Bu Help Net Security röportajında, Secure Yeti’nin Baş Düşman Görevlisi Jayson E. Street, sosyal mühendisliğin ilgi çekici yönlerini ve hedef bilgileri toplamaya yönelik alışılmadık yöntemleri tartışıyor.
Street, gözden kaçan fiziksel güvenlik tehdidini ve insanın olumsuz sonuçları ihmal etme eğilimini araştırıyor. Ayrıca şirketin iş istasyonlarına yapılacak fiziksel bir saldırının yol açabileceği olası hasarlara ilişkin öngörülerini paylaşıyor ve sahada karşılaşılan durumları anlatıyor.
Sosyal mühendisliğin en ilgi çekici kısımlarından biri ödev veya araştırma aşamasıdır. Bir hedef hakkında bilgi toplamak için hangi alışılmadık yöntemleri gördünüz veya kullandınız?
Bir sözleşme için araştırma ve keşif yaparken kullandığım en alışılmadık yöntemlerden biri, özellikle de fiziksel bir uzlaşma için şantiyeye gitmemi gerektiren yöntemler, binalarında çalışmış mimarların web sitelerini kullanmaktır. Bina yönetimi web sitesine gideceğim çünkü bazen binalarının iç kısmının nasıl göründüğünü gösteren planlar ve resimler bulacaksınız.
Bunun yaptığı şey, oraya varmadan önce çevreye aşinalık kazanmanıza yardımcı olmaktır. Ne kadar rahat bakarsanız ve çevreye aşina olursanız, insanlar sizin dışarıdan biri olduğunuzdan o kadar şüphelenmeyecek ve ne kadar az şüphelenirlerse, ne yaptığınız konusunda işinize devam etmeniz o kadar kolay olacaktır. yapılacak şey onları soymaktır!
Hedeflediğim büyük bir şirketin binasının web sitesini ziyaret ettim. Dikkat çekici bir şekilde site, iç yerleşim planları ve ofis alanları da dahil olmak üzere binanın ayrıntılı planlarını açıkça paylaştı. Ücretsiz olarak erişilebilen bu bilgi, yük asansörünün konumu, yükleme iskelesi ve elektrik odaları gibi kritik altyapı unsurlarını ortaya çıkardı. Bu kadar ayrıntılı bir açıklama, binanın fiziksel güvenlik sistemlerinin nasıl aşılabileceğine dair fikir verdi.
Sosyal medyanın hedefleriniz hakkında bilgi toplamayı son derece kolaylaştırdığını hepimiz biliyoruz. Rozetlerini Instagram ve Twitter’dan kaldırmak bir şeydir. Yine de şirketlerin kendilerine karşı kullanılabilecek şeyin yalnızca sosyal medya olmadığını anlamaları gerekiyor; ortaklarının, işe aldıkları kişilerin ve birlikte çalıştıkları kişiler, siber güvenliklerine ve çevre güvenliklerine zarar verebilecek bilgileri ifşa edebilir.
Gerçek dünyada kullandığınız en yaygın sosyal mühendislik hilelerinden bazıları nelerdir?
Benim temel sosyal mühendislik numaram sanki oraya aitmişsiniz gibi bir yere yürümek. İnsanlar, güvenin sizi bir yere ne kadar götüreceğini ve insanların kendilerini güvende hissettiklerinde ne kadar şüpheci olmadıklarını hafife alırlar. Her zaman, güvenliksizlikten daha kötü olan tek şeyin sahte güvenlik duygusu olduğunu söyledim, çünkü o sahte güvenlik duygusuna sahip olduğunuzda korkunç bir şeyin olacağını hayal etmek zordur.
Kimlik avı saldırısı yaparken yaptığım en önemli hilelerden biri onlara olumlu bir şeyin olduğunu söylememek. E-postanın konusunun her zaman talihsiz olduğunu, hata olabilecek bir şey olduğunu, önemli bir şey olduğunu ve hemen düzeltilmezse korkunç sonuçlara yol açabileceğini düşünüyorum.
