You are on page 1of 286

GR

Bu kitap, bilgi gvenlii ve toplum mhendisliiyle ilgili youn bilgiler iermektedir. Yolunuzu bulmanz kolaylatrmak iin, ite size kitabn . ieriine hzl bir bak: Perde Arkas balnda gvenliin en zayf halkasn aklayacak, sizin ve irketinizin neden toplum mhendislii saldrlarna maruz kalabileceinizi gstereceim. Saldr Sanat balnda, toplum mhendislerinin istediklerini elde etmek iin gveninizle, yardmc olma isteinizle, sevecenliinizle ve insan saflklarnzla nasl oynadklarm greceksiniz. Sk grlen saldrlarla ilgili hayal ykler toplum mhendislerinin pek ok kimlie ve yze brnebildiklerini size gsterecek. Eer daha nce bir toplum mhendisiyle karlamadnz dnyorsanz, byk olaslkla yanlyorsunuzdur. Bakalm, bu yklerde daha nce sizin de yaadnz bir senaryo grecek ve toplum mhendisliinin size dokunup dokunmadn merak edecek misiniz? Bu olmayacak bir ey deil. Ancak ikinci blmden dokuzuncu blme kadar okuduktan sonra, sizi arayan ilk toplum mhendisinin nasl hakkndan geleceinizi renmi olacaksnz. Davetsiz Misafirlere Dikkat adl balkta se, toplum mhendislerinin, irket alannza girerek, irketinizi batracak ya da karacak sr-' lan alp, sizin yksek teknoloji gvenlik nlemlerinizi atlatarak riski nasl artrdn, uydurma yklerle greceksiniz. Bu balk altnda anlatlan senaryolar, bir alann intikam almasndan tutun da, sanal terrizme kadar oluabilecek eitli tehditlerin farkna varmanz salayacaktr. Eer iletmenizi ayakta tutan bilgilere ve verilerinizin gvenliine deer veriyorsanz, onuncu ve on drdnc blmleri batan sona okumak isteyeceksiniz. Aksi belirtilmedii takdirde, bu kitapta kullanlan tm yklerin uydurma ykler olduklarn vurgulamakta yarar var. tay Ykseltmek balnda irket yaklamn ele alp kurumunuza yaplan toplum mhendislii saldrlarnn baarya ulamalarnn nasl engellenebileceinden sz edeceiz. On beinci blm baarl bir gvenlik eitimi program iin bir taslak sunmaktadr. Ve on altnc blm tam hayatnz kurtaracak ey olabilir; kurumunuza uyarlayabileceiniz, irketinizi ve bilgilerinizi emniyette tutmak iin hemen uygulamaya geirebileceiniz, her ynyle tam bir gvenlik kurallar metni. En sona, ibanda karlatklar bir toplum mhendislii saldrsn nleyebilmeleri iin alanlarnza yol gstermekte kullanabileceiniz kilit bilgileri zetleyen kontrol listeleri, tablolar ve emalar ieren

xiv

Aldatma Sanat

Bir Bakta Gvenlik adnda bir blm ekledim. Bu aralar ayn zamanda, kendi gvenlik eitimi programlarnz oluturmakta kullanabileceiniz deerli bilgiler de iermektedir. Kitapta pek ok faydal unsurla karlaacaksnz: Terim kutular, toplum mhendislii ve bilgisayar korsanl terimlerinin aklamalarn erirler; Mitnick Mesajlar gvenlik stratejinizi glendirmenize yardmc olacak ksa bilgiler sunmaktadr; notlarda ise ek bilgiler ve ilgin ayrntlar bulunmaktadr.

1
Perde Arkas

GVENLN EN ZAYIF HALKASI


Br irket parann alabilecei en iyi gvenlik teknolojilerini satn alm; alanlarn, akam eve giderken her eylerini kilit altna alacak ekilde son derece iyi eitmi ve bina gvenlik grevlilerini sektrn en iyi gvenlik irketinden kiralam olabilir. Bu irket yine de tamamen savunmaszdr. Bireyler, uzmanlarn nerdii en iyi gvenlik uygulamalarn altryor, nerilen her gvenlik rnn bilgisayarna yklyor olabilirler ve uygun sistem yaplandrmasn ve gvenlik yamalarn! kullanmak konularnda son derece dikkatli davranabilirler. Bu bireyler yine de tamamen savunmaszdrlar. \ .-- : .,

nsan Unsuru
Yakn bir gemite Kongre'ye ifade verirken, baka birisi gibi davranarak ve yalnzca bu bilgiyi isteyerek, ifreleri ve dier hassas bilgileri ou zaman irketlerden alabildiimi anlattm. Tam anlamyla gvende olduunu bilmeyi istemek doal bir duygudur ama bu, pek ok nsann sahte bir gvenlik hissiyle yetinmesine de neden olur. Karsn, ocuklarn ve evini korumak iin n kapsna, maymuncukla alamaz olarak bilinen, Medico marka bir silindirli kilit taktrm, sorumluluk sahibi ve sevecen bir ev sahibini dnn. Davetsiz misafirlere kar ailesini gvenceye ald iin ii rahat. Ama pencereyi kran ya da garaj kapsnn ifresini bozan hrszlara ne olacak? Gl bir aiarm sistemi yerletirmek daha iyi olurdu ancak yine de bir garantisi yok. Pahal kilitler olsun ya da olmasn, ev sahibinin saldrya ak olma hali devam ediyor. Neden? nk nsan unsuru aslnda gvenliin en zayf halkasdr. Gvenlik ou zaman bir yanlgdan ibarettir, jin iine dikkatsizlik, saflk ve cahillik de girince daha da kt olur. Yirminci yzyln en saygn bilimadam olan Albert Einstein yle demitir: "Yalnzca iki ey sonsuzdur, evren ve insanolunun aptall; aslnda evrenin sonsuzluundan o kadar da emin deilim." Sonu olarak, insanlar aptailarsa ya da daha sk grlen ekliyle, doru gvenlik uygulamalar konusunda bilgisizlerse, toplum mhendislii saldrlar baarl olmaktadr. Pek ok biliim teknolojileri (BT) sektr alan, gvenlik bilincine sahip aile

Aldatma Sanat

Gvenliin En Zayf Halkas Havale odasndaki memurlar her gn deien ifreyi ezberlemek iin kendilerini yormuyorlard: ifreyi kk bir kda yazp kolayca grebilecekleri bir yere asyorlard. Kasm aynn tam o gnnde Rfkin'in oday ziyaret etmesinin zel bir nedeni vard. O kda bakmak istiyordu. Havale odasna gelerek, alma sreleriyle ilgili notlar ald; gya yedekieme sisteminin olaan sistemlerle tam olarak rttnden emin olmak istiyordu. Bu srada asl kttaki gvenlik ifresini gizlice okudu ve ezberledi. Birka dakika sonra dar kt. Daha sonra sylediine gre, o an kendini piyangoda byk ikramiyeyi kazanm gibi hissetmiti.

reisimizle ayn yaklam kullanarak, gvenlik duvarlar, mdahaleleri ortaya karma sistemleri ya da daha gl tanma sistemleri olan zaman tabanl kartlar ve biyometrik akll kartlar gibi herkese kabul grm gvenlik rnleri kullandklar iin irketlerini saldrlara kar byk lde gvende tuttuklar dorultusunda yanl bir kanya sahiptirler. Gvenlik rnlerinin tek balarna tam bir gvenlik salayacana inanan biri, gvenlik konusunda kendini kandryor demektir. Bu ancak hayal aleminde grlebilecek bir durumdur. Bu insanlar er ya da ge, kanlmaz olarak bir gvenlik sorunu yaayacaklardr. Tannm bir gvenlik danman olan Bruce Schneier'n da dedii gibi, "Gvenlik bir rn deil, bir sretir." Dahas, gvenlik bir teknoloji sorunu deildir; bir insan ve ynetim sorunudur. Aratrmaclar srekli olarak daha iyi gvenlik teknolojileri gelitirip teknik aklar smrmeyi giderek zoriatrnca, saldrganlar insan unsurunu smrme yoluna daha ok gideceklerdir, insanlarn gvenlik duvarn krmak genellikle daha kolaydr ve bir telefon grmesinden baka yatrm istemedii gibi riski de ok dktr.

Bir De svire'deki u Banka Hesabna...


leden sonra saat sularnda odadan km, doruca binann mermer kaplamal giriindeki telefon kulbelerine gitmi, telefona jeton atarak havale odasnn numarasn evirmiti. Sonra, telefonda baka bir kla brnm, kendini, banka danman Stanley Rifkin'den, bankann Uluslararas lemler Birimi'nin bir alan olan Mike Hansen'a dntrmt. Bir kaynaa gre, yaplan grme aadaki gibi gelimiti: "Merhaba, ben Uluslararas lemler'den Mike Hansen," dedi Rifkin, telefonun dier ucundaki gen kadna. Kadn ofis numarasn istedi. Bu olaan bir soruydu ve Rifkin hazrlklyd: "286," dedi. Kadn sonra "Peki, ifre nedir?" diye sordu. Rfkin'in adrenalinin etkisiyle zaten hzl atan kalbi o anda iyice hzland. Duraksamadan yantlad, "4789." Sonra havale talimatlarn vermeye balad: New York Irving Yatrm Ortakl'ndan Zrih VVozchod Handels Bankas'ndaki hesaba yatrlmak zere "tam olarak on milyon iki yz bin dolar." B hesab nceden kendisi atrmt. Kadn sylenenleri not edip, "Tamam, bilgileri aidim. imdi de birimler aras takas numarasna ihtiyacm var." dedi Rfkin'in bandan aa kaynar sular dkld; bu beklemedii bir soru, aratrmasnda unuttuu bir ayrntyd. Ama soukkanlln koruyup her ey yolundaym gibi davrand ve hi beklemeden cevap verdi, "Bir kontrol edeyim; sizi hemen ararm." Bu kez bankann baka bir birimini aramak iin tekrar telefonda klk deitirerek havale odasndaki bir alan gibi davrand. Takas numarasn rendi ve gen kadn yeniden arad. Gen kadn numaray ald ve, "Teekkrler" dedi. (Bu koullar altnda, teekkr etmesi gerekenin aslnda Rifkin olmas gerektii sylenebilir.)

Klasik Bir Aldatma Olay


letmenizin mal varlnn gvenliine kar en byk tehdit nedir? Yantlamas kolay: toplum mhendisi; siz sa eline bakarken sol eliyle srlarnz alan acmasz bir sihirbaz. Bu kii ou zaman o kadar arkada canls, samimi ve yardmseverdir ki onunia karlatnza kredebilirsiniz bile. Br toplum mhendislii rneine bakalm: Bugn pek ok insan Stanley Mark Rifkin adndaki gen adam ve artk var olmayan Los Angeles'taki Pasifik Hisseleri Ulusal Bankas'yla olan macerasn hatrlamaz. Gerekte ne olduuyla ilgili eitli rivayetler vardr ve Rifkin de, benim gibi, hikyesini kendi azndan hibir zaman anlatmamtr. Bu yzden aadakiler yaymlanm makalelerden derlenmitir.

ifre Krmak
1978 ylnda bir gn Rifkin, Pasifik Hisseteri'nin yalnzca yetkili personelinin girebildii ve odadakilerin her gn milyarlarca dolar tutarnda havale gnderip aldklar havale odasna doru yolland. Ana bilgisayarn kmesi olaslna kar, havale odasnn verileri iin yedekieme sistemi gelitirecek bir irkette szlemeli olarak alyordu. Bu grevi, banka yetkililerinin havaleleri nasl gnderdikleri de dahil olmak zere, tm havale srelerini renmesini salamt. Her sabah havale yapmaya yetkili banka alanlarna, havale odasn aradklarnda kullanmalar iin, zenle korunan gnlk bir ifrenin verildiini renmiti.

Aldatma Sanat

Gvenliin En Zayf Halkas koruma salamay amalamaktadrlar. nternetten indirilmi programlar kullanan bu yeniyetme korsanlar ou zaman biraz rahatszlk vermekten teye gidemiyorlar. Byk kayplar ve gerek tehlike, maddi bir kazan salamaya gdlenmi, hedefleri iyi tanmlanm, planl saldrganlardan geliyor. Bu nsanlar, amatrler gibi birok sisteme birden girmeye almaktansa, her seferinde tek bir hedef zerinde younlayorlar. Amatr korsanlar sayy ok tutmay amalarken, profesyoneller kaliteli ve deerli bilgiyi hedefliyorlar. Kimlik tespiti iin kullanlan tanma aralar, sistem zkaynaklanna ve dosyalara eriimin ynetilmesi iin eriim kontrol sistemleri ve hrsz alarmlarnn elektronik karl olan izinsiz girileri tespit sistemleri gibi teknolojiler, bir irket gvenlik program iin nemlidirler. Yine de irketler, gvenlik nlemlerine yatrm yapmaktansa, kahveye para harcamay yeliyorlar. Sulularn akl nasl su ilemeye ynelik alyorsa, bilgisayar korsannn da akl gl gvenlik teknolojilerinin aklarn bulmaya ynelik alr. ou zaman da bunu teknolojiyi kullanan kiileri hedefleyerek yaparlar.

Amaca Ulalmas
Birka gn sonra Rifkin svire'ye utu, parasn ald ve 8 milyon dolarn bir yn elmas karlnda bir Rus acentasna verdi. Tekrar uaa bindi ve talar bir para kuana saklayarak A.B.D. gmrnden geti. Tarihteki en byk banka soygununu yapmt ve bunu bir silah, hatt bir bilgisayar bile kullanmadan gerekletirmiti. Tuhaf olan, iledii suun bir sre sonra "en byk bilgisayar dolandrclklar" bal altnda Ginness Rekorlar Kitab'nn sayfalarnda yer almasyd. Stanley Rifkin'in insanlar aldatma sanatnda kulland bu beceri ve teknikler btnne artk toplum mhendislii diyoruz. Aslnda bu i iin gerekenler zenli bir planlama ve iyi laf yapma yeteneinden ibaret. Ve bu kitabn konusu ite bu -bendenizin ustas olduu- toplum mhendislii teknikleri ve irketiniz zerinde kullanlmalar durumunda nasl kar savunma yapacanz.

Tehlikenin Boyutu
Rifkin'in yks, gvende olduumuz hissinin ne kadar.yanl bir dnce olduunu mkemmel bir ekilde aklyor. Bu tarz olaylar -belki 10 milyon dolarlk vurgunlar deil ama- her gn oluyor. u anda paralarnz gidiyor olabilir ya da birileri yeni rnlerinizin tasartmlartn alyor olabilir ve siz bunun farknda bile deilsiniz. Eer irketinizin bana henz byle bir olay gelmediyse, sormanz gereken ey bunun olup olmayaca deil, ne zaman olaca.

Yanltc Uygulamalar
En emniyetli bilgisayarn kapal bir bilgisayar olduuna dair yaygn bir sz vardr. Akllca ama yanl: Art niyetli bir kii ofise gidip bilgisayar amas iin birini ikna ederek ii bitirir. Elinizdeki bilgiye sahip olmak isteyen bir rakibiniz, ou zaman var olan pek ok farkl yoldan birini kullanarak onu elde edebilir. Bu i yalnzca zamana, sabrl olmaya, kiilie ve srarcla bakar. te bu noktada aldatma sanat devreye girer. Bir saldrgann, davetsiz misafirin ya da toplum mhendisinin gvenlik nlemlerini atlatmak amacyla, bilgisini paylaacak gvenilir bir kullancy kandrmas ya da hibir eyden kukulanmayan bir hedefi ona giri hakk tanmas iin aldatmas gerekir. Gvenilir alanlar, hassas bilgileri paylamalar iin ya da saldrgann ieri szmasn salayacak bir gvenlik a yaratmalar iin kandrlabildiklerinde, ikna edilebildiklerinde ya da ynlendrilebildiklerinde dnyadaki hibir teknoloji bir irketi koruyamaz. Tpk ifre zmleyicilerinin ifre teknolojisini bertaraf edecek bir ak bularak, ifrelenmi bir mesajn ieriini renebildikleri gibi, toplum mhendisleri de gvenlik teknolojilerini bertaraf etmek iin alanlarnz aldatma yntemi kullanlan

Artan Endie
Bilgisayar Gvenlii Enstits'nn, 2001 ylnda bilgisayar sularyla ilgili yapt aratrmaya gre, geen on iki ay ierisinde aratrmaya katlan kurulularn yzde 85'inin bilgisayarlarna yetkisiz giri yaplm. Bu artc br rakam: Aratrmaya katlan her yz kurulutan yalnzca on bei yl boyunca gvenlik ihlfi yaamadn syleyebilmi. Bir o kadar artc olan baka bir veri de bilgisayarlarna izinsiz giriler sonucunda mali zarara urayan kurulularn oran: yzde 64. Tek bir yl ierisinde kurulularn yansndan fazlas mali zarara uram. Kendi deneyimlerim bu tarz aratrmalardaki rakamlarn biraz abartl olduunu sylyor. Aratrmay yapan kiilerin niyetlerinden kukuluyum. Ama bu, zararn az olduu anlamna gelmez. Zarar byk. Gvenlik ihlllerine kar hazrlkl olmayanlar, aslnda kaybetmeye hazrlanyorlar. Pek ok irkette kullanlan ticari gvenlik rnleri, ounlukla, yazlmc veletler olarak bilinen amatr bilgisayar korsanlarna kar

Gvenin Ktye Kullanlmas


ou durumda, baarl toplum mhendislerinin gl nsan ilikileri vardr. Hzl dost olup gven salayabilmek iin gerekli kiilik zelliklerine sahip; yani etkileyici, nazik ve sevimli kiilerdir. Deneyimli bir toplum

Adatma Sanat

Gvenliin En Zayf Halkas Bugnn havaalanlarna bir bakn. Gvenlik en st dzeye ulam durumda ancak gvenlii ap, kontrol noktalarndan tehlikeli olabilecek silahlar geiren yolcularla ilgili basnda duyduumuz haberlerle dehete dyoruz. Hava alanlarmz byle bir alarm durumundayken bu nasl mmkn olabiliyor? Metal dedektrleri mi doru almyor? Hayr. Sorun makinelerde deil. Sorun insan unsurunda: Makineleri altran insanlarda. Hava alan yetkilileri Ulusa! Muhafzlar1! kapya koyup, metal dedektrleri ve yz tanma sistemleri yerletirebilirler ama aktif gvenlik grevlilerini, yolcular nasl kontrol edecekleri konusunda eitmek daha yararl olur gibi grnyor. Ayn sorun, dnya apnda, tm devlet kurumlar, eitim kurulular ve ticari iletmeler iin de geerli. Gvenlik uzmanlarnn abalarna karn bilgiler savunmasz kalyor ve gvenlik zincirinin en zayf halkas olan nsan halkas glendirmedii srece, toplum mhendislii becerileri olan saldrganlarca itah ac bir hedef olarak grlmeye devam ediyor. Her zamankinden ok u anda, pembe gzlklerimizi karp, bilgisayar sistemlerimizin ve alarmzn gizliliine, btnlne ve varlina saldrmaya yeltenecek olanlarn kulland yntemlere kar daha gz ak olmalyz. Trafikte dier arabalarn hereyi yapabilecei olaslna kar gelitirilen korunmac srcln gerekliliine zamanla inandk; artk korunmac programclk uygulamalarn da renip onlara da inanma zamanmz geldi. zel yaantnz, aklnz ya da irketinizin bilgi sistemlerini ihial eden bir saldr tehlikesi, banza gelene kadar gerekleecekmi gibi grnmeyebilir. Maliyetleri yksek olan bylesi bir gerekle yzlemekten kanmak iin, bilgi varlklarmz, kendi kiisel bilgilerimizi ve ulusumuzun hassas alt yaplarn korumak konusunda hepimizin bilinli, eitimli ve uyank olmamz gerekmektedir. Ve bu nlemleri bugnden almamz arttr.

mhendisi, sanatnn stratejilerini ve taktiklerini kullanarak neredeyse hedefledii her bilgiye ulaabilir. Yetenekli teknoloji uzmanlar aln teri dkerek bilgisayar kullanmna bal riskleri en aza indirgemek iin bilgi gvenlii zmleri retmiler, ancak en zayf halka olan insan unsuruna dokunmamlardr. Tm zekmza karn, biz insanlar -siz, ben ve dier herkes- birbirimizin gvenliine ynelik en byk tehdidi oluturuyoruz.

Ulusal Karakterimiz
zellikle Bat dnyasnda, bu tarz tehditlerin zerinde durmuyoruz. Bize birbirimizden phelenmemiz retilmiyor. Bu en ok da Amerika'da byle. Bize "komumuzu sevmemiz", birbirimize gvenmemiz ve inanmamz retilir. Yerel gvenlik rgtlerinin, insanlar evlerini ve arabalarn kilitlemeye ikna etmelerinin ne kadar zor olduunu bir dnn. Bu tarz aklarn verilebilecei gn gibi ortadadr ve haya! dnyasnda yaamay tercih eden pek oklar tarafndan gz ard edilmektedir; ta ki azlar yanana kadar. Her insann iyi niyetli ve drst olmadn biliyoruz, ancak ou zaman sanki yle deillermi gibi davranyoruz. Bu muhteem saflk, Amerikallarn yaamlarnn temel tadr ve bundan vazgemek ac verici olacaktr. Bir ulus olarak, zgrlk anlaymzn iine, yaanacak en yi yerin anahtarlarn ve kilitlerin en az gerekli olduu yer anlayn da koymuuz. ou insan, kandrlma olaslnn ok dk olduu nancna dayanarak, bakalar tarafndan kandramayaca varsaymyla hareket eder; bu ortak inancn bilincinde oian saldrgan, isteini o kadar akllca sunar ki hi kuku uyandrmaz ve kurbann gvenini smrr.

Kurumsal Saflk
Ulusal karakterimizin bir paras olan bu saflk, bilgisayarlar ilk olarak uzaktan birbirlerine balandklarnda da grlyordu. Hatrlayn, ntemet'n ilk ekli olan ARPANet {Savunma Bakanl ileri Aratrma Projeleri Birimi A} devlet, aratrma ve eitim kurumlan arasnda bilgi paylamann bir yolu olarak tasarlanmt. Ama, teknolojik ilerlemenin yansra bilgi zgrlyd. Bylece pek ok eitim kurumu, ilk bilgisayar sistemlerini ya hi ya da ok az gvenlik salayarak kurdular. Tannm bir yazlm zgrlks olan Richard Stallman, kendi hesabn bir ifreyle korumay bile reddetmiti. Ancak internet'in elektronik ticaret iin kullanlmaya balanmas, zayf gvenlik nlemlerinin, her eyin biribirine kablolarla bal olduu dnyamzda yarataca tehlikeleri ciddi ekilde aa kard.

Terristler ve Aldatmacalar
Aldatma sanat, doal olarak, yalnzca toplum mhendisine zg bir ara deildir. FizikseMerrizm byk yanklar uyandryor ve dnyann tehlikeli bir yer olduunun daha nce hi varmadmz kadar farkna varmamza yol ayor. Sonuta, medeniyet yalnzca ince bir kaplama gibi. Eyll 2001'de, New York ve VVashington'a yaplan saldrlar her birimizin -yalnzca Amerikallarn deil, tm uluslarn iyi niyetli insanlarnn da- yreine hzn ve korku sald. Dnyann her tarafnda, iyi eitilmi ve yeni saldrlar yapmann frsatn kollayan, takntl terristlerin olduu gereine kar uyarldk. Devletlerin son zamanlarda artan abalan, gvenlik bilinci dzeyimizi artrd. Her tr terrizme kar uyank ve tetikte olmalyz.

10

Aldatma Sanat

Gvenliin En Zayf Halkas

11

Terristlerin nasl byk bir hainlikle sahte kimlikler yarattklarn, renci ve komu rollerine brndklerini ve kalabala kartklarn iyice anlamamz gerekir. Entrikalar evirirlerken, bu sayfalarda okuyacaklarnza benzer aldatma numaralar ekerek asl niyetlerini gizliyorlar. Bildiim kadaryla, terristler irketlere, ime suyu tesislerine, elektrik retme tesislerine ya da ulusal altyapmzn baka yaamsal nemi olan paralarna szmak iin henz toplum mhendislii teknikleri kullanmadlarsa da, asl sorun orada yatyor. Bunu yapmak son derece kolay. Bu kitap sayesinde, irket st ynetimlerinin gvenlik bilincini yerletirip yeni gvenlik politikalarn uygulamaya koyacan umuyorum.

yzden rakiplerimizin yanltc abalarn engellemek iin bir dereceye kadar ihtiyatl olmalyz. Kitabn ana paralarn oluturan ikinci ve nc ana balklar, toplum mhendislerini i banda gsteren hayal yklerden oluuyor. Bu blmlerde unlar greceksiniz: . Telefon beleilerinin yllar nce bulduklar, telefon irketinden rehberde gemeyen bir numaray almann salam bir yolunu. Saldrganlarn kullandklar, uyank ve kukucu alanlar bile bilgisayar kullanc adlann ve ifrelerini vermeye ikna edecek eitli yntemleri, Bir lem Merkezi yneticisinin irketinin en gizli rn bilgisini alabilmesi iin bir saldrgana nasl yardm ettiini, Bir hanm, her tua basm kaydeden sonra da ayrntlar saldrgana e-postalayan bir yazlm indirmesi iin kandran bir toplum mhendisinin kulland yntemleri, zel dedektiflerin irketinizle ve sizinle ilgili nasl bilgi topladklarn okuyacaksnz. Bu sonuncunun iinizi rperteceinden eminim.

Bu Kitap Hakknda
irket gvenlii bir denge konusudur. Yetersiz gvenlik, irketinizi ok savunmasz brakrken, gvenliin zerinde fazla durmak ise ile ilgilenilmesini engelleyip, irketin bymesini ve kazancn kstlar. Asl zor i gvenlik ve retkenlik arasndaki dengeyi kurmaktr. irket gvenliiyle lgili baka kitaplar yazlm ve donanm teknolojileri zerine odaklanrlar ve en ciddi tehlikeye yeterince yer vermezler: insanlarn aldatlmas. Bu kitabn amac, dierlerinden farkl olarak, sizin, beraber altnz insanlarn ve irketinizin dier alanlarnn nasl ynlendirilebileceini anlamanza yardmc olmak ve kandrlan kii konumundan kmak iin ne gibi nlemler alabileceinizi gstermektir. Elinizdeki kitap, ounlukla, saldrganlarn bilgi almak, gvenilir olduu dnlen ama aslnda yle olmayan bir bilgiyi dorulamak ya da bir irket rnn tahrip etmek iin kullandklar, teknik olmayan yntemler zerinde duruyor. Benim grevim, var olan basit bir gerek nedeniyle daha da zorlayor: Her okuyucu, toplum mhendisliinin en byk ustalar olan anne-babalar tarafndan zaten ynlendirilmi durumda. Anne ve babanz "sizin iyiliiniz iin," diyerek en doru olduunu dndkleri eyleri size yaptrmann yoifann buldular. Toplum mhendisleri, hedeflerine ulamak iin hikyelerin, nedenlerin ve gerekelerin zerinde nasl zenle ve maharetle oynuyorarsa, anne-babalar da ayn yntemleri kullanan baarl birer hikye anlatcsdrlar. Evet, hepimiz, iyi niyetli (ve bazen o kadar da iyi niyetli olmayan) toplum mhendisleri olan anne-babalarmtz tarafndan yorulduk. Bu eitimle artlanm olarak ynlendirilmeye ak hale geldik. Eer her zaman tetikte olup bakalarna gvenmeseydik, bizden yararlanmak isteyen birinin kuklas olacamz endiesiyle dolu olsaydk, zor bir yaam sryor olurduk. Kusursuz bir dnyada kuku bile duymadan bakalarna gvenir, karlatmz insanlarn drst ve gvenilir olduklarndan emin olurduk. Ama kusursuz bir dnyada yaamyoruz ve bu

kinci ve nc ana balklarda geen baz hikyeleri okurken, bunlarn mmkn olmadn bu sayfalarda yazl yalanlarn, aalk numaralarn ve dalaverelerin hi kimsenin yanna kalmayacan dnebilirsiniz. Gerek u ki, her olayda anlatlan hikyeler olmu ve olabilecek olaylar yanstmaktadrlar: Pek ou dnyann bir kesinde her gn olmaktadr; hatt siz bu kitab okurken sizin kurumunuzun bile bana geliyor olabilir. Kitabn ierii, iinizi korumak sz konusu olduunda gerekten ibret verici olacaktr; kiisel ynden bakldnda ise zel yaamnzda bilginizin btnln korumak iin toplum mhendislerinin hamlelerini bertaraf etmenize de fayda salayacaktr. Kitabn drdnc ana balnda konuyu farkl bir adan ele alyoruz. Buradaki amacm, alanlarnzn toplum mhendisleri tarafndan kandrlmalar ^olasln en aza indirgemek iin gerekli iletme kurallarn ve bilinlendirme eitimlerini oluturmanza yardm etmek. Toplum mhendislerinin stratejilerini, yntemlerini ve taktiklerini anlamak, irketinizin retkenliini drmeden BT varlklarnz korumak iin uygun kontroller yerletirmenize yardmc olacaktr. Ksacas, bu kitab, toplum mhendisliinin oluturduu ar tehlikeye kar sizleri bilinlendirmek ve irketinizin ve alanlarnzn bu yolla smrlmesi olasln en aza indirgemenize yardm etmek iin yazdm. Ya da belki yle sylemeliyim, bu olaslk bir daha hi smrlemeyecekleh kadar azalacaktr.

2
Sanat

ZARARSIZ GB GRNEN BLGLER


ou insana gre toplum mhendislerinden kaynaklanacak en byk tehdit nedir? Kendinizi korumak iin ne yapabilirsiniz? Eer ama ok deerli bir dl ele geirmekse -diyelim ki, bir irketin fikr sermayesinin nemli bir parasysa- o zaman belki de gerekli olan oy, mecaz olarak, yalnzca daha gl bir kasa ve daha iyi silahlanm bekilerdir. yle deil mi? Ama aslnda bir irketin gvenliinin almas, genellikle kt adamn irketteki pek ok insann korunmas ve snrlandrlmas iin bir neden grmedii, son derece masum, gnlk ve nemsiz grnen bir bilgiyi ya da bir belgeyi elde etmesiyle balar.

Bilginin Gizli Deeri


ou toplum mhendisleri, bir irketin elinde olan ve zararsz gibi grnen bilgileri el stnde tutarlar nk bu bilgiler, kendilerini daha inandrc kNabilmelerinde can alc bir rol oynayabilir. Bu sayfalarda, toplum mhendislerinin saldrlarna sizin de "tank" olmanz salayarak ilerini nasl yaptklarn gstereceim; bazen olay kurban rolndeki kiilerin bak asndan sunacam, bylece kendinizi onlarn yerine koyabilecek ve siz (belki de alanlarnzdan ya da i arkadalarnzdan biri) olsaydnz nasl bir yant verebileceinizi tartabileceksiniz. ou durumda ayn olaylar toplum mhendisinin bak asndan da greceksiniz. lk yk finans endstrisindeki bir ak noktaya deinmektedir.

Creditchex
ngilizler, tutucu bir bankaclk sistemine uzun bir sre katlanmak zorunda kaldlar. Sradan ve drst bir vatanda olarak bir bankadan ieri girip bir hesap atramazdnz. Hatrl mterilerden biri sizin iin bir tavsiye mektubu yazmad srece banka sizi mteri olarak kabul etmeyi dnmezdi biie. ingilizlerin bu sistemi gnmzn grnte eitliki bankaclndan doal olarak olduka farkl. yapmaktaki ada rahatlmz, neredeyse herkesin bir bankaya girip kolaylkla vadesiz ek hesab

16

Aldatma Sanat

Zararsz Gibi Grnen Bilgiler

17

atrabildii, arkada canls ve demokratik Amerika'dan baka hibir yerde bu kadar gze arpmyor, yle mi? Tam olarak deil. Gerek u ki, bankalarn anlalabilir nedenlerden tr, gemite karlksz ek yazm olabilecek biri adna -ki bu, kiinin adli sicilinde banka soygunu ya da zimmete geirme sularnn olmas kadar kt bir durumdurhesap amak konusunda doal bir ekingenlikleri vardr. Bu yzden, mstakbel bir mteriyle ilgili hzl bilgiler edinmek pek ok banka iin olaan bir uygulamadr. Bu tarz bilgileri edinmek iin bankalarn i yaptklar balca irketlerden biri de bizim CreditChex adn vereceimiz bir kurulu. Mterilerine ok nemli bir hizmet sunmakla birlikte, birok irkette olduu gibi, ini bilen toplum mhendislerine de farknda olmadan kullanl bilgiler salayabiliyorlar.

- Pekl. ubenizin alma saatleri nedir? Kadn yantlad ve ardarda gelen somlar yantlamaya devam etti. - ubenizin ka alan bizim hizmetlerimizden yara} lan\ or9 - Bilgi talebi iin bizi ne sklkta aryorsunuz? - Sizin in ayrdmz 800'l numaralardan hangisini kullanyorsunuz? - Mteri temsilcilerimiz her zaman size kar nazikle/ m * - Talebinize yant verme sremiz ne kadar? - Ne kadar sredir bankada alyorsunuz? - u anda kullandnz ye yeri Numaras nedir? - Size saladmz bilgilerde hi tutarszla rastladnz m'' - Hizmetlerimizi gelitirmemiz dorultusunda nsrile iniz olsavd bunlar neler olurdu? Ve: - ubenize dzenli olarak gndereceimiz anketleri doldurmak ister misiniz? Kadn yapabileceini syledi, biraz konutular, arayan telefonu kapatt ve Chris iinin basma dnd.

lk Grme: Kim Andrevvs


- Ulusal Banka, ben Kim. Size nasl yardmc olabilirim? - Merhaba Kim. Sana bir sorum olacakt. Sizler CreditChex kullanyor musunuz? - Evet. - CreditChex'i aradnz zaman, onlara verdiiniz numaraya ne ad veriyorsunuz? ye yeri Numaras m? Kz bir an duraksad; soruyu tartp, bunun neyle ilgili olduunu ve yant verip vermemesi gerektiini dnd. Bu arada, telefondaki ara vermeden konumay srdrd: Sormamn nedeni u: zel dedektiflik konusunda bir kitap yazyorum. - Evet, dedi kz, soruyu gnl rahatlyla yantlayarak. Bir yazara yardmc olabildii in memnun'olmutu. - ye yeri Numaras deniyor, yle mi? - Ht ki. - Tamam, harika. Terimleri doru kullanabilmek iin sormutum. Yani kitap iin. Yardmlarn iin teekkrler. Hoakal, Kim.

nc Grme: Henry McKinsey


- CreditChex, ben Henry McKinsey, size nasl yardmc olabilirim? Arayan, Ulusal Banka'dan aradn syledi. Doru ye yeri Numarasn, sonra da bilgi istedii kiinin adn ve sosyal gvenlik numarasn verdi. Henry kiinin doum gnn sordu ve arayan onu da verdi. Biraz sonra Henry bilgisayar ekranndan kaytlar okudu. - Wells Fargo 1998'de, bir kerelik, 2.066 dolar tutarnda YB rapor etmi. YB (Yetersiz Bakiye), yazlan eke karlk hesapta yeterince para olmad durumlar iin kullanlan bankaclk terimidir. - O zamandan beri baka hareket olmu mu? - Hayr, olmam. - Baka sorgulama olmu mu? - Bir bakalm. Evet, iki tane olmu, ikisi de geen ay. Chicago, nc Birleik Kredi Birlii. Bir sonraki ad, Schenectady Yatrm Ortakl'n, okurken bocalad ve harf harf kodlamak zorunda kald. - New York Eyaleti'nde, diye de ekledi.

kinci Grme: Chrs Ta I bert


- Ulusal Banka, Yeni Hesaplar, ben Chris. - Merhaba, Chris. Ben Alex, dedi arayan. CreditChex'in mteri temsilcisiyim. Hizmetlerimizi gelitirebilmek iin bir aratrma yapyoruz. Bana birka dakikan ayrabilir misin? Chris memnuniyetle ayrabileceini syledi ve arayan konumaya devam etti:

18

Aldatma Sanat

Zararsz Gibi Grnen Bilgiler hakim biri tarafndan istendii izlenimini yaratmann bir yolunu bul. Aradm bankada, ad Kim olan gen hanm CreditChex' aradklar zaman kendilerini nasl tanttklarn sorduumda kukuland. Duraksad ve bana syleyip sylememekten emin olamad. Bu beni caydrd m? Elbette hayr. stelik bu duraksama bana nemli bir ipucu, onun iin inandrc olacak bir neden bulmam gerektiine dair bir iaret verdi. Ona bir kitap iin aratrma yaptm oyununu oynadmda, bu, kukularn giderdi. Bir kitap ya da senaryo yazar olduunuzu syleyin, herkesin dili zlverr.

19

zel Dedektif Banda


Bu grmelerin de ayn kii tarafndan, adna Oscar Grace diyeceimiz bir zel dedektif tarafndan yaplmt. Grace'in yeni bir mterisi vard ve bu onun ilk mterilerinden biriydi. Birka ay ncesine kadar polis olan Grace, yeni ilerin bazlarn rahatlkla zebildiin) fark etmiti, ancak dierleri kaynaklarn ve yaratcln sonuna kadar kullanmasn gerektirecek kadar zorluydu. Bu seferki i kesinlikle zorlular snfna giriyordu. Polisiye romanlarn tandk zel dedektifleri -Sam Spades ve Philip Marlovves- eini aldatan birini yakalayabilmek iin saatlerce arabalarnda oturup gece yarlarna kadar beklerlerdi. Gerek hayattaki zel dedektifler de aynsn yapyorlar. zel dedektifler polisiye romanlara daha az konu olmu ama didien elerin ilerine burun sokmann bir o kadar nemli baka bir eidini, yani gece nbetleriyle cebellemekten ok, byk lde toplum mhendislii becerilerine dayanan bir yntem de kullanyorlar. Grace'in yeni mterisi, giysiler ve mcevherler iin olduka geni bir bte ayrabiliyor gibi grnen bir hanmd. Bir gn ofisine gelmi ve stnde kat yl olmayan tek deri koltua oturmutu. Gucci marka byk el antasn, markas ona dnk kalacak ekilde masaya koymu ve boanmak istediini kocasna sylemeyi tasarladn aklamt, ancak "kk bir sorun" olduunu da itiraf etmiti. Grne gre kocas bir adm ndeydi. Tasarruf hesaplarndaki paray ve yatrm hesaplarnda duran daha da byk bir tutar oktan ekmiti. Kadn paralarn nereye karldn bilmek istiyordu ve boanma avukat hi yardmc olmuyordu. Grace, avukatn, parann nereye gittii gibi pis ilere elini bulatrmayacak, hzl ykselen, yksek gelirli danmanlardan biri olduunu tahmin etti. Acaba Grace ona yardmc olabilir miydi? Bu iin ocuk oyunca olduuna kadn ikna etti, bir fiyat verdi, masraflarn, gerekletike faturalandrlacan syledi ve ilk deme iin bir ek ald. Sonra da zmesi gereken sorunla yzleji. Daha nce hi byle bir i yapmadysanz ve para zi srmek konusunda pek bir ey bilmiyorsanz ne yaparsnz? Ufak admlar atarak ie balarsnz. te, bize aktarld kadaryla Grace'in yks: CreditChex'in ne olduunu ve bu irketin bankalarn hangi konuda iine yaradn -eski karm bir bankada alrd- biliyordum. Ama kullanlan terimleri ve sreleri bilmiyordum ve eski karma sormak zaman kayb olacakt. Birinci adm: Bankaclk terimlerini ren ve stenen eyin konuya

Terimler
HEDEF: Bir dalaverenin kurban. KA YNA I KUR UTMA K: Bir saldrgan, gerekletirdii saldry kurbannn anlamasna izin verirse, o zaman buna kayna kurulmak denir. Kurban bir kez durumu anlar ve dier alanlara ve ynetime bu giriimden sz ederse, gelecek saldrlarda ayn kayna smrmek ok gleecektir.

Elimde Kim'in zerinde ie yarayabilecek baka bilgiler de vard; hakknda bilgi istediiniz kiiyle ilgili CreditChex'n ne tr bilgiler istediini, sizin o kiiyle ilgili neler isteyebileceinizi ve en nemlisi Kim'in alt bankann ye yeri Numaras'n biliyordum. Bu sorular sormaya hazrdm ama duraksamas bir tehlike iaretiydi. Kitap aratrmas hikyesini yutmutu, ancak iin banda biraz kukuianmt. Eer bandan yardmc olmaya hevesli olsayd, srelerle ilgili daha fazla ey anlatmasn ondan isteyebilirdim. inizden gelen sese kulak vermeli, hedefin sylediklerini ve nasl sylediini dikkatle dinlemelisiniz. Bu hanm, ok fazla olaand soru soracak olsaydm, kafasnda alarm zilleri alacak kadar zeki grnyordu. Her ne kadar kim olduumu ve hangi numaradan aradm bilmese de, eer bu iin iindeyseniz, telefon ederek irketle ilgili bilgi almaya alan birine kar, birilerinin ortal ayaa kaldrmasn istemezsiniz. Bunun nedeni kayna kurutmak istememenizdir; ayn iyerini baka bir zaman bir kez daha aramak isteyebilirsiniz. Bir insann bana "Buyrun emrinize amadeyim," diyerek yardmc m olacan yoksa "Bu adamn niyeti bozuk, polisi arayaym," diye ortal uyaa m kaldracan anlamak amacyla bana ipucu verecek kk iaretleri yakalayabilmek iin gzm-kulam hep ak tutarm. Kim'i biraz diken stnde biri olarak derecelendirdim, bu yzden l;rkl bir ubedeki baka birini aradm. Chris'le yaptm ikinci jrmede, aratrma numaras ok iyi i grd. Buradaki yntem, inandrcl artracak ilgisiz sorularn arasna nemli sorulan sktrmnkta yatyor. CredtChex'deki ye yeri Numaras'n sormadan nce, Kinkada ne kadar sredir altyla ilgili ona kiisel bir soru ynelterek hr son dakika kontrol yaptm.

20

Aldatma Sanat

Zararsz Gibi Grnen Bilgiler

21

Kiisel bir soru mayn gibidir; bazlar zerinden geer ve hibir zaman farketmezler; bazlarnda ise patlar ve gvenli bir yer bulmak iin tela iinde kamalarna neden olur. Bu yzden, eer kiisel bir soru sorarsam, kar taraf soruyu yantlarsa ve ses tonunda bir deiiklik olmazsa, byk olaslkla talebin ieriinden phelenmemi demektir. Yantlanmasn istediim soruyu ona, kuku uyandrmadan rahatlkla sorabilirim ve byk olaslkla bana istediim cevab verir. yi bir zel dedektifin bildii bir ey daha vardr: Hibir zaman, kilit bilgiyi elde ettikten sonra grmeyi hemen bitirme. Bir-iki soru, biraz sohbetten sonra veda etmek yerinde olabilir. Eer kurban sorduklarnzla ilgili bir eyleri daha sonra hatrlarsa, bunlar byk olaslkla son birka soru olacaktr. Kalan genellikle unutulur. Bylece Chris bana ye yeri Numaras'n ve taleplerini bildirmek iin kullandklar telefon numarasn verdi. CreditChex'ten ne kadar bilgi edinilebildiini renebileceim sorular da sorabilseydim daha mutlu olurdum. Ancak ansm zorlamak istemedim. Bu, CreditChex!ten tutar hanesi bo bir ek almak gibi bir eydi. Artk istediim zaman arayp bilgi elde edebilirdim. Aldm hizmet iin para dememe bile gerek yoktu. Grne gre CreditChex temsilcisi stediim bilgileri benimle paylamaya hazrd. Mterimin kocasnn hesap atrmak iin son zamanlarda bavurduu iki yer vard. O zaman, yaknda eski ei konumuna gelecek olan kadnn arad paralar neredeydi? CreditChex'teki adamn sayd bankalardan baka nerede olabilirdi ki?

i'lnd; CreditChex'i arayp, kendini mteri bankalardan biri olan Ulusal HiinkH'nn bir alan gibi tanttktan sonra istedii bilgiyi alabilmesi iin lliync olan her ey vard. Bilgi alarken, iyi bir dolandrcnn paranz almada gsterdii htcoriklilie benzer bir beceriklilik gsteren Grace'in, insanlar okumak d,:in gelitirilmi yetenekleri vard. Ska uygulanan, masum sorularn at.sna anahtar sorular katma yntemini o da biliyordu. ye yeri Numaras'n her ey yolundaym gibi sormadan nce kiisel bir sorunun ikinci memurun ibirlii yapma eilimini leceini de biliyordu. lk memurun, CredtChex ye numaras iin kullanlan terimi onaylay.rak yapt hataya kar korunmaya neredeyse olanak yoktu. Bu bilginin bankaclk sektrnde o kadar geni bir kullanm var ki nemsiz (jthi grnyor; zararsz grnml bilgilere en iyi rnek. Ancak ikinci memur Chris, arayann gerekte syledii kii olup olmadn dorulamadan sorular yantlamaya bu kadar hevesli olmamalyd. En azndan ,itlini ve telefon numarasn alp onu geri aramalyd; bylece daha sonra Viphe uyanrsa, kar tarafn hangi telefon numarasn kullandnn bir knydn tutmu olabilirdi. Bu durumda, byle bir arama yapmak, saldrgann CreditChex grevlisi gibi davranmasn daha da gletirirdi. Daha da iyisi, CreditChex'i, arayann verdii numaradan deil, hnnkann kaytlarnda bulunan bir numaradan arayp, kiinin gerekten Df;da alp almadn ve irketin gerekten mteri aratrmas yapp yapmadn dorulamak olurdu. Gerek dnya uygulamalarn ve bugn ou insann iinde bulunduu zaman basksn gz nne aldnzda, alann bir eit saldr gerekletirildiinden kukuland durumlar dnda, bu tarz bir kontrol aramas yapmas beklentilerin ok tesindedir.

Aldatmacann ncelenmesi
Tm bu dzen toplum mhendisliinin temel taktiklerinden birinin zerine kurulmutur: yle olmad halde, bir irket alannn, zararsz olduunu dnd bir bilgiye ulamak. ilk banka memuru CreditChex' ararken kullanlan tanmlayc sayy anlatan ye yeri Numaras terimini dorulad. kincisi, CreditChex'in telefon numarasn ve en can alc bilgi olan bankann ye yeri Numaras'n salad. Tm bu bilgiler memura zararsz grnyordu. Bu sayy bakasna sylemenin ne zarar olabilirdi ki? Tm bunlar nc grme iin gereken zemini hazrlad. Grace'in

Mhendislik Tuza
nsan avcs firmalarn irket ii yetenekleri bulmak iin toplum mhendislii taktiklerini kullandklar yaygn olarak bilinir, te bunun nasl olabileceine dair bir rnek. 1990'larn sonlarnda, pek de ahlaa uygun almayan bir i bulma ^contas, telefon endstrisinde deneyimli elektrik mhendisleri arayan bir irketi yeni mterisi olarak ald. Bu grevin sorumlusu, buulu bir ses tonuna ve ekici tavrlara sahip bir hanmd. Bu yeteneklerini telefon zerinden, gven veren ve dosta bir izlenim uyandrmak amacyla kullanmay da renmiti. Kadn, rakip bir irkette almak iin ayartlabilecek mhendisler bulup bulamayacana bakmak amacyla bir cep telefonu hizmet iglaycsn yoklamaya karar verdi. Santral arayp, "Be yllk mhendislik deneyimi olan herhangi biriyle grmek istiyorum" diyemezdi. Bunun yerine, biraz sonra greceiniz nedenlerle, yetenek avna

Mitnick Mesaj:

ye yeri Numaras, bu durumda, bir ifre kadar nem. tar. Eer banka alanlar onu bir ATM ifresi olarak grrlerse, bilginin hassasln kavrayabilirler. irketinizde insanlarn yeterli zeni gstermedikleri kurum ii bir ifre ya da numara var m?

22

Aldatma Sanat

Zararsz Gibi Grnen Bilgiler


/-'. Merhaba Didi. '. " . " " " .

23

hibir hassasiyeti yokmu gibi grnen ve irket alanlarnn neredeyse isteyen herkese verdii bir bilgiyi arayarak balad.

D: Nasl gidiyor7
P: yi.

lk Grme: Danma Grevlisi


Saldrgan, Didi Sands adn kullanarak, cep telefonu hizmet salaycsnn irket binasna telefon etti. Konuma, ksmen yle geti: Danma Grevlisi: yi gnler. Ben Marie, size nasl yardma olabilirim? Didi: Beni Nakliyat Blm'ne balar msnz? .< DG: yle bir blmmz olduundan emin deilim, rehberime bakaym. Kim aryordu? D: Didi DG: Binada msnz, yolma ...? D: Hayr, dsardaym. DG: Ddi, soyadnz? D: Didi Sands. Nakliye'nin dahilisini biliyordum ama unutmuum. DG: Bir .saniye. Kuku uyandrmamak iin, bu noktada Didi, sohbeti srdrmek amacyla, "ierden" olduunu ve irket binalarnn yerlerini bildiini gstermek zere tasarlanm sradan gibi grnen bir soru sordu. D: Hangi binadasnz? Lakeview'da m yoksa ana binada m? DG: Ana binada (duraksama). Numara 805 555 6469, Nakliye Blm'n aramann ie yaramayabileceim de dikkate alarak kendini salama almak amacyla Didi, Gayrimenkul Blm'yle de grmek istediini syledi. Danma grevlisi o numaray da verdi ve onu Nakliye Blm'ne balamay denedi ama hatlar meguld. Bu aamada Did nc bir telefon numarasn, Austin-Texas'taki irket binasnda bulunan Tahsilat Ofsi'nin numarasn da istedi. Danma grevlisi ondan biraz beklemesini rica etti ve hattan kt. pheli bir telefon geldiini ve bir eylerin ters gittiini dndn gvenlie anlatyor olabilir miydi? Kesinlikle olamaz, Didi'nin iinde en kk bir endie bile yoktu. Yalnzca biraz kzn bana bela olmutu ama danma grevlisi iin bu sradan bir i gnnn bir parasyd. Bir dakika sonra, danma grevlisi yeniden hatt ald, Tahsilat Ofsi'nin numarasna bakp oray arad ve Didi'yi balad.
1

Sonra Didi, i dnyasnda iyi bilmen ve belirli bir kuruluun ya da alma grubunun btesine harcamalar mal etmek iin kullanlan ilem kodunu ifade eden terimi kulland. D: Mkemmel. Sana bir sorum olacak. Belli bir blmn maliyet merkezi kodunu nasl renebilirim? P: O blmn bte sorumlusuna ulaman gerek. D: Thousand Oaks'un bte sorumlusunun kim olduunu biliyor musun? Bir form doldurmaya alyorum ve doru maliyet merkezi kodunu bilmiyorum. P: Tek bildiim, maliyet merkezi kodunu renmen gerektii zaman, bte sorumlusunu araman gerektii. D: Texas'daki blmnz iin bir maliyet merkezi kodu var m? P: Burada bir maliyet merkezi var ama bize hepsinin listesini vermiyorlar. D: Maliyet merkezi kodu ka basamakl? rnein, sizin maliyet merkezi kodunuz ne? P: ey, yle, sen 9WC'yle misin yo/csa SAT'la msn? Bunlann hangi blmlere ya da gruplara karlk geldii konusunda Didi'nin en kk bir fikri yoktu ama bu nemli deildi. Soruyu yantlad: D: 9WC P: O zaman genellikle drt basamakldrlar. Nereden olduunu sylemitin? D: Thousand Oaks, Genel Mdrlk. P: Evet, Thousand Oaks iin bir tane syleyebilirim. A5N, Nancy'nin N'si. Yardm etmeye istekli biriye yeterince uzun sre sohbet ederek, Didi ihtiyac olan maliyet merkezi kodunu ald; dardan birinin iine yarayacakm gibi grnmedii iin kimsenin korumay dnmedii bilgi paracklarndan biri daha.

nc Grme: se Yarayan Yanl Numara


Didi'nin bir sonraki adm, elindeki maliyet merkezi kodunu bir poker markas gibi kullanarak daha deerli bir eye dntrmek olacakt. Gayrimenkul blmn arayp, yanl numara evirmi gibi yapt. "Sizi rahatsz ettiim iin zr dilerim, ama ..." ile sze balayarak irket rehberini kaybetmi bir alan olduunu syledi ve yeni bir rehber alabilmek in kiminle konumas gerektiini sordu. Adam rehber kitapnn eski tarihli olduunu ama irketin intranet sitesinde telefon numaralanmn bulunduunu syledi.

kinci Grme: Peggy


Sonraki konuma yle geti; Peggy: Tahsilat Ofisi, Pegg)>. Didi: Merhaba Peggy. Ben Didi, Thousand Oaks'dan.

24

Aldatma Sanat Didi baslm bir rehber kullanmay tercih ettiini anlatnca, adam ona matbaay aramasn syledi ve sonra, hibir talep olmadan -belki de yalnzca ekici sesli kadn telefonda biraz daha uzun sre tutabilmek iin- numaray buldu ve kadna verdi.

Zararsz Gibi Grnen Bilgiler Ve kolay elde edilemeyen nemli bir dlflor ara da, toplum mhendisinin yoflu almalarla ve gemi nesillerin yi dolandrclarnn kda dklmemi lnriyimlerinden ders alarak gelitirdii Inlfuanlk becerileridir.

25

Terimler
POSTA DEL: Toplum mhendislerinin kiralk posta kutusu iin kullandklar terim. Yaygn olarak sahte isimle kiralanr ve kurbann gndermeye ikna edildii evraklar ya da paketleri almak iin kullanlr.

Drdnc Grme: Mcttbaa'dan Bart


Matbaa blmnde Bart adnda biriyle konutu. Didi, Thousand Oaks'dan aradn ve altklar yeni danmann irket rehberine ihtiyac olduunu syledi. Eski tarihli olsa da basl bir rehberin danmann daha ok iine yarayacan da vurgulad. Bart, bir talep formu doldurmas ve kendisine gndermesi gerektiini syledi. Didi elinde form kalmadn, biraz acelesi olduunu syledi ve acaba Bart bir incelik yapp formu onun yerine doldurabilir miydi? Adam biraz fazlaya kaan bir hevesle kabul etti ve Didi ona ayrntlar anlatt. Hayali danmann adresi olarak da, toplum mhendislerinin posta delii dedikleri, Didi'nn irketinin bu tarz durumlar iin, Mail Boxes Ete. tlnden ticari irketlerden kiralad posta kutusunu verdi. Edindii ilk bilgi imdi iine yarayacakt: Rehberin maliyeti ve kargo iin bir cret alnacakt. Didi, Thousand Oaks iin maliyet merkezi kodunu verdi. - 1A5N, Nancy'nin N'si. : irket rehberi birka gn sonra geldiinde, Didi beklediinden daha da baarl olduunu grd: Rehberde yalnzca adlar ve telefon numaralar listelenmekle kalmam, kimin kimin iin alt da gsterilmiti. Tm irketin kurulu emas elindeydi. Bouk sesli kadn insan avlayan telefon grmelerini yapmaya hazrd. Her yetenekli toplum mhendisinin sonuna kadar gelitirdii laf yapma becerisini kullanarak, aknlarn balatmak iin gerekli olan bilgileri dalavere yoluyla elde etmiti. imdi de semeresini toplamaya
h a z r d . . . . . . . ':: .. : : : ;

Baka Deersiz Bilgiler

Maliyet merkezi kodu ve dahili telefon numaralarnn dnda, ie yaramaz gibi i|ornen baka hangi bilgiler rakibiniz iin son derece deerli olabilir?

Peter Abel'in Telefon Grmesi


- Merhaba, der hattn br ucundaki ses. - Ben Parkhurst Seyahat Acentas'ndan Tom. San Francisco biletleriniz hazr. Onlar size gnderelim mi yoksa kendiniz mi gelip almak istersiniz? - San Francisco mu? der Peter. - Ben San Francisco'ya gitmiyorum ki. - Siz Peter Abel msnz? - Evet, ama yapmay dndm bir yolculuk yok. - Hm, der arayan, dosta glerek. - Yani San Francisco'ya gitmek istememekte kararlsnz, yle mi7 - Eer patronumu kandrabilirseniz ... der Peter, oluan tatl sohbete uyum salayarak. . - Bir karklk var gibi grnyor, der arayan. - Sistemlerimizde yolculuk ayrntlarn zlk numarasna gre sralyoruz. Belki birileri yanl numaray kullanmtr. Sizin Sosyal Gvenlik Numaranz nedir? Peter nazik bir ekilde numaray verir. Neden olmasn? Doldurduu, neredeyse her alan fc-munun zerine bu numaray yazar ve irkette-

ASdatmaeansn ncelenmesi

'

'

. "

Bu toplum mhendislii saldrsnda Didi, hedef irketin ayr Dlmnn telefon numaralarn elde ederek ie koyuldu, istedii numaralar sr olmad iin bu kolayd, zellikle de alanlar iin. Bir toplum mhendisi ierden biriymi gibi konumay renir ve Didi bu oyunda becerikliydi. Telefon numaralarndan biri onu bir maliyet merkezi koduna ynlendirmi, o kodu da irketin telefon rehberinden bir kopya almak iin kullanmt. ihtiyac olan temel aralar; arkadaa davranmak, biraz irket ii terimleri kullanmak ve son kurbanda uygulad, iin iine kk, szel gz krpmalar kartrmakt. - . '

Mitnick Mesaj:

'Tpk bir bulmacann paralar gibi her bilgi kendi bana ilgisiz durabilir. Ancak paralar bir araya getirildiinde, ak bir resim oluur. Bu olayda toplum mhendisinin grd resim irketin i yapsnn tamam olmutur.

26

Aldatma Sanat

Zararsz Gibi Grnen Bilgiler

27

Mitnick Mesaj:
ykn ana fikri: stekte bulunan kiinin sesini tanmyorsanz ve istemek iin bir nedeni yoksa, hi kimseye kiisel ya da irket ii bilgileri ve tanmlayclar vermeyin.

konusunda onu yetkili konuma getirmediinden tek tek her alann haberdar olmas gerekir. Arayan kii eski bir alan ya <l; gerekli irket ii bilgilere sahip bir szlemeli olabilir. Buna ilrc, her kurulu, tanmad insanlarla telefonda ya da yzyze iletiim kurarken alanlarnn kullanmas gereken uygun kimlik tospit yntemini belirleme sorumluluuna sahiptir. Mir veri snflandrma politikas tasarlamakla ykml kii ya da kimiler, zararsz gibi grnen ama hassas bilgilere eriimi olan alanlara ulalmasn salayabilecek ayrntlar gzden geirmelidirler. ATM kartnzn ifresini hibir zaman dar vermemenize karn, irket yazlm rnlerini gelitirmek iin kullandnz sunucunun hangisi olduunu birine syler misiniz? Bu bilgi, irket ana eriim hakk varm gibi davranan biri tarafndan kullanlabilir mi? na/en irket ii terimleri bilmek bile toplum mhendisinin daha otoriter ve bilgili grnmesini salayabilir. Saldrgan, kurbanlarn ikna etmek iin her an olabilecek bu yanl anlamaya sk sk bavurur. rnein, ye yeri Numaras, bir bankann Yeni Hesaplar biriminde insanlarn her gn, zerinde pek fazla dnmoden kullandklar bir tanmlaycdr. Ancak byle bir tanmlaycnn bir paroladan fark yoktur. Eer her bir alan bu tanmlaycnn anlamn kavramsa -yani istek sahibinin gerek olup olmadn kantlamak iin kullanlyorsa- o zaman bu veriye daha saygyla bakabilirler. Hibir irket -en azndan birka tanesi- genel mdrlerinin ya da ynetim kurulu bakanlarnn dorudan telefon numaralarn dar vermezler. Buna karn, ou irkette, ou birim ve alma grubunun telefon numaralarn dar -zellikle de dier bir alana ya da alan gibi grnen birine- vermekle ilgili bir ekince yoktur. Alnabilecek bir nlem: alanlarn, szlemelilerin, danmanlarn ve geici grevlilerin dahili telefonlarnn bakalarna verilmesini yasaklayan bir ynetmelii yrrle koyun. Daha da nemlisi, telefon numaras soran kiinin gerekten bir alan olup olmadn tam olarak belirlemek iin adm adm bir sre gelitirin. alma gruplarnn ve birimlerin muhasebe hesap numaralar da, (ister basl, ister veri dosyas ya da intranet zerinde elektronik telefon defteri olsun) telefon rehberleri kadar sk, toplum mhendislerinin hedefi olmaktadrlar. Her irketin bu tarz bilgilerin dar verilmesiyle ilgili iyi anlatlm, yazl bir kurallar Inilnne ihtiyac vardr. Alnacak nlemler arasnda, hassas bilgilerin irket dndan insanlara verildii durumlarn not edildii bir kayt defterinin tutulmas da olmaldr.

ki pek ok insann bunu renme ans vardr; insan kaynaklarnn, maa servisinin ve doal olarak dardaki bir seyahat acentasnn da. Kimse Sosyal Gvenlik Numaras'm sr gibi saklamaz. Ne fark eder ki? Yant bulmak zor deil. Etkili bir canlandrma (toplum mhendisinin kendini baka birinin klna sokmas) iin iki- para bilgi fazlasyla yeterlidir. Yar yeterlilikte bir toplum mhendisi, bir alann adn, telefon numarasn, Sosyal Gvenlik Numaras'n -ve ii salama almak iin yneticisinin adn ve telefon numarasn- elde ettikten sonra, sradaki hedefine ynelirken kendini inandrc gstermek iin ihtiyac olabilecek her eyle donanm olacaktr. Eer irketinizin baka bir blmnden olduunu syleyen biri dn aram, makul bir neden vermi ve zlk numaranz sormu olsayd, bu bilgiyi ona vermekte tereddt eder miydiniz? - B arada, Sosyal Gvenlik Numaranz neydi?

Aldatmacann Engellenmesi
irketinizin, herkese ak olmayan bilgilerin ktye kullanlmasndan doabilecek ciddi sorunlara kar alanlarn bilgilendirme sorumluluu vardr. zerinde dnlm bir bilgi gvenlii politikas, dzgn bir bilgilendirme ve eitimle birleince irket bilgilerinin doru kullanmyla ilgili alan bilinci grnr ekilde artacaktr. Bir veri snflandrma politikas, bilgi vermeye ynelik uygun denetimler getirilmesine yardmc olacaktr. Veri snflandrma politikas olmadan, tm irket ii bilgilerin -aksi belirtilmedii srece- gizli olarak deerlendirilmesi gerekecektir. irketinizi zararsz gibi grnen bilgilerin dar szmasndan korumak iin unlar yapn: Bilgi Gvenlii Birimi'nin, toplum mhendislerinin kulland yntemleri anlatan bilgilendirme eitimleri dzenlemesi gerekir. Yukarda anlatld zere, yntemlerden biri, hassasm gibi durmayan bir bilgiyi elde etmek ve bunu ksa vadede gven yaratmak iin bir poker markas gibi kullanmaktr. Telefonla arayan birinin, irket sreleri, terimler ve irket ii tanmlayclar konusunda bilgili olmasnn ne ekil ve tarzda olursa olsun istek sahibini gerek klmadndan ya da bir eyi bilmesi gerektii

28

Aldatma Sanat

Mitnick Mesaj:
Eski bir deyite de ifade edildii gibi: Gerek paranoyaklarn bile biivk olaslkla dmanlar vardr. Her iletmenin de dmanlar olduunu, irket srlarn tehlikeye sokmak amacyla a altyapsna saldrabilecek saldrganlar bulunduunu varsaymalyz. Sonunuz bir bilgisayar sular istatistii olmasn, iyi dnlm gvenlik kurallar ve sreleri araclyla uygun denetimleri yerletirerek gerekli savunmalar kurmann zaman geldi de geiyor bile.

DORUDAN SALDIRI: YALNIZCA STEYVERMEK


I'ek ok toplum mhendislii saldrs karmaktr. Bir teknik bilgi ve dtlavore karmnn kullanld bir dizi aama ve ayrntl planlama l.t. Ama becerikli bir toplum mhendisinin zaman zaman amacna li'.ilo, kolayca ve laf dolandrmadan ulamasn da her zaman arpc llmuijumdur. Greceiniz gibi, bilgiyi dorudan isteyivermek bile tek | :,..) yeterli olabilir.

Sosyal Gvenlik Numaras gibi bilgiler, tek balarna bir tanmlama arac olarak kullanlmamaldrlar. Her alan yalnzca istek sahibinin kimliini dorulamakla kalmamal, ayn zamanda istein nedenini de sorgulamaldr. Gvenlik eitimleriniz srasnda alanlarnza u yaklam retmeyi deneyin: Ne zaman tanmadnz biri size bir soru sorar ya da sizden yardm isterse, hereyden nce istek onaylanana kadar nazike geri evirmeyi renin. Sonra -bay ya da bayan Yardmsever olma ynndeki doal drtnze yenik dmeden nce- onaylama ve irket ii verilerin darya verilmesiyle ilgili ynetmelikleri ve sreleri uygulayn. Bu yaklam, bakalarna yardm etmeye ynelik doal eilimimize ters debilir, ancak salkl, azck bir phecilik, toplum mhendisinin bir sonraki kurban olmaktan kurtulmanz salayabilir.

Bir MHBM Marifeti


Birinin rehberde gemeyen telefon numarasn m renmek istiyorMIMII/? Bir toplum mhendisi size, bir ksmn bu kitabn sayfalarnda da bulabileceiniz, eitli yntemler sralayabilir, ancak byk olaslkla en h.sil yntem tek bir telefon konumas yapmaktr. Tpk aada .l,lkl gibi.

Numara Ltfen
Saldrgan zel bir telefon irketinin MHBM (Mekanik Hat Belirleme Mm kezi) numarasn evirir ve telefonu aan kadna yle der: "Merhaba, ben Paul Anthony. Kablo tamircisiyim. Bir sorunum var, burudaki bir terminal kutusu bir yangnda yanm. Polisler, manyan birinin sigortadan para alabilmek iin evini yaktn dnyorlar. Btn bu iki yz hatlk terminalin tmn yeniden balamam iin beni burada lok bama braktlar. u anda gerekten ok yardma ihtiyacm var. (i/23 South Main'de hangi hatlarn alr durumda olmas gerektiini bana sylebilir misin?" Telefon irketinin dier birimlerinde, aranan kii, rehberde demeyen numaralarla ilgili ters sorgulama bilgilerini yalnzca irketin yi ikili personeline vermeleri gerektiini bilirler. Ancak MHBM'nin de yalnzca irket alanlar tarafndan biliniyor olmas gerekir. Darya hibir zaman bilgi vermiyor olsalar da, ar bir iin altndan kalkmaya alan baka bir irket alanna biraz yardm edilmesine kim itiraz odelilir ki? Kadn, adamn durumuna zlr. Kendisinin de ibanda /, gnler geirdii olmutur ve zor durumda olan baka bir alana yardm edebilmek iin kurallar birazck esnetir. Ona kablo iftlerini syler ve o adrese bal tm ak numaralar verir.

Bu blmdeki yklerin de gsterdii gibi zararsz zannettiiniz bilgiler irketinizin en nemli srlarnn anahtar olabilirler.

30

Aldatma Sanat

AAitnick Mesaj:
Yanmzdaki adama gvenmek insan doasnn bir parasdr, zellikle de talep saduyulu olup olmadmz lyorsa. Toplum mhendisleri bu bilgiyi, kurbanlarn smrmek ve amalarna ulamak iin kullanrlar.

A l d a t m a c a ' n n ncelenmesi

Bu yklerde sk sk greceiniz gibi, b'r irkette kullanlan terminolojiyi ye irket yapsn -eitli brolarn ve birimlerini, her birinin ne yaptn ve hangi bilgileri tuttuklarn- bilmek baarl bir toplum mhendisinin kulland aralarn nemli bir ksmn oluturur.

Gen Bir Kanun Kaa


Kendisine Frank Parsons diyeceimiz bir adam yllardr polisten kamaktayd ve Federal Hkmet tarafndan, hl, 1960'larda sava kart bir yeralt rgtnn yesi olduu gerekesiyle aranyordu. Lokantalarda kapya dnk otururdu ve dier insanlarn sknt verici bulduu, arada bir omuzunun zerinden geriye bakma huyu vard. Birka ylda bir tanrd. Arada bir yerde, Frank kendini daha nce bulunmad bir ehirde buldu ve i aramaya koyuldu. Gelimi bilgisayar becerilerine sahip olan (ayn zamanda gelimi toplum mhendislii becerilerine de sahipti, ancak bunlar i bavurularnda hi belirtmiyordu) Frank gibi biri iin iyi bir i bulmak genellikle sorun olmuyordu. Ekonominin skk olduu zamanlar dnda iyi bilgisayar bilgisi olan kiilerin yeteneklerine olan talep genellikle yksek oluyordu ve byleleri ou zaman drt ayak stne dyorlard. Frank, yaad yerin yaknlarndaki gelir dzeyi yksek insanlara hizmet veren byk bir bakm yurdunda yksek gelirli bir ie girme frsat buldu. Bu iin kendisi iin biilmi kaftan olduunu dnd. Ancak bavuru evrakyla boumaya balaynca bir noktada durmak zorunda kald, iveren ondan Adli Sicil Belgesi istiyordu ve bunu eyalet polisinden ahsen almas gerekiyordu. bavuru evraklarnn arasnda bu belgenin istenmesi iin kullanlan matbu dileke de vard ve dilekenin zerinde parmak izi basmak iin kk bir kutucuk bulunuyordu. Her ne kadar yalnzca sa iaret parmann izini istiyor olsalar da, eer parmak izini FBI veritabanndaki parmak iziyle karlatrrlarsa ksa sre ierisinde parasn devletin dedii bir tatil kynde yemek servisi yapyor olurdu. te yandan Frank, kk bir olaslkla da olsa, bundan syrlabileceini dnyordu. Belki de eyalet polisi parmak izi rneklerini FBI'ya higndermiyordu. Bu durumda gnderip gndermediklerini nasl renebilirdi? Nasl m? O bir toplum mhendisiydi; nasl rendi sanyorsunuz?

Dorudan Saldr: Yalnzca isteyivermek

31

Mifnick Mesaj:
Akll bilgi dolandrclar, emniyet tekilatnn asayii salama sreleriyle ilgili bilgi almak iin devlet, eyalet ya da yerel yetkilileri aramaktan ekinmezler. Elinde byle bir bilgiler varken toplum mhendisi irketinizin sradan gvenlik uygulamalarn atlatabilir. Eyalet polisine telefon etti: "Merhaba. Adalet Bakanl iin bir alma yapyoruz. Yeni bir parmak izi tespit sistemi yerletirmek iin gerekli n koullar aratryoruz. Yaplan ii iyi bilen ve bize yardm edebilecek biriyle grebilir miyim?" Yerel uzman telefona geldikten sonra Frank, kullandklar sistemlerle ve parmak izi verilerini saklama ve tarama kapasiteleriyle ilgili bir dizi soru sordu. Kullandklar donanm hi onlara sorun karm myd? Ulusal Su Bilgileri Merkezi'nin (USBM) Parmak izi Tarama A'na m balydlar yoksa yalnzca eyaletinkine mi? Donanm herkesin renebilecei kadar kolay bir kullanma sahip miydi? Anahtar soruyu dierlerinin arasna kurnazca sktrmt. Ald yant kulana mzik gibi geldi. Hayr, USBM'ye bal deillerdi, ellerindekini yalnzca eyaletin Su Bilgileri Dizini'yle karlatryorlard. Frank'in de tm bilmek istedii buydu. Bulunduu eyalette su kayd yoktu, bylece bavurusunu yapt, ie alnmt ve hi kimse bir gn masasnn bana dikilip de ona, "Bu beyler FBI'dan geliyorlar, seninle konumak istiyorlarm," demedi. Ve kendi sylediine baklrsa iyerindeki herkese rnek bir alann nasl olmas gerektiini gstermiti.

Kapnn n
Kt kullanlmayan ofis inancna karn iketler her gn yzlerce sayfa kt tketiyorlar. irketinizdeki basl bilgiler, gvenlik nlemleri alp zerine "gizlidir" damgas vursanz da, ak bir nokta oluturabilirler. ite size, toplum mhendislerinin en gizli belgelerinizi nasl ele geirdiklerini anlatan bir hikye.

Hat evirme Dalaveresi


Telefon irketi her yl Deneme Numaralan Rehberi adnda bir kitapk karr (ya da en azndan eskiden karrlard, artl tahliye srem henz dolmad iin karmaya devam edip etmediklerini sormayacam). Bu kitapk, telefon beleilerinin el stnde tuttuklar bir belgedir, nk irket grevlilerinin, teknisyenlerinin ve dierlerinin

Minick Mesaj:
Bilgi varlklarn korumaya ilikin irket kurallaryla ilgili gvenlik eitimleri, yalnzca irketin BT varlklarna elektronik ya da maddi eriimi olar alanlara deil, irketteki herkese ynelik olmaldr. srekli megul alan numaralan ya da ehirleraras hatlar kontrol etmek iin kullandklar, zenle korunan telefon numaralaryla doludur. Bu numaralardan, telefon beleileri argosunda hat eviren olarak bilinen bir tanesi zellikle ok kullanlyd. Telefon beleileri, kendileri tek kuru para demeden, konuacak baka telefon beleileri bulmak iin bunu kullanrlard. Bu numara ayn zamanda, rnein bir bankaya vermek zere, geri arama numaras yaratmak iin de kullanlrd. Bir toplum mhendisi bankadaki birine ona ofisinden ulalabileceini syleyerek bu numaray verirdi. Banka, numaray kontrol etmek zere telefon ettiinde (hat evirme), telefon beleisi telefona cevap verebilir, izi srlemeyecek bir telefon numaras kullanmann salad korumadan da yararlanm olurdu. Bir Deneme Numaralan Rehberi, bilgiye a ve testosteronu tavana vurmu herhangi bir telefon beleisi tarafndan kullanlabilecek bir sr harika bilgi ierir. Bu yzden her yl yeni rehberler ktnda, hobileri telefon an kefetmek olan bir yn gen derhal bu rehberlerin peine der.

Stevie'nin Oyunu

, "' ." .

'' '

Telefon irketleri doal olarak bu kitapklar kolay ulalabilir yerlere koymaz, bu yzden telefon beleilerinin bir tane elde edebilmeleri iin yaratc olmalar gerekir. Bunu nasl yaparlar? Kafasn rehberi ele geirmeye takm hevesli bir gen aadaki gibi bir oyun oynayabilir. Bir gn, gney California sonbaharnn serin akamlarndan birinde, kendisine Stevie diyeceimiz biri, kk bir telefon irketinin genel mdrln arar. Hizmet blgesi ierisindeki tm evlere ve i yerlerine telefon hatlar da bu binadan dalmaktadr. , Grev bandaki teknisyen telefonu atnda, Stevie telefon irketinin basl malzemelerini basp datan blmnde altn aklar. "Yeni Deneme Numaralar Rehberiniz hazr," der. "Ancak gvenlik gerekeleriyle eskisini geri almadan yenisini veremiyoruz. Datmcmzn ii de olduka uzad. Eer sizdeki rehberi kapnzn nne brakabilirseniz, geerken eskisini alp yenisini brakabilir, sonra da kendi iine bakar." Hibir eyden kukulanmayan teknisyen bunun uygun olduunu dnm olmaldr ki, isteneni tam olarak yapar. Kapanda byk kr-

Dorudan Saldr: Yalnzca isteyivermek

33

- z harflerle, "GZLDR VE RKET KULLANIM NDR-HTYA KALMADII TAKDRDE, BU BELGE KAIT TME MAKNASINDA CGTLMELDR," uyars bulunan rehberi binann nne koyar. Stevie arabasyla gelir ve park edilmi arabalarn iinde bekleyen ya ;s aalarn arkasna saklanm polis ya da irket gvenlik elemanlarna kar etraf dikkatle kolaan eder. Grnrde kimse yoktur. Rahat tavrlarla ihtiyac olan rehberi alr, arabasna biner ve gider. ite size, bir toplum mhendisinin "yalnzca isteyivermek" gibi basit Dir yntemi kullanarak istediklerini ne kadar kolay elde edebildiini gsteren bir hikye daha.

Gaz Saldrs
Bir toplum mhendislii senaryosunda tehlikede olan yalnzca irket varlklar deildir. Bazen kurbanlar irket mterileridir. Mteri hizmet temsilcisi olarak almann getirdii skntlar, neeli anlar ve masum hatalar vardr. Ancak bu hatalarn bazlar irket mterileri iin kt sonular dourabilir.

Janie Acton'un yks


Janie Acton, yldan biraz fazla bir sredir, Washington'daki Hometown Elektrik irketi'nde mteri hizmet temsilcisi olarak bir ofis blmesini igal etmektedir. Akl ve alkanlyla, en iyi mteri hizmet temsilcilerinden biri olarak grlmektedir. Sz konusu telefon geldiinde kran Haftas'dr. Arayan yle der, "Ben Eduardo, Faturalama Blm'nden. Telefonda bir hanm var, genel mdr yardmclarndan birinin zel kaleminde sekreter. Bir bilgiye ihtiyac var ve ben bilgisayarm kullanamyorum. nsan Kaynaklarndaki u kzdan 'SENSEVYORUM' diyen bir e-posta aldm ve ekini atmda, bir daha bilgisayarm kullanamaz oldum. Vrsm. Basit bir virs tarafndan avlandm. Herneyse, benim iin baz mteri bilgilerine bakabilir misin? "Elbette," diye yantlad Janie. "Bilgisavarn m kertti? Korkun bir ey bu." "Evet." "Naslyardmc olabilirim?" diye sordu Janie. Bu noktada saldrgan kendim inanlr klmak iin daha nce yapt aratrmalara bavurdu. stedii bilginin Mteri Fatura Bilgileri Sistemi denen bir yerde tutulduunu ve alanlarn bu sisteme ne ad verdiklerim renmiti. "MFBS'den bir hesap numarasna bakabilir misin?" diye sordu telefondaki adam. "Evet, hesap numaras nedir?"

"Numaray bilmiyorum. simden sorgulaman gerekecek. " "Tamam, isim nedir?"

'.

"Heather Marning. " smin harflerini kodlad ve Janie de ismi bilgisayara girdi. "Tamam. Geldi." "H h, geerli." .'., "Hesap numaras nedir?" diye sordu adam. "Kalemin var m?"
"Hazrm." ' . .

'

' , , ,: .

"Harika. Hesap geerli mi?"

"Hesap numaras, BAZ6573NR27Q." Adam numaray tekrarlad, sonra da, "Hizmet adresi nedir?" diye sordu. , Kadn ona adresi verdi. "Telefon numaras nedir?" Janie nazik bir ekilde o bilgiyi de okudu. Arayan teekkr etti, hoakal dedi ve telefonu kapad. Janie beklemedeki aramaya yant verdi ve konunun stnde de hi durmad. , ; '..;.

Art Sealy'nin Aratrma Projesi


Art Sealy, yazarlar ve iletmeler iin aratrma yaparak daha ok para kazanabileceini renince, kk yaynevleririe serbest editr olarak almay brakmt, iin onu, yasallk ve yasadlk arasndaki ince izgiye yaklatrd oranda cretinin de artabileceini ksa srede fark etti. Art, hi farknda olmadan ve kesinlikle yaptna bir isim vermeden bir toplum mhendisi olmutu. Her bilgi simsarnn bildii btn teknikleri kullanyordu. Yapt ie ynelik doal bir yeteneinin olduu ortaya kt. Pek ok toplum mhendisinin bakalarndan rendii teknikleri kendi bana kefediyordu. Bir sre sonra en ufak bir sululuk duymadan o ince izgiyi at: Nixon dnemi kabinesiyle ilgili kitap yazan bir adam beni arad. Nixon'un Hazine Mstear olan VVlliam E. Simon'la igili zel bilgilere ulaabilecek bir aratrmac aryordu. Bay Simon artk yaamyordu ama yazarn elinde onunla birlikte alm bir kadnn ad vard. Kadnn bakentte oturmaya devam ettiinden de olduka emindi, ancak adresini bulamamt. Kadnn adna, en azndan rehberde olanlar arasnda, kaytl bir telefon yoktu, ite o zaman beni aramt. Ona kesinlikle-yapabilebileceimi, sorun olmayacan syledim. Eer ne yaptnz biliyorsanz, ounlukla bir-iki telefon grmesiyle bulabileceiniz bir bilgiydi bu. Her yerel hizmet irketinin bu bilgiyi

itnick Mesaj:
Btn toplum mhendislii saldrlarnn, tamamlanmadan farkedilecek kadar karmak dzenler ierdiklerini sakn dnmeyin. Bazlar gir-k ya da vrka eklinde ok basit saldrlardr ve . . . ksacas, yalnzca istemek zerine kuruludurlar.

ou zaman paylaacandan emin olabilirsiniz. Doal olarak biraz zrvalamanz gerekir. Arada bir kk beyaz yalanlar sylemenin kime ne zarar dokunabilir ki? ileri ilgin klmak iin her seferinde farkl bir yntem kullanmak houma gider. "Ben ynetim katndan bilmem kim," numaras bende hi amamtr. "Genel mdr yardmcs bilmem kimin ofisinden biri u anda dier hatt bekliyor," numaras da iyidir ve bu olayda da ie yaramtr. Telefonun dier ucundaki kiinin ibirlii yapmaya ne kadar eilimli olduunu hissedecek kadar toplum mhendislii igdnz gelitirmi olmanz gerekir. Bu kez arkada canls yardmsever bir hanma rast geldim. Tek bir grmede adresi ve telefon numarasn almtm. Grev tamamlanmt.

Aldatmacann ncelenmesi
Janie mteri bilgilerinin ne kadar hassas olduunu kesinlikle biliyordu. Bir mterinin bilgilerini baka bir mteriyle hibir zaman paylamaz ya da zel bilgileri dar vermezdi. Ancak doal olarak irket iinden arayan biri iin farkl kurallar geerliydi. Bir mesai arkada iin bu birtakm oyunu meselesiydi ve ii bitirmek karlkl yardmlamaya dayanyordu. Faturalamadaki adam eer bilgisayar bir virs yznden kmemi olsayd ilgili bilgileri kendi de bulabilirdi; bu yzden Janie bir i arkadana yardm edebilmi olmaktan memnundu. Art, peinde olduu kilit bilgilere ularken yava yol ald ve hesap numaras gibi aslnda ihtiyac olmayan eylerle ilgili sorular da sordu. Ancak, ayn zamanda hesap numaras bilgisi emniyet sbab grevi de gryordu. Eer grevli kukulanacak olsayd, ikinci bir grevliyi arayacakt ve bylece baar ans daha ykselecekti, nk hesap numarasn bilmek ulaaca bir sonraki grevliye kendini daha da inandrc gstermesine yardmc olacakt. Birilerinin bu bilgiler iin yalan syleyebilecei, yani arayann gerekte faturalama blmnden biri olmayabilecei, Janie'nin hi akl-

36

Aldatma Sanat

na gelmemiti. Su elbetteki Janie'nin deildi. Bir mteri dosyasndaki bilgileri paylamadan nce kiminle konutuundan emin olmas konusunda kimse onu bilgilendirmemiti. Kimse ona Art'n yapt gibi bir telefon grmesinin oluturabilecei tehlikelerden sz etmemiti. irket kurallar arasnda da yoktu, eitimini de almamt ve yneticisi de bundan hi bahsetmemiti. ,

Aldatmacann Engellenmesi
Gvenlik eitimlerinde aktarlmas gereken bir nokta: Telefonla arayan birinin ya da bir ziyaretinin, irketteki baz kiilerin adlarn ya d irket ii terimleri ya da sreleri biliyor olmas, onun iddia ettii kii olduunu gstermez. Ve bu onu kesinlikle ticari bilgilerin ve bilgisayar sistemine ya da ana eriim hakknn verilebilecei, yetkili biri durumuna da getirmez. Gvenlik eitiminin unu vurgulamas gerekir: Bir kukun varsa, kontrol et, kontrol et, kontrol et. ilk zamanlarda irket iinde bir bilgiye ulamak bir konum gstergesiydi ve bir ayrcalkt. iler kazanlar doldururlar, makineleri altrrlar, mektuplar yazarlar ve evraklar dosyalarlard. Ustaba ya da patron onlara neyin, ne zaman ve nasl yaplacan sylerdi. Bir vardiyada her iinin ka alet yapacan; bu haftay, gelecek haftay ve ayn sonunu karmak iin fabrikann hangi boyut ve renklerde ve ka tane alet retmesi gerektiini ustaba ya da patron bilirdi. iler makineleri, ara ve gereleri; patronlar ise bilgiyi kullanrlard, iilerin yalnzca, yaptklar ie zg bilgilere ihtiyalar vard. Gnmz tablosu biraz farkl, yle deil mi? Pek ok fabrika iisi bir eit bilgisayar ya da bilgisayarla alan makine kullanmaktadr. Sorumluluklarn yerine getirerek ileri yrtebilmeleri iin, hassas bilgiler i bandaki kullanclarn bilgisayarlarna kadar iner. Bu durum i gcnn byk ounluu iin ayndr. Bugnn ortamnda alanlarn yapt neredeyse her ey bilgi kullanmn iermektedir. .. Bu yzden irket gvenlik kurallarnn konumdan bamsz olarak tm kurum iine datlmas gerekmektedir. Bir saldrgann peinde olduu bilgilere yalnzca amirlerin ve st yneticilerin sahip olmadn herkesin anlamas arttr. Bugn her dzeydeki alanlar, hatt bilgisayar kullanmayanlar bile, hedef olmaya aktrlar. Mteri hizmetleri blmnde ie yeni balam bir mteri temsilcisi, bir toplum mhendisinin amacna ulamak iin krmak isteyecei zayf halka olabilir. Gvenlik eitimi ve irket gvenlii kurallar bu halkay glendirmelidir.

GVEN UYANDIRMAK
Bu yklerden bazlar, i dnyasndaki herkesin szme salak olduuna ve mesleiyle ilgili her srr dar vermeye hazr, hatt istekli olduuna inandm dnmenize neden olabilir. Toplum mhendisi Dunun doru olmadn bilir. Neden toplum mhendislii saldrlar bu kadar baarl oluyor? nsanlar salak ya da saduyusuz olduu iin deil. Ancak bizler aldatlmaya fazlasyla az, nk insanlar belli ekillerde ynlendirilirlerse yanl eylere gven duyabiliyorlar. Toplum mhendisi, kar taraftan kuku ve direni bekler ve her zaman gvensizlii gvene dntrmeye hazrdr, iyi bir toplum mhendisi, saldrsn bir satran oyunu gibi planlar ve doru yantlar verebilmek iin hedefinin sorabilecei sorular nceden tahmin eder. En ok kullanlan yntemlerden biri, kurbanda gven duygusu uyandrmaktr. Bir dolandrc ona inanp gvenmenizi nasl salayabilir ki? inann bana, bunu yapabilir.

Gven: Aldatmann Anahtar


Bir toplum mhendisi, kurduu iletiimi ne kadar olaan bir imi gibi gsterebilirse, oluan pheleri de o kadar kolay bastrabilir. nsanlarn kukulanmak iin bir nedenleri olmazsa, toplum mhendisinin, onlarn gvenini kazanmas daha kolay olur. Bir kez gvenlerini kazandktan sonra, kpr iner ve kalenin kaplar ardna kadar alr. Bylece toplum mhendisi ieri girip istedii bilgiyi alabilir.

I yklerin ounda, toplum mhendislerine, telefon beleilerine ve dolandrclara bir erkekmi gibi gnderme yaptm dikkatinizi ekmi olabilir. Bu ovenizm deildir; yalnzca, bu alanlarda alanlarn ounun erkek olduu gereini vurgular. Her ne kadar ok fazla kadn toplum mhendisi olmasa da, saylan giderek artmaktadr. Darda, sadece telefonda bir kadn sesi duyduunuz iin yelkenleri suya indirmemenizi salamaya yetecek kadar ok dii toplum mhendisi vardr. Dorusunu isterseniz, kadn toplum mhendisleri, ibirlii salamak iin cinselliklerini kullanabildiklerinden, belirgin bir stnlkleri de yok deildir. Bu sayfalarda bu kadnlarn birkandan sz edildiini de greceksiniz.

lk Grme: Andrea Lopez


Andrea Lopez, alt video kiralama maazasnda alan telefona bakt ve ksa bir sre sonra glmsemeye balad. Bir mterinin iini gcn brakp hizmetten ne kadar memnun kaldn sylemek iin , aradn duymak gibisi yoktu. Bu arayan, maazayla i yapmaktan ok memnun kaldn ve yneticiye bir mektup gndermek istediini sylemiti. Yneticinin adn ve adresini sormu, Andrea da ona yneticinin adnn Tommy Allison olduunu sylemi ve adresi vermiti. Arayan tam telefonu kapayacakken aklna baka bir ey gelmi ve, - irket genel mdrlne de birka satr yazabilirim. Maaza kodunuz nedir, diye sormutu. Kadn ona maaza kodunu da verdikten sonra adam teekkr etmiti. Kendisine ok yardmc olduu iin grevliye gzel bir eyler daha syledikten sonra iyi gnler dileyerek telefonu kapatmt. "Byle bir telefon, her zaman mesainin daha hzl gemesini salyor. nsanlar bunu daha sk yapsalar ne kadar gzel olur." diye dnmt Andrea.

kinci Grme: Ginny


- Stdio Video'yu aradnz iin teekkrler. Ben Ginny, nasl , yardmc olabilirim? - Merhaba, Ginny, dedi arayan, heyecanla. Sesi Ginny'le daha nce her hafta konumu gibi geliyordu. - Ben Tommy Allison, Forest Park, 863 kodlu maazann mdr. Burada Roclcy V'i kiralamak isteyen bir mterimiz var ve bizdeki tm kopyalar darda. Sende olup olmadna bakabilir misin? Ginny biraz sonra yeniden telefonu eline ald ve, - Evet, bizde kopya var, dedi. - Tamam. Mteriye oraya gidip gidemeyeceini soracam. Teekkr ederim. Eer bizim maazadan bir eye ihtyiacm olursa, arayp Tommy'i istemen yeterli. Senin iin elimden geleni yapmaktan memnun olacam. Sonraki birka hafta boyunca Tommy, bir takm konularda yardm etmesi iin Ginny'i -drt kere daha arad. stekleri mantkl eylerdi ve kendisine asld duygusunu uyandrmadan her zaman Ginny'e arkadaa davranyordu. Arada biraz gevezelik de ediyordu. "Oak Park'taki byk yangn duydun mu? Bir sr yolu kapatmlar" gibi eylerden sz ediyordu. Bu aramalar gnn duraanlndan biraz uzaklama frsat tanyordu ve Ginny onun aramasndan her zaman memnun kalyordu. Bir gn Tommy'nin sesi gergindi.

Gven Uyandrmak

39

- Sizin bilgisayarda bir sorun var m? diye sordu. - Hayr, diye yantlad Ginny. - Neden? - Adamn biri arabasn bir telefon direine arpm. Telefon irketinden gelen tamircinin sylediine gre ehrin bit blgesi onarm tamamlanana kadar telefonlarm ve internet balantlarm kullanamayacakm. - Oh, ok kt. Adam yaralanm m? - Cankurtaranla gtrdler. Her neyse biraz yardmn isteyebilirim. Burada Godfather H'yi kiralamak isteyen bir mteriniz var ve kredi kart yannda deil. Bilgileri benim iin kontrol edebilir misin? - Elbette. Tommy mterinin adn ve adresini verir. Ginny de adam bilgisayardan bulup, mteri numarasn Tommy'e syler. - Ge getirmeleri ya da maazaya borcu var m?" diye sorar Tommy. - Grnen bir ey yok. - Tamam, harika. Ona burada kat zerinde bir mteri numaras vereceim. Daha sonra bilgisayarlarmz yeniden almaya baladnda veritabanmza da eklerim. demesini sizin maazada kulland kredi kartyla yapmak istiyor ama kart yannda deilmi. Kart numaras ve son kullanma tarihi nedir? Ginny son kullanma tarihiyle birlikte kart numarasn da ona verir. - Yardmn iin teekkrler. Yaknda grrz, der Tommy ve telefonu kapatr.

Doyle Lonnegan'sn yks


Lonnegan, kapnz atnzda karnzda grmek isteyeceiniz trden bir adam deil. Bir zamanlar denmeyen kumar borlarn toplama iini yapan Doyle Lonnegan, kendi ban belaya sokmad srece, arada bir birilerine yardm etmeyi de srdrmekteydi. Bu olayda, bir video maazasn birka kez telefonla aramas iin ona hatr saylr bir miktar para nerilmiti. Kulaa olduka kolay geliyordu. Sorun "mterilerinden" hibirininin byle bir dolabn nasl evrileceini bilmemesinden kaynaklanyordu. Lonnegan'n yeteneine ve bilgisine sahip birine ihtiyalar vard. nsanlar poker masasnda anssz olduklarnda ya da samaladklarnda bahislerini karlamak iin ek yazmazlar. Bunu herkes bilir. Benim arkadalarm, elindeki paray masaya koymayan bir katyla neden srekli kumar oynarlar ki? Sormayn. Belki de kafalarnda birka tahta eksiktir. Ama onlar benim arkadalarm; elden ne gelir? Adamn paras yokmu; bu yzden de ek almlar. u ie bakn!

40

Aldatma Sanat

Onu alp bir ATM'ye gtrmeliydiler. Yapmalar gereken ey buydu. Ama hayr; ek aldlar. Hem de tam 3.230 dolarlk! Doal olarak, ek karlksz kt. Ne bekliyordunuz ki? O zaman beni aradlar; yardm edebilir miymiim? zerlerine kap kapayarak insanlarn ellerini ezme iini artk braktm. Dahas artk ok daha iyi yntemler var. Yzde 30 komisyon alarak, onlara elimden geleni yapacam syledim. Bylece bana adamn adn ve adresini verdiler ve ben de bilgisayardan ona en yakn video kiralama maazasnn neresi olduuna baktm. ok acelem yoktu. Maaza mdrn ho tutmak iin drt telefon grmesi yapm ve sonra, hop, katnn kredi kart numarasn alvermitim. Baka bir arkadam yar plak kzlarn dans ettii bir bar iletiyordu. Elli dolar karlnda adamn poker parasn bardaki POS makinasndan ekti. Bakalm kt bunu karsna nasl aklayacak? Bankaya bu harcamann kendisine ait olmadn syleyeceini mi dnyorsunuz? Bir daha dnn. Bizim onu ok iyi tandmz biliyor. Ve eer kredi kart numarasna ulaabiliyorsak, bunun yansra daha pek ok eye de ulaabileceimizi anlayacaktr. in o tarafnda endielenecek hibir ey yok.

Aldatmacann ncelenmesi
Tommy'nin Ginny'le yapt ilk konumalar tamamen gven uyandrmaya ynelikti. Asl saldr zaman geldiinde, kadn savunmaya gememi ve Tommy'i iddia ettii kii, yani zincirdeki baka bir maazann mdr olarak kabul etmiti. Hem neden kabul etmesin ki; onu zaten tanyordu. Doal olarak onunla yalnzca telefonda grmt ama gven duymasn salayacak kadar bir i arkadal yaps kurulmutu. Kadn onu bir kez bir mdr, ayn irkette alan bir ynetici olarak grdkten sonra istenen gven salanm ve gerisi tereyandan kl eker gibi olup bitmiti.

Mitnck Mesaj:
Belallar (The Sting) filmindeki gven uyandrma teknii toplum mhendislerinin en etkili taktiklerinden biridir. Konutuunuz kiiyi gerekten tanyp tanmadnz dnmeniz gerekir. Az da olsa baz durumlarda kar taraftaki syledii kii olmayabilir. Bu nedenle hepimizin dnmesi, incelemesi ve yetkili olduunu syleyenleri sorgulamay renmesi gerekmektedir.

Gven Uyandrmak

41

Konuya Farkl Bir Bak: Kredi Kart Ele Geirme


Gven duygusu uyandrmak, bir nceki hikyede anlatld gibi, her zaman bir dizi telefon grmesi yapmay gerektirmez. Bunun topu topu be dakika tuttuu bir olay hatrlyorum. Srpriz! ' " . .

