamalar/Notlar: Eski bir alann ile iliii kesilir kesilmez tm
bilgisayar sistemlerine, a aralarna, veritabanlarna ya da herhangi bir
bilgisayar donanmna eriiminin derhal kesilmesi nemlidir. Aksi
durumda irket kin dolu bir alann irket bilgisayar sistemlerine girip
ciddi zararlar verebilmesi iin kapy ardna kadar ak brakm olur.
17-3 e a l m a srecinde k u l l a n l a n gizli b i l g i l e r
Kural: ilanlar ve i boluklarn doldurmak iin uygun aday bulmaya
ynelik dier herkese ak davetler mmkn olduu lde irketin kulland bilgisayar donanm ve yazlmlar konusunda bilgi vermemelidir.
Aklamalar/Notlar: Yneticiler ve insan kaynaklar personeli yalnzca nitelikli adaylarn zgemilerini almaya yetecek kadar irket bilgisayar donanm ve yazlmlar hakknda bilgi vermelidirler.
Bilgisayar krclar ak i listelerini bulmak iin gazeteleri ve irket
basn aklamalarn okurlar, internet sayfalarna girerler. ou zaman
297
irketler, mstakbel alanlar ekebilmek iin kullandklar donanm ve

yazlmlarla ilgili ok fazia ayrnt aklamaktadrlar. Saldrgan, hedefinin
B sistemleriyle ilgili bir bilgiyi bir kez ele geirdi mi, saldrnn bir sonraki adm iin hazr demektir. rnein, bir irketin VMS iletim sistemi kullandn renen bir saldrgan sistemin hangi srm olduunu ren^
mek iin birka yeri arayabilir ve sonra da yazlm irketinden geliyor
gibi sahte bir acil gvenlik yamas gnderebilir. Yama bir kez yklendikten sonra saldrgan sisteme girer.
17-4 alanlarn kiisel bilgileri

Kural: insan kaynaklan blm, alann ya da insan kaynaklar
yneticisinin yazl onay olmadan halen alan ya da almayan hibir personel, taeron, danman, geici ii ya da stajyerin kiisel bilgilerini aklamamaldr.
Aklamalar/Notlar: insan avclar, zel dedektifler ve kimlik hrszlar, kimlik numaralar, doum tarihleri, cret bilgileri, aralarnda banka
hesap numaralar ve salk yardmlar gibi bilgilerin de olduu mal verileri ieren kiisel alan bilgilerini hedeflerler. Toplum mhendisi ilgili
birey gibi davranabilmek amacyla bu bilgileri elde edebilir. Ayrca yeni
ie balayanlarn adlarnn aklanmas da bilgi hrszlarnn ok iine
yarayabilir. Yeni ie balayanlar eski olduklarn, yetkili olduklarn ya da
irket gvenliinden olduklarn iddia eden kiilerden gelen talepleri yerine getirmeye daha eilimlidirler.
17-5 Sicil taramalar

Kural: Kendilerine bir i nerilmeden ya da szlemeye dayanan bir
i ilikisine girmeden nce tm yeni ie balayanlar, taeronlar, danmanlar, geici iiler ya da stajyerler iin bir sicil taramas zorunlu
olmaldr.
Aklamalar/Notlar: Maliyetler gz nne alndnda sicil taramalar gven tekil etmesi gereken belirli konumlarla snrl tutulabilir.
Ancak irket odalarna girme hakk tannm herhangi birinin olas bir
tehdit oluturabilecei de unutulmamaldr. rnein, temizlik ekiplerinin
personel odalarna girme hakk vardr ve bu onlara orada bulunan bilgisayar sistemlerine girme hakkn da verir. Fiziksel olarak bir bilgisayara eriim elde eden bir saldrgan parolalar yakalamak iin bir
dakikadan ksa bir sre ierisinde klavye girilerini kaydeden bir program bilgisayara ykleyebilir.
Bilgisayar krclar hedef irketin bilgisayar sistemlerine ve ana
girebilmek iin irkette i bulma yoluna bile gidebilirler. Bir saldrgan,
hedef irketteki sorumlu kiiyi arayarak irketin alt temizlik irketinin adn kolaylkla elde edebilir ve i teklifiyle gelmi bir temizlik firmas olduunu syleyerek bu hizmeti vermekte olan irketin adn
renir.
298
Aldatma Sanat
Fiziksel Gvenlik Kurallar

