Daha önce de zaten asosyal olmadığını düşündüğüm Hacker’ların Sosyal Mühendislik başarılarını okurken bu konuyu siz okuyucularımızla paylaşmanın yararlı olacağına inanarak, kitap sonunda edindiğim düşünceleri bu yazıyı kaleme daha doğrusu klavyeye aldım.
Toplumda yanlış bir yargı var, hackerlar asosyaldir… Siz de hackerların düşünce yapılarını biraz anlamaya çalışırsanız, fırsat bulup sohbet ederseniz anlayacaksınız ki, onlar sosyal olduğunu sanan birçok kişiden daha da sosyaldirler. Yani filmlerde gördüğünüz, sabahtan akşama kadar evden çıkmayan, bilgisayar dışında hayatında hiçbir olgu bulunmayan hackerlara kolay kolay rastlayamazsınız gerçek hayatta…
İnternetin ülkemizde kullanılmaya başlanıldığı ilk yıllar önce modaydı, ulaşılmazdı. Uzaktaki bir bilgisayar girmek, kontrol etmek, cd sürücünün kapağını açıp kapatmak ise heyecan verici bir oyundu. Bu oyunu oynayanlar kendilerine hacker dedi, başkaları ise bir kısmını lamer olarak, bir kısmını cracker olarak değerlendirdi. Kendini hacker olarak görenler ise, beyaz şapkalı, siyah şapkalı olarak ikiye ayrıldı. Bir kısmı ise tüm grupların dışında gördü kendini ve hacktivist olarak anılmak istedi.
Kevin Mitnick gibi bazı hackerlar, önce ABD Adalet Bakanlığı tarafından “ABD tarihinin en çok aranan bilişim suçlusu” ünvanıyla anıldı, yaptıkları filmlere konu oldu ama sonrasında bilgisayar güvenliği danışmanı, yazar ve konuşmacı olarak hayatını devam ettirmiştir.
Bazıları için bilgisayar zaten bir oyuncaktı ve uzmanlığını telefonlar üzerine yapmak daha eğlenceli geldiği için radyo istasyonunun telefon hatlarını hack’leyerek bir Porche ve çeşitli hediyeler kazanarak ün kazandı. Poulsen, telefonla da yetinmeyip federal soruşturma veritabanını hackledikten sonra aranmış, arandığı sırada rahat durmayarak federal bilgisayarlara girerek bilgi çalması sonucu yetkililerin tepesini attırmıştır. Bugün ise gazeteci olarak hayatını sürdürüyor.
Yine ilginç bir örnek olması sebebiyle bahsetmenin uygun olacağına inandığımız bir isim Tim Berners-Lee . O da ünlü bir beyaz şapkalı hacker, WWW’nin kurucusu. Oxford üniversitesinde okurkn, bir arkadaşıyla sistemlerdeki açıkları bularak hacklemiş, o yüzden üniversitedeki bilgisayarları kullanması yasaklanmış. Ve o yıllarda lehim havyası, bir M6800 işlemci ve eski bir televizyonu kullanarak ilk bilgisayarını yapmıştır. Web standartlarını geliştirme üzerinde çalışmalar yapmıştır.
