International Cyber Expo’nun ikinci günü, etik hackleme uzmanı ve Falanx Cyber Farkındalık Başkanı Rob Shapland’ın büyüleyici bir konuşmasıyla başladı.
Shapland konuşmasına etik bir hacker olarak rolünü açıklayarak başladı, ardından binalara girme konusundaki yeteneğinin bir açıklamasını yaptı. İkna edici iş kıyafetleri giymekten bir şirketin ofisine fiziksel olarak girmenin bir yolunu bulmaya kadar, Shapland kitaptaki her numarayı kullanıyor. Hepsi, ağ güvenlik kontrollerini atlama yeteneğini kanıtlamak için.
Shapland, önceki deneyimlerine dayanarak, bir ilaç şirketinden bir aşı tasarımı çalmasının istendiği zamanın hikayesiyle izleyicilerini büyüledi. Amacı? İnternete bağlı olmayan bir bilgisayarda saklanan aşı tasarımını çalmak için bilgisayar ağının içine girmek. Tabii yakalanmadan.
Misyonun ilk adımı, kapsamlı şirket arka plan araştırması yürütme operasyonu olan Açık Kaynak İstihbarat Toplama (OSIG) ile başlayarak planlamaktı. Shapland açıkladı:
“Bir şirkete girmek istiyorsanız, yapmanız gereken ilk şey kim olduklarını bulmaktır. Nerede yerleşikler? Onlar ne yapar? Sosyal medyadaki varlıkları nasıl? Bu yüzden web sitelerinden başlıyorum, daha sonra kurumsal ve sosyal medya sayfalarına (Facebook, Instagram, Twitter) bakacağım.”
Araştırması, aktif bir şirket sosyal medya hesabı, internete açık 25 bilgisayar, bir web sitesi, bir O365 paketi ve LinkedIn aracılığıyla en az 100 çalışanın kimliğini ortaya çıkardı. Bu ona, çalışanın e-posta adreslerini mühimmat olarak kullanarak olası bir kimlik avı saldırısı gerçekleştirme fikrini verdi. Shapland daha sonra bir iş e-posta adresinin nasıl etkili bir şekilde tahmin edileceğini açıklamaya devam etti:
“Adları LinkedIn’den alarak, adlarını ve çalıştıklarını bildiğiniz için e-posta adreslerine dönüştürmek zor değil. Ad.soyadı @ şirket adı olması muhtemeldir. com ve bu onların e-posta adresi olacak.”
Shapland, bir çalışanın ev adresini bulma, Wi-Fi’larına girme ve şirket ağına erişme konusundaki mizahi girişiminin ayrıntılarını paylaştı. İlk önce bir çalışanın ev adresini bulması gerekiyordu. Ve bunu nasıl başardı? Suç ortağı olarak atletik bir izleme uygulaması olan Strava ile.
“Açık bir Strava profiliniz varsa, herhangi biri profilinize erişebilir ve tüm koşularınızı ve döngülerinizi görebilir. Bunlardan birkaçına bakarak, birinin koşularının/döngülerinin nerede başlayıp nerede bittiğine dair bir resim oluşturabilirsiniz. Yeterli sayıda koşuya bakarsanız buradan ev adreslerini öğrenebilirsiniz… bu yüzden bunu bir çalışanın ev adresini tanımlamak için kullandım. Bir minibüs kiraladım ve evlerine gittim, minibüste bir dizüstü bilgisayar ve antenle oturdum ve Wi-Fi sistemlerine girmeye çalıştım.
Ne yazık ki Shapland’ın çabaları, çalışanın 20 karakterlik ev Wi-Fi şifresini aşamadığı için başarısız oldu. Bununla birlikte, deneyimden zevk aldı ve bunun geçmişte etkili bir teknik olduğunu kaydetti.
Alternatif bir izinsiz giriş taktiği olarak Shapland, hedefli bir kimlik avı saldırısı düzenlemeye geri döndü. Ancak, aynı anda 100 e-posta göndermenin çok fazla gürültü yaratacağını anladıktan sonra, yalnızca bir avuç çalışanı hedeflemeye karar verdi. Bu, operasyonu gerçekleştirmenin daha etkili bir yolu olacaktır. Her üç çalışan da Instagram’da ilan edildiği gibi yurtdışına gittikleri için seçildi.
