0 Üye ve 1 Ziyaretçi Konuyu İncelemekte. Aşağı İn :)
Sayfa 1
Konu: Dijital Dolandırmanın Klasik Bir Örneği  (Okunma Sayısı: 1130 Kere Okundu.)
« : Şubat 22, 2009, 06:26:32 ÖS »
Avatar Yok

Asortik Hatun
*
Üye No : 3762
Nerden : İzmir
Cinsiyet : Bayan
Konu Sayısı : 13388
Mesaj Sayısı : 22 841
Karizma = 58066


Geliştirdiğiniz bir uygulamanın başına gelebilecek en kötü şey nedir? Kandırılması, aldatılması, dolandırılması… Nasıl büyütüp yetiştirdiğiniz bir çocuğu başka bir şehre okumaya gönderdiğinizde en çok korktuğunuz şey, kuzu kılığına girmiş kurtlarsa uygulamalarınız için de en çok bunlardan korkmalısınız.
Bir uygulama için en önde gelen üç teknik tehlike, bellek taşması, SQL aşılama ve siteler arası kodcuk çalıştırmadır. (Bu saldırı şekilleriyle ilgili yazılarımı yazılım güvenliği kategorisinde bulabilirsiniz.) Bunların her üçünün ortak özellikleri ‘uygulamanızı kandırmalarıdır’, uygulamanıza olduğundan başka bir şey olarak görünerek zararlarını verirler.
Ama bunlardan çok daha tehlikeli bir başka saldırı şekli var. Doğrudan uygulamanıza değil uygulamanızın kullanıcılarına yönelik olan dolandırma, kandırma çalışmaları. Buna bir de isim verilmiş durumda: ‘Social engineering’, yani sosyal mühendislik ya da insan mühendisliği.
Bu alanın önde gelen isimlerinden birisi Kevin Mitnick. (Kevin Mitnick’le ilgili weblogumda birkaç girdi bulabilirsiniz.)
Mitnick’in ‘Art of Deception’ kitabında bu tür bir dijital dolandırıcılık örneği detaylı olarak anlatılıyor. Aslında bu kitap, baştan sona pek çok örnekle dolu. (Okumanızı tavsiye ederim, çok önemli katkısı olacak.) Ama bu örnek Mitnick’in adlandırdığı gibi gerçekten ‘aldatmanın klasik bir örneği’.
Bir yazılımın ya da bir sistemin güvenliğinden sorumluysanız Mitnick’in ağzından bu hikayeyi kesinlikle dinleyin:

ALDATMANIN KLASİK BİR ÖRNEĞİ

Varlıklarınızın güvenliğine yönelik en önemli tehlike nedir? Cevap basit: Sosyal mühendis – sol elini size izletirken sağ eliyle sırlarınızı çalan ve yanlış yolda olmaktan çekinmeyen bir sihirbaz. Bu karakter çoğunlukla o kadar arkadaş canlısı, etkileyici konuşmalı ve yardıma isteklidir ki, onunla karşılaşmış olmaktan mutluluk duyarsınız.
Sosyal mühendisliğin bir örneğine bakın. Bugün pek çok kimse Stanley Mark Rifkin adındaki genç adamı ve onun şimdi artık tarihe karışmış Los Angeles’taki Security Pacific National Bank ile olan küçük macerasını hatırlamaz. Macerası ile ilgili rivayetler muhteliftir ve Rifkin (benim gibi) kendi hikayesini hiç anlatmamıştır, bu yüzden aşağıdakiler basılmış raporlara dayalı.

Kodun kırılması

1978’de bir gün Rifkin, Security Pacific’in sadece yetkililerin girebildiği ve her gün milyarlarca dolar paranın gönderilip alındığı wire-transfer odasına süzüldü. Ana bilgisayarlarının sorun yaşaması olasılığına karşı bu odanın verilerinin yedekleme sistemini geliştirmek üzere sözleşme yapılmış bir firma için çalışıyordu. Bu rol kendisine banka görevlilerinin bir transferi göndermek üzere nasıl hazırladıkları da dahil olmak üzere transfer süreçlerine erişim sağladı. Transfer emri vermeye yetkili banka görevlilerine transfer odasını aradıkları zaman kullanmak üzere her sabah sıkı korunan bir günlük kodu verildiğini öğrenmişti.
Odanın içinde memurlar her günün kodunu ezberlemeye çalışmaktan kendilerini kurtarmışlardı: Kodu bir kağıt parçasına yazıp kolayca görebilecekleri bir yere iliştiriyorlardı. Bu Kasım gününde Rifkin’in ziyaretinin özel bir sebebi vardı. Bu kağıt parçasına bir göz atmak istiyordu.
Odaya vardığında yedekleme sisteminin normal sistemle uyumlu çalışmasını garantilemek için çalışır havasında işlem süreçleri üzerine notlar almaya başladı.
Bu arada kimseye fark ettirmeden yapıştırılmış kağıdı görüp güvenlik kodunu okudu ve ezberledi. Birkaç dakika sonra da dışarı çıktı. Daha sonra söylediğine göre piyangoda büyük ikramiyeyi kazanmış gibi hissediyordu.