Bir keresinde bir lokantada Henry ve babasyla birlikte oturuyordum. Sohbet srasnda Henry, kredi kart numarasn telefon numaras gibi saa sola verdii iin babasna kzd. "Bir ey alrken tabi ki kart numaran vereceksin" dedi. "Ama kart numaran, onu kaytlarnda tutan bir maazaya vermek; bu ok aptalca." "Bunu yaptm tek yer Studio Video" dedi Bay Conklin, ayn video kiralama maazalar zincirinin adm vererek. "Ama fazla para ekii var m diye her ay kredi kart ekstremi kontrol ediyorum." "Elbette anlardn" dedi Henry, "ama kart numaran onlara bir kere verdin mi, numaray birinin almas iten bile deil." "Kt niyetli bir alan gibi mi?" "Hayr, herhangi biri; sadece alanlar deil." "Samalyorsun" dedi Bay Conklin. "imdi onlar arayp, bana senin Visa numaran vermelerini salayabilirim" diye hemen atld Henry. "Hayr, bunu yapamazsn" dedi babas. "Be dakika iinde yapabilirim, hem de tam burada, karnda. Masay hi terk etmeden." Bay Conklin gzlerini ksm ona bakyordu. Kendinden emin olup da bunu gstermek istemeyen birinin havas vard. "Sen ne sylediinin farknda deilsin" diyerek gld ve czdann karp iinden kard bir elli dolarlk banknotu masaya arpt. "Eer sylediini yapabilirsen, u senin." "Paran istemiyorum baba" dedi Henry. Cep telefonunu kard, babasna hangi maazay kullandn sordu ve orann telefon numarasnn yansra Sherman Oaks yaknlarndaki maazann telefonunu da renmek amacyla Bilinmeyen Numaralar' arad. Sonra Sherman Oaks'daki maazay arad. nceki ykde anlatlan yaklama olduka yakn bir yntem kullanarak, hemen mdrn adn ve maazann kodunu rendi. Sonra da babasnn mterisi olduu maazay arad, mdrn adn

kendi adym gibi kullanp, az nce elde ettii maaza kodunu da vererek, herkesin bildii ynetici ayana yatma numarasn ekti. Ve ayn oyunu yapt. "Bilgisayarlarnz dzgn alyor mu? Bizimkiler gidip geliyor." Kar tarafn yantn dinledi ve sonra, "Sizin mterilerden biri buradan bir video kiralamak istiyor ama bizim bilgisayarlar u anda km durumdalar. Mteri numarasna bakp maazanzn mterisi olup olmadn kontrol etmenizi rica edebilir miyim?" diye sordu. Henry kar tarafa babasnn adn verdi. Ardndan yntemde kk bir deiiklik yaparak, adresi, telefon numarasn ve mteri numarasnn verildii tarihi de okumasn istedi. Sonra da, "Burada bekleyen bir yn mterim var. Kredi kart numaras ve son kullanma tarihi nedir?" diye sordu. Henry bir eliyle cep telefonunu kulanda tutarken dier eliyle peetenin zerine numaray yazd. Konumay bitirirken peeteyi babasnn nne doru itti. Babas ise az ak bakakaltnt. Zavall adam tamamen ok olmutu; sanki tm emniyet hissi bir darbede yklp gitmiti. ,

Aldatmacann ncelenmesi

. '.

Tanmadnz biri sizden bir ey istedii zaman kendi vereceiniz tepkiyi dnn. Pejmrde grnml bir yabanc kapnza geldiinde onu ieri alma olaslnz dktr; eer iyi giyimli, ayakkablar boyal, salar taral, nazik tavrl ve glmseyen bir yabanc kapnza gelirse, herhalde o kadar pheci olmazsnz. Belki de gelen aslnda Onnc Cuma filmlerinden km Jason'dr, ama olaan grnml ve elinde keskin bir bak tamayan biri varsa karnzda ie ona gvenerek balarsnz. Bu kadar belirgin olmamakla birlikte telefonda konutuumuz insanlar hakknda da benzer bir ekilde hkm veririz. Bu kii bana bir eyler mi satmaya alyor? Arkadaa ve ak m davranyor yoksa bir bask ve saldrganlk seziyor muyum? Eitimli biri gibi mi konuuyor? Tm bunlar ve farknda olmadan bir dzine baka eyi daha, gz ap kapayncaya kadar, konumann ilk anlarnda tartveririz. iteyken insanlar srekli bizden bir eyler isterler. Bu adamn e-posta adresi sende var m? Mteri listesinin en son ekli nerede? Projenin bu ksmnn taeronu kim? Bana en son proje gncellemesini gnderir misin ltfen. Kaynak kodun yeni srmne ihtiyacm var. Ve tahmin edin ne olur: Bu istekleri aldnzn insanlar bazen ahsen tanmadnz kiiler, irketin baka bir blmnde alan ya da orada altklarn syleyen ahslar olurlar. Ama eer verdikleri bilgi doruysa ve konu zerinde bilgili gibi grnyorlarsa ("Marianne dedi ki . . ."; "Dosya K-16 sunucusundaym . . ."; "Yeni rn planlarnn 26

Gven Uyandrmak

43

Mitnck Mesaj:
Aksi ynde dnmemizi gerektirecek bir ey yol<sa, kurduumuz herhangi bir iletiimde kandrlma olaslmzn dk olduunu dnmek insan doasnn bir gereidir. Riskleri tartarz sonra da ou zaman insanlara gvenmeyi tercih ederiz. Medeni insanlarn davran biimi budur...en azndan daha nce hi dolandrma, ynlendirme ve kandrma yoluyla byk paralar kaptrmam olan medeni insanlar iin. ocukken anne-babamz bize yabanclara gvenmememizi retmilerdi. Belki de bu eski nasihati bugnn i ortamlarnda hepimiz hatrlamalyz. numaral tashihi . . ."), gven emberimizi, onlar da iine alacak ekilde geniletiriz ve hi endie duymadan istediklerini onlara veririz. Arada bir duralayp, kendi kendimize, "Dallas fabrikasndan biri neden yeni rn planlarn grmeye ihtiya duysun ki?" ya da "Hangi sunucuda olduunu sylemek herhangi bir eye zarar verir mi ki?" diye sorabiliriz. Byle bir-iki soru daha sorarz. Eer yantlar mantkl grnr ve kar tarafn tavr da gven verici olursa kukulanmay brakr, karmzdaki adama ya da kadna gvenme yolundaki doal eilimimize geri dneriz. Makul snrlar ierisinde, bizden istenen neyse onu yaparz. Bir an iin bile saldrgann yalnzca irket bilgisayar sistemlerinde alan kiileri hedefleyeceini dnmeyin. Ya haberleme brosundaki adam ne olacak? "Bana bir iyilik yapar msn? Bunu irket ii kurye torbasna atabilir misin?" Haberleme odasnda alan memur torbaya att eyin, iine genel mdrn sekreteri iin zel olarak hazrlanm kk bir program kaydedilmi bir disket olduunu biliyor mudur acaba? Artk saldrgan, genel mdrn e-postalarnn bir kopyasn da kendine alabilecektir, inanlmaz! Bu gerekten sizin irketinizde de olabilir mi? Neden olmasn?

Bir Sentlik Cep Telefonu


Pek ok insan bir mal alacaklar zaman daha ucuzunu bulana kadar aratrrlar; toplum mhendisleri ise daha ucuzunu aramazlar, bir rnn fiyatn daha aa ekmenin yollarn ararlar. rnein bazen bir irket yle bir pazarlama kampanyas dzenler ki gz ard edemezsiniz. Buna karn toplum mhendisi teklifi inceler ve bu alveriten nasl daha kazanl kabileceine bakar. Bir sre nce, lke apnda i yapan bir GSM operatr byk bir promosyon yapmt. irketin tarifelerinden bir tanesine abone olduunuzda bir sent deyerek yeni bir cep telefonuna sahip oluyordunuz.

Birok insann olduka ge farkettii zere, bir cep telefonu tarifesine abone olmadan nce dikkatli bir mterinin sormas gereken bir yn soru vardr. Hizmetin analog, dijital ya da her ikisi birden olup olmad; sabit cretlerin ne kadar olduu gibi sorular, iin bandan, abonelik taahhd sresinin ne kadar olduunun bilinmesi zellikle nemlidir. Yani, ka ay ya da yl abone kalmanz gerekecek? Philadelphia'da oturan bir toplum mhendisini hayal edin. Bir cep telefonu irketinin abone olunduunda vereceini syledii ucuz cep telefonunu ok beenmi, ancak telefonla birlikte sattklar tarifeden hi holanmam. Sorun deil. te bu ii kotarmann yollarndan biri.

lk Grme: Ted
Toplum mhendisi ilk i olarak, bir elektronik eya maazalar zincirinin West Girard'daki maazasna telefon eder. - Electron City. Ben Ted. - Merhaba, Ted. Ben George. Birka gn nce bir cep telefonuyla ilgili olarak bir sat grevlisiyle konumutum. Hangi tarifeyi istediime karar verdiimde onu arayacam sylemitim ama adn unuttum. O blmde akam mesaisinde alan adamn ad nedir? - Birden fazla kii var. JVilliam olabilir mi? - Emin deilim. Belki.de fVilliam'dr. Grn nasl? - Uzun boylu. Zayfa. - Sanrm o. Soyad ne demitin?
- Hadley. H-A-D-L-E-Y.

''''". ;,''..
'.' .^
!

'
,
:

;
;

'

'

- Tamam, oydu. Ne zaman orada olacak?

- Bu haftaki mesai izelgesini bilemiyorum ama akamclar be gibi gelirler. - ok iyi. Onu bu gece bulmaya alrm o zaman. Teekkrler, Ted.

kinci Arama: Katie


Bir sonraki grme, ayn maazalar zincirinin North Broad Caddesi'ndeki maazasyla yaplr. - Merhaba, Electron City. Ben Katie, size nasl yardmc olabilirim? - Katie, merhaba. Ben fVilliam Hadley, West Girard maazasndan. ler nasl bugn? - Biraz yava. Ne oldu? . . - u bir sentlik cep telefonu promosyonu iin gelmi bir mterim var. Hangisini kastettiimi biliyorsun deil mi? - B i l i y o r u m . G e e n hafta o n l a r d a n b i r k a t a n e s a t t m . .'.,,"

Gven Uyandrmak - O promosyon kapsamndaki telefonlardan elinde daha var m? - Bir yn.

45

- Harika, nk az nce bir mteriye ondan bir tane sattm. Adam kredi kartyla dedi; kontrat da imzaladk. Sonra depoya baktm ki elimizde hi telefon kalmam. ok mahcup oldum. Bana bir iyilik yapabilir misin? Telefonu almak iin mteriyi sizin maazaya gndereceim. Ona bir sent karlnda telefonu satp, fatura dzenler misin? Bir de, nasl programlayacan anlatabilmem iin, telefonu aldktan sonra beni aramas gerekiyor. - Elbette. Gnder onu buraya. - Tamam. Ad Ted. Ted Yancy. Adnn Ted Yancy olduunu syleyen bir adam North Broad Caddesi maazasna geldiinde, Katie bir fatura dzenler ve adama bir sent karlnda cep telefonunu satar. Her ey "mesai arkadann" ondan rica ettii ekilde geliir. Kadn zokay yutmutur. deme zaman geldiinde mterinin cebinde hi bozuk para yoktur. Bu yzden kasada bir sentlerin durduu kk blmeye uzanr, bir tane alr ve deme yaparken bunu kadna verir. Telefonu bir senti bile demeden almtr. Artk ayn marka telefonu kullanan baka bir GSM operatrne gitmekte ve istedii tarifeyi semekte zgrdr. Tercihen hibir taahht gerektirmeyen aydan aya bir tarife seecektir.

Aldatmacann ncelenmesi

alan olduunu ne sren ve irket ii sreleri ve terimleri bilen kiilere kar insanlarn daha yksek bir gven duymas doaldr. Bu hikyedefcf toplum murterratsr, c<3<Tt<3$Y<?<?}art3)>g)ayx)J)\as\ jjrenerek, kendini bir irket alan olarak tantm ve baka bir ubeden bir kolaylk yapmasn rica ederek bundan yararlanmtr. Byle eyler perakende zincirlerinin farkl maazalar arasnda ve bir irketin farkl birimleri arasnda olur. nsanlar farkl ortamlardadrlar ve hi karlamadklar mesai arkadalaryla srekli beraber alrlar.

Federal Ajanlard
insanlar, kurumlarnn internet zerinde neleri tuttuunu yle bir durup dnmezler. Los Angeles, KFI Talk Radyosu'ndaki haftalk programm iin yapmc, internet zerinde bir tarama yapm ve Ulusal Su Bilgileri Merkezi'nin veri tabanna erimek iin kullanlan USBM klavuzunun bir kopyasn elde etmiti. Bu klavuzun iinde FBl'n ulusal su veritabanndan bilgi almaya ynelik tm aklamalar bulunuyordu. Yapmc daha sonra internet zerinde veri tabannn kendisini de bulmutu. ."".-'

Bu klavuz, ulusal veri tabanndan su ve sululara ynelik bilgi ekebilmek iin kullanlacak biemleri ve komutlar ieren, emniyet tekilat iin hazrlanm bir el kitabdr. lke apndaki tm emniyet birimleri, kendi yetki blgeleri ierisinde sulular yakalamalarna yardmc olmas iin ayn veri tabanndan sorgulama yapabilirler. Klavuz, dvmelerden tutun da, gemi omurgalarna ve alnt para ve senetlerin nominal deerlerine kadar, veri taban ierisinde herhangi bir ey iin kullanlan kodlar da kapsyordu. Klavuza eriebilen biri ulusal veri tabanndan bilgi ekebilmek iin gerekli biemlere ve komutlara bakabilir. Sonra da sreler klavuzundaki aklamalar izleyerek, biraz da cesareti varsa, veri tabanndan bilgi ekebilir. Klavuzda ayrca sistemi kullanrken danabileceiniz telefon numaralar da vardr. Sizin irketinizde de rn kodlarn ya da hassas bilgilere eriim kodlarn ieren benzer el kitaplar olabilir. FBI hassas klavuzlarnn ve sre bilgilerinin internete balanabilen herkese ak olduunu kesinlikle hi fark etmedi. Eer durumu bilselerdi bundan memnun kalacaklarn da pek sanmyorum. Bir kopyas Oregon'daki bir devlet dairesi tarafndan, bir dieri de Texas'daki bir emniyet brosu tarafndan internete konmutu. Neden? Herhalde birileri, bu bilginin nemli olmadn ve onu internete koymann bir zararnn olmayacan dnmt. Belki de biri, kendi alanlarna kolaylk olmas iin onu intranete koymutu. Bunu yapan, veri tabann, internet zerinde, Google gibi iyi bir arama motoruna eriimi olan, aralarnda merakllarn, polis olma heveslilerinin, bilgisayar korsanlarnn ve organize su patronlarnn da bulunduu bir sr insana atn hibir zaman fark etmemitir.

Sisteme Almak

"

...

.V

"

Byle bir bilgiyi kamuda ya da zel sektrde alan bir kiiyi kandrmada kullanmann kural ayndr. Belirli veri tabanlarna ve uygulamalara nasl eriileceini, bir irketin bilgisayar sunucularnn adlarn ya da bunun gibi eyleri bildii iin toplum mhendisi, inandrcln artrr, inandrclk ise gven dourur. Toplum mhendisinin elinde byle kodlar olduktan sonra istedii bilgiyi elde etmesi kolay bir sretir. rnek vermek gerekirse, bir yerel emniyet mdrlnn teleks brosundaki bir memuru arayp klavuzdaki komutlardan biriyle ilgili bir soru sorarak ie balayabilir. rnein ilenen sular koduyla ilgili birey sorabilir. "USBM'de bir OFF sorgulamas yaptmda, 'Sistem Arzal' mesaj veriyor. Siz de OFF sorgulamas yaptnzda ayn mesaj alyor musunuz? Benim iin deneyebilir misiniz?" Bundan baka belki bir AKD -aranan kii dosyas iin polisler arasnda kullanlan ksaltma- aradn da syleyebilirdi. Telefonun dier ucundaki teleks memuru, arayann USBM verita-

Gven Uyandrmak

47

bann alma srelerine ve arama komutlarna aina olduu mesajn alacaktr. USBM kullanma konusunda eitilmi biri dnda baka kim bu sreleri bilebilir ki? Memur, sistemin dzgn altn doruladktan sonra, konuma yle devam edebilir. "Biraz yardma ihtiyacm var." "Ne aryordun?" "Martin Reardon adna bir OFF komutu altrman isteyeceim. Doum tarihi 18/10/66." "SOS nedir?" (ABD Emniyet tekilat alanlar Sosyal Gvenlik Numaras'na bazen ksaca SOS derler.) "700-14-7435." Listeye baktktan sonra, memur yle bir sonu elde edebilir, "2602'si varm." Saynn anlamn renmek iin saldrgann evrim ii USBM'ye bakmas yeterli olacaktr: Adamn sicilinde bir dolandrclk suu vardr.

Aldatmacann ncelenmesi
Baarl bir toplum mhendisi, USBM veri tabanna girmenin yollarn bulmakta hi zorlanmaz. stedii bilgiyi almak iin tek yapmas gereken, yerel emniyet mdrlne bir telefon ap, ierden biriymi gibi ikna edici bir ekilde konumakken, neden tereddt etsin ki? Her seferinde baka bir polis brosunu arayp ayn bahaneyi ne srebilir. Emniyet mdrlklerini, karakollar ya da trafik ubelerini aramann riskli olup olmadn merak edebilirsiniz. Saldrgan kendini byk bir risk altna sokmuyor mu? Cevap: hayr. Ve bunun da bir nedeni var. Tpk ordu mensuplarna olduu gibi, emniyet tekilat alanlarna da, rtbeye sayg kavram akademideki ilk gnlerinden beri youn bir ekilde benimsetilmitir. Toplum mhendisi, bir komiser, komiser yardmcs ya da konutuu kiiden daha yksek rtbeli biri gibi davranrsa; kurban, stlerinin szlerini sorgulamamas gerektiini syleyen, iyi ilenmi bir dersin etkisiyle hareket edebilecektir. Dier bir deyile, rtbenin, zellikle de alt rtbeliler tarafndan sorgulanmamak gibi yararlar SOS: Sosyal gvenlik vardr. numaras iin ABD emniyet Ancak emniyet tekilatnn ve tekilatnda kullanlan ordunun, bir toplum mhendisinin rtgaynresmi ksaltma.

Terimler

beye olan saygy smrlebilecei tek yer olduunu dnmeyin. Bu sayfalarda geen birka ykde de greceiniz gibi, toplum mhendisleri, irketlere yaptklar saldrlarda da kurum ii unvan ve yetki makamlarn sk sk kullanrlar.

Aldatmacann Engellenmesi

;:.;: .

Toplum mhendislerinin, alanlarnzn insanlara gvenmeye ynelik doal eilimlerinden yararlanma olasln drmek iin, kuruluunuz ne gibi nlemler alabilir? ite size birka neri.
M t e r i l e r i z i K o r u y u n ; '

inde bulunduumuz bilgi anda mteriye dorudan sat yapan pek ok irket, kredi kart numaralarn bir dosyada tutmaktadr. Bunun eitli nedenleri vardr: Alveri yapmak iin maazay ya da internet sitesini her ziyaret ediinde, mteriyi kredi kart bilgilerini yeniden verme skntsndan kurtarr. Ancak bu uygulamadan vazgeilmelidir. Eer kredi kart numaralarn bir dosyada tutmanz gerekiyorsa, ifreleme ve eriim snrlamalarnn tesine kan gvenlik koullarnn bu ileme elik etmesi arttr. alanlarn, kitabn bu blmde anlatlan trden toplum mhendislii oyunlarn tespit edebilecek ekilde eitilmeleri de gerekmektedir. Telefonda iyi ahbaplk kurduunuz ama ahsen karlamadnz mesai arkadanz, aslnda syledii kii olmayabilir. Hassas mteri bilgilerine nasl eriileceini o kadar da bilmesi gerekmiyor olabilir, nk aslnda irket iin almyordun . K i m e G v e n e c e i n i z i B i l i n ; . '

Mdahalelere kar uyank olmas gerekenler, yalnzca yazlm mhendisleri, Ar-Ge alanlar ve bunun gibi hassas bilgilere eriimi olan kiiler deildir. Kuruluunuzdaki neredeyse herkes, kurumu sanayi casuslarna ve bilgi hrszlarna kar korumaya ynelik olarak eitilmelidir. Byle bir almann balangcnda, kurum apnda bilgi varlklar incelenmeli; her bilgi, hassasl, ciddiyeti ve deeri asndan deerlendirilmeli ve bir saldrgann bu varlklar tehdit etmek iin hangi toplum mhendislii yntemlerini kullanaca sorgulanmaldr. Bu sorularn

fVUtnick Mesaj:
Toplum mhendisinin temel alma ynteminden herkes haberdar olmaldr: Hedefle ilgili mmkn olduu kadar ok bilgi topla ve bu bilgiyi ierden birinin gvenini kazanmak iin kullan. Sonra da onun grtlana yap!

Gven Uyandrmak

49

antlar gz nne alnarak, bu tarz bilgilere eriim hakk verilmi ere ynelik eitimlerin tasarlanmas gerekmektedir. ahsen tanmadnz biri bir bilgi ya da belge istediinde ya da bii: sayarda bir ilem gerekletirilmesini rica ettiinde, alanlarn baz sorular kendilerine sormalarn salayn. Eer bu bilgiyi en byk dmanma verirsem, bu, bana ya da altm irkete zarar vermek iin .^anlabilir mi? Bilgisayarma girmem istenen komutlarn olas etkisinin tamamen bilincinde miyim? Karlatmz her yeni insandan kukulanarak yaantmz srdremeyiz. Yine de, ne kadar gven duymaya meyilli olursak, karmza kacak bir toplum mhendisinin bizi irketimize ait bilgileri vermeye kandrabilme olasl da o kadar yksek olur.

Intranet' Neler Koyulabilir?


intranetin baz blmleri darya ak, baz blmleri de alanlara kapal olabilir. irketiniz, hassas bilgilerin yanl kiilerin de eriebilecei oir yere konmas olaslna kar ne kadar dikkatli? Herhangi bir hassas bilginin dikkatsizlik nedeniyle internet sitenizin herkese ak blgelerinde de sunulup sunulmad, kuruluunuzdan biri tarafndan en son ne zaman kontrol edildi? Eer irketiniz elektronik gvenlik tehditlerinden korunmak iin ara gvenlik olarak proxy sunucular kurmusa, bu sunucular, doru ayarlandklarndan emin olmak amacyla yakn zamanda kontrol edildiler mi? Aslna bakarsanz, imdiye dek intranet gvenliinizi hi kontrol eden oldu mu?

SZE YARDIMCI OLABLRM


Sorunla boutuumuz bir srada bize yardm etmek iin bilgili, oecerikli ve istekli biri kageldiinde ok memnun oluruz. Toplum mhendisi bunun farkndadr ve bundan nasl yararlanacan da bilir. Size nasl sorun karacan da bilir... sonra sorunu zdnde ona minnettar kalmanz salar... ve sonunda sizden, bu karlamadan irketinizi (belki de sizi) zararl karacak bir bilgi ya da kk bir i koparmak iin bu minnettarlnz kullanr. Ama siz deerli birey kayoettiinizin hibir zaman farkna varmazsnz. ite size, toplum mhendislerinin "yardm etmek" iin ne ktklar tipik yollardan bazlar.

Bilgisayar A Zayiat
Gn/Zaman: 12 ubat, Pazartesi, leden sonra 3:25 Yer: Starboard Tersane letmeleri

lk Grme: Tom D e Lav


- Tom DeLay, muhasebe. - Selam Tom. Ben Yardm Masas 'ndan Eddie. Bir bilgisayar a sorununu zmeye alyoruz. Ekibinde kimsenin evrimii kalmakla ilgili bir sorunu var m? - Bildiim kadaryla hayr. ~ Sen de hibir sorunla karlamadn, yle mi? - Hayr, her ey yolunda grnyor. - Tamam, iyi o zaman. Dinle, etkilenmi olabilecek insanlar bulmaya alyoruz. Eer a balantn kesilirse bize hemen haber vermen ok nemli. - Bu, kulaa hi ho gelmiyor. Sence byle birey olabilir mi? - Umarm olmaz; ama olursa ararsn, deil mi? - Bundan emin olabilirsin. - A balantsnn kopmas senin iin gerek bir sorun olacakm gibi grnyor. - Kesinlikle.

- ... o zaman, hazr biz bunun stnde alrken, sana cep telef omu vereyim. Bylece ihtiyacn olursa bana dorudan ulaabilirsin. - Bu ok iyi olur. Numaran alaym.
- 5 5 5 5 2 1 0 8 7 1 '' '' > , . v ' ''' '' '' ' ' '

- 555 521 0871. Tamam, Teekkrler. Adn neydi? - Eddie. Bir ey daha; aa hangi noktadan balandn kontrol etmem gerekiyor. Bilgisayarnn bir yerlerinde, zerinde 'Balant Noktas Numaras'gibi birey yazan bir etiket olup olmadna bakabilir misin? - Dur bakaym. Hayr, yle birey grmyorum. - Evet. - Onu bal olduu yere kadar takip et. Bak bakalm fiin takl olduu girite bir etiket var m. - Bir saniye. Evet. Bir dakika, okuyabilmek iin yere melmem gerekecek. Tamam, yle yazyor: Balant Noktas 6 tire 47. - yi. Elimdeki kaytlarda da yle geiyorsun, emin olmak istemitim. ,, , - Peki, bilgisayarn arkasndaki a kablosunu biliyor musun?

kinci Grme: Sistem Sorumlusu

' : ' ::

ki gn sonra ayn irketin A Hizmetleri Merkezi'ne bir telefon gelir. - Merhaba, ben Bob. Muhasebeden Tom DeLay'in ofisimdeyim. Bir kablo sorununu zmeye alyoruz. 6-47 numaral balanty devre d brakmanz isteyecektim. Sistem sorumlusu birka dakika iinde yapabileceim syledi ve ileri bittiinde balantnn tekrar almas iin ona haber vermeleri gerektiini hatrlatt.

nc Grme: Dmandan Yardm Alma


Bir saat kadar sonra adnn Eddie Martin olduunu syleyen adamn darda gezinirken telefonu ald. Eddie aramann tersanecilik iletmesinden geldiini grnce telefonunu amadan nce hzla sessiz bir yer buldu. Yardm M a s a s , E d d i e . : .... .
:

.,:. . .

- Selam Eddie. Senin tarafnda bir yank var, neredesin? - Bir kablo dolabnn iindeyim. Kim.aryordu? - Ben Tom DeLay. Seni bulabildiime ok sevindim. Hatrlarsan geen gn beni aramtn. Sylediin gibi a balantm az nce kesildi. Ne yapacam imdi? - Evet, ekip olarak u anda bunun stnde alyoruz. Akama kadar bitirmi oluruz. Bu uygun mu? ., , ,

. Size Yardmc Olabilirim - HAYIR! Olmaz! Bu kadar uzun sre balantsz kalrsam isimde geri kahrm. En erken ne zaman halledebilirsin bu ii? t- ok mu skk durumdasn? - u anda baka birka eyle de ilgilenebilirim. Yarm saat iinde bunu halletmeniz mmkn olur mu? - YARIM SAAT M? ok da birey istemiyorsun. Peki, elimdeki ii brakp, senin sorununu zmeye alacam. - ok mteekkir kalrm, Eddie.

53

Drdnc Arama: Yakaladm Seni!


Krk be dakika sonra ... - Tom? Ben Eddie. A balantm bir deneyebilir misin? Biraz sonra: - Oh, ok iyi; alyor. Harika. - yi, sorununu zebildiime sevindim. - Evet, ok teekkrler. . - Dinle, balantnn yeniden kopmasn istemiyorsan altrman gereken bir program var. Yalnzca birka dakika srer. - u an ok iyi bir zaman deil. - Anlyorum ama bu a sorunu yine ortaya karsa ikimizi de byk dertlerden kurtarr. - Peki... birka dakika srecekse. - Yapman gereken u... Eddie, Tom'u bir web sitesinden kk bir program indirmesi iin adm adm ynlendirdi. Program indirildikten sonra, Tom'a programn zerinde ift tklamasn syledi. Tom denedi ama: - almyor. Hibir ey yapmyor, diye karlk verdi. - Of, ok kt. Programla ilgili bir sorun olmal. Silelim onu, baka bir zaman tekrar deneriz. Sonra Tom'a program hem indirdii yerden hem de p kutusundan sildirdi. Toplam geen zaman: on iki dakika. - -

Saldrgann yks
Bobby VVallace, bunun gibi iyi bir i aldktan sonra, bilginin neden istendiiyle ilgili ak bir soruya mterinin kaamak yantlar vermesinin her zaman gln olduunu dnmt. Bu ite de aklna yalnzca iki neden geliyordu. Mteri, hedef irket olan, Starboard Tersane letmelerini satn almay dnen baka bir irketi temsil ediyor ve irketin mali durumunun gerek yzn renmek istiyor olabilirdi. zellikle de, hedef irketin olas bir alcdan saklamak isteyebilecei bilgileri. Ya da

Terimler
TRUVA ATI: Kurbann bilgisayarndan ve iinde bulunduu adan bilgi toplamak ya da kurbann bilgisayarna ve dosyalarna zarar verebilmek iin tasarlanm, kt huylu ya da zararl kod ieren programdr. Baz Truva Atlan bilgisayarn iletim sisteminin iinde saklanp her ilemin ya da her tua basn kaydn tutacak veya belirli ilevleri gerekletirebilmek iin a balants zerinden talimat alabilecek ekilde tasarlanmlardr ve bunlarn hepsini, kendi varlklarn kurbana sezdirmeden yaparlar.

belki para ynetiminde karanlk ilerin dndn dnen ve baz st dzey yneticilerin yolsuzluk yapp yapmadklarn renmek isteyen irket ortaklan da olabilirlerdi. Belki de mterisi ona gerek nedeni T^Bff sylemek istememiti, nk bilginin ne kadar deerli olduunu bilirse Bobby ii yapmak iin daha ok para isteyebilirdi. Bir irketin en gizli dosyalarn ele geirmenin pek ok yolu vardr. Bobby birka gn seeneklerin zerinde dnmt ve bir plan stnde karar klmadan nce kk de bir aratrma yapmt. Sonunda zellikle sevdii bir yntemi, kurbann saldrgandan yardm istemek zere tuzaa drld oyunu oynamay semiti.

Balang olarak bir maazadan 39 dolar 95 sente bir cep telefonu almt. Hedef olarak belirledii adam aram ve kendini irket yardm masasndan biri gibi tantarak, ada bir sorun kt anda Bobby'i cep telefonundan aramas dorultusunda adam ayarlamt. Kendini ak etmemek iin araya iki gn koymutu ve sonra da irketin A Hizmetleri Merkezi'ne (AHM) telefon etmiti. Tom'un, yani hedefinin, bir sorununu zmeye altn syleyerek Tom'un a balantsnn devre d braklmasn istemiti. Bobby ektii numarann bu aamasnn en almas zor blm olduunu biliyordu; pek ok irkette yardm masas alanlar AHM'yle yakn temas iinde alrlar; hatt, yardm masas ou zaman bilgi ilem biriminin bir parasdr. Ancak konutuu vurdum duymaz AHM grevlisi, olay sradan bir ilem yerine koyup bilgisayar a sorununu zmekle uraan ve yardm masasnda altn syleyen kiiye adn sormadan hedefin balant noktasn devre d brakmay kabul etmiti. tamamlandnda Tom irketin intranetinden btnyle yaltlmt. Sunucudaki dosyalara erimesi olanaksz hale gelmiti. Mesai arkadalaryla dosya alp verememekte, e-postalarn okuyamamakta, hatt yazcya bir kt bile gnderememekteydi. Bu durum, gnmz dnyasnda maarada yaamak gibi bir eydi. Bobby'nin de tahmin ettii zere cep telefonunun almas uzun srmemiti. Doal olarak skntl bir durumda olan bu zavall "mesai

Size Yardmc Olabilirim

55

i nadasna" yardmc olmak konusunda hevesli grnp sonra AHM'yi ayarak adamn a balantsn yeniden atrmt. Kurban tekrar arayarak onu bir kez daha kandrmt. Bu kez, Bobby ona yardm ettikten sonra "hayr" dedii iin Tom'un kendini sulu hissetmesini salamt. Bunun zerine Tom, bilgisayarna bir yazlm indirme nerisini kabul etmiti. Doal olarak, yapmay kabul ettii ey tam olarak grnd ey deildi. Tom'un a balantsn kmekten koruyaca sylenen yazlm aslnda bir Truva At'yd. Bobby, Yunanlarn Truvallara yaptn Tom'un bilgisayarna yapmt; yani dman kalenin iine sokmutu. Tom yazlm simgesine ift tkladnda hibir ey olmadn sylemiti. Zaten kk program, tasarm gerei, bilgisayara eriime izin verecek gizli bir yazlm yklerken bile herhangi birey olduunu gstermezdi. Program, Bobby'nin uzaktan eriimle Tom'un bilgisayar zerinde :am bir hakimiyet kurmasn salamt. Bobby Tom'un bilgisayarna girdiinde onu ilgilendirebilecek muhasabe kaytlarn arayabilir ve onlar kendine kopyalayabilirdi. Sonra can istedii zaman mterilerinin arad bilgiyi bulabilmek iin dosyalara bakabilirdi. Her ey bununla da bitmiyordu. Her zaman geri dnp, ilgin bilgiler sunabilecek anahtar szckleri kullanarak bir metin aramas yapp, irket yneticilerinin elektronik mesajlarn ve zel notlarn tarayabilirdi. Hedefini Truva At yazlmn yklemesi iin kandrd gnn akam Bobby cep telefonunu bir p bidonuna att. Elbette, atmadan nce hafzasn temizledi ve bataryasn kard, isteyebilecei en son ey birinin cep telefonunu yanllkla aramas ve telefonun almaya balamasyd! Aldatmacann incelenmesi . -

Saldrgan, hedefini, aslnda var olmayan bir sorunu olduuna inandrarak kendi ana drr. Sorun, bu olayda olduu gibi, henz gereklememi ama saldrgann gerekleeceini bildii nk kendisinin neden olaca bir sorun da olabilir. Sonra da kendisini sorunu zebilecek kii olarak tantr. Bu tarz saldrda kullanlan dzen, saldrgann zellikle iine gelir, nk nceden ekilen tohum sayesinde hedef, bir sorunu olduunu

Mitnick Mesaj:
Eer tanmadnz biri size bir iyilik yapyorsa ve sonra da karlnda sizden bir iyilik bekliyorsa, istenen eyin ne olduu zerinde dikkatle dnmeden karlk vermeyin.

Termer
UZAKTAN ERML KOMUT KABUU: Belirli ilevleri gerekletirmek ya da programlar altrmak iin metin tabanl komutlar kabul eden grafik ierikli olmayan bir arayzdr. Teknik aklar smrebilen ya da kurbannn bilgisayarna bir Truva At ykleyebilen bir saldrgan bir komut kabuuna uzaktan eriim salayabilir. TERS TOPLUM MHENDSL: Kurbann bir sorunla karlat ve yardm iin saldrgan arad eklinde gelien toplum mhendislii saldrs. Ters toplum mhendisliinin baka bir tr de saldrgann aleyhinde olandr. Hedef, bir saldr yapldn anlar ve iletmenin varlklarm gvenceye alabilmek iin psikolojik etkileme unsurlar kullanarak saldrgandan mmkn olduu kadar ok bilgi almaya alr.

anladnda yardm istemek iin kendi ayayla gelir. Saldrgan yalnzca oturup telefonun almasn bekler. Bu ynteme, meslekte byk bir sevecenlikle ters toplum mhendislii denmitir. Hedefin kendisini aramasn salayan saldrgan, annda inanlrlk kazanr. Yani eer ben yardm masasnda altn dndm birini ararsam ondan kimliini kantlamasn istemem. te o zaman saldrgan baarm demektir. Byle bir dolap evirirken toplum mhendisi bilgisayarlarla ilgili snrl bilgiye sahip olan bir hedef semeye alr. Hedef ne kadar ok bilirse phelenme olasl o kadar oktur; ya da onunla oyun oynandn hemen anlayabilir. Zaman zaman bilgisayarla savaan alanlar olarak sz ettiim, teknoloji ve sreleriyle ilgili konularda az bilgili olan kiiler her sylenene inanmaya daha eilimlidirler. Bir yazlmn verebilecei zararla ilgili olarak hibir fikirleri olmad iin "u kk program ykleyiver," gibi bir hileyi yutma olaslklar da yksektir. Dahas, bilgisayar a zerinden tehlikeye soktuklar bilginin deeri konusunda fikir sahibi olma olaslklar da azdr.

'-Z-- Balayan Kza

Kk Bir Yardm

Yeni ie balayanlar, saldrganlar iin en iyi hedeflerdir. Henz ok insan tanmazlar, irketin srelerini, yaplmas ve yaplmamas gereken eyleri bilmezler. Ve iyi bir izlenim brakmak adna ne kadar yardmsever ve hzl olduklarn gstermek iin de heveslidirler. Yardmscwer A n d r e o " " - i-.,.' ;,,..: ./\.-:. > : "
' " ' '
:

- nsan Kaynaklar, A n d r e a C a l h o u n . - Andrea, merhaba, b e n A l e x ; irket G v e n l i i ' n d e n .


E v e t ? ' , : . " ' : ' : ' '

':':
' '

Size Yardmc Olabilirim - Bugn iler nasl? - yi. Sizin iin ne yapabilirim?

57

- Yeni balayanlar iin bir gvenlik semineri dzenliyoruz ve deneme iin birka kiiyi biraraya getirmemiz gerekiyor. Geen ay ie balayan herkesin adlarna ve telefon numaralarna ihtiyacm var. Bana bu konuda yardmc olabilir misin? - Ancak leden sonra karmam mmkn olabilir. Bu uygun mu? Dahili numaran nedir? - Elbette olur, dahilim 52... aah, gnn ounda toplantda olacam. Ofise dndkten sonra seni ararm, bu herhalde drtten sonra olur. Alex 16:30'da aradnda Andrea listeyi hazrlamt ve adlar ve dahili numaralan orsa okudu.

Rosemary'e Br Mesaj
Rosemary Morgan yeni iinden ok memnundu. Daha nce hibir dergi iin almamt ve insanlar beklediinden daha arkada canls bulmutu. Her ay sonunda bitmesi gereken bir baka sayy karabilmek iin alanlarn ounun bitmek bilmeyen bir bask altnda olduklar dnlnce bu artc bir durumdu. Bir Perembe sabah ald telefon bu dosta izlenimi pekitirdi - Rosemary Morgan'la m gryorum? - Evet. - Merhaba Rosemary. Ben Bili Jorday; Bilgi Gvenlii Grubu 'ndan. - Evet? - Bizim birimden kimse sizinle gvenlik uygulamalar hakknda grt m? . - Sanmyorum. ! - Peki. Bakalm. ncelikle kimsenin irket dndan getirdii programlar yklemesine izin vermiyoruz. Bunun nedeni lisansl olmayan yazlm kullanmndan sorumlu olmak istemememiz ve solucan ya da virs ieren yazlmlarn karabilecei sorunlardan uzak durmak. - Tamam. - E-posta uygulamamzdan haberdar msnz? - Hayr. - u anda kullandnz e-posta adresi nedir? - Rosemary@ttrzine.net. , ....'

- Kullanc ad olarak Rosemary'i mi kullanyorsunuz? - Hayr, R altizgi Morgan' kullanyorum. - Tamam. Tm yeni alanlarmz beklemedikleri e-posta eklerini amalarnn oluturaca tehlikelere kar uyarmak istiyoruz. Pek ok solucan ve virsler ortalkta geziniyor ve tandnz insanlardan

geliyor gibi grnen e-posta eklerinde geliyorlar. Bu yzden beklemediiniz bir ekli e-posta alrsanz, gnderici olarak grnen kiinin mesaj size gerekten gnderip gndermediini her zaman kontrol edip emin olmalsnz. Anlyor musunuz? - Evet. Bunu duymutum. - yi. Uygulama her doksan gnde bir parolanz deitirmeniz eklinde. Parolanz en son ne zaman deitirdiniz? - Yalnzca haftadr burada alyorum, ve daha ilk aldm ifreyi kullanyorum. - Tamam, bu iyi. Do/csan gn dolana kadar bekleyebilirsin. Ama insanlarn, tahmin edilmesi kolay olmayan ifreler kullandndan da emin olmak istiyoruz. Hem say hem de harf ieren bir ifre mi kullanyorsunuz?
Hayr. . . . '

- Bunu dzeltmeliyiz. u anda kullandnz ifre nedir? - Kzmn ad, Annette. - Bu ok gvenli bir ifre deil. Hibir zaman aile bilgilerinize dayanan ifreler sememelisiniz. Peki... benim yaptmn aynsn yapabilirsiniz. ifrenizin bir paras olarak u anda kullandnz kullanmann bir sakncas yok ama her deitirdiinizde iinde bulunduunuz ayn saysn ekleyin. - Bunu imdi yaparsam, yani Mart iin, m kullanmalym, sfr- m? - Nasl isterseniz. Hangisi sizin iin daha rahat olur? - Sanrm Annette-. - yi. Deiikliin nasl yaplaca konusunda size yardmc olmam ister misiniz? - Hayr, nasl yaplacan biliyorum. - Gzel. Sylemem gereken birey daha var. Bilgisayarnzda bir virs koruma yazlm var ve onu gncel tutmanz nemli. Arada bir bilgisayarnz yavaladnda bile otomatik gncellemeyi devre d brakmamalsnz. Tamam m? - Elbette. - ok iyi. Bilgisayarla ilgili bir sorununuz olduunda aramanz iin burann telefon numaras sizde var m? Yoktu. Adam ona numaray verdi, kadn zenle not ald ve bir kez daha ona ne kadar iyi baktklarn dnerek iine geri dnd.

Aldatmacann ncelenmesi
Bu yk, elinizdeki kitabn temelinde yatan anafikri glendiriyor. Asl amacndan bamsz olarak bir toplum mhendisinin bir alandan isteyecei en temel bilgiler, hedefin tanmlama verileridir. irketin doru

Mitnick Mesaj:
: -; ie balayanlarn, irket bilgisayar sistemlerine girilerine izin verilmeden _.;.e, zellikle ifrelerini bakalarna kesinlikle sylememekle ilgili olan gvenlik uygulamalar konusunda eitilmeleri gerekir.

romnden tek bir alana ait kullanc ad ve ifre varsa saldrgann eri girebilmek iin ve peinde olduu herhangi bir bilgiye ulamak iin htiyac olan her eyi vardr. Bu bilgiyi edinmek, kralln anahtarn bul-ak gibidir. Onlar elindeyken irket bnyesinde zgrce dolaabilir ve 3rad hazineyi bulabilir.

sunduunuz
"Hassas bilgilerini korumak iin aba gstermeyen bir irket dpedz ihmalcidir." Pek ok insan bu gre katlacaktr. Gerek u ki gizli bilgilerini korumaya ynelik aba gsteren irketler bile ciddi bir tehlike altnda olabilirler. te size irketlerin, deneyimli ve baarl profesyoneller tarafndan tasarlanm gvenlik uygulamalarnn alamayacan dnerek her gn kendi kendilerini nasl kandrdklarn gsteren bir yk daha. Steve Cramer'in yks Steve'in pahal tohumlarla imlendirilmi ve herkesin gptayla bakt bir bahesi yoktu. imleri bimek iin byk bir makine da gerekmiyordu. Zaten byle bir makine olsa bile kullanmazd. nk bu kk im bime makinesiyle iinin daha uzun srmesi sayesinde Anna'nn alt bankadaki insanlarla ilgili hikyeler anlatmasndan ya da ona yaptklar ileri aklamasndan kurtulup kendi dncelerine odaklanabiliyordu. Hafta sonlarnn ayrlmaz bir paras haline gelen 'sevgilim unu da yapar msn?' listelerinden nefret ediyordu. Bazlar Steve'in GeminiMed Tbb Cihazlar irketi iin yeni cihazlar tasarlama iinin skc olduunu dnebilirdi. Ancak Steve hayat kurtardn biliyordu. inin yaratc olduunu dnyordu. Sanatlar, besteciler, mhendisler de Steve'in yaptna benzer iler yapyorlar ve daha nce kimsenin yapmad bir eyler yaratyorlard. Son yapt ve olduka zekice tasarlanm yeni bir eit kalp stenti u ana dek en gurur duyduu eseriydi. O cumartesi, saat neredeyse 11:30 olmutu. Steve im bime iini daha bitiremedii ve kalp stentinin tamamlanmasnda son engel olan g gereksiniminin drlmesi sorununa ciddi bir zm bulamad iin huzursuzdu. im bierken zerinde dnmek iin harika bir konuydu ama hibir zm retememiti. .. . .

Anna kapda belirdi; sam her zaman toz alrken takd krmz desenli kovboy earbyla rtmt. "Telefon" diye bard, "iten aryorlar. " "Kim?" diye geri bard Steve. "Ralph diye biri sanrm." "Ralph m?" Steve GeminiMed'de alan ve onu hafta sonu arayabilecek Ralph isimli birini tanmyordu. Anna ad yanl anlam olmalyd. Steve bunlar dnerek telefona gitti "Steve, ben Teknik Destek'ten Ramon Perez." Steve, Anna'nn Ramon gibi bir spanyol adn Ralph'a nasl evirdiini merak etti. "Bu nezaket icab yaplan bir arama" diyordu Ramon. "Sunuculardan kt. Bir solucandan pheleniyoruz ve diskleri temizleyip yedekleri ykleyeceiz. aramba ya da Perembe'ye kadar dosyalarnz ykleyip altrlabilir duruma getiririz. Yani her ey yolunda giderse." "Bu kesinlikle mmkn deil" dedi Steve sert bir ekilde ve skntsn belli etmeye alarak. Bu insanlar nasl bu kadar aptal olabiliyorlard? Tm haftasonu ve gelecek haftann ounda dosyalarna eriemeden i yapamayaca akllarna gelmiyor muydu? "Olmaz. ki saate kadar evdeki bilgisayarmn bana oturacam ve dosyalanma erimem gerekecek. Bilmem anlatabiliyor muyum?" "Evet, tabi, imdiye kadar aradm herkes listenin banda olmak istiyor. Buraya gelip bunun stnde almak iin hafta sonumu harcyorum ve konutuum herkesin bana pskrmesi hi ho olmuyor. " "Teslim tarihim yaklayor ve irket kacak rne ok gveniyor. Benim bu ii bu leden sonra bitirmem lzm. Bunu kafana sok. " "Balamadan nce aramam gereken daha bir sr insan var." dedi Ramon. "Dosyalarnz salya kadar hazr etsek nasl olur?" "Sal deil, aramba deil. MD!" dedi Steve. Bu kaln kafal adam durumun nemini anlayamazsa mutlaka baka birini aramas gerekecekti. "Tamam, tamam" dedi Ramon ve Steve onun asabi bir ekilde i geirdiini duydu. "Senin iini grebilmek iin neler yapmam gerektiine bir bakaym. RM22 sunucusunu kullanyorsun, deil ini?" "RM22 ve GM16. Her ikisini de." "Peki. Tamam, baz ileri ksa yoldan yapp zaman kazanabilirim. Kullanc adna ve parolana ihtiyacm olacak." -:'.'.., Eyvah, diye dnd Steve. Ne demek oluyor bu? Benim parolama leden ihtiya duysun ki? Herkes bir tarafa sistem sorumlular neden sorsun ki bunu? , ;: ; , , "Soyadn ne demitin? Ve mdrn kim?" "Ramon Perez. Bak sana ne diyeceim, ilk ie baladnda kullanc idi alrken doldurduun bir form vard ve oraya parolan da yazmtn.

Size Yardmc Olabilirim

61

O parolay bulup dosyalarn burada olduunu sana gsterebilirim. Olur mu?" Steve bunun zerinde birka saniye dnd sonra da kabul etti. Ramon dosya dolabndan formlar almaya giderken, o artan bir sabrszlkla telefonun br ucunda bekledi. Steve Ramon'un bir kat ynn kartrdn duyuyordu. "te burada" dedi Ramon sonunda. "Janice diye bir ifre koymusun." "Janice", diye dnd Steve. Annesinin adyd ve gerekten de onu bazen ifre olarak kullanrd. e girme belgelerini doldururken bu ifreyi pekala koymu olabilirdi. "Evet, bu doru" diyerek onaylad. "Tamam, zaman kaybediyoruz. Gerek olduumu biliyorsun. Ksa yolu kullanp en abuk ekilde dosyalarn kurtarmam istiyorsan bana yardm etmen gerekecek." "Kullanc adm s, d, altizgi, cramer C-R-A-M-E-R. ifre: pelikanl." "Hemen ie koyulacam" dedi Ramon; sonunda sesi yardmc olabilecekmi gibi geliyordu. "Bana birka saat ver." Steve im bime iini bitirdi, le yemeini yedi ve bilgisayarnn bana getiinde dosyalarnn geri yklenmi olduklarn grd. O huysuz sistem sorumlusunu bararak yola getirdii iin kendiyle gurur duydu ve Anna'nri da ne kadar sert konutuunu duymu olmasn diledi. Adama ya da patronuna teekkr etmek iyi olurdu ama byle eyleri yapacak biri olmadnn da farkndayd.

Craig Cogburne'n yks

'

":

Craig Cogburne yksek teknoloji rnleri reten bir irkette pazarlamac olarak alyordu ve iinde de olduka iyiydi. Bir sre sonra mteriyi okumak konusunda bir becerisi olduunu fark etti. Kiinin hangi konularda direnli olduunu, sat kapatmay kolaylatracak baz zayflklarn ve aklarn grebiliyordu. Yeteneini kullanmann baka yollarn bulmaya alt ve izledii yol onu sonu olarak daha kazanl bir alana gtrd: sanayi casusluu. Kendi azndan dinleyelim: Bu seferki ok sk bir iti. ok fazla zamanm almad ve Hawaii'ye hatt belki Tahiti'ye bir gezi yapacak kadar da ok kazan saladm. Beni tutan adam, doal olarak bana mterinin kim olduunu sylemedi; ama atlacak hzl, byk ve kolay bir admla rekabeti yakalamak isteyen bir irket olduunu anladm. Tm yapmam gereken kalp stenti denen yeni bir zamazingoya ait rn zelliklerini ve tasarmlarn ele geirmekti. Bunun ne olduu konusunda hibir fikrim yoktu. irketin ad GeminiMed'di. Bu ad hi duymamtm ama yarm dzine yerde ofisleri olan Fortune 500 irketlerinden biriydi; bu da ii kk bir irkete gre daha kolay, klyordu nk kk irkette konutuun

kiinin olduunu iddia ettiin ve aslnda olmadn adam tanma ans olduka yksek oluyordu. Mterim bana bir faks yollad. Gnderilen bir doktor dergisinden alnmt ve GeminiMed'in farkl ve yeni bir tasarm olan bir stent zerinde altn, admm da STH-100 olduunu yazyordu. Doruyu sylemek gerekirse bir gazeteci benim iin byk bir ayak iini halletmiti. e koyulmadan nce ihtiyacm olan tek bir ey vard ve o da yeni rnn adyd. Birinci sorun: irkette STH-100 zerinde alan kiilerin ya da tasarmlan grme yetkisine sahip insanlarn adlarn ren. Santral aradm ve, "Mhendislik ekibinizden biriyle balant kuracama sz vermitim ve soyadn hatrlamyorum, ama ad S'yle balyordu," dedim. Ve santraldaki kz dedi ki, "Scott Archer ve Sam Davidson adnda birileri var." Hangisi STH-100 ekibinde aityor bilmiyordu; bu yzden rastgele_ Scott Archer'i setim, kz benLona balad. Adam telefonu atnda, "Merhaba, ben Mike, posta odasndan. Elimizde STH-100 Kalp Stenti proje ekibine gelmi bir kargo paketi var. Bunun kime gidecei konusunda bir fikriniz var m? " diye sordum. Bana ekip liderinin adn verdi, Jerry Mendel. Benim iin Mendel'in numarasn bulmasn bile saladm. Aradm. Mendel yerinde yoktu ama telesekreterindeki mesaj ayn on ne kadar tatilde olacan sylyordu. Bu, kayaa m, her neye gittiyse bir hafta daha yerinde olmayaca anlamna geliyordu ve bu sre zarfndan birilerinin bireye ihtiyac olursa 9137'den Michelle'i aramalar gerektiini sylyordu. Bu insanlar ok yardmsever oluyorlard. Hem de ok. Telefonu kapattm ve Michelle'i aradm. Telefonu atnda ona dedim ki, "Ben Bili Thomas. Jerry bana artnameyi bitirdiimde ekibindekilerin inceleyebilmesi iin sizi aramam gerektiini sylemiti. Kalp stenti zerinde alyorsunuz, yle deil mi?" Kadn yle olduunu syledi. imdi oyunun en zorlu ksmna gelmitik. Eer kadn kukulanr gibi olursa, Jerry'nin benden yapmam rica ettii bir iyilii yerine getirmeye altmla ilgili kozumu oynamaya hazrdm. "Hangi sisteme balsnz?" diye sordum. "Sistem?" "Ekibiniz hangi bilgisayar sunucularn kullanyor?" "Oh," dedi kadn, "RM22. Ekibin bazlar da GMl'y kullanyorlar." Buna ihtiyacm vard ve bu onu kukulandrmadan alabileceim bir bilgiydi. Elimden geldii lde olaan bir tavr taknm ve bir sonraki adm iin onu biraz yumuamtm. "Jerry bana gelitirme ekibinde alanlarn e-posta adreslerini verebileceinizi sylemiti" dedim ve nefesimi tuttum.

"Elbette. Evrak datm listesi, okumak iin ok uzun; size onu e-posta'yla gnderebilir miyim?" Eyvah. Sonu GeminiMed.com'la bitmeyen herhangi bir e-posta adresi ileri yokua srerdi. "Bana listeyi falcslasanz nasl olur? " dedim. Bunu yapabileceini syledi. "Faks makinemizin yanp snyor. Baka bir tanesinin numarasn almam gerekecek. Sizi biraz sonra ararm." dedim ve telefonu kapattm. Bu noktada tatsz bir durumda kaldm dnebilirsiniz ama bu da iin bir paras. Danmada oturan kadna sesim tandk gelmesin diye bir sre bekledim sonra da onu arayp, "Merhaba, ben Bili Thomas, buradaki faks makinemiz almyor, sizin makinenize benim iin bir faks gnderebilirler mi?" dedim. Mmkn olduunu syledi ve bana numaray verdi. Sonra da oraya gidip faks alacaktm, yle mi? Tabi ki hayr! Birinci kural: ok gerekmedike mekna asla girme. Yalnzca telefondaki bir ses olarak kalrsan senin kimliini belirlemeleri ok daha g olur. Ve eer senin kimliini belirleyemezlerse, seni tutuklayamazlar. Bir sese kelepe takmak kolay deildir. Bu yzden bir sre sonra danmay yeniden aradm ve kza faksmn gelip gelmediini sordum. "Evet," diye yantlad. "Peki" dedim ona, "Onu birlikte altmz bir danmana vermem gerekiyor. Benim iin gnderebilir misin?" Sorun olmayacan syledi. Hem neden sorun olsundu ki; danmada alan birinin neyin hassas bilgi olduunu bilmesi beklenemezdi. Danma grevlisi "danmana" faks gnderirken, ben de vitrininde "Faks Gnderilir/Al mr" yazan yaknlardaki bir krtasiyeye doru yryerek gnlk sporumu yaptm. Faksn benden nce oraya gelmi olmas gerekiyordu ve beklediim gibi ieri girdiimde beni bekliyordu. Alt sayfaya 1.75 dolar verdim. Bir dolarlk bir banknot ve biraz bozukluk karlnda tm ekibin adlarna ve e-posta adreslerine sahip olmutum.

eri Girmek
Peki, birka saat iinde ya da drt kiiyle konutum ve irket bilgisayarlarna girebilmek iin dev bir adm attm. Ama olay kalbinden vurmak iin birka para bilgiye daha ihtiyacm vard. Birincisi, mhendislik sunucusuna dardan balanmak iin gerekli telefon numarasyd. GeminiMed'i tekrar aradm ve santral memurundan Bilgi lem Birimi'ni balamasn istedim. Telefona kan adama bilgisayarlar konusunda yardmc olabilecek biriyle grmek istediimi syledim. Beni aktard ve teknik konularla ilgili olarak kafam karm, biraz da aptalm gibi davrandm. "Evdeyim, yeni bir diziist bilgisayar aldm ve dardan balanabilecek ekilde onu ayarlamak istiyorum."

64

Aldatma Sanat
Sre ok akt ama balant iin gerekli telefon numarasna gelene kadar her eyi bana tek tek anlatmasna izin verdim. Numaray bana herhangi bir nemsiz bilgiymi gibi verdi. Sonra numaray denerken onu beklettim. Her ey yolundayd. Aa balanma engelini amtm. Numaray evirdim ve arayann dahili a zerindeki bilgisayarlara balanmasna izin veren bir ubirim sunucusuyla donanm olduunu grdm. Birka denemeden sonra parolasz konuk hesab olan bir bilgisayara denk geldim. Baz iletim sistemleri ilk kurulduklarnda kullancy bir kullanc ad ve parola belirlemesi iin ynlendirirler, ancak ayn zamanda bir de konuk hesab aarlar. Kullancnn konuk hesab iin ya bir parola belirlemesi ya da hesab btnyle kapatmas gerekir ama ou insan bunu bilmez ya da umursamaz. Bu sistem byk olaslkla yeni kurulmutu ve sahibi konuk hesabn kapatmakla uramamt. ok kr bir konuk hesab varm ki, u anda UNIX iletim sisteminin eski bir srmn altran bir bilgisayara eriimim var. UNIX altndaki iletim sistemi, o bilgisayara giri hakk olan herkesin ifrelenmi parolalarm bir parola dosyasnda saklar. Parola dosyas her kullancnn tek ynl kartrlm (bu geri dndrlemez bir eit ifreleme yntemidir) parolalarn ierir. Tek ynl bir kartrma sonucunda "haydiyap" gibi bir parola ifrelenmi bir karmaayla temsil edilir. Bu durumda parola UNIX tarafndan on alfanmefik simgeden oluan bir karma dntrlecektir. Bir kii bir bilgisayara dosya aktarmak isterse, bir kullanc ad ve parola girerek kendini tantmas istenir. Tantm bilgilerini kontrol eden sistem yazlm girilen parolay ifreler sonra da sonucu, parola dosyasndaki ifrelenmi parolayla (yani karmla) karlatrr. Eer ikisi aynysa, kullancya eriim hakk verilir.

Dosyada yazl parolalar ifreli olduklar iin dosya, ifreleri zmenin bilinen bir yolu olmad gerekesine dayanarak tm kullanclara aktr. ok sama! Dosyay indirdim ve zerinde bir szlk saldrs yaptm (Bu yntemle ilgili bilgi iin 12. blme baknz) ve gelitirme ekibindeki mhendislerden biri, PAROLA KARMAASI: Bir Steven Gramer adnda bir adamn bilgisayarparolay tek ynl bir da parolas "Janice" olan bir hesab olduifreleme srecinden unu rendim. ansm deneyip bu parogeirdikten sonra ortaya lay kullanarak adamn gelitirme sunucukan anlamsz harf dizililarndan birindeki hesabna girmeye almi. Bu srecin gya geri tm. e yarasayd, bana biraz zaman kazandndrlemez bir sre drr ve baka bir risk daha almama gerek olduu, yani karmdan kalmazd. Ama olmad. tekrar parolay elde Bu, adam bana kullanc adn ve parolasn etmenin mmkn olmad vermesi iin kandrmam gerektii anlamna dnlr.

Terimler

Size Yardmc Olabilirim geliyordu. Bunun iin haftasonunu bekleyecektim. Kalam zaten biliyorsunuz. Cumartesi gn Cramer'i aradm ve phelerini yenmek iin bir solucanla ve sunucularn yedekten geri yklenmesi gerektiiyle ilgili bir hikye uydurdum.

65

Terimler
L NOKTA: Bilginin braklabilecei ve bakalar tarafndan bulunma olaslnn dk olduu yer. Geleneksel casuslarn olduu bir dnyada bu, duvarda yerinde oynam bir tan arkas olurdu; bilgisayar korsanlarnn dnyasnda bu ounlukla uzak bir lkedeki bir internet sitesidir.

Ya ona anlattm ie giri formlarnda parolasnn yazdyla ilgili yk tutmasayd? e girerken doldurduu formlarla ilgili bir ey hatrlamayacandan emindim. Yeni ie giren biri o kadar ok form doldurur ki yllar sonra bu formlarn neler olduunu kim hatrlayabilir? Ne olursa olsun, eer onda uvallasaydm, elimde kullanabileceim uzun bir isim listesi vard. Cramer'in kullanc adn ve parolasn kullanarak sunucuya girdim, biraz ortala bakndm ve sonunda STH-100'n tasarm dosyalarn buldum. Hangilerinin anahtar dosyalar olduklarn bilmiyordum, bu yzden tm dosyalan bir l noktaya, kimseyi kukulandrmadan durabilecekleri in'deki cretsiz bir FTP sitesine aktardm. Ivr zvrm iinden neye ihtiyac varsa mteri kendi arayp bulsun.

Aldatmacann ncelenmesi

..

Hrszlk gibi olan ama her zaman yasad olmayan toplum mhendislii sanatnda, kendisine Craig Cogburne dediimiz adam ya da en az onun kadar becerikli bir kii iin burada anlatlan zorluklar neredeyse sradan eylerdir. Bu adamn amac, gvenlik duvarlaryla ve ofaan gvenlik teknolojileriyle korunan bir irket bilgisayarnda duran gizli dosyalan bulup indirmekti. in ou ocuk oyuncayd. e posta odasndan biri gibi davranarak balad ve teslim edilmeyi bekleyen bir kargo paketi olduunu syleyerek konuya biraz aciliyet katt. Bu kandrmaca, kalp stenti gelitirme ekibinin tatilde olan liderinin adn renmesini salad ama ekip lideri dnceli davranm ve bilgi almaya alan toplum mhendislerinin iini kolaylatrmak iin yardmcsnn adn ve telefon numarasn brakmt. Craig ekip liderinin yardmcs olan kadn aram ve ekip liderinin istei zerine aradn syleyerek btn pheleri ortadan kaldrmt. Ekip lideri ehir dndayken Michelle'in sylenenleri dorulamasna da olanak yoktu. Bunu gerek olarak kabul etti ve ekip yelerinin bir listesini vermek konusunda tereddt etmedi. Craig iin bu olduka nemli ve deerli bir bilgiydi.

Craig listeyi, genellikle her iki taraf iin de daha kullanl olan e-posta yerine faksla gndermesini istediinde bile kukulanmad. Kadn neden bu kadar kolay kanmt? Pek ok alan gibi, patronunun ie dnp de yaplmasn istedii bir ii yapmaya alan birinin engellerle karlatn duymasn istememiti. Dahas, arayann sylediine gre patronu yalnzca adamn isteklerini onaylamakla kalmam, ayn zamanda ondan yardm da istemiti. Bir kez daha, ou insan kandrlmaya ak hale getiren, takm oyuncusu olma isteiyle dolup taan biriyle kar karyayz. Craig, danmadaki kzn yardmc olacan bilerek faksn danmaya gnderilmesini salam ve bylece binaya girme gereinden de kurtulmutu. Ne de olsa danma grevlileri etkileyici kiilikleri ve iyi bir izlenim yaratmadaki becerileri nedeniyle seilirler. Faks alp gndermek gibi kk iyilikleri yapmak danmada alan birinin grev alanna girer ve Craig de bundan nasl yararlanacan biliyordu. Kzn dar gnderdii ey, o bilginin ne kadar deerli olduunu bilen biri iin alarm zillerinin almasna neden olabilirdi; ama danmada alan birinin hangi bilginin hassas, hangi bilginin sradan olduunu bilmesi nasl beklenebilir ki? Farkl bir ynlendirme kullanan Craig, irketin ubirim sunucusuna, yani dahili a zerinde dier bilgisayar sistemlerine eriim salayan donanma balanmak iin kullanlan telefon numarasn vermesi iin bilgi ilemdeki adam ikna etmek amacyla saf ve akn davranmt. Craig, hi deitirilmemi ve gvenlik duvaryla korunan pek ok dahili ada var olup dorudan gz nndeki aklardan birini, yani varsaylan parolalardan birini deneyerek kolaylkla balanmay baard. Aslnda pek ok iletim sisteminin, ynlendiricinin ve baka benzer rnn, hatt zel santrallarn varsaylan parolalar evrimii olarak bulunabilir. Herhangi bir toplum mhendisi, bilgisayar korsan ya da sanayi casusunun yansra yalnzca konuya merakl olanlar bile listeyi http://www.phenoelit.de/dpl/dpl.html adresinden bulabilirler. (Nereye bakmas gerektiini bilenler iin internetin yaam bu kadar kolaylatrmas inanlmaz. Artk siz de nereye bakmanz gerektiini biliyorsunuz.) Daha sonra Cogburne, kalp stenti gelitirme ekibinin kulland sunucuya girebilmek iin, dikkatli ve pheci bir adam bile ("Soyadn ne demitin? Ve mdrn kim?") kullanc adn ve parolasn vermeye ikna

JVUtnick Mesaj:
alan herkesin birinci ncelii eldeki ii bitirmektir. Byle bir bask altnda, gvenlik uygulamalar sk sk ikinci sraya der veva gzden kaar. Toplum mhendisleri, ilerini yaparken buna gvenirler.

Size Yardmc Olabilirim

67

etti. Bu, Craig'in irketin en iyi korunan srlarn kartrmas ve yeni rn :asanmlarn indirmesi iin kapy ak brakmak gibi bir eydi. Ya Steve Cramer phelenmeyi srdrseydi? Pazartesi sabah ie gidene kadar kukularn dile getirmek adna birey yapma olasl dkt, o zaman da zaten saldry engelleyebilmek iin ok ge kalm olacakt. Oynanan son oyunun kilit ksm uydu: Craig ilk bata Steve'in endielerine kar gayretsiz ve ilgisiz bir rol taknm, sonra da ses tonunu deitirip Steve'in iini bitirebilmesi iin ona yardm etmeye alyormu gibi bir hava yaratmt. ou zaman kurban, ona yardm ettiinize ya da bir iyilik yapmaya altnza inanrsa, baka zamanlarda zenle koruyaca gizli bilgileri sizinle paylaacaktr.

Aldatmacann Engellenmesi
Toplum mhendisinin kulland en gl numaralardan biri olaylarn gidiini deitirmektir. Bu blm kapsamnda grdnz ey budur. Toplum mhendisi sorunu yaratr, sonra da mucizevi bir ekilde sorunu zerek kurban irketin en gizli bilgilerine eriim salamakta kendisine yardmc olmas iin kandrr. Sizin alanlarnz da byle bir oyuna gelirler miydi? Bunu nlemek iin belirli gvenlik kurallarn bir kda dkp datmay hi denediniz mi?

Eitim, Eitim, Eitim...


New York'u grmeye gelmi bir adamla ilgili eski bir fkra vardr. Adam yoldan birini evirir ve sorar, "Camegie Hall'a nasl ulaabilirim?" teki cevap verir, "alarak, alarak, alarak." Toplum mhendislii saldrlarna herkes o kadar aktr ki, bir irketin tek etkili savunmas alanlarn eitmek, bilgilendirmek ve bir toplum mhendisini tanmak iin gerekli altyapy onlara vermektir. Sonra da insanlara srekli olarak eitim srasnda rendikleri hatrlatlmaldr ama bunlarn hepsi unutlur. Kurulutaki herkes, ahsen tanmad biriyle grt zamanlarda -zellikle de bu kii bir bilgisayara ya da aa nasl eriileceini soruyorsa- makul dzeyde pheci ve dikkatli olmak konusunda eitilmelidir. Bakalarna inanmay istemek insan yaratlnda vardr ama Japonlarn dedii gibi, i dnyas bir sava alandr. iniz savunmadaki bir boluktan byk zarar grebilir. irket gvenlik kurallar uygun olan ve olmayan davranlar aka tanmlamaldr. Gvenliin herkese uygun tek bir kalb yoktur. alanlarn ounlukla farkl grevleri ve sorumluluklar, her irket ii konumun da kendine zg ak noktalar vardr. irketteki herkesin tamamlamakla ykml olduu bir temel eitim olmaldr. Daha sonra insanlar sorunun bir

paras olma olaslklarn drecek belirli srelere bal kalabilmeleri iin i profillerine gre de eitim grmelidirler. Hassas bilgileri kullanan ya da sorumluk gerektiren konumlardaki kiilere ayrca zel eitim verilmelidir. .

Hassas Bilgileri Emniyete Almak


Bu blmdeki yklerde de grdnz gibi, biri yanlarna gelip yardm etmeyi teklif ettiinde insanlarn, i gereklerine, bykle ve irket kltrne uygun olarak tasarlanm irket gvenlik kurallarna bavurmalar gerekir. Sizden bir bilgiyi taramanz, bilgisayarnza bilmediiniz komutlar girmenizi, yazlm ayarlarnz deitirmenizi ve -hepsinin arasnda en tehlikeli olan- bir e-posta ekini amanz ya da kayna belirsiz bir yazlm indirmenizi isteyen bir yabancyla hibir zaman ibirlii yapmayn. Hibir ey yapmyormu gibi grnse bile herhangi bir yazlm program grnd kadar masum olmayabilir. Eitiminiz ne kadar iyi olursa olsun zaman iinde uygulamakta dikkatsiz davrandmz belirli sreler vardr. Skk bir zamanda, tam da ona ihtiyacmz olduu anda eitimi unutuveririz. Kullanc adn ve parolay vermemenin, neredeyse herkesin bildii (ya da bilmesi gerektii) ve hatrlatlmasna pek de gerek olmayan bir ey olduunu dnebilirsiniz. Mantkl olan budur. Ama aslnda her alana ofis bilgisayarlarnda, ev bilgisayarlarnda, hatt posta odasndaki saylandrma makinasnda kullandklar kullanc adn ve parolay darya vermelerinin, ATM kartlarnn ifresini vermekle e deer olduu sk sk hatrlatlmaldr. Bazen -ama ok ender olarak- gizli bilgileri bir bakasna vermenin zorunlu hatt nemli olduu durumlar sz konusu olabilir. Bu nedenle "hibir zaman" konusunda kat kurallar oluturmak, yerinde olmayacaktr. Yine de gvenlik kurallarnz ve srelerinizde, bir alann parolasn bakasna verebilecei durumlarn ve -daha da nemlisi- bu bilgiyi kimin sormaya yetkili olduunun aka belirtilmesi gerekmektedir.

Pek ok kuruluta, kural, irkete ya da baka bir alana zarar verebilecek bilgilerin yalnzca yz yze bilinen kiilere ya da kukuya yer brakmadan sesinin tannabildii kiilere verilebilecei eklinde olmaldr. st dzey gvenlik gerektiren durumlarda, sadece kiisel olarak getirilen ya da gvenilir bir yetkilendirmeyle -rnein nceden kararlatrlm gizli bir ifreyle ve zaman ayarl kartlar gibi iki farkl unsur kullanlarak- gelen talepler deerlendirilmelidir. ., Veri korumas sreleri, irketin hassas ilevleri olan bir blmn-

N O t * ahsen hi bir iletmede parola deitokuuna izin verilmesi gerektiine inanmyorum. alanlarn kiisel parolalarn deitoku etmesini ya da paylamasn yasaklayan kat bir kural yerletirmek ok daha kolaydr. stelik de ok daha gvenlidir. Ancak her iletmenin bu karar verirken, kendi kltrn ve gvenlik yaklamlarn gz nnde bulundurmas gerekmektedir.

aen kiisel olarak tannmayan ya da herhangi bir ekilde kefil olun-nam birine bilgi aktarlmamasm ifade etmelidir. Bu durumda baka bir irket alanndan kulaa gerek gibi gelen oir talebi, rnein ekibinizdekilerin adlarnn ve e-posta adreslerinin stesinin istendii bir durumu nasl ele alrsnz? Ya da baz evraklarn sadece irket iinde dolaabileceini alanlarn kafasna nasl sokarsnz? zmn nemli bir paras, dar gnderilecek bilgileri deerlendirmek zere her birimden birini grevlendirmek olabilir. Bu durumda, grevlendirilen alanlara izlemeleri gereken zel kontrol srelerinin anlatlaca bir ileri gvenlik eitimi verilmelidir.

Kimseyi Unutmayn
Hepimiz altmz irketteki yksek gvenlik gerektiren birimleri ezbere sayabiliriz. Ama ounlukla gz nnde olmayan, buna karn saldrlara olduka ak olan yerlere dikkat etmeyiz. Bu olaylardan birinde, irket iindeki bir numaraya faks ekilmesi yeterince masum ve gvenli grnebilir; ancak saldrgan, bu gvenlik andan yararlanabilir. Buradaki ders: Sekreterler ve idari memurlardan, irket yneticileri ve st dzey idarecilere kadar herkesin bu tarz oyunlara kar uyank olmalar iin zel gvenlik eitimleri almas gerektiidir. n kapy kollamay da unutmayn: Danma grevlileri de toplum mhendislerinin ncelikli hedefleri arasndadr ve baz ziyaretiler ve arayanlar tarafndan kullanlabilecek aldatma yntemlerine kar uyarlmalar gerekir. irket gvenlii tarafndan, bir toplum mhendislii oyununa hedef olduunu dnen alanlar iin bir eit bilgi birikim merkezi niteliinde tek bir iletiim noktas oluturulmas gerekmektedir. Gvenlik olaylarnn bildirilecei tek bir noktann olmas, planl bir saldr srasnda saldrnn ortaya kmas iin etkili bir n uyar sistemi olumasn salayacak, bylece zaman kaybedilmeden durum kontrol altna al-nabilecektir. ^_ !N| Ot i alacak bir ekilde, arayann adn ve telefon numarasn irket alanlar veri tabanndan kontrol etmek ve geri aramak bile kesin bir zm deil. Toplum mhendisleri irket veritabanna ad eklemenin ya da telefon aramalarn ynlendirmenin yollarn bilirler.
s

BANA YARDIMCI OLABLR MSNZ?


Yardm teklif ederek toplum mhendislerinin insanlar nasl kandrdklarn grdnz. Baka bir sevilen yntemde ise roller deiir ve toplum mhendisi kar tarafn yardmna ihtiyac olduunu syleyerek ynlendirme yapar. Zor durumda olan insanlara hep acmzdr; bu yzden bu yaklam toplum mhendisinin amacna ulamasnda et{di olduunu tekrar tekrar kantlamtr.

Ziyareti
nc blmde anlatlan yklerden biri, bir saldrgann Sosyal 3./enlik Numaras'n elde edebilmek iin kurbann nasl kandrdndan sz ediyordu. Bu seferki toplum mhendisimiz ayn sonucu elde stmek iin farkl bir yol izliyor ve sonra da bu bilgiyi kullanyor.

Jones'Iann etelesini Tutmak


Silikon Vadisi'nde, adm vermeyeceimiz bir uluslararas irket var. Dnyann her tarafna dalm sat brolarnn ve dier tesislerinin hepsi de bir geni alan a (WAN-Wide Area Netvvork) araclyla irketin genel mdrlne bal. Brian Atterby adnda, zeki, kpr kpr bir saldrgan, bu tip bir aa, gvenliin, genel mdrle gre daha gevek olduu en u noktalarndan birinden girmenin daha kolay olduunu biliyordu. Saldrgan, Chicago brosunu arad ve Bay Jones'la grmek istediini syledi. Danmadaki kz ona Bay Jones'un ilk adn bilip bilmediini sordu; o da, "Bir yere yazmtm, bulmaya alyorum. Orada Jones adl ka kii alyor?" diye sordu. Kz, "," diye yantlad. "Hangi blmde alyor?" "Adlan okursanz belki hatrlayabilirim", dedi adam ve kz adlar okudu, "Barry, Joseph ve Gordon." "Joseph. Evet adnn bu olduuna eminim" dedi adam. "Ve eydeydi... hangi blmdeydi?" " gelitirme." "Hah ite o. Beni ona balayabilir misiniz?" Kz telefonu aktard. Jones telefonu atnda saldrgan, "Bay Jones? Merhaba ben bordro servisinden Tony. Maa ekinizin dorudan vakf hesabnza yatrlmasyla ilgili talebinizi az nce yerine getirdik" dedi.

Tersmler
"BEN U GNDERD" TARZI GVENLK: Bilginin nerede olduunu bilmeye ve o bilgiye ya da bilgisayar sistemine erimek iin bir kelime ya da ad kullanmaya dayanan gvenlik eklidir.

iin dar neon tabelalar asmyorlard. Doru yerde bulunmak ounlukla ieri girebilmek iin yeterliydi. Benzer bir gvenlik yntemi, irket dnyasnda da n e y a z | k k j s | k a k u || a m | l y o r v e 'beni-ugnderdi' tarz gvenlik adn vereceim, ie yaramaz bir koruma salyor.

Filmlerde Grdm

te size pek ok insann hatrlayaca gzel bir filmden bir rnek. Akbabann'n Gn'nde (Three Days of the Condor) Robert Redford'un oynad ba karakter Turner, CIA adna i yapan kk bir aratrma irketinde almaktadr. Bir gn le yemeinden dndnde tm arkadalarn vurularak ldrlm bulur. Kim olduklarn bilmedii kt adamlarn kendisini aradklarn bilerek bu olay kimin ve neden yaptn bulmaya alr. Hikyenin ilerisinde Turner kt adamlardan birinin telefon numarasn renmeyi baarr. Ancak bu adam kimdir ve Turner onun nerede olduunu nasl bulabilir? Tumer'n ans yaver gider, nk senaryo yazar David Rayfiel, Turner'n gemiine muhabere blnde telefon hatt teknisyeni olarak eitim alm olma zelliini koymu, bylece onu telefon irketinin yntemleri ve uygulamalar hakknda bilgili klmt. Turner, kt adamn telefon numarasyla ne yapmas gerektiini gayet iyi biliyordu. Senaryo metninde sahne yle anlatlr: TURNER YENDEN BALANIR ve BAKA BR NUMARA EVRR. ZIRR! ZIRR! Sonra: KADIN SES (FLTRELENM) MAA, Bayan Coleman konuuyor. TURNER (ahizeye konuur) Ben Harold Thomas, Bayan Coleman. Mteri Hizmetleri. 202-555-7389 iin MAA ltfen. KADIN SES (FLTRELENM) Bir dakika ltfen. (hemen sonra) Leonard Atwood, 765 MacKensie Yolu, Chevy Chase, Maryland Senaryo yazarnn bir Maryland adresi iin yanllkla bir Washington alan kodu kullanyor olmas dnda burada ne olduunu anlayabildiniz mi?

Bana Yardmc Olabilir Misiniz?

75

Mifnick Mesaj:
Gizlilik- zerinden gvenlik sistemleri toplum mhendislii saldrlarn engellemekte etkisizdirler. Dnyadaki herhangi bir bilgisayar sistemini kullanan en az bir insan yardr. Bu yzden, eer saldrgan, sistemleri kullanan insanlar etkileyebilirse, sistemin gizlilii anlamsz olacaktr. Ald telefon hatt teknisyenlii eitimi nedeniyle Turner, bir telefon irketinin MAA (Mteri Ad ve Adresi) brosuna ulamak iin hangi numaray evirmesi gerektiini biliyordu. MAA, tesisatlar ve dier yetkili telefon irketi alanlarna kolaylk salamas iin kurulmutu. Bir tesisat MAA'y arar ve telefon numarasn verirdi. MAA memuru ise ".elefon numarasnn ait olduu kiinin adn ve adresini bulup tesisatya verirdi. . '

Telefon irketini Kandrmak


Gerek dnyada MAA'nn telefon numaras ok iyi saklanan bir srdr. Her ne kadar telefon irketleri imdilerde ii skya alm ve bilgi vermek konusunda pek cmert davranmyor olsalar da, o zamanlar gvenlik uzmanlarnn gizlilik zerinden gvenlik adn verdikleri bir eit 'beni u gnderdi' tarz gvenlik uygulamas kullanyorlard. MAA'y arayan ve terminolojiyi bilen herhangi birinin ("Mteri Hizmetleri. 555-1234'le ilgili MAA ltfen" gibi) bilgi almak iin yetkili olduunu varsayyorlard. Ne kendinizi tantmaya, ne kimliinizi kantlamaya, ne Sosyal Gvenlik Numaranz vermeye, ne de hergn deien bir parola girmeye gerek yoktu. Eer aramanz gereken numaray biliyorsanz ve sesiniz inandrc geliyorsa, o zaman bu bilgiyi almaya hakknz var demekti. Bu, telefon irketi asndan ok yerinde bir varsaym deildi. Gvenlii salamak yolundaki tek abalar ylda bir kereden az olmamak zere dnem dnem telefon numarasn deitirmekti. Buna ramen bu numaralar hangi dnemde olursa olsun bu kullanl bilgi kaynandan yararlanmaktan ve baka belei arkadalaryla yaptklarn paylamaktan holanan telefon beleileri arasnda yaygn olarak bilinen numaralard. MAA brosu dalaveresi, genliimde hobi olarak telefon beleilii yaptm zamanlarda ilk rendiim eylerden biriydi.

Terimler

GZLLK ZERNDEN GVENLK: Sistemin (protokollerin, algoritmalarn ve dahili sistemlerin) alma bilgileriyle ilgili ayrntlar gizli tutmaya dayanan etkisiz bir bilgisayar gvenlik yntemidir. Gizlilik zerinden gvenlik, gvenilir bir grup insan dnda kimsenin sisteme giremeyecei gibi bir yanl inana dayanr.

i dnyasnda ve devlet dairelerinde 'beni u gnderdi' tarz gvenlik sistemleri kullanlmaya devam edilmektedir. irketinizin birimleri, alanlar ve terminolojisiyle ilgili yeterli bilgiyi toplam o kadar da becerikli olmayan herhangi bir saldrgann kendini yetkili biri olarak tantmas olasdr. Bazen daha az bile yeterli olur. Tm gereken ey dahili bir telefon numarasdr.

Her ne kadar irketlerde alan pek ok kii gvenlik aklarna kar ihmalkr, ilgisiz ve dikkatsiz olsa da, Fortune 500 irketleri arasnda bulunan bir bilgisayar merkezinde ynetici unvanyla bulunan birinin en iyi gvenlik uygulamalar konusunda bilgili olmasn beklersiniz, yle deil mi? irketinin Biliim Teknolojileri birimine bal olarak alan bir bilgisayar merkezi yneticisinin basit ve bariz bir toplum mhendislii dalaveresine kurban gidecei aklnzn ucundan bile gemez. zellikle de toplum mhendisi ergenlik andan yeni km, hl ocuk saylabilecek biriyse. Ancak bazen beklentilerimizde yanlabiliriz.

Yllar nce radyolar yerel polis ya da itfaiye telsiz konumalarn dinleyecek ekilde ayarlamak ve her zaman rastlanmayan trden olduka heyecanl bir banka soygununu, bir iyeri yangnn ya da sratli bir kovalamacay daha olaylar olurken dinlemek, vakit geirmenin elenceli yollarndan biriydi. Polis tekilatnn ve itfaiyenin kulland radyo frekanslar kedeki kitapdan alabileceiniz kitapklarda bile bulunuyordu; bugn ise internet zerinde listeler Yallne uruyofai \e bir kitapdan alabileceiniz kitaplardan, yerel tekilatlarn, ile, eyalet ve hatt baz durumlarda federai brolarn bile radyo frekanslarn bulabilirsiniz. Bunlar dinleyenler doal olarak yalnzca merakllar deildi. Gecenin bir yarsnda market soyan hrszlar o tarafa doru bir polis arabasnn gelip gelmediini renmek iin polis kanaln dinlerlerdi. Uyuturucu kaaklar Uyuturucu Masas polislerinin yerel hareketlerini buralardan renirlerdi. Bir kundak, nce bir kibrit akp sonra da itfaiyeciler sndrmeye abalarken tm radyo konumalarn dinleyerek hasta zevkini tatmin edebilirdi. Gnmzde bilgisayar teknolojisindeki gelimeler ses mesajlarn ifreleme olana salad. Mhendisler tek bir mikroyongaya daha fazla ilem gc tkmann yollarn bulurlarken, bir yandan da kt adamlar ve merakllarn dinlememesi iin polis kuvvetlerine ynelik kk, ifreli telsizler retmeye baladlar.

Kulak Misafiri Danty

"

" '

. /

Adna Danny diyeceimiz anten merakls ve yetenekli bir bilgisayar korsan, bu tr telsiz sistemleri reten byk firmalarn birinden, gizli ifreleme yazlmnn kaynak kodunu ele geirmenin bir yolunu bulup bulamayacan denemeye karar verirdi. Kodu incelemenin, polis tekilatn dinleyebilmesine olanak salayacan ve belki de, en gelimi teknolojiye sahip devlet kurumlarnn bile arkadalaryla yapt konumalar dinlemesini gletirecek ekilde teknolojiyi kullanabileceini umuyordu. Bilgisayar korsanlarnn karanlk dnyann Danny'leri yalnzca merakl -ve tamamyla- zararsz trden adamlarla tehlikeli adamlar arasnda zel bir snflandrmaya tabidirler. Danny'ler, sunduu heyecan iin sistemlere ve alara giren ve teknolojinin nasl altn grmenin keyfini karan muzip bir korsann meraknn yan sra bir uzmann bilgisine de sahiptirler. Ancak onlarn elektronik ortamlar krma ve o alana girme maceralar gerekten de yalnzca bir maceradr. Bu adamlar, bu zararsz korsanlar, zevk iin sitelere yasad giri yaparlar. Yaptklarndan para kazanmazlar; dosyalara zarar vermezler, a ralantlarn bozmazlar ya da bilgisayar sistemlerini kertmezler. Dnlarn yalnzca orada olup, gvenlik ve sistem yneticilerinin srt ;onkken dosyalar kopyalamas ve parolalar renmek iin e-postaar taramas, kendileri gibi davetsiz misafirleri darda tutmakla sorumj adamlarn kulaklarn bkmektedir, iin en keyifli yan kar tarafa stnlk salamaktr. Bu tanmlara uygun olarak bizim Danny'miz, yalnzca kendi Dastrlamaz merakn tatmin etmek ve reticinin bulduu akllca yenikleri takdir etmek iin, hedef irketin en iyi korunan rnnn ayrn: arn incelemek istiyordu. Bilindii zere, rn tasarmlar irketin elindeki herhangi bir ey adar deerli, korunmas gereken ve zenle saklanan ticari srlardr, lanny bunu biliyordu ama zerre kadar .nurunda deildi. Ne de olsa, hedefteki, sadece byk ve isimsiz bir irketti.

Terimler

Ancak yazlm kaynak kodunu nasl i de edecekti? ilerin gidiine baklrsa, 'ketin Gvenli iletiim Grubu'na ait <raliyet mcevherlerini" ele geirmek : duka kolay olmutu. stelik irket, asanlarn kendilerini tantmalar iin bir .erine iki ayr anahtar gerektiren iki zasamakl! bir kimlik belirleme sistemi ..Hanyordu.

K BASAMAKLI TANIMLAMA: Kimlii belirlemek iin iki farkl tanmlama ekli kullanlmasdr. rnein, bir kiinin kendini tantabilmek iin belirli, tanmlanabilir bir noktadan ve parolay bilerek aramas gerekebilir.

78

Aldatma Sanat

ite size, byk olaslkla artk aina olduunuz bir rnek. Yeni kredi kartnz geldiinde, kartn doru kiinin elinde olduundan ve birilerinin zarf posta kutusundan almadndan emin olmak iin kart veren irket onlar aramanz ister. u sralar kartla birlikte gelen talimatlar genellikle evden aramanz neriyor. Aradnzda, kredi kart irketindeki yazlm, irketin dedii cretsiz aramalarn yapld santraln salad ONT'yi (Otomatik Numara Tanmlaycsfn) zmlyor. Kredi kart irketindeki bir bilgisayar, arayan tarafn numarasn irketin kart sahipleri veri tabannda bulunan numarayla karlatrr. Grevli, telefonu aana kadar mterinin veri tabanndan ekilen bilgiler ekranda grnr. Bylece grevli, bilgileri grd anda, aramann bir mterinin evinden yapldn anlar. Bu, kimlik belirlemenin bir basamadr. Sonra grevli sizinle ilgili nne kan bilgilerden birini seer -bu ounlukla Sosyal Gvenlik Numaras, doum tarihi ya da annenin kzlk soyad olur- ve bu bilgiyi dorulamak iin size soru sorar. Eer doru yant verirseniz, bu da kimlik belirlemenin, sizin bildiiniz bir eye dayanan ikinci basaman oluturur. Hikyemizde geen gvenli telsiz sistemlerini reten irketin her alannn bilgisayara girmek iin kulland kullanc ad ve parolann yan sra bir de Gvenli Kimlik dedikleri kk bir elektronik cihaz vardr. Buna zaman tabanl anahtar denir. Bu cihazlar iki eittir: Biri bir kredi kartnn yars boyutundadr ama biraz daha kalndr; dieri ise insanlarn anahtarlklarna takabilecekleri kadar kktr. ifreleme dnyasnn bir eseri olan bu aletin zerinde alt basamakl bir say gsteren kk bir ekran vardr. Her altm saniyede bir ekranda farkl bir alt basamakl say grnr. Yetkili bir kiinin, dardan aa girecei zaman, nce gizli bir kiisel kimlik numaras sonra da anahtar cihaznda grnen saylar girerek kendini yetkili biri olarak tantmas gerekir. Dahili sistem tarafndan tanndktan sonra kullanc adn ve parolasn yazarak girii gerekletirir. Gen korsan Danny'nin istedii kaynak kodunu alabilmesi iin yalnzca bir alann kullanc adn ve parolasn bulmas yetmiyor (ki bu, deneyimli bir toplum mhendisi iin ok zor bir i deildir), ayn zamanda zaman tabanl anahtar kontroln de atlatmas gerekiyordu. Gizli kiisel kimlik numarasyla birlemi zaman tabanl anahtar kullanlan iki basamakl bir kimlik belirleme sistemini alt etmek kulaa tam Grevimiz Tehlike'den frlam bir i gibi geliyor. Ama toplum mhendisi iin byle bir ite karlaaca zorluk, zel bir beceriye sahip bir poker oyuncusunun rakiplerinin yzlerini okumada karlat zorlukla benzerdir. ans yaver giderse, oturduu masadan, dier insanlardan ald tomarla parayla birlikte kalkabileceini bilir.

Kaleyi Fethetmek
Danny hazrlklarn yapmaya balad. ok gemeden gerek bir alan roln oynayacak kadar bilgi toplamt. Elinde bir alann ad, rolm, telefon numaras ve Sosyal Gvenlik Numaras'nn yan sra rneticisinin ad ve telefon numaras da vard. O anda kelimenin tam anlamyla frtna ncesi sessizlik hakimdi. Yapt plan uygulayarak bir sonraki adm atmadan nce Danny'nin yapmas gereken birey daha kalmt. Bu, kendi abalaryla yapamayaca bir eydi. Bir kar frtnasna ihtiyac vard. Danny'nin, alanlarn --"islerine ulamasn engelleyecek kadar kt bir hava iin Tabiat ^na'dan kk bir yardm almas gerekiyordu. Sz konusu fabrikann bulunduu Gney Dakota'da k mevsiminde <t hava dileyen birinin ok beklemesi gerekmez. Cuma gecesi frtna koptu. Kar eklinde balayan ya, souk bir yamura dnt ve oylece sabaha kadar tm yollar kaygan ve tehlikeJi bir buz tabakasya kapland. Danny iin bu harika bir frsatt. Fabrikay arayp, bilgisayar odasn balattrd ve bilgi ilemin ii arlarndan birine, kendini Roger Kovvalski olarak tantan bir bilgisayar iletmenine ulat. Danny, ele geirdii ve gerek bir alana ait olan ad vererek Konutu. "Ben Bob Billings. Gvenli letiim Grubu'nda alyorum. u anda evdeyim ve frtna yznden ie gelemiyorum. Bilgisayarma ve sunucuya evden ulamam gerekiyor ama Gvenli Kimlik Kart'm masamda unutmuum. Onu benim iin alr msnz? Ya da baka biri de alabilir. Sonra aa girmem gerektiinde ekrannda yazan bana okuyabilirsiniz. Ekibimin yetitirmesi gereken nemli bir teslimat var ve bu durumda ii bitirmem mmkn deil. Ofise gelemiyorum, bu taraflardaki yollar ok tehlikeli bir hale geldi." "Ben Bilgisayar Merkezi'nden ayrlamam" dedi bilgisayar iletmeni. Danny hemen atlad, "Sizin bir Gvenli Kimlik Kartnz var m? "Bilgisayar Merkezi'nde bir tane var," dedi iletmen. "Acil bir durumda iletmenlerin kullanmas iin." "Tamam" dedi Danny. "Bana byk bir iyilik yapabilir misin? Aa girmem gerektii zaman Gvenli Kimlik Kart'n kullanabilir miyim? Yalnzca yollar dzelene kadar." "Adnz ne demitiniz?" diye sordu Kovvalski "Bob Billings." .

"Kimle alyorsunuz?"

"Ed T r e n t o n ' l a . "

- '

/<

:- .

.,- v

Zor bir durumda kalma tehlikesi varsa, iyi bir toplum mhendisi, yaplmas gerekenden daha fazla aratrma yapar. "kinci kattaym" diye devam etti Danny. "Roy Tucker'in yannda oturuyorum." Adam bu ad da biliyordu. Danny onu ilemeye devam etti. "Masama gidip Gvenli Kimlik Kart'm alp gelirseniz ok daha kolay olabilir." Danny adamn bunu yapmayacandan olduka emindi. Her eyden nce mesaisinin ortasnda ii brakp koridorlardan geip merdivenlerden kp binann br kesine gitmek istemeyecekti. Ayrca baka birinin masasnn bana geip zel eyalarn kartrr gibi bir durumda kalmak da istemezdi. Evet, bunu yapmayaca stne oynamak yerinde olacakt. Kowalski yardma ihtiyac olan birine hayr demek istemiyordu ama evet deyip ban belaya sokmak da istemiyordu. Bu yzden karar vermekten ekinerek yana adm att. "Mdrme sormam gerekecek. Biraz bekler misiniz?" Telefonu brakt ve Danny onun baka bir telefonu alp, bir numara evirdiini sonra da isteini birine anlattn duydu. O anda Kovvalski aklamas g birey yapt. Bob Billings adn kullanan adama kefil olmutu. "Onu tanyorum" dedi yneticisine. "Ed Trenton iin alyor. Bilgisayar Merkezindeki Gvenli Kimlik Kart'n kullanmasna izin verebilir miyiz?" Danny telefon elinde amacna verilen bu olaanst ve beklenmedik destek karsnda arp kalmt. Ne ansna ne de kulaklarna inanamyordu. .-.;. - -- Birka dakika sonra Kovvalski telefonu yeniden eline ald. "Mdrm sizinle ahsen konumak istiyor" dedi ve ona mdrnn adn ve cep telefonu numarasn verdi. Danny mdr arad ve zerinde alt projenin ayrntlarn ve ekibinin nemli bir teslimat yetitirmesi gerektiini de ekleyerek tm hikyeyi bir kez daha anlatt. "Biri gidip kartm alabilirse daha kolay olur" dedi. "Masamn kilitli olduunu sanmyorum, sol st ekmecede olmal." "Peki" dedi mdr," Yalnzca hafta sonu iin olmak kaydyla sanrm Bilgisayar Merkezi'ndekini kullanmanza izin verebiliriz. Grevli arkadalara aradnzda eriim ifresini size okumalarn syleyeceim" dedi ve onunla birlikte kullanlacak kiisel tantm numarasn da verdi. Tm hafta sonu boyunca irket bilgisayarna girmek istedii zaman Danny'nin yapt tek ey Bilgisayar Merkezi'ni aramak ve Gvenli Kimlik Kart'nda yazan alt basamakl sayy okumalarn rica etmek oldu.

Bana Yardmc Olabilir Misiniz?

81

i erden Bitirmek
irketin bilgisayar sistemine girdikten sonra ne olacakt? Danny 'ad yazlmn bulunduu sunucuya girmenin yolunu nasl bulacakt? Bunun iin zaten hazrlklyd. Bilgisayar kullanclarnn ou tartma guruplarn bilirler. Bunlar, insanlarn yant aradklar sorularn koyduklar ya da mzik, bilgisayar ve daha yzlerce baka konuda sanal arkadalar edinmek iin kulandklar elektronik blten panolardr. Bir tartma gurubu sitesine mesaj braktklarnda, mesajlarnn ylarca evrimii ve eriilebilir kalacan pek az kii bilir. rnein 3oogle'n, bazlarnn tarihi yirmi yl ncesine dayanan yedi yz milyon mesajlk bir arivi vardr! Danny ie http://groups.google.com adresine girmekle balad. Arama metni olarak "ifreli telsiz iletiimi" ve irketin adn girip bir alana ait yllar ncesinden kalm bir mesaj buldu. irketin bu rn gelitirmeye balad yllarda, herhalde polis tekilatlarnn ve federal Duralarn telsiz sinyallerini kartrmay dnmelerinden ok nce Diraklm bir mesajd. Mesajda gnderenin ad da bulunuyordu. Yalnzca ad deil, telefon numaras ve hatt alt grubun adn vard; Gvenli letiim Grubu. Danny telefonu ap numaray evirdi. Yapt ok uzun bir at gibi grnyordu. Adam, yllar sonra da ayn kurulu iin almaya devam ediyor muydu? Byle frtnal bir hafta sonunda i yerinde olabilir miydi? Telefon bir kez, iki kez, kez ald ve sonunda ald. Aan kii, "Ben Scott" dedi. Danny, irketin Bilgi lem Blm'nden olduunu syleyerek gelitirme ileri iin kullanlan sunucularn adn vermeye (nceki blmlerden artk aina olduunuz yollardan birini kullanarak) Scott'u ikna etti. Bu sunucularda, ifreli telsizlerde kullanlan, irkete zg algoritmalarn ve yazlmlarn kaynak kodlarnn bulunduunu dnyordu. Danny gittike yaklayor ve heyecan da giderek artyordu. ok az insann baarabileceini bildii bir eyi baardnda hissedecei heyecann ve byk cokunun beklentisi iindeydi. Yine de henz hedefine ulamamt. Yardmsever bilgisayar merkezi mdr sayesinde tm hafta sonu boyunca irketin ana istedii zaman girebiliyordu. Ayrca hangi sunuculara erimesi gerektiini de biliyordu. Ancak balanmaya altnda, oturum at ubirim sunucusu Gvenli iletiim Grubu gelitirme sistemlerine girmesine izin vermedi. O grubun bilgisayar sistemlerini koruyan bir i gvenlik duvar ya da ynlendirici olmalyd. Girmek iin baka bir yol bulmas gerekiyordu.