Her ne kadar toplum mhendisleri hedeflemek istedikleri bir iyerinde ahsen bulunmaktan kamsalar da zaman zaman bulunduunuz
mekna da gireceklerdir. Bu kurallar fiziksel ortamnz tehditlerden
korumanza yardmc olacaktr.
18-1 Personel o l m a y a n l a r n k i m l i k tespiti
Kurai: Kuryeler ve dzenli olarak irket binalarna girmeleri
gereken, irket dndan kiilerin irket gvenliinin belirledii kurallara
uygun olarak dzenlenmi zel yaka kartlar ya da benzeri bir kimlikleri
olmaldr.
Aklamalar/Notlar: Dzenli olarak binalara girmesi gereken personel olmayan kiilere (rnein, kafeteryaya yiyecek ve iecek getirenlere, telefon balantlarn yapanlara ya da fotokopi makinalarn tamir
edenlere) bu amala karlm zel bir irket kimlik belgesi verilmelidir.
Ara sra girmesi gereken ya da bir kerelik ii olan kiiler ziyareti olarak
deerlendirilmeli ve her zaman yanlarnda bir refakati bulundurulmaldr.
18-2 Ziyareti k i m l i k tespiti
Kural: Tm ziyaretiler ieri alnabilmeleh iin geerli bir src
ehliyeti ya da baka bir resimli kimlik belgesi gstermelidirler.
Aklamalar/Notlar: Gvenlik grevlileri ya da danma memuru
ziyareti kart vermeden nce kimlik belgesinin bir fotokopisini almal ve
bu kopya ziyareti defterinde saklanmaldr. Dier bir seenek ise kimlik bilgilerinin danma memuru ya da gvenlik grevlisi tarafndan
ziyareti defterine kaydedilmesidir. Ziyaretilerin kimlik bilgilerini kendilerinin girmesine izin verilmemelidir.
Bir binaya girmeye alan toplum mhendisleri deftere her zaman
yanl bilgi gireceklerdir. Her ne kadar sahte bir kimlik elde etmek ve
ziyaret edilecei sylenen kiinin adn renmek zor olmasa da
alann girileri kaydetmesini zorunlu tutmak gvenlik srecini bir
kademe daha artrmaktadr.
18-3 Ziyaretilere elik edilmesi

Kural: Ziyaretiler her zaman bir alann eliinde olmal ya da
yanlarnda refakati bulunmaldr.
Aklamalar/Notlar: Toplum mhendislerinin evirmeyi sevdikleri
dolaplardan biri bir irket alann ziyaret etmektir (rnein, stratejik
ortakln olduu bir firmadan geldiini syleyerek rn mhendisini
ziyaret etmek gibi), ilk grmeye refakati eliinde gittikten sonra
toplum mhendisi konutuu kiiyi kendi bana lobiye dnebilecei
299
konusunda ikna eder. Bu yntemle binay serbeste dolama frsat

elde eder ve byk olaslkla hassas bilgilere ulaabilir.
18-4 Geici kimlikler

Kural: Baka bir tesisten gelen ve yanlarnda personel kartlar bulunmayan irket alanlar geerli bir src ehliyeti ya da benzeri resimli
bir kimlik gstermeli ve onlara geici bir ziyareti kart verilmelidir.
Aklamalar/Notlar: Saldrganlar irkete girebilmek iin sk sk irketin baka bir binasndan ya da ubesinden gelen alanlar gibi
davranrlar.
18-5 Acil tahliye