İnsanlar başlarına iyi bir şey geldiğine ya da geleceğine dair bir e-posta aldıklarında çok şüpheleniyorlar. Yine de tarih boyunca insanlar, etraflarında tehdit edici bir durumun meydana geldiğini hissettiklerinde neredeyse her ne pahasına olursa olsun bilgiye ihtiyaç duymuşlardır. Neler olduğunu ve bunun onları nasıl etkileyebileceğini keşfetmeleri gerekiyor.
Böyle bir durum yarattığınızda, insanların bilinçaltında daha fazla bilgi edinmek için bir bağlantıya tıklama olasılıkları daha yüksektir, özellikle de onlara bağlantıyı vurgulamadığınızda veya özellikle bağlantıya tıklamalarını söylemediğinizde. Onlara, “Bu bizim için kötü görünüyor; bunun önüne geçmemiz gerekebilir” veya “Bu haberi az önce okudum; Yarın ofise gittiğinde bana haber ver, böylece bu konuyu tartışabiliriz.” Onlara hiçbir zaman bağlantıya tıklamalarını söylemedim. Onlara tüm kötü şeylerin burada olduğunu söyledim ve bu arada, bu e-postanın içinde size bu konuda daha fazla bilgi veren bir kaynak da var. Gerisini merak halleder.
Sık sık yazılımdaki güvenlik açıklarını duyuyoruz ancak fiziksel izinsiz giriş, birçok kuruluş için gözden kaçan bir tehdittir. İşletmeler bu güvenlik hususunu ne sıklıkla ihmal ediyor ve sizce bu gözetim neden yapılıyor?
Yazılımdaki güvenlik açıkları ile fiziksel izinsiz girişler arasındaki çoğu kuruluşun sıklıkla gözden kaçırdığı temel farklardan biri, yazılımdaki güvenlik açıklarının çok tanımlanmış ve dar saldırı vektörlerine sahip olmasıdır. Bunun nedeni bunların ağ, işletim sistemi ve hedeflenen programla sınırlı olmasıdır.
Ancak fiziksel bir izinsiz girişte günün saati, binanın konumu, uygulanan güvenlik önlemleri ve bu güvenliği sağlamakla görevlendirilen kişiler gibi pek çok faktör devreye giriyor. Tüm bu faktörler sürekli olarak değişim halindedir ve herhangi bir bildirimde bulunulmaksızın günden saate, andan ana değişecektir, dolayısıyla önlenmesi doğası gereği daha karmaşıktır.
Pek çok şirket, ne yazık ki yanıldıkları kanıtlanana kadar asgari düzeyde yatırım yapacak ve en iyisini umacaktır. İnsan doğası her zaman olumsuz sonuçları düşünmekten ve bunlara hazırlanmaktan nefret etmiştir. Kötü bir şeyin olacağını ya da kötü bir şeyin gerçekleşmek üzere olduğunu düşünmekten hoşlanmayız. Bunun meydana geldiği gerçeğiyle yüzleşmekten başka seçeneğimiz olmadığı sürece, çoğu insanda bu kusurun üstesinden gelmek çok zordur.
Bunun mükemmel bir örneği, kendi bölgelerinde trajik bir olay meydana geldikten sonra çevredekilerin ve tanıkların haber muhabirine söylediklerini kaç kez duyacağınızdır. İlk bahsettikleri şeylerden biri sakin bir mahalle olduğu ve burada böyle bir şeyin olmayacağını düşünüyorlardı.
Bir saldırgan bir şirketin sabit iş istasyonlarına fiziksel erişim sağladığında, bu makinelerin genellikle daha düşük bir koruma düzeyine sahip olduğu göz önüne alındığında, genellikle ne tür bir hasar veya hırsızlık meydana gelebilir?