Bir sonraki adm gzn karartmasn gerektirmiti. Danny, Bilgisayar Merkezi'nde alan Kovvalski'yi arad ve, "Sunucum balanmama izin vermiyor" diye ikyet etti. "Telnet kullanarak kendi sistemime balanabilmem iin sizin blmn bilgisayarlarnda benim iin bir hesap aabilir misiniz?" Mdr zaten zaman tabanl anahtarn salad eriim ifresinin verilmesini onaylamt, bu yzden byle bir istek tuhaf karlanmad. Kovvalski, Bilgisayar Merkezi bilgisayarlarndan birinde geici bir hesap at ve bir de parola verdi. Danny'e de, "ihtiyacnz kalmad zaman haber verirseniz, hesab kaparm." dedi. Geici hesaba girdikten sonra Danny, a zerinden Gvenli iletiim Grubu'nun bilgisayar sistemlerine balanmay baard. Ana gelitirme sunucusuna balanabilmek, amacyla teknik bir ak bulabilmek iin bir saat boyunca evrimii arama yapt ve sonunda turnay gznden vurdu. Grne gre sistem ya da a yneticileri iletim sistemlerinde uzaktan eriime izin veren gvenlik hatalaryla ilgili gelimelerden haberdar deillerdi. Ama Danny haberdard. Ksa sre ierisinde, arad kaynak kodlarn buldu ve cretsiz saklama alan veren bir e-ticaret sitesine aktard. Dosyalar bulunsa bile bu siteden kimse onun izini sremezdi. At oturumu kapatmadan nce atmas gereken bir adm daha vard: Brakt izleri dikkatle temizlemesi gerekiyordu. Cumartesi gecesi Jay Leno'nun program bittiinde o da kendi iini bitirdi. Danny bunun ok verimli bir hafta sonu olduuna karar verdi. stelik de kendini hi riske atmas gerekmemiti. Ba dndrc bir heyecand, hatt kayak srfnden (snowboard) ve serbest atlaytan (sky diving) bile daha heyecan vericiydi. Danny o gece sarho oldu ama viski, cin, bira ya da sake ierek deil. Ard dosyalara bakarken, parmaklarnn arasndan kaymaya alan son derece gizli telsiz yazlmna yaklamann verdii g ve baar duygusuyla sarho olmutu. :

Aldatmacann ncelenmesi

..

Bir nceki ykde olduu gibi, bu oyunun da ie yaramasnn tek nedeni, bir irket alannn, arayan kiinin syledii kii olduunu, sorgulamadan kabullenmesidir. Sorunu olan bir mesai arkadana yardm etmek sanayi tekerinin dnmesini salayan ve baz irketlerin personeliyle almay dierlerine gre daha keyifli hale getiren bir unsurdur. te yandan bu yardmseverlik, bir toplum mhendisinin smrebilecei nemli bir zaaf da olabilir. Danny'nin kulland baka bir yntem ise nefisti. Birinin masasndan Gvenli Kimlik Kart'n alp gelmesi talebinde bulunurken srek;:

Bu ykde anlatlanlar zaman tabanl anahtarlarn ve benzer tanmlama yntemlerinin kurnaz bir toplum mhendisine kar koruma salamadklarn bize gsteriyor. Tek savunma, gvenlik politikalarm bilen ve bakalarnn kt niyetle '. davranlarn etkileyebileceinin farknda olan saduyulu bir alandr. olarak emreder gibi konuuyordu. Kimse emir almaktan holanmaz. Bu tavryla Danny o isteinin geri evrilmesini salad ve baka bir zm nerisini kabul etti. Bu da tam istedii eydi. Bilgisayar Merkezi iletmeni Kovvalski, Danny'nin adlarn verdii Kiileri tanmas nedeniyle tuzaa dmt. Ama neden Kowalski'nin mdr, hem de bir bilgi ilem yneticisi, tanmad birinin irketin dahili ana girmesine izin verdi? nk toplum mhendisinin aralar arasnda yardm talebi en gl silahlardan biridir. Byle bir ey sizin irketinizde de olabilir mi? Yoksa oktan oldu mu?

Aldatmacann Engellenmesi
Yardmc olan kiinin, arayann gerek bir alan olup olmadn kontrol etmeden ve gerekli nlemleri almadan saldrgana irket ana dardan girebilme hakkn tanmas bu yklerde sk sk tekrarlanan bir konu gibi grnyor. Neden bu konuya bu kadar fazla deiniyorum dersiniz? nk bu, pek ok toplum mhendislii saldrsnn en nemli unsuru, bir toplum mhendisinin amacna ulamasnn en kolay yoludur. Neden bir saldrgan basit bir telefon konumasyla bu ii halledebilecekken saatlerce gvenlik duvarlarn (firevvall) krmaya urasn? Toplum mhendisinin bu tarz bir saldry gerekletirmek iin kulland en gl yntemlerden biri, saldrganlar tarafndan ska kullanlan, yardma ihtiyac olduu oyununu oynamaktr. alanlarnzn mterilere ve mesai arkadalarna yardmc olmalarn engellemek istemeyeceinize gre onlar, bilgisayar eriimi ya da gizli bilgiler talep eden kiilere kar kullanmalar iin zel kontrol sreleriyle donatmanz gerekmektedir. irket gvenlii sreleri, eitli durumlarda ne tr kontrol mekanizmalarnn kullanlacan ayrntl olarak anlatmaldr. On yedinci blmde srelerin ayrntl bir listesini bulabilirsiniz, ancak ite size gz nnde bulundurulabilecek bir takm kurallar: stekte bulunan kiinin kimliini kontrol etmek iin kullanlabilecek en iyi yollardan biri o kiinin irket rehberindeki telefonunu

84

Aldatma Sanat aramaktr. Eer kii bir saldrgansa, o zaman kontrol telefe _ sahte alan dier hatt beklerken gerek kiiyle konuma" ya da alann brakt sesli mesaja ulap alann ses saldrgann sesiyle karlatrmanz salar. Eer kimlik kontrol iin irketinizde Sosyal Gvenlik kullanlyorsa, bu durumda bu numaralarn hassas bilgi sa> mas ve zenle korunup yabanclara verilmemesi gerekmektec Ayn ey dahili telefon numaralar, birim fatura bilgileri, har; e-posta adresleri gibi her trl dahili tanmlayc iin de geerlic irket eitimleri herkesin dikkatini, yetkili ve bilgili grndkle" iin bilinmeyen kiilerin irket alan varsaylmalar uygulamasna ekmelidir. Bir kiinin irket uygulamalarn bilmesi ya es irket ii terimleri kullanmas kimliinin kontrol edilmemesi ir yeterli neden deildir. Gvenlik grevlileri ve sistem yneticileri sadece herkesir gvenlik kurallarna ne kadar uyduunu grecek ekilde konuya odaklanmamaldrlar. Ayn kurallara, srelere ve uygulamalara kendilerinin uyduundan da emin olmaldrlar. Parola ve benzeri eyler, doal olarak, hibir zaman bakasna verilmemelidir. Bakalarna verilmeyle ilgili kural, zaman taban anahtarlar ve dier tanmlama yntemleri sz konusu olduunda daha da nemli olmaktadr. Bu unsurlardan herhangi birinin bakalarna verilmesinin, irketin bu sistemleri kurma amacna btnyle aykr olduunun herkese bilinmesi gerekmektedir. Bakalarna verilmesi, izinin srlemeyecei anlamna gelir. Eer bir gvenlik sorunu yaanrsa ya da bir eyler ters giderse, kimin sorumlu olduunu bulamazsnz. Bu kitapta hep vurguladm gibi, alanlarn kendilerine gelen talepleri dikkatle deerlendirebilmeleri iin toplum mhendislii hilelerinin ve tekniklerinin bilincinde olmalar gerekmektedir. Gvenlik eitiminin bir paras olarak rol yapma eitimlerini de gz nne alabilirsiniz, bylece alanlarnz toplum mhendisinin nasl altn daha iyi anlayabilirler.

DZMECE STELER TEHLKEL EKLER

"Karlksz hibir ey olmaz" diye eski bir sz vardr. Buna karn bedava bir eyler sunma tuzaklar hem yasal ("Ama durun-dahas var! Hemen arayn ve yannda bir bak seti bir de msr patlatma makinas verelim!") hem de o kadar da yasal olmayan ("Florida'da bir dnm bataklk arazisi aln, ikinci dnm bedavaya gelsin!") iler iin nemli bir ilgi ekme yolu olmay srdryor. Pek oumuz bedava bireyler elde etmeye o kadar hevesliyiz ki yaplan neri ya da verilen sz zerinde mantkl dnemeyecek durumda olabiliyoruz. u yaygn uyary hepimiz biliyoruz; "mterilerin dikkatine"; ama artk baka bir uyary daha dikkate almann zaman geldi: Bedava yazlmlara ve "hadi tkla" diyen e-posta eklerine dikkat. Bilinli bir saldrgan, bir irket ana girebilmek iin bedava bir hediyeye kar duyduumuz doal drtye hitap etmek dahil, neredeyse her yolu kullanacaktr. te birka rnek.

Bedava Bir (Boluk) stemez Miydiniz?


Tpk virslerin zamann balangcndan bu yana insanolunun ve tp uzmanlarnn bana bela olmalar gibi, ok isabetli biimde adlandrlm bilgisayar virsleri de teknoloji kullanclarnn bana benzer bir bela amlardr. En ok zarar veren virsler, -hi de tesadf olmayan bir biimde- en ok ilgiyi toplayan ve gz nnde bulunanlar olmutur. Bunlar bilgisayar varidatlarnn rnleridir. Kt huylu bilgisayar vandallarna dnen bilgisayar hastalar, ne kadar zeki olduklarn gsterebilmek iin urap didinirler. Bazen yaptklaryla bir kabul trenindeymi gibi daha yal ve deneyimli bilgisayar korsanlarn etkilemek amacndadrlar. Bu insanlar, zarar vermek zere tasarlanm bir virs ya da solucan yaratmaya gdlenmilerdir. Eer yaptklar i dosyalar yok edip, sabit srcleri gertiyorsa ve kendini gizlice binlerce insana gnderebiliyorsa, Vandallar baarlar karsnda gururla kabarrlar. Eer virs, gazetelerin yazaca kadar ve ana haberlerde ona kar uyarlar yaynlanacak kadar kargaa yarattysa daha da iyi olur. Vandallar ve virsleriyle ilgili pek ok ey yazld; kitaplar: yazlmlar; ayrca koruma salamak iin irketler kuruldu ama biz burada onlarn teknik saldrlarna kar savunmalardan szetmeyeceiz. Bizim u anki ilgi noktamz vandaln ykc hareketlerinden ok onun uzaktan akrabas olan toplum mhendisinin maksatl abalar zerinde olacak.

86

Aldatma Sanat

E-posfayla Geldi
Her gn reklam mesajlar ieren ya da ne istediiniz, ne de ihtiyacnz olan bireyleri bedava olarak sunan istenmeyen e-postalar alyorsunuzdur. Nasl eyler olduklarn biliyorsunuz. Yatrm danmanl, bilgisayarlar, televizyonlar, kameralar, vitaminler ya da seyahatler iin indirimler; ihtiyacnz olmayan kredi kartlar iin frsatlar; cretli televizyon kanallarn bedava seyretmenizi salayacak bir cihaz; salnz ya dJ15QKs gcnz artrmann yollar ve daha neler neler. Ama arada bir, elektronik posta kutunuzda sizin de ilginizi eken bir teklif gznze iliebilir. Belki bedava bir oyundur, en sevdiiniz yldzn 94 fotograflk albmdr, bedava bir takvim programdr ya da bilgisayarnz virslere kar koruyacak ok uygun fiyatl bir paylam yazlmdr. Sunulan herneyse, denemeniz iin sizi ikna etmeye alt dosyay indirmeniz iin sizi ynlendirir. Ya da belki konu satrnda "Dan, seni zledim" ya da "Anna, neden bana yazmadn" ya da "Selam Tom, ite sana sz verdiim seksi fotoraf gibi eyler yazan mesajlar alrsnz. Bylece fotorafa bakmak ya da mesaj okumak iin eki aarsnz. Tm bu hareketler -reklam e-postalarndan rendiiniz yazlmlar indirmek, sizi daha nce duymadnz bir siteye ynlendirecek bir balantya tklamak, tanmadnz birinden gelen bir eki amak- belaya davetiye karmaktr. u da var ki, ou zaman ne bekliyorsanz tam olarak onu grrsnz ya da daha kts mitleriniz boa kar ya da sevimsiz eylerle karlarsnz ama bunlar zararszdr. Ama bazen, karnza kan ey bir vandaln eseridir. Bilgisayarnza kt huylu bir kod gndermek saldrnn yalnzca kk bir parasdr. Saldrnn baarl olabilmesi iin saldrgann sizi eki indirmeye ikna etmesi gerekir. En ok zarar veren kt huylu solucanlarn birkan belirtmek gerekirse, Love Letter, SirCam ve Anna Koumikova gibi, hepsi de yaylabilmek iin toplum mhendislii aldatma tekniklerine dayanmlar ve bireyleri karlksz elde etme isteimizden yararlanmlard. Solucan, gizli bilgiler ve bedava porno gibi ilgi ekici bir ey sunan ya da ok zekice bir hileyle, sizin gya sipari etmi olduunuz ok pahal bir eyann faturasnn ekte olduunu syleyen bir mesaj ieren bir

IXI vj i * Bilgisayar dnyasnda Uzaktan Eriindi TruvaAt (Remote Access Trojan) olarak bilinen bir eit program, saldrgann bilgisayarnz zerinde tam bir kontol kurmasn salar, tpk sizin klavyenizin banda oturuyormu gibi!

Dzmece Siteler ve Tehlikeli Ekler e-postann eki olarak gelir. Bu son tuzak i kredi kartnzdan sipari etmediiniz bir rnn parasnn ekildii endiesiyle sizi eki amaya ynlendirir. Z. ' 7 "~ Trimlr

87 i | \ j I j

MALWARE (Kt huylu yazlmn argo karl) bir Ne kadar ok insann bu tuzaklara virs, solucan ya da Truva dtn bilmek artcdr; e-posta At gibi zarar verici ilemler eklerini amann tehlikeleri konusunda \ yapan bilgisayar program. tekrar tekrar uyarlmamza ramen tehlikeye kar duyarllmz zaman iinde azalr ve her birimizi savunmasz brakr. Zararl Yazlmlarn Belirlenmesi ' ;

Baka trl bir zararl yazlm (malvvare-malicious softvvare) ise sizin bilginiz ya da onaynz dnda alan ve siz farknda olmadan grevini yerine getiren bir program bilgisayarnza ykler. Zararl yazlmlar bata olduka masum grnebilir hatt bir VVord dokman ya da Povverpoint sunumu ya da makro ilevleri olan herhangi bir program olabilir ama bunlar baka bir program gizlice ykleyeceklerdir. rnein, zararl yazlm, Blm 6'da sz edilen Truva At'nn bir eidi olabilir. Bu yazlm makinanza bir kez kuruldu mu, yazdnz her karakteri -tm parolalarnz ve kredi kart numaralarnz dahil- saldrgana bildirir. ok edici bulabileceiniz baka iki tr zararl yazlm daha var. Bir tanesi saldrgana bilgisayar mikrofonunuzun civarnda konutuunuz her kelimeyi bildirir (mikrofonunuzun kapal olduunu dndnz zaman bile). Daha da kts, bilgisayarnza bal bir kameranz varsa, bir saldrgan, benzer bir teknik kullanarak terminalinizin nnde olup biten her eyi, kamerann kapal olduunu dndnz zaman bile, gece ya da gndz, seyredebilir. Kt bir aka anlay olan bir korsan, hnzrlklaryla rahatsz edici olmak zere tasarlanm kk bir program bilgisayarnza kurmaya alabilir. rnein CD srcnz anszn aabilir ya da zerinde altnz dosyay srekli simge durumuna kltebilir. Ya da gecenin ortasnda lk ykl bir ses dosyasnn en yksek sesle almasna neden olabilir. Uyumaya ya da i yapmaya alrken bunlarn hibiri elenceli gelmeyecektir... ama en azndan kalc zarar vermezler.

Mitnick Mesaj:
Hediye veren samalklara dikkat edin, yoksa irketinizin bana Truva kentinin bana gelenler gelebilir. Ne yapmanz gerektiini bilemiyorsanz, bir eylerin bulamasn engellemek iin koruma kullann.

88

Aldatma Sanat

Bir Arkadatan Mesaj


Aldnz nlemlere karn senaryolar daha da vahimleebilir. Dnn: ansnz hi zorlamamaya karar verdiniz. Artk bildiiniz ve gvendiiniz, SecurityFocus.com ya da Amazon.com gibi, gvenlikli siteler dnda hibir yerden dosya indirmemeye karar verdiniz. Bilinmeyen kaynaklardan gelen e-postalardaki balantlara artk tklamyorsunuz. Beklemediiniz hibir e-postadak\ eta amamaya karar verdmiz.. Ve e-ticaret ilemleri yapmak ya da kiisel bilgiler alp vermek iin girdiiniz sitelerde gvenli site simgesi olduundan emin olmak iin internet taraycnz kontrol ediyorsunuz. Ve bir gn bir dostunuzdan ya da i arkadanzdan, eki olan bir e-posta alyorsunuz. yi tandnz birinden geliyorsa zararl bir ey olamaz, deil mi? zellikle de bilgisayar verileriniz zarar grrse kimi bildiiniz, srece. Eki ayorsunuz ve... GM! Az nce bir solucan ya da Truva At tarafndan vuruldunuz. Tandnz biri neden size bunu yapsn? nk herey grnd gibi deildir. unu okumutunuz: Birinin bilgisayarna giren ve sonra da kendini o kiinin adres listesindeki herkese postalayan solucan. Tm bu insanlar da bildikleri ve gvendikleri birinden bir e-posta almlard ve bu gvenilir e-postalarn her birinde, durgun bir gle atlm bir tan yaratt halkalar gibi kendi kendini datan solucanlar da vard. Bu tekniin bu kadar etkili olmasnn nedeni bir tala iki ku vurma kuramna dayanr: Dier kukulanmayan kurbanlara yaylma becerisi ve gvenilir birinden geliyormu gibi grnmesi. Teknolojinin bugnk seviyesinde, yakn birinden gelen bir e-postann bile gvenli olup olmayacan dnyor olmanz yaamn zc bir gereidir.

iinde bulunduumuz bilgi anda, grmeyi beklemediiniz bir internet sitesine ynlendirilmeyi de ieren bir dolandrclk eidi daha var. Bu sk sk olur ve deiik ekillerde karmza kar. Aadaki rnek, intemet'te dolaan gerek bir dmene dayanan tipik bir rnektir.

nsan, dnyay ve kendi yaam tarzm deitiren pek ok harika ey kefetmitir. Ancak teknolojinin her iyi kullanm iin, ister bilgisayar, ister telefon ya da internet olsun, birileri her zaman bunu kendi karlar iin ktye kullanmann yolunu bulurlar.

Dzmece Siteler ve Tehlikeli Ekler

89

Mutlu Noeller . . .
Edgar adnda emekli bir sigorta satcs bir gn PayPal'dan bir e-posta alr. PayPal, hzl ve elverili koullarla evrim ii deme olanaklar sunan bir irkettir ve bu tarz bir hizmet, zellikle lkenin (hatt dnyann) herhangi bir yerinde oturan biri, tanmad birinden bir mal satm alrken kullanldr. PayPal, alcnn kredi kartndan tutar eker ve paray dorudan satcnn hesabna aktarr. Bir antika cam kavanoz koleksiyoncusu olarak Edgar evrim ii mzayede irketi olan eBay araclyla birok kez i yapmtr. PayPal' sk sk kullanr, bazen haftada birka kere de kulland olur. Bu yzden 2001 tatil dneminde ald, PayPal'dan geliyor gibi grnen ve PayPal hesabn gncellemesi karlnda bir dl sunan bir e-posta Edgar'n ilgisini eker. Mesaj yledir: Mutlu Yllar Deerli PayPal Mterisi; Yeni yl yaklarken ve hepimiz bir yl daha ilerlerken PayPal size hesabnza
5 dolar kredi eklemek istiyor! 5 dolarlk dlnz alabilmeniz iin tm yapmanz gereken, 1 Ocak 2002 tarihine kadar bilgilerinizi gvenli Pay Pal sitemizden gncellemektir. Bizdeki bilgilerinizi gncelleyerek siz deerli mteri hizmetlerimize mkemmel bir hizmet verme olana tanm ve bu srada kaytlarmz doru tutmamz salam olacaksnz! Bilgilerinizi imdi gncellemek ve PayPal hesabnza 5 dolar eklemek iin bu balanty tklaynz: http://www.paypal-secure.com/cgi-bin. PayPal.com sitesini kullandnz ve bize trmzn en by olmada yardmc olduunuz iin teekkr ederiz! En iten dileklerimizle ok "Mutlu Noeller ve Mutlu Yllar," PayPal Ekibi

Edgar e-postayla ilgili bireylerin ters olduunu gsteren hatal ayrntlar da farketmemiti (rnein, selamlama cmlesinden sonraki noktal virgl ve "deerli mteri hizmetlerimize mkemmel bir hizmet" diyen bozuk cmle gibi). Linki tklad, istenen bilgileri -ad, adres, telefon numaras ve kredi kart bilgileri- girdi ve be dolarlk kredisini bir sonraki kredi kart ekstresinde grmek iin oturup beklemeye balad. Onun yerine grd, hibir zaman almad eyalara ait bir deme listesiydi.

2\vim ii alveri yapmaya yanamayan, Amazon \r 'T3rKa olmu irketlerden ya da Old Navy, Target ya 6-.
o,...:.. . . - " ' " '" '

..; . "S,
3ir

90

Aldatma Sanat

ta'aft^p b ^ n c a kukuartiYiaMS naKiai1. c M w , i . ^ , : . . - . .::..-'.::.:.z

buann sian.-ard olan 128-bit ifreleme kullanyor OV^H; or . s ^,o .-Hpajjiniz bilgiler bilgisayarnzdan ifreli o.c.-s.. ....' .; d'7^w-- :- byk bir aba sarfedilerek deifre od.ooli.ife.- -Ya b n v ^ s - K - a makul bir sre ierisinde krlmazlar; bunu belKi bir tek Ulusal Gvenlik Ajans (NSA> baarabilir (ve bildiimiz kad&nyla NSA'n.n ne Amerikan vatandalarnn kredi kart numara arn. calr',1;-.,? -e de kimlerin pornografik video kasetler yp -3 fantezi i amarlar aldn bulmaya ynelik bir ilgisi vardr).
QI c.ifr ^valar, asln*.
m

j ~J "*' "'"\\

hernsV.J-i Jtf UYS findan krlabilir. Ama geree >* >v Pal, u,r ,<, so. . k crt, mmaras! almak iin tm bu emei safsd&r; V'csc d? ps:? OK e"Lica,:ef irfcs^ mterilerinin ftnansal bilgilerini ifrelenmemi verf o ^ ^ n n d a saklama hatasm, yaparken? Daha da kts, beli, bir sVv 3 ,-.taban. kullanan baz e-ticaret irketleri sorunu, fena halde n e n d i r l e r : Programn imalattan gelen sistem ynet.cs, jfresnh ;,= :--.o^iciprriir Yazlm kutusundan kardklannda, rfres bo^'^u.-"^ ^ "boluk" olarak kalmaya devam eder. Bu ^ : . ! . opo^nrm ierii veritaban sunucusuna balanmay Re denemeye ka.*,- vermi internet'teki herkese aiKc.r ^ ^ ^
z a m a n S3.!d ! r! a l t n d a d r e aoer oe\eKe.: Co y ^ . -' - - "

senin ruhu GUVMC.:''L."..

'3 korku''"i'5 veryapmayan ayn insanlar, kredi kartlarn tula ve i bir dkkndan al.veri ederken kullanmakta ya beionoan yapm u UUMOIMOM C""Sl i i demek .n anneler. -. i iki .; w* - i akam yemei veya ikilerini demek iin annelern"ble ^in.eyeceMeri arka sokak barlarnda ve lokantalarnda kul-nm-'V b'- adnca grmezler. Kredi kart slipler bu \acz\-- "-~-rs1jre;d! ai'ir...- --s d= arka sokaktaki p kutularndan arakar.n. ve " l r h , n o : bir hiaks.z kasiyer ya da garson, admz, ve kred, kan,_n,,iio'.^ :-: - -- ^ r a not edebilir ya da iinden geirilen herhangi bir - krrti"i^n-in& =x bilgileri sonradan rahata kullanlmak zere saki s i . - vs T.^T.stte kolayca bulunabilen bir kart tokatlama aleti kulr^,r^ ii alveri etmenin tehliKeieri vatu an-.a U/,; GIS:|::'. la * v betondan yaplm bir dkkndan alveri yapmak kadar . n v ^ H i ^ r w-o kredi kart irketleri, kartnz evrim ii kullanrken de size ayn korumay salarlar -eer hesabnzdan size ait olmayan harcamalar yaplmsa bunun yalnzca Su vzden benim grme gre sv.im ii SI^-M? v^n'ia^a.. eklpme!; baka bir kuruntu olmaktan teye gu.r.c:.:.

Dzmece Siteler ve Tehlikeli Ekler

91

Mitnick Mesaj:
Tam anlamyla mkemmel bir gsterge olmasa da, her ne zaman bir site sizden zel olduunu dndnz bir bilgi istiyorsa, balantnn belgeli ve ifreli olduundan mutlaka emin olun. Ve daha da nemlisi, geersiz, sresi dolmu ya da iptal edilmi dijital sertifikalar gibi, bir gvenlik sorunu gsteren herhangi bir iletiim kutusunda hemen Evet'i tklamayn.

Aldatmacann ncelenmesi
Edgar yaygn kullanlan bir internet dmenine yakalanmt. Bu, eitli sekilerde karmza kan bir dolandrclk tr. Dokuzuncu blmde anlatlan bir tanesi tpk asl gibi olup, saldrgan tarafndan yem olarak yaratlm bir balanma sayfasn ierir. Fark, sahte sayfann, kullancnn ulamak istedii bilgisayar sistemine eriim salamamasdr; bunun yerine kullanc, adn ve parolasn bilgisayar korsanna vermi olur. Edgar, haydutlarn "paypal-secure.com" adnda -yasal PayPal sitesine ait, gvenli bir sayfa olmas gerekirmi gibi grnen ama yle olmayan- bir internet adresi satn ald bir dmene yakalanmtr. Bilgileri o siteye girdiinde, saldrganlara tam istedikleri eyi vermitir.

eitleme zerine eitlemeler


Bilgisayar kullanclarn gizli bilgilerini girebilecekleri dzmece internet sitelerine gitmeleri iin kandrmann ka deiik yolu olabilir? Kimsenin geerli, kesin bir yant olduunu sanmyorum ancak "ok ama ok" diye bir cevap verebiliriz.

Kayp Balant

~ \

'

Bir hile srekli karmza kar: Bir siteyi ziyaret etmek iin ekici bir neden sunan bir e-posta gnderip dorudan oraya ynlendiren bir balant salamak. Farkl olarak, balant sizi gittiinizi dndnz siteye gtrmez nk balant aslnda gerek site iin olan balanty taklit eder. ite internette gerekten kullanlm baka bir rnek, yine ok suistimal edilen PayPal'n adn kullanmaktadr: www.PayPai.com .

Hemen bakldnda burada PayPal yazyormu gibi grnyor. Kurban farketse bile yazdaki kk bir hatann " I" harfini" i" gibi gsterdiini dnebilir. Ve kim, bakar bakmaz aadaki linkte kk harf L yerine 1 saysnn kullanldn farkedebilir? www.PayPal.com

92

Aldatma Sanat

Bu dalavereyi kredi kart haydutlar arasnda srekli popler klacak kadar ok yanl yazmlar ve hatal ynlendirmeleri doruymu gibi kabullenecek insan var. nsanlar dzmece siteye gittiklerinde, oras gitmeyi umduklar yer gibi grnr ve kredi kart bilgilerini huzur iinde girerler. Bu dalaverelerden birini kurmak iin saldrgann tek yapmas gereken, dzmece bir site ad almak, e-postalarn gndermek ve enayilerin dolandrlmak iin siteye girmelerini beklemektir. 2002'nin ortalarnda bir e-posta aldm; grne gre "ebay@ebay.com"dan, bir defada pek ok adrese gnderilmiti. Mesaj ekil 7.1'de sunulmutur. Balanty tklayan kurbanlar eBay sayfasna ok benzeyen bir web sayfasna gittiler. Aslnda sayfa, zgn eBay amblemi ve "Ara", "Sat" gibi, tklandnda ziyaretiyi gerek eBay sayfasna gtren dier gezinme balantlaryla iyi tasarlanmt. Sa alt kede bir gvenlik simgesi de bulunmaktayd. Bilgisiz kurban kandrmak amacyla tasarmc, kullancnn salad bilgilerin nereye gnderildiini gizlemek iin HTML ifrelemesi bile kullanmt. Kt niyetli, bilgisayar tabanl toplum mhendislii saldrsnn mkemmel bir rneiydi. Yine de kusursuz deildi. E-posta mesaj ok iyi yazlmamt; zellikle de "Bu duyuruyu eBay'den aldnz"la balayan paragraf acemice ve samayd (bu oyunlardan sorumlu kiiler yazdklarn kontrol etmesi iin hibir zaman deneyimli birini tutmazlar ve bu hemen farkedilir). Ayrca dikkatli biri eBay'in ziyaretine PayPal bilgilerini sormasndan kukulanrd; eBay'n mterisine baka bir irketle ilgili zel bilgilerini sormas iin hibir neden olamaz. Ve internet konusunda bilgili herhangi biri balantnn eBay sayfasna deil, cretsiz bir internet hizmet salaycs olan tripod.com sayfasna ynlendirildiini anlayacaktr. Bu, e-postann yasal olmadnn tam bir gstergesidir. Yine de eminim pek ok insan, kredi kart numaralar dahil, istenen bilgileri bu sayfaya girmilerdir.

|N| \J i Neden insanlarn yanltc veya uygunsuz alan adlar almalarna izin veriliyor? nk geerli kanun ve evrimii alma kurallar uyarnca, isteyen, kullanmda olmayan bir site adn alabilir. irketler taklit adreslerin kullanmyla mcadele etmeye alyorlar ama neye kar olduklarn bir de siz dnn. General Motors, f**kgeneralmotors.com adresini (yldzlar olmadan) alp URL'yi General Motors'un internet sitesine ynlendiren bir irkete dava at. G.M. kaybetti.

Dzmece Siteler ve Tehlikeli Ekler

93

msj: Sevgili eBay Kullancs, Baka ahslarn eBay hesabnz uygunsuz oiarak kullandklar olduka fark edilir bir hal almtr ve Kullanc Anlamas'nn u maddesi ihlal edilmitir: 4. Fiyat Verme ve Satn Alma

Sabit fiyatl dzenlemelerimizden biri araclyla bir mal aldnz veya aada akland zere en yksek fiyat verdiiniz takdirde satcyla aranzdaki ilemi tamamlamanz gerekmektedir. Eer bir ak artrma sonunda en yksek fiyat vermiseniz (geerli en dk fiyat ve ihtiyat ykmllklerini karlamak kaydyla) ve verdiiniz fiyat satc tarafndan kabul edilmise, satcyla leminizi tamamlamanz gerekmektedir. Aks halde, ilem kanunen veya bu Anlama gereince yasaklanr. Bu duyuruyu eBay'den aldnz nk u anki hesabnzn dier eBay yeleriyle uyumazlklar yaratmas dikkatimizi ekti ve eBay, hesabnzn en ksa srede onaylanmasn gerekli bulmaktadr. Ltfen hesabnz onaylaynz aksi halde hesap iptal edilebilecektir. Hesabnz Onaylamak iin Buray Tklaynz - http://error__ebay.tripod.com , .

Belirtilen ticari markalar ve iaretler sahiplerine aittir. eBay ve eBay amblemi eBay Inc.'e ait ticari markalardr. ekil 7.1 Bu ve benzeri e-postalardaki balantlar dikkatle kullanlmaldr.

nternetin bireysel kullanclar olarak hepimizin uyank olmamz; kiisel bilgilerin, ifrelerin, hesap numaralarnn, PIN'lerin ve bunun gibi eylerin ne zaman girileceine bilinli bir ekilde karar vermemiz gerekir. Baktklar belli bir internet sayfasnn, gvenli bir sayfann tamas gereken artlara uyup uymadn syleyebilecek ka kii tanyorsunuz? irketinizin ka alan neye bakmas gerektiini biliyor? nternet kullanan herkes genellikle sitelerin bir yerlerinde beliren ve bir asma kilide benzeyen ufak eklin ne olduunu bilmeli. Kilit kapal olduunda sitenin gvenli olarak sertifikalandn anlamaldr. Kilit ak olduu zaman ya da kilit gzkmediinde site zgn bir site olarak belgelenmemitir ve gnderilen herhangi bir bilgi aktadr; yani, ifrelenmemitir.

94

Aldatma Sanat

Her eye karn bir irket bilgisayarnn ynetimsel ayrcalklarn elde etmeyi baarm bir saldrgan, kulARKA KAPI: Kullancnn lancnn gerekte ne olduu dorulbilgisi dnda bilgisayara tusundaki grn deitirmek iin gizli bir yol salayan st iletim sistemi koduna yamalar yapabilir kapal bir giri noktas. Bir ya da zerinde oynayabilir. rnein, bir yazlm program internet sitesinin dijital sertifikasnn gelitirirken programclar geersiz olduunu belirleyen nternet tarafndan da kullanlr, taraycs yazlmndaki program kodbylece sorunlar zmek larn, kontrol aabilmek iin deitiiin programa girebilirler. rilebilir. Ya da sistem kk donanm ad verilen bireyle deitirebilir; iletim sistemi dzeyinde bir ya da daha fazla, bulunmas daha g arka kap ykleyebilir.

Terimler

Gvenli bir balant, siteyi zgn olarak tanmlar ve iletilen bilgiyi ifreler, bylece bir saldrgan elde ettii verileri kullanamaz. Bir internet sitesine, hatt gvenli balant kullanan birisine gvenebilir misiniz? Hayr, nk site sahibi gerekli tm gvenlik yamalarn uygulamakta ya da kullanclar ve yneticileri doru ifre uygulamalar konusunda zorlamakta yetersiz kalabilir. Bu yzden gvenli grnen bir sitenin saldrya ak olmadn varsayamazsnz. Gvenli HTTP (hypertext transfer protocol) veya SSL (secure sockets layer) dijital sertifikalar yalnzca uzaktaki siteye gnderilen bilgiyi ifrelemekte kullanlmaz, ayn zamanda belgeleme yapmak iin de (doru internet sitesiyle iletiim kurduunuzu dorulamak amacyla) otomatik bir mekanizma salar. Ancak bu koruma mekanizmas, adres ubuunda grnen site'adnn, gerekten de ulamak istedii site olup olmadna dikkat etmeyen kullanclar sz konusu olduunda ie yarayamaz. Genellikle gz ard edilen baka bir gvenlik konusu, karmza unun gibi bir uyar mesajyla kar "Bu site gvenli deil ya da gvenlik sertifikasnn sresi dolmu. Yine de devam etmek istiyor musunuz?" Pek ok internet kullancs mesaj anlamaz ve ortaya ktnda hemen "Tamam" ya da "Evef'e tklayarak, bir batan iinde olabileceinin farknda olmadan iine devam eder. Dikkat edin; gvenlik protokol kullanmayan bir internet sitesinde adresiniz, telefon numaranz, kredi kart veya banka hesap numaranz gibi kiisel bilgilerinizi ya da zel kalmasn istediiniz herhangi bir eyleri kesinlikle girmemelisiniz. Thomas Jefferson zgrlmz srekli tutmann "her zaman tetikte" olmaktan getiini sylemitir. Bilgiyi deitoku arac olarak kullanan bir toplumda zel yaam korumak ve gvenlii salamak da bir o kadar zen gerektirir. .

Dzmece Siteler ve Tehlikeli Ekler

95

Virslere Duyori Olmak


Virs yazlmlaryla ilgili zel bir not: Virs yazlmlar irket intraneti iin nemlidir ama ayn zamanda bilgisayar kullanan her alan iin de nemlidir. Makinalarna virs koruma yazlm yklemi olmak bir yana, kullanclarn yazlm ak tutmalar da gerekir (bu pek ok insann sevmedii bir eydir nk bilgisayarn baz ilevlerini kanlmaz olarak yavalatr). Virs koruma yazlmlaryla ilgili aklda tutulmas gereken bir baka nemli nokta daha vardr: Virs tanmlarn gncel tutmak. irketiniz, yazlm ya da gncellemelerini a zerinden datmak zere yaplandrmad srece, her birey en son virs tanmlar dosyasn kendi bana indirme sorumluluunu, tamaldr. Kendi kiisel nerim herkesin virs yazlm seeneklerini ve virs tanmlarn her gn gncellenecek ekilde ayarlamalardr. Basite sylemek gerekirse, virs tanmlarnz dzenli olarak gncellenmiyorsa savunmaszsnzdr. Byleyken bile, virs koruma yazlm gelitiren irketlerin henz bilmedii ya da bir tanmlama modeli karmadklar virs ve solucanlara kar tam olarak korunuyor saylmazsnz. Evdeki bilgisayarlar ya da dizst bilgisayarlar zerinden uzaktan eriim hakk tannm tm alanlarn bu makinalar zerinde en azndan gncellenmi virs yazlm ve bir kiisel gvenlik duvar bulundurmas gerekir, iini bilen bir saldrgan en zayf noktay bulmak iin byk resme bakp oradan saldracaktr. Uzaktan eriimleri olan kiilerin kiisel gvenlik duvarlar ve gncellenmi antivirs yazlmnn gerekleri konusunda dzenli olarak uyarlmalar bir irket sorumluluudur; nk BT mdrlnden uzak olan bireysel alanlarn, yneticilerin, sat sorumlularnn ve dierlerinin bilgisayarlarn korumasz brakmalarnn getirecei tehlikeleri hatrlamalarn bekleyemezsiniz. Bu admlarn dnda, daha az yaygn ama daha az nemli olmayan, Truva At saldrlarna kar koruma salayan yazlm paketlerinin, dier adyla anti-Trojan yazlmlarnn kullanlmasn iddetle neririm. Bu kitap yazld srada iyi bilinen programlardan iki tanesi unlardr: The Cleaner (www.moosoft.com) ve Trojan Defence Sweep (www.diamondcs.com.au). SSL (Gvenli Yuva Sonu olarak, a geitlerinde Katman): Hem istemcinin tehlikeli e-postalara kar tarama yaphem de sunucunun internet mayan tm irketler iin olabilecek en zerinden gvenli iletiimle nemli gvenlik mesaj u olabilir: belgelenmesini salayan Hepimiz unutma eilimli olduumuza Netscape tarafndan veya iimizi yaparken kenarda kalan gelitirilmi bir protokol.

Terimler

96

Aldatma Sanat

eyleri ihmal ettiimize gre, gvenilebilecek bir kii ya da kurulutan gelmedii srece e-posta eklerini amamalar konusunda alanlarn, farkl ekillerde, tekrar tekrar uyarlmalar gerekir. Ynetim, faal virs koruma yazlmlarn ve iinde ykc bir yk tayabilen, grnte gvenli e-postalara kar deeri llemez bir koruma salayan antiTrojan yazlmlarn kullanmalar gerektiini alanlarna hatrlatmaldr.

O ACINDIRMA, SULULUK DUYURMA | VE SNDRME TEKN KULLANMAK


On beinci blmde de sz edilecei gibi, bir toplum mhendisi steklerini yerine getirmesi iin hedefini ynlendirmek amacyla etkileme psikolojisini kullanr. Yetenekli toplum mhendisleri, korku, heyecan ya ;a sululuk gibi duygular uyandracak bir yntem bulma konusunda :ok ustadrlar. Bunu, elde olan bilgileri derinlemesine incelemeden nsanlar isteklerini yerine getirmeye ynlendiren istemsiz mekanizmalar olan psikolojik tetikleyicileri kullanarak yaparlar. Hem kendimiz hem de bakalar adna zor durumlardan kanma eilimindeyizdir. Bu olumlu drtden yola karak, saldrgan, kiinin acma duygusuyla oynayabilir; onun kendini sulu hissetmesini salayabilir ya da silah olarak sindirmeyi kullanabilir. ite size, duygularla oynama konusunda en sevilen manevralarla ilgili birka st dzey ders. "-..-

Baz insanlarn bir toplantnn, zel bir elencenin ya da bir kitap tantm kokteylinin yapld bir otelin balo salonunun kapsnda duran grevliye gittiklerini, sonra da bilet ya da davetiye sorulmadan adamn yanndan getiklerini hi grdnz m? ok benzer bir ekilde bir toplum mhendisi de lafazanlkla, girilmesi mmkn deilmi gibi grnen yerlere girebilir. Tpk aadaki, film endstrisiyle ilgili ykde anlatld gibi.

Telefon Grmesi
- Ron Hillyard'n brosu, ben Dorothy. - Merhaba Dorothy. Benim adm Kyle Bellamy. Canlandrma Tasarm'da Brian Glassman'n ekibinde ie baladm. Sizler burada ileri kesinlikle farkl yrtyorsunuz. - Sanrm. Daha nce baka bir film irketinde almadm iin pek bilemiyorum. Sana nasl yardmc olabilirim? - Doruyu sylemek gerekirse kendimi biraz aptal gibi hissediyorum. leden sonra fikir alverii iin bir yazar gelecek ve ben onu ieri almak iin kiminle konumam gerektiini bilmiyorum. Burada, Brian'n ofisinde alanlar ok iyiler ama onlar ok skboaz ediyormuum gibi geliyor, unu nasl yaparm, bunu nasl yaparm... Sanki yeni okula balamm da tuvaletin nerede olduunu bilmiyor-

98

Aldatma Sanat muum gibi. Durumumu anlatabiliyor muyum? Dorothy gld.

.'/'

- Sen gvenlikle konumak istiyorsun. nce 7'yi, sonra da 6138'i evir. Eer telefonu Lauren aarsa, ona, sana iyi bakmas gerektiini sylediimi ilet. - Teekkrler, Dorothy. Ve eer erkekler tuvaletini bulamazsam, seni yine arayabilirim! Bu fikre birlikte gldler ve telefonu kapattlar.

David Haroid'un Hikyesi

'

Film seyretmeye baylrm ve Los Angeles'a tandmda film endstrisinde alan bir yn insanla tanacam ve onlarn beni partilere gtreceini ya da film stdyolarnda le yemei yiyeceimizi falan dnmtm. Neyse, Los Angeles'ta bir yl kaldm, yirmi alt yam doldurmak zereydim ve film dnyasyla en byk yaknlamam Pheonix ve Cleveland'dan gelen cici insanlarla birlikte yaptm Universal Studios turu oldu. Sonunda, ileri, beklediim gibi kendi elime almam gerektiini anladm. Eer onlar beni davet etmezlerse, ben kendimi davet edecektim. Yaptm da bu oldu. Bir Los Angeles Times aldm ve birka gn boyunca sinema sayfasn okuyup farkl stdyolardan baz yapmclarn adlarn not ettim. nce byk stdyolardan birini vurmaya karar verdim. Santral aradm ve gazetede okuduum bu yapmcnn ofisine balanmak istediimi syledim. Telefonu aan sekreter ana birine benziyordu. ansl olduumu dndm, nk eer oradaki kefedilmek iin bekleyen gen bir kz olsayd byk olaslkla bana saatin ka olduunu bile sylemezdi. Ama Dorothy yle deildi, sokakta kalm bir kedi yavrusunu evine alacak birine benziyordu. Yeni iinde kendini biraz mahcup hisseden yeni ocua acyacak biriydi. Ben de kesinlikle doru noktasna dokunmutum. Birilerini kandrmaya alrken, onlarn size istediinizden daha fazlasn vermeleri durumu her gn banza gelmez. Bana acyp yalnzca gvenlikte alan insanlardan birinin adn vermekle kalmad, ayn zamanda o hanma, bana iyi bakmas gerektiini tembihlediini de sylememi istedi. Dorothy'nin adn kullanmay zaten planlamtm. Bu, ii daha da kolaylatrd. Lauren hemen ald ve verdiim adn alan veritabannda olup olmadna bakmaya bile yeltenmedi. leden sonra kapya gittiimde adm ziyareti listesine eklemekle kalmamlar benim iin bir park yeri bile ayrmlard. Film stdyosu kantininde ge bir le yemei yedim ve akama kadar etraf gezdim. Hatt birka ses stdyosuna bile girdim ve film ekimlerini seyrettim. Saat 7'ye kadar oradan ayrlmadm. Geirdiim en heyecan verici gnlerden biriydi.

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

99

Aldatmacann ncelenmesi
Herkes bir zamanlar yeniydi. Hepimizin, zellikle gen ve deneyimsiz olduumuz zamanlardan kalan ilk gnlerle ilgili anlarmz vardr. Bu yzden yeni bir alan yardm istediinde pek ok insann -zellikle de ie gireli ok olmam olanlarn- kendi yeni yetmelik duygularn hatrlamalarn ve yardmc olmak iin her ii bir kenara brakmalarn bekleyebilirsiniz. Toplum mhendisi bunu bilir ve kurbanlarnn acma duygularyla oynamak iin bunu kullanabileceinin farkndadr. Tanmadmz insanlarn irketimizin binalarna ve brolarna dalavere yapp girmelerini ok kolaylatryoruz. Girite gvenlik grevlileri olsa ve alan olmayan herhangi biri iin ieri alnma ilemleri yaplsa bile, bu ykde anlatlan oyunun eitli ekillerde kullanlmas saldrgann bir ziyareti kart almasn ve ieri girmesini salayacaktr. Ya irketiniz ziyaretilere elik edilmesi artn koymusa? Bu iyi bir kural; ancak sadece, alanlarnz, ziyareti kart olsun olmasn, tek bana gelen herkesi durdurup ona sorular sorma konusunda gerekten bilinliyse etkili olur. Eer alnan yantlar tatmin edici olmazsa, alanlarnz gvenlie haber vermek konusunda da istekli olmaldrlar. Dardan gelenlerin lafazanlkla tesislerinize girmesi irketinizin hassas bilgilerini tehlikeye sokar. Bugnn ortamnda, toplumumuzun zerinde gezinen terr tehdidiyle birlikte, bilgiden ok daha fazlas tehlike altnda olabilir.

imdi Yap'
Toplum mhendislii teknikleri kullanan herkes gerek bir toplum mhendisi olmak zorunda deildir. Belli bir irketin i ilerini bilen herhangi biri de bir tehdit oluturabilir. Dosyalarnda ve veritabanlarnda eleman bilgilerinin tmn tutan irketler iin tehlike daha da byktr. Tahmin edeceiniz gibi, ou irket de byle yapar. alanlar toplum mhendislii saldrlarn fark edecek ekilde eitilmedii ve yetitirilmedii srece, aadaki ykde geen terkedilmi kadn gibi kararl insanlar, pek ok drst insann olanaksz olduunu dnd eyleri yapabilirler. . . . . . . .

Doug'n Hikyesi

'

Linda'yla iler zaten iyi gitmiyordu ve Erinle tantm anda onun benim iin yaratldn anladm. Linda, biraz, nasl desem, tam olarak dengesiz saylmasa da kafas bozulduu zaman ipin ucunu karabilen biri. Mmkn olduu kadar nazik bir ekilde artk tanmas gerektiini ona syledim ve eyalarn toplanmasna yardm ettim. Hatt aslnda benim olan birka Queensryche CD'sini almasna bile izin verdim.

100

Aldatma Sanat

O gider gitmez anahtarcya gidip n kap iin yeni bir kilit aldm ve hemen o gece takdirdim. Ertesi sabah telefon irketini aradm ve numaram deitirtip kaytlarda grnmemesini istedim. Artk Erin'in peinden gitmek iin zgrdm.

Linda'nn Hikyesi
Zaten ayrlmaya hazrdm, sadece daha karar vermemitim. Ama kimse geri evrilmekten holanmaz. Bu durumda i, "ne kadar iren biri olduunu ona nasl gsterebilirirn"e geldi. Bulmam ok uzun srmedi. Baka bir kz olmalyd, yoksa beni bu kadar alelacele bandan atmazd. Bylece bir sre daha bekleyecek, sonra da gece ge saatlerde onu arayacaktm. Tam da en az aranmak istedikleri saatlerde. Ertesi hafta sonuna kadar bekledim ve Cumartesi gecesi saat 11 gibi aradm. Numarasn deitirmiti ve yeni numara kaytlarda yoktu. Bu da onun ne kadar adi biri olduunu gsteriyordu. Bu ok da byk bir engel deildi. Telefon irketindeki iimden ayrlmadan nce eve getirdiim evraklar kartrmaya baladm. Ve ite buradayd; Doug'n telefon hattnda oluan bir arzadan kalan tamir makbuzunu saklamtm ve makbuzun zerinde telefona ait kablo ve ift numaralar yazyordu. Telefon numaranz istediiniz kadar deitirin, ayn bakr tel ifti evinizden kp telefon irketinin merkez ofis ya da MO denen ana santralna balanr. Her evden ve daireden kan bakr teller kablo ve ift ad verilen saylarla tanmlanr. Eer telefon irketinin ileri nasl yrttn bilirseniz, ki ben biliyorum, hedefin kablo ve ift saylarn bilmek telefon numarasn bulmak iin gerekli olan tek eydir. Kentteki tm merkez ofislerin adresleri ve telefon numaralarnn birlikte bir listesi elimde vard, iren Doug'la yaadm yerin yaknlarndaki bir MO'nun numarasn buldum ve aradm ama doal olarak kimse amad. Tam da ihtiyacnz olduu anda bu santral grevlisi nerededir? Yeni bir plan yapmak yaklak yirmi saniyemi ald. Dier merkez ofisleri aramaya baladm ve sonunda birini buldum. Ama kilometrelerce tedeydi ve grevli byk olaslkla ayaklarn uzatm oturuyordu. Yapmasn istediim eyi yapmak istemeyecekti. Planm hazrd. "Ben Linda, onarm merkezinden," dedim. "Acil bir durum var. Hastane acil servisinin telefonu arzalanm. Bir teknisyen onarmaya alyor ama sorunun nerede olduunu bulamyor. Hemen VVebster Merkez Ofisi'ne gidip MO'dan ayrlan hatt evir sesi olup olmadna baklmas gerek." ' Sonra ona, "Oraya vardnda seni ararm" dedim. nk onarm merkezini arayp beni sormasn istemiyordum. Merkez ofisin rahat ortamndan kp arabasnn n camndan buzu ,

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

101

Mitnick Mesaj:
Hedef irkette islerin nasl yrdn rendikten sonra, toplum mhendisinin bu bilgiyi kullanarak gerek alanlarla ahbaplk kurmas kolaylar. irketlerin kendilerine di bileyen eski ve yeni alanlarndan gelebilecek toplum mhendislii saldrlarna kar hazrlkl olmalar gerekir. Kiilerin gemiini taramak, bu tarz davranlara eilimi olan ahslar belirlemeye yardmc olabilir. Ancak ou durumda bu insanlar tespit etmek olduka zordur. Byle durumlarda en uygun koruma, irkette alp almadklar ahsen bilinmeyen kiilere bilgi vermeden nce aralarnda kiinin i durumunun kontrol de olmak zere kimlik belirleme ilemlerini denetlemek ve sklatrmaktr. kazyp gecenin bir yars slak sokaklarda gezinmek istemeyeceinin farkndaydm. Ama acil bir durum vard ve bu yzden ne kadar megul olduuyla ilgili bir ey syleyemedi. Krk be dakika sonra onu VVebster Merkez Ofisi'nden aradmda, ona 29 numaral kabloyu ve 2481 numaral ifti kontrol etmesini syledim. Kutuya gitti, kontrol etti ve evet, evir sesi geliyordu. Ben bunu zaten biliyordum. Sonra ona, "Tamam, imdi bir HK yapman istiyorum," dedim. Bu hat kontrol ve ayn zamanda telefon numarasn tespit etmesi anlamna geliyordu. Bunu, arad numaray geri bildiren zel bir numaray arayarak yapyordu. Numarann kaytsz bir numara olduunu ya da daha yeni deitiini falan bilmiyordu, bu yzden istediimi yapt ve numarann okunduunu duydum. Harika. Her ey tkr tkr yrmt. Ona, sanki numary biliyormuum gibi "Sorun herhalde arada bir yerde" dedim. Adama teekkr ettim ve bunun zerinde almaya devam edeceimizi syleyip iyi geceler diledim. Doug'n kaytlarda gzkmeyen bir telefon numarasnn arkasna saklanarak benden kamaya almas buraya kadard. Elence balamak zereydi.

Aldatmacann ncelenmesi
Bu ykdeki gen hanm intikam almak iin istedii bilgiyi elde etmeyi baarmt, nk ilerin ileyiiyle ilgili bilgisi vard, telefon numaralarn, sreleri ve telefon irketinde kullanlan terimleri biliyordu. Bu bilgileri kullanarak yalnzca istedii numaray elde etmekle kalmam, bunu souk bir k gecesi bir santral grevlisini ehrin dier ucundan iini grmesi iin getirterek yapmt.

102

Aldatma Sanat

masn stiyor"
Olduka etkili ve popler bir sindirme ekli -poplerlii basit olmasndan kaynaklanr- yetki kullanarak insan davranlarn etkilemeye dayanr. Genel mdr asistannn ad bile ok i grebilir. zel dedektifler ve hatt insan avclar bunu her zaman yaparlar. Santral ararlar ve genel mdrle grmek istediklerini sylerler. Sekreter ya da asistan telefonu atnda genel mdr iin bir evrak veya paket geldiini sylerler ya da bir elektronik posta eki gnderdiklerini ve onu basp basamayacan sorarlar. Ya da faks numarasn renmek isterler. Bu arada adnz neydi diye de sorarlar. Sonra bir sonraki adam ararlar ve: "Bay Bigg'in ofisinden Jeannie sizi aramam ve bana bir konuda yardmc olabileceinizi syledi." Bu ynteme ad drme denir ve genellikle saldrgann st dzey biriyle balants olduuna hedefi inandrarak hzl bir ahbaplk kurulmas iin kullanlan bir taktiktir. Kurban, ortak tandklar olan birine daha ok yardm etme eilimindedir. Eer saldrgan olduka hassas bilgilere gz koyduysa, kurbanda, mdrleriyle bann derde girmesi korkusu gibi ie yarar duygular uyandrmak iin byle bir yaklama bavurabilir. te bir rnek. Scoff'un y k s "Buyrun ben Scott Abrams." "Scott, ben Christopher Dalbridge. Az nce Bay Biggley'le konutum ve sesi biraz kzgn geliyordu. Tm pazar pay aratrma raporlarnn birer kopyasn incelenmemiz iin bize gndermeniz dorultusunda on gn nce size bir talimat vermi. Elimize hibir ey gemedi." "Pazar pay aratrmalar m? Bana kimse bununla ilgili bir ey sylemedi. Siz hangi birimdesiniz?" "Biz danmanlk flrmasyz ve imdiden takvimin olduka gerisindeyiz." "Dinle, u anda bir toplantya girmek zereyim. Bana telefon numaranz verin ve..." O anda saldrgan iyice can sklm gibi konuur. "Bay Biggley'e byle mi sylememi istiyorsunuz? Bakn, analizlerimizi yarn sabah grmek istiyor ve bu gece onlar stnde almamz gerek. imdi, raporlar sizden alamadmz iin yapamadmz ona ben mi syleyeyim yoksa bunu kendiniz mi sylemek istersiniz?" fkeli bir genel mdr btn haftanz mahvedebilir. Hedef byk olaslkla toplantya gitmeden nce bu iin halledilmesi gerektiine karar verecektir. Toplum mhendisi bir kez daha istedii yant almak iin doru dmeye basmtr. , . . -

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

103

Aldatmacann ncelenmesi
st dzey yneticilerin adn kullanarak sindirme numaras zellikle kar taraf, irkette olduka alt seviyelerdeyse ok ie yarar. nemli birinin adnn gemesi yalnzca olaan isteksizliin ya da pheciliin stesinden gelmekle kalmaz, kiiyi yardmc olmak iin daha istekli yapar: Yardm ettiiniz kiinin nemli ya da etkili biri olduunu dnyorsanz, var olan yardmc olma gdnz doal olarak katlanacaktr. Ancak toplum mhendisi bu oyunu oynarken, kiinin kendi patronunun adn kullanmak yerine daha st dzey birinin adn kullanmann en iyisi olduunu bilir. Ayrca bu yntemin kk bir kuruluta uygulanmas ok gtr. Saldrgan, kurbannn kazara pazarlama genel mdr yardmcsyla karlap ona, "Beni aramasn sylediiniz adama rn pazarlama planlarn gnderdim" deyivermesini istemez. Byle bir cmle rahatlkla, "Ne pazarlama plan? Hangi adam?" gibi bir tepki dourabilir. Bu da irketin bir oyuna kurban gittiinin anlalmasna neden olabilir.

Sosyal Gvenlik daresi Sizinle lgili Ne Biliyor


Ellerinde bizlerle ilgili dosyalar olan devlet dairelerinin, grmeye yetkili olmayan insanlardan uzak tutmak iin bilgilerimizi kilit altnda tuttuklarn dnmek isteriz. Gerek u ki, federal hkmet bile saldrlara kar, hayal ettiimiz kadar gvende deildir.

May Linn'in Telefonu


Yer: Sosyal Gvenlik daresi'nin blge ofislerinden biri. Zaman: Perembe, sabah 10:18.

Mitnick Mesaj:
Sindirme yntemi, bir cezalandrlma korkusu yaratarak insanlar i birlii yapmaya zorlar. Sindirme ayn zamanda kk dme korkusunu ya da bir sonraki ikramiye iin yetersiz grlme gibi korkulan da uyandrr. nsanlar, sz konusu gvenlik olduunda yetkiyi sorgulamann kabul edilebilir, hatt beklenen bir hareket olduu dorultusunda yetitirilmelidirler. Bilgi gvenlii eitimleri, ilikileri zedelemeden, mteri memnuniyeti yntemlerini kullanarak yetkinin nasl sorgulanman gerektiini de vermelidir. Dahas bu beklenti yukardan aaya doru da desteklenmelidir. Eer konumlarna bakmadan insanlar sorgulayan bir alann arkasnda durulmuyorsa, oluacak tepki, sorgulanmann durmas, yani olmasn istediiniz eyin tam tersi olacaktr.

104

Aldatma Sanat - Mod . Ben May Linn Wang." Telefonun dier tarafndaki ses ekingen, neredeyse utanga geliyordu. - Bayan Wang, ben Arthur Arondale, Genel Mfettilik makamndan. Size 'May' diyebilir miyim?" - May Linn ltfen, dedi kadn. - Durum u May Linn. Burada, henz bilgisayar olmayan yeni bir arkadamz var ve u anda nemli bir projede alt iin benim bilgisayarm kullanyor. u ie bakar msn, bir Birleik Devletler devlet dairesiyiz ve bu adamn kullanmas iin bir bilgisayar alacak kadar btede para olmadn sylyorlar. imdi de mdrm iimde geri kaldm dnyor ve bahane duymak istemediini sylyor. Anlatabiliyor muyum? - Demek istediini ok iyi anlyorum. - MCS zerinde bir kk arama yapmada bana yardmc olabilir misin, diye sordu adam, vergi mkelleflerinin bilgilerinin tutulduu bilgisayar sisteminin adn kullanarak. - Elbette. Ne gerekiyor? - lk nce Joseph Johnson, doum tarihi 4/7/69 adyla bir harf taramas yapmam istiyorum." (Harf taramas bilgisayara vergi mkelleflerinin adlarna gre hesap aratmaktr. Arama doum tarihiyle geniletilir.) May Linn ksa bir duraksamadan sonra sordu: - Ne renmek istiyorsun?" - Hesap numaras nedir, dedi adam, Sosyal Gvenlik Numaras iin kurum iinde kullanlan terimi kullanarak. Kadn numaray okudu. - Tamam. Bu hesapla ilgili bir de say taramas yapman isteyeceim, dedi arayan. Bu, temel vergi mkellefi bilgilerini okumasn istedii anlamna geliyordu ve May Linn vergi mkellefinin doum yerini, annesinin kzlk soyadn ve baba adn verdi. Kadn kartn verili ay ve yln ve hangi blge brosu tarafndan verildiini sylerken arayan sabrla dinledi. Sonra bir AKAS yapmasn istedi, ("ayrntl kazan sorgusu"nun ksaltlm.) . AKAS taramas u soruyu getirdi: - Hangi yl? Arayan cevap verdi, - 2001 yl. - Miktar 190.286 dolar; yatran Johnson MicroTech, dedi May Linn. - Baka cret var m? - Hcsvw? , :

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak - Tefekkrler, ok yardmc oldun, dedi adam.

105

Sonra bilgiye ihtiyac olduunda ve bilgisayarn kullanamadnda yeniden arayabilmek iin ondan izin ald. Yine toplum mhendislerinin en sevdii numaralardan birini, her seferinde yeni bir hedef bulmakla uramayp srekli ayn kiiyle grebilmek iin bir balant kurmaya alma yntemini kullanmt. - nmzdeki hafta arayamazsn", dedi kadn; nk Kentucky'ye kzkardeinin dnne gidiyordu. Baka ne zaman isterse elinden geleni yapacakt. Telefonu kapadnda May Linn, kendi gibi deeri bilinmeyen baka bir devlet memuruna biraz olsun yardm edebildii iin kendini iyi hissediyordu. .

Keith Carter'in yks

Filmlere ve ok satan polisiye romanlara baklacak olursa, zel dedektifler, etik konusunda eksikleri, insanlardan istediklerini almak konusunda da fazlalar olan kiiler, ilerini tamamen yasad yntemler kullanarak,yrtyorlar ve yakalanmaktan kl pay syrlyorlar. Aslnda zel dedektiflerin byk bir ksm tamamen yasal iler yrtrler. Pek ou i yaamlarna yeminli polis memurlar olarak baladklar iin neyin yasal olup neyin olmadn gayet iyi bilirler ve pek ou izgiyi amaya hevesli deillerdir. Ancak istisnalar da vardr. Baz zel dedektifler -hem de saylar azmsanmayacak kadar ok- polisiye yklerde izilen karakterlere tpatp uyarlar. Meslekte bu adamlara bilgi simsarlar denir. Kurallar inemeye istekli insanlar iin kullanlan nazik bir deyimdir. Baz ksayollara bavurduklarnda ilerini daha hzl ve daha kolay yapabileceklerini bilirler. Bu ksayollarn, onlar birka yl parmaklklarn arkasna tkacak sular olmas, en ahlaksz olanlarn caydrmamaktadr. Yksek gelirli zel dedektifler -kentin kiralarn yksek olduu bir semtinde haval bir apartman dairesinde alanlar- bu tarz ileri kendileri yapmazlar. Bu ileri yapmas iin bilgi simsarlarn tutmakla yetinirler. Kendisine Keith Carter diyeceimiz kii etikle kendini yormayan trden bir zel dedektifti. Elindeki i tam bir "Kocam paray nerede saklyor?" iiydi. Ya da arada bir olduu ekliyle, "Karm paray nerede saklyor?". Bazen zengin bir kadn gelir ve kendisine ait paralan kocasnn nereye sakladn renmek ister (paral bir kadnn neden parasz bir adamla evlendii bilmecesi Keith Carter'in zaman zaman akln kurcalasa da, buna hibir zaman iyi bir yant bulamamtr). Bu olayda ad Joe Johnson olan koca, parann stne oturan taraft. Karsnn ailesinden bor ald on bin dolarla yksek teknoloji irketi

106

Aldatma Sanat

kuran ve bunu yz milyon dolarlk bir irkete dntren akll bir adamd. Kadnn boanma avukatna gre adam mallarn saklamak konusunda muazzam bir i yapm ve avukat mal varl beyan talep etmiti. Keith balang noktasnn Sosyal Gvenlik daresi olmasna karar vermiti. Byle bir durumda Johnson'la ilgili, ie yarayacak bilgilerle dolu olabilecek dosyalar hedefliyordu. Bu bilgiyle donanm olarak Keith kendini hedef olarak tantabilir ve bankalarn, komisyoncu firmalarn ve off-shore bankacl yapan kurumlarn ona her eyi anlatmasn salayabilirdi. ilk olarak, yerel bir ile brosunu, herhangi birinin ehir telefon rehberinde bulabilecei 800'l numaray kullanarak arad. Telefona kan memura istihkak ubesinden biriyle grmek istediini syledi. Biraz bekledi sonra telefon ald. O anda Keith vites deitirdi ve "Merhaba" diyerek sze giriti. "Ben Gregory Adams, 329 numaral Blge Brosu'ndan. Sonu 6363'le biten bir hesapla ilgilenen bir tasfiye memuruna ulamaya alyorum. Bendeki numaray evirdiimde faks kyor." "O Mod iki", dedi adam. Telefon numarasna bakt ve Keith'e verdi. Keith sonra Mod iki'yi arad. Telefonu May Linn atnda yine tarz deitirdi ve Genel Mfettilik makamndan arad ve baka birinin kendi bilgisayarn kullandyla ilgili sradan oyununu oynad. Kadn ona istedii bilgiyi verdi ve gelecekte yardma ihtiyac olursa elinden geleni yapacan syledi.

Aldatmacann ncelenmesi
Bu yaklam etkili klan ey, baka birinin bilgisayarn kullanmas ve "mdrm benden memnun deil" hikyesini kullanarak alann duygularyla oynamas oldu. yerinde insanlar duygularn pek sk aa vurmazlar, vurduklarndaysa birilerinin toplum mhendisliine kar koyduu savunmalarn stnden averirler. "ok zor durumdaym, bana yardm eder misin?" gibi duygusal bir hile, kazanl kmak iin yaplan tek eydi. Saldrgan, bu bilgiyi halktan gelen telefonlara bakan bir memurdan alamazd. Keith'in kulland tarzda bir saldr yalnzca kar tarafta telefonu halka ak olmayan ve dolaysyla arayann ierden biri olduu beklentisi iinde olan biri varsa geerlidir. Bu da "beni u gnderdi" tarz gvenlie baka bir rnektir. Bu saldrnn ie yaramasna yardmc olan unsurlar arasnda unlar vard: Mod'un telefon numarasnn bilinmesi. Kullanlan terimlerin bilinmesi; say tarama, harf tarama ve AKAS. Genel Mfettilik makamndan olduunu sylemek. Her federal hkmet alan orann geni yetkilere sahip hkmet apnda bir kurum olduunu bilir ve bu, saldrgana itibarl bir hava verir.

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

107

Sosyal Gvensizlik
lgin bir ekilde, Sosyal Gvenlik idaresi, kendi alanlar iin yararl bilgilerle dolu ancak ayn zamanda toplum mhendisleri iin de olduka deerli olan idari ilemler Talimatnamesi'nin bir kopyasn internete koydu. Bu ykde getii ekliyle ksaltmalar, terimler ve istenilen eyin nasl dile getirilecei orada aka anlatlyor. Sosyal Gvenlik daresi'yle ilgili daha ok ey mi renmek istiyorsunuz? Googie'da aratmanz ya da aadaki adresi taraycnza girmeniz yeterli: http://policy.ssa.gov/poms.nsf/. Eer idare bu yky okumu ve siz bunu okuyana kadar talimatnameyi kaldrmamsa, bir SG memurunun emniyet tekilatna verebilecei bilgilerin neler olduuyla ilgili ayrntl bilgilerde dahil olmak zere birok evrimii aklama bulacaksnz. Kullanm asndan baklacak otursa, tekilat kavram, bir SG memurunu emniyet tekilatndan olduuna ikna edebilecek toplum mhendislerini de kapsyor.

Baka bir ilgin ayrnt ise -mantksal olarak bakldnda tamamen farkl bir blmden bambaka biriyle grlseydi ok daha uygun olacak bir durumda bile- toplum mhendislerinin kimseyi, "Neden beni aryor?" diye dndrmeyecek ekilde isteklerini sunuyor olmalar. Belki de arayana yardm etmek gnlk dngnn sradanlnda bir deiiklik yaratt iin kurban istein ne kadar olaand olduuna dikkat etmiyordur. Sonu olarak bu olaydaki saldrgan, elde olan ie yetecek kadar bilgi toplamakla yetinmeyerek srekli bavurabilecei bir balant kurmak da istedi. Acndrma saldrs iin, "klavyeme kahve dktm" gibi sradan bir hile de kullanabilirdi. Ancak klavye bir gnde deitirilebilecei iin, burada ie yaramazd. Bu nedenle baka birinin kendi bilgisayarn kullandyla ilgili yky yazd. Bunu haftalarca srdrebilirdi: "Evet, bilgisayarn dn geleceini sanmtm. Bir tane geldi ama baka biri bir numara ekip aleti kendine alm. Bu yzden bu soytar yine benim odamda bitiverdi." Ve bu i byle devam edebilir. "Zavall ben, yardma ihtiyacm var." ok iyi i grr.

Basit Br Telefon
Bir saldrgann balca enstrmanlarndan biri, isteini makul bir ekilde sunmaktr. Kurbann gnlk ilerinin arasnda gelen isteklere benzeyen, kurban fazlaca zorlamayacak trden bir ey olmaldr. Yaamda, pek ok baka eyde olduu gibi, bir gn bir istei mantkl bir ekilde sunmak zorken, baka bir gn bu i ocuk oyunca olur.

108

Aldatma Sanat

M a r y H'nin Telefonu

'

."'''".

.-"--.

Tarih/Saat: 23 Kasm, Pazartesi, sabah 7:49. Yer: Mauersby & Storch Mavirlik, New York. Pek ok insan iin muhasebe ii saylarla boumaktan ve fasulye saymaktan ibarettir ve genellikle kanal tedavisi kadar elenceli (!) olduu dnlr. Neyse ki herkes ii byle grmez. rnein Mary Harris; kdemli muhasebecilik grevini ilgi ekici bulan biridir ve alt firmada konuya en hakim muhasebecilerinden biri olmasnn nedenlerinden biri de budur. O pazartesi sabah Mary uzun bir gn olmasn bekledii iin ie bir an nce balamak amacyla ofise erken geldi. O saatte telefonunun aldn duyunca ard. Ahizeyi kaldrd: "Merhaba, ben Peter Sheppard. Arbuckle Destek Hizmetleri'nde alyorum, irketinize teknik destek veriyoruz. Hafta sonunda bilgisayarlarnda sorun olan insanlardan birka ikyet aldk. Bu sabah herkes ie gelmeden nce kontrol etmek istedim. Bilgisayarnz kullanrken ya da aa balanrken sorun yayor musunuz?" Mary hnz byle bir sorunla karlamadn syledi. Bilgisayarn at ve nykleme yaplrken Peter ne yapmak istediini ona anlatmaya balad. "Birka test yapmak istiyorum", dedi. "Bastnz tular kendi ekranmda grebiliyorum ve a zerinden doru aktarldndan emin olmak istiyorum. Her tua basnzda bana onun ne olduunu sylemenizi istiyorum, bylece burada da ayn harf ya da saynn grnp grnmediine bakabilirim. Tamam m?" Bilgisayarnn almamasyla ve hibir iin bitmedii skc bir gnle ilgili kbuslar olan biri olarak Mary bu adamn kendisine yardmc olmasndan fazlasyla memnun kalmt. Biraz sonra ona, "Giri ekranndaym ve kullanc adm gireceim. imdi giriyorumM...A...R...Y...D." "imdiye kadar gayet iyi" dedi Peter. "Onu burada grebiliyorum. imdi parolan gir ama ne olduunu bana syleme. Hi kimseye parolan sylernemelisin, teknik servise bile. Parolan korumal olduu iin burada yldzlar kacak, yani parolan gremem." Bunlarn hibiri doru deildi ama Mary'nin aklna yatt. Sonra Peter, "Bilgisayarn aldnda haberim olsun" dedi. Mary aldn sylediinde Peter ona uygulamalardan iki tanesini amasn syledi. Kadn her ikisinin de gayet iyi altklarn haber verdi. Mary her eyin doru bir ekilde almasndan memnun olmutu. "Bilgisayarnn salam olup olmadn kontrol edebildiim iyi oldu.

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

109

Birey daha var" dedi Peter ve devam etti, "alanlarn parolalarn deitirebilmesi iin bir gncelleme yaptk. Bana birka dakikan ayrp doru alp almadn grmeme yardmc olabilir misin?" Mary, yardm etmesinden dolay adama mteekkirdi ve hemen o b u l etti. Peter ona, kullanclarn parolalarn deitirebilmesini salayan uygulamay altrmak iin yapmas gerekenleri adm adm anlatt. Parola deitirme aslnda VVindovvs 2000 iletim sisteminin sradan unsurlarndan biridir. "Hadi imdi parolan gir", dedi kadna. "Sesli bir ekilde sylememen gerektiini unutma." Kadn bunu da yaptnda, Peter, "Hzl bir deneme yapmak iin, sana yeni parolan sorduunda, 'testi23' gir. Sonra dorulama kutucuuna bir kez daha gir ve ENTER'e bas", dedi. Sunucu balantsn zme ileminde Mary'e yardmc oldu. Sonra birka dakika bekletip, yeni parolasn deneyerek yeniden balanmasn istedi. Her ey saat gibi iliyordu, Peter ok memnun kalmt ve -kadn bir kez daha parolasn aka sylememesi iin uyararak- Mary'nin eski parolasna dnmesi ya da yeni bir tane semesi konusunda yardmc oldu. "ok iyi, Mary", dedi Peter. "Hibir sorun kmad, bu ok iyi. Dinle, eer herhangi bir sorun karsa Arbuckle'dan bizi ara. Ben ounlukla zel projelerde alyorum ama burada telefonu aan herkes sana yardmc olabilir." Mary ona teekkr etti ve vedalatlar.

Peter'in yks

Peter'le ilgili sylentiler alp ban gitmiti. Mahallesinde onunla birlikte okuia giden birileri, bakalarnn bulamad eyleri bulabilen zeki bir bilgisayar manya olduunu duymulard. Alice Conrad ondan bir konuda yardm istediinde nce hayr dedi. Neden yardm edecekti ki? Bir keresinde o kzla bir yerlerde karlatnda ona kma teklif etmi, kz da onu geri evirmiti. Ancak yardm etmeyi reddetmesi kz artm gibi grnmyordu. Zaten Peter'in yapabilecei birey olduunu dnmediini syledi. Bu bir meydan okumayd, nk yapabileceinden emindi. Bylece Peter ii yapmay kabul etti. Alice'e bir pazarlama irketine danmanlk yapmas iin szleme teklif edilmiti ama szleme koullar ok iyi deildi. Daha iyi koullar talep etmeden nce dier danmanlarn szlemelerinin ne tr koullan ierdiini renmek istiyordu. Peter'in anlatt ekliyle hikye yle: Alice iin bunu syleyemem ama yapabileceimi dnmedikleri bireyi yapmam isteyen insanlardan yaka silkmitim. stelik de ben iin kolay olduunu bilirken. Peki, o kadar da kolay deildi, en azndan bu ; sefer. Biraz aba gerektirecekti ama sorun olmayacakt. .:.

110

Aldatma Sanat

Ona akllnn ne demek olduunu gsterecektim. Pazartesi sabah 7:30'u biraz gee pazarlama irketinin brosunu aradm ve danmayla grp onlara muhasabeden biriyle konumam gerektiini syledim. Muhasebeden kimsenin gelip gelmediini biliyor muydu acaba? Danma grevlisi bana, "Sanrm birka dakika nce Mary'nin geldiini grdm, sizi ona balamaya alaym" dedi. Mary telefonu atnda ona bilgisayar sorunlaryla ilgili kk hikyemi anlattm. Hikye tyleri diken diken etmek zere tasarlanmt. Bylece bana byk bir memnuniyetle yardmc olacakt. Parolasn deitirmesine yardmc olur olmaz kullanmasn istediim geici parola olan "testi23"le hemen sisteme girdim. Ustalk burada iin iine giriyordu; irketin bilgisayar sistemine istediim zaman kendime ait gizli bir parolayla girmemi salayacak kk bir program ykledim. Mary'le konumam bittikten sonra, ilk iim sisteme girdiimi kimsenin anlamamas iin denetim tarihesini silmek oldu. Bu kolay bir eydi. Sistem yetkilerimi artrdktan sonra gvenlikle ilgili www.ntsecurity.nu adl bir internet sayfasnda bulduum clearlogs adnda bedava bir program indirdim. Asl ie sra gelmiti. Dosya adnda "szleme" kelimesi geen belgeleri arattrdm ve dosyalan indirdim. Sonra biraz daha arama yaptm ve ana damar, danman cret bilgilerinin olduu klasr buldum. Bylece tm szleme dosyalarn biraraya getirdim ve bir demeler listesi yaptm. Alice szlemelere bakabilir ve dier danmanlara ne kadar verdiklerini grebilirdi. Tm bu dosyalar arama hamalln kendisi yapsn. Ben onun benden istedii eyi yapmtm. Verileri kaydettiim disketlerden, kantlar Alice'e gsterebilmek iin birka dosyann ktsn aldm. Onu benimle bulumaya ve akam yemee kmaya zorladm. Ktlar kartrrken yznn ald ekli grmeliydiniz. "Olamaz" dedi. "Olamaz." Disketleri yanmda getirmemitim. Onlar yemdi. Disketleri almak iin bana gelmesi gerektiini syledim; ona yaptm iyilikten dolay bana duyduu minneti gstereceini umuyordum.

Aldatmacann ncelenmesi
Peter'in pazarlama irketini aramas en temel toplum mhendislii ekline bir rnektir. ok az hazrlk gerektiren, ilk denemede ileyen ve birka dakikada baarl olan basit bir giriimdir. Daha da iyisi, kurban Mary'nin bir oyuna ya da bir hileye kurban gittiini dnmesi, durumu bir yerlere bildirmesi ya da yaygara koparmas iin hibir neden yoktu.

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

111

AAitnick Mesaj:
steini dile getirme ekline bal olarak bir toplum mhendisinin insanlara bir i eyler yaptrmasnn ne kadar kolay olduunu grmek artc. Temel art, psikolojik kurallara dayal istemsiz bir tepkiyi tetiklemek ve arayan bir mtte- fik olarak grdkleri zaman insanlarn zihinlerinde oluan ksayollara gveni mektir. Plan, Peter'in toplum mhendislii taktiini kullanmas stne kuruluydu. nce korku uyandrp -bilgisayarnn almayabileceim dndrerek- Mary'nin ibirlii yapmasn salad. Sonra kadnn kulland uygulamalardan ikisini altrmasn bekledi, bylece kadn onlarn altndan emin olacakt ve ikisinin arasndaki ilikiyi glendirecek, bir mttefiklik duygusu uyandracakt. En sonunda, bilgisayarnn salam olduundan emin olmak iin gsterdii yardmdan duyduu minnettarlkla oynayarak iinin en nemli ksmn gerekletirmek iin biraz daha yardm etmesini salad. Ona parolasn kendisine bile aklamamasn syleyerek Peter kusursuz bir ustalkla irket dosyalarnn gvenliiyle ilgili endiesi konusunda Mary'i ikna etti. Bu davran da, irketi ve kendisini koruduu iin Peter'in bir sahtekr olmad yolundaki gvenini artrd.

Polis Baskn
yle bir sahne hayal edin: Polis, internet zerinden bedava film datan Arturo Sanchez adnda birini kapana kstrmak ister. Hollyvvood stdyolar adamn telif haklarn ihlal ettiini sylemektedir, adam ise kanlmaz olarak girecekleri bir pazar grmeleri ve yeni filmleri indirilebilir ekle sokmak iin bir eyler yapmaya balamalar iin onlar drtmeye almaktadr. Arturo bunun stdyolar iin, tamamen gz ard edilen, byk bir gelir kayna olacana (hakl olarak) parmak basmaya uramaktadr.

Amma zni Ltfen


Bir gece ge saatte eve dndnde yolun karsndan evinin pencerelerine bakar ve tm klarn snk olduunu fark eder. Halbuki dar karken birini hep ak brakmaktadr. Kapsn alarak komusunu uyandrr ve binaya bir polis baskn yapldn renir. Ancak herkesi aada bekletmilerdir ve komusu polislerin hangi evi aradklarndan emin deildir. Tek bildii, ellerinde baz ar eylerle dar ktklardr, ancak her ey sarl olduu iin ne olduklarn anlayamamtr ve kimseyi kelepeleyip gtrmemilerdir.

112

Aldatma Sanat

Arturo oturduu daireyi kontrol eder. Kt haber: polislerin brakt ve gn ierisinde arayp bir randevu almas gerektiini syleyen bir kt bulur. En kt haber ise: bilgisayarlarn gtrmlerdir. Arturo ortalktan kaybolur ve bir arkadann yannda kalmaya balar Ama belirsizlik iini kemirmektedir. Polis ne bilmektedir? Sonunda onu yakalamlar ama kamas iin de bir frsat m tanmlardr? Yoksa bu, kenti terk etmesine gerek kalmadan zebilecei, tamamen farkl bir konu mudur? Devam etmeden nce bir an durup dnn: Polisin sizinle ilgili neler bildiini renmenin bir yolunu hayal edebiliyor musunuz? Politikac tandklarnz, Emniyet Mdrl'nde arkadalarnz ya da savclkta dostlarnz olmadn varsayarsak, sradan bir vatanda olarak sizin bu bilgiyi elde edebilmeniz iin bir yol olabilir mi? Ya da toplum mhendislii becerileri olan biri byle bir eyi baarabilir mi?

Polisi oyuna Getirmek

Arturo bilgilenme isteini yle tatmin eder: Balang olarak yaknlardaki bir fotokopi dkknnn telefon numarasn bulur, onlan arar ve faks numaralarn ister. Sonra blge savcln arar ve evrak blmn ister. Evrak brosuna balandnda kendini Lake Blgesi'nden gelen bir dedektif olarak tantr ve halihazrda geerli arama emirlerini takip eden memurla grmek istediini syler. "Ben ilgileniyorum" der kadn. "ok iyi", diye karlk verir Arturo. "Dn gece bir suluya baskn yaptk, basknn yazl beyanna ulamaya alyorum." "Adreslere gre tutuyoruz", der kadn. Adresi verir. Kadnn sesi olduka heyecanl gelmitir. "Ah, evet", der kadn cokuyla. "Biliyorum bunu. Telif sulusu." "Tamam, o", der Arturo. "Yazl beyann ve arama emrinin bir kopyasna ihtiyacm var." "Burada, nmde." "ok iyi", der adam. "u anda dardaym ve bu konuyla ilgili on be ' dakika sonra Gizli Servis'le bir toplantya gireceim. Bugnlerde biraz dalgnm, dosyay evde unutmuum ve gidip almaya kalkarsam yetiemeyeceim. Sizden bir kopyasn alabilir miyim?" "Elbette, sorun olmaz. Fotokopilerini ekerim, buraya gelip alabilirsiniz." "Harika", der Arturo. "ok iyi oldu ama u anda ehrin dier uundaym. Bana fakslamanz mmkn m?" Bu biraz sorun yaratr ama alamaz birey deildir. "Evrak brosun-

Acndrma, Sululuk Duyuma ve Sindirme Teknii Kullanmak

113

:a faksmz yok", der kadn. "Ama aada sekreter odasnda bir tane .ar. Kullanmama izin verebilirler." "Ben sekreter odasn arayp, gerekli ayarlamalar yaparm", der adam. Sekreter odasndaki kadn bu ile memnuniyetle ilgilenecektir ama bunu kimin deyeceini bilmek istemektedir. Bir fatura numarasna ihtiyac vardr. "Ben numaray alp, sizi yine ararm", der kadna. Sonra blge savcln arar, yine kendini bir poiis memuru olarak tantr ve danmadaki grevliye soruverin "Blge savclnn fatura numaras nedir?" Grevli duraksamadan numaray syler. Sekreter odasn geri arayp fatura numarasn verir. Fatura numarasn vermek iin sekreter odasn geri aramas o hanm biraz daha ilemek iin bahane olur. Kadn yukar kp fakslanacak evraklar almaya ikna eder.

Arturo'nun birka adm daha atmas gereklidir. Her zaman birilerinin bireylerden kukulanmas olasl vardr ve fotokopi maazasna gidip belli bir faks almak zere birinin gelmesini bekleyen, sradan giyimli birka polis memuruyla karlaabilecektir. Biraz bekler, sonra da faksn gnderilip gnderilmediini kontrol etmek iin sekreter odasna telefon eder. imdiye dek her ey yolunda gitmitir. Ayn maaza zincirine bal, ehrin dier tarafndaki baka bir fotokopi maazasn arar ve ilerinin grlmesinden ne kadar memnun kaldn ve mdre bir teekkr mektubu yazmak istediini syleyip mdrn adn sorar. Bu nemli bilgiyi kullanarak ilk fotokopi maazasna telefon eder ve mdrle konumak istediini syler. Kar taraf telefonu atnda Arturo, "Merhaba, ben 628 Hartfield maazasndan Edward. Mdrm. Anna sizi aramam syledi. Biraz kzgn bir mterimiz var; biri ona yanl maazann faks numarasn vermi. Burada nemli bir faks bekliyor ve ona verilen faks sizin maazann numaras." Mdr, maaza alanlarndan birine faks buldurup hemen Hartfield maazasna gnderteceine sz verir. Faks ikinci maazaya geldiinde Arturo orada beklemektedir. Belgeleri aldktan sonra sekreter odasndaki hanma teekkr etmek iin arar ve "Elinizdeki kopyalar yukar karmanza gerek yok, onlar atabilirsiniz." der. Sonra ilk maazann mdrne de telefon eder ve ona da ellerindeki faks atabileceklerini syler. Bylece birilerinin gelip sorular sormas olaslna kar, olan bitenle ilgili ortalkta hibir iz kalmayacaktr. Toplum mhendisleri tedbirin elden braklmamas gerektiini iyi bilirler. Byle bir dzmeceyle Arturo ilk fotokopi maazasna gelen faks iin

114

Aldatma Sanat

v,

ve ikinci maazaya faks gndermek iin para vermek zorunda kalmamtr. Eer polis ilk maazaya gelmi olsayd, ikinci noktaya adam gnderene kadar o oktan gitmi olurdu. yknn sonu: Yazl beyan ve arama emrinde yazdna gre, polisin elinde Arturo'nun film kopyalama faaliyetleriyle ilgili belgelenmi deliller vardr. Arturo'nun bilmek istedii ey budur. Geceyars olmadan eyalet snrn geer. Arturo yeni bir yaama balamak zere yola kmtr ve baka bir yerde yeni bir kimlikle iine yeniden balamaya hazrdr.

Aldatmacann ncelenmesi
Blge savclnda alan insanlar srekli emniyet tekilat mensuplaryla temas halindedirler; sorular sorarlar, dzenlemeler yaparlar mesajlar alrlar. Telefonu ap da kendine polis memuru, komiser yardmcs ya da baka birey deme cesareti olan herkesin szne gvenilir. Kullanlan terimleri bilmemesi, gergin olmas, sylediklerini kartrmas ya da sesinde bir terslik olmas gibi durumlar yoksa kimliini dorulamas iin ona tek bir soru bile sorulmaz. Burada, iki farkl memurla yaanan da tam olarak budur. Eksik fatura numaras tek bir telefonla halledilmiti. Sonra Artura "On be dakika sonra Gizli Servisle bir toplantya gireceim, bugnlerde biraz dalgnm ve dosyay evde unutmuum", gibi bir ykyle acndrma kartn oynamt. Kadn doal olarak ona acm ve iini gcn brakp ona yardm etmiti. Daha sonra Arturo bir deil iki fotokopi maazas kullanarak faks almak konusunda kendini salama almt. Bunun zerinde bir eitleme yapmak faksn izlenmesini daha da zorlatrrd: Saldrgan belgeyi baka bir fotokopi maazasna gndermek yerine, faks numaras gibi gzken ama aslnda sizin adnza fakslar alan ve e-posta adresinize gnderen cretsiz bir internet hizmetini kullanabilirdi. Bylece belge dorudan saldrgann bilgisayarna indirilir, saldrgann yzn gstermesi hi gerekmezdi, i tamamlanr tamamlanmaz da e-posta adresi ve elektronik faks numaras terk edilirdi.

Rollerin Deimesi
Kendisine Michael Parker diyeceimiz gen bir adam yksek gelirli ilerin niversite mezunlarna gittiini ge anlayan insanlardan biriydi. N \J I '. Nasl oluyor da bir toplum mhendisi emniyet mdrlkleri, savclklar, telefon irketleri uygulamalar, saldrlarnda iine yarayacak iletiim ve bilgisayar irketlerinin yaplar gibi, bu kadar ok ileme ynelik ayrnty bilebiliyor? nk bu onun ii. Bu bilgiler toplum mhendisinin sermayesidirler ve kandrma abalarnda ona yardmc olurlar.

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

115

in gerei, kimsenin iyi bir toplum mhendisi tarafndan kandrlmaya kar bakl yoldur. Gnlk yaamn hz nedeniyle, bizim iin nemli olan konularda bile, her zaman zerinde dnlm kararlar veremeyiz. Kark durumlar, zaman kstlamalar, ruh hali ya da zihin yorgunluu dikkatimizin dalmasna neden olabilir. Bu yzden zihinsel ksayollar oluturur, bilgiyi tam ve zenle incelemeden kararlarmz veririz. Bu zihinsel srece otomatik tepki verme denir. Tm federal, eyalet ve yerel emniyet grevlileri iin bile geerlidir. Hepimiz insanz. Yarm burs art eitim kredileriyle yerel bir niversiteye gitme olana vard ama bu, kiray, yemei, benzini ve araba sigortasn demek iin geceleri ve hafta sonlan almas anlamna geliyordu. Her zaman Kisayollar bulmay seven Michael, daha hzl olan ve daha az abayla sonu veren baka bir yol olabileceini dnd. On yanda ilk kez bir oilgisayarla oynadndan beri bu aletlerle ilgili pek ok ey renmi ve nasl altklar konusuna kafay takmt. Hzlandrlm bir bilgisayar Dilimleri lisans diplomas yaratmay denemeye karar verdi.

stn Baarsz Mezuniyet


Eyalet niversitesinin bilgisayar sistemlerine girip, temiz bir B+ ya da A- ortalamayla mezun olmu birinin kaytlarn bulabilir, kaytlar kopyalar, adn deitirir ve o yln mezuniyet snf listesine ekleyebilirdi. Dnnce bu fikirden rahatsz oldu. Kampste bulunan bir renciye ait baka kaytlarn da olmas gerektiine karar verdi; har deme kaytlar, yurtlar ofisi ve daha kim bilir baka neler. Yalnzca derslerin ve notarn kaydn karmak ok fazla ak olumasna neden olacakt. Dnp zerinde kurduka aklna uygun bir gemite bilgisayar bilimlerinden mezun kendiyle ayn ad tayan biri olup olmadna bakmak geldi. Eer varsa, i bavuru formlarna onun Sosyal Gvenlik Numaras'n girebilirdi, bylece adn ve sosyal gvenlik numarasn niversiteden kontrol etmek isteyen biri, "Evet, sz konusu diplomay almtr", yantm alrd. (Kendinin bildii ama ou insann farketmeyecei birey yapp, ie bavururken dier Parker'in Sosyal Gvenlik Numaras'n girip sonra ie alnrsa, balama formlarna kendi gerek numarasn yazabilirdi. ou irket, yeni ie giren birinin i bavurusunda farkl bir numara kullanp kullanmadn kontrol etmeyi akl etmezdi.)

Belaya Balanmak
niversite kaytlannda Michael Parker'i nasl bulacakt? yle bir ey yapt:

116

Aldatma Sanat

niversitenin ana ktphanesine giderek bir bilgisayar ubiriminin bana oturdu, niversitenin internet sitesine girdi. Sonra renci leri'ni arad. Telefona kan kiiye artk iyice aina olduunuz toplum mhendislii taktiklerinden birini uygulad. "Bilgi ilem Merkezi'nden aryorum. A yaplandrmasnda deiiklikler yapyoruz ve eriiminizi engellemediimizden emin olmak istiyoruz. Hangi sunucuya balsnz?" "Sunucuyla ne demek istiyorsunuz?" diye sordu kar taraf. "renci akademik verilerine ulamak istediinizde hangi bilgisayara balanyorsunuz?" Ald yant, admin.rnu.edu oldu. Konutuu kii renci kaytlarnn tutulduu bilgisayarn adn ona vermiti. Bu, bulmacann ilk parasyd. Artk hangi makineyi hedef alacan biliyordu. Adresi bilgisayara girdi ve bir yant alamad. Bu, bekledii bir durumdu, eriimi engelleyen bir gvenlik duvar vard. O bilgisayar zerinde alan hizmetlerden herhangi birine balanp balanmadn kontrol etmek iin bir program altrd ve bir bilgisayarn uzaktan baka bir bilgisayara balanmasn ve ona bir basit ubirim olarak erimesini salayan bir Telnet servisinin alt ak bir balant noktas buldu. Oraya girmek iin ihtiyac olan tek ey standart bir kullanc ad ve parolayd. renci leri'ni tekrar arad ve bu kez farkl biriyle konutuundan emin olmak iin nce dikkatle dinledi. Bir kadn kt ve ona yine niversite Bilgi lem Merkezi'nden olduunu syledi. dari kaytlar iin yeni bir iletim sistemi yklediklerini anlatt. Bir ayrcalk yapp, deneme kipinde olan yeni sisteme onun balanmasn ve renci akademik kaytlarna eriip eriemediine bakmasn istedi. Balanaca adresin P numarasn verdi ve ona neler yapmas gerektiini anlatt. Aslnda P adresi kadn Michael'n ktphanede nnde oturduu bilgisayara ynlendirmiti. Sekizinci blmde aklanan srecin aynsn kullanarak, renci kaytlarna bakmak iin girdii sistemde grmeye alk olduunun tpatp ayns bir giri benzetimcisi, yani sahte bir giri ekran yaratmt. "almyor" dedi kadn. "Srekli 'Giri Hatal' mesaj veriyor." Giri benzetimcisi, kullanc ad ve parola girilirken kullanlan tular oktan Michael'in ubirimine kaydetmiti bile. Kadna, "Baz hesaplar henz bu makinaya aktarlmad. Size bir hesap aaym, sonra yine ararm" dedi. Her yetenekli toplum mhendisi gibi ak ular balamak konusuna dikkat ederek, kadn aramay unutmamay bir kenara not etti. Telefon edip test sisteminin henz tam olarak almadn ve eer onun iin bir sorun olmayacaksa sorunun nereden kaynaklandn bulduklarnda arkadalarnn onu arayacaklarn syleyecekti.

Artk Michael hangi bilgisayar sistemine balanmas gerektiini bili-

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

117

BAST UBRM: Kendi mikroilemcisi olmayan ubirim. Basit ubirimler yalnzca basit komutlar kabul ederler ve sadece harf ve saylan gsterebilirler.

yordu ve elinde bir kullanc ad ve parola vard. Ancak doru ad ve mezuniyet tarihine sahip bir bilgisayar bilimleri mezununu aratabilmek iin hangi komutlara gereksinimi olacakt? renci veri taban bunun iin ok uygundu. niversitenin ve renci ilerinin ihtiyalarna gre hazrlanmt ve veri tabanna eriim iin kendine zg bir kullanm vard.

lk adm bu son engeli kaldrmakt: renci veri tabann taramann gizemleri konusunda ona kimin yol gsterebileceini bulmalyd. renci ilerini tekrar arad ve yine baka biriyle konutu. Kadna, Mhendislik Fakltesi Dekanl'ndan aradn syledi ve, "renci akademik dosyalarna ulamakta sorun yaadmz zaman kimi aramamz gerekiyordu?" diye sordu. Bir sre sonra niversitenin veri taban yneticisiyle telefonda gryor, ona bir acndrma numaras ekiyordu: "Ben Mark Sellers, renci ilerinden. Yeni ie balayan birine yardm eder misin? Seni aradm iin zr dilerim ama u anda herkes toplantda ve etrafta bana yardm edebilecek kimse yok. 1990 ve 2000 yllar arasndaki bilgisayar bilimleri mezunlarnn listesine ihtiyacm var. Bu akama kadar istiyorlar ve bunu onlara veremezsem, bu ite uzun sre kalamayabilirim. Ba dertte olan birine yardm etmek ister misin?" insanlara yardm etmek bu veri taban yneticisinin iinin bir paras olduu iin Michael'a yapmas gerekenleri adm adm anlatrken iki kat fazla sabr gstermiti. Konumalar bitene kadar Michael o yllara ait tm bilgisayar bilimleri mezunlarn ieren listeyi indirmiti. Birka dakika iinde bir arama yapm ve iki Michael Parker birden bulmutu. Bir tanesini seti ve adamn Sosyal Gvenlik Numaras'nn yan sra veri tabannda bulunan baka ie yarar bilgileri de ald. Az nce, "Michael Parker, Bilgisayar Bilimleri Lisans Derecesi'ni 1998 ylnda stn baar ile tamamlamtr" unvann almt. Bu durumda 'Lisans Derecesi' sahibi olmas ok yerinde bir sonu olmutu.

Aldatmacann ncelenmesi
Bu saldrda daha nce szn etmediim bir yntem kullanld: Saldrgann, kuruluun veri taban yneticisine nasl ileyeceini bilmedii bir bilgisayar srecinin admlarn tek tek anlattrmas. Rollerin gl ve etkili bir ekilde deitirilmesi. Bu, raflarndan mal arakladnz dkknn sahibinden kutuyu arabanza kadar tamanza yardm etmesini istemek gibi bir ey.

118

A l d a t m a Sanat

-..'

Aldatmacann Engellenmesi
Acndrma, sululuk duyurma ve sindirme, toplum mhendilerinin en ok kulland psikolojik yntemdir ve bu ykler bu taktiklerin kullanm eklini gstermitir. Siz ve bilgisayarnz bu tarz saldrlardan kanmak iin neler yapabilirsiniz, biliyor musunuz?