Kural: Acil bir durumda ya da bir talim srasnda gvenlik grevlileri
herkesin binalar terkettiinden emin olmaldrlar.
Aklamalar/Notlar: Gvenlik grevlileri tuvaletlerde y'da odalarda geride kalm olabilecek kiiler olup olmadn kontrol etmelidirler.
tfaiyenin ya da ortaya kan durumda yetkili olan dier kurumlarn da
belirttii zere gvenlik kuvvetleri tahliyeden ok sonra binay terk eden
kiilere kar uyank olmaldrlar.
Sanayi casuslar ya da deneyimli bilgisayar krclar bir binaya ya da
gvenli bir alana girebilmek iin yanl alarm verebilirler. Kullanlan hilelerden biri havaya btil merkaptan adnda zararsz bir gaz vermektir.
alanlar tahliye ilemine baladktan sonra gz kara saldrgan bu frsat ya bilgi almak iin ya da irket bilgisayar sistemine girmek iin kullanr. Bilgi hrszlarnn kulland baka bir taktik de, bazen tuvalette
bazen bir odada, tam tahliye taliminin balad saatte ya da acil tahliyeye neden olacak sis bombas ya da baka bir gere kullandktan
sonra geride kalmaktr.
1 8-6 Posta odasnda ziyaretiler
Kural: Bir irket alannn gzetiminde olmadan hibir ziyaretinin
posta odasna girmesine izin verilmemelidir.
Aklamalar/Notlar: Bu kuraln amac dardan birinin irket ii
postalar kartrmasn, gndermesini ya da almasn nlemektir.
18-7 Ara plaka numaralar

Kural: Eer irketin bekili bir otopark varsa, gvenlik grevlileri bu
alana giren tm aralarn plakalarn not etmelidirler.
18-8 p bidonlar
Kural: p bidonlar her zaman irket alann iinde bulunmal ve
dardan eriilebilir olmamaldr.
300
Aldatma Sanat
Aklamalar/Notlar: Bilgisayar saldrganlar ve sanayi casuslar irket plerinden deerli bilgiler elde edebilirler. Mahkemeler pleri
yasal olarak terk edilmi mal olarak deerlendirirler ve bu yzden bidonlar herkese ak bir alanda durduklar srece p dallar tamamiyle
yasaldr. Bu nedenle plerin, irketin, bidonlar ve iindekileri koruma
hakknn olduu irket alan iinde tutulmalar nemlidir.
Danma Grevlileri iin Kurallar

Danma grevlileri, i toplum mhendisleriyle uramaya geldiinde ou zaman n cephededirler. Ancak onlara nadiren bir saldrgan fark edip durdurabilmelerini salayacak eitimler verilir. Danma
grevlinizin irketinizi ve verilerini daha iyi koruyabilmesi iin bu kurallar yrrle koyun.
19-1 Dahil telefon rehberi
Kural: Dahil telefon rehberinde aklanan bilgilere yalnzca irket
alanlar eriebilmelidir.
Aklamalar/Notlar: Rehberde bulunan tm unvanlar, adlar, telefon
numaralar ve adresler dahil bilgi olarak deerlendirilmeli ve yalnzca
veri snflandrma kurallar ve dahil bilgilere ynelik kurallar dorultusunda verilmelidir.
Ayrca arayan tarafn elinde, ulamaya alt kiinin ad ya da
dahili numaras olmaldr. Arayann dahil numaray bilmedii bir durumda her ne kadar danma grevlisi gerekli balanty salasa da arayana
dahil numaray vermesi yasak olmaldr (rnek: isteyen merakllar, herhangi bir Birleik Devletler devlet dairesini arayp santral memuruna
dahil numaray sorarak bu sreci deneyebilirler.).
19-2 Belirli b l m l e r i n / g r u p l a r n telefon n u m a r a l a n
Kural: alanlar, arayann geerli bir nedeni olup olmadn kontrol etmeden, irket yardrrj masasnn, telekomnikasyon blmnn,
bilgi ilemin ya da sistem yneticisinin d hat telefon numaralarn vermemelidirler. Danma grevlisi, bu gruplardan birine bir telefon
aktarrken arayann adn mutlaka aklamaldr.
Aklamalar/Notlar: Baz kurulular bu kural fazla basklayc bulsalar da, bu kural bir toplum mhendisinin alan gibi davranp
bakalarn kendi dahil numaralarndan ynlendirme yapmalar iin
kandrmasn (baz telefon sistemlerinde bu ilem, aramann irket iinden yaplyormu gibi grnmesini salar) ya da kendini kantlayabilmek iin kurbanna bu numaralar bildiini gstermesini gletirir.
301
19-3 Bilgi aktarm