Daha endişe verici olan soru şu: Neler başarılamaz? Cihazınıza fiziksel erişimim varsa, ağınıza da erişirim ve eğer ağınıza erişimim varsa, o zaman zaman verilirse, ağınıza sahip olurum.
Sahada çalışırken karşılaştığınız en ilginç durumlar nelerdir?
Görevlerimin çoğunu sahada yaparken, fiziki tavizler verirken, pek çok ilginç durumla karşılaştım. ben de neden oldu birkaç ilginç durum.
Bir keresinde, yüksek katlı bir binada bir müşteriyi soyuyordum ve yük asansörüne binmek için, ayakkabı boyama operatöründen beni içeri almasını ve yükleme iskelesinden asansöre geçirmesini istedim. Çok dost canlısı ve yardımseverdi. Ona bahşiş verecek param olmadığı için kendimi çok kötü hissettim çünkü bunu o nişandan kazandı.
Ayrıca bir temizlik ekibinin beni süite sokmasını sağlayarak devlet hazinesine sızmak zorunda kaldım. Bütün bu zaman boyunca, işin kapsamı nedeniyle gerçeği söylemek zorunda kaldım ve bunu o kadar dürüst olmayan bir şekilde yaptım ki, beni süite aldılar ve sonunda devlet hazinesini tehlikeye attım.
Ayrıca bazı insanları Jamaika’daki toplulukları için yaptıkları harika işlerden dolayı televizyona çıkaran bir TV yapımcısı rolünü de oynamak zorunda kaldım. Hayır kurumunun dizüstü bilgisayarındaki USB sürücüyü, soyduğum finans kurumuyla aynı ağ üzerinde çalıştırmalarını sağladım.
Yakın geleceğe bakıldığında kuruluşların özellikle hangi tehditlerden endişe etmesi gerektiğini düşünüyorsunuz?
Gelecekteki tehditler hakkında konuştuğumuzda, çoğu insan otomatik olarak yapay zeka tehlikesine veya bir ülkenin ulusal elektrik şebekesine veya altyapısına sızma tehlikesine girecek. Bununla birlikte, herkes yepyeni parlak sıfır gün veya yapay zeka, makine öğrenimi, blockchain ve diğer zincirlerden gelen çok yaygın tehditlere odaklanmaya çalışırken, ben bir kuruluşun özellikle endişelenmesi gereken tehditler olduğunu söylüyorum. gelecekte ise uzun süredir burada olanlar var.
Ağlarımızın her yerinde bu kadar çok güvensiz, yeterince şifre korumalı IoT cihazı olduğu için hala ağlar ampuller ve satış makineleri tarafından devre dışı bırakılırken yapay zekanın şirketinizin ağına neler yapabileceği konusunda nasıl endişelenebilirsiniz? Bu varlıkların düzgün bir şekilde izlendiğinden veya alt ağlarına konulduğundan ve ağın geri kalanından bölümlere ayrıldığından bile emin değilim. En kötü senaryoda internete sınırsız erişime sahipler.
Bir şirket, başlangıçtan itibaren kapsamlı bir varlık yönetimi programı başlatarak riskini önemli ölçüde azaltabilir. Aynı zamanda, sağlam bir yama yönetimi süreci oluşturmak için zaman harcamak da çok önemlidir. Bu ikili yaklaşım, hem varlıkların etkili bir şekilde izlenmesini ve bakımını, hem de sistemlerin zamanında güncellenmesini ve güvence altına alınmasını sağlayarak genel kurumsal dayanıklılığı artırır.
Ne yazık ki pek çok şirket, sıradan ve zorlayıcı görünse de organizasyonun korunmasında genellikle çok daha etkili olan savunma önlemlerini uygulamaya yatırım yapmak yerine, en yeni, moda sözcüklerle dolu tehditlere daha fazla odaklanma eğilimindedir. Sonuçta, bu temel güvenlik uygulamalarının pratikliği ve etkinliği, şirketin korunmasını sağlamada göz ardı edilemez.