Ve bu isimler gibi diğer isimleri de incelediğimizde, hepsinin inandığı bir manifesto var. Arama motorlarında “Hacker’ın Manifestosu” yazdığınız zaman ulaşabileceğiniz bu manifesto der ki; “Siz, hiç üç parça psikolojinizle ve 1950’lerin teknolojik beyniyle, bir hacker’ın gözlerinin içine baktınız mı? Onu neyin zayıflattığını hiç merak ettiniz mi, hangi güçlerin onu keskinleştirdiğini, onu neyin kalıplaştırmış olacağını? Ben bir hacker’ım, dünyama girin… Benimki okulla başlayan bir dünya… Diğerçocukların çoğundan daha zekiyim, öğrettikleri saçmalık beni sıkıyor. Bir ortaokul veya lisedeyim. Öğretmenlerin bir kesrin nasıl sadeleştirileceğini anlatmasını on beşinci defa dinledim. Anlıyorum. Hayır, öğretmenim ödevimi göstermedim, aklımdan yaptım. Bir gün bir şey keşfettim. Ben ne yapmasını istersem onu yapıyor, Eğer yanlış bir şey yaparsa, benim hatamdan dolayıdır. Beni sevmediğinden değil.. Veya benden korktuğunu hissettiğinden değil.. Veya benim kendini beğenmiş bir inek olduğumu düşündüğümden değil..Veya öğretmek istediğimden ve burada olmaması gerektiğinden değil…
……
Biz sadistler tarafından hükmedildik, ya da ilgisizler tarafından görmezden gelindik. Öğretecek bir şeyleri olan çok az kişi bizi istekli öğrencileri olarak buldu karşısında, ama bu kişiler bir çöldeki su damlaları gibiydi… Artık bu bizim dünyamız… Elektron ve anahtarın dünyası, baud’un güzelliği. Biz var olan – belki biz olmasak ucuz ve kailtesiz olacak- bir servisi para ödemeden kullanıyoruz ve siz bize suçlu diyorsunuz. Biz araştırıyoruz… Ve siz bize suçlu diyorsunuz. Biz bilginin peşinedn koşuyoruz. Biz deri rengi, milliyet ve dini önyargılar olmadan yaşıyoruz… Ve siz bize suçlu diyorsunuz. Siz atom bombaları yaptınız, savaşları başlatınız, öldürdünüz, hile yaptınız, bize yalan söylediniz ve bizi bunların kendi iyiliğimiz için olduğuna inandırmaya çalıştınız ve hla suçlu biziz. Evet, ben bir suçluyum. Benim suçum insanları söyledikleriyle ve düşündükleriyle yargılamak, görünüşleriyle değil. Benim suçum sizden daha zekice davranmak, beni asla affetmeyeceğiniz bir suç.. Ben bir hacker’ım ve bu benim bildirim. Beni durdurabilirsiniz, fakat hepimizi asla durduramayacaksınız… Sonuçta, hepimiz birbirimize benziyoruz.”
Bu manifestonun tamamını okuduğunuzda rahatlıkla göeceksiniz ki, hacker’lar birçok sosyal olduğunu iddia eden insandan daha da sosyal. Çünkü, hacker’lar teknik bilgi kadar sosyal silahları da kullanıyorlar. “Sosyal Mühendislik” olarak adlandırılan kavramı birçoğumuzdan daha iyi biliyor ve uyguluyorlar. Bu yöntemi kullanmaktaki amaçlarını ise şu şekilde özetleyebiliriz, genellikle parolalarını ya da önemli mali ve kişisel bilgilerini vermesi için kullanıcıyı ikna etmek. Online suçlular yazılımlardaki zayıf noktaları bulmaya çalışmaktansa insan doğasındaki zayıflardan yararlanmayı tercih ediyor. Bulunan yazılım açıkları, yazılım üreticileri tarafından hızla giderilebiliyor, fakat insani temellere dayanan yöntemler çoğu zaman kullanıcı bilinçlenmediği ve bilinçlenmek için eğitim alma ihtiyacı duymadığı için hacker’ları başarıya ulaştırmaya devam ediyor. Kiminle ve hangi nedenle iletişim kurduğunuzu bilmiyorsanız e-postalarda veya online sohbet ortamlarında kişisel bilgilerinizi asla açıklamadığınızdan emin olmalısınız.
Sosyal mühendisliğin en yaygın biçimi kimlik avı, yani teknik adıyla “phishing” dolandırıcılığı. Kimlik avı dolandırıcıları, kişisel bilgilerinizi açıklamanız için sizi ikna etmeye çalışan sahte e-posta iletileri veya web siteleri kullanırlar. Örneğin kötü niyetli kişiler size bankanızdan veya başka bir finans kuruluşundan gönderilmiş gibi görünen ve hesap bilgilerinizi güncelleştirmenizi isteyen bir e-posta iletisi gönderebilir. Bu e-posta iletisi, yasal bir siteymiş gibi görünen ama gerçekte sizi sahte veya taklit bir web sitesine götüren bir bağlantıyı içerir. Bunu anlamak aslında hiç de zor değildir, adres çubuğundan veya Başlat menüsünün üstünde yer alan Durum Çubuğundan rahatlıkla anlayabilirsiniz ama sosyal mühendisler olayı öyle güzel kurmuşlardır ki, bunu düşünmeye bile vakit bırakmazlar. Bu konuda bankalar ısrarla sizi uyarmak için ileti gönderseler de siz yine dalgın bir anınızda şifreniz dahil tüm bilgileri vermekten geri durmazsınız. Bu da hacker’ların sosyal mühendislik başarısı olarak adlandırılabilecek bir olaydır.
