Ana sayfa Bilim Bilgisayar Orada Kim Var? Siber Uzay Savaşları Hangi Cephede Sürüyor?

Orada Kim Var? Siber Uzay Savaşları Hangi Cephede Sürüyor?

239
0

Sosyal Mühendislik, Komşu Çocuklar, Uluslararası organize suç örgütleri, Kartçılar, Crackerlar, Casuslar



Orada Kim Var?

Ünlü Çinli general Sun Tzu, internetin ortaya çıkışından 2500 yıl önce yazdığı Savaş Sanatı kitabında “Düşmanınızı ve kendinizi tanırsanız, yüz savaşa bile girseniz yenilmezsiniz,” diyerek oldukça zekice bir gözlem yapmıştı. Bizi korkutan teknik bilgi yetersizliğimiz mi yoksa teknolojiyi anlamaya çalışırken siber uzay içerisinde kaybettiğimiz zaman mı? İleride görünen teknolojinin tehditlerini anlamak için ilk önce siber uzay içerisinde bize saldıranları tanımamız gerekiyor. Ne kadar uzakta da olsa sizi tehdit eden birileri mutlaka vardır ve bu risk hayatımızı tehdit etmeye devam edecektir.

Suçun tanımı bellidir ve fiziksel olarak size karşı işlenen herhangi bir saldırıyı bertaraf edebilirsiniz fakat siber uzayda suç belirsizdir ve nereden tehdit edildiğinizi anlamazsınız. Rio de Janerio’nun kuzeyi ile Espirito Santo eyaletlerinde bir dizi siber saldırı gerçekleşmişti. Yerel bir suç örgütünün isteklerini yerine getirmeyen elektrik şirketleri üç milyona yakın insanın karanlıkta kalmasına sebep olmuşlardır. Bunu takip eden süreçte demir cevheri çıkarılan Vitoria şehrinde santraller devre dışı kaldı ve birkaç günlük süreçte 7 milyon dolar zarara uğradılar. Brezilya’da durum tam netleşmeden Barack Obama “siber saldırganların bütün bir şehri elektriksiz bıraktığını gözlemliyoruz.” dedi.

Siber suçluların listesi oldukça kabarıktır. İçlerinde toplumda göremeyeceğiniz ama aynı ortamı paylaştığınız birçok siber suçlu vardır. Belki de bir kafe de yanında oturduğunuz kişi uluslararası bir suç örgütünün parçası olabilir veya komşu çocuğu cipsini kolasını hazırlamış klavyesini göbeğinin üzerine almış sizin kredi kartı bilgilerinize ulaşmaya çalışıyor olabilir.

Basit gibi görünen bazı suçlar, ABD ordusunun beşinci savaş alanı olarak gördüğü bir dünyada gerçekleşiyor olabilir.

Sosyal Mühendislik ve Mitcnik

Günümüzde kabul gören tüm hackleme ve saldırı yöntemleri kişisel zaafiyetlerin ve gereksiz laf kalabalıklarının arasından çıkan bazı kıymetli bilgilerle olabilir. Yaşadığımız dönemin kabul gördüğü en büyük hackerlarından biri olan Kevin D. Mitnick bu tarz saldırılara Toplum(Sosyal) Mühendisliği Saldırısı ismini koymuştur. Becerikli toplum mühendisleri bilgiye çok kısa sürede ve büyük bir doğruluk yüzdesiyle ulaşmaktadır.

Hatta ve hatta bilgiyi doğrudan isteyiverin bu bile bazen tek başına yeterlidir. Türkiye’de en çok kullanılan hackleme yöntemlerinin başında Toplum Mühendisliği Saldırıları gelmektedir. Televizyonu açtığınız zaman haberlerde göreceğiniz herhangi bir hırsızlık vakası yüksek ihtimalle kredi kartı bilgilerinin çalınmasıyla veya cep telefonu dolandırıcılığıyla meydana gelecektir. İnternete erişimimizin her gün daha farklı cihazlarla geometrik olarak arttığı bir gerçektir.

Nesnelerin interneti denilen bu çağ için fiziksel nesnelerin bilgi teknolojilerine dönüşmesi diyebiliriz. Örneğin Google tarafından geliştirilen akıllı araba teknolojileri. Sürücüsüz kullanılabiliyor internet erişimi var ve sensörlerle bilgi çekiyor (önünüzdeki herhangi bir engeli doğrudan tesbit edebiliyor veya trafik ışıklarını tanıyabiliyor) daha geniş bir ifadeyle arabalar artık kullandığımız ve yollarda giden bilgisayarlarımızdır.