Kural: Santra! memurlar ve danma grevlileri, alan olup
olmadn ahsen bilmedikleri kiiler adna not almamal ya da bilgi
aktarmamaldr.
Aklamalar/Notlar: Toplum mhendisleri, dikkatsizlik gsterip
kendilerine kefil olmalar iin alanlar kandrmak konusunda ustadrlar. Toplum mhendislii hilelerinden biri, danmann numarasn elde
edip, danma grevlisine kendisi iin braklm mesaj olup olmadn
sormaktr. Daha sonra kurbann ararken saldrgan, bir alan gibi
davranr ve hassas bir bilgi verilmesini ya da bir ilem yaplmasn isteyerek ana santral numarasn geri arama numaras olarak verir. En
sonunda saldrgan danma grevlisini arar ve hibir eyden kukulanmayan kurbann kendisi iin brakt mesaj alr.
19-4 A l n m a k zere braklm malzemeler
Kural: Bir kuryeye ya da tanmlanmam baka bir kiiye herhangi
bir ey verirken, danma grevlisi ya da gvenlik grevlisi resimli bir
kimlik grmeli ve kimlik bilgilerini kurallarn ngrd ekilde kayt defterine ilemelidir.
Aklamalar/Notlar: Toplum mhendislii taktiklerinden biri de, hassas malzemeleri danma grevlisine ya da danma masasna braktrarak gya yetkili olan bir baka alana vermesi iin bir alan
kandrmaktr. Danma grevlisi ya da gvenlik grevlisi de, doal
olarak paketin alnmasnn sakncal olmadn dnr. Toplum
mhendisi ya kendisi gelir ya da paketi almas iin bir kurye hizmetinden
yararlanr.
Olay Bildirme Grubu in Kurallar

Her irket, irket gvenliine ynelik herhangi bir saldn fark
edildiinde aranmak zere merkezi bir gurup oluturmaldr. Aada bu
grubun faaliyetlerinin dzenlenmesi ve yaplandrlmasna ynelik
birka yol gsterici kural bulacaksnz.
20-1 Olay bildirme grubu

Kural: Bir kii ya da gurup bu i iin grevlendirilmeli ve alanlar
gvenlikle ilgili olaylar onlara iletmek zere bilgilendirilmelidir.
Aklamalar/Notlar: alanlar bir gvenlik tehdidini nasl ayrt edeceklerini bilmeli ve oluacak herhangi bir tehdidi ilgili olay bildirme
grubuna bildirecek ekilde eitilmelidir. Bir tehdit olutuunda byle bir
gurubun harekete geebilmesi iin kuruluun belirli sreler ve yetkiler
belirlemesi de nemlidir.
302
Aldatma Sanat
20-2 Srmekte olan saldrlar

Kural: Olay bildirme gurubuna, srmekte olan bir toplum mhendislii saldrs bildirildiinde gurup, hedeflenen blmlerde grevli ve bu i
iin belirlenmi alanlar uyarmak zere sreleri balatacaktr.
Aklamalar/Notlar: Olay bildirme gurubu ya da sorumlu ynetici,
irket apnda bir uyar gnderilip gnderilmeyeceine de karar vermelidir. Sorumlu kii ya da gurubun, bir saldrnn devam ettiine inanc
tamsa, irket alanlarn tetikte olmalar konusunda uyararak zarar en
aza indirmek balca ncelikleri olmaldr.
BR BAKITA GVENLK
Aada verilen listeler ve emalar ikinci blmden on drdnc
blmn sonuna kadar anlatlan toplum mhendislii yntemlerinin ve
on altnc blmde ayrntlandrlan onay srelerinin bir bakta
grlebilecei bir bavuru klavuzu oluturmaktadr. Bu bilgileri kurumunuza uyarlayn ve bir bilgi gvenlii sorunu ortaya kt zaman
alanlarnzn bavurabilmesi iin herkese duyurun.
Bir Saldrnn Belirlenmesi

Bu tablolar ve kontrol listeleri bir toplum mhendislii saldrsn
tespit etmenize yardmc olacaklardr.
Toplum mhendislii dngs