Verilerin Korunmas
Bu blm kapsamnda anlatlan baz ykler, kii irketinizde alyor (ya da yle grnyor) ve belge, irket ii bir elektronik postaya ya da faks makinasna gnderiliyor olsa da tanmadnz birine bir dosya gndermenin tehlikelerini vurguluyor. irket gvenlik kurallar, gndericinin ahsen tanmad birine nemli bilgileri teslim etmesiyle ilgili son derece net olmaldr. Hassas bilgiler ieren dosyalarn aktarlmasna ynelik zorunlu sreler belirlenmelidir. ahsen tannmayan birinden gelen bir talep durumunda, kontrol etmek iin tanmlanm ak admlar olmaldr ve bunlar bilginin hassaslna gre farkl dzeylerde yetkiler gerektirmelidir. ite gz nne alnacak birka teknik: Bilginin neden istendiini renin \\OTIYTI'I\ tesV^ s>&WteU\d.er\ yetki alnmasn gerektirebilir). Bu ilemlere ait kiisel ya da birim ii gnlk tutun. Sreler konusunda eitilmi ve hassas bilgileri dar vermek zere yetkilendirilmi kiilerin bir listesini bulundurun. alma grubunun dna gnderilecek bilgilerin yalnzca bu kiiler tarafndan gnderilmesini zorunlu kln. Eer istek yazl olarak yaplmsa (e-posta, faks ya da posta), istein, gnderdiini dndnz kiiden geldiinden emin olmak iin gerekli nlemleri aln.

Parolalara likin
Hassas bilgiye eriimi olan tm alanlarn -bugn bu neredeyse

Mitnick Mesaj:
Bilgisayar kullanclar bu teknolojik dnyada var olan toplum mhendisliine ilikin tehditler ve zayflklardan bazen btnyle habersiz oluyorlar. Bilgiye eriimleri var, ancak yine de neyin bir gvenlik tehdidi olabileceiyle ilgili ayrntl bilgileri yok. Toplum mhendisi, arad bilginin deerini tam olarak bilmeyen bir alan hedefleyecektir; bylece hedef, tanmad birinin isteini yerine getirmeye daha meyilli olacaktr.

Acndrma, Sululuk Duyurma ve Sindirme Teknii Kullanmak

119

bilgisayarla alan herkes anlamna geliyor- parola deitirmek gibi basit ileri birka saniyeliine bile olsa yapmalarnn byk gvenlik aklarna neden olabileceini bilmeleri gerekiyor. Gvenlik eitimleri parola konusunu da iermelidir ve konu, parolann ne zaman ve nasl deitirilebilecei, nelerin geerli parolalar olaca ve bu srece bakalarn da katmann oluturabilecei tehlikelere odaklanmaldr. Eitim, tm alanlara, zellikle parolalarnn sorulduu isteklere kar pheyle yaklamalar gerektiini vurgulamaldr. Dardan bakldnda bunun alanlara aktarmak iin ok basit bir mesaj olduu dnlebilir. yle deildir. Byle bir fikri takdir etmeleri iin alanlarn, parolann deitirilmesi gibi basit bir iin nasl gvenlik aklarna yol aacan anlam olmalar gerekir. Bir ocua, "Kardan karya geerken her iki yne de bak" diyebilirsiniz ama ocuk bunun neden nemli olduunu anlayana kadar olaya at gzlkleriyle bakmasna gz yummanz gerekir. At gzlkleriyle baklan kurallar ya gz ard edilir ya da unutulur.

Merkez Br Bildirim Noktas


Gvenlik politikanz, kuruluunuza girme teebbsleri gibi grnen pheli faaliyetlerin bildirilecei bir kii ya da guruptan oluan merkez bir nokta da oluturmaldr. Tm alanlar elektronik ya da fiziksel bir mdahaleden kukulandklarnda kimi aramalar gerektiini bilmelidirler. Bildirimin yaplmas gereken noktann telefon numaras her zaman el atnda olmaldr; bylece alanlar bir saldr gerekletiinden phelenirlerse numaray bulmaya almak zorunda kalmazlar.

Bilgisayar n Koruyun
alanlar bir bilgisayar sunucusu ya da a adnn nemsiz bir bilgi olmadn bilmelidirler. Aksine, gven uyandrabilmesi ya da istedii bilginin yerini renmesi iin saldrgana nemli bir kaynak oluturabilirler. zellikle veri taban yneticileri gibi, yazlmlarla alan kiiler teknik uzmanl olanlar grubuna girerler ve onlarn, kendilerinden bilgi ve tavsiye isteyen kiilerin kimliklerini dorulamak konusunda ok kat ve zel kurallar erevesinde almalar gereklidir. Srekli olarak bilgisayar destei veren kiiler, ne tr isteklerin krmz

Parolalar toplum mhendislii saldrlarnn o kadar nemli bir odak noktasdr ki on altnc blm tamamyla buna ayrdk. Orada parolalarn ynetilmesiyle ilgili nerilen kurallar bulabileceiniz.

120

Aldatma Sanat

k yaktn, dier bir deyile, arayann bir toplum mhendislii saldrs gerekletirdiini gsteren durumlara kar ok iyi bir eitimden geirilmelidirler. Bu blmn en son yksnde veri taban yneticisinin bak asndan, arayann gerek birinin kstaslarna uyduunu da belirtmeden geemeyeceim. Kampsten aryordu ve iinde bulunduu site kesinlikle kullanc ad ve parola gerektiren bir siteydi. Bilgi talep eden birinin kimliini dorulamak iin standart srelerin olmasnn nemini bu durum bir kez daha vurguluyor. zellikle de, arayann gizli kaytlara ulamak konusunda yardm istedii byle bir olayda. Tm bu neriler, niversiteler ve yksekokullar iin ikiye katlanyor. Bilgisayar korsanlnn pek ok niversite rencisinin en sevdii ura olduu yeni bir haber saylmaz ve renci kaytlarnn ve bazen de faklte kaytlarnn ekici hedefler tekil etmeleri de artc deildir. Bu smr o kadar byk boyutlardadr ki baz irketler kampsleri tehlikeli blgeler olarak deerlendirirler ve sonu .edu ile biten retim kurumlarnn eriimini engellemek iin gvenlik duvarlar olutururlar. Uzun lafn ksas her trl renci ve personel kaytlar balca hedefler olarak grlmeli ve hassas bilgi kapsamnda ok iyi korunmaldr.

Eitim pular
ou toplum mhendislii saldrlar -nereye bakacan bilenler iin- savunulmas komik olacak kadar kolay eylerdir. irket bak asndan baktmzda iyi bir eitim verilmesi iin nemli bir gereksinim vardr. Ancak ayn zamanda, insanlara rendiklerini hatrlatacak eitli yollar da olmaldr. Kullancnn bilgisayar alrken her gn baka bir mesaj ieren bir ekran kabilir. Mesaj yle tasarlanm olmaldr ki, kendiliinden kaybolmamal ve kullancnn okuduuna dair bir eit onay kutucuuna tklamasn gerektirmelidir. nerebileceim bir baka yaklam ise bir dizi gvenlik mesajdr. Sk sk grlen hatrlatma mesajlar nemlidir nk bir bilinlilik program srekli ve sonsuz olmaldr. erikleri sunarken mesajlar her seferinde ayn ekilde dile getirilmemelidir. Aratrmalara gre farkl bir cmleyle sunulduunda ya da farkl rnekler kullanldnda bu mesajlar daha etkili olmaktadr. Bir dier kusursuz yaklam ise irket bltenine ksa ilanlar vermektir. Her ne kadar bir gvenlik kesi ok yerinde olacaksa da bu ilanlar tam bir ke oluturmamaldr. Onun yerine, okuduunuz gazetedeki kk ilanlar gibi, iki ya da stun geniliinde bir ilan kutusu tasarlanabilir. Bltenin her basksnda, bu ksa ve dikkat ekici yntemle yeni bir gvenlik unsuru hatrlatlabilir.

TERS DALAVERE

Bu kitabn baka bir yerinde de sz edilen Belallar (The Sting) filmi -ki bana gre dolandrclkla ilgili yaplm herhalde en iyi filmdir- zorlu bir kumpas byleyici bir ayrntlkta anlatr. Fimdeki dalavere, "byk dalavereler" olarak bilinen byk dolandrclk eidinden biri olan "telleme" iinin nasl yrtldnn ak bir rneidir. Profesyonel bir ekibin bir oyun evirip bir gecede nasl byk paralar hortumladm renmek istiyorsanz bundan iyi bir ders kitab yoktur. Ancak geleneksel dolandrclklar, ne tr bir ayak oyunu kullanrlarsa kullansnlar, belli bir yol izlerler. Bazen oyun ters ynde oynanr, buna da ters dalavere denir. Saldrgann, kurbann yardm iin saldrgan arayaca ya da kurbann bir mesai arkadann isteine saldrgann yant verecei ekilde ortam dzenledii karmak bir dolaptr. Bu i nasl m yaplr? imdi greceksiniz.

Tatl Diife kna Sanat


Sradan biri bir bilgisayar korsann gznde canlandrdnda ounlukla ilk akla gelen, en iyi arkada bilgisayar olan ve anlk mesajlar dnda konuma zrl olan, yalnz, iine kapank bir gerzein sevimsiz grntsdr. Genellikle bilgisayar korsanl becerileri de olan toplum mhendisinin br cebinde insan becerileri de vardr, insanlar kullanp ynlendirerek kesinlikle aklnza gelmeyecek yollarla bilgi toplamasn salayacak iyi gelitirilmi yeteneklere sahiptir.

Angela'y Arayan Kii


Yer: Federal Sanayi Bankas, Valley ubesi. Zaman: Sabah 11:27. Angela Wisnowski, kendisine byk bir miras kalmak zere olduunu ve tasarruf hesaplan, mevduat sertifikalan ve nerebilecei gvenli ama iyi faiz veren baka yatrm aralar olup olmad konusunda bilgi almak istediini syleyen TERS DALAVERE: bir adamdan bir telefon ald. Angela adama Saldrya urayan kiinin olduka ok seenek olduunu ve bankaya saldrgandan yardm istekadar gelip karlkl grmek isteyip istedii bir dolandrclk ekli. meyeceini sordu. Adam para eline geer

Terimler

Ters Dalavere

123

Bu iyi diye dnd arayan. nsanlarn en kk bir drtmeyle dvermemeleri iyi oluyor. Eer biraz direnmezlerse i ok kolaylayor ve ben tembellemeye balyorum. - Darya birey gndermeden nce onay almamz konusunda kafay tm bir ube mdrm var, hepsi bu. Ama bilgiyi fakslamamz istemiyorsanz nemli deil. Onaya gerek yok. - Angela yarm saat kadar sonra burada olur. Ona seni aramasn syleyebilirim, dedi Louis. - ifreyi vererek bunun geerli bir istek olduunu gsteremediiniz iin ona bugn gnderemediimi sylerim. Eer yarn doktor bana rapor vermezse, onu yeniden ararm. ': - Tamam, olur. - Mesaj, acil, diyordu. Neyse bo ver, onay olmadan elim kolum bal. Ona gndermeye altm ama senin ifreyi veremediini sylersin deil mi? Louis sonunda baskya dayanamad. Ahizeden skntl bir i geirme duyuldu. -Peki, dedi. Biraz bekle, bilgisayarma kadar gitmem gerekiyor. Hangi ifreyi istiyorsun? - B, dedi arayan. Louis aramay beklemeye ald, biraz sonra yeniden at. - 3184. - Bu doru ifre deil. - Bu doru. B ifresi 3184.. - Ben B demedim, E dedim. - Kahretsin. Bir dakika bekle. Louis yeniden ifrelere bakarken biraz daha bekledi. - E ifresi 9697. - 9697, tamam. Faks hemen gnderiyorum. Tamam m? - Tamam. Teekkrler. . .

WaUerv Arayan Kii


- Federal Sanayi Bankas, ben Walter. - Merhaba, Walter, ben Studio City 38 nolu ubeden Bob Grabowski, dedi arayan. Bir mteri hesabna ait imza kartonuna ihtiyacm var, bana onu fakslayabilir misin? , mza kartonu yalnzca mterinin imzasn iermez, sosyal gvenlik numaras, doum tarihi, annesinin kzlk soyad ve bazen de ehliyet numarasna gibi dier tanmlayc bilgileri de ierir. Bir toplum mhendisi iin ok kullanldr.

124

Aldatma Sanat - Elbette. C ifresi nedir? - u anda bilgisayarm baka biri kullanyor, dedi arayan. Ama az nce B'yi ve E'yi kullanmtm ve onlar hathyorum. Onlardan birini sorabilirsin. - Tamam, E ifresi nedir? - E ifresi 9697. Birka dakika sonra Waiter istenen imza kartonunu fakslar.

Donncs Plaiee'i Arayan Kii


- Merhaba, ben Bay Anselmo. - Size bugn nasl yardmc olabilirim? - Hesabma para yattn renebilmek iin aramam gereken 800'l numara hangisiydi? - Bankann bir mterisi misiniz? - Evet, ama numaray uzun sredir kullanmadm ve imdi de nereye yazdm hatrlamyorum. - Numara 800-555-8600. - Tamam, teekkrler.

Vince Capelli'nin yks


Spokane'li bir polis memurunun olu olan Vince, saatlerce kle gibi alp, asgar cret alabilmek iin kelleyi koltua almayacan erken yalardan beri biliyordu. Yaamnn iki temel amac Spokane'den ayrlmak ve kendi iini kurmak oldu. Okul yllar boyunca arkadalarnn onunla alay etmesi onu daha da kztrmt. Kendi iini kurmaya hevesli olmas ama bir iin nasl yrtleceiyle ilgili hibir fikri olmamas onlara gln geliyordu. ten ie Vince arkadalarnn hakl olduunu da biliyordu. yi olduu tek ey okulun beyzbol takmnn tutucusu olarak yapt iti. Ama bunda da burs kazanacak ya da profesyonel beyzbol oynayacak kadar iyi deildi. O zaman nasl bir ie giriecekti? Vince'in grubundaki arkadalar bir eyi tam olarak anlamamlard: Aralarnda birinin olan bir ey -yeni bir sustal ak, k bir ift scak tutan eldiven, ekici bir kz arkada- eer Vince'in houna gitmise ok gemeden onun oluyordu. Ne alyor ne de birilerini arkadan vuruyordu, bunu yapmasna gerek yoktu. ocuklar ellerindekileri isteyerek veriyorlard ve sonra da bunun nasl olduunu dnyorlard. Vince'e sormak da bir ie yaramyordu, nk kendi de bilmiyordu. Grne gre her ne isterse insanlar ona bunlar veriyordu. Vince Capelli, bu ad hi duymam olsa bile, erken yalardan beri bir toplum mhendisiydi.

Ters Dalavere

125

Okul diplomalarm ellerine aldktan sonra arkadalar glmeyi kestiler. Dierleri, ehirde dolap "Yannda patates kzartmas ister misiniz?" diye sormak zorunda kalmayacaklar bir i bulmaya alrlarken Vince'in babas, tekilattan ayrlp kendi zel dedektiflik iini kuran eski bir polis arkadayla konumas iin onu San Francisco'ya gndermiti. Adam, Vince'in bu ie ok uygun olan yeteneini grm ve hemen onu ie almt. Bu alt yl nceydi. in, oturup beklemeyi gerektiren can skc saatlerle dolu sadakatsiz elerle ilgili bilgi toplama ksmndan nefret ediyordu, ancak zavall bir mteveffann dava alacak kadar zengin olup olmadm renmeye alan avukatlarn verdii mal varlklarn renme ilerini her zaman heyecan verici buluyordu. Bu tarz iler ona akln kullanmas iin pek ok frsat sunuyordu. Tpk Joe Markowitz adnda bir adamn banka hesaplarna bakmas gerektii zaman olduu gibi. Joe'nun eski bir arkadan dolandrm gibi bir durumu vard ve u anda arkada, dava aarsa para alabilecek kadar Markowitz'in ykl olup olmadn renmek istiyordu. Vince'in ilk adm bankann gvenlik ifrelerinden en az bir, ama tercihen iki tanesini ele geirmekti. Bu kulaa neredeyse imknsz bir imi gibi geliyor. Nasl bir numara bir banka alann ifreleri vermesi konusunda ikna edebilirdi ki? Kendi kendinize sorun; eer siz bu ii yapmak istiyor olsaydnz, bunu nasr yapacanzla ilgili bir fikriniz olur muydu? Vince gibi insanlar iin bu i ok kolaydr. lerinde ve irketlerinde kullandklar terimleri biliyorsanz insanlar size gvenirler. Yakn evrelerinin bir parasym gibi grnrsnz. Gizli bir tokalama gibidir. Vince'den dinleyelim: Byle bir i iin o kadar ok eye ihtiyacm yoktu. Bu i beyin cerrahisi deil. e balamak iin tek gereken ey bir ube mmarasyd. Buffalo Beacon Street ubesini aradmda telefona kan adamn sesi bir gie grevlisi gibi geliyordu. "Ben Tim Ackerman" dedim. Herhangi bir ad olurdu, nasl olsa bir yerlere yazmayacakt. "O ubenin numaras nedir?" "Telefon numaras m, ube numaras m?" diye bilmek istedi ama bu olduka aptalcayd, nk zaten telefon ediyordum, deil mi? "ube numaras." "3182", dedi adam hi duraksamadan. Ne, "Neden bilmek istiyorsunuz?" diye sordu, ne de baka bir ey. Hassas bilgi olmad iin, kullandklar her kt parasnn stnde yazlyd. kinci adm hedefimin alt ubeyi aramak, orada alanlardan birinin adn ve onun ne zaman le yemeine kacan renmekti. Angela 12:30'da yemee kyordu. Her ey olduka iyi gidiyordu. nc admda Angela le tatilindeyken ayn ubeyi tekrar arayacak, Boston'daki u ve u numaral ubeden aradm syleyecek, Angela'nm

126

Aldatma Sanat bu bilginin fakslanmasn istediini belirterek gnlk ifreyi alacaktm. En zorlu ksm buydu, tekerler dnmeye buradan balayacakt. Eer toplum mhendislii becerisini snayacak bir snav yapyor olsaydm, kurbann hakl olarak kukuland benzer bir durum koyardm ve onu krp istediiniz bilgiyi alana kadar orada kalmak zorunda kalrdnz. Bunu bir senaryodaki satrlar tekrarlayarak ya da belli kalplar ezberleyerek yapamazsnz; kurbannz okumanz, ne hissettiini anlamanz, oltay suya atp ekerek bir bal yakahyormu gibi onunla oynamanz gerekir. Ta ki zokay yutturup, onu kaya ekene kadar. Bylece onu ama drdm ve gnlk ifrelerden birini aldm. ou bankada yalnzca tek bir tane kullanrlar, yle olsayd iim bitmi saylrd. Federal Sanayi Bankas'nda be tane kullanyorlar ve beinden birini bilmek ii ok fazla ansa brakmak olurdu. Bete iki olursa bu kk oyunun bir sonraki sahnesini tamamlamak iin daha fazla ansm olacakt. "B demedim, E dedim," ksmna baylyorum. e yarad zaman harika oluyor. Ve ou zaman da ie yaryor. nc bir tane almak daha da iyi olurdu. Tek bir aramada tane birden almay baarmlm da vardr. B, D ve E'nin okunular sizi yanl anladklarn iddia edebileceiniz kadar birbirlerine benzerler. Ama gerek bir aknla konuuyor olmanz gerekir. Bu kadn yle deildi. ki taneyle yetinecektim. Gnlk ifreler imza kartonunu almak iin benim kozum olacaklar. Aryorum ve adam benden bir ifre istiyor. C'yi istiyor ve ben de yalnzca B ve E var. Ama bu dnyann sonu deil. Byle anlarda sakin olmalsnz, kendinize gvenmeli ve iinize devam etmelisiniz. Hi istifimi bozmadan ona, "Biri benim bilgisayarm kullanyor, bana dierlerinden birini sor" oyununu oynadm. "Hepimiz ayn irketin alanlaryz, hepimiz bu iin iindeyiz; adam yokua srme". Byle bir anda kurbannzn bu ekilde dndn mit edersiniz. Adam tam kitabna gre oynad. Sunduum seeneklerden birini sordu, ona doru yant verdim ve imza kartonunu fakslad. neredeyse bitmiti. Bir grme daha yapp elektronik bir sesin istediiniz bilgiyi okuduu ve mterilerin otomatik hizmet iin kullandklar 800'l numaray buldum. mza kartonunda hedefimin tm hesap numaralan ve kiisel kimlik numaras vard, nk bu banka Sosyal Gvenlik Numaras'nn son drt ya da be basaman kullanyordu. Elimde kalem 800'l numaray evirdim ve birka dakikam tulara basarak geirerek adamn drt hesabnn birden son durumlarn rendim. i salama almak iin her birine en son yatrd ve ektii paralan da bir kenara not ettim. Mterimin arad her ey fazlasyla tamamd. Her olasla kar her zaman biraz fazla bilgi vermek houma gider. Mteri velinimetimizdir. Ne de olsa srekli gelen iler iletmenin varln srdrmesini salayan eylerdir, yle deil mi?

Ters Dalavere

127

Aldatmacann ncelenmesi
Tm bu olayn kilit noktas o ok nemli gnlk ifreleri almakt ve ounu yapmak iin saldrgan, yani Vince, pek ok farkl teknik kulland. Biraz laf ebelii yaparak ie balamt ki Louis ona ifreyi vermekte isteksiz davrand. Louis phelenmekte haklyd, ifreler dier ynde kullanlmak zere tasarlanmlard. lerin olaan srecinde onu arayan, tanmad kiinin gvenlik kodunu vermesi gerekirdi. Bu Vince iin ok kritik bir and, tm abalarnn baarya ulap ulamamas buna balyd. Louis'in phesi karsnda Vince adam etkileme abasn artrarak acndrma ("doktora gitme"), bask ("yapacak ynla iim var ve saat neredeyse drt oldu") ve etkileme ("ona bana ifreyi vermediini syle") yntemlerine bavurdu. Aklllk edip Vince aslnda hi tehdit kullanmad, yalnzca ima etti: Eer bana gvenlik ifresini vermezsen arkadann ihtiyac olan mteri bilgilerini gnderemem ve ona aslnda gnderebilecek durumda olduumu fakat senin ibirlii yapmadn sylerim. Yine de kabahati Louis'e atmakta acele etmeyelim. Ne de olsa telefondaki kii, arkada Angela'nn bir faks beklediini biliyordu; en azndan biliyormu gibi grnyordu. Arayan, gvenlik ifrelerinden de haberdard ve onlara atanm harflerle tanmlandklarn biliyordu. Arayan, ube mdrnn daha fazla gvenlik iin bunun yaplmasn istediini sylemiti, istedii dorulamay ona vermemek iin ortalkta bir neden grnmyordu. Louis yalnz deildi. Banka alanlar neredeyse her gn gvenlik ifrelerini toplum mhendislerine verirler. nanlmaz ama gerek. zel bir dedektifin kulland yntemlerin yasal olmaktan kp yasad olmaya balad ince bir izgi vardr. ube numarasn aldnda Vince henz yasad deildi. Louis'i gnlk gvenlik ifrelerinden ikisini vermeye kandrdnda da yasad birey yapmamt. Bir banka mterisinin bilgilerini kendisine fakslanmasn istedii anda izgiyi at. Ama Vince ve patronu iin bu dk riskli bir sutu. Para ya da mal aldnzda birileri onun kaybolduunu anlarlar. Bilgi aldnzda ou zaman bunu kimse fark etmez, nk bilgi hl ellerindedir.

AAitnick Mesaj:
Szel gvenlik ifreleri, verilerin korunmas iin elverili ve gvenilir bir yntem sunmada parolalara denktirler. Ancak alanlarn toplum, mhendislerinin kulland dalavereler konusunda bilgili olmalar ve kralln anahtarlarn teslim etmemek zere yetitirilmeleri gerekir.

128

Aldatma Sanat

Dalavereye let Olan Polisler


Hilebaz bir zel dedektif ya da toplum mhendisi iin birinin ehliyet numarasn bilmesinin gerektii durumlar sk sk ortaya kar. rnein, birinin banka hesaplaryla ilgili bilgi almak iin onun kimliine brnmek istiyorsanz. Birinin czdann yrtmek ya da uygun bir anda omuzunun zerinden gz ucuyla bakmak dnda ehliyet numarasn renmek olanaksza yakn olmaldr. Ancak ok fazla toplum mhendislii becerilerine sahip olmayan biri iin bile bu pek zor bir i saylmaz. Dzenli olarak ehliyet numaralar ve ara plaka numaralan renmesi gereken -kendisine Eric Mantini diyeceim- bir toplum mhendisi var. Eric, Motorlu Tatlar Mdrl'n aramann ve bilgi almas gerektiinde hep ayn oyunu oynamann, iinde bulunduu tehlikeyi gereksiz lde artrdna karar verdi ve bu sreci kolaylatrmann bir yolunun bulunup bulunmadn aratrd. Byk olaslkla daha nce kimse dnmemiti ama istedii anda bu bilgiyi almann bir yolunu buldu. Bu ii Blge Motorlu Tatlar Mdrl'nn yrrle koyduu bir hizmetten yararlanarak yapt. Pek ok blge mdrl, ayrcalkl bilgiler olmadklar srece, vatandalarla ilgili bilgileri sigorta kurumlarna, zel dedektiflere ve eyalet yasalar uyarnca ticaretin ve genel toplumun lehine olmak kaydyla paylamann uygun olduu belli baka kurululara amlard. Motorlu Tatlar Mdrl'nn, doal olarak, hangi tr verilerin verileceine ilikin uygun kstlamalar vardr. Sigorta sektr dosyalardan belli tr bilgiler alabilir ama dierleri alamaz. zel dedektifler iin farkl snrlamalar geerlidir ve bu byle gider. Emniyet tekilat mensuplar iin de farkl bir kural geerlidir. Motorlu Tatlar Mdrl, kendini uygun ekilde tantan yeminli bir polis memuruna kaytlar ndaki tm bilgileri aacaktr. Eric'in yaad eyalette Motorlu Tatlar Mdrl'nn bir emniyet grevlisinden istedii tanmlamalar Talep Kodu ve memurun ehliyet numarasyd. MTM alan, bilgi vermeden nce her zaman memurun adn ehliyet numarasyla ve baka bir bilgiyle -genellikle doum tarihiyle- karlatracakt. Toplum mhendisi Eric'in yapmak istedii, kendini bir emniyet tekilat mensubunun kimliine brndrmekten baka birey deildi. Bunu nasl baaracakt? Polislere bir ters dalavere uygulayarak!

Eric'in Dalaveresi
nce bilinmeyen numaralan arad ve eyalet bakentindeki Motorlu Tatlar Genel Mdrl'nn telefon numarasn istedi. Ald numara 503-555-5000'di ve doal olarak, vatandan aramas iin ayrlm tele-

Ters Dalavere

129

fondu. Sonra yaknlardaki bir karakolu arayarak haberleme brosunu -dier emniyet tekilat birimleriyle, ulusal su veri tabanyla, yerel yetkililerle ve benzeri yerlerle iletiimin kurulduu birimi- istedi. Haberleme brosunda telefona kan memura Eyalet Motorlu Tatlar Genel Mdrl'nn emniyet tekilatn aramas iin ayrlm numaray renmek istediini syledi. "Sen kimsin?" diye sordu haberlemedeki polis. "Ben Al. 503-555-5753' aryordum" dedi Eric. Bu yar yarya varsaym ve yar yarya uydurulmu bir numarayd. Emniyet tekilatndan gelecek telefonlar iin MTM'de kurulan zel bro numarasnn halka ak numarayla ayn blge koduna sahip olmas gerekirdi ve sonraki basaman da ayn olaca neredeyse kesindi. Tm bilmesi gereken son drt basamakt. Karakol haberleme brolarna dardan telefon gelmezdi ve arayan kii numarann ounu biliyordu. Tekilattan biri olduu akt. "Numara 503-555-6127" dedi memur. Artk Eric'in elinde emniyet tekilat mensuplarnn kullanmna zel MTM numaras vard. Ama yalnzca telefon numaras onun iini grmyordu; o bronun birden fazla telefon hatt olmalyd ve Eric'in ka hat olduunu ve her birinin numarasn renmesi gerekiyordu.

Santral
Plann uygulamaya koymak iin, emniyet tekilatndan arayanlarn aramalarm ynlendiren MTM santralna erimesi gerekiyordu. Telekomnikasyon Mdrl'n arad ve en ok kullanlan ticari telefon santrallerinden biri olan DMS-100'leri reten Nortel'den aradn syledi. "DMS-100 zerinde alan santral teknisyenlerinden biriyle grebilir miyim?" Teknisyen telefonu atnda, Teksas Nortel Teknik Destek Merkezi'nden aradn ve tm santrallar en son yazlmla gncelleyebilmek iin merkez bir veri taban oluturduklarn anlatt. Her ey uzaktan yaplacakt ve santral teknisyenlerinin mdahalesine gerek olmayacakt. Ancak santraln bilgisayar balant numarasna ihtiyalar vard, bylece gncellemeleri dorudan Destek Merkezi'nden yapabileceklerdi. Olduka akla yatkn grnyordu ve teknisyen, Eric'e telefon numarasn verdi. Artk eyaletin telefon santrallarmdan birine dorudan balanabilecekti. Tpk her irket bilgisayar anda olduu gibi saldrganlara kar korunmak iin bu tarz ticari santraller de parola korumaldr. Telefon beleilii gemii olan her iyi toplum mhendisinin bildii zere Nortel santrallerin yazlm gncellemeleri iin kulland standart bir kullanc ad vard: NTD (Nortel Teknik Destek'in ba harfleri, yani . ok gizli bir ey deil). Peki ya parola? Eric pek ok kez balanmaya

130

Aldatma Sanat
alarak, her seferinde bariz ve sk kullanlan olaslklar denedi. Kullanc adyla ayn harfleri, NTD, girmek de ie yaramad. "Yardmc" kelimesi de olmad, "yama" da. Sonra "gncelleme"yi denedi... ve girdi. Baka ne beklenirdi ki! Bariz, kolayca tahmin edilebilen bir parola kullanlmas, hi parola olmamasndan yalnzca bir nebze daha iyidir. Konunuzda bilgili olmak iyidir. Eric'in o santralin nasl programland ve sorunlarn nasl zld hakknda byk olaslkla o telaisyen kadar bilgisi vard. Yetkili bir kullanc olarak santrale eritikten sonra hedefi olan telefon hatlar zerinde tam kontrol salayabilecekti. Emniyet tekilat mensuplarnn MTM'yi aramak iin kullandklar numaray, 555-6127, bilgisayarndan arattrd. Ayn mdrlkte on dokuz tane daha hat olduunu grd. Grne gre arayanlar oktu. Her gelen aramada santral megul olmayan birini bulana kadar yirmi hatt taramaya programlanmt. Sradaki on sekiz numaral hatt seti ve bu hattan aramalar baka bir telefona ynlendirecek ifreyi girdi. Ynlendirilen telefon numaras olarak da yeni ve ucuz, hazr kartl cep telefonu numarasn kulland. Bunlar, i bittikten sonra atacak kadar ucuz olduklar iin uyuturucu kaaklarnn tercih ettii trden telefonlard. On sekizinci hatt arama ynlendirme alr durumdayken, bronun ardarda gelen on yedi telefonla urat bir srada bir sonraki telefon MTM brosunda almayacak onun yerine Eric'in cep telefonuna ynlendirilecekti. Arkasna yasland ve beklemeye balad. MTM'ye gelen arama O sabah saat sekizden biraz nce telefon ald. Bu iin en iyi ve en keyifli blmyd. Toplum mhendisi Eric oturmu, onu gelip tutuklamaya yetkili ya da bir arama emri karp aleyhine delil toplamak iin baskn yapabilecek bir polisle konuuyordu. Ve yalnzca tek bir polis aramayacakt, bir biri ardna bir sr polis arayacakt. Bir keresinde Eric bir lokantada arkadalaryla le yemei yerken her be dakikada bir telefon gelmi, dn ald bir kalemle bilgileri bir kat peetenin stne yazmt. Buna hl durup durup gler. Ancak polis memurlaryla konumak iyi bir toptan m\\"\\4\s.mt te sknt vermez. Aslnda emniyet tekilat birimlerini kandrmann heyecan Eric'in oynad oyunu byk olaslkla daha elenceli klmtr. Eric'in anlatt kadaryla grmeler yle geiyordu: "MTM, yardmc olabilir miyim?" "Ben Dedektif Andrew Cole." "Merhaba dedektif. Bugn sizin iin ne yapabilirim?" Emniyet tekilatnda fotoraf istemek iin kullanlan terimi kullanarak

Ters Dalavere

131

"005602789 nolu ehliyet iin soundex gerekiyor" diyebilirdi. Bu, ie yarar bir eydi; rnein polisler bir pheliyi tutuklamaya giderlerken adamn neye benzediini grmek iin kullanrlard. "Elbette, hemen kaytlara bakaym" diyordu Eric. "Detektif Cole, bal olduunuz yer neresi?" "Jefferson Blgesi." Sonra Eric asl sorulan sormaya balyordu: "Dedektif, talep kodunuz nedir?", "Ehliyet numaranz?", "Doum tarihiniz?" Arayan, kiisel tanmlama bilgilerini veriyordu. Eric bilgileri dorulamakla urayormu gibi yapp, sonra da arayana bilgilerinin dorulandn sylyordu. En sonunda arayann MTM'den istedii eylerin ayrntlarn soruyordu. stenen ad aryormu gibi yapp, arayann tularn tklamasn duymasn salyor sonra da yle bir ey diyordu. "Kahretsin, bilgisayarm yine kt. Kusura bakma, dedektif, bilgisayarm bu hafta hep gidip geliyor. Tekrar arayp baka bir grevlinin size yardmc olmasn isteyebilir misiniz?'" Bylece neden isteinde yardmc olamadyla ilgili memur beyde herhangi bir phe uyandrmadan ak ular balyordu. Bu arada Eric bir kimlik almt. Bunlar, ihtiyac olduu zaman gizli MTM bilgilerini almakta kullanabilecei ayrntlard. Eric birka saat telefonlara yant verip dzinelerce talep kodu elde ettikten sonra santrale baland ve ynlendirme ilemini iptal etti. Sonraki aylarda, bilgiyi nasl aldn bilmek istemeyen yasal zel dedektiflik firmalarnn ona verdii ileri yapmay srdrd. Gerektii zaman yeniden santrala balanyor, ynlendirmeyi ayor ve bir yn polis memuru bilgisi daha topluyordu.

Aldatmacann ncelenmesi
Eric'in bu dalavereyi yapmak iin bir dizi insan stnde oynad oyunlar bir gzden geirelim. lk baarl admda haberleme brosundaki bir memurun, karsndakini baka bir polis memuru varsayp, hibir kimlik tespiti yapmadan tamamyla yabanc birine gizli MTM telefon numarasn vermesini salad. Sonra Eyalet Telekomnikasyon Mdrl'ndeki kii de ayn eyi yapt. Eric'in santral reticisi firmada alt iddiasn olduu gibi kabul etti ve MTM'ye hizmet veren telefon santralnn dardan balanma numarasn bir yabancya verdi. Eric'in santrala eriebilmesinin nedeni, byk lde, santral reticisinin tm santrallarnda ayn kullanc adn kullanmasndan kaynaklanan zayf gvenlik uygulamasyd. Bu dikkatsizlik, toplum mhendisinin parolay tahmin etmesini kolaylatrd, nk santral teknisyenlerinin herkes gibi hatrlamas kolay olacak parolalar seeceini biliyordu.

132

Aldatma Sanat

Santrala eritikten sonra MTM'nin emniyet tekilat telefon hatlarndan birini kendi cep telefonuna ynlendirdi. Hepsinin stne en cretkr ksm olarak, birbiri ardna polis memurlarn kandrp yalnzca talep kodlarn almakla kalmad, ayn zamanda onlarn kendi kiisel bilgilerini vermelerini de salad. Bylece Eric onlarn kimliine brnebilecekti. Bu dolab evirmek iin her ne kadar teknik bilgi gerekse de, bir sahtekrla konutuklarn bilmeyen bir grup insann yardm olmasayd bu dolap ie yaramazd. Bu yk, insanlarn, "Neden ben?" diye sormadklar bir durumun bir baka rnei. Haberleme brosu memuru neden tanmad bir polis memuruna -ya da bu durumda olduu gibi kendini polis memuru olarak tantan birine- bu bilgiyi versin ki? Bilgiyi kendi mesai arkadalarndan ya da amirinden almasn da syleyebilirdi. Verebileceim tek yant, insanlarn bu soruyu kendilerine sk sk sormamalar eklinde olur. Sormak akllarna gelmiyor mu? Meydan okuyan ya da yardm etmeye isteksiz biri gibi gzkmek mi istemiyorlar? Belki de. Dier aklamalar tahminden teye gitmez. Ama toplum mhendisleri nedenlerle ilgilenmezler; yalnzca bu kk gerein, aksi durumda alnmas zor olacak bilgileri almalarn kolaylatrmasyla ilgilenirler.

Aldatmacann Engellenmesi
Doru kullanld takdirde bir ifre ok nemli bir gvenlik nlemidir. Yanl kullanlan bir gvenlik ifresi, hi olmamas kadar kt olabilir; nk aslnda var olmayan sahte bir gven hissi uyandrr. Eer alanlarnz onlar gizli tutamyorlarsa ifrelerin ne anlam var? Szel gvenlik ifreleri kullanmas gereken herhangi bir irketin, alanlarna bu ifreleri ne zaman ve nasl kullanacaklarn aka anlatmas gerekmektedir. yi bir eitimle, bu blmn ilk yksnde geen karakter, yabanc birine gvenlik ifresi vermesi istendiinde, kolaylkla alabilen igdlerini dinlemek zorunda kalmazd. Bu koullar altnda bu bilginin ona sorulmamas gerektiini hissetti ama ak bir gvenlik politikasnn olmamas -ve gl bir saduyu- yelkenleri suya indirmesine neden oldu.

Mitnick Mesaj:
irketinizde bir telefon santral olsayd, sorumlu kii satcdan gelen ve balant numarasn isteyen bir telefon karsnda ne yapard? Ve bu arada, bu kii santraln standart parolasn hi deitirmi miydi? O parola herhangi bir szlkte bulunabilecek, kolay tahmin edilebilir bir parola myd?

Ters Dalavere

133

Gvenlik srelerinde, bir alann doru olmayan bir gvenlik ifresi talebinde bulunduu durumlar da ieren admlar olmaldr. Tm alanlar, gnlk ifre ya da parola gibi tanmlama bilgileriyle ilgili gelen pheli talepleri hemen bildirecek ekilde eitilmelidirler. Ayrca istekte bulunan kiinin kimliinin onaylanmad durumlar da haber vermelidirler. En azndan, alan, arayann adn, telefon numarasn, ofis ya da birimini not etmeli, sonra telefonu kapatmaldr. Geri aramadan nce irkette o isimde alan birinin olup olmadn ve arayaca telefonun evrimii ya da basl rehberdeki numarayla uyuup uyumadn kontrol etmelidir. ou zaman bu basit yntem bile arayann syledii kii olup olmadn anlamak iin yeterlidir. irketin evrimii bir rehber yerine basl bir telefon rehberi varsa kimlik tespiti ilemi biraz gleir. e yeni balayanlar olur; iten ayrlanlar; insanlarn birimleri, konumlar ve telefon numaralar deiebilir. Basl rehberler basldklar gn, hatt daha datlmadan nce gncelliklerini yitirirler. evrimii rehberler bile her zaman gvenilir deillerdir, nk toplum mhendisleri onlarla nasl oynayacaklarn bilirler. Eer bir alan, bamsz bir kaynaktan telefon numarasn dorulayamyorsa, ona, ilgili kiinin yneticisini aramak gibi farkl bir yol kullanmas konusunda talimatlar da verilmelidir.

i-

Davetsiz
Dihhati

iln

ERYE GRMEK

Dardan birinin bir irket alannn kimliine brnmesi ve gvenlik konusunda en duyarl olanlar bile inandracak kadar baarl bir taklit yapmas neden bu kadar kolaydr? Peki, gvenlik srelerini ok iyi bilen, tanmadklar insanlara pheyle bakan ve irketlerinin karlarn korumak konusunda titiz davranan kiileri kandrmak neden bu kadar kolaydr? Bu blmde anlatlan ykleri okurken bu sorulan aklnzda tutun.

Mahcup Olmu Gvenlik Grevlisi


Gn/Saat: 17 Ekim, Sal, sabah 02:16. Yer: Skywatcher Havaclk irketi'nin Tucson-Arizona dndaki fabrikas.

Gvenlik Grevlisinin yks


Deri ayakkablarnn topuklarnn, iinde neredeyse hi kimsenin bulunmad fabrikann zemininde tklaym duymak Leroy Greene'e gece saatlerini gvenlik odasnda video monitrlerini seyrederek geirmekten daha iyi gelmiti. Orada ekranlara bakmaktan baka bir ey yapmasna, hatt bir dergi ya da ciltli ncil'ini okumasna dahi izin verilmiyordu. Oturup hibir eyin hareket etmedii sabit grntlere bakmas gerekiyordu. Ama koridorlarda gezinirken en azndan bacaklarm ayor ve iin iine kollarm ve omuzlarn da katt zaman biraz egzersiz yapm oluyordu. Lise Amerikan futbolu takmnda ehir ampiyonasnda sa kanat oynam biri iin bu pek de bir egzersiz saylmazd. Yine de i itir, diye dnd. Gneybat kesini dnd ve bir kilometre uzunluundaki retim alanna bakan kprden yrmeye balad. Aaya bakt ve iki kiinin, yapm tamamlanmam helikopterlerin retim hattnn yanndan getiklerini grd. Gecenin bu saati iin tuhaf bir grntyd. "Kontrol etsem iyi olacak" diye dnd. Leroy, onu retim alannda ikilinin arkasna karacak merdivenlere doru yneldi ve o tam yanlarna gelene kadar adamlar onun geldiini hissetmediler. "Gnaydn. Gvenlik kartlarnz grebilir miyim ltfen" dedi. Leroy byle anlarda hep sesini yumuak tutmaya alrd; sadece cssesinin bile rktc gzkebileceim biliyordu.

138

Aldatma Sanat "Merhaba Leroy", dedi bir tanesi, yaka kartndan adn okuyarak. "Ben Tom Stilton, Phoenbc'deki Genel Mdrlk pazarlama blmnden. Toplant iin ehre geldim ve arkadama dnyann en iyi helikopterlerinin yapld yeri gstermek istedim." "Evet. Kartnz ltfen" dedi Leroy. Ne kadar gen olduklar gznden kamamt. Pazarlamada olduunu syleyen, liseyi yeni bitirmi gibi duruyordu, dierinin salar omuzlarna kadar iniyor ve on be yalarnda grnyordu. Ksa sal olan, kartm karmak iin elini cebine att sonra tm ceplerini yoklamaya balad. Leroy birdenbire bu ile ilgili kt bir hisse kapld. "Kahretsin" dedi adam. "Arabada brakm olmalym. Gidip alabilirim; park yerine gidip gelmem on dakika srmez." Leroy bu arada not defterim karmt. "Adnz ne demitiniz?" diye sordu ve ald cevab dikkatle not etti. Sonra da Gvenlik Ofsi'ne kadar onunla gelmelerini rica etti. Tom, asansrde alt aydr irkette altn ve bu yzden bann belaya girmesini istemediini syledi. Gvenlik odasnda Leroy ikiliyi sorgularken gece devriyesinden iki kii daha onlara katld. Stilton kendi telefon numarasn verdi ve mdrnn Judy Undenvood olduunu syleyerek onun telefon numarasn da verdi. Bilgiler bilgisayardaki verilerle uyuyordu. Leroy dier iki gvenlik grevlisini bir kenara ekti ve aralarnda ne yapmalar gerektiini konutular. Kimse bu ite yanl birey yapmak istemiyordu. de, kadn gecenin bir yansnda yatandan kaldrmak anlamna gelse de mdr aramann en iyisi olduunu dnyorlard. Leroy Bayan Undervvood'u kendisi arad, kim olduunu anlatt ve kendisiyle birlikte alan Tom Stilton adl birinin olup olmadn sordu. Kadnn sesi yar uykulu geliyordu. "Evet" dedi. "Sabah 2:30'da onu zerinde kimlik kart olmadan retim hatlarnn bulunduu alanda bulduk." "Onunla konuaym" dedi Bayan Undenvood. Stilton telefona kt ve "Judy, gecenin ortasnda bu adamlar seni uyandrd iin ok zgnm. Umarm bu benim aleyhime bir durum olmaz." dedi. Adam dinledi ve sonra devam etti. "Yeni basn aklamasyla ilgili toplant iin zaten sabah erkenden burada olmam gerekiyordu. Her neyse, Thompson anlamasyla ilgili e-postay aldn m? Bu ii kaybetmemek iin Pazartesi sabah Jim'le grmemiz gerekiyor. Ve sai: gnk le yemei planmz hl geerli, deil mi?" Biraz daha dinledi, hoakal dedi ve telefonu kapatt. Bu Leroy'u artt; kadmm her eyin yolunda olduunu kendisine de sylemesi iin telefonu geri alacan dnyordu. Mdr tekrar arayp ona bunu sorup sormamas gerektiini dnd ama sonv.

ieriye Girmek

139

vazgeti. Gecenin ortasnda onu zaten bir kere rahatsz etmiti, ikinci bir kere arayacak olursa sinirlenebilir ve kendisini mdrne ikayet edebilirdi. "Ortal kartrmaya ne gerek var?" diye dnd. Stilton, "retim hattnn kalann arkadama gstermemde bir salanca var m?" diye sordu Leroy'a. "Bizimle gelip yanmzda durmak ister misiniz? " "Gidebilirsiniz" dedi Leroy. "Gezin ama bir dahaki sefere kartnz unutmayn. Ve mesai saatleri dnda fabrikada kalacaksanz gvenlii haberdar edin. Kural byle." "Bunu unutmam Leroy", dedi Stilton ve gittiler. Daha on dakika gememiti ki Gvenlik Ofsi'ndeki telefon ald. Arayan Bayan Undenvood'du. "O adam kimdi?", diye sordu. Srekli soru sormaya altn ama adamn konumasn kesmeyip len yemee kmaktan falan sz ettiini anlatt ve kadm onun kim olduunu bilmiyordu. Gvenlik grevlileri danmay ve park yeri giriinde grevli bekiyi aradlar. Her ikisi de birka dakika nce iki gen adamn ktn sylediler. Sonradan yky anlatrken Leroy her zaman yle bitiriyordu; "Tanr biliyor patron beni batan aa fralad. Hl bir iim olduu iin ok anslym."

Joe Harper'n yks


On yedi yandaki Joe Harper yalnzca neler bulabileceini merak ettii iin bir yldan uzun sredir, bazen gece bazen gndz binalara giriyordu. Her ikisi de gece alan, mzisyen bir babann ve kokteyl garsonu bir annenin olu olarak Joe'nun kendi bana geirecek ok zaman vard. Ayn olaya ait kendi yks her eyin nasl gelitiine eitici bir k tutmaktadr: Helikopter pilotu olmak isteyen Kenny adnda bir arkadam var. Helikopterleri yaptklar retim alanm grmek iin onu Skywatcher fabrikasna sokup sokamayacam sordu. Daha nce baka yerlere girdiimi biliyordu. Girmemem gereken yerlere girmeye almak benim iin tam bir heyecan frtmasdr. Ancak bir fabrikaya ya da ofis binasna elini kolunu sallayarak giremezsin. zerinde dnmeli, planlar ve hedefle ilgili tam bir keif yapmalsn. Adlar, unvanlar, raporlama yaps ve telefon numaralar iin irketin internet sayfasna bakar, gazete kuprlerini ve dergi yazlarn okursun. Benim gvenlik anlaym titiz bir aratrma oluturur; bu yzden bana meydan okuyan herkesle, bir alan kadar bilgili bir ekilde konuabilirim. Bu durumda nereden balayacaktm? nce internetten irketin nerel-

140

Aldatma Sanat erde brolarnn olduuna baktm ve irket Genel Mdrl'nn Phoenix'de olduunu rendim. Mkemmel. Arayp pazarlama blmn istedim; her irketin bir pazarlama blm vardr. Telefonu bir hanm at ve ona Blue Pencil Graphics'den aradm syleyerek, hizmetlerimizden yararlanmak isteyip istemeyeceklerini renmek iin kiminle konumam gerektiini sordum. lgilinin Tom Stilton olduunu syledi. Telefon numarasn istedim ama kadn bana bu bilgiyi dar vermediklerini ancak beni ona balayabileceini syledi. Stilton'm telefonunu telesekreter at ve sesli mesaj yle dedi, "Ben Grafik Blm'nden Tom Stilton, dahil 3147, ltfen mesaj braknz." Dar dahili numara vermiyorlard ama bu adam brakt sesli mesajda kendisinkini veriyordu. Bu iyiydi. Artk elimde bir ad ve bir dahil numara vard. Ayn ofisi bir kez daha aradm. "Merhaba, Tom Stilton'u aryordum ama yerinde yok. Mdrne birka kk soru sormak istiyordum. 'y Mdr de dardayd, ama iim bittiinde md'irnn de adn renmitim. Ve o da nazik bir ekilde sesli mesajnda dahil numarasn brakmt. Herhalde danma grevlisinden zorlanmadan geebilirdim ama fabrikann oradan arabayla gemitim ve park yerinin evresinde tel it olduunu hatrlyordum. it demek, ieri girmeye altnzda sizi kontrol etmek isteyen bir beki demektir. Geceleri plakalar not ediyor olabilirlerdi; bu yzden bit pazarndan eski bir plaka almak zorunda kaldm. Ama nce beki kulbesinin telefon numarasn bulmam gerekiyordu. Yeniden aradmda ayn santral memuru karsa beni tanmamas iin biraz bekledim. Sonra aradm ve dedim ki, "Ridge Caddesi beki kulbesindeki telefonun srekli gidip geldii yolunda bir ikyet almtk; sorun devam ediyor mu?" Santral memuru kadn bilmediini syledi ama beni oraya balayacakt. Telefonu bir adam at. "Ridge Caddesi kaps, ben Ryan." "Merhaba Ryan, adm John." dedim. "Orada telefonlarla ilgili bir sorun yayor musunuz? " Adam yalnzca dk cretli bir gvenlik grevlisiydi ama sanrm biraz eitim almt; nk hemen, "Adnz John muydu? Soyadnz neydi?" diye sordu. Sanki onu duymam gibi konumay srdrdm. "Daha nce biri arayp bir sorun olduunu sylemiti". Telefonu azndan uzakta tutup bardm duyabiliyordum. "Hey, Bruce, Roger. Bu telefonda bir sorun olmu muydu?" Tekrar ahizeyi kulana gtrd ve "Hayr, bildiimiz kadaryla hi sorun kmam." dedi. "Orada ka hat var? " Admla ilgilenmeyi tamamen brakmt. "ki" dedi. "u anda hangisini kullanyorsun?"

eriye Girmek "3140." Yakaladm! "Her ikisi de alyor mu?" "yle grnyor."

141

"Tamam" dedim. "Tom, eer herhangi bir sorunla karlarsanz, teknik servisi aramanz yeterli. Seve seve yardmc oluruz." Arkadam ve ben hemen ertesi gece fabrikay ziyaret etmeye karar verdik. Akamstne doru pazarlamadaki adamn adn kullanarak nbeti kulbesini aradm. "Merhaba, ben Grafik blmnden Tom Stilton. Zorlu bir teslim tarihi yaklayor ve bize yardm etmek iin ehre gelecek birka arkada var. Byk olaslkla sabah birden ikiden nce orada olmazlar. O saatte vardiyanz devam ediyor mu?" Hayr dedii iin mutluydu; gece yars kyordu. "Bir sonraki adam iin bir not brak" dedim. "ki kii gelip de Tom Stilton'u grmek istediklerini sylerlerse, onlar ieri alsn, olur mu?" Evet, dedi adam sorun olmazd. Adm, blmm ve dahili numaram ald ve ilgileneceini syledi. kiyi biraz gee arabayla kapya gittik, Tom Stilton'n adn verdim ve uykulu bir beki ieri girmemiz gereken kapy iaret etti ve nereye park etmemiz gerektiini gsterdi. Binaya girdiimizde, danmada, her zamanki mesai saatleri d imzalarnn atld bir gvenlik noktas daha vard. Grevliye sabaha bitirmem gereken bir rapor olduunu ve bu arkadamn fabrikay grmek istediini syledim. "Helikopterlere baylr" dedim "Sanrm helikopter kullanmay renmek istiyor." Benden kartm istedi. Elimi cebime attm sonra stm yokladm ve arabada brakm olabileceimi syledim. "Gidip alaym" dedim. "On dakika srer." Adam ise, "Bo ver, sorun yok, imzalaman yeterli." dedi. retim hatt boyunca yrmek ok iyiydi. Ta ki o am yarmas Leroy bizi durdurana kadar. Gvenlik ofisinde, irket alan olmayan birinin ok sinirli ve korkmu davranacan anladm. ler iyice kartnda gerekten kzm gibi davrandm. Sanki gerekten sylediim kiiymiim de bana inanmamalarna bozulmuum gibi. Mdrm olduunu sylediim kadn arayp aramayacaklarna karar vermeye ve ev numarasn bilgisayardan bulmaya alrlarken bir an iin, "Tabana kuvvet kamann tam zaman" diye dndm. Ama iin iinde park yeri kaps vard, binadan kmay basarsak bile. kapy kapatrlard ve biz hepten ierde kalrdk. Leroy, Stilton'un mdr olan kadn arayp sonrasnda telefonu bana verdiinde kadn bana barmaya balad. "Kimsiniz, kiminle konuuyorum ? " dedi ama ben de sanki tatl bir sohbet ediyormcasna konumaya devam ettim, sonra da telefonu kapattm.

142

Aldatma Sanat Gecenin ortasnda irket numarasn verebilecek birini bulmak ne kadar zaman alr? Kadn gvenlik ofisini arayp adamlar uyarmadan nce buradan kmak iin on be dakikadan az zamanmz olduuna karar verdim. ok acelemiz varm gibi grnmeden oradan kabildiimiz kadar hzl ktk. Kapdaki beki bize el sallamakla yetindiinde kesinlikle ok ferahlamtk.

Aldatmacann ncelenmesi
Bu hikyenin dayand gerek olayda saldrganlarn gerekten ergenlik anda genler olduklarn vurgulamakta yarar var. ieri girme giriimi bu iten syrlp syrlmayacaklarn grmek iin yaptklar bir elenceydi. Ama bir ift gen iin bu kadar kolay olduysa yetikin hrszlar, sanayi casuslar ya da terristler iin ok daha kolay olurdu. deneyimli gvenlik grevlisi bir ift davetsiz misafirin ellerini kollarn sallayarak gitmelerine nasl izin verdiler? stelik bunlar herhangi iki kii deil, makul birini kukuya drecek kadar gen bir ikiliyken. Leroy nceleri doru bir hareket yapp phelenmiti. Onlar Gvenlik Ofisi'ne gtrmekte ve adnn Tm Stilton olduunu syleyen adam sorgulayarak, verdii adlar ve telefon numaralarn kontrol etmekte haklyd. Yneticisine telefon etmek konusundaki karar da son derece yerindeydi. Ama sonunda gen adamn kendine gvenine ve fkesine aldand. Bir hrsz ya da ieri zorla girmeye alan birinden beklenecek trden bir davran deildi; yalnzca bir alan byle davranabilirdi... Ya da Leroy yle olacan varsaymt. Leroy hislerine deil, salam kimlik tespitine inanacak ekilde eitilmeliydi. Gen adam telefonu, kendisine vermeden kapattnda neden daha fazla kukulanmamt? Bylece Leroy, kimliin dorulunu dorudan Judy Underwood'dan renebilir ve ocuun gece ge saatte fabrikada bulunmasnn bir nedeni olduuna dair ondan gvence alabilirdi.

Mitnick Mesaj:
Etkileyici insanlarn ou zaman ekici kiilikleri vardr. Genellikle hzl harekete geerler ve olduka konukandrlar. Toplum mhendisleri de ibirlii yaptracak ekilde insanlarn dnce srelerini bozmakta ustadrlar. Herhangi birinin bu tarz bir etkilemeye ak olmadn dnmek toplum mhendisinin becerilerini ve avlanma gdsn hafife almak olur. te yandan iyi bir toplum mhendisi hi bir zaman hasmn hafife almaz.

ieriye Girmek

143

Leroy yle cretkr bir dalavereye gelmiti ki durumu ak diye grmesi gerekirdi. Ama bir de onun bak asndan bakalm: Bir lise mezunu, i endiesi, gecenin ortasnda bir irket yneticisini ikinci kez rahatsz etmenin kendi ban derde sokup sokmayaca dncesinin getirdii kararszlk. Eer siz onun yerinde olsaydnz, ikinci aramay yapar mydnz?" Ancak doal olarak ikinci arama tek olas hareket deildi. Gvenlik grevlisi baka ne yapabilirdi? Mdre telefon etmeden nce ikiliden resimli kimlik belgeleri gstermelerini isteyebilirdi. Fabrikaya arabayla gelmilerdi, yani en azndan birinin src ehliyeti vard. in banda sahte isim verdikleri hemen ortaya kard (profesyonel biri elinde sahte bir kimlikle gelebilirdi ama bu genler yle bir nlem almamlard). Her koulda Leroy kimlik belgelerini inceleyip bilgiyi not etmeliydi. kisi de zerlerinde kimlik olmadn syleyecek olsalard, bu durumda onlar arabaya kadar gtrp "Tom Stilton"un orada braktn syledii irket kimlik kartn alacaklard. Telefon grmesinin ardndan, gvenlik ekibinden biri, binadan ayrlana kadar ikisiyle birlikte kalmalyd. Sonra arabalarna kadar onlarla birlikte gitmeli ve plakalarn not etmeliydi. Eer yeterince dikkatli biriyse (saldrgann bit pazarndan ald) plakann geerli bir kayt puluna sahip olmadn grrd. Bu da durumu daha derinlemesine incelemek zere ikisini alkoymak iin yeterli bir nedendi.

p Dal
p dal terimi, ie yarar bilgiler bulmak iin hedefin pn kartrma ii iin kullanlr. Bu yntemi kullanarak bir hedefle ilgili elde edebileceiniz bilgi miktar artcdr. ou insan neleri attna pek dikkat etmez: telefon faturalar, kredi kart ekstreleri, reeteli ila kutular, banka faturalar, ile ilgili belgeler ve daha neler neler. yerlerinde alanlar, birilerinin, ilerine yarayacak bilgileri bulmak iin pleri kartrdklar konusunda uyarlmaldrlar. Lise yllarmda yerel telefon irketi binalarnn arkasndaki pleri kartrmaya giderdim. Genellikle yalnz olurdum ama arada bir telefon irketlerine benzer bir ilgi duyan baka arkadalarla da gittiim olurdu. p dalnda bir kere ustalatnz m, birka numara kapyordunuz; rnein tuvaletlerden gelen p torbalarndan uzak durmak iin zen gstermeyi ve eldiven giymenin nemini kavramak gibi. p dal elenceli deildir, ama getirii inanlmazdr-irketin dahl

144

Aldatma Sanat telefon rehberleri, bilgisayar kullanm klavuzlar, alan listeleri, santral cihazlarnn nasl programlandn gsteren atlm ktlar ve daha fazlas- hepsi orada durmu alnmay beklerler. Yeni rehberlerin kt akamlarda p ziyaretleri yapardm, nk p bidonlarnda dnmeden atlm ynla eski rehber olurdu. Baka tuhaf zamanlarda da baz ilgin bilgi cevherleri ierebilecek not ktlar, mektuplar, raporlar gibi eyler bulmak iin giderdim.

Terimler
P DALII: Ya kendi bana deerli olan ya da dahil telefon numaralar ve unvanlar gibi toplum mhendislii srasnda kullanlabilecek aralar olan atlm bilgileri bir irketin pnden (genellikle darda ve korumasz olan bir plkten) toplama ii.

Gittiimde nce mukavva kutular bulur, bunlar ekip karr, bir kenara koyardm. Biri bana ne yaptm soracak olursa, ki bu arada srada olurdu, bir arkadamn tandn ve ona yardmc olmak iin kutu topladm sylerdim. Bekiler, gtrmek iin kutulara koyduum belgeleri hibir zaman fark etmezdi. Baz durumlarda bana ekip gitmemi sylerlerdi, ben de baka bir telefon irketinin merkez binasna giderdim. Bugn nasl bilmiyorum ama o zamanlar hangi torbalarda ilgin bir eylerin olabileceini anlamak kolayd. Yerden sprlen tozlar ve kantin pleri dorudan byk torbalara koyulurken, ofis p kutularnda temizlikilerin bir bir karp azlarn baladklar beyaz, tek kullanmlk p torbalar kullanlrd. Bir keresinde, arkadalarla birlikte kartrrken elle yrtlm katlar bulduk. Sadece yrtlmakla kalmam, birileri enmeyip katlar kk paralara da ayrmt. Hepsi birden, kullanl bir ekilde tek bir yirmi litrelik p torbasna doldurulmutu. Torbay civardaki rek dkknlarndan birine gtrdk, paralan bir masaya yaydk ve hepsini tek tek birletirmeye baladk. Hepimiz yapboz yapan kiilerdik, o yzden bu bize dev bir yapbozun heyecan verici meydan okumasn yaatyordu... Ama sonucuna baklrsa, ocuksu bir heyecandan daha fazlasn ieriyordu. Tamamlandnda, irketin kritik bilgisayar sistemlerinden birine ait tm kullanc adlar ve parolalarnn bulunduu bir liste ortaya kmt. p dal maceralarmz gsterdiimiz abaya ve aldmz riske deer miydi? Kesinlikle deerdi. Dndnzden daha da fazlasna deerdi, nk bu iin tehlikesi sfrd. O zamanlar byleydi, bugn de byle. Arazilerine izinsiz girmediiniz srece bakalarnn pn kartrmak yzde yz yasaldr. Doal olarak kafalarn pe sokanlar bir tek telefon beleileri ve bilgisayar korsanlar deildir. lkedeki tm polis kuvvetleri, dzenli

ieriye Girmek

145

aralklarla plerden bilgi toplarlar ve mafya babalarndan tutun da basit hrszlara kadar bir yn insan plerden toplanan kantlara dayandrlarak hkm giymitir. Bizimki de dahil, istihbarat rgtleri bu yola yllardr bavurmaktadrlar. James Bond iin aalk bir yntem olabilir. Sinemaseverler onu dizlerinin stnde p kartrrken deil de kurnazca dmann alt edip bir fst yataa atarken grmeyi tercih edeceklerdir. Deerli bir ey muz kabuklarnn ve kahve artklarnn arasndan karabildiinde gerek casuslar o kadar mklpesent deildirler. zellikle pten bilgi toplamak tehlikeye atlmalarn nleyecekse.

irketler de p dal oyununu oynarlar. Gazetelerin Haziran 2000'de bayram ettikleri bir gn vard, Oracle irketinin (Oracle Genel Mdr Larry Ellison herhalde lkenin en lafn esirgemeyen Microsoft kartyd) bir aratrma irketi tuttuunu ve aratrma irketinin sust yakalandn yazyorlard. Grne gre, aratrmaclar, Microsoft'un destekledii ACT adl bir halkla ilikiler irketinin pn istiyorlard ama yakalanma tehlikesini gze alamadlar. Basnda kanlara gre aratrma irketi bir kadn gndermi ve kadn ACT p karlnda kapclara 60 dolar teklif etmiti. Kapclar teklifi geri evirmilerdi. Ertesi gece kadn yine gelmi ve teklifini 500 dolara karm, balarndaki adama da 200 dolar teklif etmiti. Kapclar kadna "hayr" demiler, sonra da polise haber vermilerdi. nde gelen internet gazetecilerinden Declan McCullah, edebiyattan esinlenerek, konuyla ilgili VVired News yazsnn baln yle atmt, "MS'yi Gzetleyen Oracle Olmasn?" Time dergisi dorudan Oracle Genel Mdr Ellison'u mimleyip, yazsn baln basite, "Dikizci Larry," eklinde belirlemiti.

Aldatmacann ncelenmesi

'

Benim yaadklarma ve Oracle'n yaptna bakarak neden birilerinin bakalarnn pn almak isteyeceini merak edebilirsiniz. Yant, sanrm, tehlike boyutunun sfr ama kazancn hatr saylr olmas olurdu. Tamam, belki kapclara rvet vermek sonularn istendii gibi olma olasln artrr ama biraz kirlenmeyi gze alan biri iin rvet gerekli deildir. Bir toplum mhendisi iin p dallarnn kendi faydalar da vardr. Hedef irkete yapaca saldry ynlendirebilecek kadar isim, blmler, unvanlar, telefon numaralan ve proje grevlendirmeleri gibi bilgileri bulabilecei, aralarnda not defterleri, ajandalar, mektuplar ve benzeri eyler olan eyalar toplayabilir. plerden, irket kurulu emalar, ir-

146

Aldatma Sanat

Mitnick Mesaj:
Sizin pnz dmannzn hazinesi olabilir. zel yaammzda attmz eyalarn ok zerinde durmayz; o zaman neden i yerindeki insanlarn farkl bir yaklam olmas gerektiine inanyoruz? Her ey igcn tehlikeler (deerli bilgiler arayan ahlakszlar) ve verilen aklara (tcden geirilmemi ya da doru drst silinmemi hassas bilgiler) konusunda eitmekte bitiyor. ket yapsyla ilgili notlar, yolculuk tarihleri ve bunun gibi bilgiler kabilir. Tm bu ayrntlar ieriden birine nemsiz gibi grnebilir, ancak bir saldrgan iin fazlasyla deerli bilgiler olabilir. Mark Joseph Edvvards, Internet Security with Windows NT adl kitabnda kimilerine sadece p gibi grnen materyallerden "yazm hatalar yznden atlm raporlar, kt paralarna yazlm parolalar, zerlerinde telefon numaras olan 'seni surdan aradlar' gibi notlar, iinde hl evrak olan klasrler, silinmemi ya da imha edilmemi disketler ve bantlar; hepsi de olas bir saldrgana yardmc olacak eylerdir." diye bahseder. Yazar devam eder ve u soruyu sorar: "... temizliki olarak alan kiiler kimlerdir? Temizlikilerin bilgisayar odasna girmemesine karar vermisinizdir; ama unutmayn ki p kutular girebilir. Eer federal kurumlar p kutularna ve kt tclerine eriimi olan insanlara sicil soruturmas yapmay gerekli gryorlarsa, belki siz de bunu yapmalsnz."

Kk Den AAdr
Harlan Fortis her zamanki gibi Blge Otoyol Dairesi'ndeki iine geldii zaman kimse bir tuhaflk olduunu dnmemiti. Evden aceleyle ktn ve kartn unuttuunu syledi. Gvenlik grevlisi, burada alt iki yllk sre boyunca Harlan'n hafta ii her gn ofise girip ktn grmt. Geici bir alan kart vererek bir imza attrd ve adam iinin bana gitti. iki gn sonra iler karmaya balad. Hikye tm blme saman alevi gibi yayld. Duyan insanlarn yars olayn doru olamayacan dnyordu. Kalanlar ise kahkahalarla glsnler mi yoksa zavall adama acsnlar m bilemiyorlard. Ne de olsa George Adamson nazik ve sevecen biri ve balarna gelen en iyi blm yneticisiydi. Yaadklarn hak etmemiti. Yani hikyenin gerek olduu dnlrse. Sorun, George'un bir cuma gn ge saatte Harlan' odasna

ieriye Girmek

147

arp, elinden geldii kadar nazik bir ekilde pazartesi gn yeni birimine gitmesinin gerektiini sylemesiyle balad; Salk Hizmetleri Dairesi'ne. Harlan iin bu iten atlmak gibi deildi. Daha da ktyd; kk drcyd. Sesini ksp bunu sineye ekmeyecekti. Ayn akam, sundurmasnda oturmu, evlerine dnen insanlar seyrediyordu. Sonunda ayn mahallede oturan David adndaki ocuu grd. Okuldan mobiletiyle eve dnen o ocua herkes "Sava Oyunlan'ndaki ocuk" diyordu. David'i durdurdu; bu ama iin ald Mountain Dew Code Red ieceini verdi ve ona bir i teklif etti: Bilgisayarlarla ilgili yardm ve azn sk tutmas karlnda en yeni video oyun konsolu ve alt yeni oyun. Harlan -phe uyandrabilecek ayrntlara girmeden- projesini anlattktan sonra David yardm etmeyi kabul etti. Harlan'a ne yapmas gerektiini aklad. Bir modem satn alacak, ofise gidecek, fazladan bir telefon girii olan birinin bilgisayarna modemi balayacakt. Cihaz kimsenin gremeyecei bir ekilde masann altna saklayacakt. Sonra tehlikeli ksm geliyordu. Harlan'n, bilgisayarn bana oturup, bir uzaktan eriim yazlm paketini indirip altrmas gerekiyordu. Her an masann sahibi geri gelebilir ya da baka biri geerken Harlan' adamn ofisinde grebilirdi. O kadar huzursuzdu ki ocuun onun iin yazd listeden yapmas gerekenleri glkle okuyabiliyordu. Ama ii bitirdi ve farkedilmeden binadan kt.

Bombay Yerletirmek

David o gece yemekten sonra ona urad, ikisi birlikte Harlan'n bilgisayarnn bana oturdular ve olan birka dakika iinde modeme balanp eriim salayarak George Adamson'n makinasna ulat. ok zor olmamt, nk George parolasn deitirmek gibi emniyet nlemlerini hibir zaman almazd ve srekli birilerinden bir dosyay indirmesini ya da elektronik postayla gndermesini isterdi. Zaman iinde ofisteki herkes adamn parolasn renmiti. David biraz gezindikten sonra bilgisayarda BteSlaytlar2002.ppt dosyasn buldu ve onu Harlan'n bilgisayarna indirdi. Harlan sonra ocua eve gitmesini ve birka saat sonra geri gelmesini syledi. David geri geldiinde, Harlan ondan Otoyol Dairesi'nin bilgisayar sistemine balanmasn ve ayn dosyay, eskisini silerek, bulduklar yere koymasn istedi. Harlan David'e video oyun konsolunu gsterdi ve her ey yolunda giderse aletin yarn onun olacana sz verdi.

George'u artmak
Bte grmeleri gibi kulaa skc gelen bir eyin pek kimsenin ilgisini ekeceini dnmezsiniz ama Blge Konseyi'nin toplant odas, gazeteciler, zel ilgi guruplarnn temsilcileri, halktan insanlar ve hatt iki televizyon haber ekibiyle tkabasa dolmutu.

148

Aldatma Sanat

George bu grmelerde her zaman ok eyin risk altnda olduunu dnmt. Kesenin azn aacak olan le Konseyi'ydi ve George ikna edici bir sunum yapmazsa Otoyol Btesi ksalacakt. Sonra da herkes yollardaki ukurlardan, almayan trafik lambalarndan ve tehlikeli drtyol azlarndan ikyeti olmaya balayacak ve onu sulayacakt. Ertesi yl yaam daha da sefil bir hal alacakt. Krsye kacak kii olarak tantldnda kendine gveniyordu. Bu sunum zerinde alt hafta almt ve PovverPoint slaytlarn karsna, dier yneticilere ve baz yakn arkadalarna gstermiti. Herkes bunun imdiye kadar yapt en iyi sunum olduunda hemfikirdi. ilk slayt ok iyi gitti. Her zamankindan farkl olarak btn Konsey yeleri dikkatlerini ona vermi gibiydiler. Vurgulamak istedii noktalar etkili bir ekilde belirtiyordu. Ve sonra birden her ey ters gitmeye balad. Drdnc slaytta geen yl alan yeni otoyolun gnbatmnda ekilmi bir fotorafnn olmas gerekiyordu. Onun yerine baka bir ey vard, fazlasyla kk drc bir ey: Penthouse ya da Hustler tr bir dergiden alnma bir resim. Dinleyicilerin hayret dolu seslerini duydu ve bir sonraki slayta gemek iin hemen dizst bilgisayarnn dmesine bast. Bu daha da ktyd. Hayal gcne hibir ey braklmamt. Tklayarak bir sonraki slayta gemeye alyordu ki dinleyicilerden biri projektrn fiini ekti ve bu srada toplant bakan tokman serte vurarak grltnn iinde toplantnn ertelendiini duyurdu.

Aldatmacann ncelenmesi
Bu tepesi atm alan, gen bir bilgisayar korsannn bilgilerini kullanarak, daire yneticisinin bilgisayarna girmeyi baarm, nemli bir PovverPoint sunumunu indirmi ve baz slaytlar kesinlikle kk drc baka resimlerle deitirmiti. Sonra da sunumu adamn bilgisayarna geri koymutu. Modem bir fie takl ve ofis bilgisayarlarndan birine balyken gen korsan telefon hattn kullanarak dardan balanabilmiti. ocuk, uzaktan eriim yazlmn nceden kurmutu, bylece bilgisayara balandktan sonra sistemde duran her dosyaya tam eriim salayabilecekti. Bilgisayar, kuruluun ama bal olduu ve ocuk mdrn kullanc adn ve parolasn bildii iin kolaylkla mdrn dosyalarna eriebilirdi. Dergi resimlerini taraycdan geirmek de dahil, tm i yalnzca birka saat srmt. Sonu olarak iyi bir adamn erefine srlen leke ise akl almaz bir byklktedir.

ieriye Girmek

149

Mitnick Mesaj:
iten atlan, baka bir birime aktarlan ya da klme nedeniyle iine son verilen alanlarn byk blm hi sorun yaratmazlar. Ancak bir irketin felaketi nlemek iin ne gibi nlemler alabileceini anlamas iin bir tane sorun kmas yeter. Deneyimlerin ve istatistiklerin aka gsterdiine gre irkete en byk tehlike ierden gelmektedir. Deerli bilgilerin nerede durduuyla ilgili ayrntl bilgiyi ve irketi nereden vurmann en byk zarar vereceini ancak ierdekiler bilebilirler.

Terfi steyen Biri


Gzel bir sonbahar gn leden nce Peter Milton, Honorable Oto Yedek Paralan'nn Denver'daki blge ofisi binasnn lobisine girdi. Bu irket, araba piyasas iin ulusal boyutta bir yedek para toptancsdr. Peter danmada bekledii srada danma grevlisi gen hanm onu ziyareti olarak kaydetti, arayan birine arabayla geli yolunu anlatt ve kargo irketinden gelen bir adamla ilgilendi. Bunlarn hepsi aa yukar ayn zamanda oldu. Kadn ona yardmc olmak iin zaman bulunca, "Bu kadar ok eyi bir arada yapmay nasl rendiniz?", diye sordu Peter. Kadn glmsedi; grne gre bunu farketmesinden memnun olmutu. Ona Dallas Brosu pazarlamadan olduunu ve Atlanta blge satlar sorumlusu Mike Talbott'un kendisiyle greceini syledi. "Bugn ziyaret edeceimiz bir mterimiz var" dedi. "Burada, lobide bekleyeceim." "Pazarlama", dedi gen kadn neredeyse arzu dolu bir ekilde ve Peter ona glmsedi. Ardndan ne geleceini duymak istiyordu. "niversiteye gitseydim, bu konuda eitim alrdm." dedi. "Pazarlamada almay ok isterdim." Peter yeniden glmsedi. "Kaila", dedi, masann stndeki levhadan kadnn adn okuyarak. "Dallas bromuzda eskiden sekreter olan bir hanm vard. Kendini yl nce pazarlamaya aldrd. imdi pazarlama mdr yardmcs ve eskiden kazandnn iki katn kazanyor." Kaila ltl gzlerle bakt. Adam devam etti, "Bilgisayar kullanabilir misin?" "Elbette", dedi kadn. "Pazarlamada bir sekreterlik ii iin yukardakilere seni nermeme ne dersin?" Birden yz aydnland. "Bunun iin Dallas'a bile giderim."

150

Aldatma Sanat

"Dallas'a baylacaksn." dedi adam. "u anda bir ak olup olmadna dair birey syleyemem ama elimden geleni yapacam." Kaila, takm elbiseli, kravatl, dzgn kesimli ve iyi taral salar olan bu cici adamn i yaamnda byk bir deiiklik yaratabileceini dnd. Peter lobide oturdu, dizst bilgisayarn at ve i yapmaya balad. On-on be dakika sonra yeniden masaya geldi. "Grne gre Mike'in ii uzad. Beklerken e-postalarma bakabileceim bir konferans salonu var m?"

-i

Kaila konferans salonlarnn kullanm saatlerini ayarlayan adam arad ve Peter'in ayrtlmam bir tanesini kullanabilmesi iin gerekli ayarlamalar yapt. Silikon Vadisi irketlerinden gelen bir gelenei srdrerek (Apple herhalde bu uygulamay ilk balatandr), baz konferans salonlarna izgi film kahramanlarnn, lokanta zincirlerinin, film yldzlarnn ya da izgi roman kahramanlarnn isimleri verilmiti. Fare Minnie salonunu bulmas sylendi. Kadn giri ilemlerini yapt ve Fare Minnie salonuna nasl gideceini anlatt. Peter oday buldu, ieri yerleti ve bilgisayarn ethemet giriini kullanarak aa balad. Neler olup bittiini anlayabildiniz mi? Doru; saldrgan irketin gvenlik duvarnn arkasna geerek irket ana balanmt.

Anhony'nin yks
Sanrm Anthony Lake'in tembel bir iadam olduu sylenebilirdi. Ya da belki "dzenbaz" demek daha yerinde olabilir. Baka insanlar iin almak yerine kendi iini kurmak istemiti; hayali sabit bir yerde duraca ve tm lkede koturup durmasn gerektirmeyecek bir dkkn amakt. Ancak para getireceinden emin olduu bir i yapmak istiyordu. Ne tr bir dkkn olabilirdi acaba? Bulmas uzun srmedi. Araba tamiratndan anlyordu, bylece araba yedek paralar dkknnda karar kld.

'" *
j

Baarl olmay nasl garantiye alabilirdi? Yant aklna imek gibi geldi: Honorable Oto Yedek Para Toptancs'n tm mallarn kendisine maliyetine satmaya ikna etmek. -i Doal olarak byle bir eyi isteyerek yapmazlard. Ancak Anthony insanlar nasl kandracan, arkada Mickey ise bakalarnn bilgisayarlarna nasl gireceini biliyordu. kisi birlikte zekice bir plan yaptlar.

ieriye Girmek

151

Mitnick Mesaj:
alanlarnz, bir kitab yalnzca kapana bakarak deerlendirmemeleri konusunda eitin. Bir kiiye, yalnzca iyi giyimli olduu ve sa ba yapl olduu iin inanlmamak. O sonbahar gn kendini inandrc bir ekilde Peter Milton adnda bir alan olarak tantt ve alanlar dalavereye getirip Honorable Oto Yedek Para binasna girerek, dizst bilgisayarn aa balad. imdiye kadar her ey yolunda gitmiti. Bundan sonra yapmas gerekenler kolay olmayacakt, zellikle de Anthony kendine on be dakikalk bir limit belirlemiken. Daha uzun srerse farkedilme tehlikesinin giderek artacan dnyordu. Bilgisayar aldklar irkete bal bir destek personeli gibi davranarak daha nce yapt bir telefon grmesinde onlara uzun bir terane okumutu. "irketinizin bizimle iki yllk bir destek kontrat var, bu yzden sizi veri tabanmza ekliyoruz bylece kullandnz bir yazlm iin bir yama ya da yeni bir ykseltilmi srm ktnda haberiniz olacak. Hangi uygulamalar kullandnz renebilir miyim?" Gelen yant bir program listesi eklindeydi ve muhasebeci bir arkada MAS 90 adl programn aradklar -perakende dkknlarn listesi ve her birine verilen indirimler ve deme koullarn ieren- program olduunu syledi. Bu kilit bilgiden yararlanarak, adaki tm geerli terminalleri tanmlayan bir yazlm kulland ve muhasebe blmnn kulland doru sunucuyu bulmas ok zamann almad. Dizst bilgisayarna ykl korsanlk aralar takmndan bir program altrd ve onu hedef sunucuda bulunan yetkili kullanclar belirlemek iin kulland. Baka bir programla, "boluk" ve "parola" gibi sk kullanlan parolalar denemeye balad. "Parola" ie yarad. alacak bir durum deildi. parola semeye gelince insanlar tm yaratclklarn kaybediyorlard. Yalnzca alt dakika gemiti ve oyunun yars bitmi, ieri girmiti. Bir dakikay da yeni irket adn, adresini, telefon numarasn ve balant numarasn dikkatle mteri listesine eklemekle geirdi. Ve sra en kritik, her eyin temel amac olan deiiklie geldi. Bu, tm Honorable Oto Yedek Paralar'nn ona %1 kazanla satlacan belirleyen deiiklikti. Yaklak on dakika iinde ii bitmiti. Kaila'ya teekkr edip e-postalarn okuma iini bitirdiini syleyecek kadar oyaland. Ayrca Mike Talbot'un kendisine ulatn, planda bir deiiklik olduunu ve mterinin ofisinde buluacaklarn syledi. Kaila'ya onu pazarlamadaki o i iin nereceini sylemeyi de ihmal etmedi ekledi.

152

Aldatma Sanat

Kendini Peter Milton olarak adlandran saldrgan iki psikolojik tahrip teknii kullanmt; biri planlyd dieri de o anda uydurulmutu. yi para kazanan bir ynetici gibi giyinmiti. Kravat, ceket, dzgn kesimli salar; bunlar kk ayrntlar gibi grnebilirler ama kesinlikle bir etki brakrlard. Bunu ben istemeden kefetmitim. GTE Kaliforniya ofisinde -artk var olmayan byk bir telefon irketinde- altm ksa sre ierisinde kartm olmadan rahat ama dzgn giyimli -rnein, spor bir gmlek, pilisiz pantolon ve Dockers ayakkablarla- bir ekilde ie gelirsem durdurulup sorguya ekilirdim. Kartn nerede, kimsin, nerede alyorsun? Baka bir gn ise, yine kartsz ama takm elbise ve kravat takp i adam gibi giderdim. Eskiden kalma, hemen arkasndan geme ynteminin bir trn kullanp, binann iine ya da gvenlikli bir girie doru yryen insan kalabalnn arasna karrdm. Ana girie yaklarlarken baz insanlara taklp onlardan biriymi gibi sohbet ede ede yrrdm. Kapdan geerdim ve gvenlik grevlileri kartmn olmadn anlasalar bile ynetici gibi gzktm ve kartlar olan insanlarla birlikte yrdm iin bana birey demezlerdi. Bu deneyimim sayesinde gvenlik grevlilerinin davranlarnn ne kadar tahmin edilebilir olduunu rendim. Onlar da hepimiz gibi grne bakp karar veriyorlard. Bu da toplum mhendislerinin kullanmay rendikleri ciddi bir zayflkt. Saldrgann ikinci psikolojik silah danmada grevli kzn gsterdi olaanst abay grmesiyle devreye girdi. Pek ok ii ayn anda yaparak, telaa kaplmadan, herkese tm dikkatini verdii hissini yaratyordu. Peter, kzn, kendini kantlamaya alan, ykselmek isteyen biri olduu kansna vard. Pazarlama blmnde altn syleyince kzn tepkisine bakp onunla bir yaknlk kurup kuramayacana dair ipular arad. Saldrgan iin bu, daha iyi bir ie kaydrlmas iin yardm etmeye alacana sz vererek etkileyebilecei insanlar listesine birinin daha eklenmesi anlamna geliyordu. (Eer Muhasebe blmne gitmek istediini sylemi olsayd, doal olarak Peter da orada bir i bulmasnda yardmc olabilecek balantlarnn olduunu syleyecekti.) Saldrganlar bu ykde kullanlan baka bir psikolojik silah dahs kullanmay ok severler: ki kademeli bir saldryla gven yaratmak nce pazarlamadaki ile ilgili biraz sohbet etti ve sonra da gerek birinin "ismini brakma" -baka bir alann adn verme- tekniini ku : land. Sras gelmiken, kendi kulland ad da gerek bir alana aitt Al sohbetinden sonra konferans salonuna gemeyi hemer isteyebilirdi. Ama onun yerine biraz oturup alrm gibi yapt; gya barkadan bekliyordu. Olas pheleri bastrmann baka bir yolu da buydu, nk saldrganlar ortalkta fazla dolamazlard. Yine de ortalk-

ieriye Girmek

153

Mitnick Mesaj: X
Yabanc birinin irket ama dizst bilgisayarn balayabilecei bir yere girmesine izin vermek gvenlik sorunlar oluma tehlikesini artrr. Br alann, zellikle de ehir dndan gelmi birinin, konferans salonundan e-postalanna bakmas son derece makuldr. Ama ziyareti gvenilir bir alan deilse ya da a, yetkisiz balantlar engelleyecek ekilde yaplandrlmamsa, bu durum irket dosyalarnn tehlikeye girmesine olanak tanyan zayf halka olabilir. ta fazla dolamad; toplum mhendisleri su mahalinde gereinden uzun kalmann doru birey olmadn bilirler. ; unu da eklemek gerekir ki: Bu yaznn hazrland dnemdeki yasalara gre Anthony lobiye girerek bir su ilememitir. Gerek bir alann adn kulland zaman da su ilememitir. Ayrca konferans salonunu kendisi iin amalarn salamasnda da bir su unsuru bulunmamaktadr. irket ana balandnda ve hedef bilgisayar aradnda da henz bir su ilememitir. Bilgisayar sistemini krana kadar herhangi bir su ilememitir.

Kevin' Merak Edenler


Yllar nce kk bir ite alrken, bilgi ilem blmn oluturan dier bilgisayarcyla birlikte oturduum ofise ne zaman girsem, adamlardan biri (burada ona Joe diyeceim) bilgisayarndaki grnty hzla deitiriyordu. Bunun pheli bir durum olduunu hemen anladm. Ayn gn ierisinde bu olay iki kere daha tekrarlannca, bilmem gereken bir eyler olduundan emin olmutum. Bu adam benim grmemi istemedii nasl bir i yapyor olabilirdi? Joe'nun bilgisayar irketin minibilgisayarlarna eriimi olan bir ubirim gibi alyordu, bylece neler yaptn izleyebileceim bir takip program ykledim. Program omuzunun stnden bakan bir televizyon kameras gibi alyor, bilgisayarnda ne gryorsa aynsn bana da gsteriyordu. Benim masam Joe'nun masasnn yanndayd; grmesini zorlatrmak iin kendi monitrm mmkn olduunca dndrdm ama her an bakabilir ve onun yaptklarn izlediimi anlayabilirdi. Ancak bu sorun olmayacakt, nk yapt ie kendini fazlasyla kaptrmt. Grdm ey karsnda ok ardm. Alak herifin benim bordro bilgilerimi kartrdn grnce azm ak kald. Adam benim maama bakyordu! O srada orada aylktm ve Joe'nun ondan daha fazla maa c aldm fikrine dayanamadn dndm.

154

Aldatma Sanat

Birka dakika sonra, programlama bilgisi olmayan deneyimsiz bilgisayar korsanlarnn kulland trden aralar indirdiini grdm. Demek Joe dnyadan habersizdi ve Amerika'nn en deneyimli bilgisayar korsanlarndan birinin yannda oturduu konusunda en kk bir fikri yoktu. Bu ok gln bir durumdu. Maamla ilgili bilgileri oktan almt, bu yzden onu durdurmak iin ok geti. Ayrca vergi dairesinde ya da Sosyal Gvenlik Dairesi'nde alan ve bilgisayar eriimi olan herhangi biri de maanza bakabilirdi. Ne iler kartrdn bildiimi syleyerek elimdeki kozu kaybetmek istemiyordum. O zamanlar en byk amacm fazla su yzne kmamakt, iyi bir toplum mhendisi, becerilerinin ve bilgisinin reklamn yapmaz. nsanlarn her zaman sizi hafife almalarn istersiniz, tehlike olarak grmelerini deil. : Bylece olayn stnde durmadm ve Joe benimle ilgili bir sr bildiini sanrken ben kendi kendime gldm, halbuki her ey tam tersiydi. Onun neler kartrdn bilerek kozlar ben elimde tutuyordum. Zamanla, Bi grubunda altmz mesai arkadamn hepsinin de -ekipteki tek kz iin de geerli olmak zere- grdkleri u ya da bu irin sekreterin ya da yakkl bir olann eve gtrdkleri maalarna bakp elendiklerini kefettim. Merak ettikleri herkesin maana ve primlerine bakyorlard. Bunlarn arasnda st dzey yneticiler de vard.

Aldatmacann ncelenmesi
Bu yk ilgin bir sorunu yanstmaktadr. Bordro dosyalar irketin bilgisayar sisteminin ynetiminden sorumlu kiiler tarafndan eriilebilecek bir konumdadrlar. yine bir personel sorunu durumuna gelir: kimin gvenilir olduuna karar vermek. Baz durumlarda B alanlar saa sola gz atmak fikrini ekici bulurlar. Bunu yapacak olanaklar da vardr nk bu dosyalara eriimi kstlayan kontrolleri amak iin zel haklara sahiptirler. Alnacak bir nlem, bordro dosyalan gibi zellikle hassas dosyalara eriimi denetlemek olabilir. Gerekli haklara sahip herhangi biri denetimi kaldrabilir ya da takip edilmelerini salayacak yerleri temizleyebilir, ancak atlacak her adm ahlksz bir alann izlerini saklayabilmesi iin daha fazla aba harcamasn gerektirecektir.

Aldatmacann Engellenmesi
Toplum mhendisleri, pleri kartrmaktan tutun da bir gvenlik grevlisini ya da danma memurunu kandrmaya kadar eitli yntemlerle irket alannza girebilirler. Ama bunlara kar da alabileceiniz nlemler olduunu duymak hounuza gidecektir.

ieriye Girmek

155

Mesai Saatleri Dnda Gvenlik


iyerine kartlar olmadan gelen tm alanlarn, lobide ya da gvenlik ofisinde, o gn iin geici bir kart vermek amacyla durdurulmalar gerekir. Personel kart yannda olmayan biriyle karlatklarnda irket gvenlik grevlilerinin izleyecekleri belirli admlar olsayd, bu blmde anlatlan ilk olay ok daha farkl bir ekilde sonulanabilirdi. Gvenliin ncelik tamad irketlerde ya da irket ii alanlarda herkesin kartn grnr bir yerde tamasnda srar etmek nemli olmayabilir. Ama hassas blgelere sahip alanlarda bu kural, kat bir ekilde uygulanan, standart bir kural olmaldr. alanlar kart gstermeyen kiileri durdurmak konusunda eitilmeli ve tevik edilmelidirler. st dzey alanlara da kendisini durduran kiiyi kk drmeden bu tarz kontrolleri kabullenmeleri retilmelidir. irket kurallar, srekli kartn takmay unutan kiilere verilecek cezalar konusunda alanlar uyarmaldr. Cezalarn arasnda alann bir gnlne cretsiz uzaklatrlmas ya da siciline geecek bir uyarnn verilmesi olabilir. Baz irketler giderek artan sert cezalar yrrle koymulardr. Bu cezalar, kiinin mdrne durumun iletilemesi, sonra da resm bir ihtar eklinde olabilir. Ek olarak, korunmas gereken hassas bilgilerin olduu yerlerde, mesai saatleri dnda ie gelecek kiilere izin verilebilmesi iin gerekli sreler oturtulmaldr. Bir zm, bu ziyaretlerin irket gvenlii ya da bu ie bakan birim araclyla yaplmas olabilir. Bu birim mesai d alma talebiyle arayan herhangi bir alann kimliini kiinin mdrn arayarak ya da baka makul bir gvenlik yntemi izleyerek dzenli olarak kontrol edebilir.

plere Saygl Olmak


p dal yks, irket atklarnzn olas ktye kullanm yollarnn stnde durdu. te pler konusunda akll olmann sekiz anahtar: Tm hassas bilgileri hassaslk derecesine gre snflandrn. Hassas bilgilerin atlmasna ynelik olarak irket apnda i sreleri oluturun. Atlacak tm hassas bilgilerin nce kt tcden geirilmesi konusunda srarl davrann ve tcden gemeyecek kadar kk olup nemli bilgiler ieren kat paralarndan kurtulmak zere gvenli bir yntem belirleyin. Kt tcler, kararl bir saldrgann biraz sabrla bir araya getirebilecei kt eritle.; karan ucuz makinelerden olmamaldrlar. Onlar yerine apraz tc denen trler ya da kty ie yaramaz bir kspeye dntren makineler kullanlmaldr.

156

Aldatma Sanat Atlmadan nce veri kayt ortamlarn -disketler, sktrlm diskler, dosya saklamak iin kullanlan CD'ler ve DVD'ler, bantlar, eski sabit srcler ve dierlerini- tamamen silecek ya da kullanlmaz hale getirecek bir yntem oluturulmasn salayn. Dosyalar silmenin onlar gerek anlamda ortadan kaldrmadn, silinen dosyalarn yeniden kurtarlabildiklerini unutmayn. Enron yneticileri ve pek ok bakalar bunu ac bir ekilde rendiler. Kaydedilebilir ortamlar yalnzca pe atmak mahallenizin arkada canls p dalcsna davetiye karmaktr. (Kaydedilebilir ortamlarn ve aralarn atlmasna ynelik belirli kurallar iin 16. blme baknz.) Temizlik ekiplerinizin seiminde uygun lde bir kontrol salayn, gerekirse sicillerine bakr. alanlarnz, pe attklar eyin ieriine dikkat etmeleri konusunda dzenli olarak uyarn. Byk p bidonlarn kilitleyin. Hassas malzemeler iin farkl atk varilleri kullann ve bu tarz ilerde uzmanlam bir irketle anlaarak malzemelerin imhasn salayn.

alanlara Gle Gle Derken


Hassas bilgilere, parolalara, dardan eriim numaralarna ve benzer eylere eriimi olan bir alan iten ayrlrken uyulmas gereken kat kurallar olmas gerektii bu sayfalarda daha nce vurgulanmt. Gvenlik sreleriniz kimlerin hangi sistemlerde yetkili olduunu takip edecek yollar iermelidir. Kararl bir toplum mhendisinin gvenlik bariyerlerinizden gemesini engellemek zor bir itir ama eski alanlarnz iin de bunun kolay olmamas gerekir. Kolaylkla gz ard edilebilen baka bir ayrnt ise arivden yedekleme bantlarn almaya yetkili bir alan iten ayrldnda grlr. Kda dklm bir kurallar btn, kiinin adnn yetki listesinden silinmesi iin hemen arivleme irketinin aranmas gerektiini vurgulamald'r. Kitabn on altnc blmnde bu nemli konuyla ilgili ayrntl bilgi verilmektedir, ancak bu ykde de grld zere, yerletirilmesi gereken baz kilit gvenlik nlemlerini burada belirtmek yerinde olacaktr: Bir alan ayrldnda atlacak admlarn tam ve ayrntl bir kontrol listesi tutulmaiidr ve hassas bilgilere eriimi olan alanlar iin zel maddeler bulunmaldr. alann bilgisayar eriiminin zaman kaybetmeden -hatt kii daha binay terk etmeden nce- kapatlmasna ynelik bir kural belirlenmelidir.

ieriye Girmek

157

Kiinin tantm kartnn ve eer varsa, anahtarlarn ve elektronik eriim cihazlarnn geri alnmasyla ilgili bir sre oluturulmaldr. Gvenlik grevlilerinin giri kart olmayan alanlar ieri almadan nce resimli bir kimlik kart grmeleri ve kiinin irkette alp almadnn bir listeden kontrol edilmesi kurallarn getiren maddeler olmaldr.

Baz admlar kimi irketler iin ar ya da daha pahal olabilirken bakalar iin uygun olabilir. Bu tarz kat gvenlik nlemleri arasnda aadakiler bulunabilir: Elektronik kimlik kartlaryla alan manyetik giri kaplar bulunmaldr. Kiinin irket personeli olduunun ve binaya girmeye yetkili olup olmadnn elektronik olarak annda belirlenebilmesi iin her alan, kartn taraycdan geirir. (u da unutulmamaldr ki, her eye karn gvenlik grevlileri hemen arkasndan gemelere -yetkisiz birinin gerek bir alann hemen arkasndan ieriye szmasna- kar uyank olacak ekilde eitilmelidir.) Ayrlan kiiyle (zellikle bu kii iten atlmsa) ayn i ekibinde alan herkese parolalarn deitirme zorunluluu getirilmelidir. (Bu ok abartl gibi mi grnyor? General Telephone irketindeki ksa sreli hizmetimden uzun yllar sonra, Pacific Bell gvenlik sorumlularnn General Telephone'un beni ie aldn rendiklerinde "glmekten krldklarn" duydum. Bu General Telephone'un yararna oldu, nk beni iten kardktan sonra nl bir bilgisayar korsann onlarla alm olduunu rendiklerinde, irketteki herkesin parolalarn deitirmesini zorunlu klmlar!)

