Bilgi Güvenliği ve Psikoloji

Saldırganlar dünyanın en pahalı sistemlerini tek bir klavye tuşuna bile dokunmadan nasıl geçiyorlar?

Bilgi güvenliğinin temel amacı bilindiği gibi bilginin gizlilik, bütünlük ve sürekli erişilebilirliğini sağlamaktır. Bu üç temel öğenin sağlanması için kurumlar milyon dolarları bulan yatırımlar yaparlar. Bunlar içerisinde Güvenlik duvarları, saldırı tespit/önleme sistemleri, antivirus sistemleri, kimlik doğrulama sistemleri gibi yatırımlar vardır.  Ancak bu yatırımlar bilgi güvenliğinin sağlanması için yeterli olacak mı?

Yeni işe girmiş birisi için herşey zaten yeterince zordur. Ona yardımcı olmak için birisi çıkageldiğinde yardımı kolaylıkla kabul edecektir. Yardımcı olmak isteyen kişi aslında kötü niyetli bir saldırgan(Toplum Mühendisi) olabilir. Saldırgan ile yeni işe giren arasında söyle bir telefon konuşması geçebilir:

Saldırgan(Toplum Mühendisi): merhabalar efendim, ben Bilgi işlem bölümünden arıyorum. Yeni başladığınız için size şirketimizin güvenlik politikaları hakkında bilgi vermem gerekiyor. Bu sizin güvenliğiniz için.
Kurban: Tabiki
Saldırgan: Adınız ve soyadınız lütfen?
Kurban:  Mehmet Yılmaz
Saldırgan: Size verilen kullanıcı adını bana söyler misiniz?
Kurban: myilmaz
Saldırgan: Güzel. Şimdi sizden bir paralo belirlemenizi rica ediyorum.
Kurban: tamam.
Saldırgan: belirlediniz mi?
Kurban: Evet,
Saldırgan: parolayı bana söyler misiniz?
Kurban: mehmet
Saldırgan: Bu biraz basit bir parola olmuş. Adınızın yanına bir sayı veya noktalama işareti koyarsanız tahmin etmesi zor bir parola olur. Şimdi yeniden belirleyin ve parolanızı hiç kimseyle paylaşmayın. Size bilgi işlem bölümünden olduğunu söylese bile. Size daha sonra bilgi güvenliği bilinçlendirme eğitimi verilecektir. İyi çalışmalar
Kurban: çok teşekkürler. iyi çalışmalar   

Bu hikayedeki güvenlik ihlali cihazlardan çok insan faktöründen kaynaklandı. Saldırgan Bilgi güvenliği eğitimi henüz almamış ya da bilgi güvenliği bilinci olmayan bir kurban seçiyor. Bu kişiler de genelde işe yeni başlamış çalışanlar oluyor. Kurbana kendini tanıttıktan sonra kurbanın güvenini kazanmak amacıyla Bilgi işlem bölümünden olduğunu söylüyor ve parolasını belirlemesini istiyor. Parolayı kontrol ediyor ve bir dahaki denemede kendisi kolaylıkla tahmin edebilsin diye kurbana kendi hesabının güvenliği için bu parolanın basit olduğunu ve kendisinin söylediği gibi bir parola belirlerse daha zor tahmin edilebileceğini söylüyor. 

Saldırgan burada kendini tanıtırken güvenilir bir organizasyondan geldiğini söyleyerek kurbanın güvenini kazanıyor, kendini sevdiriyor  ve ona yardımcı olarak kendisi üzerinde minnet duygusu bırakıyor. Böylece kurban kendisinin iyiliği için orada olduğunu düşündüğü kişinin istediklerini yapıyor üstelik sonunda da teşekkür ediyor. Burada saldırgan tamamıyla insan psikolojisinin temellerinden faydalanıyor.