HAREKET
AIKLAMA
Aralarnda gvenlik delme testi kaytlar, yllk

raporlar, pazarlama brorleri, patent uygulamalar,
basn kuprleri, sektr dergileri, internet sayfas
ierii olabilir. Ayrca p dallar da olabilir.
Dostluk ve gven eriden gelen bilgilerin kullanlmas, bakasnn
uyandrma
kimliine brnme, kurbann tand kiilerin
adlarnn sralanmas, yardm istei ya da otoriteye
sahip olma.
Aratrma
Gveni ktye
kullanma
Kurbandan, bir bilgi vermesinin ya da bir ilem yapmasnn istenmesi. Ters dalaverede kurban, saldrgandan yardm ister.
Bilgi kullanma
Eer edinilen bilgi asl amatan bir adm uzaktaysa,

saldrgan, amacna ulaana kadar dngdeki nceki admlara geri dner.
En ok
Toplum Mhendislii Yntemleri
Bir alan gibi davranmak

Bir satc firmann, ortak i yrtlen bir irketin ya da gvenlik
glerinin bir personeli gibi davranmak
Yetkili biri gibi davranmak
'
304
Aldatma Sanat
Yardma ihtiyac olan, ie yeni girmi biri gibi davranmak
Bir sistem yamas ya da gncellemesi sunmak iin arayan bir

satc ya da sistem reticisi gibi davranmak
Sorun kt takdirde yardm edebileceini syleyip sonra

sorunu kendisi yaratmak ve bylece kurbann yardm istemek
iin kendisini aramasn salamak
Kurbann yklemesi iin bedava yazlm ya da yama gndermek
E-posta ekinde virs ya da Truva At gndermek
Kullancnn yeniden balanmasn ya da parola girmesini

isteyen sahte bir pencere kullanmak
Gzden karlm bir bilgisayar sistemi ya da programyla, kurbann klavyeden yapt girileri kaydetmek
iinde kt huylu yazlm bulunan disket ya da CD'leri iyerinde

grnr bir ekilde brakmak
Gven kazanmak iin irket ii terimleri kullanmak
irket ii teslimata girmesi iin posta odasna bir belge ya da

dosya brakmak
ierden gnderildii izlenimini verebilmek iin faks makinasnn

baln deitirmek
Danma grevlisinden, alaca faks baka bir yere fakslamasn rica etmek
Bir dosyann irket ii gibi grnen bir yere gnderilmesini istemek
Geri aramalarda irket mensubu gibi grnecek ekilde bir sesli

mesaj kutusu oluturmak
ehir dndaki bir ofisten geldiini syleyip bulunduu yerden

e-postalarn okuyabilmeyi istemek
Bir Saldrnn Uyar Sinyalleri
Bir geri arama numaras vermekten kanlmas
Srad taleplerde bulunulmas
Yetkili olunduunun ne srlmesi
Aciliyetin zerine vurgu yaplmas
stein yerine getirilmemesi durumunda kt sonular doacann sylenmesi

i
Soru sorulduunda rahatsz olunmas
Bilinen adlarn sralanmas
iltifat edilip pohpohlanma
Kur yaplmas
Bir Bakta Gvenlik
305
Saldrlarda en-sk grlen hedefler

HEDEF TR
RNEKLER
Bilginin
deerinden
habersiz olanlar
Danma grevlileri, santral memurlar, idar

yardmclar, gvenlik grevlileri
,.
zel ayrcalklara Yardm masas ya da teknik destek, sistem ynetisahip olanlar

ileri, bilgisayar iletmenleri, telefon sistemleri
yneticileri
retici/Satc
firmalar
Bilgisayar donanm, yazlm reticileri, sesli mesaj

sistemleri satclar
Belli blmler
Muhasebe, insan kaynaklar
irketleri Saldrlara Ak Duruma Getiren Unsurlar
ok sayda alan olmas

._
Birden fazla tesis bulunmas

alann nerede olduuyla ilgili sesli mesajlarda bilgi verilmesi
Dahil telefon numarasnn verilmesi
Gvenlik eitimlerinin yetersizlii
Veri snflandrma sisteminin bulunmamas

Bir olay bildirme ya da kar eylem plannn yrrlkte olmamas
Onaylama ve Veri Snflandrma