Binalarnzn hapishane gibi olmasn istemezsiniz ama ayn zamanda dn iten atlp bugn zarar vermeye niyetli olarak geri gelen birine kar da korunmanz gerekir. , Kimseyi U n u t m a y n ' -

Gvenlik politikalar ie yeni girmi alanlar ve hassas bilgiyle har neir olmayan, danma grevlisi gibi kiileri gz ard etme eilimindedirler. Daha nce grdmz gibi, danma grevlileri saldrganlar iin elverili hedeflerdir ve araba yedek paralan irketine girii anlatan yk de bu konuda rnek oluturuyor. irketin farkl bir tesisinde altn syleyen ve bir profesyonel gibi giyinmi arkada canls bir kii grnd gibi olmayabilir. Danma grevlileri yeri geldiinde irket kimliini nazike soracak ekilde eitilmi olmaldrlar ve bu eitim yalnzca ana girite duran danma grevlisine deil, le saatlerinde ya da kahve molalarnda onlarn yerine bakan kiilere de verilmelidir. irket dndan gelen ziyaretiler iin gvenlik kurallar resimli bir

158

Aldatma Sanat

kimlik gsterilmesini ve bilginin kaydedilmesini zorunlu tutmaldr. Sahte kimlik retmek zor deildir, ancak kimliin gsterilmesi olas saldrganlar iin bahane retme iini bir derece zorlatrmaktadr. Baz irketlerde ziyaretilerin lobiden alnp toplantdan toplantya giderken kendilerine elik edilmesi zorunluluu getiren bir kural uygulamak mantkl olabilir. Elik eden grevlinin ziyaretiyi ilk toplantsna gtrdnde bu kiinin binaya alan olarak m yoksa dardan bir ziyareti olarak m girdiini aka belirtme koulu olmaldr. Neden bu nemlidir? nk, daha nceki hikyelerde de grdmz gibi, bir saldrgan sk sk ilk karlat kiiye kendini belirli bir kii olarak tantrken ikinci karlatna tamamen farkl biri olarak tantmaktadr. Bir saldrgann lobide kendini gstermesi, danma grevlisini bir mhendisle randevusu olduuna inandrmas... sonra mhendisin odasna kadar gtrlmesi ve orada kendini irkete bir rn satmak isteyen bir sat temsilcisi olarak tantmas... ve en sonunda da mhendisle grmesi bittiinde binada serbeste gezinme frsat bulmas son derece kolaydr. Baka bir ofisten gelen bir alan ieri almadan nce kiinin gerekten bir alan olup olmadnn tespiti iin uygun sreler bulunmaldr. Danma ve gvenlik grevlileri, saldrganlarn irket binalarna girebilmek iin kullandklar, bir alann kimliine brnme yntemlerinin bilincinde olmaldrlar. Binann iine girmeyi baaran ve dizst bilgisayarn irket gvenlik duvarnn arkasndan aa balayan bir saldrgana kar korunmak iin ne yaplabilir? Bugnn teknolojileri gz nne alndnda bu g bir itir. Konferans salonlar, eitim odalar ve benzeri yerlerde kilit altna alnmam a girileri bulunmamaldr; ya da en azndan, bu giriler gvenlik duvarlar ya da routerlarla koruma altna alnm olmaldrlar. Ama en iyi koruma, aa balanan herkesin kendini tantmas iin gvenli bir yol oluturmaktr

Bilgiyi Salama ln!


Kk bir uyar: irketinizin her B alan ne kadar maa aldnz, genel mdrn ne kadar para aldn ve kayak tatiline giderken kimin irket jetini kullandn byk olaslkla biliyordur ya da ok gemeden renecektir. Baz irketlerde B ya da muhasebe alanlarnn kendi maalarn ykseltmeleri, sahte bir satcya deme yapmalar, insan kaynaklar kaytlarndan olumsuz sicilleri silmeleri ve bunun gibi eyler yapmalar bile mmkndr. Bazen yalnzca yakalanma korkusu onlar drst olmaya iter... sonunda bir gn gelir ve adamn agzll ya da ahlksz ruhu tehlikeyi bir kenara iterek, gtrebildii kadar para gtrmesine neden olur.

ieriye Girmek

159

Elbette buna kar da zmler vardr. Hassas dosyalara, uygun eriim kontrolleri yerletirilerek yalnzca yetkili kiilerin onlar amas salanabilir. Baz iletim sistemleri belli olaylar, rnein baarl olsun olmasn korumal bir dosyaya ulamaya alan herkesi, kaydedecek ekilde ayarlanabilen denetim kontrolleri ierir. Eer irketiniz konunun bilincindeyse ve hassas dosyalar koruyan uygun denetim mekanizmalar ve eriim snrlamalar yerletirmise, doru ynde gl admlar atyorsunuz demektir.

'1

TEKNOLOJY VE TOPLUM MHENDSLN BRLETRMEK

Bir toplum mhendisi, amacna ulamasna yardmc olmas iin insanlar bireyler yapmaya ynlendirebilirle yeteneiyle yaar; ancak baarl olabilmek iin, ou zaman hatr saylr bir bilgi birikimine sahip olmasnn yansra bilgisayar ve telefon sistemleriyle har neir olmas da gerekir. te size teknolojinin nemli bir rol oynad zgn toplum mhendislii dolaplarndan bir rnek.

Parmaklklarn arasndan korsanlk


Fiziksel, iletiimsel ya da elektronik olarak zorla ieri girmelere kar korunan en gvenli yerler arasnda sizce nereler vardr? Fort Knox* mu? Doru. Beyaz Saray m? Kesinlikle. Bir dan altna gml Kuzey Amerika Hava Savunma ss, NORAD m? phesiz. Ya hapishaneler ve tutukevlerine ne dersiniz? lkedeki herhangi bir yerden daha korunakl olmallar, yle deil mi? nsanlar ender olarak kaarlar, katklarnda da genellikle ksa srede yakalanrlar. Federal bir tesisin toplum mhendislii saldrlarna kar dayankl olacan dnrsnz. Ancak yanlrsnz, hibir yerde kusursuz gvenlik diye birey yoktur. Birka yl nce bir ift dzenbaz (aslnda profesyonel dolandrclar) bir sorunla karlatlar. En son kaldrdklar ykl parann bir blge yargcna ait olduu ortaya kt. kilinin geen yllarda zaman zaman yasayla balar derde girmiti ama bu kez federal yetkililer durumla daha ok ilgilendiler. Dzenbazlardan birini, Charles Gondorff u enselediler ve onu San Diego yaknlarndaki bir tutukevine attlar. Federal sulh hakimi, kama olasl olduu ve topluma zararl olduu gerekesiyle Gondorff un gz altna alnmasna karar verdi. Arkada Johnny Hooker, Charlie'nin bir savunma avukatna ihtiyac olacan biliyordu. Ama paray nereden bulacakt? Pek ok dolandrc gibi o da paralar gzel giysilere, haval kameralara ve kadnlara yatrm, bylece para, geldii kadar hzla suyunu ekmiti. Johnny'nin, zerinde, yaamasna yetecek kadar para nadiren bulunurdu. iyi bir avukat tutacak kadar paray baka bir dolap evirerek bulmas gerekiyordu. Johnny bunu tek bana baaramazd. Oynadklar oyunlarn arkasndaki adam hep Charlie Gondorff olmutu. Ama Johnny,

162

Aldatma Sanat Federaller iin iinde iki kiinin olduunu bilirken ve dierini de yakalamak iin bu kadar heveslilerken ne yapacan sormak iin tutukevine gitmeye cesaret edemezdi. Yalnzca ailesinin ziyaret etmesine izin veriliyordu, bu da sahte kimlik belgesi gsterip ailenin bir ferdi olduunu ne srmesi gerekecek demekti. Federal bir hapishanede sahte kimlik kullanmaya almak pek iyi bir fikir gibi gelmedi. Hayr, Gondorffla balant kurmak iin baka bir yol bulmas gerekecekti.

Terimler
DOR UDAN BALANTI HZMET: Ahize kaldrldnda dorudan sabit bir numaraya balanan telefonlar iin telefon irketlerinde kullanlan bir terim. REDDET-KES: Belirli bir telefon numarasnda gelen aramalarn engellenmesi eklinde gerekli ayarlamalar yaplarak sunulan bir telefon irketi hizmet seenei.

Kolay olmayacakt. Herhangi bir federal, eyalet ya da yerel hapishanede tutuklu bulunan birinin gelen telefonlara kmasna izin verilmezdi. Federal bir tutukevinde her tutuklu telefonunun yannda asl duran levhada yle bir ey yazldr: "Bu levha buraya, bu telefondan yaplan tm grmelerin dinlendiini ve telefonu kullanmann konumann dinleneceinin kabul edilmesi anlamna geldiini hatrlatmak iin koyulmutur." Eer su ilemek gibi bir plannz varsa, devlet grevlilerinin telefonu dinlemesinin tek bir sonucu vardr: Hapishanedeki tatilinizin sresinin biraz daha uzamas. Ancak Johnny belli aramalarn dinlenmediini biliyordu. rnein mvekkil-avukat grmesi gibi. Aslnda Gondorffun tutulduu yerde dorudan Federal Kamu Savunma Brosu'na (KSB) bal telefonlar vard. O telefonlardan birini kaldryordun ve KSB'deki bal olduu telefona dorudan ulayordun. Telefon irketleri buna Dorudan Balant Hizmeti adn verir. Hibir eyden kukulanmayan yetkililer bu hizmetin gvenli ve kurcalanmaya dayankl olduunu varsayyorlard, nk darya yaplan aramalar yalnzca KSB'ye gidiyor, gelen aramalar ise engelleniyordu. Biri telefon numaralarn bulmay basarsa bile numaralar telefon irketindeki santralda reddet-kes eklinde programlanmlard. Johnny bu sorunu zmenin bir yolu olmas gerektiine karar verdi. Gondorff zaten ierden, KSB telefonlarndan birini kaldrp unu sylemeyi de denemiti: "Ben Tom, telefon irketi onarm blmnden. Biri at stnde bir test yapyoruz, nce dokuz sonra da sfr sfr tulamanz gerekiyor." Dokuz d hatt eriimi salayacak, sfr sfr da ehirleraras santrale balayacakt, ie yaramad. KSB'de telefonu aar kii bu numaray zaten biliyordu. Johnny'nin ileri daha iyi gidiyordu. Tutukevinde on hcre birir

Teknolojiyi ve Toplum Mhendisliini Birletirmek

163

oulunduunu ve bunlarn her birinin Kamu Savunma Brosu'yla dorudan balantl olduunu kolaylkla renmiti. Baz engellerle karlayordu ama iyi bir toplum mhendisi olarak ayaa taklp duran bu can skc talarn evresinden dolamann yollarn da buluyordu. Acaba Gondorff hangi birimdeydi? O hcre biriminde bulunan dorudan balant hattnn telefon numaras neydi? Ve hapishane yetkilileri tarafndan engellenmeden ilk mesaj Gondorff a nasl ulatracakt? Federal kurumlarda bulunan gizli telefonlarn numaralarn elde etmek, sradan insanlara olanaksz gibi grnen bir ey iken ancak bir dalavereci iin ounlukla birka telefon grmesiyle ele geirebilecek bir bilgidir. Kafasnda oluturduu plan birka gece yatanda dnerek gzden geirdikten sonra Johnny bir sabah her ey kafasnda be adm olarak planlanm bir ekilde uyand. nce, KSB'ye dorudan bal on telefonun numaralarn renecekti. On telefonu birden gelen aramalar alacak ekilde deitirecekti. Gondorffun hangi hcre biriminde olduunu bulacakt. Sonra hangi telefonun bu birime bal olduunu renecekti. En sonunda, yetkileri kukulandrmadan Gondorffla bir telefon grmesi ayarlayacakt. ocuk oyunca, diye dnd.

Bell nct'y Aryor...

Johnny, federal hkmet adna mal ve hizmet satn alan Genel Hizmet daresi'nden aryormu numaras yaparak telefon irketi mdrln aramakla ie balad. Bir ek hizmet szlemesi zerinde altn ve kullanlan dorudan balant hizmetlerinin fatura bilgilerine ihtiyac olduunu syledi. Bu listeye San Diego tutukevinin telefon numaralarnn ve aylk giderlerinin de dahil olmas gerektiini ekledi. Kardaki hanm yardmc olmaktan memnun olacakt. Numaralar elde ettikten sonra emin olmak iin bu hatlardan birini evirdi ve karlnda duyduu ey tipik bir kayd oldu. "Bu hattn balants kesilmitir ya da hat hizmet ddr." iin aslnn bu kaytta sylenenle uzaktan yakndan bir ilgisi olmadn biliyordu, tam bekledii gibi, hat, gelen aramalar engellemek zere programlanmt. Telefon irketinin alma ekilleri ve sreleriyle ilgili geni bilgisi sayesinde RCMAC, Recent Change Memory Authorization Center (Ksa Sreli Hafza Deiim Yetki Merkezi - bu adlar kimin uydurduunu hep merak etmiimdir!) adnda bir blme ulamas gerektiini biliyordu. Telefon irketinin lemler Ofisi'ni aramakla ie balad ve onarmdan aradn syleyip, verdii alan kodu ve nekin ait olduu blgeye

164

Aldatma Sanat

bakan RCMAC'nin telefon numarasn istedi. Tutukevindeki tm telefon hatt hizmetleri ayn merkez ofisten veriliyordu. Bu, onanma gitmi ve yardma ihtiyac olan teknisyenlerin her zaman yapt trden, sradan bir istekti ve memur ona numaray vermekte tereddt etmedi. RCMAC'yi arad, sahte bir ad verdi ve yine onarm blmnde altn syledi. Telefonu aan kadndan, daha nce ilemler ofisinden ald numaralardan birine ulamasn istedi. Kadn numaray bulduunda Johnny sordu: "Numara reddet-kes olarak m ayarlanm?" "Evet", dedi kadn. "Eh, bu, mteriye neden hi telefon gelmediini aklyor!", dedi Johnny. "Bana bir iyilik yapabilir misin? Hat snf numarasn deitirmeni ya da reddet-kes zelliini kaldrman isteyeceim, olur mu?" Kadn, deiimi gerekletirebilmek iin bir hizmet emri gerekip gerekmediini kontrol etmek iin baka bir bilgisayar sistemine bakarken ksa bir sessizlik oldu. "Bu numarann yalnzca arama yapmaya ak olmas gerekiyor. Deiiklik yapmak iin hizmet emri yok." "Doru, bir yanllk oldu. Emri dn karmamz gerekiyordu ama bu mteriyle her zaman ilgilenen abone temsilcisi hastalanp eve gitti ve bu ii yapmay bakasna sylemeyi de unuttu. Bu yzden mteri u anda kplere binmi durumda." Kadn bir an duralayp, standart alma ekline aykr ve olaan d bu istei deerlendirdi, sonra da, "Tamam", dedi. Kadnn deiiklii girmek iin tulara bastn duyabiliyordu. Birka saniye sonra i bitmiti. Buzlar zlm, aralarnda bir eit yaknlama olumutu. Kadnn tavrlarn ve yardm etme isteini tartarak, Johnny hepsini yaptrmakta tereddt etmedi. "Bana yardm edebileceiniz birka dakikanz daha var m?" diye sordu. "Var", diye yantlad kadn. "Ne gerekiyordu?" "Ayn mteriye ait baka numaralar da var ve hepsinde de ayn sorun mevcut. Ben numaralar size okursam, siz de reddet-kes ayarlarn dzeltebilir misiniz?" Kadn bunun sorun olmayacan syledi. Birka dakika sonra telefon hatlarnn hepsi de gelen aramalar alacak ekilde "dzeltilmiti."

Gondorffun bulunmas
Bir sonraki adm Gondorffun hangi hcre biriminde olduunu bulmakt. Hapishane ve tutukevlerini ynetenler bu bilgiyi dardan birilerinin renmesini kesinlikle istemezler. Johnny'nin bir kez daha toplum mhendislii becerilerine gvenmesi gerekiyordu.

Teknolojiyi ve Toplum Mhendisliini Birletirmek

165

Baka bir ehirdeki bir federal hapishaneyi arad; Johnny Miami'yi aramt -ama baka herhangi bir yer de i grrd- ve New York'taki tutukevinden aradn syledi. Mdrln tutuklu bilgisayarnda alan biriyle konumak istedi. Tutuklu bilgisayar, lkenin herhangi bir yerinde Hapishaneler Mdrl'ne bal tesislerde tutulan mahkmlarla ilgili bilgilerin sakland bilgisayar sistemiydi. lgili kii telefona ktnda Johnny, Brooklyn aksanyla konumaya balad. "Merhaba," dedi. Ben New York Federal Tutukevi'nden Thomas. Tutuklu bilgisayaryla balantmz gidip geliyor, bir tutuklunun yerini bulmama yardmc olabilir misin, sanrm sizin orada tutuluyor" ve GondonTun adn ve kayt numarasn verdi. "Hayr, burada deil", dedi adam birka saniye sonra. "San Diego'daki tutukevinde." Johnny arm gibi yapt. "San Diego mu? Geen hafta korumal bir uakla Miami'ye aktarlmas gerekiyordu! Ayn adamdan m sz ediyoruz? Adamn doum tarihi nedir?" "3/12/60", dedi adam ekrandan okuyarak. "Evet, ayn adam. Hangi hcre biriminde tutuluyor?" "Hcre On Kuzey", dedi adam. Her ne kadar New York'taki bir hapishane grevlisinin byle bir eyi renmek istemesinin anlalr bir nedeni olmasa da soruyu neeyle yantlamt. Johnny tm telefonlar gelen aramalar iin atrm ve Gondorffun hangi hcre biriminde olduunu da renmiti. Bir sonraki adm hangi telefon numarasnn Hcre On Kuzey olduunu bulmakt. Bu biraz zor olacakt. Johnny numaralardan birini arad. Telefon zili kapal olaca iin kimsenin telefonun aldn anlamayacan biliyordu. Oturdu ve Fodor'un Avrupa'nn Byk Kentleri adl gezi rehberine gz gezdirirken bir yandan da ahizeden alma sesini dinliyordu. Sonunda biri telefonu at. Dier utaki tutuklu doal olarak mahkemece belirlenmi avukatna ulamaya alyordu. Johnny kar tarafn beklentisine karlk verecek yant hazrlamt. "Kamu Savunma Brosu", dedi. Adam avukatyla grmek istediini sylediinde, Johnny, "Burada olup olmadn bakaym, hangi hcre biriminden aryorsun?" dedi. Adamn yantn not etti, bekletme dmesine bast, otuz saniye sonra yeniden at ve, "Mahkemedeymi, daha sonra araman gerekecek", diyerek kapatt. Sabahnn ounu bunu yaparak geirdi ama daha kts de olabilirdi. Drdnc denemesinde Hcre On Kuzey"\ buldu. Bylece Johnny artk Gondorffun birimine ait KSB numarasn biliyordu.

166

Aldatma Sanat

Saatlerinizi ayarlayn

''

imdi i Gondorffa tutuklular dorudan Kamu Savunma Brosu'yla grtren telefonu ne zaman aacan syleyen bir mesaj gndermeye kalyordu. Bu grndnden daha kolay bir iti. Johnny tutukevini arayarak, en resmi sesiyle kendini bir alan olarak tantt ve Hcre On Kuzey'le grmek istediini syledi. Arama hemen aktarld. nfaz koruma memuru telefonu atnda Johnny, yeni tutuklularn giri ve klarn dzenleyen Datm ve Tahliye Birimi'nin i grmelerde kullanlan ksaltmasn kullanarak memuru kandrd. "Ben DT'den Tyson", dedi. "Tutuklu Gondorffla grmem gerek. Gndermemiz gereken ona ait eyalar var, nereye gnderilmesini istiyorsa orann adresini vermesi gerekiyor. Onu telefona arabilir misiniz?" Johnny memurun oturma salonuna bardn duydu. Birka dakikalk sabrsz bir bekleyiten sonra, telefona tandk bir ses kt. Johnny ona, "Konumam bitene kadar sakn sesini karma", dedi. Eyalarn nereye gnderilmesini istediini konuuyorlarm gibi grnmesi iin Johnny ona sylemesi gerekenleri anlatt, sonra da, "Bugn leden sonra saat birde Kamu Savunma Brosu telefonunun banda olabileceksen, yant verme. Olamayacaksan, o zaman orada olabilecein bir saati syle", dedi. Gondorff yant vermedi. Johnny devam etti. "iyi. Saat birde orada ol. Seni arayacam. Ahizeyi kaldr. Eer telefon otomatik olarak Kamu Savunma Brosu'nu aramaya balarsa her yirmi saniyede bir telefonun dmesine bas. Sesimi duyana kadar bunu yapmay srdr." Saat birde Gondorff telefonu at ve Johnny orada onu bekliyordu. Sohbet eder gibi, aceleye getirmeden, keyifle konutular ve benzet grmeler Gondorffun mahkeme masraflarn karlamak iin evirecekleri dolabn ayrntlarn konumak amacyla birka kere daha tekrarland. Hepsi de devlet gzetiminin dnda gereklemiti.

Aldatmacann incelenmesi
Bu olay, bir toplum mhendisinin, her biri tek bana nemsiz gibi duran ileri yapmalar iin farkl insanlar kandrarak, olanaksz zannedilen bir ii nasl baardn gsteren arpc bir rnektir. Aslnda, yaplan her hareket, dalavere tamamlanana kadar bulmacann bir parasn oluturur. ilk telefon irketi alan, federal hkmete bal Genel Hizmetler daresi'nden birine bilgi verdiini dnyordu... Bir sonraki telefon irketi alan, telefon hizmet snfn bir hizmet emri olmadan deitirmemesi gerektiini biliyordu ama yine de sevimi, adama yardmc oldu. Bylece tutukevindeki Kamu Savunma Brosu

Teknolojiyi ve Toplum Mhendisliini Birletirmek telefonlarnn tm dardan aranabilir duruma geldi.

167

Miami tutukevindeki adam iin baka bir federal merkezde alan ve bilgisayarla sorun yaayan birine yardm etmek gayet mantklyd. Her ne kadar hcre birimini renmek istemesi iin bir neden yokmu gibi gzkse de, soruya yant vermemesi iin de bir neden yoktu, yle deil mi? Ve arayann ayn tesis iinden biri olduunu sanan Hcre On Kuzej/de grevli memur, adamn resmi bir i iin aradn dnyordu, istedii olduka mantklyd, bu yzden Gondorff isimli tutukluyu telefona ard. Sorun olmad. Bir dizi iyi planlanm adm bir araya getirip dalavereyi tamamlamlard.

Hzl dosya indirme


Hukuk fakltesini bitirmelerinden on yl sonra Ned Racine hl, faturasn deyecek kadar paras olmayan insanlarn kytrk ileriyle urarken, snf arkadalar, baheleri olan gzel evlerde yayor, ehir klplerine ye oluyor, haftada bir-iki kez golf oynuyorlard. Sonunda bir gn Ned'in canna tak etti. imdiye kadar elde ettii tek iyi mterisi, irket birlemeleri ve devirler konusunda uzmanlam, kk ama olduka baarl bir muhasebe irketiydi. Uzun sredir Ned'le i yapmyorlard. Ned mterilerinin, gazetelerde kmas halinde birka halka ak irketin hisse senedi fiyatlarn etkileyebilecek baz ilere kartklarn anlamt. nemsiz, dorudan ilem grmeyen hisselerdi ama baz alardan bu daha iyiydi; fiyatlardaki kk bir frlama yatrmlardan elde edilen byk yzdeli bir getiri anlamna geliyordu. Adamlarn dosyalarna ulap neyle uratklarn bir bulabilirse i tamam olacakt. Allmadk yntemler konusunda akll birini tanyan bir arkada vard. Adam plan dinledi, gaza geldi ve yardm etmeyi kabul etti. Ned'in portfyndeki hisse senetleri yzdesine bakp her zaman aldndan daha kk bir cret karlnda Ned'e ne yapmas geveteOT. aulatt. Ayrca ona piyasaya kal ok az zaman olmu kk ve kullanl bir alet de verdi. Birka gn boyunca Ned, muhasebe irketinin gsterisiz, maaza

Mitnick Mesaj:
Sanayi casuslar ve bilgisayarlara giren kiiler, hedef iletmelere bazen fiziksel olarak da girerler. eri girmek iin bir demir sopa kullanmak yerine, toplum mhendisi kapnn dier tarafndaki insan etkilemek iin aldatma sanatn kullanr.

168

Aldatma Sanat

vitrinine benzeyen brosunun bulunduu kk i hannn araba park yerini gzetledi. ou insan be buuk, alt gibi kyordu. Yediye doru park yeri tamamen boalyordu. Temizlikiler yedi buuk gibi geliyorlard. Mkemmel. Ertesi gece, sekize birka dakika kala, Ned otoparkn kasndaki yola arabasn park etti. Bekledii gibi temizlik hizmetleri irketinin kamyonu saylmazsa park yeri botu. Ned kapya kulan koydu ve elektrikli sprgenin grltsn duydu. Serte kapy ald ve beklemeye balad. Takm elbise giymi, kravat takmt ve elinde ypranm antasn tayordu. Yant gelmedi ama o sabrlyd. Bir daha ald. Sonunda kapda temizlikilerden biri belirdi. "Merhaba", dedi Ned, cam kapnn arkasndan bararak ve daha nce irket ortaklarndan birinden ald kartviziti gstererek. "Anahtarlarm arabama kilitlemiim, masama gitmem gerekiyor." Adam kapy at, sonra Ned'in arkasndan tekrar kilitledi ve koridora giderek Ned'in gittii yeri grebilmesi iin klar at. Neden olmasn; ekmeini kazanmasn salayan insanlardan birine yardmc olmaya alyordu. Byle dnmesi iin her nedeni vard. Ned ortaklardan birinin bilgisayarnn bana oturdu ve makinay at. Bilgisayar alrken ona verilen kk aleti bilgisayarn USB giriine takt. Bir anahtarlkta tanabilecek kadar kk bir aletti, ancak yine de 120 megabayt veri tayabiliyordu. Ortan sekreterinin bir Post-it kda yazp ekrana yaptrd kullanc adn ve parolasn kullanarak aa girdi. Be dakikadan az bir srede bilgisayarda ve ortaklarn a klasrnde ykl tm izelge ve belge dosyalarn indirmi evine gidiyordu.

Kolay para
Lisede ilk defa bilgisayarlarla tantmda, Los Angeles'taki tm okullarn paylat merkezi bir DEC PDP 11 minibilgisayarna modem araclyla balanyorduk. O bilgisayarda kurulu iletim sisteminin ad RSTS/E'ydi ve ilk kullanmay rendiim iletim sistemiydi. O zamanlar, yani 1981'de DEC firmas rn kullanclar iin yllk bir konferans dzenliyordu ve bir yerde konferanslardan birinin Los Angeles'ta dzenleneceini okudum. Bu iletim sisteminin kullanclar iin hazrlanan tannm bir dergide LOCK-11 adl yeni bir gvenlik rnnn duyurusu vard. rn akllca hazrlanm bir reklam kampanyasyla sunuluyordu. "Saat sabah 3:30 ve sokan ilersinde oturan Johnny sizin balant numaranz 336. denemesinde bulmu, 555-0336. O ieri girmi, sizi de dar sepetlemi Sizin de bir LOCK-11'iniz olsun." Reklamn anlattna gre rn bilgisayar korsanlarna kar tam koruma salyordu. Ve konferansta tantlyor olacakt rn grmeyi ben de ok istiyordum. Yllardr birlikte korsanlk yap-

F
Teknolojiyi ve Toplum Mhendisliini Birletirmek 169

tmz, liseden snf arkadam ve dostum ama sonradan bana kar alan bir federal ihbarc olan Vinny, yeni DEC rnne ynelik ilgimi paylayordu ve konferansa onunla birlikte gitmem iin srar etti.

Pein para

'

rn tantmna gittiimizde LOCK-11'in evresindeki kalabalkta bir alkalanma vard. Grne gre tasarmclar kimsenin rnlerini kramayacana dair annda deme yapacaklar bir bahis oluturmulard. Bu reddedemeyeceim bir meydan okumayd. Dorudan LOCK-11'in tantm masasna gittik ve banda rnn tasarmclar olan adamn durduunu grdk. Onlar tanmtm ve onlar da beni tanmlard; yetkililerle yaadm ilk genlik srtmelerimle ilgili Los Angeles Times gazetesinde kan byk bir yaz nedeniyle, genliimde bile bir telefon beleisi ve bilgisayar korsan olarak belli bir nm vard. Yazda anlatldna gre, gecenin bir yarsnda Pasifik Telefon irketi binasna girebilmek iin kapdakileri ikna etmi ve gvenlik grevlilerinin burunlarnn dibinden elimde bilgisayar kullanm klavuziaryla kp gitmitim. (Grne gre Los Angeles Times arpc bir yk karmak istemiti ve adm yaynlamak ilerine yaramt. Daha ergenlik anda olduum iin, yaz su ileyen ocuklarn isimlerinin saklanmas yasasn inemese de geleneklere aykr bir durumu vard.) Vinny ve ben oraya gittiimizde, bu her iki tarafta da bir ilgi uyand. Kar tarafta bir ilgi uyandrmt, nk benim gazetede okuduklar korsan olduumu anlamlard ve beni grdklerine biraz armlard. Bizim tarafta da aknlk yaratmt, nk tasarmclardan her birinin yaka kartnn arkasna bir 100 dolarlk banknot sktrlmt. Sistemlerini krabilecek kiiye verecekleri dl 300 dolard. Bu, bir ift okul ocuu iin ok para gibi grnyordu. e koyulmak iin sabrszlanyorduk. LOCK-11 iki katl gvenlie dayanan bilindik bir yntemle yaplmt. Her zamanki gibi kullancnn geerli bir kimlii ve parolas olmalyd, ama buna ek olarak kimlik ve parola yalnzca yetkili ubirimlerden girildiinde . ie yaryordu. Bu yaklama uhirim \ TrfTilf i tabanl gvenlik deniyordu. Sistemi kra- | i bilmek iin bir korsann yalnzca kimlik \ UBRM TABANLI \ ve parolay bilmesi yeterli deildi, bilgiyi j GVENLK: Ksmen belirli I doru ubirimden giriyor olmas da j bir ubirimin tanmlan- \ gerekiyordu. yi kurulmu bir sistemdi ve i masna bal olarak kul- i LOCK-11'in yaratclar kt adamlar j landan gvenlik; bu gven- I darda tutacandan emindiler. Onlara | tik yntemi zellikle IBM in j bir ders verecek ve stne stlk yz I byk bilgisayarlarnda ok \ dolar kazanacaktk. i kullanlrd. i

170

Aldatma Sanat

Mitnick Mesaj: ^
| te, akll insanlarn rakiplerini hafife almalarna bir rnek daha. Siz ne dersiniz: Siz de irketinizin gvenlik nlemlerine, zerlerine 300 dolar bahse girecek kadar gveniyor musunuz? Bazen teknolojik bir gvenlik nleminin evresinden dolaI mann tek yolu sizin dndnz ekilde deildir.

RSTS/E stad olarak bilinen ve benim de tandm adamlardan biri bizden nce tantm masasna gelmiti. Yllar nce kendi arkadalar beni geri evirdikten sonra DEC dahil gelitirme bilgisayarna girmem konusunda bana meydan okuyan adamlardan biriydi. O gnden bu yana saygn bir programc olmutu. Biz gelmeden nce LOCK-11'i krmay denediini fakat baaramadn rendik. Olay tasarmclara, rnlerinin gerekten gvenli olduu konusunda byk gven vermiti. Yarma ok basitti: Kryordun, paray alyordun. yi bir tantm gsterisiydi; biri onlar kk drp paray almad srece. rnlerinden o kadar eminlerdi ki tantm masasna sistemdeki baz hesaplara ait hesap numaralarn ve parolan ieren bir listeyi asma cretini bile gstermilerdi. Hibiri de yle sradan hesaplar deildi, hepsi de yetkilerle donatlm ayrcalkl hesaplard. Bu aslnda kulaa geldii kadar arpc birey deildi. Byle bir dzenekte, her ubirimin dorudan bilgisayarn stndeki girilerden birine balandn biliyordum. Konferans salonuna bir ziyaretinin yalnzca ayrcalklar olmayan bir kullanc olarak balanabilmesine izin veren be ubirim kurduklarn anlamak iin dhi olmaya gerek yoktu. Dier bir deyile bu ubirimierden balanmak yalnzca sistem yneticisi olmayan hesaplarla mmknd, iki yol varm gibi grnyordu: Ya gvenlik yazlmn olduu gibi bertaraf edecektik -ki bu LOCK-11'in tasarlan amacyd- ya da bir ekilde tasarmclarn dnmedii bir ekilde yazlmn evresinden dolaacaktk.

Meydan okumaya karlk vermek


Vinny ve ben oradan uzaklap bahsi konumaya baladk ve benim aklma bir plan geldi. Masum masum ortalkta gezinip uzaktan tantm masasn gzlyorduk. len olduunda ve kalabalk azaldnda tasarmc aralktan yararlanp birlikte yemee gittiler ve geride aralarndan birinin kars ya da kz arkada olabilecek bir kadn braktlar. Tekrar geri gittik ve ondan bundan konuarak ben kadn oyalamaya baladm. "Ne kadar zamandr irkette alyorsunuz? irketinizin pazarda baka hangi rnleri var?" gibi eyler. Bu srada Vinny kadnn grebilecei alann dnda ie koyulmu, her ikimizin de gelitirdii bir becerisini kullanyordu. Bilgisayarlara

Teknolojiyi ve Toplum Mhendisliini Birletirmek

171

girme lgnlmz ve sihirbazla duyduum kendi ilgim dnda, ikimiz de kilit amakla ok ilgileniyorduk. Kkken San Femando Vadisi'nde, kilit ama, kelepelerden kurtulma, sahte kimlik yaratma gibi konulardabir ocuun bilmemesi gereken her eyle ilgili aykr kitaplarn bulunduu bir kitapnn raflarn didik didik etmitim. Vinny de benim gibi hrdavatdan alnm herhangi bir sradan kilidi amak konusunda olduka iyi olana kadar almt. Bir ara kilitlerle ilgili akalar yapmaya baylrdm. rnein daha gvenli olsun diye iki kilit birden kullanan birini grrsem iki kilidi de aar, yerlerini deitirirdim, bu da her birini yanl anahtarla amaya alan kilit sahibinin kafasn kartrp cann skard. Sergi salonunda ben gen kadn oyalarken Vinny masann gerisinde grlmeyecek ekilde yere km, adamlarn PDP-11 minibilgisayarlarnn ve kablo sonlarnn durduu dolabn kilidini ayordu. Dolabn kilitli olduunu dnmeleri aka gibiydi. ilingirlerin gofret kilit dedikleri, bizim gibi olduka acemi kilit aclar tarafndan bile anahtarsz amas ok kolay olan kilitler kullanyorlard. Vinny'nin kilidi amas bir dakika kadar srd. Dolabn iinde tam arad eyi bulmutu. Kullanc ubirimlerini balamak iin bir dizi balant noktasnn yan sra konsol ubirimi iin de ayr bir balant noktas vard. Bu ubirim bilgisayar iletmeninin ya da sistem yneticisinin tm bilgisayarlar ynetmesi iin kullanlyordu. Vinny konsol balantsndan kan bir kabloyu tantm masasndaki ubirimlerden birine takt. Bu, bu ubirimin artk bir konsol ubirimi olarak tannaca anlamna geliyordu. Yeni bir kablo taklm makinann bana oturdum ve tasarmclarn korkusuzca verdikleri parolalardan birini kullanarak sisteme girdim. LOCK-11 yazlm artk beni yetkili bir ubirimden balanyor olarak grd iin bana giri izni vermiti ve bir sistem yneticisinin yetkileriyle balanmtm. Buradaki tm ubirimlerden ayrcalkl kullanc olarak balanmam salayacak ekilde deitirerek iletim sistemini yamaladm. Gizli yamam yklendikten sonra Vinny ubirim kablosunu karp ilk takl olduu yere geri takma iini yapt. Sonra kilidi yeniden kurcalayp bu sefer dolabn kapsn kilitledi. Bilgisayarda hangi dosyalarn olduunu grmek iin bir dizin dkm aldm. LOCK-11'in programna ve ilgili dosyalara bakarken ok artc bulduum bir eyle, bu bilgisayarda bulunmamas gereken bir dizinle karlatm. Tasarmclar kendilerinden ve yazlmlarnn alamaz olduundan o kadar eminlerdi ki, yeni rnlerinin kaynak kodlarn kaldrmaya bile yeltenmemilerdi. Hemen yanndaki kt alma ubirimine geerek, kaynak kodunun paralarn, o zamanlar kullanlan yeil eritli srekli formlara bastrmaya baladm.

172

Aldatma Sanat

Vinny kilidi kapamay yeni bitirmi ve yanma gelmiti ki adamlar le yemeinden dnyorlard. Yazc yazmasn srdrrken, beni bilgisayarn klavyesine bireyler girerken buldular. "Ne yapyorsun, Kevin?" diye sordu bir tanesi. "Sadece kaynak kodlarnzn ktsn aldryorum" dedim. Doal olarak aka yaptm dndler. Ta ki yazcya bakp ktlarn gerekten titizlikle koruduklar rnlerinin kaynak kodu olduunu grnceye . kadar. Ayrcalkl kullanc olarak girdiime inanamadlar. "Bir Kontrol-T gir", dedi tasarmclardan biri. Girdim. Ekranda kan grnt sylediklerimi doruluyordu. Vinny, " yz dolar, ltfen", derken adam alnna vuruyordu. Adamlar paray dediler. Gnn kalannda Vinny ve ben konferans kartlarmza taktmz yz dolarlk banknotlarla dolatk. Herkes paralarn ne anlama geldiini biliyordu. Vinny ve ben, doal olarak, yazlm yenmitik ve eer tasarm ekibi yarma iin daha iyi kurallar belirleselerdi ya da daha iyi bir kilit kullansalard ya da tehizatlarnn banda dursalard, o gn bir ift ocuun elinden ektiklerini ekmeyeceklerdi. Sonradan rendim ki tasarm ekibi para ekmek iin bankaya uramak zorunda kalm. Bize verdikleri yz dolarlk banknotlar yanlarnda getirdikleri tm paraym.

Bir saldr arac olarak szlk


Eer biri parolanz ele geirirse sisteminizi igal edebilir. ou durumda neyin ters gittiini bile anlamazsnz. Adna van Peters diyeceim gen bir saldrgann yeni bir oyunun kaynak kodunu ele geirmek gibi bir hedefi vard. irketin geni alan ana (WAN) girmekte zorlanmamt, nk bilgisayar korsan arkadalarndan biri irketin internet sunucularndan birini oktan amt. Arkada internet yazlmnda gncellenmemi bir ak bulduktan sonra sistemin iki ynl sunucu olarak kurulduunu anlaynca neredeyse kk dilini yutmutu. Yani dahil aa girmek iin de bir giri noktas bulunuyordu. Ama ivan balandktan sonra, Louvre mzesine girmek ve Mona Lisa'y bulmaya almakla e deer bir zorlukla karlamt. Mze haritas elinizde yoksa orada haftalarca gezinebilirdiniz. irket, yzlerce ofisi ve binlerce bilgisayar sunucusu olan dnya apnda bir irketti ve tam olarak gelitirme sistemlerine ait bir dizin sunmuyor ya da onu doru yere gtrecek bir tur rehberi de salamyordu. Hedefledii sunucuyu bulmak iin teknik bir yaklam kullanmak yer-

Teknolojiyi ve Toplum Mhendisliini Birletirmek

173

ine ivan bir toplum mhendislii yaklam kulland. Bu kitapta aklanan yntemlere dayanan telefon grmeleri yapt. nce, Bl teknik destek servisini arayarak ekibiyle tasarladklar rnde arayz sorunu yaayan bir irket alan olduunu syledi ve oyun gelitirme ekibinin proje liderinin telefon numarasn istedi. Sonra kendisine verilen ad, Bi'den biri gibi davranarak arad. "Bu gece ge saatlerde bir router deitireceiz ve ekibinizin sunucuyla balantsnn kopmayacandan emin olmak istiyoruz. Bunun iin ekibinizin hangi sunucuyu kullandn bilmemiz gerekiyor." A srekli yenileniyordu ve sunucunun adn vermenin hibir zarar olmazd, yle deil mi? Sunucu parola korumal olduuna gre yalnzca adn bilmek ieri girmeye alan birinin iine yaramazd. Bylece adam saldrgana sunucunun adn verdi. Arayann anlattklarnn doru olup olmadn kontrol etmeye ya da adamn adn soyad ve telefonunu almaya yeltenmedi bile. Yalnzca sunucu adlarn verdi; ATM5 ve ATM6.

Parola saldrs

......._. ; . ; . .

..

...

Bu noktada ivan tanmlama bilgilerini almak iin teknik bir yaklam kulland. Uzaktan eriim kabiliyeti sunan sistemlere yaplan teknik saldrlarn ounda ilk adm sisteme ilk giri noktasn oluturacak zayf parolal bir hesap bulmaktr. Bir saldrgan parolalar uzaktan tanmlayacak korsanlk aralar kullanmaya kalkarsa, bu abas onun irketin ama saatlerce bal kalmasn gerektirebilirdi. Akas bunu yapmas pek akllca olmazd, nk ne kadar uzun sre bal kalrsa farkedilme ve yakalanma riski de o kadar artard. --..... Hazrlk adm olarak ivan hedef sistemin ayrntlarn gsteren bir saym yapacakt. Bir kez daha internet bu ama iin gerekli yazlm kolayca salyordu (http://ntsleuth.Ocatch.com; "catch" kelimesinin bandaki sfr). van, internet'te saym srecini otomatikletiren ve herkese ak pek ok korsanlk arac buldu. Kuruluun ounlukla Windows tabanl sunucular kullandn bilerek, bir NetBIOS (temel giri/k sistemi) saym program olan NBTE'nin yazlmn indirdi. ATM5 sunucusunun P adresini girdi ve program altrmaya balad. Saym program sunucuda tanml pek ok 1 hesap bulmutu.
SAYIM: Hedef sistemde

sunulan hizmetleri, iletim sistemi tabann ve sisteme eriimi olan kullanclarn hesap adlarnn listesini veren bir sre.

Var olan hesaplar belirlendikten sonra, ayn saym aracnn bilgisayar sistemine szlk saldrs yapma zellii kullanlabilirdi. Szlk saldrs ou bilgisayar gvenlii alannn ve saldrganlarn olduka yakndan bildikleri br

174

Aldatma Sanat

eydir ama pek ok kii bunun mmkn olduunu, duyunca herhalde akna urayacaktr. Bu tarz bir saldr, sistemdeki her kullancnn parolasn ska kullanlan kelimeleri tarayarak ortaya karmaya yneliktir. Baz eyleri yapmak konusunda tembellik edebiliyoruz ama parolalarn seerlerken insanlarn yaratclklarnn ve hayal glerinin kaybolduunu grmek beni hep hayrete drmtr. oumuz bize koruma salayan bir parola isteriz ama ayn zamanda kolay hatrlanmasn da isteriz ve bu genellikle kendimize yakn eyler olmas anlamna gelir. Admzn ba harfleri, gbek admz, lkabmz, eimizin ad, en sevdiimiz ark, film ya da yemek olabilir. Oturduumuz sokan ad ya da yaadmz ehrin ad, kullandmz arabann markas, Havvai'de kalmak istediimiz sahildeki tatil kynn ad ya da en iyi alabalklar avladmz en sevdiimiz akarsuyun ad. Burada kan deseni grdnz m? Bunlar ounlukla kii adlar, yer adlar ya da szlkte bulunabilecek szckler. Bir szlk saldrs, sk kullanlan kelimeleri hzl bir ekilde girerek her birinin bir ya da daha fazla kullanc hesabnn parolas olup olmadna bakar. van szlk saldrsn basamakta altrd. lkinde yaklak 800 kelimelik en sk kullanlan parolalardan oluan basit bir liste kulland. Bu listede gizli, i ve parola kelimeleri de vard. Program ayrca szlk kelimelerinin yanna say ekleyerek ya da iinde bulunan ayn saysn girerek sra deiiklikleri de yapyordu. Program her kelimeyi belirlenmi tm kullanc hesaplarnda deniyordu. e yaramad. Sonraki denemesinde ivan, Google arama motoruna gitti ve "szck listeleri szlkler" anahtar kelimeleriyle arama yapt, ingilizce ve pek ok yabanc dil iin kapsaml szck listeleri ve szlkler bulunan binlerce site buldu. Bir ngilizce szln tmn indirdi. Sonra Google'da bulduu baz szck listelerini de indirerek elindekileri zenginletirdi. van www.outpost9.com/filesAA/ordLists.html sitesini semiti. Bu site ona, aralarnda soyadlarn, adlarn, kongre yelerinin adlarnn ve ilgili kelimelerin, oyuncularn adlarnn, incil'den kelimelerin ve adlarn olduu, indirilebilecek (hepsi de cretsiz) bir dizi dosya sunuyordu. Szck listeleri sunan pek ok siteden biri de aslnda Oxford niversitesinin sitesiydi; ftp://ftp.ox.ac.uk/pub/wordlists. Dier siteler izgi film karakterlerini, Shakespeare'in kulland szckleri, Odyssea'da geen kelimeleri, Tolkien ve Uzay Yolu dizisinin yan sra bilim ve dinle ilgili olanlar da ieren baka listeler de sunuyorlard. (Bir irket 4,4 milyon szck ieren bir listeyi yalnzca 20 dolara satmaktadr.) Saldr program szlkteki kelimelerin anagramlarn -pek ok bilgisayar kullancsnn gvenliklerini artrdn dnd, sevilen W yntemdir- deneyecek ekilde de programlanabilir. ,

Teknolojiyi ve Toplum Mhendisliini Birletirmek

175

Dndnden daha hzl


ivan hangi szck listesini kullanacana karar verdikten sonra saldrya geti. Yazlm otomatik olarak alyordu ve van dikkatini baka eylere .erebilirdi. in inanlmaz taraf ise uydu: Byle bir saldr srasnda bilgisa.ar korsannn Rip van Winkle gibi uykuya dalacan ve uyandnda yazlmn daha kck bir yol katetmi olacan dnebilirsiniz. Aslnda, saldrlan iletim sistemi tabanna, sistemin gvenlik ayarlarna ve a balantsna baklarak ingilizce szlkte bulunan btn szckler -alacak ek"ide- otuz dakikadan az bir sre ierisinde denenebilir! Bu saldr srerken ivan baka bir bilgisayardan gelitirme grubunun kulland dier sunucu olan ATM'ya benzer bir saldr balatt. Yirmi dakika sonra saldr yazlm hibir eyin farknda olmayan kullanclarn ounun olanaksz olduunu dnd bir ii baard. Yazlm kullanclardan birinin, Yzklerin Efendisi kitabndaki Hobbitlerden birinin ad olan "Frodo" kelimesini parola olarak kullandn bulmutu. ivan, elinde bu parolayla bu kullancnn hesabndan ATM6 sunucusuna baland. Saldrganmz iin hem iyi hem de kt haberler vard. yi haber, krd hesabn, bir sonraki admda nemli olacak ynetici zellikleri olmasyd. Kt haber ise oyunun kaynak kodu hibir yerde yoktu. O zaman dier makinada, szlk saldrsna kar direnli olduunu anlad ATM5'te olmalyd. Ama ivan'n vazgemeye niyeti yoktu, denemedii birka numaras daha vard. Baz Windows ve Unix iletim sistemlerinde ifrelenmi oarolalar, ykl olduklar bilgisayara eriimi olan herkese aktr. Bunun nedeni ifreli parolalarn knlamamas ve bu yzden korumaya gerek olmamasdr. Bu kuram yanltr. Yine internette bulunabilen pwdump3 adl baka bir arala van, ATM6 makinasndaki ifrelenmi parolalar bulup indirdi. Tipik bir ifrelenmi parola dosyas aadaki gibidir: Administrator:500:95E4321A38AD8D6AB75EOC8D76954A50: 2E48927AOBO4F3BFB341E26F6D6E9A97:::

akasper:1110:5A8D7E9E3C3954F642C5C736306CBFEF:393C E7F90A8357F157873D72D0490821: : : digger:llll:5D15COD58DD216C525AD3B83FA6627C7:17AD 564144308B42B8403DOIAE256558: : : ellgan:1112:2017D4A5D8D1383EFF17365FAFIFFE89:O7AEC9 50C22CBB9C2C734EB89320DB13: : : tabeck:1115:9F5890B3FECCAB7EAAD3B435B51404EE:lFOl 5A728447212FCO5EID2D820B35B: : :

176

Aldatma Sanat

vkantar:1116:81A6A5DO35596E7DAAD3B435B51404EE;B93 3D36DD12258946FCC7BD153F1CD6E : ; : vwallwick:1119:25904EC665BA30F4449AF42E1054F192:15B 2B7953FB632907455D2706A432469 : : : mmcdonald:1121:A4AEDO98D29A3217AAD3B435B51404EE: E40670F936B79C2ED522F5ECA9398A27 : : : kworkman:1141:C5C598AF45768635AAD3B435B51404EE:DE C8E827A121273EFO84CDBF5FD1925C : : : van bilgisayarna indirdii ifrelenmi parolalara, baka bir ara kullanarak kaba kuvvet (brte force) olarak bilinen farkl bir parola saldrs yapt. Bu tarz saldrlar alfanmerik karakterlerin ve ou zel simgenin kombinasyonlarn dener. ivan, L0phtcrack3 adl bir yazlm kulland, ("loft-krak eklinde okunur ve www.atstake.com sitesinde bulunabilir; baz mkemmel parola ele geirme aralar iin baka bir kaynak da www.elcomsoft.com 'dur.) Sistem yneticileri L0phtcrack3 yazlmn zayf parolalar denetlemek iin, saldrganlar ise parolalar krmak iin kullanrlar. LC3 harf, say ve aralarnda !@#$%A& gibi simgelerin de bulunduu karakter kombinasyonlaryla parolalar yoklar (Ancak, dikkat edilmelidir ki, yazcdan bastrlamayacak karakterler kullanldnda LC3 parolay bulmay baaramaz). Programn neredeyse inanlmaza yakn bir hz vardr. lemcisi 1 GHz olan bir makinada hz saniyede 2,8 milyon denemeye kadar kabilmektedir. Bu hzda bile, eer sistem yneticisi Windows iletim sisteminde doru ayarlamalar yaptysa (LANMAN ifreli parolalarnn kullanlmasn iptal etmek gibi), bir parolann krlmas yine de olduka uzun bir zaman alabilir. Bu nedenle saldrgan sk sk parola dosyalarn indirir ve hedef irketin ana bal kalp farkedilme riskini artrmaktansa saldry kendi bilgisayarnda ya da baka bir bilgisayarda yapar. van iin, bekleyi o kadar uzun srmedi. Birka saat sonra, kulland yazlm, gelitirme ekibi yelerinin her birine ait parolalar verdi. Ama bunlar ATM6 makinasnn kullanclarnn parolalaryd ve ivan peinde olduu kaynak kodlarnn bu sunucuda olmadn zaten biliyordu. imdi ne olacakt? Daha ATM5 makinesinde bulunan bir hesabn parolasn bulmay baaramamt. Bilgisayar kor-

Terimler
KABA KUVVET SALDIRISI: Harfsaysal karakterlerin ve zel simgelerin mmkn olan her kombinasyonunu deneyen bir parola belirleme stratejisi.

Teknolojiyi ve Toplum Mhendisliini Birletirmek

177

sanlarna zg dnme eklini kullanarak ve sradan kullanclarn zayf gvenlik alkanlklarn anlam biri olarak, ekip yelerinden birinin her iki makina iin de ayn parolay kullanyor olabileceini dnd. Tam tahmin ettii gibiydi. Ekip yelerinden biri "oyuncular" olan parolasn hem ATM5'de hem de ATM6'da kullanyordu. Arad programlar bulabilmesi iin kap ardna kadar almt. Kaynak kodu klasrn bulduktan ve onu zevkle indirdikten sonra sistem kranlara zg bir adm daha att. leride yazlmn gncellenmi srmn almak isteyebileceini dnerek ynetici haklar olan ama kullanlmayan bir hesabn parolasn deitirdi.

Aldatmacann incelenmesi
Hem teknik hem de insan kaynakl aklardan faydalanan bu saldrda saldrgan, tescilli bilgileri tutan gelitirme sunucularnn adlarn ve yerlerini renmek iin sahte bir telefon grmesi yapmt. Sonra, gelitirme sunucusunda hesab olan herkesin geerli hesap adlarn belirlemek iin bir yazlm kulland. Sonra da birbiri ardna iki parola saldrs gerekletirdi. Bunlarn arasnda, bir ngilizce szlkte bulunan tm kelimeleri deneyerek ska kullanlan parolalar arayan szlk saldrs da vard. Bazen bu szlk, adlar, yerler ve zel ilgi alanlar ieren pek ok baka szck listesiyle desteklenebilir. Hem ticari hem de halka ak korsanlk aralar, akla gelen herhangi bir ama iin kullanabilmek zere herkes tarafndan elde edilebildiklerinden, yatrmlarnz olan bilgisayar sistemlerini ve a altyapnz korurken uyank davranmanz olduka nemlidir. Bu tehlikenin boyutu abartlm deildir. Computer VVorld dergisine gre, New York merkezli Oppenheimer Fonlar'nn incelenmesinden artc bir bulgu elde edilmitir. irketin A Gvenliinden Sorumlu Genel Mdr Yardmcs, standart yazlm paketleri kullanarak irket alanlarna bir parola saldrs yapmtr. Dergideki yazya gre dakika ierisinde 800 alann parolas krlmtr.

Mitnick Mesaj:
Monopol oyununun terimleri gibi, parolanz iin szlkten aldnz bir kelime kullanrsanz sonu, Hemen Hapse Git; Balanmtan Geme, 200 Dolar Alma eklinde olur. alanlarnz, varlklarnz gerekten koruyacak parolalar semeleri konusunda eitmelisiniz.

178

Aldatma Sanat

Aldatmacann engellenmesi
Toplum mhendislii saldrlar teknolojik bir unsur eklendiinde daha tehlikeli bir hal alabilmektedir. Bu tarz bir saldry engellemek, genellikle hem insan boyutunda hem de teknik boyutta nlem almay gerektirir.

Hayr demeyi renin


Buradaki ilk ykde telefon irketinin RCMAC memuru, deiimi onaylayan hizmet emirleri yokken on telefon hattnn reddet-kes durumunu kaldrmamalyd. alanlarn gvenlik kurallarn ve srelerini bilmeleri yeterli deildir; bu kurallarn, zararn olumasn engellemek iin ne kadar nemli olduunu da anlam olmalar gerekir. Gvenlik kurallar srelerinin uygulanmas bir dl-ceza sistemi ierisinde tevik edilmelidir. Doal olarak kurallar esnek olmal ancak gz ard edilme olaslklar yksek, sorumluluk gerektiren admlar atma iini alanlara brakmamaldr. Ayrca bir gvenlik bilinci program, gvenlik srelerinin evresinden dolaan ksayollar kullanmann -her ne kadar alnan ileri zamannda tamamlamak nemli olsa da- irket ve alanlar iin ykc olabilecei konusunda ikna edici olmaldr. Ayn dikkat telefonda yabanc birine bilgi verirken de gsterilmelidir. Arayan kendini ne kadar ikna edici bir tarzda tantrsa tantsn, irketteki deneyiminden ve konumundan bamsz olarak, kimlii onaylanana kadar, ona herkese ak olarak belirlenmi bilgiler dnda bilgi verilmemelidir. Eer bu kurala sk bir ekilde uyulsayd, bu ykde geen toplum mhendislii oyunu baarsz olur ve federal tutuklu Gondorff bir daha arkada Johnny'le birlikte kimseye yeni bir oyun oynayamazd. u husus o kadar nemli ki bu kitapta bunu srekli yineliyorum: Kontrol, kontrol, kontrol. Yzyze yaplmam herhangi bir istek, istek sahibinin kimliini kontrol etmeden yerine getirilmemelidir; nokta.

Temizlik
Yirmi drt saat alan gvenlik grevlileri olmayan irketler iin saldrgann mesai saatlerinden sonra ofise girmesi ciddi bir sorundur Temizlikiler, irketten gibi grnen ve bir tuhaflk grmedikleri herkese ounlukla saygyla davranrlar. Ne de olsa bu kii onlarn ban belaya sokabilecek ya da onlar iten attrabilecek biridir. Bu yzden ister irket eleman olsunlar ister taeron bir temizlik irketinden geliyor olsunla^ temizlik ekipleri fiziksel gvenlik konularnda eitilmelidirler. Temizlik iinin niversite diplomas gerektirdii sylenemez, hatt ingilizce konumay bile gerektirmez ve verilen eitimler, eer varss farkl iler iin ne tr temizlik malzemeleri kullanlaca gibi gvenlik e

Teknolojiyi ve Toplum Mhendisliini Birletirmek

179

ilgisi olmayan konularda olurlar. Genellikle bu insanlar, "Eer mesai saatleri dnda kendisini ieri almanz isteyen biri olursa, irket kimlik kartn gstermesi arttr. Sonra sizin temizlik irketini arayp, durumu anlatmanz ve kar tarafn size izin vermesini beklemeniz gerekir", gibi talimatlar almazlar. Bir kuruluun -bana gelmeden nce- bu blmde anlatlan durumlara kar hazrlkl olmas ve alanlarn ona gre eitmesi gerekir. Grdm kadaryla, hepsi olmasa da, zel sektr iletmelerinin ou fiziksel gvenliin bu boyutu konusunda fazlasyla gevek davranyorlar. Soruna dier ynden yaklap sorumluluu irketin kendi alanlarna da ykleyebilirsiniz. Yirmi drt saat gvenlik hizmeti olmayan bir irket, mesai saatleri dnda i yerine gelen alanlarna kendi anahtarlarn ve manyetik giri kartlarn getirmelerini art koabilir. Temizlik grevlilerine hibir zaman birini ieri almamalar konusunda kesin talimatlar verebilir. Temizlik irketine de ieriye kimseyi almamalar konusunda alanlarnn her zaman eitimli olmalar gerektiini hatrlatabilirsiniz. u basit bir kuraldr: Kapy kimseye amayn. Eer bu uygunsa, temizlik irketi szlemesinin maddelerinden biri olarak yazya dklebilir. Temizlik ekipleri ayn zamanda birinin arkasndan geme teknikleriyle ilgili de eitilmelidirler. Ayrca birinin, bir irket alanna benziyor diye, hemen pelerinden binaya girmeye almasna izin vermeyecek ekilde de bilgilendirilmeliler. Arada bir -rnein ylda ya da drt kere- ieri girme testleri ve aklk deerlendirmeleri yapn. Temizlik ekibi alrken kapya birini gnderin ve o kii temizlikileri ikna ederek ieri girmeye alsn. Bu i iin kendi alanlarnz kullanmaktansa bu tarz ieri girme testlerinde uzmanlam irketlerle almay tercih edin.

Kulaktan kulaa: Parolalarnz gizli tutun


Giderek daha ok irket teknik yntemlere dayanan gvenlik kurallarn uygulamaya geiriyor. rnein, parola kurallarn denetleyecek ekilde iletim sistemi ayarlanabilir ve hesab kilitlemeden nce baarsz parola giri denemelerinin says snrlandrlabilir. Aslnda Microsoft VVndovvs'un iletmelere ynelik srm paketlerine bu zellik genellikle mevcuttur. Ancak daha fazte aba gerektiren zelliklerden mterilerin ne kadar abuk skld grlnce, rnler gvenlik ayarlar kapal olarak sunulmaya baland. Yazlm irketlerinin -tam tersi olmas gerekirken- rnlerini gvenlik ayarlar kapatlm olarak teslim etmeyi durdurmasnn tam zamanym gibi grnyor. (Sanrm yaknda bunu kendileri de anlayacaklar.) irket gvenlik kurallarnn, kolay yanlabilen insanlara gereinden fazla bel balamamak amacyla, mmkn olduunca teknolojik gven-

180

Aldatma Sanat

lik unsurlarn uygulamalar konusunda sistem yneticilerine dayatmada bulunmas son derece doaldr. rnein belirli bir hesapta birbiri ardna yaplan baarsz giri denemelerinin saysn snrlamann bir saldrgann iini olduka zorlatracan grmek ok fazla kafa yormay gerektirmez. Her kurulu, salam gvenlik ve alan retkenlii arasndaki hassas dengeyi korumak zorundadr. Bu, baz alanlarn gvenlii hie saymalarna, alman nlemlerin hassas irket bilgilerini korumada ne kadar nemli olduunu grememelerine neden olur. Eer irket kurallarnn deinmedii baz konular varsa, alanlar en az zorluk ekecekleri yoldan, ilerini kolaylatracak en uygun hareketi yaparak grevlerini yerine getirebilirler. Baz alanlar deiime diren gsterebilir ve doru gvenlik alkanlklarn ak ak hie sayabilir. Basit olmayan ve uzun parola kurallarna uyan ama sonra da parolasn bir not kdna yazp meydan okurcasna bilgisayarnn ekranna yaptran alanlarla karlamsnzdr. irketinizi korumann en etkili yollarndan biri, teknik altyapnzda, gl gvenlik ayarlarnn yan sra kefedilmesi zor parolalar kullanmaktr. Parola kurallaryla ilgili ayrntl deerlendirmeleri 16. blmde bulabilirsiniz.

12

E YEN GRENLERE SALDIRILAR

Burada anlatlan yklerin ounun da gsterdii gibi becerikli bir toplum mhendisi ounlukla kurum ii yetki sralamasnda alt seviyede olan alanlar hedefler. Bu insanlar, hassas irket bilgilerine saldrgan bir adm daha yaklatracak, zararsz gibi grnen bilgileri vermeleri dorultusunda ynlendirmek kolaydr. Bir saldrgann ie yeni balam alanlara saldrmasnn nedeni, onlarn ou zaman belirli irket bilgilerinin ya da baz hareketlerin olas sonularnn farknda olmamalardr. Ayrca en bilinen toplum mhendislii tekniklerinden bazlaryla kolayca etki altna girme eilimindedirler; yetkili kii izlenimi uyandran biri, arkada canls ve sevimli duran biri, irkette kurbann da tand kiileri tanyan biri, saldrgann isteklerinin ok acil olduuyla ilgili bir talep ya da kurbann bir yardm greceine ya da gze gireceine ynelik edindii bir kan gibi. imdi de i bandaki alt seviye alanlara yaplan saldrlara baz rnekler verelim.

Yardmsever Gvenlik Grevlisi


Dolandrclar agzl birini bulmaya alrlar nk dolandrlma olaslklar yksek olanlar onlardr. Toplum mhendisleri temizlik ekibinden ya da gvenlik grevlilerinden birini seerken iyi huylu, arkada canls ve gvenilir birini bulmay umarlar. nk en byk olaslkla yardm etmeyi isteyebilecekler onlardr. Aada anlatlan ykde saldrgann aklndan geen de tam byle bir eydir.

Elliot'un Bak As

..,

Gn/Saat: ubat 1998, Sal, sabah 03:26. Yer: Marchand Mikrosistemler tesisi, Nashua-New Hampshire Elliot Stanley saat ba kmas gereken devriyeler dnda yerinden ayrlmamas gerektiini biliyordu. Ama gecenin bir yans olmutu ve mesaisi baladndan beri tek bir kii bile grmemiti. Telefondaki zavall adamn sesi gerekten yardma ihtiyac varm gibi geliyordu. Ve birilerine kk bir iyilik yapmak insann her zaman kendini daha iyi hissetmesini salyordu.

182

Aldatma Sanat

'in yks
Bili Goodrock'un ok basit, hi deimeden on iki yandan beri baland tek bir amac vard: Yirmi drt yana gelmeden ve kendi birikimlerinin tek kuruuna dokunmadan emekli olmak. Kendi bana da baarl olabileceini, her eye kadir, huysuz babasna gsterecekti. ki yl kalmt ve gelecek yirmi drt ayda baarl bir i adam ve zeki bir yatrmc olarak zengin olamayaca olduka akt. Bir ara silahla banka soymay da dnm ama bunun hikyelerde kalmas gerektiine ve tehlike-kazan dengesinin berbat olduuna karar vermiti. Onun yerine, Rifkin gibi, bir bankay elektronik olarak soymann hayallerini kuruyordu. Bili en son ailesiyle birlikte Avrupa'ya gittiinde Monaco'da 100 franklk bir banka hesab atrd. Yz frank orada duruyordu ama o parann bir anda yedi basamakl olmasn salayacak bir plan vard. Eer ans yaver giderse bu miktar sekiz basamakl bile olabilirdi. BiH'in kz arkada Annemarie byk bir Boston bankasnda birleme ve devirler blmnde alyordu. Bir gn kz arkadann ofisinde, onun ge saatlere kalm bir toplantdan kmasn beklerken, merakn yenemedi ve kendi dizst bilgisayarn, iinde bekledii konferans salonundaki ethernet giriine balad, ite! Dahili aa, bankann ana balanmt... hem de gvenlik duvarnn arkasndan. Aklna bir fikir.geldi. Baarl bir bilgisayar mhendislii doktoras yapmakta olan ve Marchand Microsystems'da staj yapan Julia adnda gen bir kadn tanyan bir snf arkadayla yeteneklerini bir araya getirdiler. Julia ierden nemli bilgiler edinmek iin iyi bir kaynak gibi grnyordu. Kadna bir film senaryosu yazdklarn sylediler ve Julia onlara inand. Onlarla bir yk yazmann elenceli olduunu dnyordu ve anlattklar dmenin nasl evrileceiyle ilgili tm ayrntlar onlara anlatt. Fikrin ok iyi olduunu dnyor ve film yazlarnda adnn gemesi iin srekli kafalarn tlyordu. Onu senaryolarn nasl sk sk alndyla ilgili uyardlar ve bunlar kimseyi anlatmamas iin yemin ettirdiler. Julia tarafndan iyi yetitirilmi olarak iin tehlikeli ksmn Bili kendi yapt ve ii kotarabileceinden hi kuku duymad. Kendi azndan dinleyelim: leden sonra telefon ettim ve gece gvenlik amirinin adnn isaiah Adams olduunu renmeyi baardm. Gece 21:30'da binay aradm ve giri gvenlik masasnda duran bekiyle konutum. Hikyem tamamen aciliyete dayalyd ve biraz telaa kaplm gibi konutum. "Arabamla ilgili bir sorun kt ve tesise gelemiyorum" dedim. "Acil bir durum var ve gerekten yardma ihtiyacm var. Gvenlik amiri isaiah' aramay denedim ama evde deil. Bana bir kerelik yardmc olabilir misiniz, ok makbule geecek."

e Yeni Girenlere Saldrlar

183

Geni tesisteki odalarn her biri numaralyd, bylece adama bilgisayar laboratuvarnn numarasn verdim ve yerini bilip bilmediini sordum. Bildiini syledi ve benim iin oraya gitmeyi kabul etti. Odaya gitmesi birka dakikasn alacakt. Tek bir telefon hattm olduunu ve onu da sorunu zmek iin aa balanmakta kullandm gibi bir bahaneyi ne srerek onu laboratuvardan arayacam syledim. Aradmda oraya varm beni bekliyordu. Ona zerinde "elmer" yazan bir etiket olan ubirimi nerede bulacan akladm. Bu, Julia'nn anlattna gre, irketin pazarlad iletim sistemlerinin piyasa srmlerinin yapld ana bilgisayard. Beki bilgisayar bulduunu sylediinde Julia'nn bize doru bilgi verdiini anladm ve iim bir ho oldu. Birka kere Enter tuuna basmasn syledim, o da bana ekrana pound () iaretlerinin ktn syledi. Bu bilgisayara kk hesaptan, yani tm sistem yetkilerinin olduu sper-kullanc hesabndan girildiini gsteriyordu. Beki, klavyede tek parmak yazyordu ve ben ona, biraz zorlu olan bir sonraki komutu sylerken kan ter iinde kald. echo 'fix'.x:0:0::/:/bin/sh' >> /etc/passwd Sonunda doru girmeyi baard ve bylece hesaplardan birinin adn deitirdik. Sonra ona u komutu girmesini syledim: echo 'fix: : 10300;0:0' 55 /etc/shadow Bu komut, iki nokta st stelerin arasndaki ifreli parolay oluturdu, iki nokta ststelerin arasna hibir ey koymamak parolann olmayaca anlamna gelir. Bu yzden, hesaptaki dzeltmeyi bo bir parola kullanarak parola dosyasna eklemek iin bu iki komut yetmiti. Daha da iyisi, bu hesap da sper-kullanc yetkilerine sahip olacakt. Bunun ardndan ondan yapmasn istediim ey, dosya adlarnn uzun bir listesini karan tekrarlanan bir dizin komutu oldu. Sonra kd ileri doru beslemesini, yrtmasn ve yanna alp beki kulbesine dnmesini syledim, nk daha sonra oradan bana bireyler okumasn isteyebilirdim. iin gzel yan bekinin yeni bir hesap atndan haberi yoktu. Ona dizinlere gre dosya adlarn bastrtmtm, nk daha nce yazd
N O T t Burada kullanlan arka kap, iletim sistemi giri programn deitiren trden deil. Daha dorusu giri programnn kulland dinamik kitaplktaki belirli bir ilev, gizli bir giri noktasn yaratacak ekilde deitiriliyor. Sradan saldrlarda saldrganlar ounlukla ya giri programn deitirirler ya da dorudan ona yama yaparlar ama dikkatli sistem yneticileri program ykleme cd'sinde ya da baka datm ortamlarnda bulunan ekliyle karlatrarak deiiklii fark edebilirler.

184

Aldatma Sanat komutlarn bilgisayar odasndan onunla birlikte kmasn istiyordum. Bylece sistem yneticisi ya da iletmeni ertesi sabah bir gvenlik ihlali olduuna dair hibir ey fark etmeyecekti.

Artk bir hesabm, parolam ve tam yetkim vard. Geceyarsndan az nce sisteme telefonla balandm ve Julia'nn "film senaryosu iin" zenle yazd komutlar girmeye baladm. Gz ap kapayncaya kadar irketin iletim sistemi yazlmnn yeni srmnn kaynak kodunun ana kopyasnn durduu gelitirme sistemine erimitim. Julia'nn yazd ve iletim sistemi kitaplklarndan birindeki bir altprogram deitirdiini syledii yamay ykledim. Aslnda bu yama, sisteme gizli bir parola kullanarak uzaktan eriim salayacak bir arka kap oluturuyordu. Julia'nn benim iin yazd talimatlar zenle uygulayarak, nce yamay ykledim; sonra da, yaptklarmdan geriye hibir iz kalmayacak ekilde dzeltme hesabn kaldran ve tm denetleme gnlklerini tertemiz eden admlar atp etkili bir ekilde izlerimi yokettim. Yaknda irket yeni iletim sistemi gncellemelerini, dnya apnda finansal kurulular olan mterilerine gndermeye balayacakt. Ve gnderdikleri her kopya, gnderilmeden nce ana datm srmne yerletirdiim arka kapy ierecekti. Bylece gncellemeyi ykleyen her bankann ve menkul deerler irketinin bilgisayar sistemine erimemi salayacakt. Henz tam olarak hedefime varmamtm, yapacak daha ok iim vard. "Ziyaret" etmek istediim her finansal kurumun dahili ana girmem gerekiyordu. Sonra hangi bilgisayarlarn para havaleleri iin kullandklarn bulmam ve yaptklar ilemlerin ayrntlarn ve paray tam olarak nasl havale ettiklerini renebilmek iin gzetleme yazlmlar yklemem gerekecekti. Bunlar tmn uzaktan, herhangi bir yerdeki bir bilgisayardan yapabilirdim. rnein bir deniz kysndan. Bekle beni Tahiti, geliyorum. Yeniden bekiyi aradm, yardmlar iin teekkr ettim ve ona dkm pe atabileceini syledim.

YAMA: altrlabilir bir programa yerletirildiinde, var olan sorunu zen bir program parac.

Gvenlik grevlisinin grevleriyle ilgili ald talimatlar vard ama ne kadar ayrntl ve iyi dnlm de olsalar bu talimatlar her olas durumu ngrmyordu. irket alan olduunu dnd biri iin bir bilgisayara

ie Yeni Girenlere Saldrlar

185

Mitnick Mesaj:
Bir saldrgan bir bilgisayar sistemine ya da ana endi ulaamyorsa, bunu yapmas iin baka birisini bulmaya alacaktr. Plann yrmesi iin fiziksel girilerin zorunlu olduu durumlarda kurban arac olarak kullanmak, ii kendisinin yapmasndan daha iyi bile olabilir, nk saldrgan bylece farkedilme ve yakalanma tehlikesini olduka azaltabilir.

oirka komut girmesinin yaratabilecei zarardan kimse ona sz etmemiti. Her ne kadar gvenli bir laboratuvarn kilitli kapsnn arkasnda da olsa, bekinin de ibirliiyle, datm kopyasnnn sakland kritik sisteme eriim olduka kolay olmutu. Bekinin elinde, doal olarak, tm kilitli kaplarn anahtarlar vard. Aslnda drst olan bir alan bile (hikyemizde doktora rencisi ve irket stajyeri olan Julia) bir toplum mhendislii saldrs iin can alc neme sahip bilgileri vermesi iin kandrlabilirya da bunu yapmas iin ona para yedirilebilir. rnein hedef bilgisayar sisteminin nerede olduu ve -bu saldrnn baars iin ok nemli olan- yazlmn yeni srmnn ne zaman datma kaca gibi bilgileri verebilirler, iletim sisteminin temiz bir kaynaktan yeniden yaplandrld durumda, bu tarz bir deiikliin ok erken yaplmas, fark edilme ya da geersiz olma tehlikesini getirdii iin zaman bilmek nemlidir. Bekinin kty giriteki masasna gtrmesini salamann, sonra da onu orada pe attrmann altndaki nedeni grebildiniz mi? Bu nemli bir admd. Bir sonraki i gnnde bilgisayar iletmenleri ie geldiklerinde, saldrgan, kt alma ubiriminde ya da laboratuvarn pnde onlarn bu kant grmelerini istemiyordu. Bekiye akla yatkn bir aklama yaparak dkm yannda gtrmesini salamas bu riskten kurtulmasna yetmiti.

Acil Yama
Teknik destek biriminde alan birinin dardan birine bilgisayar ana giri hakk tanmann douraca sakncalarn bilincinde olmasn beklersiniz. Ancak bu dardan biri, yardmsever bir yazlm satcs gibi davranan akll bir toplum mhendisi ise, sonular pek beklediiniz gibi kmayabilir.

Faydal Bir Telefon Grmesi

-;

' ' \

Arayan, orada bilgisayarlardan kimin sorumlu olduunu bilmek istiyordu ve santral memuru onu teknik destek sorumlusu Paul Ahearn'a balad.

186

Aldatma Sanat

Arayan, kendini Edward olarak tantarak, veritaban satcs SeerVVare'dan aradn syledi. "Grne gre baz mterilerimiz acil gncellemeyle ilgili e-postamz almamlar, bu yzden yamann yklenmesinde sorun kp kmadn kontrol etmek iin bazlarn aryoruz. Yeni gncellemeyi ykleyebildiniz mi?" Paul yle birey grmediinden olduka emin olduunu syledi. Edvvard, "Program zaman zaman byk veri kayplarna neden olabilir, bu nedenle en ksa srede yklemenizi neririz" dedi. "Evet" dedi Paul, bu kesinlikle yapmak isteyecei bir ey olurdu. "Tamam" diye karlk verdi arayan. "Size yamay bir bant ya da CD'ye yklenmi olarak gnderebiliriz ve unu da eklemek isterim ki bu gerekten nemli nk iki irket, imdiden pek ok gne ait verilerini kaybettiler. Bu yzden, bu olay sizin de banza gelmeden, elinize geer gemez yamay yklenmelisiniz." "internet sitenizden indirmem mmkn deil mi?" diye sordu Paul. * "Yaknda hazr olacan sanyorum; teknik ekip hasar dzeltmeye almakla megul. sterseniz mteri destek hizmetlerinin yamay uzaktan yklemesini salayabiliriz. Sisteminize balanmak iin telefon hattn kullanabilir ya da, destekliyorsanz, Telnefi deneyebiliriz." "zellikle internetten Telnet'e izin vermiyoruz; gvenli deil" diye karlk verdi Paul. "Eer SSH kullanabilirseniz, bu olabilir". "Evet, SSH'imiz var. P adresiniz nedir?" Paul ona P adresini verdi ve Edvvard hangi kullanc adn ve parolay kullanabileceini sordu. Paul ona bu bilgileri de verdi.

Aldatmacann incelenmesi
Bu telefon gerekten de veritaban reticisinden gelmi olabilirdi. Ancak o zaman bu yk bu kitapta yer almazd. Topjum mhendisi kritik verilerin yok olabilecei gibi bir korku uyandrarak kurbann etkiledi ve sorunu halledecek hzl bir zm nerdi. Ayrca bir toplum mhendisinin, bilginin deerini bilen birini hedefledii zaman, uzaktan eriim elde edebilmek iin ok inandrc ve ikna edici nedenler bulmas gerekir. Bazen iin iine aciliyet katarak kurbann hzl hareket etmeye zorlayp konuyu fazla dnmesine izin vermeden isteini kabul etmesini salar.

Bir saldrgan, irketinizin dosyalarnda duran hangi tr bilgiye ulamak isteyebilir? Bazen hi korumaya ihtiyacnz olmadn dndnz bir ey olabilir.

ie Yeni Girenlere Saldrlar

187

Kara h 'y.q_ Ge 1 en Te I el o n
- nsan Kaynaklar, ben Sarah. - Merhaba Sarah. Ben George, irket otoparknda grevliyim. Asansrlere binmek ve otoparka girmek iin kullandnz eriim kartlarn hatrlyor musun? Bir sorun kt ve son on be gn iinde yeni girenler iin atmz btn kartlar yeniden programlamam: gerekiyor. - Adlarna m ihtiyacnz var? - Ve telefon numaralarna. - Yeni ie alnanlar listesine bakp seni geri arayabilirim. Tele]on numaran nedir? - 73... Ah, az sonra kahve molasna kacam, yarm saat sonr ben seni arasam nasl olur? - Tamam, olur. Adam geri aradnda, kz~. - Evet, yalnzca iki kii var. Finans blmnden Anna Myrtle, sekreter, ve yeni genel mdr yardmcs Bay Undenvood, dedi. - Telefon numaralar? - Evet, tamam. Bay Undenvood 6973. Anna Myrtle. 2127. - ok yardmc oldun, teekkrler.

Anna'ya Gelen Telefon


- Finans blm, Anna'yla gryorsunuz. - Ge saatlere kadar alan birini bulabildiim iin ok memnunum. Ben Ron Vittaro. Ticaret blmnn a sorumlusuyum. Sanrm henvz tantrlmadk. irkete hogeldin. - Teekkr ederim. - Anna, Los Angeles'taym ve bir krizi zmeye alyorum. Bana ayrabilecein bir on dakikan var m? - Elbette. Ne yapmam gerekiyor? - Ofisime k. Nerede olduunu biliyor musun? - Hayr. - Peki, on beinci katta kedeki oda; oda numaras 1502. Birka dakika iinde seni oradan ararm. Ofise gittiinde aramamn dorudan sesli mesaja balanmamas iin ileri tuuna basman gerekecek. - Tamam, imdi gidiyorum. On dakika sonra Ron'un odasna varm, arama aktarma ilevini iptal etmi bekliyordu ki telefon ald. Adam, kza oturmasn ve internet taraycsn altrmasn syledi. Aldnda yazmas iin www.geocities.com/ron-insen/eser.doc.exe adresini verdi.

188

Aldatma Sanat Bir iletiim kutusu kt ve adam "A" dmesini tklamasn syledi. Bilgisayar yazy indiriyormu gibi gzkt ama sonra ekran karard. Anna bireylerin ters gidiyor gibi grndn sylediinde adam karlk verdi: - Ah, hayr. Srekli o web sitesinden bir eyler indirmekte glk ekiyorum ama dzeltildiini sanmtm. Peki, bo ver o zaman, dosyay daha sonra baka bir ekilde indiririm. Oluan sorundan sonra bilgisayarnn dzgn alp almadndan emin olmak iin Anna'dan bilgisayarn yeniden balatmasn istedi. Yeniden balatmas iin gerekli admlar kza anlatt. Bilgisayar yeniden dzgn bir ekilde almaya baladnda, ona itenlikle teekkr etti ve telefonu kapatt. Anna zerinde alt ii bitirmek iin fmans blmne geri dnd.

Kurt Dillon'un yks


Millard-Fenton yaynclk, i yapmak zere olduklar yeni yazarlar konusunda olduka heyecanlydlar. Bu yazar, bir Fortune 500 irketinin, anlatacak ilgin ykleri olan emekli genel mdryd. Biri, grmeleri ayarlamas iin adam bir yazar manajerine ynlendirmiti. Menajer, yaynevi szlemelerinin nasl yapldyla ilgili hibir ey bilmediini itiraf etmek istemiyordu; bu nedenle, bilmesi gerekenleri renmesine yardmc olmas iin eski bir arkadan tutmutu. Bu eski arkada, ne yazk ki, pek iyi bir seim deildi. Kurt CASUS YAZILIM: Hedefin Dillon aratrmalarnda olaand olabilgisayar faaliyetlerini rak adlandrabileceimiz, pek de etik gizlice izlemesi iin zel olmayan yntemler kullanrd. olarak yaplm program. Bunun bir eidi de, evrimii reklamlarn internette gezinme alkanlklarna gre tasarlanabilmesi iin internetten alveri edenlerin ziyaret ettikleri siteleri takip etmek iin kullanlr. Yazlm, kullancnn, aralarnda girilen parolalar ve klavyeden yazd yazlar, e-postalar, sohbetler, annda mesajlar, ziyaret edilen tm a sayfalar ve ekran resimleri olan tm faaliyetlerini yakalar. Kurt, Ron Vittaro adyla Geocities'den cretsiz bir site ald ve yeni siteye bir casus yazlm ykledi. Yazlmn adn eser.doc.exe olarak deitirdi, bylece dosya bir Word belgesi olarak gzkecek ve kuku uyandrmayacakt. Aslnda iler Kurt'un beklediinden daha iyi yrmt, nk gerek Vittaro, Windows iletim sistemindeki "Bilinen dosya trleri iin dosya uzantlarn gizle" seeneinin varsaylar ayarn hi deitirmemiti. Bu ayar yznden dosyann ad zaten eser.doc olarak kmt. Sonra hanm arkadalarndan birinin Vittaro'nun sekreterini aramasn sa-

ie Yeni Girenlere Saldrlar lad. Dillon'un ynlendirmeleriyle kadn Vittaro'nun sekreteriyle konutu. "Ultimate Kitabevleri, Toronto'nun bakan Paul Spadone'un ynetici asistanym. Bay Vittaro patronumla bir sre nce bir kitap fuarnda tanm ve ortak yrtlebilecek bir projeyle ilgili konumak iin aramasn istemi. Bay Spadone srekli seyahatlerde, bu yzden benden Bay Vittaro'nun ne zaman ofisinde olacan renmemi istedi."

189

SESSZ YKLEME: Bilgisayar kullancsnn ya da iletmeninin fark etmeyecei ekilde bir yazdm uygulamas ykleme yntemi.

kisi ajandalar karlatrmay bitirdiklerinde, Kurt'un bayan arkada Bay Vittaro'nun ofisinde olaca tarihlerle ilgili saldrgana yeterince bilgi salamt. Bu ayn zamanda Vittaro'nun yerinde olmayaca tarihleri de bildirdii anlamna geliyordu. Vittaro'nun sekreterinin de onun yokluundan faydalanp biraz kayak yapmaya gideceini renmek iin de uzun uzun sohbet etmesi gerekmemiti. Ksa bir sre iin ikisi de ofiste olmayacaklard. Mkemmel. ikisinin birden olmadklar ilk gn, emin olmak iin uyduruk, acil bir mesajla telefon ettiinde danma grevlisi ona, "Bay Vittaro ofisinde deil, sekreteri de bugn yok. ikisi de bugn, yarn ve sonraki gn burada olmayacaklar" dedi. Yeni bir alan oyununa alet etme konusunda ilk denemesinde baarl olmutu ve aslnda herkese bilinen, ticari olarak bulunabilen ve saldrgann sessiz ykleme iin zerinde oynad bir casus yazlm olan bir "eseri" indirmesini istediinde kz gzn krpmadan indirmiti. Sessiz ykleme yntemiyle kurulum hibir virs koruma yazlm tarafndan farkedilmez. Tuhaf bir nedenden tr virs koruma programlar yapan reticiler halihazrda varolan casus yazlmlar bulacak bir rn pazara srmyorlar. Gen kadnn, yazlm Vittaro'nun bilgisayarna yklemesinin hemen ardndan, Kurt, Geocities sitesine geri gitti ve doc.exe dosyasn internette bulduu bir kitapla deitirdi. Birileri oyunu farkeder ve ne olduunu anlamak iin siteye gelip bakacak olurlarsa tm bulabilecekleri zararsz, acemice yazlm, baslamaz bir kitap metninden ibaret olacakt. Program, yklendikten ve bilgisayar yeniden balatldktan sonra hemen harekete gemek zere ayarlanmt. Ron Vittaro birka gn iinde dnecek, ie balayacak ve casus yazlm klavyeden bilgisayarna girdii her eyi, gnderdii e-postalar ve o anda ekranndan grdklerinin bir resmini ona iletecekti. Hepsi dzenli aralklarla Ukrayna'daki cretsiz elektronik posta hizmeti veren bir siteye gnderilecekti.

Vittaro'nun dnnden birka gn sonra Kurt, Ukrayna'daki posta kutusuna birikmi gnlk dosyalarn kartryordu ve ok gemeden

190

AJdatma Sanat

Millard-Fenton Yayncln o yazarla anlamak iin tam olarak nereye kadar gitmek istediini anlatan gizli e-postalar buldu. Bu bilgiyle donanarak yazarn menajerinin anlamay btnyle kaybetme riski olumadan, ilk teklif edilenden ok daha iyi koullar iin pazarlk etmesi kolay olacakt. Bu da doal olarak menajer iin daha dolgun bir komisyon anlamna geliyordu.

Aldatmacann ncelenmesi
Bu oyunda saldrgan, arac olarak yeni bir alan seerek, onun ibirlii yapma ve iyi birtakm oyuncusu olma isteine gvendi ve baar ansn artrd. Yeni elemann irket, alanlar ve dalavere teebbsn aksatacak gvenlik uygulamalar konusunda daha az bilgili olma olasl vard. Kurt, fnans blmnde bir memur olan Anna'yla grmesinde genel mdr yardmcs gibi davrand iin, kzn, kendisinin yetkisini sorgulama olaslnn ok dk olduunu biliyordu. Aksine, bir genel mdr yardmcsna hizmet ederek gze girebileceini de dnebilirdi. Anna'ya adm adm anlatt, casus yazlm kurmaya ynelik sre dardan bakldnda zararsz grnyordu. Anna'nn, zararsz gibi grnen davranlarnn bir saldrgana irketin karlaryla ters ynde kullanlabilecek deerli bilgiler salad konusunda en kk bir fikri yoktu. Ve neden genel mdr yardmcsnn mesajlarn Ukrayna'daki bir e-posta adresine gndermeyi semiti? Pek ok nedenden tr uzak yerler bir saldrgann izinin srlmesi ya da ona kar harekete geilmesi ansn azaltr. Bunun gibi lkelerde bu tarz sular genellikle dk nceliklidirler ve internet zerinden ilenen bir su kaydadeer bir su deildir. Bu yzden Amerikan emniyet birimiyle ibirlii yapma olasl dk olan lkelerden e-posta adresleri almak ekici bir stratejidir.

Aldatmacann Engellenmesi
Bir toplum mhendisi, her zaman isteklerinde yanl bir eyler olduunu anlama ans dk alanlar hedeflemeyi tercih eder. Bu, iini kolaylatrmakla kalmaz, bu blmde anlatlan yklerde olduu gibi tehlikeyi de azaltr.

Gafili Kandrmak
Daha nce bir yabancnn talimatlarn yerine getirmeye ikna olmamalar iin alanlarn youn bir ekilde eitilmeleri gerektiini vurgulamtm. Tm alanlar ayrca bir istei, baka birinin bilgisayarnda yerine getirmenin tehlikesini de anlamak zorundadrlar. irket kurallar, yneticiler tarafndan zellikle onaylanmad srece bunu yasakla-

ie Yeni Girenlere Saldrlar 191

Mitnick Mesaj:
Mesai arkadanzdan ya da bir astnzdan yardm istemek olaan bir durumdur. Toplum mhendisleri insanlarn yardm etmeye ve iyi bir talam oyuncusu olmaya ynelik isteklerim smrmeyi bilirler. Saldrgan, amacna yaklaabilmek iin hi bir eyin farknda olmayan alanlar kandrp eitli ileri yapmalarn salayarak bu olumlu ve insan nitelii kullanr. Birilerinin sizi kandrmaya alp almadm anlayabilmeniz iin bu basit nohay anlam olmanz gereklidir.

maldrlar. Mmkn olabilecei durumlar arasnda unlar olabilir: stek iyi tandnz birinden geliVyse, yto. vx.e tur grmede dile getirildiyse ya da arayann sesini tandnzdan emin olduunuz bir telefon grmesi srasnda alndysa. Denenmi yntemler kullanarak istek sahibinin kimlik tespiti olumlu bir ekilde yaplmsa. Yaplacak ilem, istek sahibini ahsen tanyan bir ynetici ya da benzeri bir yetkili tarafndan onaylandysa.

Bir eyler isteyen kii st dzey bir ynetici olduunu iddia etse bile alanlar ahsen tanmadklar kiilere yardm etmemeleri konusunda eitilmelidirler. Kimlik tespitiyle ilgili gvenlik sreleri yrrle konduktan sonra ynetim, bir kural bertaraf etmesini isteyen st dzey bir yneticiye meydan okumas anlamna gelse bile alanlarn bu kurallara uymalarn desteklemelidir. Her irketin, bilgisayarlar ya da bilgisayar donanmlaryla ilgili taleplere yant vermek konusunda alanlara yol gsterecek kural ve sreleri olmaldr. Yaynclk irketiyle ilgili ykde toplum mhendisi bilgi gvenlii kurallar ve sreleriyle i\giV\ b\r e\t\m almam yeni bir alan seti. Bu tarz bir saldrnn nne gemek iin yeni ya da eski her alann basit bir kurala uymas salanmaldr: Tanmadnz birinin isteini yerine getirmek iin bilgisayar sistemini kullanmaynz. Nokta. Bir bilgisayara ya da bilgisayarla ilgili bir donanma fiziksel ya da elektronik eriimi olan bir alann bir saldrgan adna zararl hareketler yapmak zere ynlendirilmeye ak olduunu unutmaynz. alanlar ve zellikle Bi elemanlar, dardan birinin bilgisayar ana erimesine izirfvermenin, banka hesap numarasn telefonla sat yapan birine vermekle ya da telefon kart kodunu hapisteki bir yabancya vermekle arasnda bir fark olmadnn bilincinde olmaldrlar. alanlar bir istei yerine getirmenin, hassas bilgilerin aa kmasna ya da irket bilgisayar sisteminin paylama almasna neden olup olmad konusu dikkatle tartmaldrlar.

192

Aldatma Sanat

Bi personeli de satc gibi arayan tanmadklar kiilere kar tetikte olmaldrlar. Genel olarak bir irket her teknoloji satcsnn balant kuraca belli kiiler grevlendirmen ve dier alanlarn telefon ya da bilgisayar donanmlarna ynelik satclardan gelen bilgi ya da deiiklik taleplerine yant vermemesi iin bir kural koymaldr. Bu yolla belirlenen kiiler, arayan ya da ziyaret eden satclara aina olurlar ve sahtekr tarafndan kandrlma olaslklar der. irketin destek szlemesinin olmad bir satc aradnda bile buna kukuyla baklmaldr. Kurulutaki herkesin, bilgi gvenliinin zayflklar ve gelebilecek tehditler konusunda uyarlmalar gerekmektedir. Gvenlik grevlileri ve benzer alanlara yalnzca gvenlik eitiminin deil ayn zamanda bilgi gvenlii eiliminin de verilmesi gerektii unutulmamaldr. Gvenlik grevlileri, tm tesise fiziksel eriimleri olduu iin, kendilerine kar kullanlabilecek toplum mhendislii tekniklerini tanyabilmelidirler.

Casus Yazlmlara Dikkat


Casus yazlmlar bir zamanlar ounlukla ocuklarnn internette ne yaptn merak eden ana-babalar tarafndan ya da hangi alanlarn internette gezerek iten kaytardn belirlemeye alan iverenler tarafndan kullanlrd. Daha ciddi bir kullanm bilgi varlklarna kar olas hrszlklar ya da sanayi casusluunu belirlemeye ynelikti. Tasarmclar casus yazlmlarn ocuklar korumak iin bir ara olduunu syleyerek pazarlarlar ama asl pazar bakalarn gzetlemek isteyen insanlardr. Bugnlerde, casus yazlm satlar insanlarn elerinin ya da benzer nemli kiilerin kendilerini aldatp aldatmadklarn renmek istemeleriyle byk lde artmtr. Bu kitaptaki casus yazlm yksn yazmaya balamadan ksa bir sre nce, benim adma e-postalarma bakan kii (internet kullanmam yasak olduundan) bir dizi casus yazlmn reklamn yapan bir spam e-posta bulmu. Reklam yaplan programlardan biri yle birey: EN OK STEYECENZ EY: Bu gl gzetleme ve casus program, geri planda kendisini farkettirmeden alrken tm klavye girilerini ve tm ak pencerelerin zaman ve balklarn gizlice kaydeder. Gnlkler ifrelenip sizin belirlediiniz bir e-posta adresine otomatik olarak gnderilebilir ya da sabit diske kaydedilebilirler. Programa eriim parola korumaldr ve CTRL+ALT+DEL mensnde gzkmesi engellenebilir. Yazlan nternet adreslerini grmek, sohbet oturumlarn, e-postalar ve pek ok baka eyi (hatt parolalar ;-)) izlemek iin kullanabilirsiniz. Farkedilmeden HERHANG BR PC'ye ykleyin ve gnlkleri kendinize gndertin'.'.
:

ie Yeni Girenlere Saldrlar 193

Virs Koruma Boluu

Virs koruma yazlmlar ticar casus yazlmlar bulamazlar ve bylece amac bakalarn gzetlemek bile olsa yazlma kt huylu bir yazlm deilmi gibi yaklam olurlar. Bylece telefon dinlemenin bilgisayar karl farkedilmez ve hepimiz iin srekli yasad bir gzlem altnda olma riskini yaratr. Virs koruma programlan reticileri, doal olarak, casus yazlmlarn yasal amalar iin de kullanldn ve bu nedenle kt huylu olarak nitelendirilmemesi gerektiini ne srebilirler. Ancak, bir zamanlar bilgisayar korsanlar tarafndan kullanlm aralarn, artk serbeste datlan ya da gvenlie ynelik yazlm olarak satlan gelimi ekilleri yine de kt huylu yazlm olarak muamele grebiliyor. Burada bir ifte standart var ve ben bunun nedenini merak ediyorum.

Ayn e-postada tantlan baka bir rn, kullancnn bilgisayarndan, tpk kullancnn omuzunun zerinden bakan bir video kamera gibi ekran resimleri alabileceini sylyordu. Bu yazlmlardan bazlar kurbann bilgisayarna fiziksel eriim salamay bile gerektirmez. Kur, program uzaktan ayarla ve annda bilgisayar dinleyebilir duruma ge! FBI bu teknolojiye baylyor olmal. Casus yazlmlar bu kadar kolay bulunurken, irketinizin iki koruma dzeyi oluturmas gerekmektedir. Tm bilgisayarlara SpyCop gibi (www.spycop.com adresinden salanabilir) casus yazlmlar tespit eden bir program yklemeli ve alanlarnzn dzenli olarak tarama yaptrmalarn salamalsnz. Buna ek olarak, alanlarnz bir program indirmeye ya da kt huylu bir yazlm kurabilecek bir e-posta eki amaya yneltecek dalaverelerin oluturduu tehlikelere kar eitmeniz de gerekir. Bir alann kahve molas, le yemei ya da bir toplant iin masasnda bulunmad durumlarda casus yazlmlarn yklenmesini engellemek iin alnacak nlemlere ek olarak, tm alanlarn bilgisayar sistemlerini ifreli bir ekran koruyucu ya da benzer bir yntemle kilitlemeleri de yetkisiz birinin alann bilgisayarna erimesi tehlikesini byk lde azaltacaktr. Kiinin odasna ya da blmesine szan hi kimse dosyalarna eriip, e-postalarn okuyup casus yazlmlar ve kt huylu programlar ykleyemeyecektir. Ekran koruyucu parolasn devreye sokmak iin gerekli kaynak yok denecek kadar az, alanlarn bilgisayarlarn korumada salad kazansa muazzam lde byktr. Bu koullarda fayda-maliyet analizini yapmak iin ok kafa yormaya gerek yoktur.

ZEKCE OYNANMI OYUNLAR


Hassas bilgiler talep eden ya da bir saldrgann iine yarayabilecek bir eyler isteyen yabanc biri aradnda, telefonu aan kiinin, arayann telefon numarasn alacak ve kiinin gerekten syledii kii -irket alan ya da ortak allan bir firma personeli ya da satclardan birinden gelen bir teknik destek grevlisi- olup olmadn kontrol etmek iin onu geri arayacak ekilde eitilmesi gerektiini artk iyice grm olmalsnz. Arayanlarn kimliinin tespiti iin irket alanlarnn zenle izlemesi gereken oturmu bir sre olsa bile, ok ynl saldrganlar kurbanlarn syledikleri kiiler olduklarna inandrmak iin yine de eitli oyunlar oynayabilirler. Aada anlatld gibi, gvenlik bilinci yerlemi alanlar bile bu tarz yntemlerle tuzaa drlebilirler.

Yanltc Arayan Kimlii


Cep telefonuna arama gelen herkes, arayan kimlii olarak bilinen, arayann numarasn grme zelliini bilir, i dnyasnda, aramann irket iinden mi yoksa dndan m geldiini bir bakta anlamak gibi de bir faydas vardr. Yllar nce, telefon irketlerinin bu hizmeti halka sunmalarna izin verilmedii zamanlarda baz hrsl telefon beleileri arayan numaray grmenin salad olanaklarla tanmlard. Daha arayan kii bir ey syleyemeden onu adyla selamlayp insanlar hayrete drerek eleniyorlard. Gvende olduunuzu dndnz bir anda, grdnze gvenerek -yani telefonun ekrannda, arayann numarasn grerekkimlik tespiti uygulamas, aslnda saldrgann tam da yapmanz istedii ey olabilir.