Tam dersiniz ki, hah banka veya başka kurumlardan böyle e-mail aldığımda bilgilerimi vermiyim bu kez de farklı bir yöntem denemeyi tercih ederler. Bu yöntemde tanıdığınız kişilerden gelmiş gibi görünen hedefli saldılardan tutun da, belirli bir şirketin, kamu kuruluşunun, kuruluşun veya grubun tüm çalışanlarına ya da üyelerine gerçekmiş gibi görünen e-posta göndermeyi de içerecektir. İleti insan kaynakları personeli veya BT çalışanı gibi şirketteki herkese bir e-posta iletisi göndermesi beklenen bir çalışandan veya bir meslektaşınızdan gelmiş gibi görünebilir. Kullanıcı adlarını ya da parolaları isteyebilir veya sisteminize kötü amaçlı bir yazılım kurmayı hedefleyebilir. Dikkatli olun… Tüm bu çalışmalar, büyük bir titizlikle ve gözlemler sonucunda elde edilen deneyimlerle yapılmaktadır.
Aynı şekilde, son günlerde yoğun bir şekilde dolaşan ve “ben inanmam” deseniz de inanan birilerinin mutlaka çıktığı “Nijerya Palavrası” içerikli iletilerden de bahsetmek gerekirse, “birileri bir miktar parasının başka bir ülkeye gönderilmesi ile ilgili yardım isterse” sakın ha kanmayın. Çünkü siz internetten kolayca para kazanırım hayalleri kurarken, bir kez para verdiğinizde ardı arkası kesilmeyecektir. Hatta olayın sonunda tehdit içeren bir eylemle bile karşılaşma ihtimalinizin bulunacağını da unutmamanız gerekir.
Sosyal Mühendislik yöntemlerinden korunmak için yapabileceğiniz tek şey, bilinçli davranmak. Yöntemlerin temeli yazılıma veya donanıma dayanmadığı için, saldıralar tamamen sosyal iletişim yoluyla gerçekleşecektir, işte bu yüzden saldırıya maruz kalanların durumu anlaması ve kötü niyetli tarafa itibar etmemesi gerekiyor. Her ne kadar internet tarayıcılar ve e-posta istemcileri gibi popüler yazılımların da kimlik avına karşı bazı özellikleri mevcut ama yine de ilk önlem alması gereken program değil sizsiniz.
Yazımızın burasında, ekonomik kriz nedeniyle işsizlik oranlarında artışın sonucu olarak, yeni bir iş kapısının açıldığına da dikkat çekmekte fayda var. Bugünlerde yıldızı parlayan mesleklerden birisi de “Etik Hacker Etiketli Danışmanlık” Siz de bu eğitimleri alarak, hem internette başınıza gelebilecek kazalardan öncelikli haberdar olabilir, hem de işiniz yoksa iş sahibi olabilirsiniz. Bu satırları okurken, gözünüzün önünde sıradan bir sertifika eğitimi canlandıysa gayet doğru bir canlanma olduğunu belirtmek gerek. Uzmanlar tarafından yasalar ve etik değerler üzerine kurulu bir standardizasyonla hazırlanan eğitimler sonucunda tam anlamıyla bir güvenlik analisti ve sistem açıklarını tespit etme uzmanı oluyorsunuz. Bu eğitimlerde tecrübe kazanılması için sayısız vaka incelemesi ve birebir vaka çözümü yapmanız gerekiyor. Eğitim sonunda da “SERTİFİKA” alarak, sertifikalı Hacker oluyorsunuz. Belki de bu yazı sayesinde, aynı “GÜVENLİK OKULLARI” gibi “SANAL GÜVENLİK OKULLARI”nın sayısı da artar. Şu anda bile Türkiye’de CEH adı verilen (Certificied Etical Hacker / Sertifikalı tik Hacker) eğitimleri verildiğini belirtmekte fayda var.
Özetle, internette güvenli bir yolculuk yapmak istiyorsanız, emniyet kemeriniz takılı olsun (Antivirüs ve Spyware yazılımlarınızı yüklemeyi ihmal etmeyin), içkili yola çıkmayın, yolda tanımadığınız kişiler otostop çekse bile durup almayın, çünkü kim olduğunu bilmiyorsunuz. (İnternette tanımadığınız kişilerle tanışmayın J , tanışıyorsanız da tüm sırlarınızı paylaşmayın)
Böylece sosyal mühendislerin oltasına düşmezsiniz….