Şu İsviçre’deki banka hesabı…

Öğleden sonra 3 gibi odadan çıktığında doğru binanın mermer lobisindeki paralı telefonlara yöneldi, bozuk para attı ve transfer odasını aradı. Sonra şapkaları değiştirdi, banka danışmanı Stanley Rifkin’den bankanın Uluslararası Departmanı’ndan Mike Hansen’e dönüştü.
Kaynaklardan birine göre konuşma yaklaşık şöyle gelişti:
“Merhaba, ben Uluslararası'ndan Mike Hansen.” dedi telefonu cevaplayan genç kadına.
Kadın ofis numarasını sordu. Bu standart süreçti ve buna hazırlıklıydı, “286” dedi.
Sonra “Tamam, peki kod ne?” sorusu geldi.
Rifkin bu noktada adrenalinle güçlendirilmiş kalp atışının bu noktada “ritmini bulduğunu” söylüyor. Kesintisiz bir şekilde cevabı verdi: “4789”. Sonra da transferle ilgili emri vermeye başladı: “Tam olarak on milyon ikiyüz bin dolar. İsviçre’deki Wozchod Handels Bank of Zurich hesabına New York’taki Irving Trust Company’ye.” İsviçre’deki bankada hesabı daha önceden açmıştı.
“Tamam” dedi kız, “bilgileri aldım. Şimdi ofislerarası anlaşma numarasına ihtiyacım var.”
Rifkin’i ter bastı; bu beklemediği bir soruydu, araştırması sırasında gözden kaçırdığı bir şey. Ama oynadığı karakteri korumayı başardı, her şey yolunda gibi davrandı ve bir an bile kaybetmeden cevap verdi: “Kontrol edeyim. Sizi hemen tekrar ararım.” Bankanın başka bir departmanını aramak için tekrar şapkaları değiştirdi, şimdi transfer odasında çalışan biri rolündeydi. Anlaşma numarasını aldı ve kızı tekrar aradı. Kız numarayı aldı ve “Teşekkürler” dedi.

Kapanışı yapmak

Birkaç gün sonra Rifkin İsviçre’ye uçtu, peşin parayı aldı ve bir Rus ajansına bir yığın elmas için 8 milyon doların üzerinde para ödedi. Elmaslar bir para kemerinde saklı olarak Amerikan gümrüğünden girmek üzere geri uçtu. Tarihteki en büyük banka soygununu yapmıştı – ve bunu bir ***** bile, hatta bir bilgisayar bile kullanmadan yapmıştı. İlginç bir şekilde bu macera “Guinness Dünya Rekorları Kitabı”nın sayfalarına “en büyük bilgisayar yolsuzluğu” olarak girdi.
Stanley Rifkin aldatma sanatını kullanmıştı – bugün sosyal mühendislik olarak adlandırılan yetenek ve teknikleri. Aslında tüm gereken mükemmel planlama ve biraz yetenekti.


TEHDİDİN DOĞASI

Rifkin hikayesi, güvenlik duygumuzun ne kadar aldatıcı olabileceğini gösteriyor. Bunun gibi olaylar –tamam belki 10 milyon dolarlık değil ama yine de zararlı olaylar- her gün oluyor. Tam şimdi para kaybediyor olabilirsiniz, ya da birileri yeni ürün planlarını çalıyordur ve bunu bilmezsiniz bile. Henüz şirketinizin başına böyle bir şey gelmediyse, soru olup olmayacağı değil ne zaman olacağı…

Büyüyen bir sorun

Computer Security Institute 2001 bilgisayar suçları anketinde, katılan organizasyonların yüzde 85’inin son oniki ay içinde bilgisayar güvenliği ihlali belirlediklerini rapor etti. Bu hayret verici bir oran: Katılımcıların sadece yüzde 15’i son bir yıl içinde bir güvenlik ihlali yaşamadıklarını söyleyebiliyorlar. Yine hayret verici bir oran da bilgisayar ihlalleri sebebiyle finansal kayba uğradıklarını belirten firmaların oranı: yüzde 64. Organizasyonların yarısından bir hayli fazlası bu sebeple parasal kayba uğramış. Tek bir yılda.
Kendi deneyimlerim bu tür raporlardaki sayıların biraz abartılı olduğuna inanmaya yönlendiriyor beni. Anketi yapan insanların düşünceleri, olası amaçları konusunda şüphelerim var. Ama bu zararın yaygın olmadığı anlamına gelmez; yaygın. Bir güvenlik olayı için planlama yapmayanlar, başarısızlık için planlama yapıyorlar demektir.
Çoğu firmada kullanılmakta olan ticari güvenlik ürünleri amatör bilgisayar zararlısına karşı koruma sağlamaya yöneliktir. Aslında indirilmiş yazılımlarla hacker olmaya çalışan bu taife sadece sivrisinek vızıltısıdır. Daha büyük kayıplar, asıl tehditler, finansal kazanımlarla motive olan ve iyi tanımlanmış hedeflere sahip gelişmiş saldırganlardan gelir. Bu insanlar amatörlerin yaptığı gibi mümkün olduğunca çok sisteme girmeye çalışmaz, bir anda bir hedef üzerinde odaklanırlar. Amatör bilgisayar zararlıları sadece nicelik peşindeyken, profesyoneller kalite ve değer bilgisi peşindedir. Tanıtlama cihazları (kimliği kanıtlamak için), erişim kontrolü (dosyalara ve sistem kaynaklarına erişimi yönetmek için) ve saldırı tespit sistemleri (hırsız alarmlarının elektronik karşıtları) gibi teknolojiler bir kurumsal güvenlik programı için gereklidir. Böyleyken günümüzde bir şirketin güvenlik saldırılarına karşı organizasyonu korumak için karşıt önlemleri kullanmaktan daha çok parayı kahve için harcadığını görmek sıradandır. Suça yatkın bir kafanın tahrike dayanamaması gibi, hacker kafası da güçlü güvenlik teknolojisi savunmalarının etrafından yollar bulmaya güdülüdür. Ve çoğu vakada, bunu teknolojiyi kullanan insanları hedefleyerek yaparlar.