Lnda'mn Telefon Grmesi


Gn/Saat: 23 Temmuz, Sal, saat 15:12 Yer: Starbeat Havaclk, Finans Dairesi Tam patronuna bir not yazarken Linda HH'in telefonu ald. Arayann numarasna baktnda aramann New York Genel Mdrlk binasndan, Victor Martin adl birinden geldiini grd. Bu tand bir isim deildi.

196

Aldatma Sanat

Yazd notla ilgili dnce akn kaybetmemek iin aramay telesekretere brakmay dnd. Ama merakna yenildi ve telefonu at. Arayan kendini tantt ve rn Aratrma'dan olduunu, Genel Mdr'n istedii bir eyler zerinde altn syledi. "Baz bankaclarla toplant iin Boston'a gidiyor, iinde bulunduumuz aylk dneme ait balca finansal verilere ihtiyac var" dedi. "Ve bir ey daha. Apache projesiyle ilgili finansal tahminlere de gereksinimi var" diye ekledi Victor, irketin baharda piyasaya srecei nemli rnlerden birinin kod adn kullanarak. Kadn ona e-posta adresini sordu ama adam e-posta almakla ilgili bir sorunu olduunu, teknik servisin bunun zerinde altn syledi ve bu yzden verileri fakslayp fakslayamayacan sordu. Kadn bunun sorun olmayacan syledi ve Victor ona dahili faks numarasn verdi. Birka dakika sonra Linda ona faks yollad. Ama Victor, rn Aratrma'da almyordu. Aslnda o irkette bile almyordu.

"

Jack'n y k s

. . " - . .

Jack Davvkins profesyonel yaamna erken yalarda Yankee Stadyumu'nda oynanan malarda, kalabalk metro istasyonlarnda ve Times Meydan'na gece gelen turist kalabalnn arasnda yankesicilik yaparak balad. O kadar evik ve becerikliydi ki adama fark ettirmeden kolundan saatini bile alabilirdi. Ama sarsak ergenlik anda hantallam ve yakalanmt. Islahevinde, yakalanma tehlikesi ok daha dk olan yeni bir meslek edinmiti. u anki ii, bir irketin aylk kr-zarar durumunu ve nakit akm bilgilerini, veriler ABD Sermaye Piyasas Kurulu'na verilmeden ve halka almadan nce ele geirmesini gerektiriyordu. Mterisi, bu bilgileri neden istediini sylemeyen bir di hekimiydi. Jack'e kalrsa adamn gizlilii komikti. Bylelerini daha nce de grmt; adamn byk olaslkla bir kumar sorunu vard ya da daha karsnn bilmedii masrafl bir kz arkadaa sahipti. Ya da belki hisse senetleriyle oynamada ne kadar akll olduuyla ilgili karsna hava atarken bir tomar para kaybetmi ve eyrek dnemlik sonularn akladklarnda irket hisse senetlerinin ne yne gideceini renenerek, kesin bir eye byk oynayp ok kazanmak istiyordu. nsanlar, dikkatli bir toplum mhendisinin daha nce karlamad bir durumu zmek iin ne kadar az zamana ihtiyac olduunu rendiklerinde aryorlar. Jack di hekimiyle yapt toplantdan eve dnene kadar oktan bir plan yapmt. Arkada Charles Bates kendi telefon santral dier bir deyile PBX' olan Panda ithalat adl bir irkette al yordu. Telefon sistemleri konusunda bilgili insanlarn aina olduu terimler-

r r[
i I

Zekice Oynanm Oyunlar

197

le ifade edersek, PBX, Tl olarak bilinen bir dijital telefon hizmetine balyd ve PRI ISDN olarak ayarlyd. Bu, Panda'dan yaplan her aramada kurulum ve dier grme bilgileri veri kanalndan telefon irketi santralna gidiyor anlamna geliyordu. Bu bilgiler arasnda (eer engellenmemise) alc uta numara grntleme arayzne aktarlan, arayann telefon numaras da vard. Jack'in arkada, aranan kiinin arayan numaray grebilecei e kilde santral nasl programlayacan biliyordu. stelik Panda ofisinden kullanlan gerek telefon numarasn deil, santrala her ne telefon numaras programlandysa kar tarafn onu grmesini salayabiliyordu. Bu dmenin ilemesinin nedeni, yerel telefon irketlerinin mterinin kulland telefon numarasyla mterinin parasn dedii telefon numarasn karlatrmaya yanamamasyd. Jack Davvkins'in ihtiyac olan tek ey byle bir telefon hizmetini kullanabilmekti. Neyseki arkada ve ksa bir sre iin su orta olan Charles Bates kk bir cret karlnda her zaman yardm etmeye hazrd. Bu durumda Jack ve Charles irket telefon santraln geici olarak programlamlard. Bylece Panda irketinin iindeki belli bir telefondan arandnda Victor Martin'in telefon numarasn gsterecek ve arama Starbeat Havaclk'tan geliyor gibi grnecekti. Grnen numarann istediiniz numarayla deitirilebilecei fikri o kadar az bilinir ki bu yzden ok az sorgulanr. Bu olayda Linda, rn Aratrma'dan olduunu dnd kiiye istedii faks memnuniyetle gnderdi. Jack telefonu kapattnda Charles irket telefon santraln yeniden programlayp telefon numarasn asl ayarlarna geri dndrd.

Aldatmacann ncelenmesi
Baz irketler mterilerinin ya da mal aldklar irketlerin alanlarnn telefon numaralarn bilmelerini istemez. rnein, Ford firmas Mteri Destek Merkezi'nden arayan her mteri temsilcisinin dorudan telefon numarasn grmek yerine, Merkezden gelen tm aramalarn Merkezin 800'l numarasn ve "Ford Destek" gibi bir bilgi gstermesini isteyebilir. Microsoft, alanlarnn arad herkesin arayan numaraya bakp dahili numaralan renmemesi iin, alanlarna telefon numa ralarn yalnzca kendi setikleri muhataplarna verme seeneini tanyabilir. Bu yolla irket dahil numaralarnn gizliliini koruyabilir. Ancak bu yeniden programlanma zellii, akaclar, fatura tahsildarlar, telefonla sat yapanlar ve tabii, toplum mhendisleri iin ok kullanl bir ara oluturmaktadr.

198

Aldatma Sanat

eitleme: Amerika Birleik Devletleri Bakan Aryor


Los Angeles, KFI Talk Radio adndaki bir radyoda "internetin Karanlk Yz" adl bir programn ikinci sunucusu olarak radyonun program ynetmeniyle birlikte alyordum. Tandm en iine bal ve alkan insanlardan biri olan David, ok megul olduu iin telefonla ulalmas zor biriydi. Arayan numara gstergesine bakp konumak istedii biri deilse telefonu amayan insanlardand. Cep telefonumda arama engeli olduu iin ben aradmda kimin aradn gremiyor ve telefonu amyordu. Telesekreter devreye giriyordu ve bu benim iin ok can skc oluyordu. Yksek teknoloji irketlerin ofis bulan bir emlak irketinin sahibi olan eski bir arkadamla bu konuda ne yaplabileceini grtm. Birlikte bir plan yaptk. irketine ait bir Meridian telefon santralna eriimi vard ve bir nceki ykde anlatld gibi, arayan tarafn numarasn yeniden programlayabiliyordu. Ne zaman program ynetmeniyle konumam gerekse ve ona ulaamazsam, arkadamdan, setiim bir numarann arayan numara olarak gzkmesi iin gerekli programlamay yapmasn rica ederdim. Bazen aramay David'in yardmcsndan ya da radyo istasyonunun sahibi olan holdingden geliyormu gibi gstermesini isterdim. Ama en sevdiim, aramay David'in kendi evinden geliyormu gibi gstermekti. Byle olduu zaman telefonu hep ayordu. Ancak adama hakkn vermek lzm. Telefonu ap onu bir kez daha kandrdm grnce olay aka yollu karlamay biliyordu. Bunun en iyi taraf ise istediim eyin ne olduunu anlayp sorunu zene kadar telefonda kalmasyd. Bu kk numaray Art Bell Shovv'da gsterdiimde, arayan kimliimi FBI Los Angeles genel merkezinin ad ve numaras olarak deitirdim. Art tm bu olanLra olduka ard ve yasad bir ey yaptm konusunda beni uyard. Sahtecilik yapmadm srece bunun tamamyla yasal olduunu ona anlattm. Programdan sonra bunu nasi yaptm soran yzlerce e-posta aldm. Artk siz biliyorsunuz. Toplum mhendisinin inanlrln artrmas iin bu kusursuz bir aratr. rnein, toplum mhendislii saldr srecinin aratrma aamasnda hedefin arayan numaralar grebildii anlalrsa, saldrgan kendi numarasn gvenilir bir irketten ya da alandan geliyormu gibi gsterebilir. Bir fatura tahsildar, yapt aramalar iyerinizden geliyor gibi gsterebilir. Ama durup bunun etkilerini dnmek gerek. Bir bilgisayar saldrgan, irketinizin B biriminden olduunu syleyerek sizi evinizden arayabilir. Telefondaki kii, ken bir sunucudan dosyalarnz kurtarmak

Zekice Oynanm Oyunlar

199

JVtnick Mesaj:
Bir daha size bir telefon geldiinde ve telefonun gstergesine bakp arayann sevgili anneniz olduunu grdnzde, hi belli olmaz, sevimli, yal bir toplum mhendisiyle karlaabilirsiniz.

iin acilen parolanza ihtiya duymaktadr. Ya da arayan numara olarak bankanzn veya menkul kymet danmannzn ad ve numaras gzkebilir ve o tatl sesli kz hesap numaralarnz ve annenizin kzlk soyadn kontrol etmesi gerektiini sylemektedir. i salama almak iin sistemde oluan bir sorun nedeniyle ATM kart numaranz da elindeki bilgiyle karlatrmas gerekmektedir. pheli hisse senetlerinin alnp satld bir yer, aramalarn Merrill Lynch ya da Citibank'tan yaplyormu gibi gsterebilir. Kimlik bilgilerinizi almaya alan biri Visa'dan aryormu gibi grnp, sizi kredi kart numaranz vermeye kandrabilir. Size di bileyen biri, arayp vergi dairesinden ya da FBI'dan olduunu syleyebilir. Bir PRI'ya bal bir telefon sistemine eriiminiz ve satc irketin internet sayfasndan edinebileceiniz kk bir programlama bilginiz varsa, bu taktii arkadalarnza sk oyunlar oynamak iin kullanabilirsiniz. Tandnz abartl politik eilimleri olan biri var m? Gsterilecek numaray 202 456-1414 programlayp, arayan numaralarda gsterilen arayan kimliini "BEYAZ SARAY" olarak deitirebilirsiniz. Bakann onu aradn dnecektir! Hikyenin ana fikri basittir: Dahil aramalar grdnz durumlar dnda arayan kimliine gvenilmez. Hem ite hem de evde, herkes arayan numara kdnn farknda olmal ve telefonda gzken adn ve numarann kimlik tespiti iin gvenilir bir veri olmadnn bilincinde olmaldr.

Grnmez alan
Shirley Cutlass hzl para kazanmann yeni ve heyecanl bir yolunu bulmutu. Artk para kazanmak iin yrtnma devri kapanmt. Son yllarn en sk ilenen suunu ileyen yzlerce dalavereciden biri olmutu. Shirley bir kimlik hrszyd. Bugn gzn bir kredi kart irketinin mteri hizmetleri blmnden gizli bilgi almaya dikmiti. Her zamanki devlerini yerine getirdikten sonra, hedef irketi arad ve telefonu aan santral memuruna Telekomnikasyon birimine balanmak istediini syledi. Telekomnikasyona balandnda sesli mesaj yneticisiyle konumak istedi.

200

Aldatma Sanat

Aratrmalarndan edindii bilgileri kullanarak adnn Norma Todd olduunu ve Cleveland brosundan aradn syledi. Artk size de tandk gelen bir klf uydurarak bir haftalna irket genel mdrlne geleceini ve ehirleraras telefon grmesi yapmadan sesli mesajlarn kontrol etmek iin orada bir sesli mesaj kutusuna ihtiyac olduunu anlatt. Adam konuyla ilgileneceini ve gerekli dzenlemeleri yaptktan sonra ihtiyac olan bilgileri vermek iin onu arayacan syledi. uh bir ses tonuyla kadn, "u anda bir toplantya gidiyorum, sizi bir saat sonra yeniden arayabilir miyim?" diye sordu. Tekrar aradnda adam her eyin ayarlandn syledi ve ona dahili numara ve geici paroladan oluan bilgiyi verdi. Adam, sesli mesaj parolasn nasl deitireceini bilip bilmediini sordu ve kadn yaplmas gerekenleri adam kadar iyi bilse de yine de anlatmasna izin verdi. "Ha, birde", dedi kadn ve sordu, "mesajlarm otelden kontrol etmek iin hangi numaray evirmem gerekiyor?" Adam ona numaray verdi. Shirley o numaray arad, parolay deitirdi ve arayanlar iin yeni bir selamlama mesaj kaydetti.

Shirley Saldrr

imdiye kadar yapt, altyapy oluturmaktan ibaretti. Artk aldatma sanatn kullanmaya hazrd. irketin mteri hizmetleri blmn arad. "Cleveland brosu. Tahsilatta alyorum" dedi ve artk aina olduunuz bahanenin bir baka eidini anlatmaya giriti. "Teknik destek ekibi bilgisayarm tamir etmeye urayor, bu yzden bir bilgiyi bulmak iin yardmnza ihtiyacm var." Ve kimliini almaya niyetli olduu kiinin adn ve doum tarihini verdi. Sonra istedii bilgileri sralad: Adresi, annesinin kzlk soyad, kart numaras, kredi limiti, kullanabilecei kredi miktar ve gemi demeleri. "Beni bu numaradan arayabilirsiniz", diyerek ses mesaj yneticisinin onun iin ayrd dahili numaray verdi. "Eer yerimde yoksam, bilgiyi sesli mesaj olarak brakabilirsiniz." Sabah baka ilerle uramay srdrd ve leden sonra ses mesajn kontrol etti. stedii her ey oradayd. Telefonu kapamada" nce kendi selamlama mesajn sildi. Geride sesinin kaydn brakmadikkatsiz bir hareket olacakt. Amerika'nn en hzl artan, yeni yzyln en popler suu olan kimi hrszlna bir kurban daha verilmiti. Shirley az nce ele geirdii kre: kartn ve kimlik bilgilerini kullanarak kurbann kartndan harcama yakmaya balamt bile. . -.,- .

r.

Zekice Oynanm Oyunlar

201

Mitnick Mesaj:
Arada bir itendi sesli mesaj kutunuzu aramay deneyin; eer size ait olmayan bir selamlama mesaj duyarsanz, hayatnmn ilk toplum mhendisiyle karlatnz demeldir.

Aldatmacann ncelenmesi

evirileri bu dalaverede saldrgan nce irketin sesli mesaj yneticisini, geici bir sesli mesaj kutusu amas iin bir irket alan olduu yolunda kandrd. Eer adam kimlik tespiti yapacak olsayd, kadnn verdii adn ve telefon numarasnn irket alanlar veri tabanndaki listelerle uyutuunu grecekti. Geriye kalan, yalnzca bilgisayar sorunuyla ilgili geerli bir mazeret vermek, ihtiyac olan bilgileri kar taraftan istemek ve bilgilerin sesli mesaja braklmasn rica etmekten ibaretti. Neden bir alan baka bir irket mensubuna yardm etmesin ki? Shirley'nin verdii numarann dahili bir numara olduu ak bir ekilde grlrken kukulanmak iin hibir neden yoktu.

Sekreter
Robert Jorday adndaki bilgisayar korsan kresel bir irket olan Rudolfo Gemicilik Inc.'in bilgisayar sistemlerine dzenli olarak giriyordu. irket, sonunda birilerinin ubirim sunucularna balandn ve bu sunucular zerinden kullancnn irketteki herhangi bir bilgisayara girebildiini anlad. irket an korumak iin, her ubirim sunucusuna telefon hatl modem taklmasna karar verildi. .-. Robert, A Hizmetleri Merkezi'ni, Hukuk ileri'nden arayan bir avukatm gibi arad ve aa balanmakta glk ektiini syledi. Konutuu a yneticisi ona birka gvenlik sorunu yaadklarn bu yzden tm telefon balantl kullanclarn aylk parolay yneticilerinden almas gerektiini belirtti. Robert her ayn parolasnn yneticilere nasl aktarldn ve parolay nasl ele geirebileceini dnd. rendii kadaryla arad yant, bir sonraki ayn parolasnn ofis postas araclyla bir not olarak her irket yneticisine iletilmesinde yatyordu. Bu, ileri kolaylatrmt. Robert kk bir aratrma yapt, hemen ayn birinden sonra irketi arad ve yneticilerden birinin, adnn Janet olduunu syledii sekreteriyle grt. "Merhaba, Janet. Ben Aratrma ve Gelitirme'den Randy Goldstein. irket dndan ubirim sunucusuna balanmak iin kullanlan yeni parola notunu aldma emin gibiyim ama hibir yerde bulamyorum. Bu ayn notunu siz aldnz m?" Evet, dedi kadn, almlard.

202

Aldatma Sanat

Mitnick Mesaj:
Becerikli toplum mhendisi, insanlar etkileyerek kendisine iyilikyapmalarm salamak konusunda ok aklldr. Bir faks alp sonra onu baka bir yere gndermek o kadar zararsz grnr ki bir danma grevlisini ya da baka birini bunuyapmaya Uma etmek ok kolaydr. Biri sizden bilgi talep ederek bir iyilik yapmanz istiyorsa ve siz o kiiyi tanmyor ya da lamliini kontrol edemiyorsanz, "hayr" deyin.

Onu kendisine fakslayp fakslayamayacan sordu ve kz kabul etti. Ona irket alannda baka bir binann danma faks numarasn verdi. Burada fakslarn kendisi adna bekletimesi iin gerekli dzenlemeleri oktan yapmt. Daha sonra da parola faksnn kendisine ynlendirilmesini salayacakt. Ancak bu kez Robert farkl bir faks ynlendirme yntemi kulland. Danma grevlisine bir evrimii faks hizmetinin numarasn vermiti. Bu numaraya faks gnderdiinizde otomatik sistem onu abonenin e-posta adresine gnderiyordu. Yeni parola Robert'm in'deki bir cretsiz e-posta hizmetinden ald e-posta l noktasna geldi. Faksn nereye gittii izlenecek olursa, soruturmay yrten kii inli yetkililerle ibirlii salayabilmek iin san ban yolacakt. Byle konularda inlilerin pek yardmc olmayacaklarn Robert biliyordu. En gzeli ise faks makinasnn banda hi bulunmam olmasyd.

Trafik Mahkemesi
Ar hz cezas kesilen herkes herhalde cezadan syrlmann bir yolunu bulmay hayal etmitir. Ehliyet kursuna giderek, cezay deyerek ya da yargc polis hzlerinin ya da radar cihaznn en son ne zaman bakmdan getiini deerlendirmeye ikna etmeye alarak bu i olmaz. Hayr, en gzel senaryo sistemi ait ederek ceza makbuzundan kurtulmaktr.

Dalavere
Her ne kadar bir trafik cezasndan kurtulmak iin bu yntemi nermesem de (her zaman sylendii zere, bunu kendiniz yapmay denemeyin), toplum mhendislerinin aldatma sanatn kullanmalarna iyi bir rnek oluturmaktadr. Bu trafik ihlalcisinin ad Paul Durea olsun.

lk Admlar
- Los Angeles Emniyet Mdrl, Hollenbeck birimi. - Merhaba, Celp Brosu'ndan biriyle grmek istemitim.

Zekice Oynanm Oyunlar - Mahkeme celplerine ben bakyorum.

203

- ok iyi. Ben avukat John Leland; Meecham, Meecham ve Talbott Avukatlk Brosu'ndan. Bir memuru bir davaya armam gerekiyor. - Peki, hangi memuru? - Bronuzda Memur Kendall adnda biri var m? - Sicil numaras nedir? - 21349 - Evet, var. Ne zaman ihtiyacnz var? - Gelecek ay bir ara ama bu dava iin baka tanklar da davet etmem ve sonra da mahkemeye hangi gnlerin bizim iin daha uygun olduunu sylemem gerekiyor. Gelecek ay Memur Kendall'm msait olabilecei gnler hangileri? - Bakalm...Yirmisinden yirmi ne kadar tatilde ve sekiziyle on alts arasnda da eitimde olacak. - Teekkrler. renmek istediim buydu. Mahkeme tarihi belli olduu zaman sizi yine ararm.

Blge Mahkemesi, Ktip Masas


Paul: Bu trafik cezas iin bir mahkeme tarihi belirlemek istiyorum. Ktip: Tamam. Size, gelecek ayn yirmi altsn verebilirim. Bir tebligat ayarlamak istiyordum. ' - Trafik cezas iin tebligat m istiyorsunuz? - Evet. - Tamam. Tebligat varn sabah ya da leden sonra yapabiliriz. Hangisini tercih edersiniz? - leden sonra. - Tebligat yarn leden sonra 13:30'da 6 numaral mahkeme salonunda. - Teekkrler, orada olacam.

Blge Mahkemesi, Alt Numaral Mahkeme


Tarih: Perembe, leden sonra 13:45 Katip: Bay Durea, ltfen krsye yaklan. Yarg: Bay Durea, bugn leden sonra size aklanan seenekleri anladnz m? Paul: Evet, sayn yarg. Yarg: Trafik okuluna gitme seeneini kullanmak ister misiniz? Sekiz saatlik bir kursu baaryla tamamladktan sonra davanz decektir. Kaytlarnz inceledim ve u anda gerekli niteliklere sahip grnyorsunuz.

104

Aldatma Sanat Paul: Hayr, sayn yarg. Davamn grlmesini talep ediyorum. Bir ey daha var sayn yarg, lke dna kmam gerekiyor ama ayn sekizinde ve dokuzunda uygun olacam. Davamn o gnlerden birinde grlmesi mmkn olabilir mi? Yarn Avrupa'ya i gezisine gidiyorum ve drt hafta sonra dneceim. Yarg: Pekala. Dava 8 Haziran, sabah 08:30'de drt numaral mahkeme salonunda grlecektir. Paul: Teekkrler, sayn yarg.

Blge Mahkemesi, Drt Numaral Mahkeme


Paul ayn sekizinde mahkemeye erken geldi. Yarg geldiinde katip ona polis memurlarnn gelmedii davalarn bir listesini verdi. Yarg, aralarnda Paul'tin de olduu davallar ard ve onlara davalarnn dtn syledi.

Aldatmacann ncelenmesi
Polis ceza kestii zaman ceza makbuzunun zerine adn ve sicil numarasn da yazar (ya da alt kurumda bu kiiye zg numaraya ne ad veriliyorsa onu yazar). Grevli olduu karakolu bulmak ok kolay olur. Bilinmeyen numaralan arayp makbuzun stnde yazan emniyet mdrl karakolunun adn (otoyol devriyesi, blge erifi ya da herneyse) vermeniz ayanz kapdan ieri sokmanz iin yeterlidir. Karakolu aradktan sonra, trafik cezasnn kesildii blgeyle ilgili mahkeme celplerine bakan memura sizi ynlendirebilirler. Emniyet mensuplar dzenli olarak mahkemelere arlrlar; bu, yaptklar iin bir parasdr. Bir blge savcs ya da savunma avukat bir polis memurunun tanklna ihtiya duyarsa ve sistemin nasl ilediini biliyorsa, nce memurun ne zaman uygun olduunu renir. Bunu yapmak kolaydr, karakoldaki celp memurunu aramak yeterli olur. ounlukla bu grmelerde avukat memurun u ve u tarihlerde uygun olup olmadn sorar. Bu oyunu oynayabilmek iin Paui'un duruma gre davranmas, celp grevlisinin polis memurunun dolu olduu zamanlan vermesi iin elle tutulur bir neden bulmas gerekiyordu. Mahkeme binasna gittiinde neden Paul ktibe dorudan istedi eyi sylemedi? Basit; anladm kadaryla ou yerde trafik mahkemesi ktipleri halkn mahkeme tarihi semesine izin vermezler. Eer ktibin nerdii br tarih kiiye uymuyorsa, ktip bir iki tarih nerisinde daha bulunur ama daha fazlasn yapmaz. te yandan tebligatta kendir gsterecek zaman ayrabilmi birinin ans daha yksektir. Paul bir tebligat hakk olduunu biliyordu. Yarglarn gn taleplerine ounlukla olumlu baktn da biliyordu. Polis memurunun eitim gnlerire denk gelen gnleri zellikle seti. Polisin durumu gz nne alndna.-

Zekice Oynanm Oyunlar

205

Mitnick Mesaj*.
nsan akl muhteem bir eser. Biimsiz bir durumdan syrlmak ya da istediklerini elde etmek iin dolambal yolla retmekte insanlarn ne kadar yaratc olduunu grmek ilgin. Kamu ve zel sektrde bilgi ve bilgisayar sistemlerini korumak iin sizin de ayn yaratcl ve hayal gcn gstermeniz gerekir. Bu yzden dostlarm, irketinizin gvenlik politikalarn olutururken yaratc olun ve olaylara dardan bakn.

eitime gitmek bir trafik mahkemesinde bulunmaktan daha nemli olacakt. Trafik mahkemelerinde, polis memuru mahkemeye gelmezse dava der. Ne para cezas, ne trafik okulu, ne ceza puan... hibir ey olmaz. Daha da iyisi trafik suu kayda da gemez! Tahminime gre baz polis yetkilileri, mahkeme grevlileri, blge savclar ve benzeri kiiler bu yky okuyacaklar ve bu numarann ilediini bildikleri iin balarn sallayacaklar. Ama ba sallamakla kalacaklar ve hibir ey deimeyecek. Bu konuda bahse girebilirim. 1992'de kan Sneakers adl filmdeki Cosmo karakterinin de syledii gibi, "Her ey ya birdir ya sfrdr", yani sonu olarak her ey bilgiye dayanyor. Emniyet mdrl birimleri bir polis memurunun aylk programn, arayan neredeyse herkese vermeye istekli olduklar srece trafik cezalarndan kurtulmak her zaman mmkn olacaktr. irketinizin ya da kurumunuzun yapt ilemlerde de akll bir toplum mhendisinin almalarn pek de istemeyeceiniz bilgileri almak iin kullanabilecei benzer aklar var m?

Samantba'nn ntikam
Samantha Gregson kzgnd.

-. , ... . ..

niversiteden iletme diplomas alabilmek iin ok alm ve bunu baarmak iin bir yn renci kredisi almt. Byk paralar kazanabilecei bir kariyer sahibi olmak iin niversite diplomas gerektii her zaman beynine kaznmt. Sonunda mezun olmu ama hibir yerde eli yz dzgn bir i bulamamt. Lambeck malattaki ie girebildii iin ok memnun olmutu. Sekreterlik ii yapmak kk drc olabilirdi ama Bay Cartright onu ie almaktan ne kadar memnun olduklarn ve u anda ie sekreterlikle balamasnn, alacak ilk idari olmayan konuma onun gelmesini salayacan sylemiti. ki ay sonra Cartright'n en alttaki rn yneticilerinden birinin ayrlacan duydu. O gece gzn krpmad ve kendini beinci katta, kaps olan bir odada, toplantlara katlp kararlar alrken hayal etti.

206

Aldatma Sanat

Ertesi sabah ilk i olarak Bay Cartright'n odasna gitti. Cartright ona, profesyonel bir konuma gemeden nce yaptklar iin piyasasn daha iyi renmesi gerektiini dndklerini syledi. Sonra da gidip, piyasay ondan ok daha az tanyan irket dndan bir amatr ie aldlar. O zaman yava yava anlamaya balad. irkette alan pek ok kadn vard ama neredeyse hepsi de sekreter konumundaydlar. Ona yneticilik grevi vermeyeceklerdi. Hibir zaman.

deme

Onlara bunu nasl deteceini planlamas neredeyse bir haftasn ald. Bir ay kadar nce yeni bir rn tantm iin bir ticaret dergisinden gelen adam ona aslmt. Birka hafta sonra adam Samantha'y iten aram ve Cobra 273 rnyle ilgili biraz n bilgi verebilirse ona iek gndereceini ve gerekten ok sk bir bilgi olursa onu yemee karmak iin ikago'dan kalkp geleceini sylemiti. Bu konumadan ksa bir sre sonra irket ana balanmaya alan gen Bay Johannson'un yannda durmutu. Hi dnmeden adamn parmaklarn seyretti (buna omuz gezintisi de denir). Parola olarak "marty63" girmiti. Plan olumaya balyordu. irkete geldikten sonra yazd bir notu hatrlad. Dosyalarn arasnda bir kopyasn buldu ve ilkinin tarzn kullanarak yeni bir tane daha yazd. yle bir ey olmutu: KME: C. Pelton, B Blm KMDEN: L. Cartright, Gelitirme Martin Johansson, blmmdeki bir zel projeler ekibiyle birlikte alacaktr. Bu nedenle kendisine, mhendislik grubunun tm sunucularna erimek zere yetki vermi bulunuyorum. Bay Johansson'un gvenlik profilinin bir rn gelitiricisiyle ayn haklara sahip olacak ekilde gncellenmesi gerekecektir. Louis Cartright Herkes yemee ktktan sonra Bay Cartright'n imzasn ilk nottar kesip yenisine yaptrd ve kenarlarn daksilledi. Elde ettii eyin b'~ fotokopisini ekti ve sonra fotokopinin fotokopisini ekti. mzan" evresindeki kt kenar izleri glkle seilebiliyordu. Bay Cartrigth'n odasnn yaknndaki makinadan faks ekti. gn sonra mesaiye kald ve herkes gidene kadar bekle; Johannson'un odasna girdi ve aa adamn kullanc adn ve parolas" marty63', girerek balanmay denedi. e yarad. '
;

Zekice Oynanm Oyunlar Dakikalar ierisinde Cobra 273'n rn zelliklerini ieren dosyay buldu ve onlar sktrarak bir disketin iine kaydetti. Serin gece esintisinde park yerine doru yrrken disket gvenli bir ekilde antasnda duruyordu. Disketi o gece dergi muhabirine yollayacakt.

207

Terimler
OMUZ GEZNTS: Klavyeye bilgi giren birini, parolasn ya da baka kullanc bilgilerini grp almak amacyla seyretmek.

Aldatmacann ncelenmesi

- .-. -.

Can sklm bir alan, dosyalan tarar, hzl bir kes-yaptr ve daksilleme ileminin ardndan biraz yaratc bir fotokopicilik yapar ve ardndan faks gider. Ve bingo! Gizli pazarlama ve rn bilgilerini dar karmtr. Birka gn sonra bir ekonomi dergisi muhabiri ok yeni bir rnn zellikleri ve pazarlama planlaryla ilgili byk bir haber patlatr. Bu haberi ieren dergi, rnn piyasaya srlmesinden aylar nce piyasadaki dergi abonelerinin elinde olacaktr. Rekabeti firmalar aylar ncesinden benzer rnler gelitirmeye balayacaklar ve Cobra 273' kstekleyecek reklam kampanyalar hazrlayacaklardr. Doal olarak dergi hibir zaman haber kaynan aklamayacaktr.

Aldatmacann Engellenmesi
Rekabeti bir irketin ya da bakalarnn ilerine yarayabilecek deerli, hassas ve nemli bilgiler istendiinde, alanlar, arayan numaraya bakmann kabul edilebilir bir kimlik tespit yntemi olmadnn bilince olmaldrlar. Talebin geerliliinin ve arayann bu bilgiyi almaya yetkili olup olmadnn, kiinin yneticisine sorularak dorulanmas gibi farkl kontrol yntemleri de kullanlmaldr. Kontrol sreci her irketin kendisi iin tanmlamas gereken bir denge unsuru ierir: Gveniik-retkenlik dengesi. Balayc gvenlik nlemlerine hangi ncelikler tannacaktr? alanlar gvenlik ilemlerini uygulamaya direnecekler ve hatt i ykmllklerini yerine getirebilmek iin gvenlii bir kenara m brakacaklardr? alanlar gvenliin kendileri ve irketleri iin tad nemin farkndalar mdr? irket kltrne ve ticari gereksinimlere gre gelitirilecek bir gvenlik politikasnn bu sorular yantlamas gerekmektedir. ou insan, ilerini yapmalarn geciktiren eylere kanlmaz olarak sknt gzyle bakar ve zaman kayb gibi grnen herhangi bir gvenlik nlemini ciddiye almayabilir. Bu ite kilit unsur, gvenliin gnlk sorumluluklarnn bir paras olduu konusunda alanlar eitimlerle tevik etmektir.

208

Aldatma Sanat

Arayan kimlii hizmeti, irket dndan gelen sesli aramalar tanmlamak iin hibir zaman kullanlmasa da ONT (otomatik numara tanmlaycs) yntemi kullanlabilir. Gelen tm aramalarn cretinin irket tarafndan dendii bir cretsiz arama hizmetine abone olunursa ONT hizmeti irkete verilir ve bu, kimlik tespiti iin gvenilir bir ara oluturur. Arayan kimliinin aksine telefon irketi santral arayan numaray verirken mterinin gnderdii bilgiyi kullanmaz. ONT tarafndan aktarlan numara arayan tarafa ait fatura numarasdr. Pek ok modem reticisinin rnlerine arayan kimlii grme zellii eklediklerine de dikkat ediniz, bylece yalnzca nceden yetkilendirilmi bir telefon numaras listesine uzaktan eriim hakk tanyarak irket an korumaktadrlar. Arayan numaray tanyan modemler dk gvenlikli bir ortamda kabul edilebilir tanmlama yntemleridir, ancak u ana kadar da aka grlebildii zere, grnen numaray deitirmek bilgisayar krclar iin nispeten kolay bir tekniktir ve bu nedenle yksek gvenlikli bir ortamda arayann kimliini ve arad yeri tanmlamak konusunda gvenilir deildir. irket telefon sisteminde bir sesli mesaj kutusu oluturmas iin sistem yneticisinin kandrld hikyedeki ekliyle kimlik hrszl olayn zmek iin tm telefon hizmetlerinin, tm sesli mesaj kutularnn ve gerek basl gerekse evrimii irket rehberinde geen tm numaralarn bu ama iin hazrlanm bir form doldurularak yazl talep edilmesini zorunlu tutun. alann yneticisi talebi imzaiamal ve sesli mesaj yneticisi imzay kontrol etmelidir. irket gvenlik kurallar, yeni bilgisayar hesaplarnn almasnn ya da yetkilerin artrlmasnn sadece talepte bulunan kiinin olumlu onaynn alnmasndan sonra gerekletirilmesini zorunlu klmaldr. Talep onay, sistem yneticisini ya da onun yerine bakan kiiyi basl ya da evrimii irket rehberinde geen numarasndan aramak eklinde olabilir. Eer irket, alanlarn dijital olarak mesajlarn imzalayabildikleri gvenli e-posta sistemi kullanyorsa, bu tanmlama yntemi de geerli bir yntem olarak kullanlabilir. irket bilgisayar sistemlerine eriimi olsun olmasn, her alann bir toplum mhendisi tarafndan kandrlabileceini unutmayn. Gvenlik biline eitimlerine herkesin katlmasn salayn. dari yardmclar, danma grevlileri, santral memurlar ve gvenlik grevlileri kendilerine yneltileble^ cek toplum mhendislii saldr tekniklerinin bilincinde olmaldrlar. Bylece bu saldrlara kar kendilerini savunmaya hazr olabilirler.

SANAYI CASUSLUU
Devlete, irketlere ve niversite sistemlerine kar olduka youn bir bilgi saldrs tehdidi vardr. Basn neredeyse her gn, yeni bir bilgisayar virsnden, "hizmet ddr (denial of service)" saldrsndan ya da internetteki bir e-ticaret sitesinden kredi kart bilgilerinin alnmasndan sz
etmektedir. -:

Borland'n Symantec'i ticari srlarn almakla sulamas, Cadence Tasarm Sistemleri'nin bir rakibini kaynak kodlarn almakla sulayarak dava amas gibi sanayi casusluu olaylarn basnda gryoruz. Bunlar her gn oluyor.

Br Dalavere zerine eitleme


Aadaki ykde anlatlan dalavere, her ne kadar Kstebek (The Insider) gibi bir Hoilyvvood filminden ya da John Grisham'n bir romanndan frlam gibiyse de herhalde birok kereler baaryla uygulanmtr.

Toplu Dava
nemli bir eczaclk irketi olan Pharmomedic'e kar alm byk bir toplu dava hayal edin. Davann konusu, irketin ok kullanlan ilalarndan birinin, ancak bir hastann ilac yllarca kullanmasyla ortaya kabilecek, ykc bir yan etkisi olduunun irket tarafndan bilinmesidir, iddiaya gre bu tehlikenin varln gsteren eitli aratrma sonular irketin elinde vardr ama bu kantlar saklanm ve olmas gerektii gibi FDA'ya (Food and Drug Administration - Gda ve ila idaresi) teslim edilmemitir. Toplu davay aan New York hukuk firmasnn bandaki yetkili avukat VVilliam ("Billy") Chaney'in elinde iddiay destekleyen iki Pharmomedic doktoruna ait grevden alnma belgeleri vardr. Ancak her iki doktor da emekli olmu ve ne ellerinde dosya ya da belge vardr, ne de gl ve ikna edici bir ekilde tanklk yapacak konumdadrlar. Billy durumunun sallantda olduunun farkndadr. Sonu raporlarndan birinin bir kopyasn ya da yneticiler arasnda gidip gelmi bir yazma ya da bilgi notunu elde edemezse, dava decektir. Bylece, daha nce de kendilerine i verdii, Andreeson ve Oullar zel dedektiflik acentasna yeni bir ile gider. Billy, Pete ve adamlarnn o bilgileri nasl elde ettiklerini bilmez, bilmek de istemez. Tek bildii, Pete Andreeson'un iyi bir dedektif olduudur.

210

Aldatma Sanat

Andreeson iin bu tarz bir grev, kendisinin karanlk iler dedii trden bir itir. Birinci kural, onu tutan irketler ve hukuk firmalar hibir zaman bilgiyi nasl elde ettiini renemeyeceklerdir ve bylece her zaman tam ve akla yatkn bir inkr nedenleri olacaktr. Eer elini tan altna sokacak biri varsa bu da Pete'tir ve byk ilerde ald cretlere baklrsa bu tehlikeye girdiine deer gibi grnmektedir. Ayrca insanlar tongaya drmekten de kiisel bir zevk almaktadr. Eer Chaney'in bulmasn istedii dosyalar gerekten varlarsa ve imha edilmemiterse, Pharmomedic'in dosyalan arasnda bir yerlerde olmalan gerekir. Ama onlar koca irketin dev dosya ynnn arasnda bulmak byk bir i olacaktr. te yandan dosyalarn kopyalarn kendi hukukularna, Jenkins ve Petry'e de vermi olabilirler. Eer savunma avukatlar bu belgelerin varlndan haberdarlarsa ve aratrma safhasnda onlar geri evirmedilerse, o zaman hukukuluk mesleinin etiine aykr davranmlar ve yasalar inemilerdir. Pete'in kitabnda, byle bir durum her saldry mubah klmaktadr.

Pete'in Saldrs
Pete adamlarndan bazlarn bu konuyu aratrmalar iin grevlendirir ve birka gn iinde Jenkins ve Petry'nin kendi bnyelerinde tutmadklar yedeklemelerini hangi irkette sakladklarn renir. Ayrca saklama irketinin elinde, hukuk firmasnn bantlar almak iin yetkilendirdii kiilere ait bir liste olduunu da renir. Bu insanlarn her birinin kendilerine ait parolalar olduu da bilinen eyler arasndadr. Pete, adamlarndan ikisini karanlk bir i yapmalar iin yollar. Adamlar internette www.southord.com adresinden sipari edilebilecek bir maymuncukla kilidi aarlar. Birka dakika iinde, sabaha kar sularnda saklama irketinin brolarna szarlar ve bir bilgisayar aarlar. Windows 98 logosunu grmek holarna gider, nk bu, iin ok kolay olaca anlamna gelmektedir. Windows 98 kendini tantman gerektirmez. Ksa bir aramadan sonra saklama irketi mterilerinden her birinin, bantlar almas iin yetkilendirdii insanlarn adlarnn bulunduu bir Microsoft Access veritaban bulurlar. Jenkins ve Petry yetki listesine sahte bir ad eklerler. Bu ad, adamlardan birinin bulduu sahte ehliyetlerden birindeki adla ayndr. (Kilitli depo blgesine zorla girip mterinin istedii bantlar da o anda bulabilirler miydi? Kesinlikle; ama o'zaman, aralarnda hukuk firmasnn da olduu tm mteriler irkete girildiini renirler ve saldrganlar stnlklerini kaybederlerdi. Profesyoneller "gerekirse" diye her zamar gelecekte ulaabilecekleri ak bir kap brakrlar.) Sanayi casuslarnn gelecekte kullanmak zere arka cepte tutma uygulamasn uyarak, her ihtimale kar, yetkilendirme listesinin olduu dosyay bir diskete kopyalarlar. Hibirinin bunun nerede ie yarayabilecei konusunda bir fikri yoktur ama bu da arada bir ie yarayan, "Hazr gelmiken unu da alsak", trnden bir bilgidir.

Zekice Oynanm Oyunlar

211

Mitnick Mesaj;:
Deerli bilgiler ne ekilde olurlarsa olsunlar ya da nerede dururlarsa dursunlar korunmaldrlar. Bir kuruluun mteri listesi kt zerinde ya da elektronik dosya olarak ofisinizde veya bir kasada dursa da ayn deere sahiptir. Toplum mhendisleri, evresinden en kolay dolaacaklar ve en az korunan saldr noktasn her zaman tercih ederler. Bir irketin irket d yedekleme bantlarn saklad yer, farkedilme ya da yakalanma tehlikesinin dk olduu bir nokta olarak grlmt. Deerli, hassas ve nemli verilerini nc ahslara emanet eden her kurulu gizliliini korumak iin verilerini ifremelidir. Ertesi gn adamlardan biri saklama irketini arayarak, yetki listesine ekledikleri ad ve ada ait parolay verir. Geen aya ait tm Jenkins ve Petry bantlarn ister ve paketi bir kurye servisinin gelip alacan syler. kindi vaktinde bantlar Andreeson'un elindedir. Adamlar, istedikleri zaman tarama yapacak ekilde, tm verileri kendi bilgisayar sistemlerine aktarmlardr. Pek ok baka irket gibi, hukuk firmasnn da yedekienmi verilerini ifrelemeyle uramamas Andreeson'u memnun eder. Bantlar ertesi gn saklama irketine teslim edilir ve kimsenin operasyondan haberi olmaz.

Aldatmacann ncelenmesi
Gevek fiziksel gvenlik nedeniyle, kt adamlar saklama irketinin kilidini kolaylkla amlar, bilgisayarna ulamlar ve saklama deposuna ulamaya yetkili kiilerin listesinin bulunduu veri tabanyla oynamlardr. Listeye bir ad eklemek sahtekrlarn, irketin saklama deposuna zorla girmelerine gerek brakmadan istedikleri yedekleme bantlarn elde etmelerini salamtr. ou irket, yedekleme dosyalarn ifrelemediinden bilgi, almalar iin orada durmaktadr. Bu olay, geerli gvenlik nlemleri almayan bir hizmet irketinin, saldrganlarn mterisinin bilgi varlklarna ulamasn nasl kolaylatrdna bir rnek daha oluturuyor.

Yeni Orta
Toplum mhendislerinin sradan dolandrclara ve ktlara gre bir stnl vardr, bu da uzaklktr. Bir kt, yalnzca yannzdayken sizi kandrabilir ve eer oyuna geldiinizi yeterince erken anlarsanz, onu iyice tarif edebilir hatt polisleri zamannda arabilirsiniz. Toplum mhendisleri ounlukla bu tehlikeden hastalkm gibi uzak dururlar. Ancak bazen bu tehlikeye de girmek gerekir.

212

Aldatma Sanat

Jessica'nn yks

Jessica Andover gsterili bir robotik irketinde alt iin ok mutluydu. Yalnzca yeni nesil bir teknoloji irketiydi ve pek de iyi para vermiyor olabilirdi ama kkt ve insanlar arkada canlsyd. Ayrca kendisine verilen irket hisse senetlerinin her an onu zengin edebileceini bilmenin heyecan da vard. Belki irket kurucular gibi milyoner olmazd ama yeterince zengin olurdu. Austos'ta bir Sal sabah lobiden girdiinde Rick Daggot'un l l glmsemesine neden olan ey de aynen buydu. Pahal grnml takm elbisesi (Armani), ar altn kol saati (Rolex President) ve kusursuz sa kesimiyle, lise yllarnda Jessica gibi kzlar lgna eviren trden, erkeksi, kendi gvenen bir havaya sahipti. "Merhaba", dedi adam. "Ben Rick Daggot. Larry'yle randevum vard." Jessica'nn glmsemesi birden kayboldu. "Larry mi?" deyiverdi. "Larry bu hafta tatilde." Rick, elektronik ajandasn karp atktan sonra ona gstererek, "Saat birde onunla randevum var. Onunla bulumak iin Louisville'den buraya utum", dedi. Jessica ona bakt ve ban olumsuz bir ekilde iki yana sallad. "Yirmisi" dedi. "Bu gelecek hafta." Adam avu ii bilgisayarn kendine evirip bakt. "Ah, hayr!" diye inledi. "Yaptm aptalla inanamyorum." "En azndan sizin iin dn biletinizi ayarlayabilir miyim?" diye sordu kz, adam iin zlerek. Kz telefon grmesini yaparken Rick, Larry'yle birlikte bir stratejik pazarlama ortakl kurmay tasarladklarn itiraf etti. Rick'in irketi retim ve montaj band iin rnler retiyordu. Bu paralar yeni rnler C2Alpha'y mkemmel bir ekilde tamamlayacakt. Rick'in rnleri ve C2Alpha birlikte, her iki irket iin de nemli sanayi pazarlar aacagl bir zm oluturacakt. Jessica leden sonra ge bir saate uak reservasyonunu yapma;, bitirdiinde, Rick, "En azndan, eer buradaysa Steve'le grebilirim dedi. Ama irketin genel mdr yardmcs ve kurucularndan biri ola" Steve de ofis dndayd. Jessica'ya ok iyi davranan ve biraz da aslan Rick, burada oldu.na ve leden sonra ge saatlere kadar eve dnemeyeceine gre baz kilit kiileri le yemeine gtrmek istediini syledi. Sonra da ekle: "Sen de tabii; le saatinde yerine bakabilecek biri var m?" Kendisinin de aralarna katlaca dncesiyle mahcup ca Jessica sordu, "Kimlerin gelmesini istiyorsun?" Adam, yeniden avu : bilgisayarna bakt ve birka kiinin -AR-GE'den iki mhendisin, ye"

Zekice Oynanm Oyunlar

213

sat ve pazarlama sorumlusunun ve projeye atanan finans mdrnnadn verdi. Rick, Jessica'ya irketle olan ilikisini onlara anlatmasn nerdi ve kendini onlara tantmak istediini syledi. Jessica'nn her zaman gitmek istedii, evredeki en iyi lokantaya gideceklerini ve saat 12:30 iin bir masa ayrtacan da ekledi. Her eyin yolunda olup olmadndan emin olmak iin leden nce arayacakt. Lokantada bulutuklarnda -drd ve Jessica- masa henz hazr deildi, bylece bara oturdular ve Rick ikileri ve yemei kendisinin deyeceini bir kez daha vurgulad. Rick, tarz ve kalitesi olan bir adamd. lk tantnz andan itibaren onun yannda kendinizi yllardr tandnz birinin yannda olduunuz kadar rahat hissediyordunuz. Her zaman ne sylemesi gerektiini iyi biliyormu gibi grnyor, sohbet durulduunda neeli ya da komik bir yorum yapabiliyor ve onun yaknlarnda olduunuz iin kendinizi iyi hissetmenizi salyordu. Kurmakta ok hevesli grnd ortak pazarlama zmn hepsinin gzlerinde canlandrmasna yetecek kadar, kendi irketinin rnleriyle ilgili de yeterince ayrnt anlatmt. irketinin sat yapmakta olduu pek ok Fortune 500 irketinin adn da vermi, masadaki herkese, fabrikadan kt andan itibaren, rnlerinin ok iyi i yapaca hayalini kurdurmay baarmt. Sonra Rick mhendislerden biri olan Brian'n yanna geti. Dierleri kendi aralarnda sohbet ederlerken, Rick baz fikirlerini Brian'la zel olarak paylat ve ondan C2Alpha'nn kendine zg nitelikleri ve onu piyasadaki benzerlerinden neyin ayrd gibi bilgiler ald. Brian'n gurur duyduu ve ok "sk" olduunu dnd bir iki zellii irketin nemsizmi gibi gstermeye altn da rendi. Rick, tarzn srdrp her biriyle kk sohbetler etti. Pazarlama sorumlusu, piyasaya srm tarihi ve pazarlama planlarndan bahsetme olana bulduu iin mutluydu. Cebinden bir zarf kard. Malzeme ve imalat maliyetlerinin ayrntlarn, fiyat noktas ile beklenen kr payn, adlarn sralad satclarla ne tr anlamalar yaptn bir bir anlatt. Masalar hazr olduunda Rick herkesle gr alveriinde bulunmu ve herkesi kendine hayran brakmt. Yemein sonunda hepsi Rick'le tokalap teekkr ettiler. Rick her biriyle kartvizit alp verdikten sonra, mhendis olan Brian'a Larry dner dnmez daha uzun bir grme yapmak istediini de syledi. Ertesi gn Brian telefonu atnda arayann Rick olduunu grmt. Rick az nce Larry'le konutuunu sylyordu. "Baz zellikleri grmek iin Pazartesi geri geleceim", dedi. "Sizin rnle ilgili en ksa srede bilgi sahibi olmam istiyor. En son tasarmlar ve zellikleri ona e-postalaman istediini syledi. Bilmemi istedii ksmlar karp, bana yollayacak."

214

Aldatma Sanat

Mhendis bunun uygun olacan syledi. "yi", diye karlk verdi Rick. Sonra srdrd, "Larry e-postasna ulamakta bir sorun yayormu. Otelin i merkezinden kendisine bir Yahoo adresi almalarn rica etmi. Belgeleri onun her zaman kulland e-posta adresine gndermek yerine dosyalar larryrobotics@yahoo.com adresine gndermen gerekiyormu." Ertesi Pazartesi sabah Larry gneten yanm ve rahatlam olarak girdiinde Jessica ilk haberi vermek ve Rick'i ve ve anlatmak iin ok heyecanlyd. "Ne mthi bir adam. Bazlarmz yemee gtrd, beni bile." Larry anlamam gibi duruyordu. "Rick mi? Rick de kim ya?" "Neden sz ediyorsun? Yeni i ortan." "Ne!!!???" "Sorduu sorulardan herkes ok etkilendi." "Rick diye birini tanmyorum ..." "Senin neyin var? aka m bu, Larry? Benimle dalga geiyorsun deil mi?". "Yneticileri konferans salonuna topla. Hemen imdi. Ne ileri varsa brakp gelsinler. O gn le yemeine gelenleri de ar. Sen de dahil." Kasvetli bir havada, pek konumadan masann evresine toplandlar. Larry ieri girip oturdu ve konumaya balad. "Rick adnda kimseyi tanmyorum. Sizden sakladm bir i ortam da yok. Bunun en azndan ak olduunu dnyordum. Eer aramzda aka yapmaktan holanan biri varsa, imdi ortaya kmasn istiyorum." Hi ses kmad. Her an oda daha kararyormu gibiydi. Sonunda Brian konutu. "Ekinde rn zellikleri ve kaynak kodu olan e-postay sana gnderdiimde neden birey sylemedin?" "Ne e-postas?!" Brian gerildi. "Ah ... hayr!" Cliff, dier mhendis, araya girdi. "Hepimize kartvizitini verdi. Tek yapmamz gereken onu arayp neler olup bittiini renmek." Brian avu ii bilgisayarn kard, bir bilgiye bakt ve aleti masan" stnden kaydrarak Larry'e doru itti. mitlerini kesmeden hepsi hipnotize gibi Larry'nn telefonu eviriini seyrediyorlard. Bir an sonra telefonun hoperlrn aan dmeye bast ve hepsi megul sesini duydula' Yirmi dakika boyunca numaray defalarca evirdikten sonra, can iyice sklm Larry acil bir kesinti yaratmasn rica etmek iin santral arad Biraz sonra santral yeniden hatt geldi. Meydan okur bir tonca "Beyefendi bu numaray nereden buldunuz?" diye sordu. Larry aci e-

Zekice Oynanm Oyunlar

215

grmesi gereken bir adamn kartvizitinden aldn syledi. Santral, "zgnm", dedi. "O bir telefon irketi test numaras. Her zaman megul alar." * Larry, Rick'le paylalan bilgilerin bir listesini karmaya balad. Grnt hi iyi deildi. iki polis dedektifi gelip tutanak tuttular. Hikyeyi dinledikten sonra, eyalet kanunlarna gre herhangi bir su ilenmediini ve yapabilecekleri bir ey olmadn sylediler. Larry'e FBI'la grmesini nerdiler, nk eyaletler aras ticaretle ilgili sular onlarn yetki alanna giriyordu. Rick Daggot kendini farkl tantarak mhendisten test sonularn gndermesini istediinde federal bir su ilemi olabilirdi ama bunu renmek iin FBI'la konumas gerekiyordu. ay sonra Larry mutfakta oturmu, kahvalt edip gazetesini okurken az kalsn kahvesini dkyordu. "Rick" adn ilk duyduu andan beri olmasndan korktuu ey, en byk kbusu gereklemiti. Ekonomi sayfasnda byk puntolarla verilen haberde, daha nce adn hi duymad bir irketin, geen iki yldr kendi irketinin gelitirdii C2Alpha'nm tpatp ayns gibi grnen yeni rnn piyasaya srdn duyuruyordu. Kandrmaca yoluyla o insanlar pazarda ne gemilerdi. Ryalar yklmt. Aratrmaya ve gelitirmeye yatrlan milyonlarca dolar ziyan olmutu. Ve onlara kar tek bir kant bile yoktu.

Scirtirny Sanford'un yks


Dzgn bir ite alp byk paralar kazanacak kadar akll ama bir dolandrc olarak hayatn kazanmay tercih edecek kadar da sahtekr bir adam olan Sammy Sanford kendini ok iyi idare ediyordu. Zamannda iki sorunu olduu iin erken emeklilie zorlanm bir casusun dikkatini ekmiti. Adam kzgn ve intikam doluydu ve devletin onu uzmanlatrd yetenekleri satmann bir yolunu bulmutu. Her zaman kullanabilecei insanlara kar gz akt ve ilk karlatklarnda Sammy'nin yeteneini grmt. Sammy bu ii kolay bulmu ve ilgi noktasn insanlarn paralarn arpmaktan irket srlarn arpmaya doru evirmenin olduka kazanl olduunu da grmt. Devamn kendisinden dinleyelim: ou insann benim yaptm ileri yapacak cesareti yoktur, insanlar telefondan ya da internet zerinden kandrmaya alrsnz ve kimse sizi grmez. Ama eski usul, yz yze trnden iyi bir dolandrc (ve onlardan, ortalkta dndnzden daha ok var) gznzn iine bakp kuyruklu bir yalan syler ve siz ona inanrsnz. Bunun su olduunu dnen bir iki savc biliyorum. Ben buna yetenek derdim. Ama gznz kapatp ie dalamazsnz, nce ortal yoklamanz

216

Aldatma Sanat

gerekir. Sokakta tavclk yaparken dosta bir sohbetle ve dikkatle kurulmu cmlelerle adamn nabzn yoklayabilirsiniz. Doru yantlar alrsnz ve ak!., kuu kafese alrsnz. irket ii, byk dalavere dediimiz trden bir itir. nden hazrlk yapmanz gerekir. Hassas noktalarnn ne olduunu, ne bilmek istediklerini, neye ihtiyalar olduunu bilmelisiniz. Bir saldr planlayn, sabrl olun, devinizi yapn. Oynayacanz rol belirleyin ve ne syleyeceinizi iyi aln. Hazr olana kadar kaplarna gitmeyin. Bu i iin hz kazanana kadar haftadan fazla zaman harcadm. Mteri, "irketimin" ne yaptn ve bunun neden iyi bir pazarlama ortakl olacan nasl anlatacam bana iki gnde retti. Sonra ansm yaver gitti. irketi aradm ve bir giriim sermayesi irketinden aradm, bir toplant ayarlamak istediimizi syledim. nmzdeki bir iki ay iinde tm ortaklarmzn bulunabilecei bir zaman ayarlamaya alyorum. Uzak durmam gereken, Larry'nin ehirde olmayaca herhangi bir zaman aral var myd acaba? Ve kadn "evet" dedi. irketi kurduundan beri iki yldr hi tatil yapmamt; ancak kars Austos'un ilk haftasnda onu bir golf tatiline srklyordu. Yalnzca iki hafta sonrayd. Bekleyebilirdim. Bu srada bir ekonomi dergisinden, irketin halkla ilikilerini yrten firmann adn buldum. Robotik irketi mterileri iin topladklar ilginin houma gittiini ve onlarn iini kim gryorsa kendi irketimle ilgili olarak onunla konumak istediimi belirttim. Yeni bir mteri kazanma fikrinden holanan cvl cvl gen bir hanm olduu ortaya kt. Pahal bir le yemeinde, niyetlendiinden bir kadeh fazla iti ve "mterilerinin sorunlarn anlamakta ve doru halkla ilikiler zmleri bulmakta ah ne kadar iyi" olduklarna beni ikna etmek iin elinden geleni yapt, ikna edilmesi g birini oynuyordum. Baz ayrntlara ihtiyacm vard. Biraz drtklemenin ardndan masa temizlenene kadar bana yeni rn ve irketin karlat sorunlar hakknda beklediimden daha ok ey anlatmt. . Her ey tkr tkr yrd. Bulumann gelecek hafta olmasyla ilgili ok mahcup olduum ama gelmiken ekiple tanabileceim yksn danma grevlisi olduu gibi yutmutu. Hatt arada bana acmt bile le yemei, bahi dahil, bana 150 dolara mal oldu ve istediimi aldm. Telefon numaralar, unvanlar ve sylediim kii olduuma inanan kilit bir mhendis. Brian'n beni arttn itiraf etmeliyim. Ne istesem gnderecek trden bir adama benziyordu. Konuyu atmda, bir eyleri sylemiyormu gibi gelmiti. Beklenmeyeni beklemek her zaman ie yarar. Larry adna alnm e-posta adresi, her olasla kar arka cebimde duruyordu. Yahoo gvenlik sorumlular, izleyebilmeleri iin adresi birinin kullan-

Zekice Oynanm Oyunlar

217

masn herhalde hl bekliyorlardr. Daha ok bekleyecekler. iten gemiti. Ben yeni bir projeye atlmtm bile.

Aldatmacann ncelenmesi
Yz yze dalavere eviren kii kendini hedefe kabul ettirebilecek bir ekilde gstermelidir. Yarlara giderken kendini baka bir ekle sokarken, mahallenin barna giderken baka, haval bir otelin k barna giderken daha baka grnecektir. Sanayi casusluunda da ayn ekildedir. Eer casus, oturmu bir firmann yneticisi, bir danman ya da sat sorumlusu klna girecekse yapaca saldr ceket giyip kravat takmay ve pahal bir anta tamay gerektirebilir. Bir yazlm mhendisi, teknik eleman ya da posta odasndan biri gibi davranaca baka bir ite giysiler, niforma, her ey farkl grnmelidir. irkete szabilmek iin kendini Rick Daggot olarak tantan kiinin irketin rn ve piyasayla ilgili ayrntl bilgiyle donanm, bir gven ve baar grnts oluturmas gerekiyordu. nceden bilmesi gereken bilgiyi edinmekte ok glk ekmemiti. Genel mdrn ne zaman yerinde olmayacan renmek iin basit bir oyun oynamt. ok zor olmasa da, biraz dikkat gerektiren konu, yaptklaryla ilgili "konuya hakim" grnecek kadar projeye ynelik bilgi toplamakt. Bu tarz bilgiler ou zaman mal aldklar irketlerin, yatrmclarn, para toplamak iin konutuklar giriim sermayecilerinin, altklar bankann ve hukuk irketinin bildikleri eylerdi. Ancak saldrgan dikkatli olmalyd. irket ii bilgileri paylaabilecek birini bulmak zor bir iti ve bilgi alnabilecek birini bulmak iin iki ya da kayna yoklamak

itnick Mesaj:
Her ne kadar ou toplum mhendislii saldrs telefon ya da e-posta zerinden gereklese de gzkara bir saldrgann iyerinizde ahsen belirmeyeceini dnmemelisiniz. ou zaman sahtekr, Photoshop gibi kolayca bulunabilen bir yazlm kullanarak bir personel kartnn sahtesini hazrladktan sonra irket binasna girebilmek iin baz toplum mhendislii tekniklerini kullanr. Ya telefon irketinin test numarasnn yazl olduu kartvizitlere ne demeli? Bir zel dedektiflik dizisi olan Rockford Dosyalar adl televizyon programnda akllca ve elenceli saylabilecek bir teknik gsterilmiti. Aktr James Garner'n oynad Rodford karakterinin arabasnda, gerektii hallerde uygun kart basmak iin kulland, tanabilir bir kartvizit basma makinas vard. Bu gnlerde toplum mhendisleri kartvizitlerini bir saat iinde bir fotokopicide bastrabilir ya da bir lazer yazcdan kt alabilirler.

218

Aldatma Sanat

'. Souktan Gelen Casus, Son Casus ve daha pek ok dikkate deer romann yazar olan John Le Carre, itinal, yaam boyu dolandrclkla uram bir babann olu olarak byd. Daha Le Carre bir ocukken, babasn bakalarn kandrmakta baarl olmasna ramen, ahmak durumuna dp baka bir dolandrcnn kurban olduunu rendiinde ok armt. Bu da herkesin, hatt bir toplum mhendisinin bile, baka bir toplum mhendisi tarafndan avlanabileceini bize gsteriyor.

insanlarn oynanan oyunu farketmelerine neden olabilirdi. O taraf tehlikeliydi. Dnyadaki Rick Daggot'lar seimlerini dikkatle yapmal ve her bilgi patikasndan bir kez gemelidirler. : le yemei de baka bir zorlu giriimdi. ncelikle her eyi yle ayarlamalyd ki, dierlerine duyurmadan herkesle birka dakika yalnz kalabilmel'ydi. Jessica'ya 12:30 dedi ama masay saat 13:00 iin ayrtt. Yemek yiyecekleri yer, hesab irket masraflarna ekleyebileceiniz trden, k bir lokantayd. Saat oynamasnn birer iki iin bara oturmalarn gerektireceini umuyordu, tam da byle olmutu. Tek tek herkesin yanlarna gidip sohbet etmek iin kusursuz bir frsatt. Yine de Rick'in bir sahtekr olduunu ortaya karacak, atabilecei bir sr yanl adm vard. Ancak kendine fazlasyla gvenen ve kurnaz bir sanayi casusu kendini byle bir tehlikeye maruz brakrd. Ama yllarca sokaklarda tavc olarak almak Rick'in yeteneklerini gelitirmi ve dili srse de tm kukular yattracak kadar iyi bir ekilde olay kapatabileceine dair kendine gvenmesini salamt. Buras tm srecin en zorlu ve en tehlikeli ksmyd ve byle bir dalavereyi evirirken duy1 duu kvan neden hzl arabalar kullanmad, gk dal (skydiving yapmad ya da karsn aldatmadn anlamasn salamt. ini yaparken yeterince heyecanlanyordu. Ka kii, diye merak etti, ka ki bu kadar ansl olabilirdi ki? Akl banda bir avu kadn ve erkein aralarna bir sahtek' almalarnn nedeni ne olabilir? Oluan bir durumu hem aklmzla hem de igdlerimizle tartarz. Eer anlatt hikye tutarlysa -bu, aklla yaplar ksmdr- ve dolandrc inanlr bir grnt izdiyse ou zaman yelkerleri suya indiririz. Baarl bir dolandrcy ya da toplum mhendisini parmaklklarn arkasna denlerden ayran unsur inanlr grntdr. Kendi kendinize sorun: Rick'in anlatt gibi bir yky asla yutrr-ayacamdan ne kadar eminim? Eer yutmayacanzdan eminseniz : zaman kendinize birinin size byle bir numara yapmaya kalkp kakmadn sorun. Eer ikinci soruya verdiiniz yant evetse, b\olaslkla birinci sorunun doru yant da bu olacaktr.

Zekice Oynanm Oyunlar

219

Birdirbir
Size bir soru: Aadaki ykde sanayi casusluuyla ilgili bir ey yoktur. Okurken, bakn bakalm, neden bu yky bu blmde anlattm anlayabilecek misiniz! Harry Tardy evine dnmt ve can skknd. Askere yazlmak, acemi birliinden atlana kadar, ok iyi bir fikir gibi gelmiti. imdi nefret ettii bu yere geri dnm yerel yksekokulda bilgisayar dersleri alyor ve dnyaya bir tokat patlatmann yollarn aryordu. Sonunda bir plan yapt. Snfndaki adamlardan biriyle bir kadeh bir ey ierlerken, herkesi kmseyen, ok bilmi bir herif olan hocalarndan ikyet ediyorlard. Birlikte adam yakacak kurnaz bir plan yaptlar. ok kullanlan bir PDA'nn (personal digital asistant - kiisel dijital yardmc) kaynak kodunu ele geirecekler ve irketin, kt adamn bilgisayar hocas olduunu dnecei ekilde geride iz brakarak, hocann bilgisayarna gndereceklerdi. Yeni arkada Kari Alexander, birka numara bildiini sylemiti ve bu iin nasl kotarlacan Harry'ye gsterecekti. Tabii, yakalanmadan.

devlerini Yapyorlar
Yapt ilk aratrmada Harry, rnn, PDA reticisinin deniz an bir yerdeki Genel Mdrl'ne bal Gelitirme Merkezi'nde yapldn renmiti. Ama Birleik Devletler'de de bir Ar-Ge merkezi vard. Karl'n sylediine gre bu iyi bir eydi, nk yaptklar iin yrmesi iin Birleik Devletler'de de kaynak koduna ihtiya duyan bir irkete ait bir tesis olmas gerekiyordu. Bu noktada Harry deniz an Gelitirme Merkezi'ni aramaya hazrd. Burada devreye kendini acndrma girecekti. "Aman tanrm, bam dertte, yardma ihtiyacm var, ltfen, ltfen bana yardm edin." Yapacaklar acndrma doal olarak bundan daha st kapal olacakt. Kari bir metin yazd ama Harry onu okumaya alrken sahte olduu kard her sesten belli oluyordu. Sonu olarak sylemek istediini sohbet eder gibi syleyebilmesi iin Karl'la oturup altlar. r i "Minneapolis Ar-Ge'den aryorum. | Sunucumuza tm blm etkileyen bir [ solucan girdi, iletim sistemini yeniden | yklememiz gerekti ve yedekleri geri j ykleyeceimiz zaman yedeklemelerden hibirinin salam olmadn grdk. Sonunda, Kari yannda otururken, Harry'nin syledii ey aadaki gibiydi,

GZIP- Bir Linux GNU uyguamas kullanarak dosyalarn tek bir sktrlm dosyada toplanmas.

220

Aldatma Sanat Bilin bakalm yedeklerin salamln kimin kontrol etmesi gerekiyor? Bendenizin. Bu yzden patronumdan bir araba dolusu fra yedim ve yneticiler veri kaybettik diye veryansn ettiler. Mmkn olduu kadar hzl, kaynak kodu klasrnn en son haline ihtiyacm var. Ne kadar hzl gnderebilirseniz o kadar iyi. Kaynak kodunu zip'leyip bana gndermenizi rica ediyorum."

Bu aamada Kari bir kda bir not yazp verdi ve Harry telefonun dier ucundaki adama dosyay dahil olarak Minneapolis Ar-Ge'ye yollamasn istediini syledi. Bu nemli bir ayrntyd. Telefonun ucundaki adam, dosyann irketin baka bir blmne gnderilmesinin istendiinden emin olunca, rahatlamt; bunda ne terslik olabilirdi ki? Adam dosyalar zip'leyip gndermeyi kabul etti. Kari yanndayken Harry, byk kaynak kodunu tek bir dosyaya sdrmak iin yapmas gerekenleri adama adm adm anlatt. Ayrca sktrlm dosyada kullanmas iin bir dosya ismi verdi: "yeniveri". Bunun eski, bozuk dosyalarla karmamas iin gerekli olduunu da anlatt. Bir sonraki adm Harry'nin anlamas iin Karl'n iki kere anlatmas gerekmiti ama Karl'n hayalini kurduu kk birdirbir oyunu iin bu nemliydi. Harry Minneapolis Ar-Ge'yi arayacak ve oradaki birine yle diyecekti: "Size bir dosya gndermek istiyorum ve sonra bu dosyay benim iin baka bir yere gndermenizi rica ediyorum." Bu talep doal olarak kulaa akla yatkn gelen her trl nedenle sslenip pslenmiti. Harry'nin kafasn kartran ey uydu: "Size bir dosya gndereceim", demesi gerekiyordu ancak dosyay gnderecek kii kendisi deildi. Ar-Ge blmnde konutuu adamn dosyann kendisinden geldiini dnmesini istiyordu. Aslnda merkeze gelecek dosya Avrupa'dan gelen tescilli kaynak kodu dosyasyd. "Baka bir ktadan gelen bir ey iin neden ben gnderdim diyorum?" Harry bunun nedenini bilmek istiyordu. "Ar-Ge Merkezi'ndeki adam kilit kii", diye aklad Kar!. i "Amerika'daki bir baka alana bir iyilik yaptn dnyor olmas gerek, senden bir dosya alacak sonra senin iin o dosyay baka birine iletecek." Harry sonunda anlamt. Ar-Ge Merkezini arad, BilgisayaMerkezi'yle grmek istediini syledi, orada da bir bilgisayar ileimeniyle konumak istedi. Sesi Harry kadar gen gelen biri kt telefona Harry ona "merhaba" dedi ve irketin Chicago retim blmnde"

HERKESE A IK FTP: FTP (file transfer protocol dosya aktarm protokol) kullanma hesabnz olmasa da bir bilgisayara uzaktan erimenizi salayan bir programdr. Her ne kadar herkese ak FTP'lere parolanz eriim mmknse de genellikle belli kalsrlerin kullanc haklar snrlandrlmtr.

Zekice Oynanm Oyunlar

221

aradn ve birlikte bir projede altklar bir dosyay ortaklarndan birine gndermeye altm aMad. "Ancak", dedi ve ekledi, "Ynlendiricide bir sorun var ve onlarn ana ulaamyor. Dosyay size gndermek istiyorum. Dosyay gnderdikten sonra sizi arayp onu ortan bilgisayarna aktarmanz iin gerekli admlar anlatrm." imdilik her ey yolundayd. Sonra Harry adama bilgisayar merkezinin herkese ak bir FTP hesabnn olup olmadn sordu. Bu, bir dizine dosya yklemek ya da bir dizinden dosya almak iin kullanlan parolasz bir kurulumdu. Evet, herkese ak FTP vard ve adam oraya ulamak iin gerekli olan P adresini Harry'e verdi. Eldeki bu bilgilerle Harry denizar Gelitirme Merkezi'ni yine arad. Sktrlm dosya hazrd ve Harry herkese ak FTP sitesine dosyay aktarmak iin gerekli aklamalar yapt. Be dakikadan ksa bir sre iinde sktrlm kaynak kodu dosyas Ar-Ge Merkezi'ndeki ocua gnderilmiti..

Kurban Tuzaa Drmek


Hedeflerine giden yolu yarlamlard. imdi, devam etmeden nce dosyann geldiinden emin olmak iin Harry ve Karl'n beklemeleri gerekiyordu. Beklerken, odann dier tarafnda duran, hocann masasna gittiler ve atlmas gereken iki nemli admla ilgilendiler, ilk adm bu makinada da bir herkese ak FTP sunucusu oluturmakt, bylece oyunlarnn son ayanda dosyann gelebilecei bir yer olacakt. ikinci adm zorlu olabiliecek bir soruna zm bulmaya ynelikti. Ar-Ge Merkezi'ndeki adamdan dosyay warren@rms.ca.edu gibi bir adrese gndermelerini akas isteyemezlerdi. Alan adnn ".edu" olmas byk bir ak vermek demekti. Yar uyank bir bilgisayarc bile bunun bir okulun adresini olduunu anlar, annda tm harekt sona erdirirdi. Bundan kanmak iin hocann bilgisayarndaki VVndovvs'a girdiler ve dosyann gnderilecei adres olarak verecekleri makinann P numarasna baktlar. O srada Ar-Ge Merkezi'ndeki bilgisayar iletmenini arama zaman gelmiti. Harry telefonla ona ulat ve, "Sz ettiim dosyay az nce gnderdim. Gelip gelmediine bir bakabilir misin?" diye sordu. Evet, gelmiti. Harry dosyay baka bir yere iletmesini rica etti ve ona P adresini verdi. Gen adam balanty kurup dosyay gndermeye balayana kadar telefonda bekledi ve hocann bilgisayarndaki -dosyay almakla megul- sabit srcnn yanp snmeye balaynca ikisinin de suratnda kocaman birer glmseme belirdi. Harry ve adam, bir gn bilgisayarlarn ve ara birimlerinin nasl daha gvenilir olacayla ilgili biraz sohbet ettiler ve sonra Harry teekkr ederek veda etti.

222

Aldatma Sanat

kisi, dosyay hocann bilgisayarndan bir ift diskete kopyaladlar. Daha sonra bakmak iin her biri birer kopya almt, doya doya bakabilecein bir tabloyu mzeden alp kimseye birey syleyememek gibi bir eydi bu. Ancak bu durumda daha ok onlar gerek tablonun birer kopyasn alm gibiydiler ve gerek olan hl mzede duruyordu. Sonra Kari, Harry'e hocann makinasndan FTP sunucusunu kaldrmann admlarn ve yaptklarndan geriye birey kalmamas iin denetleme izlerini nasl sileceini anlatt. Geriye bir tek, kolayca bulunabilecek bir yerde duran alnt bir dosya kalmt. Son bir adm olarak kaynak kodunun bir parasn dorudan hocann bilgisayarndan Usenet'e koydular. Yalnzca kk bir parayd, bylece irkete byk bir zarar vermemi olacaklar ama hocaya kadar takip edilebilecek ak izler brakm olacaklard. Adam baz eyleri aklamakta ok zorlanacakt.

Aldatmacann ncelenmesi
Bu dalaverenin yrmesi iin birka unsur bir araya getirilmi olsa da kendini andrp yardm isteyen -patronumdan fra yedim, yneticiler veryansn ettiler, gibi- iyi bir rol yapma olmadan bu i baarlamazd. Bu ve telefonun dier ucundaki adama sorunu nasl zeceini anlatan ayrntl bir aklama olduka inandrc bir dalavere olarak kendini gsterdi. Bu noktada ve pek ok baka zamanda da ie yaramt. ikinci nemli nokta, dosyann deerini anlayacak adamdan dosyay irket ii bir adrese gndermesini istemilerdi. Bulmacann nc paras ise bilgisayar iletmeninin dosyann irket iinden gnderildiini grmesiydi. Bu da yalnzca, dosyay ona gnderen adamn eer d a balants alyor olsayd bunu kendisinin de gnderebilecei anlamna gelebilirdi ya da en azndan yle gibi grnrd. Dosyay onun adna gndermekte ne gibi bir saknca olabilirdi ki? Sktrlm dosyaya farkl bir ad verilmesine ne dersiniz? Kk gibi grnse de nemli bir ayrnt. Saldrgan, dosyann iinde bir kaynak kod olduunu gsteren ya da rnle ilgili bir adla grlmesi riskini gze alamazd. Byle bir ada sahip bir dosyay irket dna gnderme talebi alarm zillerini aldrabilirdi. Dosyann zararsz grnml bir adla

Mitnick Mesaj:
Her alann beynine kaznm temel bir kural olmaldr: Ynetimin onay olmad srece, gndereceiniz yer irketinizin dahil andaym gibi gzlcse de, ahsen tanmadnz kiilere dosya gndermeyin.

Zekice Oynanm Oyunlar

223

yeniden adlandrlmas nemliydi. Saldrganlarn da ngrd zere ikinci gen adamn dosyay irket dna gndermekle ilgili hibir ekincesi olmad. Bilginin gerekte ne olduuyla ilgili hibir ipucu vermeyen "yeniveri" gibi bir ad olan bir dosya zaten onu pek kukulandrmazd. Sonu olarak bu yknn sanayi casusluuyla ilgili bir blmde ne aradn zebildiniz mi? zemediyseniz, ite yant: Bu iki rencinin haince bir aka olarak yaptklar ey, rakip bir firmann ya da yabanc bir lkenin tuttuu profesyonel bir sanayi casusu tarafndan kolaylkla yaplabilirdi. Her koulda da irketin zarar korkun olur, rakip firmann rn piyasaya kt zaman yeni rnlerinin satlarna ciddi bir darbe vurulmu olurdu. Benzer bir saldr sizin irketinize kar kolayca gerekletirilebilir mi?

Aldatmacann Engellenmesi
Uzun sredir irketlere sorun oluturan sanayi casusluu, Souk Sava'n da sona ermesiyle cret karl irket srlarn ele geirmeye odaklanm geleneksel casuslarn ekmek kaps oldu. Yabanc hkmetler ve irketler serbest alan sanayi casuslarn bilgi almalar iin tutuyorlar. Yerel irketler de, rekabeti bilgiler elde etme abalarnda izgiyi aan bilgi simsarlarna bavuruyorlar. ou zaman eski asker casuslar, kurulular kolaylkla smrmek iin gerekli n bilgiye ve deneyime sahip endstriyel bilgi simsarlarna dnyorlard. zellikle bilgilerini korumak ve alanlarn eitmek konusunda gerekli nlemleri almay baaramam kurulular balca hedeflerdi.

Gvenli Saklama irketi ..


Bilgilerini farkl bir yerde tutan bir irketin yaad sorunlara ne zm getirebilirdi? irket, verilerini ifrelemi olsayd buradaki tehlike nlenebilirdi. Evet, ifreleme daha fazla zaman ve harcama gerektirir ama harcanan abalara deer. ifreli dosyalarn ifreleme/deifreleme sistemlerinin dzgn alp almad dzenli olarak kontrol edilmelidir. Her zaman ifre anahtarnn kaybolmas ya da anahtar bilen tek kiiye otobs arpmas gibi tehlikeler vardr. Ama yaanabilecek can sknts, bu ekilde asgar dzeye indirilir ve hassas bilgilerini kendi bnyesi dnda ticar bir firmada tutan ve ifreleme kullanmayan herhangi biri, ak szllm balayn ama, salaktr. Kt bir mahallede cebinizden yirmi dolarlk banknotlar sarktarak yrmek, esasen soyulmaya davetiye karmak gibi bir eydir. Yedekleme ortamlarn birilerinin alp gtrebilecei bir yerde brakmak sk grlen bir gvenlik adr. Yllar nce mteri bilgilerini korumak iin daha iyi nlemler alabilecek bir irkette alyordum.

224

Aldatma Sanat

Yedekleme sorumlular irketin yedekleme bantlarn her gn bir kuryenin gelip almas iin kilitli bilgisayar odasnn dna brakyorlard. Herhangi biri, irketin ifrelenmemi metinler ieren tm belgelerinin bulunduu bu bantlar alp gidebilirdi. Eer yedekleme verileri ifrelenmi olsalard, malzeme kayb sadece biraz ba artrd. Eer ifrelenmemi olsalard; irket stndeki byle bir etkiyi benden daha iyi gznzde canlandrabilirsiniz. Byk irketler iin, verileri bnyeleri dnda saklama gereksinimi kanlmazdr. Ancak irketinizin gvenlik srelerinin arasnda, saklama irketinin kendi gvenlik kurallar ve uygulamalar konusunda ne kadar saduyulu davrandn kontrol etme zorunluluu da olmaldr. Eer sizin irketiniz kadar kararl deillerse, tm gvenlik abalarnz boa gidebilir. Kk irketlerin yedekleme iin iyi bir seenekleri daha vardr. Yeni ve deitirilmi dosyalarn her gece evrimii saklama ortam sunan irketlerden birine gnderebilirler. Yine verilerin ifrelenmesi nemlidir. Aksi durumda bilgiler, yoldan km bir saklama irketi alannn yansra evrimii saklama irketinin bilgisayar sistemlerine ya da ana girebilecek her bilgisayar korsanna da ak olur. Tabii ki, yedekleme dosyalarnzn gvenliini korumak iin bir ifreleme sistemi kurduunuz gibi, ifre anahtarlarn ya da parolalar saklamak iin de stn bir gvenlik sreci oluturmanz gerekmektedir. Verileri ifrelemek iin kullanlan anahtarlar bir kasada ya da kilit altnda tutulmaldr. Sradan irket uygulamalar bu verilerle ilgilenen alann aniden ayrlabilecei, lebilecei ya da baka bir ie geebilecei olaslklarna kar alnacak nlemleri de kapsamaldr. Saklama yerini ve ifreleme/deifreleme admlarnn yansra anahtarlarn nasl deitirildiiyle ilgili kurallar da bilen her zaman en az iki kii olmaldr. Kurallar ayrca ifreleme anahtarlarna eriimi olan alann ayrlmas durumunda ifrelerin hemen deitirilmesini de zorunlu klmaldr.

O Da Kim?
Bu blmde anlatlan, bilgi paylamalar iin alanlar kandrmak amacyla etkileyiciliini kullanan kurnaz dolandrc rnei, kimlik tespitinin nemini bir kez daha vurgular. Kaynak kodunun bir FTP sitesine ynlendirilmesi talebi de talep sahibini tanmann nemine iaret eder. On altnc blmde, bilgi ya da bir ilemin yaplmas talebiyle gelen herhangi bir yabancnn kimlik tespitini yapmak iin belirli kurallar bulacaksnz. Kimlik tespitinin neminden kitabn her yerinde sz ettik; 16 blmde bunun nasl yaplmas gerektiinin ayrntlarn greceksiniz.

tam
VhsEltmeln

'5

BLG GVENLNN ON! BLMEK VE ETM

Birtoplum mhendisine, iki ay iinde piyasaya karacanz ok sk yeni rnnzn planlarn ele geirme grevi verilmi. Onu ne durduracak? Gvenlik duvarnz m? Hayr. Gl kimlik tespit cihazlar m? Hayr. Hrsz uyar sistemleri mi? Hayr. ifreleme mi? Hayr. Telefon hatt kullanan aramal modemler iin snrl numara kullanm m? Hayr. Dardan birinin hangi sunucunun rn planlarn ierdiini bulmasn zorlatrmak iin sunuculara ifreli adlar vermek mi? Hayr. Gerek u ki, dnyada bir toplum mhendislii saldrsn engelleyebilecek bir teknoloji yok.

Teknoloji, Eitim v@ Sreler zerine Gvenlik


Gvenlik delme testleri yapan irketlerin raporlarna gre toplum mhendislii yntemleri kullanlarak mteri irketin bilgisayar sistemlerine girme denemeleri neredeyse yzde 100 baarl oluyor. Gvenlik teknolojileri insanlar karar verme srecinin dnda tutarak bu tarz saldrlar daha gletiriyor. Ancak toplum mhendislii tehdidini azaltmann aslnda en etkili yolu, gvenlik teknolojileriyle birlikte, alan davranlarna ve alnacak eitimlere baz temel artlar getiren gvenlik srelerinin ortak kullanmndan gemektedir. rn planlarn korumann yalnzca tek bir yolu vardr ve bu da eitimli, bilinli ve saduyulu bir i gcdr. Bunlar, sreler ve kurallar konusundaki eitimlerin yan sra -belki de daha nemli olan- srekli bir bilinlilik program da ierir. Baz yetkililer bir irketin toplam gvenlik btesinin yzde 40'nn bilinUik eitimlerine ayrlmasn nermektedirler. ilk adm, psikolojik olarak onlar etkilemek isteyecek tekinsiz insanlarn bulunduuna dair, kurulutaki herkesi bilinlendirmektir. alanlar

228

Aldatma Sanat

hangi bilgilerin korunmas gerektii ve bunlarn nasl korunaca konusunda eitilmelidirler, insanlarn nasl etki altnda kalabilecekleriyle ilgili bilgileri olursa, gelimekte olan bir saldry grebilmek iin ok daha iyi bir konumda olacaklardr. Gvenlik bilinci, ayn zamanda irketteki herkesi irket gvenlik kurallar ve sreleriyle ilgili olarak eitmek anlamna da gelir. 17. blmde de anlatld gibi, politikalar, irket bilgi sistemlerini ve hassas bilgileri koruma dorultusunda, alan davranlarn ynlendirmesi iin hazrlanm nemli kurallardr. Bu blm ve bir sonraki, sizi maliyetli olabilecek saldrlardan koruyabilecek bir gvenlik tasarm ortaya koymaktadr. Eer iyi dnlm sreleri takip eden, eitimli ve dikkatli alanlarnz yoksa bu i olaslk olmaktan kp deerli bilgilerinizi ne zaman bir toplum mhendisine kaptracanz ekline brnerek kesinlik kazanr. Bu kurallar yerletirmeden nce bir saldrnn gereklemesini beklemeyin, iinizin ve alanlarnzn rahatl asndan bu ok ykc olabilir.

Saldrganlarn nsan Yaradlndan Nasl Faydalandklarnn Anlalmas


Baarl bir eitim program gelitirmek iin, ncelikle insanlarn neden saldrlara kar ak olduunu anlamanz gerekir. Eitimlerinizde bu eilimleri tanmlayarak -rnein rol yapma grmelerinde dikkati buna ekebilirsiniz- neden hepimizin toplum mhendislerinin etkisi altnda kalabileceimizi anlamalar iin alanlarnza yardmc olabilirsiniz. Etkileme, toplum bilimcilerin en azndan elli yldr zerinde altklar bir konudur. Robert B. Cialdini, Scientific American'da (ubat 2001) aratrmasn zetleyerek, bir istee olumlu yant alma giriiminde kullanlan "insan yaradlnn alt eilimi"ni sundu. Bu alt eilim, toplum mhendislerinin (bazen bilinli, ou zaman da bilinsiz olarak) etkileme denemelerini dayandrdklar eilimlerle ayndr.
Yetki '

Yetkili biri bir talepte bulunduu zaman insanlarn bu talebi yerir; getirme eilimi vardr. Bu sayfalarda daha nce de sz edildii zere, c " kii, talepte bulunan kiinin yetkili olduuna ya da byle bir talep:? bulunabilmek iin yetkilendirilmi olduuna inanrsa istei yerine get"meye ikna edilebilir. Dr. Cialdini "Etki" adl kitabnda ABD'nin orta bat kesimindeki hastanede yaplan bir aratrmay yazmaktadr. Yirmi iki ayr hemire k e ^ ; -

Bilgi Gvenliinin nemini Bilmek ve Eitim

229

ni hastane doktorlarndan biri olarak tantan biri tarafndan aranr ve kendilerine koutaki bir hastaya bir ila vermeleri konusunda talimatlar verilir. Bu talimatlar alan hemireler arayan tanmyorlardr ve gerek bir doktor olup olmadn (ki deildir) bilmiyorlardr. lala ilgili talimat telefonla verilmektedir ve bu da hastane kurallarna aykrdr. Ayrca verilmesi istenen ilacn koularda kullanlmasna izin verilmemektedir ve uygulanmas istenen doz gnlk dozun iki katdr. Bu yzden hastann yaamn tehlikeye atma olasl vardr. Ancak olaylarn yzde 95'inde Cialdini'nin anlattna gre "hemire, kou ila dolabndan istenen dozu alr ve ilac vermek zere hastann odasna doru giderken", bir gzlemci tarafndan durdurulur ve kendisine deneyden bahsedilir. Saldn rnekleri: Bir toplum mhendisi, bgi-ilem biriminden aradm ya da ynetici olduunu veya bir irket yneticisinin yanndan aradn syleyerek kendini yetkili biriymi gibi gstermeye alr.

Sevme
stekte bulunan kii kendini sevimli ya da kurbanla ortak ilgi alanlar, inanlar ve tavrlar olan biri olarak gsterebilirse, insanlarda istei yerine getirme eilimi ortaya kar. Saldr rnekleri: Sohbet araclyla saldrgan, kurbann bir hobisini ya da ilgi alann renmeyi baarr ve ayn hobi ya da ilgi alanna benzer bir ilgi ve hayranlk duyduunu syler. Ayn eyaletten ya da ayn okuldan olduklarn veya benzer hedefleri paylatklarn iddia edebilir. Toplum mhendisi, benzerlik grntsn yaratabilmek iin hedefinin davranlarn taklit etme yoluna da gidecektir.

Karlk Bekleme
Bize deerli bir ey verilir ya da verilecei taahdnde bulunulursa hi dnmeden istei yerine getiririz. Armaan, bir maddi cisim, tavsiye ya da yardm olabilir. Biri sizin iin bir ey yapt zaman, karlk verme eilimi hissedersiniz. Bu karlk vermeye ynelik gl eilim armaan alacak olan kiinin onu talep etmedii durumlarda bile kendini gsterir, insanlar bize bir "iyilik" yapmalar (isteimizi yerine getirmeleri) konusunda etkilemenin en etkili yollarndan biri ona bir hediye vererek ya da yardm ederek bir zorunluluk duymalarn salamaktr. Hare Krina dini tarikatnn yeleri, nce insanlara hediye olarak bir kitap ya da iek vererek insanlar amalar iin bata bulunmalar konusunda etkilemekte ok baarldrlar. Eer kii, hediyeyi geri vermeyi denerse, veren kii, "O bizim size armaanmz", diyerek geri evirir. Karlk vermeye ynelik davransal kural Krinalar tarafndan balar byk lde artrmak iin kullanlmtr.

230

Aldatma Sanat Saldr rnekleri: Bir alan, B biriminden aradn syleyen birinden bir telefon alr. Arayan, baz irket bilgisayarlarna virs koruma yazlmnn tanmad, bilgisayardaki tm dosyalan yok edebilecek bir virs bulatn ve oluabilecek sorunlar engellemek iin baz yntemleri anlatmak istediini syler. Bunun ardndan arayan kiinin yeni gncellenmi ve kullanclarm parolalarn deitirebilmelerini salayan bir yazlm denemesini rica eder. alan geri evirmekte isteksiz kalr, nk arayan az nce onu gya bir virsten koruyarak yardm etmitir. Arayann isteini yerine getirerek karlk verir.

Herkesin iinde bir amaca destek ya da bir sz verdikten sonra insanlarn isteklerini yerine getirme eilimleri depreir. Bir kez bireyi yapacamza dair bir sz verdik mi, gvenilmeyen ya da istenmeyen biri olarak grnmek istemeyiz ve verdiimiz szle ya da yaptmz aklamayla ters dmemek iin ii tamamlama eilimine gireriz. Saldr rnei: Saldrgan, iinde yeni saylabilecek bir alanla balant kurar ve irketin bilgi sistemlerini kullanmasna izin verilebilmesinin bir art olarak belirli gvenlik kurallarna ve srelerine uymas gerektiini hatrlatr. Birka gvenlik uygula- . masndan sz ettikten sonra arayan, kullancdan, tahmin etmesi g bir parola seilmesi kural uyarnca "uyumluluk kontrol" iin parolasn sylemesini ister. Kullanc parolasn akladktan sonra arayan gelecekte parolalar yle bir yntemle oluturmasn nerir ki bylece saldrgan parolay tahmin edebilecektir. Kurban, irket kurallarna uymak zere daha nce verdii taahht dorultusunda ve arayann yalnzca kurallara uyulup uyulmadn kontrol ettii varsaymyla istei yerine getirir. ,

Toplum inde Kabul Grme

'

nsanlar, davranlarnn bakalarnn davranlaryla ayn olduunu bilirlerse istekleri yerine getirme eilimleri daha da artar. Bakalarnn hareketleri, sz konusu davrann doru ve yerinde bir hareket olduunun onay olarak grlr. Saldr rnei: Arayan, bir aratrma yaptm anlatr ve birimde kendisine yardmc olduunu iddia ettii dier insanlarn adlarn verir. Kurban dierlerinin katlmnn, istein geerliliini gsterdiini dnerek yardmc olmay kabul eder. Arayan, aralarnda kurbann bilgisayar kullanc adn ve parolasn aklamaya ynelten sorularn da bulunduu bir dizi soru

Bilgi Gvenliinin nemini Bilmek ve Eitim

231

Aranan nesnenin miktar azsa ve onu elde etmek iin bir rekabet varsa ya da yalnzca ksa bir sre iin orada olacaksa insanlar istekleri yerine getirme eilimine girerler. Saldr rnei: Saldrgan, irketin yeni internet sitesine kayt olan ilk 500 kiinin en yeni filmlere bedava bilet kazanacan syleyen e-postalar yollar. Hibir eyin farknda olmayan bir alan, siteye kaydolurken ondan irket e-posta adresi ve bir parola semesi istenir. Pek ok insann, kolaylk olsun diye, kullandklar her bilgisayar sisteminde ayn ya da benzer parolalar kullanma eilimi vardr. Saldrgan bundan yararlanarak internet sitesi kayt ilemlerinde girilen kullanc ad ve parolay kullanp hedefin ev ya da i bilgisayar sistemlerine girmeye alr.

Eitim ve Bilinlendirme Programlar Hazrlamak


Bir gvenlik kurallar kitap karmak ya da alanlar gvenlik kurallarn ayrntl olarak anlatan bir intranet sayfasna ynlendirmek riski tek bana azaltmaz. Her iletme yalnzca kurallar yazl olarak belirlemekle kalmamal, ayn zamanda irket bilgi ya da bilgisayar sistemleriyle alan herkesi kurallar renmeye ve uygulamaya ynlendirmek iin gerekli abay da gstermelidir. Ayrca, insanlarn kolaylk olsun diye kuraln etrafndan dolamamalar iin, her kuraln altnda yatan nedenlerin herkes tarafndan anlaldndan emin olmalsnz. Aksi halde bilgisizlik her zaman alann bahanesi olur ve toplum mhendisleri bu a hep smrrler. Herhangi bir gvenlik bilinlendirme programnn temel amac, kuruluun bilgi varlklarn korumak iin her alann katkda bulunmasn tevik edip, insanlarn davran ve tavrlarn deitirmek amacyla onlar etkilemektir. Bu noktada en byk tevik edici unsur, katklarnn yalnzca irkete deil ayn zamanda tek tek her alana getirecei kazantan sz etmek olacaktr. irket her alanla ilgili belli zel bilgilere sahip olduuna gre, alanlar bilgi ve bilgi sistemlerini korumak iin paylarna deni yaptklarnda, aslnda kendi bilgilerini de koruyor olacaklardr. Bir gvenlik eitim program byk bir destee ihtiya duyar. Eitim giriiminin hassas bilgilere ya da irket bilgisayar sistemlerine eriimi olan herkese ulamas, srekli olmas ve alanlar yeni tehditlere ve aklara kar uyarabilmek iin dzenli olarak gncellenmesi gerekir. alanlar, st ynetimin programa tamamen bal olduunu grmelidirler. Bu ballk gerek bir ballk olmaldr ve sadece mhrl bir "Tam destek veriyoruz", notundan ibaret olmamaldr. Program, onu

232

Aldatma Sanat

gelitirmeye, duyurmaya, denemeye ve baarsn lmeye yetecek kadar da kaynaa sahip olmaldr.

Hedefler

Bir bilgi gvenlii eitimi ve bilinlendirme programnn gelitirilmesinde aklda tutulmas gereken en nemli yol gsterici, programn irketlerinin her an bir saldrya urayabilecei bilincini tm alanlarda uyandrmaya odaklanmas olmaldr. Bilgisayar sistemlerine girmeye ya da hassas bilgileri almaya ynelik giriimlere kar yaplan her savunmada alanlarn tmnn birer rol olduunu renmeleri arttr. Bilgi gvenliinin pek ok ekli teknoloji ierdii iin, alanlarn, sorunun gvenlik duvarlar ve dier gvenlik teknolojileriyle zldn dnmeleri ok kolaydr. Eitimin balca hedeflerinden biri, her alann, kuruluun genel gvenliinin en n saflarnda durduunun farkna varmasn salamak olmaldr. Gvenlik eitimlerinin kurallar aktarmaktan te daha nemli bir amac olmaldr. Eitim program tasarmcs, ilerini bitirme basksyla gvenlik ykmllklerini uygulamama ya da gz ard etme eklinde grlen, alan tarafndaki gl tahrikleri grebilmelidir. Toplum mhendislii taktikleriyle ilgili bilgi ve saldrlara kar nasl savunma yaplaca nemlidir ama bu sadece eitim arlkl olarak alanlar bilgiyi kullanmaya tevik etmek zere tasarlanmsa ie yarar. Eer eitimi tamamlayan herkes, bilgi gvenliinin iinin bir paras olduu gereine inanm ve harekete gemise irket o zaman programnn ana hedefine ulatn varsayabilir. alanlar, toplum mhendislii saldrlar tehdidinin gerek olduunu ve ciddi bir hassas bilgi kaybnn irketi olduu kadar kendi kiisel bilgilerini ve ilerini de tehlikeye sokabileceini kabul edip anlamaldrlar, iteki bilgi gvenlii konusunda dikkatsiz davranmakla, ATM ya da kredi kart numaras konusunda dikkatsiz davranmak bir bakma ayndr. Gvenlik uygulamalar konusunda istek uyandrmak iin bu ok yerinde bir benzetme olabilir.