Bu tablolar ve emalar toplum mhendislii saldrs olabilecek bilgi
ya da ilem taleplerine karlk vermenize yardmc olacaklardr.
Kimlik Tespiti Yaplma Sreci

HAREKET
TANIM
Arayan kimliinin Gelen aramann dahil olup olmadn ve grnen

belirlenmesi
numarann ya da adn, arayann kimliiyle uyuup
uyumadn kontrol edin.
Geri arama
stek sahibini irket telefon rehberinden bulup,

rehberde geen numaradan onu geri arayn.
Kefil olma
Gvenilir bir alandan istek sahibine kefil

olmasn isteyin.
Paylalan ortak
anahtar
Bir parola ya da gnlk ifre gibi irket iinde kullanlan ortak anahtar talep edin.
306
Aldatma Sanat
HAREKET
TANIM (Tablonun devam)
Mdr ya da
ynetici
alann bir st yneticisini arayn ve kimliinin

ve alma durumunun onaylanmasn isteyin.
'
Gvenli e-posta
Dijital olarak imzalanm bir mesaj talep edin.
Kiisel ses
tanmlama
alann tand biri aryorsa sesinden tanmaya

aln.
Deiken
Gvenli kimlik ya da baka bir gl tanmlama

arac kullanarak deiken parola zmlerine
bavurun.
ahsen grme
istek sahibinin personel kartyla ya da baka bir

kimlik belgesiyle ahsen gelmesini isteyin.
parolalar
alma Durumunun Onaylanma Sreci

HAREKET
AKLAMA
irket telefon
rehberinden
kontrol
evrimii rehberde istek sahibinin adnn geip

gemediini kontrol edin.
stek sahibinin
yneticisinin
onay
irket rehberinde geen numaray kullanarak

istek sahibinin yneticisini arayn.
stek sahibinin
istek sahibinin blmn ya da i grubunu
blmnn ya da arayarak kiinin halen irkette alp
i grubunun onay almadn kontrol edin.
Bilme Gereini Kontrol Sreci

HAREKET
TANIM
Unvan/i
grubu/sorumluluklar listelerine
bavurun
Belli gizli bilgilere hangi alanlarn eriim hakk

olduunu renmek iin nceden yaynlanm
irket ii listelere bavurun.
Yneticiden
yetki aln
Kendi yneticinizi ya da istek sahibinin yneticisini

arayp istei yerine getirmek iin onay isteyin.
Bilgi sahibinden
ya da yedek
sorumludan
yetki aln
Bilgi sahibinden istekte bulunan kiinin bilme

gerei olup olmadn renin.
Otomatik bir ara Yetkili personel iin tescilli yazlm veri tabanlarna
kullanarak
bakn.
yetki aln
Bir Bakta Gvenlik
307
irket alan Olmayanlar Belirlemek

in Kriterler
... KRTER
HAREKET
liki
istekte bulunan kiinin alt firmann bir satc,

stratejik ortak ya da baka bir i ilikisi olan firma
olduundan emin olun.
istek sahibinin kimliini ve i durumunu satc/ortak
firmadan renin.
Kimlik
Aa vurmama
istek sahibinin yrrlkte olan bir aa vurmama

anlamas imzaladndan emin olun.
Eriim
Bilgi, dahil veya daha st derece olarak

snflandrlma talebi ynetime gnderin.
Veri Snflandrma
SINIFLANDIRMA AIKLAMA
Genel
Dahil
zel
Gizli
Herkese serbeste Onaylanmaya gerek yoktur,

verilebilir.
irket ii kullanm irket alanlarnn halen
iindir
alp almadklarnn kontrol
ya da irket alan olmayanlar
iin yrrlkte bir aa vurmama anlamasnn olmas ve
ynetici onaynn alnmas
istek sahibinin faal bir alan
Yalnzca kurum
iinde kullanlmak ya da dardan yetkili bir kii
zere belirlenmi olduunun onaylanmas. Yetkili
alanlara ya da dardan
kiisel nitelikli
gelen taleplere zel bilgiler verbilgiler.
meden nce insan kaynaklarndan kontrol edilmesi,
Kurum iinde yal- ilgili bilgi sahibine istekte bulunan kiinin kimliini ve bilme
nzca kesinlikle
gereini onaylatn. Yalnzca
bilmesi gereken
yneticinin, bilgi sahibinin ya
kiilerce bilinen
da sorumlusunun yazl izniyle
bilgiler.
istei yerine getirin. Yrrlkte
olan bir aa vurmama anlamas olup olmadn kontrol
edin. irket mensubu olmayan
kiilere yalnzca yneticier
aklama yapabilir.
308
Aldatma Sanat
Bilgi Talebine Karlk Vermek