Kimlik avı e-postası, çalışanları yalnızca yaklaşan tatil isteklerini onaylamak için ‘İK’ tarafından gönderilen bir isteğe uyduklarına ikna etmek için tasarlandı. Ancak yalnızca kötü amaçlı bir bağlantı yoluyla. Başarı! İki çalışan yemi yakaladı ve şirket müdürü bu dolandırıcılığa kapıldı.
Doğrulanmış oturum açma bilgileriyle donanmış olan Shapland’ın bir sonraki adımı, hedefinin İngiltere’de on beş ofisi olan büyük bir ilaç şirketi olduğu düşünüldüğünde, fiziksel olarak hangi binaya girmeye çalışacağına karar vermekti. CCTV’den, güvenlik görevlilerinden ve hareket sensörlerinden kaçmak için en az güvenli ofisi seçti. İdari karargah ana caddede bulundu.
Yönetim ofisine vardığında Shapland, ana caddede bulunan yerel kafeden ofis çevresini nasıl gözlemlediğini anlattı. Cevaplaması gereken en önemli sorular şunlardı: Çalışanlar ne zaman geliyor? Onlar ne giyiyorlar? Kolay erişilebilir girişler var mı? Güvenlik neye benziyor? Kimlik kartı takıyorlar mı?
“Bu rozetin bir güvenlik kapısının kilidini açması gerekiyorsa, FRD klonlayıcı adı verilen bir cihazı yanıma alacağım, yani bu rozeti takan birinin yarım metre yakınına gelirsem, rozetini kopyalayabilir ve cihazı kullanabilirim.” güvenlik bariyerlerinin kilidini açmak veya cihazdan gelen sinyali karta daha iyi aktarmak için kart çalışacaktır”
Shapland, daha az çalışanı olan küçük bir ofisi hedeflemeyi seçtiğinden, fark edilmemeyi bekleyemezdi. Onun çözümü? BT Mühendisi olarak poz verin. Bu sonuca, bir toplum mühendisinin operasyon sırasında nasıl davranacaklarını ve taklit kişiliklerini belirlediği süreç olan bahane aşamasında geldi.
Instagram’dan kopyalanmış bir Hi-Vis BT ceketi, panosu ve sahte kimlik kartıyla donanmış olan Shapland, planının bir sonraki aşamasını başlatmaya hazırdı. Kendinden emin bir şekilde binaya girdi, resepsiyon masasına yöneldi ve şöyle dedi:
“Merhaba, ben BT’den geldim. Merkez ofisinizden büyük bir şebeke kesintisi olduğunu, sizinle hiç konuşamayacaklarını söyleyen bir telefon aldık, gelip sorunu çözmemi istediler ve bunun BT ile ilgili bir sorun olup olmadığını anlamamı istediler. Binadaki ışıklar, yukarı çıkmamın sakıncası var mı? Yarım saatten uzun sürmemeli, sadece bazı temel teşhisleri çalıştırmanız gerekiyor”
Shapland daha sonra şirketin savunmasını nasıl atladığının ayrıntılarını paylaştı. Resepsiyon görevlisinin onun gelişiyle ilgili şüpheleri başka sorulara ve daha fazla ilerlemeden önce Merkez Ofise danışma talebine yol açtığından, Shapland B planına başvurmak zorunda kaldı. Metin öncesi aşamada bu engel için zaten hazırlanmış olan Shapland, Adam’ın şu anda Karayipler yolculuğunda olduğunu çok iyi bilen, BT’nin gerçek bir üyesi olan Adam ile hızlı bir onay.
Şimdi, ona ulaşamayınca, resepsiyonist Shapland’ın Adam’ı kendisinin aramasını önerdi. Shapland’ın hızlı düşünmesi günü kurtardı.