Eitim ve Bilinlendirme Programn Oluturmak


Bilgi gvenlii programn tasarlamakla ykml kii bunun tek beden bir proje olmadn bilmelidir. Eitim daha ok irket iindeki farkl gruplarn belirli gereksinimlerini karlayacak ekilde tasarlanmaldr. 16. blmde d erevesi verilen gvenlik kurallarnn ou tm alanlar iin uygun olsa da, dier pek oklar da zgndr. Er. azndan ou irket u belirgin gruplar iin eitim programlarna ihtiya

Bilgi Gvenliinin nemini Bilmek ve Eitim

233

I zgn bir program gelitirmek iin yeterli kayna olmayan iletmeler iin gvenlik bilinlendirme eitimi hizmeti veren pek ok eitim irketi bulunmaktadr. Gvenli Dnya Fuar (www.secureworldexpo.com) gibi fuarlar bu irketlerin bir araya gelme yerleridir. duyacaktr: Yneticiler, bilgi-ilem personeli, bilgisayar kullanclar, teknik olmayan personel, idar yardmclar, danma grevlileri ve gvenlik grevlileri (16. blmde grevlere gre kural dalmna baknz.). Bir irketin gvenlik grevlileri, bilgisayar konusunda bilgilerinin olmas beklenmedii iin ve belki ok snrl kullanmlar dnda, irket bilgisayarlaryla har neir olmadklarndan, bu tarz eitimler gelitirilirken gz nne alnmazlar. Ancak toplum mhendisleri gvenlik grevlilerini ya da baka insanlar binaya ya da ofise girmelerine izin vermeleri iin ya da bilgisayar gvenlik ihlallerine neden olacak bir davranta bulunmalar dorultusunda kandrabilirler. Her ne kadar gvenlik gleri bilgisayarla alan personele verilen eitimin tmn almak zorunda deilse de gvenlik bilinlendirme programlarnda da gz ard edilmemelidir. dnyasnda, tm alanlarn eitilmesinin gerektii ve gvenlik kadar herhalde ayn anda hem nemli hem de skc ok az konu vardr, iyi tasarlanm gvenlik eitimi programlar, renenlerin hem ilgisini ekmeli hem de onlar heveslendirmelidir. Ama, bilgi gvenlii bilinlendirme eitimlerini ekici ve karlkl etkileimli yapmak olmaldr. Kullanlabilecek yntemler arasnda, toplum mhendislii tekniklerini rol yapma oyunlaryla gstermek; daha az ansl olan dier iletmelere yakn zamanda yaplan saldrlarla ilgili basn haberlerini incelemek ve irketlerin kayplar nleme yollarn tartmak ya da ayn anda hem elenceli hem de eitici olmas asndan gvenlik videolarn gstermek olabilir. Videolar ve ilgili malzemeleri pazarlayan pek ok gvenlik bilinlendirme irketi bulunmaktadr. Bu kitaptaki ykler, tehlikeye kar uyarmak ve insan davranlarnn aklarn gstermek amacyla toplum mhendislii teknik ve yntemleriyle ilgili pek ok bilgi sunmaktadr. Oradaki senaryolar, rol yapma faaliyetlerine temel olacak ekilde kullanabilirsiniz. ykler ayn zamanda, saldrnn baarl olmasn engellemek iin kurbanlarn nasl davranmas gerektiiyle ilgili renkli tartmalar yapabilme frsat da sunmaktadr. Becerikli bir program gelitiricisi ve becerikli eiticiler, snfn havasn canl tutmak ve bu srada insanlar zmn paras olmaya tevik etmek iin zlecek bir sr sorunun yan sra pek ok baka frsat da bulacaklardr.

234

Aldatma Sanat

Eitimin Yaps
Temel bir gvenlik bilinlendirme eitim program tm alanlarn katlaca ekilde gelitirilmelidir. Yeni ie girenlerin intibak eitimlerinin bir paras olarak bu eitimi alma zorunluluklar olmaldr. Hibir alana temel bir gvenlik bilinlendirme oturumuna katlmadan bilgisayar eriimi verilmemesini neririm. lk bilinlendirme eitimi iin dikkatleri ekmeye odaklanm ve nemli mesajlarn hatrlanaca kadar ksa bir oturum uygun olabilir. zerinde durduumuz konularn miktar kesinlikle daha uzun bir eitim gerektirse de, makul sayda, nemli mesajlarla birlikte verilmi bir bilin ve istek oluturmann nemi, benim grme gre, insanlar ok fazla bilgiyle buluturan yarm gnlk ya da tam gnlk eitimlerden ok daha fazladr. Bu oturumlarn zerinde durulmas, tm alanlarn sk skya uyduu gvenlik alkanlklar olmad durumda irkete ve bireysel olarak alanlara gelebilecek zararlarn deerlendirildiini gstermektedir. Belirli gvenlik uygulamalarn renmekten daha da nemlisi; alanlarn, gvenlik adna kiisel sorumluluk almalar konusunda tevik edilmeleridir. alanlarn rahatlkla snflarda toplanamad durumlarda irket, videolar, bilgisayar tabanl eitimler, evrimii dersler ya da basl malzemeler gibi farkl bilgilendirme yntemleri kullanarak bilinlendirme eitimleri gelitirmeyi de gz nnde tutmaldr. ilk ksa oturumdan sonra, belirli aklar ve irketteki konumlarna gre saldr teknikleri konusunda alanlar eitecek daha uzun oturumlar gelitirilmelidir. Hatrlatma eitimleri ylda en az bir kez zorunlu olmaldr. Tehdidin boyutu ve insanlar smrmek iin kullanlan yntemler srekli deimektedir, bu yzden programn ierii de srekli gncellenmelidir. Dahas, insanlarn bilinlilii ve uyankl zaman iinde azalr; bu nedenle gvenlik ilkelerini vurgulamak iin eitimin dzenli aralklarla tekrarlanmas gerekir. Bu noktada dikkatler yine, belirli tehditlerin ve toplum mhendislii yntemlerinin zerinde olduu kadar, alanlar gvenlik kurallarnn nemine inandrmak ve kurallara bal kalmaya tevik etmek zerinde de olmaldr. Yneticiler altlarnda alanlara gvenlik kurallar ve srelerine aina olmalar ve gvenlik bilinlendirme programna katlmalar iin yeterince zaman tanmaldrlar. alanlarn kendi istedikleri zaman gvenlik kurallarn renmeleri ya da eitimlere katlmalar beklenemez. Yeni ie girenlere ise i sorumluluklarn almadan nce gvenlik kurallarn ve basl gvenlik uygulamalarn gzden geirmek iin yeterli zaman verilmelidir. Kurum iinde konumlar deierek hassas bilgilere ya da bilgisayar

Bilgi Gvenliinin nemini Bilmek ve Eitim

235

sistemlerine eriimi gerektiren bir ie geen alanlarn, doal olarak, yeni sorumluluklarna uygun olarak tasarlanm gvenlik eitimi programn tamamlamalar gerekir. rnein, bir bilgisayar iletmeni sistem yneticisi olursa ya da bir danma grevlisi, idar yardmc olursa ona yeniden eitim verilmesi arttr.

Eitimin erii
Temele indirgendiklerinde tm toplum mhendislii saldrlar ayn unsuru kullanrlar: Aldatma. Saldrgann bir alan ya da hassas bilgilere ulamaya veya bilgisayarlar ve bilgisayar donanmlar kullanlarak yaplan iler konusunda kurbana talimat vermeye yetkili baka bir kii olduuna kurban inandrlr. Bu saldrlarn hemen hepsi hedef olan alann iki ey yapmasyla boa karlabilir: istekte bulunan kiinin kimliini kontrol etmekle: Bu kii gerekten olduunu syledii kii mi? Kiinin yetkili olup olmadn kontrol etmekle: Kiinin bu bilgiyi renmeye ihtiyac var m ya da byle bir istekte bulunmak iin yetkili mi?

Eer bilinlendirme eitimi programlan, her alann davranlarn bu kriterlere aykr olan tm istekleri sorgulamak konusunda tutarl olacak ekilde deitirebilirse, o zaman toplum mhendislii saldrlaryla ilikilendirilebilecek risk byk lde azaltm olur. nsan davranlarna ve toplum mhendislii tekniklerine odaklanan gvenlik bilinlendirme ve eitim programlarnda bulunabilecek kullanl bilgiler arasnda unlar yer alabilir: Saldrganlarn insanlar aldatmak iin toplum mhendislii becerilerini nasl kullandklarnn bir aklamas, Toplum mhendislerinin amalarna ulamak iin kullandklar yntemler, Olas bir toplum mhendislii saldrsnn nasl farkedilecei, pheli bir istei deerlendirme sreleri, Toplum mhendislii giriimlerinin ya da baarl saldrlarn nereye haber verilecei,

N Vj I I Gvenlik bilinci ve eitimi hi bir zaman kusursuz olmayaca iin derinlemesine bir savunma oluturabilmek iin mmkn olduu kadar gvenlik teknolojisi kullanmaya aln. Bu, gvenlik nlemlerinin alanlardan ok, teknoloji tarafndan alnmasdr. rnein, iletim sistemi, alanlarn internetten dosya indirmesini ya da ksa ve kolay parolalar semesini engelleyecek ekilde ayarlanabilir.

236

Aldatma Sanat Kiinin sahip olduunu iddia ettii konumuna ve nemine bakmakszn pheli bir istekte bulunan herkesi sorgulamann nemi, ilerindeki drt kar tarafa yardmc olmalar gerektiini sylese de, dzgn bir kimlik tespiti olmadan gz kapal kimseye gvenmemeleri gerektii gerei, Bir bilgi ya da ilem talebinde bulunan herhangi birinin kimliini ve yetkisini kontrol etmenin nemi (Kimlik tespiti yntemleri iin baknz "Onay ve Yetkilendirme Sreleri", 16. Blm), Her trl veri snflandrma sistemiyle ilgili bilginin yansra hassas bilgileri koruma sreleri, irketin gvenlik kurallarnn ve srelerinin yeri ile bilgi ve irket bilgi sistemlerini korumadaki nemleri, Kilit gvenlik kurallar ve anlamlarna ilikin bir zet. rnein, her alann tahmini g bir parolay nasl oluturacana ilikin bilgilendirilmesi.

Tanm itibaryla toplum mhendislii, insanlar aras bir eit etkileim yntemidir. Bir saldrgan hedefine ulamak iin eitli iletiim yntemleri ve teknolojilerini sk sk kullanacaktr. Bu nedenle iyi tasarlanm bir bilinlendirme programnn aadakilerin tmn ya da bir ksmn iermesi gerekmektedir: Bilgisayar ve sesli mesaj parolalaryla ilgili gvenlik sreleri, Hassas bilgilerin ya da malzemelerin verilmesine ynelik sre, Aralarnda virslerin, solucanlarn ve Truva Atlarnn da olduu kt huylu yazlmlara kar alnacak nlemleri de ierecek ekilde e-posta kullanm kurallar, Yaka kart takmak gibi fiziksel gvenlik zorunluluklar, Binada kart takmayan kiileri sorgulama ykmll, Sesli mesaj kullanm iin en doru gvenlik uygulamalar, Bilgilerin snflandrmasnn nasl yaplaca ve hassas bilgile' korumak iin alnacak nlemler, Hassas belgelerin ve gizli dosyalar ieren ya da bir zamanla" iermi bilgisayar tanabilir ortamlarnnn doru bir ekilde silirmesi,

Eer irket, toplum mhendislii saldrlarna kar savunmasn" etkinliini lmek iin delme testi yapmay planlyorsa, alanlar t_ uygulamadan haberdar eden bir uyar yapmaldr. Byle bir test" paras olarak saldrganlarn yntemlerini kullanan birinin telefon ya es

Bilgi Gvenliinin nemini'Bilmek ve Eitim 237 baka bir ara kullanarak iletiime geebileceini alanlarnzn bilmesini salayn. Bu testlerin sonularn, alanlar cezalandrmak iin deil, baz alanlardaki ek eitim ihtiyacn belirlemek iin kullann. Yukardaki trr.-maddelerle ilgili ayrntlar 16. blmde bulabilirsiniz.

lm
irketiniz, bilgisayar sistemine eriim hakk tanmadan nce alanlarn gvenlik bilinlendirme eitiminde sunulan bilgilere hakimiyetini lmek isteyebilir. Eer evrimii yaplacak testler tasarlarsanz, pek ok snav deerlendirme yazlm, glendirilmesi gereken eitim alanlarn belirlemek iin test sonularn abucak deerlendirebilir. irketiniz bir dl ve alann tevik amacyla gvenlik eitimini tamamladn gsteren bir sertifika sunmay da dnebilir. Program tamamlamann kalplam bir sonucu olarak, programda retilen gvenlik kurallarna ve ilkelerine uyacana dair her alandan bir taahht belgesini imzalamasnn istenmesini neririm. Aratrmalara gre, byle bir belge imzalayarak balln gsteren kii, srelere uymak konusunda daha ok aba gsterebiliyor.

Srekli Bilin
Pek ok insan bilir ki, nemli konularda bile, renilenler, dzenli olarak tekrarlanmadklar srece yok olma eilimindedirler. alanlarn toplum mhendislii saldrlarna kar korunmak konusunda hzlarn kaybetmemeleri iin bir srekli bilin program nemlidir. Gvenlii, alan dnce zincirinin en nnde tutan yntemlerden biri de bilgi gvenliini her irket alan iin bir i sorumluluu olarak tanmlamaktr. Bu, alanlarn irketin genel gvenliindeki can alc rollerini anlamalarna yardmc olacaktr. Aksi takdirde "gvenlik benim iim deil" trnden gl bir eilim oluacaktr. Bir bilgi gvenlii programnn genel sorumluluu ounlukla gvenlik birimindeki ya da bilgi ilem birimindeki birine verilse de, bir bilgi gvenlii bilinlendirme programnn gelitirilmesi ii, byk olaslkla eitim biriminin ortak bir projesi olarak en iyi ekilde yaplandrlm olacaktr. Srekli bilin programnn yaratc olmas gerekir ve iyi gvenlik alkanlklar konusunda alanlara srekli hatrlatc gvenlik mesajlar iletmek iin mmkn olan her kanal kullanmaldr. Yntemler, program gelitirip uygulamaya koyacak insanlarn hayal edebildii lde yeni kanallarn yan sra S"or trl geleneksel kanaldan da yararlanmaldrlar. Geleneksel reklamclkta olduu gibi elenceli ve akllca oim&lan ie

238

Aldatma Sanat

yarar. Mesajlardaki sz sralarnn deitirilmesi de ainalk yaratp gz ard edilmelerini engeller. Bir srekli bilin programnn ieriinde bulunabilecekler unlar olabilir: Bu kitabn birer kopyasn tm alanlara vermek. irket bltenine bilgi salayc unsurlar koymak: Makaleler, kutu iine yazlm hatrlatmalar (tercihen ksa, dikkat ekici noktalar eklinde) ya da karikatrler olabilir. Ayn Gvenlik alan'nn bir resmini koymak. alanlarn gittikleri yerlere posterler asmak. Blten panolarna duyurular asmak. Maa bordro zarflarna brorler koymak. Hatrlatma amal e-postalar gndermek. Gvenlikle ilikili ekran koruyucular kullanmak. Sesli mesaj sistemi araclyla gvenlii hatrlatan duyurular yapmak. zerinde, "Sizi arayan gerekten olduunu iddia ettii kii mi?" gibi eyler yazan yapkanl etiketler bastrmak. Bilgisayara balanrken, "Eer e-postayla gizli bilgiler gnderiyorsanz, mutlaka ifre koyun", gibi hatrlatma mesajlarnn kmas iin ayarlamalar yapmak. Gvenlik bilincini alan performans raporlarnn ve yllk deerlendirmelerin ayrlmaz bir paras durumuna getirmek. ntranete, alanlarn ilgisini ekecek karikatrler, fkralar ya da baka eyler biiminde gvenlik bilinci hatrlatclar koymak. Kafeteryada sk sk farkl bir gvenlik unsurunu hatrlatan bir elektronik mesaj tahtas kullanmak. Dosyalar ve brorler datmak. Dikkat ekici ayrntlar dnlebilir, rnein kafeteryada cretsiz fal kurabiyeleri datlabilir ve her birinde fal yerine bir gvenlik hatrlatcs olabilir.

Tehlike her zaman var; hatrlatclarn da her zaman var olmas gerekir.

Benim Bundan karm Ne?


Gvenlik bilinlendirme ve eitim programlarna ek olarak, ileyen ve iyi tantlm bir dllendirme sistemini de ciddi ekilde neririm. Bir toplum mhendislii saldrsn tespit edip nlemi ya da bilgi gvenlii

Bilgi Gvenliinin nemini Bilmek ve Eitim 239 programnn baarsna byk bir katkda bulunmu alanlarnza teekkr etmelisiniz. dl programnn varl gvenlik bilinlendirme oturumlarnda tm alanlara anlatlmal ve gvenlik ihlalleri tm kurulua geni bir ekilde duyurulmaldr. iin dier yznde insanlar, ister dikkatsizlikten ister direnmekten olsun, bilgi gvenlii kurallarna uymamann sonularnn da farknda olmaldrlar. Her ne kadar hepimiz hata yapsak da gvenlik kurallarnn srekli ihlali de ho karlanmamaldr.

RKET BLG GVENL KURALLARI NERLER


FBl'in yapt ve Associated Press'in Nisan 2002'de yaynlad bir aratrmann sonularna baklrsa, byk irketlerin ve devlet kurumlarnn onda dokuzu bilgisayar krclarnn saldrsna uram. lgin bir ekilde aratrma her irketten yalnzca birinin saldrlar bildirdiini ya da kamuoyuna akladn ortaya karm. Bir saldrya kurban gittikleri konusunda suskun kalmalar mantkl olabilir. Mterilerinin gvenini yitirmemek ve irketin aklarnn olabileceini renen saldrganlarn yeni saldrlarn engellemek iin ou iletme, bilgisayar gvenliine ynelik saldrlar kamuoyuna aklamazlar oiaylarn ak bir ekilde rapor etmezler. Grne gre, toplum mhendislii saldrlaryla ilgili hi istatistik yok; olsayd da saylar olduka gvenilmez olurdu. ou durumda, bir irket, bir toplum mhendisinin bilgiyi ne zaman aldn hibir zaman bilemez ve bu yzden pek ok saldr fark edilmez ve rapor edilmeden kalr. Toplum mhendislii saldrlarnn ouna kar etkili nlemler alnabilir. Doruyu sylemek gerekirse kurulutaki herkes gvenliin nemini anlamad ve irket gvenlik kurallarna uyup bunu iinin bir paras olarak kabul etmedii srece, toplum mhendislii saldrlan her zaman irketler iin byk bir tehlike olmaya devam edeceklerdir. Aslnda, gvenlik aklarn kapamak iin teknolojik silahlarn gelimesi, tescilli irket bilgilerine ulamak ya da irket ana girmek iin insanlar kullanan toplum mhendislii saldrlarn kesinlikle ciddi lde sklatracak ve ortam, bilgi hrszlan iin daha ekici bir hal alacaktr. Bir sanayi casusu doal olarak amacna ulama iini en kolay ve en dk fark edilme tehlikesi olan yoldan yapacaktr, iin dorusu, bilgisayar sistemlerini ve an en son kan gvenlik teknolojilerini kullanarak koruyan bir irket, hedeflerine ulamak iin toplum mhendislii stratejilerini, yntemlerini ve taktiklerini kullanan saldrganlardan gelecek saldrlara daha ok maruz kalma tehlikesiyle kar karya kalacaktr. Bu blm, toplum mhendislii saldr riskini en aza indirgeyecek ekilde tasarlanm belli kurallar sunmaktadr. Kurallar tam olarak sadece teknik aklan smrmeye ynelik saldrlara hitap etmemektedirler. Gvenilir bir alan, saldrgann hassas irket bilgilerine ya da bilgisayar sistem ve alarna eriebilmesini salayan bilgiler vermeye ya da bir i yapmaya kandrabilmek iin oynanan oyunlar ya da ne srlen bahaneleri de kapsamaktadrlar.

242

Aldatma Sanat

Gvenlik Kural Nedir?


Gvenlik kurallar, bilgiyi korumak amacyla, alan davranlar iin yn gstericidir ve olas gvenlik tehditlerini bertaraf etmek iin etkili kontroller gelitirilmesinin temel tadr. Bu kurallar, i toplum mhendislii saldrlarn tespit etmeye ve nlemeye gelince daha da nemli olmaktadrlar. Etkili gvenlik kontrolleri, iyi dzenlenmi kurallar ve srelerle alanlar eiterek yerletirilir. Ancak unu da vurgulamak gerekir ki, tm alanlar tarafndan sadakatle uygulansa da gvenlik kurallar her toplum mhendislii saldrsnn engelleneceini garanti etmezler. Ama, daha ok, riski kabul edilebilir dzeye indirebilmektir. Burada sunulan kurallar, tam anlamyla toplum mhendislii konularyla ilgili olmasa da toplum mhendislii saldrlarnda ounlukla kullanlan teknikleri de iermektedirler. rnein e-postalar amakla ilgili kurallar bilgisayar krclarnn sk sk kulland bir yntemle ilgilidir. Saldrgan, kurbann bilgisayarnda kontrol ele geirmesini salayan kt huylu Truva At yazlmlarn e-posta araclyla ykleyebilir.

Bir Program Oluturmann Admlar


Kapsaml bir bilgi gvenlii program, ie genellikle eyi belirleyip risk lm yaparak balar: a Kurumun bilgi varlklarndan hangilerinin korunmas gerekir? Bu varlklara kar ne gibi tehditler vardr? Bu olas tehditler gerekletii durumda kuruma ne gibi zararlar gelebilir?

Risk deerlendirmenin ncelikli amac hangi bilgi varlklarnn acilen korunmalar gerektiini belirlemek ve maliyet-kr analizi yaparak nlem almann uygun maliyetli olup olmadna bakmaktr. Daha ak ifade etmek gerekirse, hangi varlklar en nce koruma altna alnacak ve bu varlklar korumak iin ne kadar zaman harcanacaktr? st ynetimin gvenlik kurallar ve bilgi gvenlii program gelitirmenin nemini gl bir ekilde desteklemesi ve bu gr paylamas nemlidir. Dier herhangi bir irket programnda olduu gibi, eer gvenlik program baarl olacaksa, ynetim yalnzca bir onay imzas atmakla kalmamal, ahsen rnek olarak balln gstermelidir. alanlar, bilgi gvenliinin irket faaliyetleri asndan can alc olduu, irket ii bilgilerin korunmasnn irket varlnn korunmas iin nemli olduu ve alanlarn ilerinin programn baarsna bal olabilecei gereklerine ynetimin gl bir ekilde bal olduunun bilincinde olmaldrlar.

irket Bilgi Gvenlii Kurallar nerileri

243

Bilgi gvenlii kurallarn temize ekmekle grevlendirilmi personelin, kurallarn teknik terimler kullanlmadan yazlmas ve teknik olmayan alanlar tarafndan rahata anlalabilmesi gerektiini anlam olmas arttr. Belgenin, her kuraln neden nemli olduunu da aklamas gerekir; aksi halde, alanlar, kurallar zaman kayb olarak grerek bir kenara itebilirler. Kurallar byk olaslkla onlar yerletirmeye yarayan srelerden daha az sklkta deieceinden kurallar kaleme alan kii, kurallar tantan bir belge oluturmal ve sreler iin de ayr bir belge amaldr. Ek olarak, kurallar yazan kii, gvenlik teknolojilerinin iyi bilgi gvenlii uygulamalarn oturtmakta kullanlabileceini de bilmelidir. rnein, ou iletim sistemi, kullanc parolalarnn uzunluk gibi baz zelliklere uyup uymadklarn kontrol edecek ekilde ayarlanabilmektedir. Baz irketlerde kullanclarn program indirmesi iletim sistemindeki yerel ya da genel ayarlar araclyla denetlenebilir. Kurallar, insankaynakl karar alma mekanizmalarn devre d brakmaya kyasla daha uygun maliyetli olduu koullarda, gvenlik teknolojileri kullanma zorunluluunu da getirmelidir. t alanlar, gvenlik kuralarna ve srelerine uymadklar takdirde oluabilecek sonular hakknda da uyarlmaldrlar. Kurallara uymamann karl olarak bir takm uygun cezalar yerletirilmeli ve herkese duyurulmaldr. Ayn zamanda, gvenlik uygulamalar konusunda baarl ya da bir gvenlik olayn farkedip bildirmi alanlar iin de bir dl sistemi oluturulmaldr. Ne zaman bir alan bir gvenlik ihlalini engellemekten dl alrsa, bu, tm irket iinde -irket blteninde kan bir makale eklinde bile olsa- duyurulmaldr. Gvenlik bilinlendirme programnn bir amac, gvenlik kurallarnn nemini ve bu kurallara uymamaktan doabilecek zarar anlatmaktr. nsan yaradl gerei, alanlar zaman zaman makul gzkmeyen ya da zaman alc gibi grnen kurallar gz ard edecek ya da boluklarndan yararlanacaktr. alanlarn, kurallar evrelerinden dolalacak birer engel gibi grmek yerine, kurallarn nemini anlamalar ve uymaya istekli olmalarn salamak ynetimin sorumluluklar arasndadr. Bilgi gvenlii kurallarnn deimez kurallar olmadn belirtmekte yarar vardr, i ortamlar deitike, piyasaya yeni gvenlik teknolojileri ktka ve gvenlik aklar evrimietike kurallarn deitirilmesi ya da desteklenmesi gerekebilir. Dzenli bir gzden geirme ve -gncelleme sreci devreye alnmaldr. irket gvenlik kurallanm ve srelerini intranet zerinden herkese an ya da bu tarz kurallar herkesin ulaabilecei bir klasre koyun. Bu hareket, kurallarn ve srelerin daha sk okunma olasln artrr ve alanlarn bilgi gvenliiyle ilgili sorularna daha hzl yant bulmalar asndan etkili bir yntem olur. Sonu olarak, eitimlerdeki aklar ya da irket kural ve srelerine

244

Aldatma Sanat

uyumdaki eksiklii ortaya karmak amacyla, toplum mhendislii yntem ve taktikleri kullanlarak dzenli delme testleri ve ak deerlendirmeleri yaplmaldr. Aldatc delme testleri uygulanmadan nce bu tarz testlerin zaman zaman yaplaca alanlara duyurulmaldr.

Bu Kurallar Nasl Kullanlr?


Bu blmde aytntlaryla anlatlan kurallar, tm gvenlik risklerini azaltmas iin nemli olduuna inandm bilgi gvenlii kurallarnn yalnzca kk bir parasdr. Buna gre, burada sz geen kurallarn kapsaml bir bilgi gvenlii kural listesi olduu dnlmemelidir. Bu kurallar, daha ok, irketinizin belirli ihtiyalarna uygun olabilecek kapsaml bir gvenlik kurallar btn oluturabilmek iin bir temeldir. Kurallar hazrlayanlar, irketlerine zg, evrelerine ve i hedeflerine uygun kurallar semelidirler. Her kurulu, i gereksinimleri, yasal ykmllkleri, kurum kltr ve kulland bilgi sistemlerine gre aada anlatlan kurallardan ihtiyac olan alabilir, dierlerini bir kenara brakabilir. Her veri snfndaki kurallarn ne kadar kat olacayla ilgili de verilecek kararlar vardr. Tek bir binaya san ve alanlarn ounun birbirini tand kk bir irketin, telefon edip o irkette altn syleyen bir saldrgandan korkmasna gerek yoktur (ancak saldrgan, bir satc firmadan arad ayana da yatabilir). Ayrca artan risklere karn rahat bir kurum kltrne sahip bir irket, gvenlik hedeflerine ulamak iin nerilen kurallarn yalnzca kk bir blmn kullanmak isteyebilir.

Veri Snflandrma
Bir veri snflandrma politikas kuruluun bilgi varlklarn korumak iin nemlidir ve hassas bilgilerin yaylmasn denetleyen bir snfland""ma sistemi getirir. Bu politika, tm alanlar her bilgi parasnn hassaslk derecesi konusunda bilinlendirerek irket bilgilerini korumak ibir ereve oluturur. Veri snflandrma politikas olmadan almak -bu, artk gnmzce pek ok irketin olmazsa olmazdr- kararlarn ounu bireysel dzeyce alanlara brakr. Doal olarak alan kararlar, bilginin hassash nemi ve deerinden ok byk lde znel unsurlara dayar alanlar bir bilgi talebine karlk vererek, bilgiyi bir saldrgann e ~rine teslim edebilecekleri olaslndan habersiz olduklar iin de t ; duyurulur. Veri snflandrma politikas pek ok dzeyden birinde deerli c : lerin snflandrlmas iin yol gstericidir. Her bilgi paras ~ snflandrlmasyla alanlar, hassas bilgilerin kastsz olarak irker.e-

irket Bilgi Gvenlii Kurallar nerileri

245

dar kmasn nleyecek bir veri kullanm srecine uyabileceklerdir. Bu sreler alanlarn hassas bilgileri yetkisiz kiilere vermek iin kandrlmalar olasln azaltacaktr. Her alan (normal olarak bilgisayar ya da irket iletiim alarn kullanmayanlar da dahil) irketin veri snflandrma politikas konusunda eitilmelidir. irket igcnn -temizlikiler, gvenlik grevlileri, fotokopicilerin yansra danmanlar, taeronlar ve hatt stajyerler de aralarnda olmak zere- her yesinin hassas bilgilere eriimi olabileceinden, herkes bir saldrnn hedefi olabilir. Ynetim, irket iinde halihazrda kullanmda olan her bilgi iin bir bilgi sahibi belirlemelidir. Dier eylerin yan sra bilgi sahibi bilgi varlklarnn korunmasndan sorumludur. Bilgiyi koruma gereksinimine gre hangi derece snflandrma yaplacana o karar verir ve dzenli olarak snflandrma derecelerini yeniden deerlendirir ve uygun grd deiiklikleri yapar. Bilgi sahibi, veri koruma grevini bir vekile ya da sorumluya da devredebilir.

Snflandrmalar ve Tanmlar
Bilgi, hassaslna gre deien snflandrma dzeylerine blnmelidir. Bir snflandrma sistemi bir kez kurulduktan sonra bilgiyi yeniden snflandrmak zaman isteyen ve pahal bir i haline gelir. rnek snflandrmamzda, orta-byk lekli iletmelerin ou iin uygun olacak drt snflandrma dzeyi setim. Hassas bilgilerin says ve eidine gre iletmeler, belirli bilgi eitlerini de kapsamak iin yeni snflandrmalar eklemek isteyebilirler. Daha kk iletmelerde dzeyli bir snflandrma sistemi yeterli olacaktr. Gizli: Bu bilgi smf en hassas olandr. Gizli bilgiler yalnzca kurum ii kullanm iindir. ou zaman kesinlikle bilmesi art olan snrl sayda insan tarafndan bilinmelidir. Gizli bilgi, herhangi bir yetkisiz paylamn irkete, hissedarlara ve/veya mterilere ciddi zararlar verebilecei bir yapdadr. Bu bilgiler genel olarak aadaki gruplardan birine girerler: Ticari srlar, tescilli kaynak kodlar, teknik ya da ilevsel zellikler ya da bir rakibin iine yarayabilecek rn bilgileri gibi bilgiler. Halka almam finansal ya da pazarlamaya ynelik bilgiler. Gelecekteki i stratejileri gibi irketin ileri iin nemli olan dier bilgiler.

zel: Bu snflandrma, kurum iinde kullanlmas ngrlen kiisel nitelikteki bilgileri ierir. zel bilginin yetkisiz datm alanlarn ya da yetkisiz kiilerin (zellikle toplum mhendislerinin) eline getii zaman irkete ciddi ekilde zarar verebilmektedir. Bu tarz bilgilerin arasnda alanlarn tbb gemii, salk yardmlar, banka hesap bilgileri, cret gemii ya da halka ak olmayan dier kiisel tanmlamalar bulunmaktadr.

246

Aldatma Sanat

I N V J 11 "Dahili" olarak snflandrlm bilgiler, gvenlik personeli tarafndan sk sk "Hassas" olarak da adlandrlrlar, Ben Dahil eklinde kullanacam nk terimin kendisi bilginin hitap ettii kiileri tanmlyor. Hassas terimini bir gvenlik snflandrmas olarak deil de Gizli, zel ve Dahili bilgilerinin tmn anlatan bir terim olarak kullandm. Hassas, zellikle Genel olarak tanmlanmam her trl irket bilgisine karlk gelmektedir.

Dahil: Bu bilgi smf kuramda alan herkese rahatlkla datlabilir. Dahil bilginin yetkisiz datmnn ou zaman irkete, hissedarlara, i ortaklarna, mterilere ya da alanlara ciddi bir zarar vermesi beklenmez. Buna karn, toplum mhendislii becerilerini kullanmakta usta olan kiiler bu bilgiyi kullanarak yetkili bir alan, taeron ya da satc firma gibi davranp hibir eyden kukulanmayan personeli hassas bilgileri vermesi dorultusunda kandrabilir ve bu, irket bilgisayar sistemlerine yetkisiz bir eriim salanmasna neden olabilir. Satc firmalara, taeronlara, ortak irketlere ve benzeri nc ahslara dahil bilgi verilmeden nce taraflar arasnda bir gizlilik anlamas imzalanmaldr. Dahil bilgiler genellikle gnlk ilerde kullanlan, darya verilmemesi gereken irket kurulu emalar, a balant numaralan, dahil sistem adlan, uzaktan eriim sreleri, maliyet merkezi kodlan ve bunun gibi herhangi bir bilgiyi ierebilir. Genel: zellikle kamuya duyurmak zere belirlenmi bilgilerdir. Basn aklamalar, mteri destek iletiim bilgilen ya da rn brorleri gibi bu tarz bilgiler herkese serbeste datlabilir. Genel olarak snflandrlmam dier tm bilgilerin hassas bilgi olarak ele alnmas gerektii unutulmamaldr.

Snflandrlm Veri Terimleri


Snflandrmalarna gre veriler belli dzeylerdeki kiilere datlmaldrlar. Bu blmde verilen baz kurallar bilginin onaylanmam kiilere verilmesiyle ilgilidir. Bu ifadeyi amak gerekirse onaylanmam kii, irkette halen almakta ya da bilgiyi almak iin doru konumda olup olmadnn ya da gvenilir bir nc ahsn ona kefil olup olmadnn alan tarafndan bilinmedii kiidir. Bunun tam tersi olan, gvenilir kii, yzyze karlatnz, bilgi eriimi iin yeterli yetkiye sahip bir irket alan, mteri ya da irket danman olarak tandnz kiidir. Gvenilir kii irketinizle uzun sredir alan bir irketin eleman da olabilir (rnein, bir mteri, satc ya da sr saklama anlamas imzalanm bir stratejik i orta gibi). nc ahs kefaletinde, bir gvenilir kii, bir kiinin i durumu ve kiinin bilgi ya da i istemeye yetkili olup olmadyla ilgili kontrol veris;

irket Bilgi Gvenlii Kurallar nerileri

247

salar. Baz durumlarda bu kurallar, kefil olduklar birinden gelen bilgi ya da i taleplerine karlk vermeden nce gvenilir kiinin irkette almaya devam edip etmediini de dorulamanz gerektirir. Ayrcalkl hesap, temel kullanc hesabnn tesinde bilgisayar ya da benzeri bir ortama eriim izni soran, sistem ynetici hesab trnden bir hesaptr. Ayrcalkl hesaplara sahip olan alanlar genellikle kullanc yetkilerini deitirip, sistem ilevleri gerekletirebilirler. Genel blm posta kutusu, blm adna genel bir mesajla alan bir sesli mesaj kutusudur. Byle bir kutu belirli bir blmde alanlarn adlarn ve dahili numaralarn korumak amacyla kullanlr.

Onay ve Yetkilendirme Sreleri


Bilgi hrszlar, gizli irket bilgilerine ulamak ve bu bilgileri ele geirmek iin ounlukla gerek alanlar, taeronlar, satclar ya da i ortaklar gibi davranarak aldatma taktikleri kullanrlar. Etkili bilgi gvenliini srekli klmak iin bir i yapmas ya da hassas bir bilgi vermesi istenen bir alan, arayann kimliini tespit etmeli ve bir istekte bulunma yetkisinin olup olmadn onaylattrmaldr. Bu blmde nerilen sreler, herhangi bir iletiim aracyla -telefon, faks ya da e-posta- kendisinden bir ey istenmi bir alana, istein geerli ve isteyenin de gerek olup olmadn belirlemekte yardmc olmak zere tasarlanmlardr.

Gvenilir Kiiden Gelen stekler


Bir gvenilir kiiden gelen i ya da bilgi talebi durumunda unlarn yaplmas gerekebilir: Kiinin irket bnyesinde altnn ya da sz konusu snfa ait bilgilere eriim koulunu da ieren bir ilikinin varlnn kontrol edilmesi. Bunun amac, iliii kesilmi alanlarn, satclarn, taeronlarn ve benzer kiilerin kendilerini alyor olarak gstermelerini nlemektir, Kiinin bilme gereksiniminin ve bir i ya da bilgi talebinde bulunmaya yetkili olup olmadnn kontrol edilmesi.

Onaylanmam Bir Kiiden Gelen stekler


Onaylanmam bir kii bir istekte bulunduu zaman, istekte bulunan kiinin bu talepte bulunmaya yetkili olup olmadn belirlemek iin uygun bir onay sreci kullanlmaldr. zellikle de istek, bilgisayarlar ya da bilgisayar donanmlaryla ilgiliyse. Bu sre, toplum mhendislii saldrlarnn baarl olmasn engellemek iin temel bir nlemdir. Eer

248

Aldatma Sanat

bu onay sreleri uygulanrsa, baarl toplum mhendislii saldrnn saysn byk lde azalacaktr. Sreci maliyet artrc ya da alanlarn onu boverecei kadar hantal yapmamanz da nemlidir. Aada da belirtildii gibi onay sreci admdan oluur: Kiinin olduunu syledii kii olup olmadnn kontrol edilmesi. Talep sahibinin halen irkette altnn ya da irketle bilme gerei oluturabilecek bir ilikisinin olduunun belirlenmesi. Kiinin ilgili bilgiyi almaya ya da ilgili ii talep etmeye yetkili olup olmadnn belirlenmesi.

Birinci Adm: Kimiik Tespiti


nerilen onay admlar, etkinliklerine gre aada sralanmlardr; say ne kadar byk olursa yntem o kadar etkilidir. Her eyle birlikte, ilgili yntemin zayflyla ve bir toplum mhendisinin alanlar kandrabilmek iin bu yntemi ama ya da evresinden dolama yoluyla ilgili bir aklama bulunmaktadr. 1. Arayan Kimlii (bu zelliin irket telefon sisteminde var olduunu varsayyoruz): Arayan numaraya bakarak, aramann irket iinden mi yoksa dndan m geldii bulunabilir ve arayann verdii kimliin grnen ad ve telefon numarasyla uyuup uyumadna baklr. Zayfl: Dardan gelen aramaya ait arayan kimlii bilgileri, dijital telefon hizmetlerine bal bir PBX ya da telefon santralna eriimi olan herhangi biri tarafndan sahte bilgilerle deitirilebilir. 2. Geri Arama: stek sahibi, irket rehberinden bulunur ve rehberde geen dahil numara aranarak istekte bulunan kiinin gerekten irkette alp almad kontrol edilir. Zayfl: alan, listede geen irket dahil numarasn kontrol amal olarak arad zaman, yeterli bilgiye sahip bir saldrgan, aramay kendi d hattna aktarlacak ekilde ynlendirebilir. 3. Kefil Olunmas: istek sahibine kefil olmu bir gvenilir kii istekte bulunan kiinin kimliini onaylam olur. Zayfl: Baka biri gibi davranan saldrganlar, farkl bir alan kimliklerinin doruluuna ounlukla inandrabilirler ve o alann kendilerine kefil olmasn salayabilirler. 4. Gizli Ortak Bilgi: Kurum apnda kullanlan, parola ya da gnlk ifre gibi bir gizli ortak bilgi. Zayfl: Eer gizli ortak bilgiyi ok kii bilirse, saldrgann onu renmesi daha kolay olur.

irket Bilgi Gvenlii Kurallar nerileri

249

5. alann Yneticisi/Mdr: alann bal olduu ynetici aranr ve onay istenir. Zayfl: Eer yneticinin numaralarn istekte bulunan ahs vermise, alan o numaray aradnda ulat kii gerek ynetici deil aslnda saldrgann su orta olabilir. 6. Gvenli e-posta: Dijital olarak imzal bir mesaj istenir. Zayfl: Eer saldrgan zaten alann bilgisayarna girmi ve alann imza parolasn alabilmek iin tu girilerini kaydeden bir program yklemise, bu durumda alandan geliyormu gibi grnen dijital imzal bir e-posta gnderebilir. 7. Sesi ahsen Tanmak: Kendisine istek gelen kiinin istek sahibiyle daha nceden alm olmas (tercihen yz yze), bir gvenilir kii olduundan emin olmas ve kiinin sesini telefondan tanyacak kadar kiiyi tanmas. Zayfl: Bu olduka gvenli bir yntemdir ve bir saldrgan tarafndan kolay kolay alamaz, ancak kendisine istek gelen kii arayan tanimyorsa ya da daha nce onunla hi konumamsa bu yntem bir ie yaramaz. 8. Deiken Parola zm: stek sahibi gvenli kimlik gibi bir deiken parola zmyle kendini tantr. Zayfl: Bu yntemi amak iin saldrgann, hem deiken parola cihazlarndan birini, hem de cihazn ait olduu alann kimlik numarasn ele geirmesi gerekir ya da bir alan cihazn zerinden bilgiyi okumas ve kimlik numarasn vermesi iin kandrabilir. 9. Kimliiyle Birlikte Gelen Kii: istekte bulunan kii ahsen gelir ve tercihen resimli personel kartn ya da baka uygun bir kimlik kartn gsterir. Zayfl: Saldrganlar sk sk bir alann kartn alabilir ya da gerek gibi grnen bir sahtesini yapabilirler. Ancak saldrganlar ounlukla bu yaklam kullanmazlar nk bir yere ahsen gitmek saldrgan byk bir tannma ve alkonma tehlikesine sokar.

kinci Adm: Dorumunun Kontrol


En byk bilgi gvenlii tehdidi bir profesyonel toplum mhendisinden ya da becerikli bir bilgisayar krcsndan gelmez. ok daha yakndaki birinden, ksa sre nce iten atlm, intikam almak isteyen ya da irketten ald bilgileri kullanarak kendi iini kurmay mit eden alandan gelir (Bu srecin baka biri trnn, satc, danman ya da szlemeli ii gibi irketinizle farkl bir i ilikisi olan kiiler iin de kullanlabileceini unutmaynz).

250

Aldatma Sanat

Baka birine Hassas bilgiler vermeden ya da bilgisayar ve bilgisayar donanmlaryla ilgili baka birinin verdii talimatlara uymadan nce konutuunuz kimsenin sizinle ayn irkette alp almadn u yntemlerden birini kullanarak kontrol edebilirsiniz. Personel Telefon Rehberinden Kontrol: Eer irket, alanlarn listesinin titizlikle tutulduu bir evrimii telefon rehberi bulunduruyorsa, arayann bu listede olduundan emin olun. Arayann Yneticisinden Kontrol: Arayann yneticisini, arayann verdii numaradan deil, irket rehberinde geen numarasndan arayn. Arayann Birim ya da Gurubundan Kontrol: Arayann birimini ya da i grubunu arayn ve orada alan herhangi birinden sz konusu kiinin orada almakta olup olmadn renin.

nc dm: Bilme Gereinin Kontrol


istekte bulunan kiinin halen irkette alp almadn ya da irketinizle bir ilikisi kalp kalmadn kontrol etmenin yansra, bir de, istek sahibinin istedii bilgiyi talep etmeye ya da bilgisayarlar veya bilgisayar donanmlarn etkileyecek belirli ilemleri talep etmeye yetkili olup olmad konusu vardr. Bunun kontrol u yntemlerden biri kullanlarak yaplabilir: yeri Unvan/ Gurubu/Sorumluluklar Listelerine Bavurun: Bir irket hangi alanlarn ne tr bilgileri almaya yetkili olduunu ieren listeler kararak yetkilendirme bilgilerine hzl eriim salayabilir. Bu listeler alan unvanna, birimine ve i gurubuna, sorumluluklara ya da baka verilere gre sralanm olabilir. Bu tarz listelerin evrimii tutulmas ve srekli gncellenerek yetkilendirme bilgilerine hzl eriim salamas gerekir. ounlukla bilgi sahipleri, denetimleri altnda olan bilgilere eriilebilmesi iin listelerin oluturulmasndan ve gncellenmesinden sorumludurlar. Bir Yneticiden Onay Aln: Bir alan, istei yerine getirmek zere onay almak iin kendi yneticisiyle ya da istek sahibinin yneticisiyle balantya geer.

V.

IV| v^ I * Bu tarz listelerin toplum mhendisine davetiye karmak olduu da gz nnde bulundurulmaldr. Dnn: Eer bir irketi hedefleyen bir saldrgan irketin byle listeler tuttuunu renecek olursa bir tanesini ele geirmek iin bir nedeni olacaktr. Ele geirdikten sonra da bu tarz listeler saldrgana pek ok kap aarlar ve irket iin ciddi bir tehlike olutururlar.

irket Bilgi Gvenlii Kurallar nerileri

251

Bilgi Sahibinden ya da Sorumlusundan Onay Ain: Belirli bir kiinin bilgiye eriimi olup olmayacayla ilgili son sz hakk bilgi sahibinindir. Bilgisayar tabanl eriim kontrol sreci, var olan i tanmlarna uygun bilgilere erime talebinin onay iin alann kendi yneticisini aramasdr. Eer byle bir tanm yoksa, ilgili bilgi sahibini arayp izin istemek yneticinin sorumluluudur. Bu emir-komuta zincirine uyulmas gerekir, yoksa bilgi sahipleri sk sk gelen bir talep aknna urarlar. Tescilli Bir Yazlm Paketi Araclyla Onay Aln: Rekabeti bir ortamda alan byk bir irketin bilme gerei yetkilerini veren tescilli bir yazlm paketi gelitirmesi kullanl olabilir. Byle bir veritaban, alan adlarn ve gizli bilgilere eriim yetkilerini tutar. Kullanclar her alann eriim yetkilerini gremezler ama onun yerine istekte bulunan kiinin adn ve istenen bilginin tanmlaycsn girebilirler. Daha sonra yazlm, aranan kiinin ilgili bilgileri almaya yetkili olup olmadna dair bir sonu karr. Bu seenek, deerli, nemli ya da hassas bilgilere eriim yetkisine sahip personel listelerinin alnma tehlikesini bertaraf eder.

Ynetim Kurallar
Aadaki kurallar ynetici seviyesindeki alanlarla ilgilidir. Veri Snflandrlmas, Bilgi Verilmesi, Telefon daresi ve eitli Kurallar gibi konulara blnmlerdir. Her kural snf kurallarn rahat tanmlanabilmeleri iin kendine zg bir saylandrma iermektedir.

Veri Snflandrma Kurallar


Veri Snflandrma, irketinizin hassas verilerinin nasl snflandrldna ve bu bilgilere kimlerin eriim yetkisinin olmas gerektiine deinir. .

1-1 Veri snflandrmas yapn


Kural: Tm deerli, hassas ya da nemli i bilgileri ilgili bilgi sahibi ya da vekili tarafndan bir snflandrmaya tutulmaldr. Aklamalar/Notlar: ilgili bilgi sahibi ya da vekili i hedeflerine ulamak iin dzenli olarak kullanlan herhangi bir bilgiyi uygun veri snfna yerletirecektir. Bilgi sahibi, bu tarz bilgilere kimlerin eriebileceini ve bu bilgilerle neler yaplabileceini denetler. Bilgi sahibi, snflandrmay yeniden yapabilir ve dzenli olarak snflandrmann yenilenmesi iin bir zaman belirleyebilir. Baka bir ekilde snflandrlmam her bilgi hassas olarak snflandrlmaldr.

252

Aldatma Sanat

1 -2 Snflara g r e k u l l a n m a sreleri karn Kural: irket her snf bilginin verilmesine ynelik sreler oluturmaldr. Aklamalar/Notlar: Snflandrmalar yapldktan sonra, bilginin alanlara ve dardan kiilere verilmesiyle ilgili, daha nce bu blmde Onay ve Yetkilendirme konusunda anlatld gibi sreler oluturulmaldr. .

1 -3 Tm eleri iaretleyin
Kural: Gizli, zel ya da dahil bilgi ieren hem basl malzemeleri, hem de bilgisayar saklama ortamlarn ilgili veri snflandrmasn gsterecek ak bir ekilde iaretleyin. Aklamalar/Notlar: Basl belgelerin, stnde gze arpan bir veri snf iareti olan bir kapak sayfas olmaldr ve veri snf, belge aldnda grlecek ekilde her sayfada bulunmaldr. lgili veri snflaryla kolaylkla iaretlenemeyen tm elektronik dosyalar, (veritaban ya da ham veri dosyalar), uygunsuz bir ekilde datlmasn, deitirilmesini, yok edilmesini ya da eriilemez duruma getirilmesini nlemek iin eriim denetimleriyle korunmaldrlar. Disketler, bantlar ve CD-ROM'lar gibi tm bilgisayar aralarnn, ilerindeki en st snf veriye gre iaretlenmeleri gerekmektedir.

Bilginin Verilmesi
Bilgi verilmesi, kim olduklarna ve bilme gereklerine baklarak bilginin eitli ahslara verilmesini kapsar. 2-1 alan k i m l i i n i n tespiti sreci Kural: Gizli ya da hassas bilgilerin verilmesini ya da herhangi bir bilgisayar donanmnn ya da yazlmnn kullanlmasn ieren bir iin yaplmasndan nce kiinin kimliinin, i durumunun ve yetkilerinin kontrol edilebilmesi iin alanlarn kullanabilecei kapsaml sreler irket tarafndan oluturulmaldr. Akiamalar/Notlar: irketin bykl ve gvenlik ihtiyalarna uygun olarak, kimlik tespiti iin, gelimi gvenlik teknolojileri kullanlmaldr. En iyi gvenlik uygulamas, tanmlama anahtarn gizli ortak bilgiyle birlikte kullanarak istekte bulunan kiileri doru bir ekilde tanmlamaktr. Bu uygulama, riski byk lde azaltsa da baz iletmeler iin maliyeti ok yksek olabilir. Bu koullarda irket, gnlk bir parola ya da ifre gibi tm irket apnda geerli bir gizli ortak bilgi kullanabilir. 2-2 Bilginin nc ahslara verilmesi Kural: Bir dizi kendini kantlam bilgi verme sreci yrrle konmal ve tm alanlar bu sreleri izlemeleri konusunda eitilmelidirler.

irket Bilgi Gvenlii Kurallar nerileri

253

Aklamalar/Notlar: Datm srelerinin genel olarak unlar iin oluturulmas gerekir; irket iine verilecek bilgiler, Danmanlara, geici iilere, stajyerlere, irketle alc-satc ilikisi ya da stratejik ortaklk anlamas olan kurulularn alanlarna ve bunun gibi, irketle oturmu bir ilikisi olan kurulularn alanlarna bilginin verilmesi, irket dna verilecek bilgiler, Bilgi ahsen, telefonla, e-postayla, faksla, sesli mesajla, posta araclyla, imzal kuryeyle ve elektronik aktarmla veriliyorsa her veri snfyla ilgili bilgiler.

2-3 Gizli bilgilerin datm Kural: Yetkisiz kiilerin eline getiinde byk zararlara neden olabilecek irket bilgileri olan gizli bilgiler ancak almaya yetkili bir gvenilir kiiye verilebilir. Aklamalar/Notlar: Fiziksel (yani basl ya da tanabilir saklama ortam) olarak gizli bilgiler u ekilde teslim edilebilir: ahsen, Mhrl ve gizli damgas vurulmu olarak dahili kuryeyle, irket dna itibarl bir kurye irketinin hizmetiyle ya da taahhtl veya onayl posta hizmeti kullanarak.

Elektronik (bilgisayar dosyalar, veritaban dosyalar, e-posta) olarak gizli bilgiler u ekilde teslim edilebilir: ifreli e-posta ieriinde, ifreli bir dosya olarak e-posta ekinde, irket dahil andaki bir sunucuya elektronik aktarmla, Bir faks program kullanarak bilgisayardan. Ancak kar makinay ilgili kiinin kullandndan ya da faks gnderilirken ilgili kiinin makinann banda beklediinden emin olunmas gerekir. Dier bir seenek ise, ifreli bir telefon hattndan parola korumal bir faks sunucusundan gnderilmesi durumunda, faksn alc olmadan gnderilmesi mmkndr.

Gizli bilgiler, karlkl, irket ii telefonla, irket dndan ifreli telefonla, ifreli uydu aktarmyla, ifreli videokonferans balantsyla ve ifreli internet Protokol zerinden ses geidiyle (VolP) yaplan karlkl grmelerle de iletilebilirler. Faksla gnderimlerde nerilen yntem, gnderenin bir kapak say-

254

Aldatma Sanat

fas gndermesini, alcnn sayfay almas zerinde karlk olarak baka bir sayfa gndererek faks makinasnn banda olduunu gstermesini iermektedir. Gnderen, daha sonra faksn tmn gnderir. u iletiim kanallar ise gizli bilgilerin grlmesi ya da datlmas iin kabul edilebilir yntemler deillerdir: ifresiz e-postalar, sesli mesajlar, posta hizmetleri ya da herhangi bir telsiz iletiim yntemi (cep telefonlar, ksa mesaj hizmetleri ya da telsiz telefonlar)

2-4 zel bilgilerin datm


Kural: Aa ktklar takdirde alanlara ya da irkete zarar vermek zere kullanlabilecek, alan ya da alanlarla ilgili kiisel bilgileri ifade eden zel bilgiler, yalnzca onu almaya yetkili bir gvenilir kiiye teslim edilebilir. Aklamalar/Notlar: Fiziksel (yani basl ya da tanabilir saklama ortam) olarak zel bilgiler u ekilde teslim edilebilir: ahsen, Mhrl ve zel damgas vurulmu olarak dahil kuryeyle, Posta hizmetiyle,

Elektronik (bilgisayar dosyalan, veritaban dosyalar, e-posta) olarak zel bilgiler u ekilde teslim edilebilir: Dahil e-postayla, irket dahil andaki bir sunucuya elektronik aktarmla, Bir faks program kullanarak bilgisayardan, ancak kar makinay ilgili kiinin kullandndan ya da faks gnderilirken ilgili kiinin makinann banda beklediinden emin olunmas gerekir. Dier bir seenek ise, ifreli bir telefon hattndan parola korumal bir faks sunucusuna gnderilmesi durumunda, faksn alc olmadan gnderilmesi mmkndr.

zel bilgiler, karlkl, irket ii telefonla, uydu aktarmyla, videokonferans balantsyla ve ifreli nternet Protokol izerinden ses geidiyle (VolP) yaplan karlkl grmelerle de iletilebilirler. u iletiim kanallar ise zel bilgilerin grlmesi ya da datlmas iin kabul edilebilir yntemler deillerdir: ifresiz e-postalar, sesli mesajlar, posta hizmetleri ya da herhangi bir telsiz iletiim yntemi (cep telefonlar, ksa mesaj hizmetleri ya da telsiz telefonlar)

2-5 Dahil bilgilerin datm!


Kural: Dahil bilgiler, yalnzca irket iinde datlabilecek ya da gizlilik anlamas imzalam gvenilir kiilere verilebilecek bilgilerdir. Dahil bilginin datmna ynelik ynergeler hazrlamanz gerekir.

irket Bilgi Gvenlii Kurallar nerileri

255

Aiklamaiar/NotSar: Dahil bilgiler, aralarnda dahil e-posta da olmak zere her yolla iletilebilirler, ancak ifreli olmadklar srece e-postayla irket dna gnderilemezler.

2-6 Hassas bilgilerin telefon zerinden grlmesi


Kural: Genel snfnda tanmlanmam herhangi bir bilgiyi telefon zerinde grmeden nce, bilgiyi verecek kiinin, kar tarafn sesini daha nceden ahsen duymu olmas ya da irket telefon sisteminin aramann istek sahibine ait dahil bir numaradan yapldn tespit etmi olmas gerekmektedir. Aklamaiar/Notlar: Eer istekte bulunan kiinin sesi tannmyorsa, kaytl bir ses mesajndan sesleri karlatrabilmek iin arayann dahil numarasn arayn ya da arayann yneticisine kimliini ve bilme gereini onaylattrn.

2-7 Girite yo da danmada grevli personel sreleri.


Kural: Giri grevlileri, irkette alp almadn bilmedikleri herhangi birine herhangi bir paketi verirlerken resimli kimlik kontrol yapmaldrlar. Kiinin adnn, ehliyet numarasnn, doum tarihinin, alnan paketin ve almn gerekletii gn ve saatin ilendii bir kayt defteri tutulmaldr. klamaar/Notlar: Bu kural dar gnderilen paketlerin tayclara ya da kurye hizmeti veren irketlere teslim edilmesinde de geerlidir. Bu irketler, alanlarn kimliklerinin kontrol edilebilecei kimlik kartlar karrlar.

2-8 nc ahslara yazlm aktarm


Kural: Herhangi bir yazlm, program ya da bilgisayar aklamalarnn verilmesinden ya da aktarlmasndan nce istek sahibinin doru kii olduu belirlenmeli ve bu aktarmn, sz konusu bilginin veri snfyla tutarl olup olmad kesinletirilmelidir. irket bnyesinde kaynak kodu biiminde yaplm yazlmlar ounlukla irket mlk saylr ve gizli olarak snflandrlrlar. Aklamalar/Kurallar: Yetki belirlenmesi genellikle istekte bulunan kiinin iini yapmak iin yazlm eriimine ihtiyac olup olmadna gre yaplr.

2-9 Sat ve pazarlamann mteri nerilerinin incelemesi


Kural: Sat ve pazarlama personeli, dahil geri arama numaralarn, rn planlarn, rn grubu iletiim sorumlularn ya da dier hassas bilgileri olas bir mteriye vermeden nce verilen nerileri incelemelidir. Aklamalar/Notlar: Sat ve pazarlama temsilcisiyle balant

256

Aldatma Sanat

kurup, onu ufukta byk bir almn olacana inandrmak, sanayi casuslarnn sk kullandklar yntemler arasndadr. Sat frsatndan yararlanma abasyla sat ve pazarlama temsilcileri, saldrgan tarafndan hassas bilgilere ulamak iin poker markas olarak kullanlabilecek bilgileri sk sk verirler.

2-10 Dosya ve verilerin aktarm


Kural: stek sahibi, kimlii belirlenmi ve veriyi ilgili tanabilir ortamda almas gerektii anlalm bir gvenilir kii olmad srece dosyalar ya da dier elektronik veriler hibir tanabilir ortama aktarlmamaldr. Aklama!ar/Not!ar: Bir toplum mhendisi hassas bilgilerin bir banda, diskete ya da dier tanabilir ortamlara kopyalanm olarak kendine gnderilmesini ya da birinin gelip almas iin girite bekletilmesini istemek iin akla yatkn bir gereke sunarak alan kandrabilir.

Telefon daresi
Telefon idaresi kurallar, alanlarn, arayan kimliini kontrol edebilmelerini ve irketi arayan kiilere kar kendi iletiim bilgilerini korumalarn salar. 3-1 Bilgisayar balants ya da faks numaralarnda

aramalarn ynlendirilmesi
Kural: Aramalar d hat telefon numaralarna ynlendiren arama ynlendirme hizmetleri irket iindeki herhangi bir modem ya da faks numarasna salanmamaldr. Aklamalar/Notlar: ok ynl saldrganlar, dahil numaralan saldrgann kontrol altndaki bir d hat telefonuna ynlendirmeleri konusunda telefon irketi personelini ya da dahil telekomnikasyon alanlarn kandrmaya alabilirler. Bu saldr, saldrgann, fakslara mdahale edebilmesine, gizli bilgilerin irket iine fakslanmalarn isteyebilmesine (alanlar kurum iine birey fakslamann emin olduunu varsayarlar) ya da balant hatlarn giri srecinin aynsn taklit eden tuzak bir bilgisayara ynlendirerek modemle balanan kullanclarn parolalarn ele geirmesine yol aacaktr. irket iinde kullanlan telefon hizmetine gre arama ynlendirme zellii," telekomnikasyon blmnden ok, iletiim hizmeti salaycsnn kontrol altnda olabilir. Bu durumda arama ynlendirme zelliinin balant ve faksa ayrlm telefon numaralarnda bulunmamasn isteyen bir taleple iletiim hizmet salaycsna gidilmesi gerekecektir.

irket Bilgi Gvenlii Kurallar nerileri 3-2 Arayan kimlii

257

Kural: irket telefon sistemi, tm dahil telefonlara arayan hat tanmlama (arayan kimlii) hizmetini salamaldr ve eer mnknse, dardan gelen aramalarda farkl bir alma sesi kullanlmaldr. Aklamalar/Notlar: Eer alanlar, irket dndan gelen aramalarn kimden geldiini grebilirlerse, bu onlarn bir saldry engellemelerine ya da ilgili gvenlik sorumlusuna saldrgan tarif etmelerine yardmc olabilir. 3-3 Nezaket telefonlar Kural: Ziyaretilerin irket alan gibi davranmalarn nlemek iin her nezaket telefonunun nereden edildii (rnein, "Danma") aranann telefon gstergesinde aka grlebilmelidir. kamalar/Notlar: Eer dahil aramalarn arayan kimlikleri yalnzca dahili numaray gsteriyorsa, danma ve dier herkese ak yerlerdeki irket telefonlarndan yaplan aramalara ynelik uygun nlemler alnmaldr. Bir saldrgann bu telefonlardan birinden arama yapmas ve aramann herhangi bir baka alann telefonundan yapld dorultusunda arad kiiyi kandrmasnn mmkn olmamas gerekmektedir. 3-4 Telefon sistemleri ile gelen retici parolalar Kural: Sesli mesaj yneticisi, irket alanlar tarafndan kullanlmadan nce telefon sistemiyle birlikte gelen parolalar deitirilmelidir. Aklamalar/Notlar: Toplum mhendisleri, reticilerden ilk parola listelerini edinebilir ve bunlar ynetici hesaplarna erimek iin kullanabilirler. 3-5 Blm sesli mesaj kutular Kural: Daryla balants olabilecek her blme iin bir sesli mesaj kutusu oluturun. Aklamalar/Notlar: Toplum mhendisliinin ilk adm hedef irket ve alanlar hakknda bilgi toplamaktr. irket, alanlarn ad ve telefon numaralarna eriimi snrlayarak, toplum mhendisinin irket iinden hedef belirlemesini ya da alanlar kandrmak iin bakalarnn adlarn kullanmasn gletirebilir. 3-6 Telefon sistem satcsnn onaylanmas Kural: Satc firmadan gelen hizmet teknisyenlerinden hibirine, satc firma bilgileri ve gelenlerin yetkileri onaylanmadan, irket telefon sistemine uzaktan eriim hakk tannmamaldr. Aklamalar/Notlar: irket telefon sistemlerine giren bilgisayar krclar sesli mesaj kutusu yaratma, dier kullanclara gelen mesajlara

258

Aldatma Sanat

".

mdahale etme ya da parasn irketin dedii telefon grmeleri yapabilme becerisini kazanrlar. 3-7 Telefon sisteminin ayarlanmas Kural: Sesli mesaj yneticisi, telefon sisteminde ilgili gvenlik ayarlamalarn yaparak gvenlik gerekliliklerinin yerine getirilmesini salar. Aklamalar/Notlar: Telefon sistemleri sesli mesajlar iin az ya da ok kapsaml gvenlik dzeylerine gre ayarlanabilirler. Ynetici, irket gvenlik anlaynn bilincinde olmal ve sistemi hassas bilgileri korumak zere ayarlamak iin gvenlik sorumlularyla birlikte almaldr. 3-8 A r a m a izleme zellii ..'.

Kural: iletiim hizmetleri veren firmann snrlamalarna gre, alanlarn, arayann saldrgan olduundan kukulandklar durumda kstrp kovalayan bu ilevi altrabilmeleri salanabilecek ekilde, arama izleme zellii devreye sokulmaldr. sklamalar/Notlar: alanlar, arama izleme ilevinin kullanm ve kullanlaca durumlar konusunda eitilmelidirler. Arayan kii, aka, irket bilgisayar sistemlerine yetkisiz girmeye ya da hassas bilgileri ele geirmeye alyorsa, bir arama izleme sreci balatlmaldr. Ne zaman bir alan arama izleme zelliini altrrsa, Olay Bildirme Merkezi'ne de hemen haber verilmelidir. :

3-9 Otomatik telefon sistemleri


Kural: Eer irket otomatik bir yant verme sistemi kullanyorsa, sistem bir alana ya da blme aramay aktarrken dahil numaray sylemeyecek ekilde programlanmaldr. . Aklamalar/Notlar: Saldrganlar bir irketin otomatik telefon sistemini, alan adlarn dahil telefonlarla karlatrmak iin kullanabilirler. Daha sonra saldrganlar bu dahil numara bilgilerini kullanarak aradklar kiileri irket ii bilgi almaya yetkili alanlar olduklarna inandrrlar.

3-10 Birbiri ardna baarsz girme denemesinden sonra sesli mesaj kutularnn kapatlmas
Kural: Pepee belirli bir sayda baarsz girme denemesi olduunda sesli mesaj hesaplarn kilitleyecek ekilde irket telefon sisteminin programlanmas. Aklamalar/Notlar: Telekomnikasyon yneticisi ard ardna be baarsz giri denemesinden sonra sesli mesaj kutusunu kapatmaldr. Ynetici daha sonra kilitli sesli mesaj kutularn tek tek kendisi amaldr.

irket Bilgi Gvenlii Kurallar nerileri 3-11 Smrlandmlm dahil telefonlar

259

Kural: ou zaman dardan gelen aramalar kabul etmeyen blm ve i gruplarna ait tm dahil telefonlar (yardm masas, bilgisayar odas, alan teknik destek vb.) yalnzca dier dahil telefonlarn ulaabilecei ekilde programlanmaldr. Dier bir seenek ise parola korumal olmas ve dardan arayan alanlarn doru parolay girmeleridir. Aklamalar/Notlar: Her ne kadar bu kural amatr toplum mhendislerinin ou giriimlerini nleyebilse de, kararl bir toplum mhendisinin bazen bir alan snrl bir hatt aramaya ve kar taraftan saldrgan geri aramaya ya da yalnzca snrl hatt bir toplu grme oluturmaya ikna edebilecei de unutulmamaldr. Saldrgana yardmc olacak ekilde alanlarn kandrlmas yntemi bu taktiklerle ilgili bilinci artrmak amacyla gvenlik eitimleri srasnda tartlmaldr.

eitli
4-1 Personel kart tasarm

Kural: Personel kartlar uzaktan tannabilecek byk bir fotoraf ierecek ekilde tasarlanmaldr. Aklamalar/Notlar: Sradan tasarml irket kimlik kartlarndaki fotoraflar ie yaramazdan bir gmlek stndr. Binaya giren biriyle, kimlik kontrolne yetkili bir gvenlik ya da danma grevlisi arasndaki uzaklk o kadar fazladr ki, kii yryp geerken, resim, seilemeyecek kadar kk kalr. Byle bir durumda fotorafn ie yarayabilmesi iin kartn yeniden tasarlanmas arttr. 4-2 K o n u m ya da sorumluluk deitirirken eriim

haklarnn gzden geirilmesi


Kural: Ne zaman bir irket alannn konumu deiir ya da sorumluluklar azalr veya oalrsa, alann yneticisi, gerekli gvenlik profilinin oluturulmas iin deiimden B'y haberdar eder. Aklamalar/Noiar: alanlarn eriim yetkilerinin ynetimi, korunmas gereken bilgilerin aa kmasn kstlamak iin arttr. En dk yetki kural geerli olacaktr: Kullanclara verilen eriim yetkileri ilerini yapmalarnda gerekli olan en dk seviye olacaktr. Ykseltilmi eriim yetkileriyle sonulanan deiim talepleri ykseltilmi eriim yetkileri veren bir kuralla balantl olmaldr. Hesap sahibinin eriim yetkilerini ihtiya dorultusunda ayarlamalar iin B birimine haber verme sorumluluu, alann yneticisinin ya da insan kaynaklan blmnndr.

260

Aldatma Sanat

4-3 irket alan o l m a y a n l a r iin zel kimlik Kural: irketiniz, dzenli olarak ieride ii olan ama irket alan olmayan kiiler ve gvenilir kuryeler iin zel fotorafl irket kart karmaldr. . , . Aklamalar/Notlar: Dzenli olarak binaya girmesi gereken irket d kiiler (rnein, kafeteryaya yiyecek ve iecek getirenler, fotokopi makinas tamircileri ya da telefon balamaya gelenler) irketiniz iin bir tehdit oluturabilirler. Bu ziyaretilere kart karmaya ek olarak irketlerin, alanlarna kartsz bir ziyareti grdklerinde nasl davranmalar gerektii konusunda da eitim verilmelidir. 4-4 Taeronlarn bilgisayar hesaplarn k a p a t m a k Kural: Kendisine bir bilgisayar hesab alm bir taeron iini bitirdikten ya da szlemesi sona erdikten sonra, sorumlu ynetici derhal bilgi teknolojileri blmn haberdar ederek uzaktan eriim iin telefon balants ya da internet eriimleri ve veritaban eriim hesaplan da dahil olmak zere taeronun bilgisayar hesaplarn kapattracaktr. Aklamalar/Notlar: Bir alann iine son verildiinde verilere ulamak iin irket sistemleri ve sreleri bilgisini kullanma tehlikesi vardr. Eski alann kulland ya da bildii tm bilgisayar hesaplar hemen kapatlmaldr. Bu hesaplarn arasnda retim veri tabanna eriim, uzaktan balant ve bilgisayar balantl donanmlara eriim iin kullanlan dier hesaplar da bulunmaldr. 4-5 Olay b i l d i r m e merkezi Kural: Bir olay bildirme merkezi kurulmal ya da daha kk irketlerde, olas gvenlik olaylarna ynelik uyarlar alp duyuracak bir olay bildirme sorumlusu ve yardmcs seilmelidir. Aklamalar/Notlar: pheli gvenlik olaylarnn bildirilmesi ilevini merkezletirerek daha nce fark edilemeyecek trden bir saldrnn fark edilmesi salanabilir. irket apnda dzenli saldrlar grlr ve bunlar bildirilirse olay bildirme merkezi saldrgann neyi hedeflediini bulabilir; bylece ilgili varlklar korumak iin zel bir aba harcanabilir. Olay raporlarn almakla grevlendirilmi alanlar toplum mhendislii yntem ve taktiklerine aina olmaldrlar. Bylece raporlar deerlendirip, devam eden olan bir saldry grebilirler. 4-6 Olay b i l d i r m e hatts Kural: Olay bildirme merkezine hatrlamas kolay bir dahil numaras olan bir hat alabilir. Aklamalar/Notlar: alanlar bir toplum mhendislii saldrsnn hedefi olduklarndan phelendiklerinde hemen olay bildirme merkezini

irket Bilgi Gvenlii Kurallar nerileri

261

haberdar edebilmelidirler. Haberin zamannda verilebilmesi iin ilgili numara, tm irket telefon santral memurlarnn ve danma grevlilerinin nlerinde asl olmal ya da rahat ulaabilecekleri bir yerde durmaldr. irket apnda bir erken uyar sistemi, srmekte olan bir saldry tespit edip karlk vermeye byk lde yardmc olabilir. Yazl tzkler uyarnca, olay bildirme merkezi grevlileri, personelin dikkatli olmas iin bir saldrnn sz konusu olduu dorultusunda hemen hedeflenen gruplara uyar gnderirler. Uyarnn zamannda yaplabilmesi iin merkez numarasnn irket bnyesinde herkese datlm olmas gerekir. 4-7 Hassas alanlar kapatlmaldr Kural: Bir gvenlik grevlisi hassas ya da gvenli alanlar gzetim altnda tutacak ve bu alanlara giri iki kademeli tantm gerektirecektir. Aklamalar/Notlar: Kabul edilebilir tantm ekillerinden biri alann kartn geirip bir eriim ifresi girmesinin istendii dijital elektronik kilittir. Hassas blgeleri gvenlik altna almann en emin yolu, kapya kartl girii gzetleyecek bir gvenlik grevlisi yerletirmektir. Bunun ok maliyetli olduu kurulularda kimlik kontrol iin iki kademeli tantm kullanlmaldr. Riske ve maliyete gre biyometrik zellikli bir giri kart da nerilir. 4-8 A ve telefon kutular Kural: A kablolar, telefon kablolar ya da a eriim noktalar bulunan kutular, dolaplar ya da odalar her zaman kapal tutulmaldr. Akiamalar/Motlar: Yalnzca yetkili personelin telefon ve a kutularna, odalara ve dolaplara eriimine izin verilmelidir. Dardan gelen onarm grevlileri ya da satc firma sorumlularnn kimlikleri bilgi gvenliinden sorumlu blmn kard sreler kullanlarak, kuku brakmayacak biimde kontrol edilmelidirler. Telefon hatlarna, a balant noktalarna, dmelere, kprlere ya da dier ilgili cihazlara eriim olmas, bilgisayar ve a gvenliini krmak isteyen bir saldrgan tarafndan kullanlabilir.

4-9 irket ii posta kutu!an


Kural: irket ii posta kutular herkese ak yerlere konmamaldr. Aklamalar/Notlar: irket ii posta alm noktalarna eriimi olan sanayi casuslar ya da bilgisayar krclar, alanlar gizli bilgi vermeye ya da saldrgana yardmc olacak bir ilem yapmaya yetkilendiren sahte yetki mektuplarn ya da dahil formlar rahatlkla gnderebilirler. Ayrca saldrgan, iinde bir yazlm gncellemesi ykleme ya da saldrgann amalar dorultusunda yerletirilmi makrolar ieren bir dosyay ama

262

Aldatma Sanat

talimatlar ieren bir disket ya da baka elektronik ortamlar gnderebilir. irket ii postayla gelen herhangi bir paketin, doal olarak, alclar tarafndan gvenilir olduunu varsaylr. 4-10 irket b l t e n panosu Kural: irket alanlar yararna olan blten panolar dardan gelenlerin eriebilecei yerlere almamaldrlar. Aklamalar/Notlar: Pek ok iletmede, herkesin okuyabilmesi iin irkete ya da alana ait zel bilgilerin asld blten panolar bulunur. alan haberleri, alan listeleri, dahil mektuplar, ilanlarda ad geen alanlarn ev telefon numaralan ve dier benzeri bilgiler panoya aslrlar. Blten panolar, ziyaretilerin giremeyecei irket kafeteryalarnn yaknlarna, sigara ve kahve molas kelerine yerletirilebilir. Bu tarz bilgiler ziyaretilerin ya da gelip geenlerin ulaabilecei yerlerde bulunmamaldr. 4-11 Bilgisayar merkezi girii Kural: Bilgisayar odas ya da veri merkezi her zaman kilitli tutulmal ve alanlarn ieri girerken kimlik gstermeleri zorunlu olmaldr. Aklamalar/Notlar: irket gvenlii, tm girilerin elektronik olarak kaytlarnn tutulabilmesi ve denetlenebilmesi iin elektronik kart ya da kart okuyucu kullanma seeneini de deerlendirmelidir. 4-12 Hizmet salayciardaki mteri h e s a p l a n Kural: irkete nemli hizmetler salayan satclara sipari veren irket alanlar yetkisiz kiilerin irket adna sipari vermelerini nlemek iin parolal bir hesap amaldrlar. Aklamalar/Notlar: Siparile alan irketler ve pek ok baka firma, mterilerinin parola koymalarna izin verirler. irket ise ie uygun hizmet alabilmek iin tm satclarnda parola oluturmaldr. Bu kural zellikle telekomnikasyon ve internet hizmetleri iin nemlidir. Kritik hizmetlerin etkilendii durumlarda, arayann sipari vermek iin yetkili olup olmadn kontrol etmek iin ortak bir bilgi kullanlmas arttr. Sosyal gvenlik numaras, irket vergi numaras, annenin kzlk soyad ya da benzeri tanmlayc bilgilerin kullanlmamas gerektii de unutulmamaldr. Bir toplum mhendisi, rnein telefon irketini arayp modem hatlarna ynlendirme eklenmesi iin talimat verebilir ya da kullanclar ana bilgisayar arattrdklarnda sahte bir P numaras vermek iin eviri bilgilerinin deitirilmesini internet Hizmet Salaycsndan isteyebilir.

irket Bilgi Gvenlii Kurallar nerileri

263

4-13 Blm balant sorumlusu


Kural: irketiniz, her blmden ya da i grubundan bir kiiye balant kurulacak kii sorumluluunu verdii bir program tesis edebilir. Bylece herhangi bir alan, o blmden olduunu iddia eden bilinmeyen kiilerin gerekliini kolaylkla dorulayabilir. rnein, yardm masas destek isteyen bir alann kimliini onaylatmak iin ilgili blmn balant kiisini arayabilir. Aklamalar/Notlar: Kimliin bu yntemle tespiti, bu tarz alanlar parolalar yenilemek ya da bilgisayar hesabyla ilikili konularda destek almak istediinde kendi blmnden dier alanlara kefil olacak alan saysn da azaltr. Toplum mhendislii saldrlarnn baarl olmalarnn bir nedeni de teknik destek alanlarnn yeterli zamanlarnn olmamas ve istek sahibinin kimlik tespitini doru bir yntemle yapmamalardr. Balant kiisinin kefil olmas, teknik destek ekibinin onay amacyla ahsen grmeleri gereken kii saysn azaltr.

4-14 Mteri parolalar


Kural: Mteri hizmet temsilcilerinin mteri hesap parolalarn alma yetkilen olmayacaktr. Aklamalar/Notlar: Toplum mhendisleri sk sk mteri hizmetlerini arayp parola ya da Sosyal Gvenlik Numaras gibi mteri tanmlama bilgilerini elde etmeye alrlar. Bir toplum mhendisi bu bilgiyi kullanarak baka bir mteri temsilcisini arayp, mteri gibi davranp bilgi elde etmeye ya da sahte sipariler vermeye alabilir. Bu denemelerin baarya ulamasn engellemek iin mteri hizmet yazlm yalnzca arayann verdii tanmlama bilgilerinin girilebilecei ekilde tasarlanmaldr ve temsilci, sistemden sadece parolann doru olup olmadn syleyen bir mesaj almaldr.

4-15 Aklk testleri


Kural: Gvenlik bilinlendirme ve alan intibak eitimleri srasnda gvenlik aklarn test etmek iin irketin toplum mhendislii taktikleri kullanacan bildirilmesi gerekmektedir. Aklamalar/Notlar: Toplum mhendislii delme testleri nceden bildirilmeden yaplrsa dier alanlarn ya da testi yapan irket elemanlarnn kendilerine kar aldatc taktikler kullanmas nedeniyle irket alanlarnda fke, utanma ya da baka duygusal sarsntlar oluabilir. 4-16 irket Gizli b i l g i l e r i n i n gsterilmesi Kural: Halka aklanmas dnlmeyen irket bilgileri herkesin grebilecei yerlere almamaldr.

264

Aldatma Sanat

AkSamalar/Notiar: Gizli rn ya da sre bilgilerine ek olarak, dahil telefon numaralar veya alan listeleri gibi listeler ya da her blmn yneticilerinin listesini ieren bina grev izelgeleri gibi dahil iletiim bilgilerinin de gzlerden uzak tutulmalar gerekmektedir. 4-17 Gvenlik bilinlendirme eitimi Kural: irketin tm alanlar, alan intibak eitimleri srasnda bir gvenlik bilinlendirme eitimini de tamamlamaldrlar. Dahas, her alan, on iki ay gememek kouluyla gvenlik eitimlerini yrten blmn belirledii dzenli aralklarla gvenlik bilincini tazeleme eitimleri almaldr. Aklamalar/Notlar: Pek ok kurulu u kullanc bilinlendirme eitimini tamamen gz ard eder. 2001 Kresel Bilgi Gvenlii Aratrmas'na gre, aratrmaya katlan kurulularn yalnzca yzde 30'u kullanclara ynelik bilinlendirme eitimlerine para ayrmaktadr. Bilinlendirme eitimi toplum mhendislii teknikleri kullanlarak baarya ulaabilen gvenlik ihlallerinin saysn azaltmaya ynelik nemli bir gerekliliktir. 4-18 Bilgisayar eriimi iin gvenlik eitimi dersleri Kural: alanlar herhangi bir irkette, bilgisayar sistemine eriim hakk elde etmeden nce bilgi gvenlii derslerini baaryla ta'mamlam olmaldrlar. Aklamalar/Notlar: Toplum mhendisleri sk sk yeni ie girenleri hedef alrlar ve onlarn gurup olarak irketin gvenlik kurallarn, veri snflandrma ve hassas bilgilerin kullanmna ynelik doru sreleri bilme olaslklarnn dk olduunu bilirler. Eitim, alanlarn gvenlik kurallaryla ilgili olarak sorular sormalarna da olanak tanmaldr. Eitimin ardndan hesap sahibinin gvenlik kurallarn anladn ve kurallara uyacan taahht eden bir belge imzalamas zorunlu olmaldr. 4-19 alan kart renkli baskl olmaldr Kural: Kimlik kartlar, kart sahibinin alan, taeron, geici satc, danman, ziyareti ya da stajyer olduunu gsterecek ekilde renklendirilmi olmaldr. Ak!ama!ar/Notlar: Kart rengi, kiinin konumunu uzaktan anlamak iin ok iyi bir yoldur. Dier bir seenek ise kart sahibinin konumunu belirtmek iin iri harfler kullanlmasdr, ancak renkli bir tasarm olmas hataya mahal vermez ve grmesi daha kolaydr. Binann iine girebilmek iin toplum mhendislerinin ska kullandklar bir yntem ise kurye ya da tamirci klna girmektir. eri girebildikten sonra saldrgan baka bir alan olarak davranabilir ya da hibi'

irket Bilgi Gvenlii Kurallar nerileri

265

eyin farknda olmayan alanlarn ibirliini elde etmek iin unvanyla ilgili yalan syleyebilir. rnein, binaya telefon tamircisi olarak giren bir kii bir alan gibi davranamaz, nk kartnn rengi onu ele verir.

Bilgi lem Teknolojileri Kurallar


Herhangi bir irketin bilgi ilem teknolojileri blm kuruluun bilgi varlklarn korumada yardmc olmas iin kurallara zel bir gereksinim duymaktadr. Bir kurulutaki B ilemlerinin zgn yapsn yanstabilmek amacyla, B kurallarn Genel, Yardm Masas, Bilgisayar Ynetimi ve Bilgisayar ilemleri olarak bldm.

5-1 B blm alan iletiim bilgiler:


Kural: B blm alanlarnn telefon numaralan ve e-posta adresleri, bilme gerei olmayan herhangi birine verilmemelidir. Aklamalar/Notlar: Bu kuraln amac, iletiim bilgilerinin toplum mhendisleri tarafndan ele geirilmesini engellemektir. B iin yanzca genel bir iletiim numaras ya da e-posta adresi verilerek dardan arayanlarn B blm alanlarna dorudan ulamas engellenecektir. Site yneticisinin ve teknik hizmetlerin e-posta adresi yalnzca admin@companyname.com gibi gene! adlardan olumaldr. Verilen telefon numaralan bireysel alanlara deil, blmn sesli mesaj kutusuna balanmaldrlar. Dorudan iletiim bilgileri herkese ak olduu zaman bir bilgisayar krcsnn belirli B alanlarna ulamas ve bir saldrda kullanlabilecek bilgileri ya da B alan gibi davranmak amacyla adlarn ve iletiim bilgilerini vermeleri iin onlar kandrmas kolaylaacaktr.

5-2 Teknik destek talepleri


Kural: Tm teknik destek talepleri bu tarz talepleri deerlendiren gruba ynlendirilmelidir. Aklamalar/Motiar: Toplum mhendisleri, genel olarak teknik destek konularyla ilgilenmeyen ve bu tarz isteklere yant verebilmek iin uygun gvenlik srelerinin farknda olmayan B alanlarn aramay deneyebilirler. Buna gre B alanlar bu istekleri geri evirmek ve arayan destek vermekle ykml gruba ynlendirmek zere eitilmelidirler.

Yardm Masas .
6-1 Uzaktan eriim sreleri

....

Kural: Yardm masas alanlar, haric a eriim noktalan ya da

266

Aldatma Sanat

balant numaralar da aralarnda olmak zere uzaktan eriimle ilgili bilgileri ve ayrntlar aklamamaldrlar. Ancak, istek sahibi aadaki koullardan birine uyuyorsa durum deiebilir: Dahil bilgi alabileceine dair yetkili olduunun onaylanm
olmas. . , .'.

Haric bir kullanc olarak irket ana balanmaya yetkili olduunun onaylanm olmas. Kii ahsen tannmad srece bu blmde anlatlan Onay ve Yetkilendirme Srelerine uygun olarak istek sahibinin kimlik tespiti kuku brakmayacak ekilde : yaplmaldr.

Aklamaiar/Notlar: Hem ileri bilgisayarla ilgili konularda kullanclara destek vermek olduu, hem de arttrlm sistem yetkileri olduu iin irket yardm masas sk sk toplum mhendisinin balca hedefi olur. Tm yardm masas alanlar, irket kaynaklarna yetkisiz kiilerin ulamasna yol aabilecek yetkisiz bilgi aktarmlarn engelleyen bir insan gvenlik duvar olacak ekilde yetitirilmelidirler. En basit kural, kimlik tespitinin sonucu olumlu kmadan hibir zaman uzaktan eriim srelerini kimseye aklamamaktr.

6-2 Parolalar ilk duruma dndrmek


Kural: Bir kullanc hesabna ait parola yalnzca hesap sahibinin istei dorultusunda yenilenebilir. Aklamalar/Notlar: Toplum mhendisleri tarafndan en sk oynanan oyun, baka birinin hesabnn parolasn ilk duruma dndrtmek ya da deitirtmektir. Saldrgan, parolasn unutmu ya da kaybetmi bir alan gibi davranr. Bu tarz bir saldrnn baar ansn azaltabilmek iin, parolay ilk durumuna dndrmeye ynelik bir talep geldiinde B alan herhangi bir ilem yapmadan nce talebi veren alan geri aramaldr ve bu arama iin alan telefon rehberindeki numaray kullanmaldr. Bu srele ilgili olarak Onay ve Yetkilendirme Srelerine baknz.

6-3 Yetkilerin deiimi


Kural: Bir kullancnn yetkilerini ya da eriim haklarn artrmaya ynelik tm talepler hesap sahibinin yneticisi tarafndan yazl olarak onaylanm olmaldr. Ayrca bu tarz taleplerin Onay ve Yetkilendirme Srelerine uygun olarak geerlilikleri onaylanmaldr. Aklamalar/Notlar: Bir bilgisayar krcs standart bir kullanc hesabna girdikten sonra bir sonraki adm saldrgann tm sistem zerinde tam kontrol salamas iin yetkilerini artrmas olur. Yetkilendirme sreciyle ilgili bilgisi olan bir saldrgan e-postayla, faksla ya da telefonla, yetkili gibi grnen bir talepte bulunabilir. rnein, saldrgan teknik destek ya da yardm masasn arayp girebildii hesa-

irket Bilgi Gvenlii Kurallar nerileri

267

ba ek eriim haklar alabilmek iin bir teknisyeni ikna etmeye alabilir. 6-4 Yeni hesap yetkisi Kural: alanlar, taeronlar ya da dier yetkili kiilerin kullanm iin alacak yeni hesap talepleri alann yneticisi tarafndan imzalanm yazl bir belgeyle ya da dijital olarak imzalanm elektronik postayla yaplmaldr. Bu istekler irket ii posta araclyla teyit edilmelidir. Aklamalar/Notlar: Parolalar ve dier bilgiler bilgisayar sistemlerine girmek iin faydal olduklarndan, bilgi hrszlarnn eriim salamada kullandklar en ncelikli hedeflerdir ve zel nlemler alnmas arttr. Bu kuraln amac bilgisayar krclarnn yetkili personel gibi davranmasn ya da yeni hesap taleplerinin sahtesini oluturmasn nlemek iindir. Bu nedenle tm bu tarz istekler Onay ve Yetkilendirme Sreleri kullanlarak phe kalmayacak biimde onaylanmaldrlar.

6-5 Yeni parolalarn teslimi


Kural: Yeni parolalar irket gizli bilgileri olarak ele alnmal ve ahsen, taahhtl posta gibi imzal teslimatla ya da gvenilir kargo irketleri gibi gvenli yntemler kullanarak teslim edilmelidirler (bkz. gizli bilgilerin datm ile ilgili kurallar). Aklamalar/Notlar: irket ii posta da kullanlabilir, ancak parolalarn, ieriini gstermeyen gvenli zarflarda gnderilmesi gerekir. nerilen bir yntem de her blmden bir bilgisayar iletiim sorumlusu belirlemektir. Bu kii yeni hesap ayrntlarnn datmndan ve parolalarn kaybeden ya da unutan alanlara kefil olmaktan sorumludur. Bu durumda, destek personeli her zaman ahsen tand kk bir gurupla birlikte alyor olacaktr. 6-6 Bir hesabn kapatlmas Kural: Bir kullanc hesabn kapatmadan nce talebin yetkili birinden geldiinin dorulanmas gerekmektedir. Aklamalar/Notlar: Bu kuraln amac, saldrgann bir hesabn kapatlmasn isteyip sonra da kullancnn bilgisayar sistemine eriememesi sorununu zmeye alyor numaras yapmas engellemek iindir. Toplum mhendisi kullancnn sisteme girememesiyle ilgili nceden bilgisi olan bir teknisyen gibi davranarak kurban aradnda, kurban, yaplan kontroller srasnda parolas istendiinde ou zaman bu bilgiyi verir. 6-7 A balant noktalarnn ve aralarnn devre d

braklmas
Kural: Hibir alan kim olduunu bilmedikleri bir teknik destek alan iin herhangi bir a aracn ya da balant noktasn kapatmamaldr.

268

Aldatma Sanat

Aklamalar/Notlar: Bu kuraln amac, bir saldrgann bir a balantsnn kapatlmasn isteyip sonra da aa eriim sorununu zmek iin alan aramasn engellemektir. Yardmsever bir teknisyen klndaki toplum mhendisi, kullancnn a sorununa ilikin n bilgisi varm gibi davrandnda, kurban, yaplan kontroller srasnda parolas istendiinde ou zaman bu bilgiyi verir. 6-8 Telsiz eriimi srelerinin aklanmas Kural: Hibir alan telsiz ana balanmaya yetkili olmayan kimselere telsiz a zerinden irket ana balanma srelerini aklamamahdr. Aklamalar/Notlar: Telsiz eriim bilgilerini aklamadan nce kiinin harici kullanc olarak irket ana balanmaya yetkili olup olmad her zaman nceden kontrol edilmelidir (bkz. Onay ve Yetkilendirme Sreleri). 6-9 Kullanc gizlilii Kural: Bilgisayarla ilgili sorun olduunu bildiren alanlarn adlar bilgi ilem blm dndan kimseye aklanmamaldr. Aklamalar/Notlar: Sradan bir saldrda toplum mhendisi yardm masasn arar ve yakn zamanda bilgisayarlarnda sorun olduunu bildiren alanlarn adlarn ister. Arayan alan, taeron ya da telefon irketi eleman gibi davranabilir. Sorun olduunu syleyen kiilerin adlarn aldktan sonra toplum mhendisi yardm masas ya da teknik destek personeli gibi davranr ve alan arayarak sorunu zmek iin aradn syler. Arama srasnda saldrgan, kurban istedii bilgileri vermesi ya da saldrgan hedefine gtrecek bir ilem yapmas iin kandrr. 6-10 Komut g i r m e k ya da p r o g r a m altrmak Kural: Bi blmnde ayrcalkl hesaplan olan alanlar, ahsen tanmadklar birinin istei zerine herhangi bir komut ya da progam altrmamaldrlar. Aklamalar/Notlar: Saldrganlarn bir Truva At ya da baka bir kt huylu yazlm yklemek iin ska kullandklar bir yntem de var olan bir programn adn deitirmek ve sonra da yardm masasn arayarak program altrmaya urarken hata mesaj verdiini sylemektir. Saldrgan, yardm masas teknisyenini program altrmaya ikna eder. Teknisyen program altrdnda kt huylu yazlm altran kullancnn yetkilerini grr ve saldrgana ayn yetkilen verdii bir ilem gerekletirir. Bu, saldrgann irket sistemini ele geirmesini salar. Bu kural destek personelinin bir istee bal olarak herhangi bir program altrmadan nce alan konumunun dorulanmasn zorunlu tutarak yukarda bahsedilen taktie kar bir nlem getirmektedir.

irket Bilgi Gvenlii Kurallar nerileri

269

7-1 Genel eriim haklarnn deitirilmesi


Kural: Bir elektronik i profiliyle ilgili genei eriim haklarn deitirme talebi irket anda eriim haklarn yneten gurup tarafndan onaylanmaldr. Aklamalar/Notlar: Yetkililer her deiim talebinin bilgi gvenlii iin bir tehdit unsuru oluturup oluturmadn deerlendireceklerdir. Eer oluturuyorsa, sorumlu kii istek sahibini gerekli konularda uyaracak ve yaplacak deiiklikler konusunda ortak bir karara varacaklardr. 7-2 Uzaktan eriim talepleri Kural: Uzaktan bilgisayar eriimi yalnzca irket d noktalardan bilgisayar sistemlerine girme gereklilii olduunu gsteren alanlara verilecektir. Aklamalar/Notlar: Yetkili personel tarafndan irket ana dardan balanma ihtiyacna gre bu tarz eriimin yalnzca gerek duyanlara verilecek ekilde snrlandrlmas uzaktan eriimli kullanclarn ynetimini ve oluan riski byk lde azaltacaktr. Dardan balanma yetkileri olan kiilerin says ne kadar az olursa saldrgann hedef seenekleri de o kadar az olacaktr. Saldrgann irket ana girmek iin balantlarn almak ya da onlarn kimliine brnmek niyetiyle uzak kullanclar hedefleyebilecein'! hibir zaman unutmaynz.

7-3 Ayrcalkl hesap parolalarnn ilk duruma getirilmesi


Kural: Yetkili bir hesaba ait parolann ilk durumuna getirilmesi talebi, hesabn bulunduu bilgisayardan sorumlu sistem yneticisi tarafndan onaylanmaldr. Yeni parola, irket ii postayla gnderilmeli ya da ahsen iletilmelidir. Aklamalar/Notlar: Ayrcalkl hesaplarn tm sistem kaynaklarna ve bilgisayar sistemindeki dosyalara eriimi vardr. Doal olarak bu hesaplarda mmkn olan en gl koruma kullanlmaldr.

7-4 Dardan gelen destek personelinin uzaktan eriimi


Kural: Hibir dardan destek personeline (yazlm ya da donanm satan firmadan gelen personel gibi) ilgili hizmetleri vermeye yetkili olup olmadklar kontrol edilmeden ve kimlik tespiti yaplmadan irket bilgisayar sistemlerine ya da ilgili aralara uzaktan erime hakk ya da bilgisi verilmemelidir. Eer destek hizmeti vermek zere satc firma yetkili eriim talep ediyorsa, verilen hizmet sona erdiinde satc firmann kulland hesabn parolas zaman kaybetmeden deitirilmelidir. Aklamalar/Notlar: Bilgisayar krclar irket bilgisayar ya da telekomnikasyon ana girebilmek iin satcym gibi davranabilirler.

270

Aldatma Sanat

Bu nedenle sistemde herhangi bir i gerekletirme yetkilerinin yansra satcnn kimliinin de onaylanmas nemlidir. Ayrca i bittiinde satcnn kulland hesap parolas deitirilerek sistem kaplar kapatlmaldr. Hibir satc firmann geici olarak bile herhangi bir hesap iin kendi istedii parolay kullanmasna izin verilmemelidir. Baz satclarn farkl bilgisayar sistemlerinde ayn ya da benzer parolalar kullandklar bilinmektedir. rnein, bir a gvenlik irketi tm mteri bilgisayar sistemlerindeki hesaplarna ayn parola ile erimektedir ve stne stlk darya Telnet eriimine de izin verilmitir.