Psikoloji profesörü Robert B. Cialdini, Scientefic American(Şubat 2001) dergisinde insanın yardılışından kaynaklanan eğilimleri altı madde halinde (Six “weapons of influence”) özetlemiştir. Bu altı madde aşağıdaki gibi sıralanmıştır:

Yetki

Yetkili biri bir talepte bulunduğunda insanların bu talebi yerine getirme eğilimi vardır. Bir kişi, talepte bulunan kişinin yetkili olduğuna inanırsa isteği yerine getirmeye ikna edilebilir. Cialdini “etki” adlı kitabında ABD’ nin orta batı kesimindeki üç hastanede yapılan araştırmayı yazmaktadır. Yirmi iki ayrı hemşire kendini hastane doktorlarından biri olarak tanıtan biri tarafından aranır ve kendilerine koğuştaki bir hastaya bir ilaç vermeleri konusunda talimatlar verilir. Bu talimatları alan hemşireler arayanı tanımıyorlardır ve gerçek bir doktor olup olmadığını bilmiyorlardır. İlaçla ilgili talimat telefonla verilmektedir  ve hastane kurallarına aykıdır. Ayrıca verilmesi istenen ilacın koğuşlarda kullanılmasına izin verilmemektedir ve uygulanması istenen doz verilmesi gereken dozun tam olarak iki katıdır. Bu yüzden hastanın yaşamını tehlikeye atma olasılığı vardır. Ancak olayların yüzde 95 inde Cialdini’ nin anlattığına gore “hemşire, koğuş ilaç dolabından istenen dozu alır  ve ilacı vermek üzere hastanın odasına doğru giderken” bir gözlemci tarafından durudurlur ve kendisine deneyden bahsedilir. 

Yetki kullanımı taktiğini ben de müşterilerime verdiğim danışmanlık hizmeti kapsamında yaptığım sızma testlerinde bir kaç kez kullanmıştım ve Windows Active Directory domainin “Domain Administrator” haklarına sahip kullanıcısının şifresini öğrenebilmiştim. Tabiki bunu da daha sonra raporumda belirtmiştim.

Sevme 

İstekte bulunan kişi kendini sevimli ya da kurbanla ortak ilgi alanları, inançları ve tavırları olan biri olarak gösterebilirse, insanlarda isteği yerine getirme arzusu ortaya çıkar.
Örneğin, sohbet aracılığı ile saldırgan, kurbanın bir hobisini ya da ilgi alanını öğrenmeyi başarır ve aynı ya da ilgi alanına benzer bir ilgi ve hayranlık duyduğunu söyler. Saldırgan, benzerlik görüntüsünü yaratabilmek için hedefin davranışlarının taklit etme yoluna gidecektir.

Karşılık bekleme

Bize değerli bir şey verilir ya da vadedilirse zorunluluk duygusundan dolayı biz de ona karşılık vermek isteriz. Bu konuyu daha iyi anlamak için Robert B. Cialdini’ nin sıkça kullandığı örneği kullanabiliriz. 1985’ teki Meksika depreminde Etopya binlerce dolarlık insani yardım yapmıştır hem de o sıralar kıtlıkla uğraşmasına ve ülkede iç savaş olmasına rağmen. Bunun sebebi 1935 yılında İtalya tarafından kendi ülkelerine yapılmış olan işgal sırasında Meksika’ nın Etopya’ ya diplomatik destek vermesidir. Burada karşılık verme zorunluluğunda hisseden Etopya’ dır.

Karşılık bekleme duygusunu saldırganlar da sıkça kullanırlar. Örneğin, bir çalışanı arayıp kendisini Bilgi İşlem biriminden biri olarak tanıtarak, ağda çok büyük bir virüs saldırsı olduğunu ve kendi bilgisayarını bundan nasıl koruyacağının yöntemlerini anlatmak istediğini söyleyen saldırgan, hemen sonrasında çalışandan kullanıcı parolalarını kontrol eden bir yazılımı yüklemesini ve çalıştırmasını isteyebilir. Çalışan karşılık bekleme duygusundan dolayı bu isteği geri çevirmeyecektir.
  
Tutarlılık

Eğer insan bir şeyi sözlü ya da yazılı olarak vaat ederse, genellikle sözünü tutmak için çaba gösterir. Söz verildiği zamandaki şartlar ile sözün yerine getirileceği zamandaki şartlar aynı olmasa bile ya da şartlar çok daha kötü olsa bile söz tutulmaya çalışılır.
Buna örnek olarak yazının en başında verdiğimiz  örnek  değiştirilerek sunulabilir. O örnekte işe yeni giren ve bilgi güvenliği süreçlerinden ve politikalarından habersiz bir çalışan vardı. Vereceğimiz bu örneği saldırganın bilgi güvenliği süreçlerini bilen ve şirketin bilgi güvenliği parola uyumluluk kriterlerinden haberdar bir çalışana yapılan saldırı olarak değiştirebiliriz. Bu kez de saldırgan şirket güvenlik politikalarından haberdar olan bir çalışana, şirket politikalarına uyumluluktan dolayı parolasını söylemesini ister. (Çalışan şirket güvenlik politikalarını bilmektedir ve uygulayacağına dair şirkete söz vermiştir) Ardından saldırgan çalışana gelecekte kolayca tahmin edebileceği bir parola belirleme yöntemi söyler ve çalışan şirket güvenlik politikasındaki parola uyumluluğunun her an kontrol edilebileceği ve tutarlı olma zorunluluğu duygusundan dolayı saldırganın isteğini yerine getirir.