WeBCaNaVaRi'na Üye Olmadan Link'leri ve Kod'ları Göremezsiniz.
Link'leri Görebilmek İçin. Üye Ol. veya Giriş Yap.
Üyelerimizden Destek Bekliyoruz.
WeBCaNaVaRi Botu

Bu Site Mükemmel :)

*****

Çevrimİçi Çevrimİçi

Mesajlar: 222 194


View Profile
Re: Dijital Dolandırmanın Klasik Bir Örneği
« Posted on: Mart 19, 2024, 06:35:03 ÖÖ »

 
      Üye Olunuz.!
Merhaba Ziyaretçi. Öncelikle Sitemize Hoş Geldiniz. Ben WeBCaNaVaRi Botu Olarak, Siteden Daha Fazla Yararlanmanız İçin Üye Olmanızı ŞİDDETLE Öneririm. Unutmayın ki; Üyelik Ücretsizdir. :)

Giriş Yap.  Kayıt Ol.
Anahtar Kelimeler: Dijital Dolandırmanın Klasik Bir Örneği e-book, Dijital Dolandırmanın Klasik Bir Örneği programı, Dijital Dolandırmanın Klasik Bir Örneği oyunları, Dijital Dolandırmanın Klasik Bir Örneği e-kitap, Dijital Dolandırmanın Klasik Bir Örneği download, Dijital Dolandırmanın Klasik Bir Örneği hikayeleri, Dijital Dolandırmanın Klasik Bir Örneği resimleri, Dijital Dolandırmanın Klasik Bir Örneği haberleri, Dijital Dolandırmanın Klasik Bir Örneği yükle, Dijital Dolandırmanın Klasik Bir Örneği videosu, Dijital Dolandırmanın Klasik Bir Örneği şarkı sözleri, Dijital Dolandırmanın Klasik Bir Örneği msn, Dijital Dolandırmanın Klasik Bir Örneği hileleri, Dijital Dolandırmanın Klasik Bir Örneği scripti, Dijital Dolandırmanın Klasik Bir Örneği filmi, Dijital Dolandırmanın Klasik Bir Örneği ödevleri, Dijital Dolandırmanın Klasik Bir Örneği yemek tarifleri, Dijital Dolandırmanın Klasik Bir Örneği driverları, Dijital Dolandırmanın Klasik Bir Örneği smf, Dijital Dolandırmanın Klasik Bir Örneği gsm
Yanıtla #1
« : Nisan 29, 2009, 04:40:14 ÖÖ »
Avatar Yok

By.CeZa
*
Üye No : 293
Nerden : İstanbul
Cinsiyet : Bay
Konu Sayısı : 12191
Mesaj Sayısı : 28 687
Karizma = 11179


Teknolojinin kötü yanlarından birisi. Gülmek :)
Yanıtla #2
« : Mayıs 13, 2009, 07:39:33 ÖS »
Avatar Yok

BemaGül
*
Üye No : 15237
Yaş : 41
Nerden : Antalya
Cinsiyet : Bayan
Konu Sayısı : 341
Mesaj Sayısı : 4 959
Karizma = 10


paylaşım için teşekkürler Gülmek :)
Sayfa 1
Yukarı Çık :)
Gitmek istediğiniz yer:  


Benzer Konular
Konu Başlığı Başlatan Yanıtlar Görüntü Son Mesaj
Basit 1 Html Dosyasi Örneği.
Html Dökümanlar
[B]a[R]a[N] 2 1349 Son Mesaj Nisan 17, 2008, 04:37:14 ÖÖ
Gönderen : xxRuzqaRxx


Theme: WeBCaNaVaRi 2011 Copyright 2011 Simple Machines SiteMap | Arsiv | Wap | imode | Konular