Sadece telefonlarımızla internete bağlı değiliz, akıllı ev otomasyon sistemleri, arabalarımız, kol saatlerimiz, televizyonlarımız ve daha birçok nesne siber uzayda bir adresle tanımlanmış seyahat ediyor. Bu cihazları aktif kullanmamızı sağlayan yazılım teknolojileri ile cihazlarımız günlük rutinimizi oluşturuyor.

Rutinlerimize Ne Kadar Bağlıyız?

Gazetenizi okuyor, müziğini dinliyor eski sevgilinizi stalk’lıyorsunuz bunları yaparken güvenliğinizi hiç düşünmüyorsunuz çoğu zaman teknolojiyi üretenler bile düşünmüyor. O kadar çok yazılım kullanıyoruz ki telefonlarımızda sürekli gelen güncellemeleri tıklarken bile ne yazdığına bakmıyoruz. Siz ilgilenmiyorsunuz diye size sevimli gözükmesi adına YouTube güncelleme ekranında şu ifade yazıyor: “Hatalar düzeltildi, performans iyileştirildi, çöpler dışarı atıldı, bahçedeki çimler biçildi. Şimdi biraz dinlenme zamanı.” (çok sempatik değil mi?)

Peki bunlar ne demek? Hangi hatayı düzeltti, hangi performans yükseldi anlayabiliyor musunuz? Anlamıyorsanız problem değil ama bu tıklamış olduğunuz güncellemeyle büyük bir ihtimalle telefonunuz siber saldırıdan kurtulmuş olabilir. Birkaç “bug” temizliği yapılmış sayabiliriz. Yazılımlar kodlarla inşa edilir ve her yazılımın barındırdığı hatalar, buglar yazdığınız kod uzunluğu kadar fazladır.

Güncellemeler Hayat Kurtarır mı?

Carnegie Mellon Üniversitesinin yaptığı bir çalışmaya göre, sıradan bir ticari yazılımın her bin kodunda yirmi ila otuz arasında bug bulunuyor. Bu da, elli milyon kodluk bir yazılımda, hackerların faydalanabileceği 1 milyon ila 1,5 milyon arasında açık olduğu anlamına geliyor. İlk hedef her zaman bu açıklardır unutmamak lazım. Sistemleri daha kararlı hale getirmek için bu güncellemeleri yapsak da her güncellemeyle kod bloklarının sayısı artmaktadır siz ne kadar hatadan kurtulmuş olsanız da arkasından gelen on bin kodluk bir blokta yüz tane açık yine meydana gelecektir.

Albert Einstein “Teknolojik gelişim, patolojik bir hastanın eline verilmiş balta gibidir.”

Hackerlar saldırmasa bile internet ve teknoloji bağımlılığımız hayatlarımızı bir noktada kötü etkilemeye devam edecektir. Hangi tıklamaları yaparken emin olabiliriz ki. İnternet ekosistemi çok büyüdü. Uluslararası Telekomünikasyon Birliği’nin verilerine göre 2000 yılı itibariyle 360 milyon internette online oldu. 2005 yılında 1 milyarıncı insan internette online olmuştu.

2 milyarıncı insanın internete ulaşması ise 2011 yılının Mart ayını bulmuştu. Eric Schmidt’e göre 2020 yılında tüm dünya internette olacaktır. Bu direk 1.5 milyarlık bug demek oluyor. Yani hackerlar için serbest gezinti ortamı. 2020 yılında maruz kalacağımız siber tehlike şimdikinden daha büyük olacaktır.

Siber uzayındaki tehlike türlerini sıralayacak olursak;

  • Kabloya Sağlama Yapma
    • Tuzak Kapı Oluşturma
    • Hizmet Dışı Bırakma
    • İnternet Servis Saldırıları
    • Kriptografik Saldırılar
    • Zamanlama Saldırıları
    • Trafik Analizi
    • IP Sahteciliği
    • Zararlı Yazılım Kullanımı
    • Yığın Mail Gönderme
    • Oturum Çalma
    • Açık Mikrofon Dinleme
    • Sosyal Mühendislik
    • Ağ Tarama
    • Yerine Geçme
    • Oltalama

Siber saldırıları gerçekleştirecek silahlar ise sonsuzdur. Aslında sonsuz yanlış bir ifade olabilir sınırsızdır demek daha doğru olacaktır. Her türlü sistem açığı, unutkanlık, ihmalkarlık ve vicdan siber suçlara davetiye çıkaran birer insan zafiyetidir.
Daha önceki yazımızda Köle bilgisayarlarla nasıl DDoS saldırılarının gerçekleştirildiğini anlatmıştık bugün ise bir diğer siber saldırı türü olan Sosyal Mühendislik saldırılardan bahsedeceğiz.

Sosyal Mühendislik şifrelerinizi, profillerinizi, sosyal medya bilgilerinizi hacklemekle doğrudan hedef almaz dolaylı olarak bunu sizden talep eder ve sizde bunu gönül rahatlığıyla teslim edersiniz.