“Bu iki numarayı aldım, binadan ayrıldım ve düşündüm ki, bunu gerçekten planlamamıştım ama bu işi yapabileceğimi düşünüyorum çünkü Genel Müdürlükte çalışan yaklaşık 1000 kişi, Adam’ın sesini tanımama ihtimali var. Ekibimden birine telefon edip Adam gibi davranıp ‘Orada bir BT mühendisiniz var mı?’ dersem. bu muhtemelen işe yarayacaktır.”
Çabaları başarılı oldu ve onu hedefine bir adım daha yaklaştırdı. Ancak, her hareketini izleyen bir BT üyesiyle devam etme zorluğuyla karşı karşıya kaldı. Bunu başarmak için, etik bir hacker olarak öğrendiği bir numaralı derse güvendi: asla panik yapmayın. BT ile garip bir karşılaşmanın acısını çekmek zorunda kalırken, bu göreve devam edebildi.
Shapland, küçük ama yine de aşırı kalabalık ofise girdikten sonra sonraki adımlarını hesapladı. Yanında oturan gerçek bir BT çalışanı varken ağa nasıl girecekti? Neyse ki, BT departmanı bir toplantı planlamış ve onu sisteme girmek için yalnız bırakmıştı.
“Ağdaki ana sistem olan etki alanı denetleyicisi adlı bir bilgisayara eriştim. Çoğu etki alanı denetleyicisinde, oturum açma komut dosyalarına sahip bir dosyanız vardır ve bunların içinde size kullanılan ad dosya sunucularını söyler. Shapland’ı açıkladı.
Shapland, şirketin ana dosya sunucusuna açık erişimli Direktör olarak giriş yaptıktan sonra planının son aşamasını harekete geçirebilirdi. Bu ne anlama geliyor? Yansıtılmış klasörlerini süzüyor, aşı tasarımını buluyor ve ağ üzerinden dizüstü bilgisayarına aktarıyor. Tabii ki şifreli. Böylece görev başarılı ve tamamlandı.
Shapland, dinleyicilerine bu tür saldırılara karşı nasıl savunma yapılacağına dair tavsiyelerde bulunarak konuşmasını sonlandırdı. Bir bilgisayar ağında gezinirken, bir bilgisayar korsanının amacına ulaşmak için belirli görevleri yerine getirmesi gerekeceğine dikkat çekti. Örneğin, bir dosyanın çalınması, oturum açma kimlik bilgileri veya bir ağda yanal olarak hareket edilmesi. Çoğu durumda, bilgisayar korsanlarının ayrıcalıklarını yükseltmeleri gerekir. Örneğin, gerekli dosyalara erişim dosyalarına sahip olmak. Yaptıkları her şeyin, arkalarında şüpheli bir faaliyet izi bırakarak çeşitli ilişkili imzalara sahip olacağını akılda tutmak önemlidir.
Ancak kuruluşunuz bunu nasıl alabilir? Shapland’a göre…
“Bir Güvenlik Operasyon Merkeziniz (SOC) varsa, bunu alabilirler, biz algılama yanıtını yönetirken Falax’ın yaptığı şey budur, ağda tuhaf şeyler arayıp engellememiz anlamında” -Shapland tavsiye etti.
Shapland daha sonra dinleyicileri için eğitimin öneminden bahsetti. Ve siber e-öğrenme modülleri türünden bir eğitim değil. İlk elden izinsiz giriş operasyonlarından sağlanan eğitim, bunun kuruluşların bu saldırıların zararlı etkilerini öğrenmesi için daha etkili bir yol olduğuna inanmaktadır. Bu nedenle, rolünün bir parçası olarak eğitimi yürütür.
Son olarak, eğitime yatırım yapmanın yanı sıra Shapland, kalem testi ve kırmızı ekip oluşturma gibi mevcut güvenlik kontrollerini test etmek için gerçek alıştırmalar yapmanın önemini açıkladı. Bununla ilgili olarak, birçok şirket en son güvenlik kontrollerine bir servet harcıyor ancak bunların etkinliğini test etmek için ek kaynaklara yatırım yapmıyor. Şirketinizin nasıl saldırıya uğradığını başka nasıl öğreneceksiniz?