7-5 irket sistemlerine uzaktan eriim iin gl tanmlama


Kural: irket ana uzaktan eriim iin kullanlan tm balant noktalar deiken parolalar ya da biyometrikler gibi gl tanmlama aralaryla korunmaldrlar. Aiklamaiar/Notlar: Pek ok iletme, uzak kullanclar tanmlamann tek yolu olarak sabit parolalara gvenirler. Bu uygulama sakncaldr nk gvensizdir. Bilgisayar krclar kurbann anda olas en zayf balanty oluturabilecek uzaktan eriim noktasn hedeflerler. Baka birinin parolanz renip renmediini hibir zaman bilemezsiniz. Bu nedenle uzaktan eriim noktalar, zaman tabanl anahtarlar, akll kartlar ya da biyometrik aralar gibi gl tanmlama aralaryla korunmaldr, bylece araya girerek alnm parolalarn saldrgan iin hibir deeri olmaz. Deiken parolalara dayal tanmlamalar kullansz olduklarndan, bilgisayar kullanclar, tahmin edilmesi zor parola seme kuralna sadakatle uymaldrlar. 7-6 letim sistemi ayarlar! Kural: Sistem yneticileri mmkn olan her noktada iletim sistemlerinin tm geerli gvenlik kural ve sreleriyle tutarl bir ekilde ayarlanm olduundan emin olmaldrlar. Aklamalar/Notlar: Gvenlik kurallarn hazrlamak ve datmak tehlikeyi azaltmaya ynelik nemli bir admdr ama ou durumda uyup uymamak ister istemez bireysel alana kalmtr. Ancak bilgisayarla ilgili birok kural, parolalarn sahip olmas gereken uzunluk gibi, iletirr sistemi ayarlar sayesinde zorunlu duruma getirilebilir. Gvenlik kuralarn iletim sistemi zelliklerini ayarlayarak otomatikletirmek, kararla" etkili bir ekilde insan unsurunun elinden alp kuruluun genel gvenli ni artrmaktadr.

irket Bilgi Gvenlii Kurallar nerileri

271

7-7 Zorunlu sre am


Kural: Tm bilgisayar hesaplar bir yl ierisinde kapanmaya ayarlanmaldr. Aklamalar/Notlar: Bu kuraln amac, bilgisayar krclar sk sk, kullanlmayan hesaplar hedefledikleri iin, artk kullanlmayan bilgisayar hesaplarn ortadan kaldrmaktr. Bu sre eski alanlara ya da taeronlara ait ve kazara olduu gibi braklm herhangi bir bilgisayar hesabnn otomatik olarak kaldrlacan garantiler. . Ynetimin takdirine bal olarak yenileme zamannda alanlarn gvenlik tazeleme eitimi almalar ya da bilgi gvenlik kurallarn gzden geirip bunlara uyacaklarna dair bir taahhtname imzalamalar zorunlu tutulabilir. 7-8 Genel e-posta adresleri Kural: B blm daryla srekli iletiimi olan her blm iin genel bir e-posta adresi oluturacaktr. Ak!amalar/Notlar: Genel e-posta adresi santral memurlar tarafndan ya da irketin internet sitesi araclyla darya verilebilir. Bylece her alan kendi ahs e-posta adresini yalnzca bilmesi gereken kiilere verecektir. Bir toplum mhendislii saldrsnn ilk aamasnda saldrgan genellikle alanlarn telefon numaralarn, adlarn ve unvanlarn renmeye alr. ou zaman bu bilgi irket internet sitesinde bulunabilir ya da istendiinde herkese verilebilir. Genel sesli mesaj kutularnn ve/veya e-posta adreslerinin yaratlmas alan adlarnn belirli blmler ya da sorumluluklarla badatrlmasn zorlatrmaktadr.

7-9 Alan tescilleri iin iletiim bilgileri


Kural: internet adres alanlar ya da alan adlar almak iin kayt olurken salanan iletiim bilgileri idar, teknik ya da dier alanlarn bireysel olarak adlarn vermemelidir. Onun yerine oraya genel bir e-posta adresi ve ana irket telefon numaras girilmelidir. Aklamalar/Notlar: Bu kuraln amac iletiim bilgilerinin bilgisayar krcs tarafndan ktye kullanlmasn nlemektir. Bireylerin adlar ve telefon numaralar verildiinde bir saldrgan bu bilgileri kullanarak kiilerle balant kurabilir ve onlar sistem bilgileri vermeleri ya da saldrgann amacna uyan bir ilem yapmalar dorultusunda kandrabilir. Toplum mhendisi dier irket alanlarn kandrabilmek iin ad geen alanlardan biri gibi davranabilir. Belirli bir alann e-posta adresi yerine, iletiim bilgisi administrator@company.com eklinde olmaldr. Telekomnikasyon blm alanlar, idar ve teknik iletiim iin genel bir sesli mesaj kutusu olu-

272

Aldatma Sanat

turarak bir toplum mhendislii saldrsnda ie yarayabilecek bilgilerin gizliliini korumu olurlar. 7 - 1 0 Gveniik ve iletim sistemi gncellemelerinin yklenmesi Kural: iletim sistemi ve uygulama yazlmlarna ynelik tm gvenlik yamalan, ktklar zaman en ksa srede yklenmelidirler. Eer bu kural grev-kritik retim sistemlerinin ileyiiyle atyorsa bu tarz gncellemeler uygun olduklar zaman yaplmaldrlar. Aklamaar/Motlar: Bir ak grldnde bir yamann ya da geici bir zmn var olup olmadn renmek iin yazlm reticisi zaman kaybetmeden aranmaldr. Yamalanmam bir bilgisayar sistemi kuruma en byk gvenlik tehditlerinden birini oluturur. Sistem yneticileri gerekli zmleri uygulamay geciktirirlerse pencere o kadar alr ki saldrgan trmanp ieri girebilir. Bulunan dzinelerce gvenlik a haftalk olarak internette yaynlanmaktadr. Bilgi ilem alanlar mmkn olan en ksa srede gvenlik yamalarn ve zmlerini ykleme abalan konusunda uyank davranana kadar, irket a hep bir gvenlik ihlali yaama tehlikesiyle kar karya kalacaktr. letmede kullanlan uygulama programlan ve iletim sisteminin zayflklaryla ilgili yaplan aklamalardan haberdar olmak olduka nemlidir. 7-11 nternet sayfalarndaki iletiim bilgileri Kura!: irketin haric internet sayfas, irket yaps ile ilgili hibir bilgi vermemeli ya da alanlar isim isim gstermemelidir. Aklamalar/Notlar: Kurulu emalar, hiyerari emalar, alan ya da blm listeleri, raporlama yaps, adlar, unvanlar, dahili telefon numaralar, alan numaralan ya da irket yapsna ynelik benzeri bilgiler internet sayfalarnda genel eriime ak olmamaldrlar. Bilgisayar krclar, yararl bilgileri sk sk hedefin internet sayfasndan bulurlar. Saldrgan, evirdii bir dolapta konuya hakim bir alan gibi grnmek iin bu bilgiyi kullanr. Elinde bu bilgi varken toplum mhendisinin inandrc olma olasl daha fazladr. Dahas, saldrgan, bu bilgiyi inceleyerek deerli, hassas ya da nemli bilgilere eriimi olabilecek hedefleri bulabilir. 7-12 Ayrcalkl hesaplarn oluturulmas Kural: Sistem yneticisi tarafndan onaylanmad srece hibir ayrcalkl hesap almamal ya da herhangi bir hesabn sistem yetkileri artrlmamahdr. Aklamalar/Notlar. Bilgisayar krclar sk sk donanm ya da yazlm satcs firma yetkilisi gibi davranarak teknik personeli onaylan-

irket Bilgi Gvenlii Kurallar nerileri

273

mam hesaplar amalar dorultusunda kandrmaya alabilirler. Bu kuraln amac, ayrcalkl hesaplarn oluurulmas zerine daha byk bir denetim getirerek bu saldrlar engellemektir. Yksek yetkilerle donatlm bir hesap ama talebini sistem yneticisi onaylam olmaldr. 7-13 Misafir hesaplar Kural: Herhangi bir bilgisayar sisteminde ya da ilgili a aralarnda bulunan misafir hesaplar, ynetimin onaylad adsz eriimli FTP (dosya aktarm protokol) sunucusu hari, devre d braklmal ya da kaldrlmaldr. Aklamalar/Notlar: Misafir hesabn amac kendilerine ait bir hesap almasna gerek olmayan kiilere geici eriim salamaktr. Pek ok iletim sistemi misafir hesaplar alm olarak gelir. Misafir hesaplar her zaman devre d braklmaldr, nk varlklar kullanc sorumluluu ilkesine aykrdr. B tm bilgisayarlardaki faaliyeti denetleyebilmen ve onlar belirli bir kullancyla badatrabilmelidir. Toplum mhendisleri ya dorudan kullanp ya da yetkili personeli bir misafir hesab kullanmaya ikna edip yetkisiz eriim salamak iin misafir hesaplarndan kolaylkla yararlanrlar.

7-14 irket dnda tutulan yedeklerin irelenmesi


Kural: irket dnda tutulan herhangi bir veri yetkisiz eriimi engellemek iin ifrelenmelidir. Aklamalar/Kurallar: Herhangi bir bilginin yeniden yerine koyulmas gerektii durumlarda sorumlular tm bilgilerin geri getirilebileceinden emin olmaldrlar. Bu da, verilerin geri getirilebileceinden emin olmak iin dzenli olarak ifreli dosyalardan rastgele bir rnekleme deneme deifrelemesi yaplmasn gerektirir. Ayrca verileri ifrelemek iin kullanlan anahtar kaybolma ya da bulunamama olaslna kar gvenilir bir yneticiye emanet edilmelidir.

7-15 balantlarna ziyareti eriimi


Kural: Herkese ak tm ethemet eriim noktalan dahili aa yetkisiz ulam engellemek iin paral ada (segmented network) bulundurulmaldr. Aklamalar/Notlar: Bu kuraln amac, dardan kiilerin irket alanna girdiklerinde dahil aa balanmalarn nlemektir. Konferans salonlarna, kafeteryaya, eitim merkezlerine ya da ziyaretilerin eriimi olabilecek baka yerlere yerletirilen ethernet girileri ziyaretilerin irket bilgisayar sistemlerine yetkisiz eriimini engellemek iin filtreienmelidir. A ya da gvenlik sorumlusu, bu noktalardan eriimi engelleyebilmek iin, eer varsa, sanal bir LAN anahtar oluturmay seebilir.

274

Aldatma Sanat

7-16 Balant modemleri


Kural: Aramalara ak balant modemleri drdnc altan nce almayacak ekilde ayarlanmaldrlar. Aklamalar/Notlar: Sava Oyunlar (War Games) adl filmde de anlatld gibi korsanlar modem bal telefon hatlarn bulmak iin sava aramas olarak bilinen bir teknik kullanrlar. Sre, saldrgann irketin bulunduu blgede kullanlan alan prefikslerini tanmlamas ile balar. Bu prefiksle balayan her numara, modem bal hatlar bulmak iin bir tarama programnn da yardmyla taranr. Sreci hzlandrmak iin bu programlar bir sonraki numaray denemeden nce modem yantn bir ya da iki al sresi kadar beklemek zere ayarlanmlardr. Bir irket modem hattnn otomatik yant seeneini en az drt al olarak ayarlarsa tarama programlar modemli hatlar bulamayacaklardr.

7-17 Virs koruma yazlmlar


Kural: Her bilgisayar sistemine virs koruma yazlmlarnn son srmleri yklenmeli ve altrlmaldr. Aklamalar/Notlar: Virs koruma yazlmlarn ve ablon dosyalarn (yeni virsleri bulmak iin virs yazlmlarna zg ablonlar tanyan programlar) kullanc bilgisayarlarna kadar otomatik olarak indirememi irketlerde bireysel kullanclar, yazlm, irket ana uzaktan erimek iin kullanlan bilgisayar sistemlerindekiler de dahil, kendi sistemlerine ykleme ve srekli gncelleme sorumluluunu almaldrlar. Eer uygunsa bu yazlm virs ve Truva At imzalar iin her gece otomatik olarak gncellenecek ekilde ayarlanmaldr. ablon ya da imza dosyalan kullanc bilgisayarlarna kadar indirilmezse, kullanclar en azndan haftada bir ablon dosyalarn gncelleme sorumluluunu tayacaklardr. Bu uygulamalar irket bilgisayar sistemlerine balanan tm masast ve dizst makinalar iin geerlidir ve bilgisayarn irkete ait ya da ahsa ait olup olmadna gre de deimez. 7-18 Gelen e-posta ekleri (yksek gvenlik gereksinimi) Kural: Yksek gvenlik ihtiyalar olan bir kuruluta irket gvenlik duvar tm e-posta eklerini eleyecek ekilde ayarlanmaldr. Aklamalar/Notlar: Bu kural yalnzca yksek gvenlik gereksinimleri olan ya da e-posta ekinde dosya almaya ihtiyac olmayan iletmeler iin geerlidir.

7-19 Yazlm onay


Kural: Tm yeni yazlmlar, yazlm zmleri ya da gncellemeleri, ister fiziksel ortamda olsun, ister internet zerinden elde edilmi olsun

J %

irket Bilgi Gvenlii Kurallar nerileri

275

f I js |
t>-

yklenmeden nce gvenilirlikleri dorulanmaldr. Bu kural, zellikle sistem yetkilen gerektiren yazlmlar yklenirken bilgi ilem blmn ilgilendirir. Aklamalar/Notlar: Bu kuralda sz edilen bilgisayar yazlmlar iletim sistemi paralarn, uygulamalar, yazlm zmlerini, yamalar ya da herhangi bir yazlm gncellemesini ierir. Pek ok yazlm reticisi, mterinin datmn ieriini genellikle bir dijital imza kullanarak kontrol edebilecei yntemler yerletirmilerdir, ieriin onaylanmad her durumda, yazlmn gvenilirliini dorulamak iin reticiye bavurulmaldr. Bilgisayar saldrganlarnn yazlm reticisinde yaplm ve irkete postalanm gibi grnen bir paketle kurbana yazlm gnderdii de bilinmektedir. Aldnz her yazlmn, zellikle de talep etmediiniz bir yazlmsa, irket sistemine yklemeden nce gvenilirliini dorulamanz nemlidir. Becerikli bir saldrgann kurumunuzun bir reticiden yazlm sipari ettiini renebileceini unutmayn. Elinde bu bilgi varken saldrgan, gerek reticiye verilen siparii iptal edebilir ve siparii kendi yerine getirebilir. O zaman yazlm, kt huylu bir ilev gerekletirmek zere deitirilmi olur ve irketinize asl paketinde, gerekirse vakumlanm olarak gnderilir. rn yklendikten sonra kontrol artk saldrgann eline geer.

7-20 Varsaylan parolalar


Kura!: Varsaylan bir parolaya sahip olan tm iletim sistemi yazlmlarnn ve donanmlarnn irket parola kurallar dorultusunda parolalar deitirilmelidir. Aklamalar/Notiar: Pek ok iletim sistemi ve bilgisayarla ilgili donanmlar varsaylan parolalarla gnderilirler; dier bir deyile satlan her para ayn parolaya sahiptir. Varsaylan parolalarn deitirilmesi konusunu ihmal etmek, irketi tehlikeye sokan ciddi bir hatadr. Varsaylan parolalar herkese bilinirler ve internet sayfalarnda bulunurlar. Bir saldr srasnda saldrgann denedii ilk parola, reticinin koyduu varsaylan paroladr.

7-21 Baarsz eriim denemeleri sonucu kilitlenme


(dk-orta dzey gvenlik) Kural: zellikle dk ve orta dzey gvenlik gereksinimleri olan bir kurumda ayn hesaba birbiri ardna belirli bir sayda girme giriimi olursa hesap bir sreliine kilitlenmelidir. Aklamalar/Notlar: Tm irket bilgisayarlar ve sunucularna birbiri ardna yaplan baarsz girme denemelerine bir snr getirilmelidir. Bu

276

Aldatma Sanat

kural deneme yanlmayla parola tahmini, szlk saldrs ya da kaba kuvvetle yetkisiz eriim salama yntemlerini engellemek iin gereklidir. Sistem yneticisi gvenlik ayarlarn, pepee baarsz balanma giriimi eiine gelindiinde hesab kilitleyecek ekilde yapmaldr. Yedi baarsz denemeden sonra bir hesabn en az otuz dakika boyunca kilitlenmesi nerilir. 7-22 Baarsz eriim g i r i i m l e r i sonucu hesabn

kapatlmas (yksek gvenlik)


Kural: Yksek gvenlik gereksinimleri olan bir kurumda ayn hesaba birbiri ardna belirli bir sayda baarsz girme giriimi olursa hesap, destei veren grup tarafndan dzeltilene kadar kapatlmaldr. AtkSamalar/Notlar: Tm irket bilgisayarlar ve sunucularna birbiri ardna yaplan baarsz girme denemelerine bir snr getirilmelidir. Bu kural deneme yanlmayla parola tahmini, szlk saldrs ya da kaba kuvvetle yetkisiz eriim salama yntemlerini engellemek iin gereklidir. Sistem yneticisi, gvenlik ayarlarn, be baarsz balanma giriiminden sonra hesab kapayacak ekilde yapmaldr. Byle bir saldrnn ardndan hesap sahibinin hesab atrmak iin teknik destek birimini ya da hesap desteinden sorumlu grubu aramas gerekir. Hesab yeniden devreye sokmadan nce ilgili birimin Onay ve Yetkilendirme Srelerine uygun olarak hesap sahibi iin kesinlikle bir kimlik tespiti yapmas arttr. 7-23 Ayrcalkl hesaplarn p a r o l a l a r n n dzenli o l a r a k deitirilmesi Kural: Tm ayrcalkl hesap sahiplerinin en ok otuz gnde bir parolalarn deitirmeleri zorunluluu getirilecektir. Aklamalar/Notlar: letim sistemi snrlamalarna bal olarak, sistem yneticisi sistem yazlmnn gvenlik zelliklerini ayarlayarak kullanclar bu kurala uymaya zorlayabilir. 7 - 2 4 Kullanc p a r o l a l a r n n dzenli o l a r a k d e i i m i Kurai: Tm hesap sahipleri en ok altm gnde bir parolalarn deitirmelidirler. Aklamalar/Notlar: Bu zellie sahip iletim sistemleri kullanarak, sistem yneticisi, yazlmn gvenlik zelliklerinin ayarlanmasyla kullanclar bu kurala uymaya zorlayabilir. 7-25 Yeni hesap parolas o l u t u r m a k Kural: Yeni bilgisayar hesaplar, sresi dolmu bir parolayla oluturulmal, bylece hesap sahibine ilk kullanm iin yeni bir parola belirleme zorunluluu getirilmelidir. ,

irket Bilgi Gvenlii Kurallar nerileri Aklamalar/Notlar: Bu zorunluluk kendi parolasn sahibinden baka kimsenin bilmemesini salar. 7-26 Al parolalar

277 hesap

Kural: Tm bilgisayar sistemleri alta parola isteyecek ekilde ayarlanmaldrlar. Aiklama!ar/Notlar: Bilgisayarlar aldklar zaman iletim sistemi yklenmeden nce parola soracak ekilde ayarlanmaldrlar. Bu, yetkisiz kimselerin baka birinin bilgisayarn ap kullanmasn engeller. Bu kural irket iindeki tm bilgisayarlar iin geerlidir. 7-27 Ayrcalkl hesaplar iin parola z o r u n l u l u k l a r Kural: Tm ayrcalkl hesaplarn gl parolalar olmaldr. Parola aadaki zelliklere uymaldr. Herhangi bir dildeki szlklerde bulunmamaldr. Byk ve kk harflerden olumal ve en az bir harf, bir simge ve bir say iermelidir. En az 12 karakter uzunluunda olmaldr. . "

irkete ya da bireye herhangi bir nedenle verilmemelidir.

Aklamalar/Notlar: ou durumda bilgisayar krclar sistem yetkileri elde etmek iin belirli hesaplar hedeflerler. Zaman zaman saldrgan, sistem zerinde tam kontrol salamak iin baka aklar da smrr. Saldrgann deneyecei ilk parolalar basit, szlkte bulunan sk kullanlan kelimeler olacaktr. Gl parolalarn seilmesi, bir saldrgann deneme yanlma, szlk saldrs ya da kaba kuvvet saldrs kullanarak parolay bulma olasln azaltr ve gvenlii artrr. 7-28 Telsiz eriim noktalar Kural: Bir telsiz ana eriimi olan tm kullanclar irket alarn korumak iin VPN (virtual private netvvork - sanal zel a) teknolojisi kullanmaldrlar. Aklamalar/Notlar: Telsiz alara, sava sr ad verilen yeni bir yntemle saldrlyor. Bu yntem 802.11B NIC kartyla donanm bir dizst bilgisayarla telsiz a bulana kadar yrmek ya da arabayla dolamaktan ibaret. Pek ok irket telsiz balantsn ifreleyerek gvence altna alan VVEP'i (vvireless equivalency protokol - telsiz denklik protokol) bile devreye sokmadan telsiz alarn kullanmaya baladlar. Ak olduu zaman bile VVEP'in geerli srm (2002'nin ortalarnda) yetersizdir.

278

Aldatma Sanat

Krlp ardna kadar almtr ve pek ok internet sitesi ak telsiz sistemlerini bulmak iin yntemler retmeye ve WEP zellii ak telsiz eriim noktalarn krmaya adanmtr. Bu yzden, VPN teknolojisi kullanarak 802.11 B protokolne ek bir koruma salanmas nemlidir.

7-29 Virs ablon dosyalarnn gncellenmesi


Kural: Her bilgisayar sistemi virs koruma yazlmlar iin virs/Truva At ablon dosyalarn otomatik olarak gncellemek zere programlanmaldr. . . . Asklamalar/Notlar: Bu tarz gncellemeler en azndan haftada bir yaplmaldr. alanlarn, bilgisayarlarn ak braktklar iletmelerde ablon dosyalarnn her gece gncellenmesi iddetle nerilir. Virs koruma yazlmlar yeni tr kt huylu yazlmlar grecek ekilde gncellenmezse etkisiz kalr. Desen dosyalar gncellenmediinde virs, solucan ve Truva At tehlikesi byk lde artt iin virs ya da kt huylu yazlm koruma rnlerinin gncel tutulmas nemlidir.

Bilgisayar lemleri

"

8-1 Komut girmek ve program altrmak


Kural: Bilgisayar ilemlerinden sorumlu personel, tanmadklar birinden gelen talep zerine komut girmemeli ve program altrmamaldr. Onaylanmam bir kiinin istekte bulunmak iin geerli bir nedeni varm gibi grnen durumlar ortaya karsa ncelikle yneticinin onay alnmadan bu istek yerine getirilmemelidir. Aklamalar/Notlar: Bilgisayar ilemleri alanlar, konumlar gerei ounlukla ayrcalkl hesap eriimleri olduu iin toplum mhendislerinin ok kulland hedefler arasndadrlar ve saldrgan onlarn dier Bi alanlarna gre irket sreleriyle ilgili olarak daha az bilgili ve daha az deneyimli olduklarn dnr. Bu kuraln amac, toplum mhendislerinin bilgisayar ilemleri alanlarn kandrmalarn nlemek amacyla uygun bir kontrol ve denge unsuru oluturmaktr. 8-2 Ayrcalkl hesabi o l a n alanlar Kural: Ayrcalkl hesaplan olan alanlar onaylanmam kiilere destek ve bilgi vermemelidirler. zellikle de bilgisayar yardm (bir uygulamann kullanm konusunda eitim gibi), herhangi bir irket veritabanna eriim, yazlm indirme ya da uzaktan eriim yeteneine sahip alanlarn adlarnn aklanmas gibi durumlar sz konusu olduunda bu geerlidir. Aklamalar/Notlar: Toplum mhendisleri ounlukla ayrcalkl

irket Bilgi Gvenlii Kurallar nerileri

279

hesaplan olan alanlar hedeflerler. Bu kuraln amac ayrcalkl hesaplara sahip B alanlarn toplum mhendislii saldrs olabilecek telefonlar baaryla ele almalar konusunda ynlendirmektir. 8-3 Dahil sistem bilgileri Kural: Bilgisayar ilemleri personeli, istek sahibine kimlik tespiti yapmadan, irket bilgisayar sistemleri ya da ilgili donanmlarla ilgili deerli bilgileri kesinlikle aklamamaldr. Aklamalar/Notlar: Bilgisayar krclar sistem eriim sreleri, haric uzaktan eriim noktalar ve telefon balant numaralar gibi, saldrgan iin nemli olabilecek deerli bilgileri elde edebilmek iin sk sk bilgisayar ilemleri personeliyle iletiim kurarlar. Teknik destek personeli ya da yardm masas olan irketlerde, bilgisayar sistemleri ya da ilgili donanma ynelik sorularn bilgisayar ilemleri personeline gelmesi olaand bir durum olarak grlmelidir. Herhangi bir veri talebi, irket veri snflandrma kurallar erevesinde istek sahibinin bu bilgiyi istemeye yetkili olup olmadn belirlemek zere incelenmelidir. Veri snfna karar verilemediinde bilgi dahil olarak deerlendirilmelidir. Baz durumlarda satc firmadan gelen teknik destek sorumlularnn, irketin bilgisayar sistemine eriimi olan kiilerle iletiim kurmalar gerekir. Bu tarz firmalarn, irketlerin B blmlerinde iletiim kurduklar belirli kiiler olmas gerekir, bylece bu kiiler karlkl onay asndan birbirlerini tanyor olurlar. 8-4 Parolalarn aklanmas Kural: Bilgisayar ilemleri personeli hibir zaman kendilerine ait olan ya da onlara emanet edilmi parolalar bir bilgi ilem yneticisinin onay olmadan aklamamaldrlar. Aklamalar/Notlar: Genel olarak baka birine parola sylemek yasaktr. Kural, acil bir durumda bilgisayar ilemleri personelinin nc ahslara bir parolay verebilecei durumunu gz nnde bulundurur. Herhangi bir parolann aklanmasn yasaklayan genel kurala gelen bu istisna, bir bilgi ilem yneticisinin zel iznini gerektirir. Daha fazla nlem almak adna, tanmlama bilgilerini aklama sorumluluunun, onay sreleriyle ilgili zel eitim alm bir grup kiiyle snrlandrlmas da arttr. 8-5 Elektronik o r t a m Kural: Dar verilmek zere snflandrlmam bilgiler ieren tm elektronik ortamlar fiziksel olarak gvenli bir yere kilitlenmelidirler. Aklamalar/Notlar: Bu kuraln amac elektronik ortamlarda saklanm hassas bilgilerin fiziksel olarak alnmasn nlemektir.

280

Aldatma Sanat

8-7 Yedekleme ortamlar


Kural: Bilgisayar ilemleri personeli yedekleme ortamlarn irket kasasnda ya da baka bir gvenli yerde saklamaldr. Aklamalar/Notlar: Yedekleme ortamlar bilgisayar krclarnn balca hedeflerindendir. Zincirin zayf halkas fiziksel olarak korunmayan yedekleme ortamlar olabilecekken, bir saldrgan, bir bilgisayar sistemine girmeye almak iin zaman harcamayacaktr. Yedekleme ortamlar alndktan sonra saldrgan, veriler ifreli olmad srece, oraya kaytl herhangi bir dosyaya eriebilecektir. Bu yzden yedekleme ortamlarn fiziksel olarak gvence altna almak irket bilgilerinin gizliliini korumak iin nemli bir sre olacaktr.

Tm alanlar in Geerli Kurallar


Bilgi ilem, insan kaynaklar, muhasebe ya da destek hizmetleri; irketin neresinde alyor olurlarsa olsunlar her alann bilmesi gereken belirli gvenlik kurallar vardr. Bu kurallar, genel, bilgisayar kullanm, e-posta kullanm, evden alanlara ynelik kurallar, telefon kullanm, faks kullanm, sesli mesaj kullanm ve parolalar eklinde snflandrlmtr.

Genel
9-1 pheli a r a m a l a r n r a p o r edilmesi Kural: Herhangi bir pheli bilgi ya da bilgisayar ilemi talebinde bulunulmas durumu da dahil olmak zere bir gvenlik ihlaline maruz kaldklarndan kukulanan alanlar hemen olay irketin olay bildirme grubuna bildirmelidirler. Aklamalar/Notlar: Toplum mhendisi, isteklerini yerine getirmeye hedefini ikna edemedii durumda, her zaman baka birini deneyecektir. pheii bir aramay ya da olay bildiren alan, bir saldr olduu yolunda irketi bilgilendirmek iin ilk adm atm olur. Bylece, alanlar, toplum mhendislii saldrlarna kar ilk savunma hattn olutururlar. 9-2 pheli a r a m a l a r b e l g e l e m e k Kural: Bir toplum mhendislii saldrs gibi grnen pheli bir aramada, alan, uygun olduu lde, saldrgann ne baarmaya altn anlatacak kadar ayrnt renmeye almal ve belgeleme amacyla bu ayrntlarla ilgili notlar almaldr. Aklamalar/Notlar: Bu tarz ayrntlar, olay bildirme grubuna bildirildiinde, saldrnn ynnn ya da amacnn bulunmasna yardmc olur. '

irket Bilgi Gvenlii Kurallar nerileri 9-3 Balant numaralarnn verilmesi

281

Kural: irket alanlar irketin modem telefon numaralarn aklamamah ve bu tarz istekleri her zaman yardm masasna ya da teknik destek personeline ynlendirmelidir. Akamalar/NotSar: Balant telefon numaralan, yalnzca i ykmllklerini yerine getirebilmek iin bunun gibi bilgilere gereksinimi olan alanlara verilecek trden bir dahil bilgi olarak deerlendirilmelidir. Toplum mhendisleri dzenli olarak biigi taleplerine kar daha az korumac davranacak alanlar ya da blmleri hedeflerler. rnein saldrgan, bir faturalama sorununu zmeye alan bir telefon irketi alan gibi kendini gsterip demeler blmn arayabilir. Saldrgan daha sonra sorunu zebilmek iin bildikleri baka faks ya da balant numaras olup olmadn sorar. Toplum mhendisi sk sk bu tarz bilgiyi vermenin oluturduu tehlikenin farknda olmayan ya da irket bilgi verme kural ve srelerine ynelik yeterli eitimi almam bir alan seer. 9-4 irket k i m l i k kartlar Kural: iinde bulunduklar ofis blgesi haricinde, st ve orta ynetim de dahil, tm irket alanlar her zaman personel kartlarn takmaldrlar. kiamaiar/Notlar: irket yneticileri de dahil tm alanlar, halka ak yerler ya da kiinin kendi ofisi ya da alma alan dndaki her yerde, kimlik takmann zorunlu olduunu anlamalar iin eitilmeli ve tevik edilmelidirler. .. : .

9-5 Kimlik kart ihiaerinin sorgulanmas


Kural: Tm alanlar irket kimlik kart ya da ziyareti kart takmayan tanmadklar kiileri hemen sorgulamaldrlar. Aklamalar/Notlar: Her ne kadar hibir irket, ak gz alanlarn kimliksiz koridora kan baka alanlar enseledii bir kltr yaratmak istemese de bilgilerini koruma endiesine sahip herhangi bir irketin, bina iinde sorgulanmadan dolaan bir toplum mhendisi tehdidini de ciddiye almas gerekir. "Her zaman kartl dola" kuraln yerletirmek iin gayretli olduunu gsteren alanlar tevik etmek iin irket gazetesinde ya da blten panosunda duyurulmas, birka saatlik cretli izin ya da ahsi dosyasna konacak bir tavsiye mektubu verilmesi gibi eitli uygulamalar kullanlabilir. 9-6 Pepee gemek (gvenlikli girilerden geiler) Kural: Binaya giren alanlar, ieri girmek iin manyetik kart gibi gvenli aralar kullandklarnda tanmadklar hi kimsenin hemen arkalarndan gelmesine izin vermemelidirler (pepee gemek). Aklamalar/Notlar: alanlar, bir tesise ya da gvenli bir alana

282

Aldatma Sanat

girmeye alan tanmadklar kiilerin kendilerini tantmalarn istemenin, kabalk olmayacan bilmelidirler. Toplum mhendisleri pepee geme olarak bilinen bir teknik kullanrlar. Bu teknikte tesise ya da hassas bir alana giren birini beklerler ve onunla birlikte ieri giriverirler. ou insan, byk olaslkla irket alan olduklarn varsayd dier kiileri sorgulamaktan rahatsz olur. Baka bir pepee geme teknii ise bir sr kutuyu birden tamaktr, bylece hibir eyin farknda olmayan bir alan, yardm etmek iin kapy aar ya da tutar. 9-7 Hassas belgelerin kt t c d e n geirilmesi Kural: Atlacak hassas belgeler apraz tcden geirilmelidir. Herhangi bir zamanda hassas bilgiler ya da malzemeler iermi olan sabit srcler de dahil tm tanabilir ortamlar bilgi gvenliinden sorumlu grup tarafndan belirlenen sreler gereince yok edilmelidir. Aklamalar/Notlar: Sradan kt tcler belgeleri yeterli lde paralamazlar; apraz-tcler ise belgeleri tannmaz duruma getirirler. En iyi gvenlik uygulamas, kuruluun, balca rakiplerinin, atlm malzemelerin arasnda ilerine yarayacak bilgiler arayacaklarn varsaymasdr. Sanayi casuslar ve bilgisayar sadrganlar hassas bilgileri srekli pe atlm malzemelerden karrlar. Baz durumlarda rakip irketlerin pleri vermeleri iin temizlikilere rvet vermeye teebbs ettikleri de bilinir. Yakn bir rnek, bir sermaye piyasas arac kurumu alan ieriden edinilen bilgiyle yaplan alm satmlara ynelik pte bir takm malzemeler bulmutu.

9-8 Kiisel tanmlayclar


Kural: Kimlik numaras, Sosyal Gvenlik Numaras, ehliyet numaras, doum tarihi ve yeri ve annenin kzlk soyad gibi kiisel tanmlayclar kimlik tespiti amacyla kullanlmamaldrlar. Bu tanmlayclar sr deildir ve saysz yntemle elde edilebilirler. Aklamalar/Notlar: Bir toplum mhendisi baka insanlarn kiisel tanmlayclarn bir cret karlnda edinebilir. Aslnda genel kannn aksine internet eriimi ve kredi kart olan herhangi biri bu kiisel tanmlama bilgilerini ele geirebilir. Ak tehlikeye karn bankalar, hizmet irketleri ve kredi kart irketleri sk sk bu tanmlayclar kullanmaktadrlar. Sadece bu nedenle kimlik hrszl son on yln en hzl artan suu olmutur.

9-9 Kurulu emalar


Kural: irketin kurulu emasnda gsterilen ayrntlar irket alanlar dnda kimseye verilmemelidir. Aklamalar/Notlar: irket yaps bilgileri kurulu emalarn, hiye-

irket Bilgi Gvenlii Kurallar nerileri

283

rari emalarn, blm alan listelerini, raporlama yapsn, alan adlarn, alan unvanlarn, dahil telefon numaralarn, kimlik numaralarn ya da benzeri bilgileri ierir. Toplum mhendislii saldrsnn ilk aamasnda ama irketin i yapsyla ilgili bilgi toplamaktr. Sonra bu bilgiler bir saldr plan yapmak iin kullanlr. Saldrgan, hangi alanlarn arad bilgiye eriimi olabileceine karar verebilmek iin bu bilgiyi inceler. Saldr srasnda bilgi, saldrgann iine hakim bir alan olarak grnmesini salar ve kurbann i birlii yapmaya ikna etme olasln artrr.

9-10 alanlarla ilgili zel bilgiler


Kural: alanlarn zel bilgilerine ynelik tm talepler insan kaynaklarna ynlendirilmelidir. Aklamalar/Notlar: Bu kuraln bir istisnas, ile ilgili bir konuda balant kurulmas gereken ya da kar taraftan telefon bekleyen bir alann telefon numarasnn verilmesi olabilir. Ancak numaray isteyen kiinin telefon numarasnn alnmas ve alann onu geri aramas her zaman tercih edilmesi gereken yoldur.

Bilgisayar Kullanm
10-1 Bilgisayara komut girmek
Kural: istek sahibinin bilgi ilem blmnn bir alan olduu onaylanmad srece irket alanlar, baka birinin istei zerine bilgisayara ya da bilgisayarlarla ilgili donanma hibir zaman komut girmemelidirler. Aklamalar/Notlar: Toplum mhendislerinin ska oynad bir oyun, alandan sistem ayarlarn deitiren bir komut girmesini istemeleridir. Bu sayede saldrgan, kendini tantmadan kurbann bilgisayarna girebilir ya da teknik bir saldrda kullanlabilecek bilgilere eriebilir.

10-2 Dahil adlandrma standartlar


Kural: istek sahibinin irkette alt onaylanmadan alanlar bilgisayar sistemlerinin ya da veri tabanlarnn adlarn aklamamaldrlar. Aklamalar/Notlar: Toplum mhendisleri bazen irket bilgisayar sistemlerinin adlarn elde etmeye alrlar. Adlar rendikten sonra saldrgan, irketi arar ve sistemleri kullanmakta sorun eken bir alan gibi davranr. Toplum mhendisi o sisteme verilen dahil ad bilerek inandrcln artrr.

10-3 Program altrma talepleri


Kural: irket alanlar, baka birinin istei zerine herhangi bir bilgisayar uygulamasn ya da programn altrmamaldrlar.

284

Aldatma Sanat

Aklamalar/Notlar: Program veya uygulama altrmaya ya da bilgisayarda herhangi bir ilem yapmaya ynelik talepler talep sahibinin bilgi ilem blm alan olduu onaylanana kadar reddedilmelidir. Eer talep bir dosyadan ya da elektronik mesajdan, gizli bilgilerin ekilmesiyle ilgiliyse, talebe karlk vermek, gizli bilgi verme sreleriyle uyumlu olmaldr (bkz. Bilgi Verme Kurallar). Bilgisayar saldrganlar sistemi ele geirmelerini salayacak programlar altrmalar iin insanlar kandrrlar. Hibir eyden kukulanmayan bir kullanc, saldrgann yerletirdii bir program altrdnda, ortaya kan sonu, saldrgann, kurbann bilgisayarna erimesine neden olabilir. Bir toplum mhendisi zarar verebilecek bilgisayar komutlarn altrmas iin birilerini kandrabilirken, teknik tabanl bir saldr, benzer bir zarar bilgisayar programlarn altrmas iin bilgisayarn iletim sistemini kandrarak yapabilir.

10-4 Yazlm indirmek ya da yklemek


Kural: istek sahibinin bilgi ilem blmnn bir alan olduu onaylanmad srece irket alanlar baka birinin istei dorultusunda hibir zaman yazlm indirmemeli ya da yklememelidir. Aklamalar/Notlar: alanlar bilgisayarlarla ilgili donanma ynelik herhangi bir olaand ilem talebine kar her zaman uyank olmaldrlar. Toplum mhendislerinin ska kulland taktiklerden birisi, hibir eyden kukulanmayan kurbanlarn saldrgana bilgisayar ya da a gvenliini ama amacnda yardmc olacak bir program yklemeye ya da indirmeye ikna etmektir. Baz durumlarda program gizlice kullancy gzetleyebilir ya da gizli bir uzaktan kontrol yazlmyla saldrgann bilgisayar sistemini ele geirmesini salayabilir. 10-5 Dz m e t i n parolalar ye e-posta Kural: ifreli olmadklar srece parolalar e-postayla gnderilmemelidirler. Aklamalar/Notlar: Her ne kadar nerilmese de bu kural aadaki gibi snrl koullarda e-ticaret sitelerinde de kullanlabilir: Siteye kaydolmu mterilere parolalarnn gnderilmesi. Parolasn unutmu ya da kaybetmi mterilere parolalarnn gnderilmesi.

10-6 Gvenlikle ilgili yazlmlar


Kural: irket alanlar hibir zaman virs/Truva At koruma, gvenlik duvar ya da dier gvenlikle ilgili yazlmlar bilgi ilem blmnden alnm bir onay olmadan devre d brakmamal ya da kaldrmamaldrlar.

irket Bilgi Gvenlii Kurallar nerileri

285

Aklamalar/Notlar: Bilgisayar kullanclar bazen gvenlikle ilgili yazlmlar, baka herhangi bir nedeni olmadan, bilgisayarlarnn hzn artracan dnerek kapatrlar. Bir toplum mhendisi, gvenlikle ilgili tehditlerden irketi korumak iin gerekli olan bir yazlm kaldrmas ya da devre d brakmas iin bir alan kandrmaya alabilir. 10-7 M o d e m l e r i n y k l e n m e s i Kural: Bi blmnden onay alnmadan herhangi bir bilgisayara modem balanamaz. Aklamalar/Notlar: alma ortamnda masalarda ya da bilgisayarlarn stnde duran modemlerin -zellikle de irket ana bahlarsaciddi bir gvenlik tehdidi oluturduklar bilinmelidir. Buna gre, bu kural modem balama srelerini dzenlemektedir. Bilgisayar korsanlar bir telefon silsilesine bal alan bir modem hatt olup olmadn anlamak iin sava aramas denen bir teknik kullanrlar. Ayn teknik, irket iinde modemlere bal telefon numaralarn bulmak iin de kullanlabilir. Eer saldrgan, bilgisayar sisteminin, kolay tahmin edilebilir bir parolas olan ya da hi parolas olmayan zayf bir uzaktan eriim program kullanan bir modeme bal olduunu grrse, kolaylkla irket ana girebilir. 10-8 M o d e m l e r ve o t o m a t i k yant v e r m e a y a r l a r Kural: Birilerinin bilgisayar sistemine modem balantsndan girmesini nlemek amacyla B onayl tm bilgisayarlarn, modem otomatik yant verme zellikleri kapatlmaldr. . Akiamalar/NotSar: Bilgi ilem blm, uygun olduu lde, modem araclyla harici bilgisayar sistemlerine balanmas gereken alanlar iin d hat balantlarda kullanlacak bir modem havuzu tahsis etmelidir. 10-9 Krma a r a i a n Kural: alanlar yazlm koruma mekanizmalarn alt etmek zere tasarlanm yazlm aralar indirmeme!'! ya da kullanmamaldrlar. Akama/Motlar: nternette ticar yazlmlar ve paylam yazlmlarn krmak zere tasarlanm programlara adanm dzinelerce site vardr. Bu aralarn kullanm yalnzca yazlm sahibinin telif haklarn inemekle kalmamakta, ayn zamanda olduka da byk bir tehlike oluturmaktadr. Bu programlar bilinmeyen kaynaklardan geldii iin kullancnn bilgisayarna zarar verebilecek kt huylu yazlmlar ierebilir ya da program yazan kiinin, kullancnn bilgisayarna eriebilmesi iin birTruvaAt yerletirebilir.

286

Aldatma Sanat

10-10 evrimii irket bilgilen


Kurai: alanlar herhangi bir herkese ak haber gurubuna, foruma ya da bltene irkete ait donanm ya da yazlmlarla ilgili ayrntlar yazmamal ve kurallara uygun olanlar dnda iletiim bilgileri vermemelidirler. Aklamalar/Notlar: Usenet'e, evrimii forumlara, blten panolarna ya da yazma listelerine braklm herhangi bir mesaj, hedef irket ya da hedef bireyle ilgili bilgi toplarken aratrlabilir. Bir toplum mhendislii saldrsnn aratrma aamasnda, saldrgan irketle, rnleriyle ve alanlaryla ilgili yararl bilgiler bulabilmek iin internetteki mesaj guruplar taranabilir. Baz mesajlar saldrgann saldrsn ilerletmek iin kullanabilecei ufak tefek bilgiler de ierir. rnein, bir a yneticisi belirli bir marka ve model gvenlik duvar iin gvenlik duvar filtrelerinin ayarlanmasyla ilgili bir soru mesaj brakm olabilir. Bu mesaj bulan bir saldrgan irket ana girebilmesi iin evresinden dolamasn salayacak, irketin gvenlik duvar ayarlar ve tryle ilgili deerli bilgiler elde edebilir. alanlarn haber gruplarna nereden geldiinin anlalmayaca adsz hesaplardan mesaj gndermelerine izin vererek bu sorun azaltlabilir ya da nne geilebilir. Kural, doal olarak alanlarn irketle ilikilendirilebilecek herhangi bir iletiim bilgisi brakmamalar artn da getirmelidir. 10-11 Disketler ve d i e r elektronik ortamlar Kural: Eer bilgisayar bilgilerini saklamak iin kullanlan disket ya da CD-ROM gibi ortamlar, alma alannda ya da alann masasnda braklmsa ve bilinmeyen bir kaynaktan geliyorsa bilgisayar sistemine sokulmamaldr. Aklamalar/Notlar: Saldrganlarn kt huylu yazlm yklemek iin kullandklar yntemlerden biri programlar bir diskete ya da CD-ROM'a koyup ilgi ekici bir ekilde etiketlemektir (rnein, "Personel Maa Verileri-Gizlidir"). Sonra bunun birka kopyasn alanlarn kullandklar alanlara brakrlar. Yalnzca biri bir bilgisayara girer ve iindeki dosyalar alrsa, saldrgann kt huylu yazlm almaya balar. Bu, sisteme girilmesini salayacak bir arka kap yaratabilir ya da aa baka trl zararlar verebilir. , .

10-12 Tanabilir ortamlarn atlmas


Kural: Bilgi silinmi bile olsa herhangi bir zaman aralnda hassas irket bilgilerinin tutulduu bir elektronik ortam pe atmadan nce ortam manyetik olarak silinmeli ya da kurtarlamayacak ekilde zarar grm olmaldr.

irket Bilgi Gvenlii Kurallar nerileri

287

Akiamalar/Notiar: Basl belgelerin tlmesi bugnlerde sradan ilerden biri olduysa da, irket alanlar bir zamanlar hassas bilgiler iermi bir elektronik ortam pe atmann yaratabilecei tehdidi gzard edebilirler. Bilgisayar saldrganlar, atlm elektronik ortamlarda bulunan bilgileri geri getirmeye alrlar. alanlar, dosyalan silerek, bu dosyalarn geri getirilemeyeceini varsayyor olabilirler. Bu varsaym tamamen yanltr ve gizli i bilgilerinin yanl ellere dmesine neden olabilir. Bu nedenle genel olarak snflandrlmam bilgiler iermekte ya da bir zamanlar iermi olan tm elektronik ortamlar tamamen temizlenmeli ya da sorumlu grubun onaylad yntemler kullanlarak yok edilmelidir.

10-13 Parola korumal ekran koruyucular


Kura!: Tm bilgisayar kullanclar bir ekran koruyucusu parolas oluturmal ve belli bir sre kullanlmad zaman bilgisayar kilitleyen bir zaman am sresi belirlemelidir. Aklamalar/Notlar: Tm alanlar bir ekran koruyucu parolas ve on dakikadan fazla olmamak zere bir zaman am sresi ayarlamaldrlar. Bu kuraln amac yetkisiz kiilerin baka birinin bilgisayarn kullanmasn nlemektir. Bu nedenle bu kural irket bilgisayar sistemlerini, dardan binaya girebilen kiilere kar korur.

10-14 Parola gizlilik taahhd


Kural: Yeni bir bilgisayar hesab almadan nce alan ya da taeron, parolalarn hibir zaman herhangi birine aklanmamas ya da paylalmamas gerektiini ve bu kurallara uymay kabul ettiini gsteren yazl bir beyan imzalamaldr. Aklamalar/NotSar: Anlamada, bu tarz bir anlamaya uyulmad durumda bunun, cezas iten karmaya kadar varan ciddi bir disiplin suu tekil edeceini belirten bir madde de bulundurulmaldr.

E-Posta Kullanm
11-1 E-Posta ekleri

Kural: E-posta ekleri gvenilir bir kiiden gelmedii ya da ile ilgili olarak beklenmedii srece almamaldr. Aklamalar/Notlar: Tm e-posta ekleri yakndan izlenmelidir. Alc, eki amadan nce gvenilir bir kiinin ekli bir e-posta gnderileceine dair n bilgi vermesini zorunlu tutabilirsiniz. Bu, saldrganlarn toplum mhendislii taktikleri kullanarak insanlar ekleri amalar dorultusun- da kandrabilme riskini azaltacaktr. Bir bilgisayar sistemine girmenin yntemlerinden biri, saldrgann sisteme girebilmesini salayacak bir ak yaratan kt huylu birprog-

288

Aldatma Sanat

ram altrmas iin alan kandrmaktr. Saldrgan, altrlabilir bir kod ya da makro ieren bir e-posta eki gndererek kullancnn bilgisayarnn kontroln ele geirebilir. Bir toplum mhendisi kt huylu e-posta ekleri gnderebilir, sonra da telefonla arayp alcy eki amaya ikna etmeye alabilir. 11 -2 Haric adreslere o t o m a t i k y n l e n d i r m e Kural: Gelen e-postalarn otomatik olarak harici bir e-posta adresine ynlendirilmesi yasaktr. Aklamalar/Notiar: Bu kuraln amac, dahil bir e-posta adresine gnderilmi bir e-postay dardan birinin almasn nlemektir. alanlar, ofisten uzak olacaklar zaman gelen e-postalarn bazen irket dndan bir e-posta adresine ynlendirirler. Ya da bir saldrgan, bir alan kandrarak e-postalar irket dndan bir adrese postalayan bir dahil e-posta adresi oluturtabilir. Saldrgan, daha sonra dahil e-posta adresi olan, ieriden biri gibi davranarak, insanlarn hassas bilgileri dahil adrese gndermelerini salayabilir. 11-3 E-postaarsn y n l e n d i r i l m e s i Kural: Onaylanmam bir kiiden gelen herhangi bir baka onaylanmam kiiye e-posta aktarma talebi, talep sahibine kimlik tespiti yaplmasn gerektirir. 11-4 E-postaSann onaylanmas . Kural: Genel olarak snflandrlmam bir bilgi talebi ieren ya da bilgisayarlarla ilgili donanmlara ynelik bir ilem yaplmasn isteyen ve gvenilir bir kiiden geliyor gibi grnen bir e-posta mesaj iin ek bir tanmlama ekli daha gereklidir ( bkz. Onay ve Yetkilendirme Sreleri). klamaar/Notlar: Bir saldrgan bire-postay ve baln kolaylkla taklit ederek onu farkl bir e-posta adresinden geliyormu gibi gsterebilir. Ayrca girdii bir bilgisayar sisteminden de e-posta gnderebilir. E-postann baln inceleyerek bile mdahale edilmi bir dahil sistemden gnderilip gnderilmediini ayrt edemezsiniz.

12-1 Telefon anketlerine katlmak


Kural: alanlar, baka kurulularn ya da kiilerin soru sorma yoluyla yapt anketlere katlamazlar. Bu tarz talepler halkla ilikiler blmne ya da dier sorumlu kiilere ynlendirilmelidir. Aklamalar/Notlar: irkete kar kullanlabilecek deerli bilgileri elde edebilmek iin toplum mhendislerinin kulland yntemlerden biri

irket Bilgi Gvenlii Kurallar nerileri

289

de alan arayp bir anket yaptn sylemektir. Yasal bir aratrmaya katkda bulunduklarna inandklar zaman insanlarn irket ya da kendileriyle ilgili yabanclara bilgi vermek konusunda ne kadar rahat olduklarna inanamazsnz. Saldrgan, zararsz grnml sorularn arasna yantlarn bilmek istedii birka soruyu daha sktrr. Sonu olarak bu tarz bilgiler irket ana girmek iin kullanlabilirler. 12-2 Dahil telefon numaralarnn verilmesi Kurai: Eer onaylanmam bir kii bir alana telefon numarasn sorarsa, alan, irket ilerinin ynetilmesi ile ilgili olarak numaray vermenin gerekli olup olmad dorultusunda uygun bir karar verebilir. Aklamalar/Notlar: Bu kuraln amac dahil telefon numaralarn vermenin gerekli olup olmad zerinde dnlm bir karar vermeye alanlar ynlendirmektir. Numaray renmek iin iyi bir nedenleri varm gibi grnmeyen insanlarla urarken en emin yol ana irket telefonunu aramalar ve oradan aktarlmalarn sylemektir. 12-3 Sesli mesaj parolalar Kural: Herhangi birinin sesli mesaj kutusuna parola bilgileri ieren mesajlar brakmak yasaktr. Aklamalar/Notlar: Kolay tahmin edilebilir bir eriim koduyla yetersiz bir ekilde korunduklar iin bir toplum mhendisi sk sk bir alann sesli mesaj kutusuna eriebilir. Saldr trlerinden birinde, bilgili bir bilgisayar krcs kendi sahte sesli mesaj kutusunu yaratabilir ve baka bir alan parola bilgilerini ieren bir mesaj brakmaya ikna edebilir. Bu kural bu tarz bir oyunun stesinden gelmek iindir.

Faks Kullanm
13-1 Faks gnderilmesi Kural: istek sahibinin kimlik tespiti yaplmadan kimseden faks alnamaz ve kimseye faks gnderilemez. Aklamalar/Notlar: Bilgi hrszlar, gvenilir alanlar, irket iindeki bir faks makinasna hassas bilgileri gndermeleri dorultusunda kandrabilirler. Kurbana faks numarasn vermeden nce saldrgan, sekreter ya da idar yardmc gibi, hibir eyden haberi olmayan bir alan arar ve daha sonra alnmas iin kendilerine bir faks gnderilip gnderilemeyeceini sorar. Ardndan, masum alan faks aldktan sonra, saldrgan alan arar ve faksn baka bir yere fakslanmasn rica eder. Arada, bunun acil bir toplant iin gerekli olduunu sylemeyi de ihmal etmez. Faks gndermesi istenen kii, o bilginin deeri konusunda bir fikri olmad iin istei yerine getirir.

290

Aldatma Sanat

13-2 Faksla g n d e r i l m i t a l i m a t l a r n o n a y l a n m a s Kural: Faksla gelen talimatlar yerine getirmeden nce, gnderenin irketin bir alan ya da bir gvenilir kii olduu onaylanmaldr. Aklamalar/Notlar: Faks araclyla, bilgisayara komut girilmesi ya da bilgi istenmesi gibi olaand istekler gnderildii zaman alanlar dikkatli olmaldrlar. Fakslanm belgelerin balnda geen bilgiler gnderici faks makinasnn ayarlaryla oynanarak deitirilebilir. Bu yzden faks bal yetki ya da kimlik tespiti iin yeterli bir veri olarak kabul edilmemelidir.

13-3 Faksla hassas biigiierin gnderilmesi


Kural: Baka alanlarn da eriebilecei bir yerde duran bir faks makinasna hassas bilgi gndermeden nce, gnderen, bir kapak sayfas gndermelidir. Alc, kapak sayfasn alr almaz karlk olarak bir sayfa gnderir ve faks banda olduunu gsterir. Gnderici, daha sonra faksn tmn gnderir. Aklamalar/Notlar: Bu tokalama sreci, gndericinin, alcnn makinann banda bulunduundan emin olmasn salar. Bu sre ayrca, mesaj alacak faks numarasnn baka bir numaraya ynlendirilmediini de dorular.

13-4 Parola fakslamak yasaktr


Kural: Parolalar hibir koulda faks araclyla gnderilmemelidir. Aklamalar/Notlar: Tanmlama bilgilerini faksla gndermek gvenli deildir. ou faks makinas, ok sayda alann birden elinin altndadr. Dahas, fakslar genel telefon santrallar ana baldrlar. Gnderilen faks baka bir numarada bulunan saldrgana gidecek ekilde arama ynlendirmesi yaplabilir.

14-1 Sesli mesaj p a r o l a l a r Kural: Sesli mesaj parolalar hibir nedenle bakalarna verilmemelidirler. Buna ek olarak sesli mesaj parolalar en ok doksan gnde bir deitirilmelidir. Aklamalar/Notlar: Gizli irket bilgileri sesli mesaj kutularna braklabilir. Bu bilgiyi korumak iin alanlar sesli mesaj parolalarn sk sk deitirmeli ve bunlar hibir zaman bakalarna vermemelidirler. Ayrca, on iki aylk dnemler ierisinde sesli mesaj kullanclar ayn ya da benzer parolalar kullanmamaldrlar. 14-2 oklu sistemlerde p a r o l a l a r Kural: Sesli mesaj kullanclar ister dahil isterse haric, telefon ya

irket Bilgi Gvenlii Kurallar nerileri

291

da bilgisayar sistemlerinde kullandklar parolay kullanmamaldrlar. Aklamalar/Notlar: Sesli mesaj ve bilgisayar gibi farkl ortamlarda ayn ya da benzer parolay kullanmak, bir tanesini tespit ettikten sonra toplum mhendislerinin tm parolalar tahmin etmelerini kolaylatrr.

14-3 Sesli mesaj parolalarnn ayarlanmas


Kural: Sesli mesaj kullanclar ve yneticiler tahmin edilmesi zor olan sesli mesaj parolalar kullanmaldrlar. Parolalar herhangi bir ekilde kullanan kiiyle ya da irketle ilikilendirilmemeli ve tahmin edilme olasl olan ngrlebilir bir dzende olmamaldr. Aklamalar/Notlar: Parolalar ardk ya da tekrarlanan saylar (rnein, 1111, 1234, 1010) iermemelidir. Dahil telefon numaralarnn ayns ya da benzeri olmamal, adres, posta kodu, doum tarihi, ara plakas, telefon numaras, arlk, IQ ya da baka trl tahmin edilebilir kiisel bilgilerle ilikili olmamaldrlar.

14-4 "Eski" olarak iaretlenmi mesajlar


Kural: Dinlenmemi sesli mesajlar yeni mesaj olarak iaretlenmediinde sesli mesaj yneticisi, olas bir gvenlik ihlaline kar uyarlmal ve sesli mesaj parolas hemen deitirilmelidir. Aklamalar/Notlar: Toplum mhendisleri eitli yollarla sesli mesaj kutularna ulaabilirler. Hi dinlemedii mesajlarn yeni mesaj olarak gemedii bir durumda, alan, birinin sesli mesaj kutusuna yetkisiz giri yapp mesajlar dinlediini varsaymahdr.

14-5 Haric sesli mesaj al notlar


Kural: irket alanlar darya ynelik sesli mesaj al notlarnda verdikleri bilgiyi snrlamaldrlar. Genel olarak, alann gnlk ileri ya da yolculuk tarihleriyle ilgili bilgiler verilmemelidir. Aklamalar/Notlar: Darya ynelik al notlar, soyad, dahili telefon numaras ya da yerinde bulunmama nedenlerini (yolculuk, tatil tarihleri ya da gnlk program gibi) iermemelidir. Bir saldrgan bu bilgiyi dier alanlar kandrmaya ynelik akla yatkn bir hikye uydurabilmek iin kullanr.

14-6 Sesli mesaj parola dzenleri


Kural: Sesli mesaj kullanclar bir blm sabit kalan, kalan ngrlebilir bir ekilde deien parolalar sememelidirler. Aklamalar/Notlar: rnein, son iki basaman iinde bulunulan aya karlk geldii 743501, 743502, 743503 gibi parolalar kullanlmamaldr.

292

Aldatma Sanat

14-7 Gizli ya da zel bilgiler Kurai: Gizli ya da zel bilgiler sesli mesajlarla aktarlmamaldr. Aklamalar/Notlar: irket telefon sistemi ou zaman irket bilgisayar sistemlerinden daha fazla saldrya aktr. Parolalar, bir saldrgann yapt tahminleri byk lde kolaylatran bir dizi saydan oluur. Ayrca baz kurulularda sesli mesaj parolalar yneticileri adna mesaj alma sorumluluu olan sekreterlere ya da ynetici asistanlarna verilebilmektedir. Yukardaki bilgilerin nda kimsenin sesli mesaj kutusuna hassas bilgiler braklmamaldr.

Parolalar
15-1 Telefon gvenlii
Kural: Parolalar hibir zaman telefonda verilmemelidir. Aklamaiar/Not!ar: Saldrganlar, ya ahsen ya da teknolojik bir ara yardmyla telefon grmelerini dinlemenin yollarn bulabilirler. 15-2 Bilgisayar parolalarnn verilmesi Kural: Bilgi ilem yneticisinin yazl onay olmadan bilgisayar kullanclar hibir koulda parolalarn bakalarna vermemelidirler. Aklamalar/Notlar: Pek ok toplum mhendislii saldrsnn amac hibir eyden kukulanmayan kiilerin hesap adlarn ve parolalarn aklamalar dorultusunda onlar kandrmaktr. Bu kural irkete kar yaplan toplum mhendislii saldrlarnn baar olasln azaltmak iin nemli bir admdr. Sonu olarak, bu kurala irket bnyesinde harfiyen uyulmaldr. 15-3 nternet parolalar Kural: alanlar, irket sisteminde kullandklar parolann bir benzerini ya da aynsn internet sitelerinde de kullanmamaldrlar. Aklamalar/Notlar: Kt amal internet sitesi sahipleri deerli bir ey sunan ya da bir dl kazanma olasl olduunu syleyen bir site yapabilirler. Ziyaretilerin kayt olabilmek iin bir e-posta adresi, kullanc ad ve parola girmeleri gerekir. ou insan ayn ya da benzer kayt bilgilerini tekrar tekrar kullandklar iin kt amal internet sitelerinin sahipleri kullanlan parolay ve bu parolann eitli ekillerini hedefin ev "ya da i bilgisayarna saldrmak iin kullanabilirler. Ziyaretinin i bilgisayar kayt ilemi srasnda girdii e-posta adresinden de bazen bulunabilir. 15-4 oklu sistemlerde parolalar Kural: irket alanlar ayn ya da benzeri bir parolay birden fazla sistemde kullanmamaldrlar. Bu kural eitli aralar (bilgisayar ya da

irket Bilgi Gvenlii Kurallar nerileri

293

sesli mesaj); eitli konumlar (ev ya da i); eitli sistemleri, aralar (ynlendirici ya da gvenlik duvar) ya da programlar (veritaban ya da uygulama) kapsayabilir. Aklamalar/Notlar: Saldrganlar bilgisayar sistemlerine ya da alarna girmek iin insan doasn kullanrlar. ou insann girdikleri her sistemde bir sr parolay aklda tutma kemekeinden kurtulmak iin ayn ya da benzer parolalar kullandklarn bilirler. Bu yzden saldrgan, hedefin hesabnn olduu sistemlerden birinin parolasn renmeye alr. Parolay br kez rendikten sonra ayn parolann ya da bir benzerinin alann kulland dier sistemlere ve aralara eriim salama olasl yksektir. 15-5 Parolalarn y e n i d e n kullanlmas Kural: Hibir bilgisayar kullancs on sekiz aylk sre ierisinde ayn ya da benzer bir parola kullanmamaldr. Aklamalar/Notlar: Parolann sk deitirilmesi, bir sadrgann bir kullancnn parolasn kefetmesi durumunda oluabilecek zarar en aza indirger. Yeni parolay nceki parolalardan farkl yapmak saldrgann tahmin etmesini zorlatrr.
15-6 Parola yaps "

Kural: alanlar, bir blm sabit kalan dier blm ngrlebilir bir ekilde deien parolalar sememelidirler. Aklamalar/Notlar: rnein, son iki basaman iinde bulunulan aya karlk geldii KevinOl, KevinO2, KevinO3 gibi parolalar kullanlmamaldr. 15-7 Parola seimi Kural: Bilgisayar kullanclar aadaki koullar salayan bir parola yaratmal ya da semelidir. Standart kullanc hesaplar iin en az sekiz karakter ve ayrcalkl hesaplar iin en az on iki karakter uzunluunda olmaldr. En az bir say, bir simge ($, -, I, & gibi), bir kk harf ve bir byk harf (iletim sisteminde bulunan farkl yaz ekillerinin el verdii lde) iermelidir. Aadakilerden herhangi birini de iermemelidir: Herhangi bir dildeki szlkte bulunabilecek bir kelime, alann soyad, hobileri, plaka numaras, Sosyal Gvenlik Numaras, adresi, telefon numaras, evcil hayvannn ad, doum gn ya da bu kelimeleri ieren kelime gruplar. Daha nce kullanlm bir parolann bir taraf sabit bir taraf deimi trden farkl bir ekli de olmamaldr, kevin, kevini, kevin2 ya da kevinocak, kevinubat gibi.

294

Aldatma Sanat

Aklamalar/Notlar: Yukarda sralanan zelliklerin kullanlmas toplum mhendisinin tahmin etmesinin zor olaca bir parola ortaya karacaktr. Dier bir seenek ise sesli-sessiz harf yntemidir. Bu yntemle hatrlamas ve okumas kolay bir parola elde edilebilir. Byle bir parola oluturabilmek iin "ABABABAB" ablonunda B harflerini sessiz harflerle, A harflerini ise sesli harflerler deitirin. rnek vermek gerekirse, MIKOFASO ya da KUSOCENA olabilir. 15-8 Parolalar not etmek Kural: alanlar parolalarn yalnzca bilgisayardan ya da baka parola korumal donanmdan uzakta gvenli bir yere koyacaklarsa bir yere not edebilirler. Aklamalar/Notlar: alanlara parolalarn hibir zaman bir yere yazmamalar salk verilmelidir. Ancak baz koullar altnda bu gerekli olabilir. rnein, alann farkl bilgisayar sistemlerinde birden fazla hesab varsa. Herhangi bir yazl parola bilgisayardan uzakta gvenli bir yere konmaldr. Hibir koulda parola klavyenin altna saklanmamal ya da monitre yaptrlmamaldr.

15-9 Bilgisayar dosyalarndaki ifrelenmemi parolalar


Kural: ifrelenmemi parolalar herhangi bir bilgisayar dosyasnda saklanmayacak ya da bir ilev tuuyla arlabilecek ekilde programlanmayacaktr. Gerekli olduu durumda parolalar, Bi blmnn yetkisiz eriimleri engellemek iin onaylad bir ifreleme yazlm kullanlarak saklanmaldr. Aklamalar/Notlar: Parolalar ifrelenmemi olarak tutulduklar bilgisayar veri dosyalarndan, toplu komut dosyalarndan, ubirim ilev tularndan, giri dosyalarndan, makro ya da yaz programlarndan veya FTP sitelerinin parolalarn ieren herhangi bir veri dosyasndan bir saldrgan tarafndan kolaylkla bulunup karlabilir.

Dardan alanlar In Kurallar


Dardan alanlar, irket gvenlik duvarnn dndadrlar ve bu nedenle saldrlara aktrlar. Bu kurallar toplum mhendisinin dardan alan personelinizi verilerinize alan bir kap olarak kullanmasn nlemenize yardmc olacaktr. 16-1 Kk istemciler Kural: Uzaktan eriim yetkisine sahip tm irket alanlar irket ana balanmak iin kk istemci kullanmaldrlar. Aklamalar/Notlar: Bir saldrgan, saldr stratejisini kurarken, dardan irket ana eriimi olan kullanclar bulmaya alr. Bu nedenle dardan alanlar balca hedefleri olutururlar. Bu kiilerin

irket Bilgi Gvenlii Kurallar nerileri

295

bilgisayarlarnda sk gvenlik kontrollerinin olma olasl zayftr ve bu, irket ana girebilecek ak bir nokta brakr. Gvenilir bir aa balanan herhangi bir bilgisayar, klavye girilerini kaydeden programlarla tuzaklanabilir ya da balantlar karlabilir. Bir kk istemci stratejisi sorunlar zmek iin kullanlabilir. Kk istemci, srcs olmayan bir bilgisayar ya da aptal bir ubirim gibidir. Ubirim gibi alan bu bilgisayarda gerekli saklama ortamlar yoktur ancak buna karlk iletim sistemi, uygulama programlar ve tm veriler irket anda durur. Kk istemci zerinden aa eriilmesi, yamalanmam sistemlerin, eskimi iletim sistemlerinin ve kt huylu programlarn oluturduu riski byk lde azaltmaktadr. Ayn zamanda dardan alanlarn gvenliini salamak da merkezi gvenlik kontrolleri sayesinde daha kolay ve etkili olur. Gvenlik konularyla tam anlamyla ilgilenmek konusunda ii deneyimsiz kullanclara brakmaktansa bu tarz ykmllkler eitimli a ya da sistem yneticilerine braklmaldr.

16-2 Dardan alanlarn bilgisayarlar iin gvenlik yazlmlar


Kural: irket ana balanmak iin kullanlan herhangi bir haric bilgisayar sisteminde virs ve Truva At koruma programlar ve (donanmdan ya da yazlmdan gelen) kiisel bir gvenlik duvar bulunmaldr. Virs ve Truva At tanm dosyalan en azndan haftalk olarak yenilenmelidir. Aklamalar/Notlar: Genellikle dardan ve evden alanlar gvenlik konularnda bilgili deillerdir ve dikkatsizlik ya da ihmalkrlkla bilgisayar sistemlerini ya da irket alarn saldrya ak brakabilirler. Bu nedenle dardan alanlar dzgn bir ekilde eitilmezlerse ciddi bir gvenlik tehdidi oluturmaktadrlar. Kt huylu yazlmlara kar korunmak iin virsten ve Truva Atndan korunma programlarnn yklenmesine ek olarak, saldrganlarn alanlara sunulan herhangi bir hizmete dardan eriebilmelerini engellemek iin de bir gvenlik duvar arttr. Microsoft'a yaplan bir saldrnn da gsterdii gibi, kt huylu yazlmlarn oalmasna kar en elzem gvenlik teknolojilerini kullanmamann riski hafife alnmamaldr. Dardan alan bir Microsoft alannn bilgisayar sistemine bir Truva At bular. Saldrgan ya da saldrganlar alann gvenilir an kullanarak gelitirme kaynak kodlarn almak iin Microsoft'un gelitirme ana girebilmilerdir.

nsan Kaynaklar Kurallar


insan kaynaklan blmlerinin, kendi alma ortamlar araclyla kiisel bilgileri elde etmeye alanlara kar personeli korumak konusunda zel bir grevleri vardr. K alanlarnn ayn zamanda irketlerini mutsuz ve eski alanlara kar koruma sorumluluklar da vardr.

296

Aldatma Sanat

17-1 Ayrlan alanlar Kural: Ne zaman bir alan irketten ayrlr ya da ilikisi kesilirse, insan kaynaklar hemen aadaki ilemleri yerine getirmelidir: evrimii telefon rehberinden kiinin adn karmal ve sesli mesajlarn iptal etmeli ya da ynlendirmelidir. Bina girilerinde ya da irket lobilerinde grevli personeli bilgilendirmelidir. alann adn ayrlan alanlar listesine eklemeli ve bu liste, skl bir haftadan daha az olmayacak ekilde tm alanlara gnderilmelidir.

Aklamalar/Kurallar: Bina girilerinde grevli alanlar eski bir alann binaya yeniden girmesini nlemek zere uyarlmaldrlar. Ayrca, dier alanlarn da uyarlmas eski alann halen alyormu gibi davranarak bakalarn irkete zarar verebilecek hareketlerde bulunmalar dorultusunda kandrmasn nleyecektir. Baz koullarda eski alanla ayn blmde alan herkesin parolalarn deitirmelerinin istenmesi gerekli olabilir. (Yalnzca bilgisayar korsanl konusundaki nm nedeniyle GTE'deki iime son verildiinde irket tm alanlarn parolalarn deitirmelerini zorunlu tutmutu.)

17-2 B blmnn uyarlmas


Kural: irkette alan bir kii iten ayrldnda ya da iine son verildiinde insan kaynaklar, eski alann, aralarnda veri taban eriimi, uzaktan balant ya da uzak noktalardan internet eriimi hesaplarnn da bulunduu tm bilgisayar hesaplarn iptal etmesi iin bilgi ilem blmn hemen haberdar etmelidir. Aklamalar/Notlar: Eski bir alann ile iliii kesilir kesilmez tm bilgisayar sistemlerine, a aralarna, veritabanlarna ya da herhangi bir bilgisayar donanmna eriiminin derhal kesilmesi nemlidir. Aksi durumda irket kin dolu bir alann irket bilgisayar sistemlerine girip ciddi zararlar verebilmesi iin kapy ardna kadar ak brakm olur. 17-3 e a l m a srecinde k u l l a n l a n gizli b i l g i l e r Kural: ilanlar ve i boluklarn doldurmak iin uygun aday bulmaya ynelik dier herkese ak davetler mmkn olduu lde irketin kulland bilgisayar donanm ve yazlmlar konusunda bilgi vermemelidir. Aklamalar/Notlar: Yneticiler ve insan kaynaklar personeli yalnzca nitelikli adaylarn zgemilerini almaya yetecek kadar irket bilgisayar donanm ve yazlmlar hakknda bilgi vermelidirler. Bilgisayar krclar ak i listelerini bulmak iin gazeteleri ve irket basn aklamalarn okurlar, internet sayfalarna girerler. ou zaman

irket Bilgi Gvenlii Kurallar nerileri

297

irketler, mstakbel alanlar ekebilmek iin kullandklar donanm ve yazlmlarla ilgili ok fazia ayrnt aklamaktadrlar. Saldrgan, hedefinin B sistemleriyle ilgili bir bilgiyi bir kez ele geirdi mi, saldrnn bir sonraki adm iin hazr demektir. rnein, bir irketin VMS iletim sistemi kullandn renen bir saldrgan sistemin hangi srm olduunu ren^ mek iin birka yeri arayabilir ve sonra da yazlm irketinden geliyor gibi sahte bir acil gvenlik yamas gnderebilir. Yama bir kez yklendikten sonra saldrgan sisteme girer.

17-4 alanlarn kiisel bilgileri


Kural: insan kaynaklan blm, alann ya da insan kaynaklar yneticisinin yazl onay olmadan halen alan ya da almayan hibir personel, taeron, danman, geici ii ya da stajyerin kiisel bilgilerini aklamamaldr. Aklamalar/Notlar: insan avclar, zel dedektifler ve kimlik hrszlar, kimlik numaralar, doum tarihleri, cret bilgileri, aralarnda banka hesap numaralar ve salk yardmlar gibi bilgilerin de olduu mal verileri ieren kiisel alan bilgilerini hedeflerler. Toplum mhendisi ilgili birey gibi davranabilmek amacyla bu bilgileri elde edebilir. Ayrca yeni ie balayanlarn adlarnn aklanmas da bilgi hrszlarnn ok iine yarayabilir. Yeni ie balayanlar eski olduklarn, yetkili olduklarn ya da irket gvenliinden olduklarn iddia eden kiilerden gelen talepleri yerine getirmeye daha eilimlidirler.

17-5 Sicil taramalar


Kural: Kendilerine bir i nerilmeden ya da szlemeye dayanan bir i ilikisine girmeden nce tm yeni ie balayanlar, taeronlar, danmanlar, geici iiler ya da stajyerler iin bir sicil taramas zorunlu olmaldr. Aklamalar/Notlar: Maliyetler gz nne alndnda sicil taramalar gven tekil etmesi gereken belirli konumlarla snrl tutulabilir. Ancak irket odalarna girme hakk tannm herhangi birinin olas bir tehdit oluturabilecei de unutulmamaldr. rnein, temizlik ekiplerinin personel odalarna girme hakk vardr ve bu onlara orada bulunan bilgisayar sistemlerine girme hakkn da verir. Fiziksel olarak bir bilgisayara eriim elde eden bir saldrgan parolalar yakalamak iin bir dakikadan ksa bir sre ierisinde klavye girilerini kaydeden bir program bilgisayara ykleyebilir. Bilgisayar krclar hedef irketin bilgisayar sistemlerine ve ana girebilmek iin irkette i bulma yoluna bile gidebilirler. Bir saldrgan, hedef irketteki sorumlu kiiyi arayarak irketin alt temizlik irketinin adn kolaylkla elde edebilir ve i teklifiyle gelmi bir temizlik firmas olduunu syleyerek bu hizmeti vermekte olan irketin adn renir.

298

Aldatma Sanat

Fiziksel Gvenlik Kurallar


Her ne kadar toplum mhendisleri hedeflemek istedikleri bir iyerinde ahsen bulunmaktan kamsalar da zaman zaman bulunduunuz mekna da gireceklerdir. Bu kurallar fiziksel ortamnz tehditlerden korumanza yardmc olacaktr. 18-1 Personel o l m a y a n l a r n k i m l i k tespiti Kurai: Kuryeler ve dzenli olarak irket binalarna girmeleri gereken, irket dndan kiilerin irket gvenliinin belirledii kurallara uygun olarak dzenlenmi zel yaka kartlar ya da benzeri bir kimlikleri olmaldr. Aklamalar/Notlar: Dzenli olarak binalara girmesi gereken personel olmayan kiilere (rnein, kafeteryaya yiyecek ve iecek getirenlere, telefon balantlarn yapanlara ya da fotokopi makinalarn tamir edenlere) bu amala karlm zel bir irket kimlik belgesi verilmelidir. Ara sra girmesi gereken ya da bir kerelik ii olan kiiler ziyareti olarak deerlendirilmeli ve her zaman yanlarnda bir refakati bulundurulmaldr. 18-2 Ziyareti k i m l i k tespiti Kural: Tm ziyaretiler ieri alnabilmeleh iin geerli bir src ehliyeti ya da baka bir resimli kimlik belgesi gstermelidirler. Aklamalar/Notlar: Gvenlik grevlileri ya da danma memuru ziyareti kart vermeden nce kimlik belgesinin bir fotokopisini almal ve bu kopya ziyareti defterinde saklanmaldr. Dier bir seenek ise kimlik bilgilerinin danma memuru ya da gvenlik grevlisi tarafndan ziyareti defterine kaydedilmesidir. Ziyaretilerin kimlik bilgilerini kendilerinin girmesine izin verilmemelidir. Bir binaya girmeye alan toplum mhendisleri deftere her zaman yanl bilgi gireceklerdir. Her ne kadar sahte bir kimlik elde etmek ve ziyaret edilecei sylenen kiinin adn renmek zor olmasa da alann girileri kaydetmesini zorunlu tutmak gvenlik srecini bir kademe daha artrmaktadr.

18-3 Ziyaretilere elik edilmesi


Kural: Ziyaretiler her zaman bir alann eliinde olmal ya da yanlarnda refakati bulunmaldr. Aklamalar/Notlar: Toplum mhendislerinin evirmeyi sevdikleri dolaplardan biri bir irket alann ziyaret etmektir (rnein, stratejik ortakln olduu bir firmadan geldiini syleyerek rn mhendisini ziyaret etmek gibi), ilk grmeye refakati eliinde gittikten sonra toplum mhendisi konutuu kiiyi kendi bana lobiye dnebilecei

irket Bilgi Gvenlii Kurallar nerileri

299

konusunda ikna eder. Bu yntemle binay serbeste dolama frsat elde eder ve byk olaslkla hassas bilgilere ulaabilir.

18-4 Geici kimlikler


Kural: Baka bir tesisten gelen ve yanlarnda personel kartlar bulunmayan irket alanlar geerli bir src ehliyeti ya da benzeri resimli bir kimlik gstermeli ve onlara geici bir ziyareti kart verilmelidir. Aklamalar/Notlar: Saldrganlar irkete girebilmek iin sk sk irketin baka bir binasndan ya da ubesinden gelen alanlar gibi davranrlar.

18-5 Acil tahliye


Kural: Acil bir durumda ya da bir talim srasnda gvenlik grevlileri herkesin binalar terkettiinden emin olmaldrlar. Aklamalar/Notlar: Gvenlik grevlileri tuvaletlerde y'da odalarda geride kalm olabilecek kiiler olup olmadn kontrol etmelidirler. tfaiyenin ya da ortaya kan durumda yetkili olan dier kurumlarn da belirttii zere gvenlik kuvvetleri tahliyeden ok sonra binay terk eden kiilere kar uyank olmaldrlar. Sanayi casuslar ya da deneyimli bilgisayar krclar bir binaya ya da gvenli bir alana girebilmek iin yanl alarm verebilirler. Kullanlan hilelerden biri havaya btil merkaptan adnda zararsz bir gaz vermektir. alanlar tahliye ilemine baladktan sonra gz kara saldrgan bu frsat ya bilgi almak iin ya da irket bilgisayar sistemine girmek iin kullanr. Bilgi hrszlarnn kulland baka bir taktik de, bazen tuvalette bazen bir odada, tam tahliye taliminin balad saatte ya da acil tahliyeye neden olacak sis bombas ya da baka bir gere kullandktan sonra geride kalmaktr. 1 8-6 Posta odasnda ziyaretiler Kural: Bir irket alannn gzetiminde olmadan hibir ziyaretinin posta odasna girmesine izin verilmemelidir. Aklamalar/Notlar: Bu kuraln amac dardan birinin irket ii postalar kartrmasn, gndermesini ya da almasn nlemektir.

18-7 Ara plaka numaralar


Kural: Eer irketin bekili bir otopark varsa, gvenlik grevlileri bu alana giren tm aralarn plakalarn not etmelidirler.

18-8 p bidonlar
Kural: p bidonlar her zaman irket alann iinde bulunmal ve dardan eriilebilir olmamaldr.

300

Aldatma Sanat

Aklamalar/Notlar: Bilgisayar saldrganlar ve sanayi casuslar irket plerinden deerli bilgiler elde edebilirler. Mahkemeler pleri yasal olarak terk edilmi mal olarak deerlendirirler ve bu yzden bidonlar herkese ak bir alanda durduklar srece p dallar tamamiyle yasaldr. Bu nedenle plerin, irketin, bidonlar ve iindekileri koruma hakknn olduu irket alan iinde tutulmalar nemlidir.

Danma Grevlileri iin Kurallar


Danma grevlileri, i toplum mhendisleriyle uramaya geldiinde ou zaman n cephededirler. Ancak onlara nadiren bir saldrgan fark edip durdurabilmelerini salayacak eitimler verilir. Danma grevlinizin irketinizi ve verilerini daha iyi koruyabilmesi iin bu kurallar yrrle koyun. 19-1 Dahil telefon rehberi Kural: Dahil telefon rehberinde aklanan bilgilere yalnzca irket alanlar eriebilmelidir. Aklamalar/Notlar: Rehberde bulunan tm unvanlar, adlar, telefon numaralar ve adresler dahil bilgi olarak deerlendirilmeli ve yalnzca veri snflandrma kurallar ve dahil bilgilere ynelik kurallar dorultusunda verilmelidir. Ayrca arayan tarafn elinde, ulamaya alt kiinin ad ya da dahili numaras olmaldr. Arayann dahil numaray bilmedii bir durumda her ne kadar danma grevlisi gerekli balanty salasa da arayana dahil numaray vermesi yasak olmaldr (rnek: isteyen merakllar, herhangi bir Birleik Devletler devlet dairesini arayp santral memuruna dahil numaray sorarak bu sreci deneyebilirler.). 19-2 Belirli b l m l e r i n / g r u p l a r n telefon n u m a r a l a n Kural: alanlar, arayann geerli bir nedeni olup olmadn kontrol etmeden, irket yardrrj masasnn, telekomnikasyon blmnn, bilgi ilemin ya da sistem yneticisinin d hat telefon numaralarn vermemelidirler. Danma grevlisi, bu gruplardan birine bir telefon aktarrken arayann adn mutlaka aklamaldr. Aklamalar/Notlar: Baz kurulular bu kural fazla basklayc bulsalar da, bu kural bir toplum mhendisinin alan gibi davranp bakalarn kendi dahil numaralarndan ynlendirme yapmalar iin kandrmasn (baz telefon sistemlerinde bu ilem, aramann irket iinden yaplyormu gibi grnmesini salar) ya da kendini kantlayabilmek iin kurbanna bu numaralar bildiini gstermesini gletirir.

irket Bilgi Gvenlii Kurallar nerileri 19-3 Bilgi aktarm

301

Kural: Santra! memurlar ve danma grevlileri, alan olup olmadn ahsen bilmedikleri kiiler adna not almamal ya da bilgi aktarmamaldr. Aklamalar/Notlar: Toplum mhendisleri, dikkatsizlik gsterip kendilerine kefil olmalar iin alanlar kandrmak konusunda ustadrlar. Toplum mhendislii hilelerinden biri, danmann numarasn elde edip, danma grevlisine kendisi iin braklm mesaj olup olmadn sormaktr. Daha sonra kurbann ararken saldrgan, bir alan gibi davranr ve hassas bir bilgi verilmesini ya da bir ilem yaplmasn isteyerek ana santral numarasn geri arama numaras olarak verir. En sonunda saldrgan danma grevlisini arar ve hibir eyden kukulanmayan kurbann kendisi iin brakt mesaj alr. 19-4 A l n m a k zere braklm malzemeler Kural: Bir kuryeye ya da tanmlanmam baka bir kiiye herhangi bir ey verirken, danma grevlisi ya da gvenlik grevlisi resimli bir kimlik grmeli ve kimlik bilgilerini kurallarn ngrd ekilde kayt defterine ilemelidir. Aklamalar/Notlar: Toplum mhendislii taktiklerinden biri de, hassas malzemeleri danma grevlisine ya da danma masasna braktrarak gya yetkili olan bir baka alana vermesi iin bir alan kandrmaktr. Danma grevlisi ya da gvenlik grevlisi de, doal olarak paketin alnmasnn sakncal olmadn dnr. Toplum mhendisi ya kendisi gelir ya da paketi almas iin bir kurye hizmetinden yararlanr.

Olay Bildirme Grubu in Kurallar


Her irket, irket gvenliine ynelik herhangi bir saldn fark edildiinde aranmak zere merkezi bir gurup oluturmaldr. Aada bu grubun faaliyetlerinin dzenlenmesi ve yaplandrlmasna ynelik birka yol gsterici kural bulacaksnz.

20-1 Olay bildirme grubu


Kural: Bir kii ya da gurup bu i iin grevlendirilmeli ve alanlar gvenlikle ilgili olaylar onlara iletmek zere bilgilendirilmelidir. Aklamalar/Notlar: alanlar bir gvenlik tehdidini nasl ayrt edeceklerini bilmeli ve oluacak herhangi bir tehdidi ilgili olay bildirme grubuna bildirecek ekilde eitilmelidir. Bir tehdit olutuunda byle bir gurubun harekete geebilmesi iin kuruluun belirli sreler ve yetkiler belirlemesi de nemlidir.

302

Aldatma Sanat

20-2 Srmekte olan saldrlar


Kural: Olay bildirme gurubuna, srmekte olan bir toplum mhendislii saldrs bildirildiinde gurup, hedeflenen blmlerde grevli ve bu i iin belirlenmi alanlar uyarmak zere sreleri balatacaktr. Aklamalar/Notlar: Olay bildirme gurubu ya da sorumlu ynetici, irket apnda bir uyar gnderilip gnderilmeyeceine de karar vermelidir. Sorumlu kii ya da gurubun, bir saldrnn devam ettiine inanc tamsa, irket alanlarn tetikte olmalar konusunda uyararak zarar en aza indirmek balca ncelikleri olmaldr.

BR BAKITA GVENLK
Aada verilen listeler ve emalar ikinci blmden on drdnc blmn sonuna kadar anlatlan toplum mhendislii yntemlerinin ve on altnc blmde ayrntlandrlan onay srelerinin bir bakta grlebilecei bir bavuru klavuzu oluturmaktadr. Bu bilgileri kurumunuza uyarlayn ve bir bilgi gvenlii sorunu ortaya kt zaman alanlarnzn bavurabilmesi iin herkese duyurun.

Bir Saldrnn Belirlenmesi


Bu tablolar ve kontrol listeleri bir toplum mhendislii saldrsn tespit etmenize yardmc olacaklardr.

Toplum mhendislii dngs


HAREKET Aratrma AIKLAMA Aralarnda gvenlik delme testi kaytlar, yllk raporlar, pazarlama brorleri, patent uygulamalar, basn kuprleri, sektr dergileri, internet sayfas ierii olabilir. Ayrca p dallar da olabilir. Dostluk ve gven eriden gelen bilgilerin kullanlmas, bakasnn uyandrma kimliine brnme, kurbann tand kiilerin adlarnn sralanmas, yardm istei ya da otoriteye sahip olma. Kurbandan, bir bilgi vermesinin ya da bir ilem yapmasnn istenmesi. Ters dalaverede kurban, saldrgandan yardm ister. Eer edinilen bilgi asl amatan bir adm uzaktaysa, saldrgan, amacna ulaana kadar dngdeki nceki admlara geri dner.

Gveni ktye kullanma Bilgi kullanma

En ok Toplum Mhendislii Yntemleri


Bir alan gibi davranmak Bir satc firmann, ortak i yrtlen bir irketin ya da gvenlik glerinin bir personeli gibi davranmak Yetkili biri gibi davranmak '

304

Aldatma Sanat Yardma ihtiyac olan, ie yeni girmi biri gibi davranmak Bir sistem yamas ya da gncellemesi sunmak iin arayan bir satc ya da sistem reticisi gibi davranmak Sorun kt takdirde yardm edebileceini syleyip sonra sorunu kendisi yaratmak ve bylece kurbann yardm istemek iin kendisini aramasn salamak Kurbann yklemesi iin bedava yazlm ya da yama gndermek E-posta ekinde virs ya da Truva At gndermek Kullancnn yeniden balanmasn ya da parola girmesini isteyen sahte bir pencere kullanmak Gzden karlm bir bilgisayar sistemi ya da programyla, kurbann klavyeden yapt girileri kaydetmek iinde kt huylu yazlm bulunan disket ya da CD'leri iyerinde grnr bir ekilde brakmak Gven kazanmak iin irket ii terimleri kullanmak irket ii teslimata girmesi iin posta odasna bir belge ya da dosya brakmak ierden gnderildii izlenimini verebilmek iin faks makinasnn baln deitirmek Danma grevlisinden, alaca faks baka bir yere fakslamasn rica etmek Bir dosyann irket ii gibi grnen bir yere gnderilmesini istemek Geri aramalarda irket mensubu gibi grnecek ekilde bir sesli mesaj kutusu oluturmak ehir dndaki bir ofisten geldiini syleyip bulunduu yerden e-postalarn okuyabilmeyi istemek

Bir Saldrnn Uyar Sinyalleri


Bir geri arama numaras vermekten kanlmas Srad taleplerde bulunulmas Yetkili olunduunun ne srlmesi Aciliyetin zerine vurgu yaplmas stein yerine getirilmemesi durumunda kt sonular doacann sylenmesi i Soru sorulduunda rahatsz olunmas Bilinen adlarn sralanmas iltifat edilip pohpohlanma Kur yaplmas

Bir Bakta Gvenlik

305

Saldrlarda en-sk grlen hedefler


HEDEF TR Bilginin deerinden habersiz olanlar RNEKLER ,. Danma grevlileri, santral memurlar, idar yardmclar, gvenlik grevlileri

zel ayrcalklara Yardm masas ya da teknik destek, sistem ynetisahip olanlar ileri, bilgisayar iletmenleri, telefon sistemleri yneticileri retici/Satc firmalar Belli blmler Bilgisayar donanm, yazlm reticileri, sesli mesaj sistemleri satclar Muhasebe, insan kaynaklar

irketleri Saldrlara Ak Duruma Getiren Unsurlar


e 9 ok sayda alan olmas ._ Birden fazla tesis bulunmas alann nerede olduuyla ilgili sesli mesajlarda bilgi verilmesi Dahil telefon numarasnn verilmesi Gvenlik eitimlerinin yetersizlii Veri snflandrma sisteminin bulunmamas Bir olay bildirme ya da kar eylem plannn yrrlkte olmamas

Onaylama ve Veri Snflandrma


Bu tablolar ve emalar toplum mhendislii saldrs olabilecek bilgi ya da ilem taleplerine karlk vermenize yardmc olacaklardr.

Kimlik Tespiti Yaplma Sreci


HAREKET TANIM Arayan kimliinin Gelen aramann dahil olup olmadn ve grnen belirlenmesi numarann ya da adn, arayann kimliiyle uyuup uyumadn kontrol edin. Geri arama Kefil olma Paylalan ortak anahtar stek sahibini irket telefon rehberinden bulup, rehberde geen numaradan onu geri arayn. Gvenilir bir alandan istek sahibine kefil olmasn isteyin. Bir parola ya da gnlk ifre gibi irket iinde kullanlan ortak anahtar talep edin.

306

Aldatma Sanat TANIM (Tablonun devam) '

HAREKET Mdr ya da ynetici Gvenli e-posta Kiisel ses tanmlama

alann bir st yneticisini arayn ve kimliinin ve alma durumunun onaylanmasn isteyin. Dijital olarak imzalanm bir mesaj talep edin. alann tand biri aryorsa sesinden tanmaya aln. Gvenli kimlik ya da baka bir gl tanmlama arac kullanarak deiken parola zmlerine bavurun. istek sahibinin personel kartyla ya da baka bir kimlik belgesiyle ahsen gelmesini isteyin.

parolalar

Deiken

ahsen grme

alma Durumunun Onaylanma Sreci


HAREKET irket telefon rehberinden kontrol stek sahibinin yneticisinin onay AKLAMA evrimii rehberde istek sahibinin adnn geip gemediini kontrol edin. irket rehberinde geen numaray kullanarak istek sahibinin yneticisini arayn.

stek sahibinin istek sahibinin blmn ya da i grubunu blmnn ya da arayarak kiinin halen irkette alp i grubunun onay almadn kontrol edin.

Bilme Gereini Kontrol Sreci


HAREKET Unvan/i grubu/sorumluluklar listelerine bavurun Yneticiden yetki aln Bilgi sahibinden ya da yedek sorumludan yetki aln TANIM Belli gizli bilgilere hangi alanlarn eriim hakk olduunu renmek iin nceden yaynlanm irket ii listelere bavurun. Kendi yneticinizi ya da istek sahibinin yneticisini arayp istei yerine getirmek iin onay isteyin. Bilgi sahibinden istekte bulunan kiinin bilme gerei olup olmadn renin.

Otomatik bir ara Yetkili personel iin tescilli yazlm veri tabanlarna kullanarak bakn. yetki aln

Bir Bakta Gvenlik

307

irket alan Olmayanlar Belirlemek in Kriterler ... KRTER liki HAREKET istekte bulunan kiinin alt firmann bir satc, stratejik ortak ya da baka bir i ilikisi olan firma olduundan emin olun. istek sahibinin kimliini ve i durumunu satc/ortak firmadan renin. istek sahibinin yrrlkte olan bir aa vurmama anlamas imzaladndan emin olun. Bilgi, dahil veya daha st derece olarak snflandrlma talebi ynetime gnderin.

Kimlik Aa vurmama Eriim

Veri Snflandrma
SINIFLANDIRMA AIKLAMA Genel Dahil Herkese serbeste Onaylanmaya gerek yoktur, verilebilir. irket ii kullanm irket alanlarnn halen iindir alp almadklarnn kontrol ya da irket alan olmayanlar iin yrrlkte bir aa vurmama anlamasnn olmas ve ynetici onaynn alnmas istek sahibinin faal bir alan Yalnzca kurum iinde kullanlmak ya da dardan yetkili bir kii zere belirlenmi olduunun onaylanmas. Yetkili alanlara ya da dardan kiisel nitelikli gelen taleplere zel bilgiler verbilgiler. meden nce insan kaynaklarndan kontrol edilmesi, Kurum iinde yal- ilgili bilgi sahibine istekte bulunan kiinin kimliini ve bilme nzca kesinlikle gereini onaylatn. Yalnzca bilmesi gereken yneticinin, bilgi sahibinin ya kiilerce bilinen da sorumlusunun yazl izniyle bilgiler. istei yerine getirin. Yrrlkte olan bir aa vurmama anlamas olup olmadn kontrol edin. irket mensubu olmayan kiilere yalnzca yneticier aklama yapabilir.

zel

Gizli

308

Aldatma Sanat

Bilgi Talebine Karlk Vermek


Altn Sorular Bu kiinin syledii kii olduunu nasl bilebilirim? Bu kiinin byle bir istekte bulunmak iin yetkili olup olmadn nasl renebilirim?

istenen bilgi neyle ilgili..

Parolanz HBR KOULDA bakalarna sylemeyin.

Hayr Personel raporlama yaps, alan adlan ve unvanlar Kurulu emas Ayrntlar Dahil bilgilerin aklanmasyla ilgili sreci izleyin.

Hayr Personelin kulland dahil teefon numaralar, faks numaralar, bina ii numaralar ve bolum steleri irket Telefon Rehberi Dahil bilgilerin aklanmasyla ilgili sreci izleyin.

Hayr Kiisel telefon numaralan (ev ya da cep), sosyal gvenlik numaras, ev adresi, zgemii ve maa Dahil bilgilerin aklanmasyla ilgili sreci izleyin.

Kiisel Bilgiler

Hayr letim sistemi eidi, uzaktan eriim sreleri, uzak balant numaralan v bilgisayar sistemlerine verilmi adlar g sayar Sistemleri Sreleri ya da Bilgile Hayr retim sreleri, stratejik planlar, tescilli kaynak kodlar, mteri steleri ve ticari srlar Gizli ya da zel Bilgiler Veri snflarn belirleyin; bilgi vermeye ynelik olarak ilgili sreleri takip edin. Dahil bilgilerin aklanmasyla ilgili sreci izleyin.

Bir Bakta Gvenlik

309

lem Talebine Karlk Vermek


Altn Kurallar rttlik tespiti yaplmadan kimseye gvenilmemelidir. Gelen taleplerin sorgulanmas tevik edilmelidir.

Talep edilen ilem

Beklediiniz bir ey deilse ekleri amayn; tm ekleri virs koruma yazlmlaryla tarayn.

Parola Deitirmek

HBR ZAMAN parolanz bakasnn bildii bir eyle deitirmeyin, bir an iin olsa bile!

Tescilli kaynak kodlan, ticar srlar, retim sreleri, formller, rn zellikleri, pazarlama verileri ya da i planlan B boim tarafndan zellikle onaylanmama herhangi bir kimsenin stei dorultusunda hibir zaman bilmediiniz komutlar girmeyin ve program altrmayn. Yalnzca dijital mzayla doruluu kantlanm, gvenilir kaynaklardan edindiiniz yazlmlar ykleyin. B blm tarafndan zellikle onaylanmamsa, BlOS'un, iletim sisteminin ya da herhangi bir uygulamann (kiisel gvenlik duvar ya da virs koruma programlar da dahil) ayarlarn deitirmeyin.

Dahil Bilgiyi Elektronik Olarak Aktarmak

Veri snflarn belirleyin; bilgi vermeye ynelik olarak ilgili sreleri takip edin.

Herhangi Bir Bilgisayara Komut Girmek

Byle bir talep ancak B blmnden gelebilir; alann Kimlik Tespiti Srelerine baknz.

Yazlm ndirmelcYkJeme ^ya da Devre .Brakmak,

Byle bir talep ancak B blmnden gelebilir; alann Kimlik Tespiti Srelerine baknz.

Bilgisayar ^ "ya da A Ayarlarnn 1 Deitirilmesi

Byle b/r talep ancak B blmnden gelebilir; alann Kimlik Tespiti Srelerine baknz.

Bakalar ama yaptna tm hareteJler. Daima kontrol edin, kontrol edin, kontrol edin.