Araştırmalara göre siber saldırıların büyük çoğunluğu sosyal mühendislik saldırılarıdır. %91 Araştırma Raporu – 2017

Sosyal Mühendislik saldırıları çok farklı kanallarla gelebilir bunlar:

Phishing (oltalama): En yaygın olarak kullanılan yöntemdir. Bu yöntemte iki şekilde gizli bilgilerimiz elde edilmeye çalışılır:

1) Bize gönderilen iletilerin (e-posta, SMS, sosyal medya mesajları) ekindeki kötü amaçlı yazılım içeren dosyayı (genellikle xsl, zip. uzantılı) açmamız halinde zararlı yazılımı bulaştırılarak.

2) Bize gönderilen iletide belirtilen sahte siteye giderek bizden istenen hassas bilgilerimizi girmemiz durumunda. Bu yöntemde daha çok; korku, acelecilik ve güven gibi duygularımız istismar edilmeye çalışılır.

Watering hole (sulama deliği): Saldırganların hedefinde bulunan kişi veya kurumun sık sık ziyaret ettiği web sayfalarına zararlı kod yerleştirilmesi ve hedef kişi sayfayı ziyaret ettiğinde zararlı kodun bulaştırılmasıdır.

Baiting (cezbetme): Bu yöntem phishing’e benzer, ancak merak uyandıran bilgiler içerdiği veya ücretsiz müzik, program indirme gibi menfaat sağlanacağı belirtilerek, zararlı yazılım içeren dosyaları bilgisayara indirdiğimizde gizli bilgilerimiz elde edilir.

Pretexting (sahte senorya): IT personeli, polis, üst yönetici, bankacı, denetçi, araştırmacı gibi kişileri taklit ederek, sahte senaryolarla, genellikle telefonla arayarak, gizli bilgilerimizin öğrenilmeye çalışılmasıdır.

Tailgating, Piggybacking (yanına takılma): Kötü niyetli kişilerin, kimliğini unuttuğu, yardım isteme vb gerekçelerle; bizimle birlikte veya bizim yardımımızla, kapı veya bariyerleri aşarak yetkisiz olarak kurumlarımıza girmesidir.

Quid Pro Quo (bir şey için bir şey) : Bu yöntem karşılıklı faydaya dayanır. Örneğin teknik destek vermeye çalışan kişi veya bir araştırmacı gibi bize yaklaşarak yardım etme, para, çikolata, kalem vb menfaatler karşılığında hassas bilgilerimiz elde edilmeye çalışılır.

Sosyal Medya: Bu kanallar üzerinde, insan kaynakları yetkilisi, IT güvenlik firması personeli gibi sahte profiller oluşturulup, bizlerle iletişim kurularak, hassas bilgilerimizin ele geçirilmeye çalışılmasıdır.

WHO AM I filminden alıntı yaparak söylemekte yarar var:

Hiçbir sistem güvenli değildir

Saldırı teknikleri bu kadar çok olmasının sebebi her an geliştirilen teknolojinin çeşitliliğinin artırılmasıdır. Her teknoloji bir sistemdir. Bir sistem eğer bir şekilde internete bağlanıyorsa yüksek ihtimalle saldırılara maruz kalmaya mahkumdur. Hiçbir download veya upload yapmasanız bile köle olarak sistem de ağırlık yapması için çalıştırılacaktır. Sosyal mühendislik saldırılarına karşı savunma hamlelerinden biri sosyal bilincin artırılmasıdır. Bunun için Kevin Mitnick en etkili savunma yöntemlerini sıralarken şirketlerin gerçek senaryoları kullanmasını önermiştir.

Saldırılara karşı önlem almanın en iyi yolu geleneksel okur-yazarlıktan farklı olarak dijital okur yazar olmaktır. İstesek de istemesek de dijital kültürün bir parçasıyız. Dolayısıyla dijital bir okur-yazar olmamız ve kendimizi eğitmemiz gerekiyor. Siber güvenlik de bu eğitimin en önemli derslerinden biri olmalıdır. Şifrelerinizi kimseyle paylaşmayın veya 123456 – qwert -123456yedi gibi basit bulunabilen şifrelemeleri yapmaktan kaçının.

Unutmayın en büyük sistem açığı insandır ve insan en kolay hacklene bilen sistemdir.

 

Kaynakça:
  • Dr.Nazif Burca – Sosyal Mühendislik Yöntemleri ve Güvenlik Farkındalığı Çalışmalarının Başarısında Kritik Faktörle
  • Marc Goodman – Geleceğin Suçları – Dijital Dünyanın Karanlık Yüzü
  • Hasan Çifci – Her Yönüyle Siber Savaş