Altn Sorular
Bu kiinin syledii kii olduunu nasl bilebilirim?
Bu kiinin byle bir istekte bulunmak iin yetkili olup olmadn
nasl renebilirim?
istenen bilgi neyle ilgili..
Parolanz
HBR KOULDA
bakalarna sylemeyin.
Hayr
Personel raporlama yaps,
alan adlan ve unvanlar
Kurulu emas
Ayrntlar
Dahil bilgilerin
aklanmasyla ilgili
sreci izleyin.
Hayr
Personelin kulland dahil
teefon numaralar, faks
numaralar, bina ii numaralar
ve bolum steleri
irket Telefon
Rehberi
Dahil bilgilerin
aklanmasyla ilgili
sreci izleyin.
Hayr
Kiisel telefon numaralan
(ev ya da cep), sosyal
gvenlik numaras, ev
adresi, zgemii ve maa
Kiisel Bilgiler
Dahil bilgilerin
aklanmasyla ilgili
sreci izleyin.
Hayr
letim sistemi eidi,
uzaktan eriim sreleri,
uzak balant numaralan v
bilgisayar sistemlerine
verilmi adlar
g sayar
Sistemleri
Sreleri ya da
Bilgile
Dahil bilgilerin
aklanmasyla ilgili
sreci izleyin.
Hayr
retim sreleri, stratejik
planlar, tescilli kaynak
kodlar, mteri steleri ve
ticari srlar
Gizli ya da zel
Bilgiler
Veri snflarn belirleyin;

bilgi vermeye ynelik olarak
ilgili sreleri takip edin.
Bir Bakta Gvenlik
309
lem Talebine Karlk Vermek
Altn Kurallar
rttlik tespiti yaplmadan kimseye gvenilmemelidir.

Gelen taleplerin sorgulanmas tevik edilmelidir.
Talep edilen ilem
Beklediiniz bir ey deilse

ekleri amayn; tm ekleri
virs koruma yazlmlaryla
tarayn.
Parola Deitirmek
HBR ZAMAN parolanz

bakasnn bildii bir eyle
deitirmeyin, bir an iin
olsa bile!
Tescilli kaynak kodlan, ticar

srlar, retim sreleri,
formller, rn zellikleri,
pazarlama verileri ya da
i planlan
Dahil Bilgiyi
Elektronik Olarak
Aktarmak
Veri snflarn belirleyin;

bilgi vermeye ynelik olarak
ilgili sreleri takip edin.
B boim tarafndan zellikle

onaylanmama herhangi bir
kimsenin stei dorultusunda
hibir zaman bilmediiniz
komutlar girmeyin ve
program altrmayn.
Herhangi Bir
Bilgisayara Komut
Girmek
Byle bir talep ancak B

blmnden gelebilir;
alann Kimlik Tespiti
Srelerine baknz.
Yalnzca dijital mzayla

doruluu kantlanm, gvenilir kaynaklardan edindiiniz
yazlmlar ykleyin.
B blm tarafndan
zellikle onaylanmamsa,
BlOS'un, iletim sisteminin
ya da herhangi bir
uygulamann (kiisel gvenlik duvar ya da virs koruma programlar da dahil)
ayarlarn deitirmeyin.
Yazlm
ndirmelcYkJeme
^ya da Devre
.Brakmak,
Bilgisayar
^
"ya da A Ayarlarnn 1
Deitirilmesi
Byle bir talep ancak B

blmnden gelebilir;
Srelerine baknz.
Byle b/r talep ancak B

blmnden gelebilir;
Srelerine baknz.
Bakalar ama yaptna tm hareteJler.