Toplum içinde kabul görme

İnsanlar, bişeyler yapan diğer insanları gördüklerinde onların yaptıklarını yapmak konusunda kendilerinde hak görürler.   Başkalarının  yaptıkları, söz konusu davranışın doğru ve yerinde olduğunun bir onayı olarak görülür.
Örneğin saldırgan, bir araştırma yaptığından bahseder ve kurbana, kurbanın biriminde kendisine yardımcı olanların isim listesini verir ve de kurbanın bilgisayar kullanıcı adı ve parolasını açığa çıkaracak bir dizi soru sorabilir. Ancak kurban birimindeki diğer arkadaşlarının da aynı şekilde yardımcı olduğunu düşündüğü ve bu bilgileri vermekte sakınca görmediği için bu sorulara olumlu cevaplar verir ve saldırgan istediği bilgiyi alır.

Kıtlık

İhtiyaç olan malın miktarı az ise bu her zaman insanlarda talep yaratır.
Saldırgan şirketin  yeni internet sitesine kayıt olan ilk 50 kişinin en yeni filmlere bedava bilet kazanacağını söyleyen e-postalar yollar. Olaydan habersiz şirket çalışanı sitede istenen şirket e-posta adresi ve bir parolayı kayıt olmak için girer. Pek çok insanın hatırlaması kolay olsun diye kullandıkları her hesapta ya da bilgisayarda aynı parolayı kullanma eğilimleri vardır. Saldırgan bundan yararlanarak internet sitesi kayıt işlemlerinde girilen kullanıcı adı ve parolayı kullanarak hedef hesaplara girmeye çalışır. Hedef hesap bir kişisel bilgisayar ya da başka bir şirket hesabı olabilir.  

Saldırganlar, işte bu altı yaradılış temelli duygudan faydalanarak dünyanın en pahalı sistemlerini  birkaç basit telefon konuşmasıyla, bilgisayar klavyesine el bile sürmeden devre dışı bırakıp istediklerini yapabilmektedirler. O halde yazının başındaki  “Ancak bu yatırımlar bilgi güvenliğinin sağlanması için yeterli olacak mı?”  sorunun yanıtı “hayır” olacaktır. Bu yatırımların hiçbiri bilgi güvenliğini garanti edemiyor. Aslında bilgisayar sistemlerindeki açıklardan daha çok “bilgi güvenliği bilinci” olmayan insanların şirketlerde çalışıyor olması daha büyük tehlike arz ediyor. Çünkü bilgi güvenliği zincirindeki en zayıf halka insanın ta kendisi. Peki bu açık nasıl kapatılabilir? Tabii ki “Bilgi güvenliği farkındalık” eğitimleri ile.

Saldırganların kullandığı tekniklerden sakınmak amacı ile çalışanları şirket güvenlik kurallarını anlatan intranet sitesine yönlendirmek bu riski tek başına azaltmayacaktır. İşletmeler yalnızca kuralları yazılı biçimde belirlemekle kalmamalı, bunların herkesin öğrenmesi amacı ile çalışanlara belli zaman aralıklarında anlatmalıdır. Gerekirse uygulamalı olarak riski, doğuracağı sonuçları ve giderme yöntemlerini anlatmalıdır.

Toplum mühendislerinin ağına düşmemek için onların nasıl düşündüğü, insanların yaradılışlarından dolayı sahip olduğu duygular ile nasıl oynadıkları çok iyi anlaşılmalıdır. Toplum mühendisleri aslında birer tiyatro oyuncusu ve çok iyi birer psikologdurlar, bunun farkında olsalar da olmasalar da. 

Kaynakça
Kevin Mitnick, William L.Simon(2008), The Art of Deception,
Cialdini, R. B. (2001). The science of persuasion. Scientific American,
Cialdini, R. B. (2001). Influence: Science and practice (4th ed.). Boston: Allyn & Bacon