Daima kontrol edin, kontrol edin, kontrol edin.

Kevin Mitnick - Aldatma Sanatı

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Kevin Mitnick - Aldatma Sanatı

Uploaded by

Copyright:

Available Formats

GR

Bu kitap, bilgi gvenlii ve toplum mhendisliiyle ilgili youn bilgiler

Bir Bakta Gvenlik adnda bir blm ekledim. Bu aralar ayn

GVENLN EN ZAYIF HALKASI

reisimizle ayn yaklam kullanarak, gvenlik duvarlar, mdahaleleri

Klasik Bir Aldatma Olay

Gvenliin En Zayf Halkas

Bir De svire'deki u Banka Hesabna...

Gvenliin En Zayf Halkas

Gvenin Ktye Kullanlmas

mhendisi, sanatnn stratejilerini ve taktiklerini kullanarak neredeyse

Gvenliin En Zayf Halkas

Gvenliin En Zayf Halkas

yzden rakiplerimizin yanltc abalarn engellemek iin bir dereceye

Telefon beleilerinin yllar nce bulduklar, telefon irketinden

Saldrganlarn kullandklar, uyank ve kukucu alanlar bile

Bir lem Merkezi yneticisinin irketinin en gizli rn bilgisini

Bir hanm, her tua basm kaydeden sonra da ayrntlar

zel dedektiflerin irketinizle ve sizinle ilgili nasl bilgi topladklarn

Bilginin Gizli Deeri

Zararsz Gibi Grnen Bilgiler

atrabildii, arkada canls ve demokratik Amerika'dan baka hibir

- Talebinize yant verme sremiz ne kadar?

lk Grme: Kim Andrevvs

- Sizin in ayrdmz 800'l numaralardan hangisini

nc Grme: Henry McKinsey

- ye yeri Numaras deniyor, yle mi?

- Wells Fargo 1998'de, bir kerelik, 2.066 dolar tutarnda YB rapor

- Tamam, harika. Terimleri doru kullanabilmek iin sormutum.

kinci Grme: Chrs Ta I bert

- Bilgi talebi iin bizi ne sklkta aryorsunuz?

Bana birka dakikan ayrabilir misin?

- O zamandan beri baka hareket olmu mu?

zel Dedektif Banda

Zararsz Gibi Grnen Bilgiler

Elimde Kim'in zerinde ie yarayabilecek baka bilgiler de vard; hakknda

Zararsz Gibi Grnen Bilgiler

Kiisel bir soru mayn gibidir; bazlar zerinden geer ve hibir

i'lnd; CreditChex'i arayp, kendini mteri bankalardan biri olan Ulusal

Zararsz Gibi Grnen Bilgiler

hibir hassasiyeti yokmu gibi grnen ve irket alanlarnn

D: Didi Sands. Nakliye'nin dahilisini biliyordum ama unutmuum.

kinci Grme: Peggy

Saldrgan, Didi Sands adn kullanarak, cep telefonu hizmet

lk Grme: Danma Grevlisi

Sonra Didi, i dnyasnda iyi bilmen ve belirli bir kuruluun ya da

nc Grme: se Yarayan Yanl Numara

Zararsz Gibi Grnen Bilgiler

Drdnc Grme: Mcttbaa'dan Bart

Bouk sesli kadn insan avlayan telefon grmelerini yapmaya

Maliyet merkezi kodu ve dahili telefon

Peter Abel'in Telefon Grmesi

irket rehberi birka gn sonra geldiinde, Didi beklediinden daha da

Ve kolay elde edilemeyen nemli bir

Bu toplum mhendislii saldrsnda Didi, hedef irketin ayr

- Ben San Francisco'ya gitmiyorum ki.

ki pek ok insann bunu renme ans vardr; insan kaynaklarnn,

Zararsz Gibi Grnen Bilgiler

konusunda onu yetkili konuma getirmediinden tek tek her

Bir MHBM Marifeti

Gen Bir Kanun Kaa

Dorudan Saldr: Yalnzca isteyivermek

Hat evirme Dalaveresi

Telefon irketleri doal olarak bu kitapklar kolay ulalabilir yerlere