Kevin Mitnick Aldatma Sanatı - quem4R

---

GR
Bu kitap, bilgi guvenlii ve toplum muhendisliiyle ilgili youn bilgiler
icermektedir. Yolunuzu bulmanizi kolaylatirmak icin, ite size kitabin .
iceriine hizli bir baki:
Perde Arkasi baliinda guvenliin en zayif halkasini aciklayacak,
sizin ve irketinizin neden toplum muhendislii saldirilarina maruz kala-
bileceinizi gostereceim.
Saldiri Sanati baliinda, toplum muhendislerinin istediklerini elde
etmek icin guveninizle, yardimci olma isteinizle, sevecenliinizle ve
insani safliklarinizla nasil oynadiklarim goreceksiniz. Sik gorulen
saldirilarla ilgili hayali oykuler toplum muhendislerinin pek cok kimlie
ve yuze burunebildiklerini size gosterecek. Eer daha once bir toplum
muhendisiyle karilamadiinizi duunuyorsaniz, buyuk olasilikla
yaniliyorsunuzdur. Bakalim, bu oykulerde daha once sizin de
yaadiiniz bir senaryo gorecek ve toplum muhendisliinin size
dokunup dokunmadiini merak edecek misiniz? Bu olmayacak bir ey
deil. Ancak ikinci bolumden dokuzuncu bolume kadar okuduktan
sonra, sizi arayan ilk toplum muhendisinin nasil hakkindan geleceinizi
orenmi olacaksiniz.
Davetsiz Misafirlere Dikkat adli balikta se, toplum muhendis-
lerinin, irket alaniniza girerek, irketinizi batiracak ya da cikaracak sir-'
lan calip, sizin yuksek teknoloji guvenlik onlemlerinizi atlatarak riski
nasil artirdiini, uydurma oykulerle goreceksiniz. Bu balik altinda
anlatilan senaryolar, bir calianin intikam almasindan tutun da, sanal
terorizme kadar oluabilecek ceitli tehditlerin farkina varmanizi salay-
acaktir. Eer iletmenizi ayakta tutan bilgilere ve verilerinizin guven-
liine deer veriyorsaniz, onuncu ve on dorduncu bolumleri batan
sona okumak isteyeceksiniz.
Aksi belirtilmedii takdirde, bu kitapta kullanilan tum oykulerin
uydurma oykuler olduklarini vurgulamakta yarar var.
Citayi Yukseltmek baliinda irket yaklaimini ele alip kuru-
munuza yapilan toplum muhendislii saldirilarinin baariya ula-
malarinin nasil engellenebileceinden soz edeceiz. On beinci bolum
baarili bir guvenlik eitimi programi icin bir taslak sunmaktadir. Ve on
altinci bolum tam hayatinizi kurtaracak ey olabilir; kurumunuza
uyarlayabileceiniz, irketinizi ve bilgilerinizi emniyette tutmak icin
hemen uygulamaya gecirebileceiniz, her yonuyle tam bir guvenlik
kurallari metni.
En sona, ibainda karilatiklari bir toplum muhendislii saldirisini
onleyebilmeleri icin calianlariniza yol gostermekte kullanabileceiniz
kilit bilgileri ozetleyen kontrol listeleri, tablolar ve emalar iceren

---

xiv Aldatma Sanati .
Bir Bakita Guvenlik adinda bir bolum ekledim. Bu araclar ayni
zamanda, kendi guvenlik eitimi programlarinizi oluturmakta kullan-
abileceiniz deerli bilgiler de icermektedir.
Kitapta pek cok faydali unsurla karilaacaksiniz: Terim kutulari,
toplum muhendislii ve bilgisayar korsanlii terimlerinin aciklamalarini
cerirler; Mitnick Mesajlari guvenlik stratejinizi guclendirmenize yardim-
ci olacak kisa bilgiler sunmaktadir; notlarda ise ek bilgiler ve ilginc
ayrintilar bulunmaktadir.
1
Perde
Arkasi

---

GUVENLN EN ZAYIF HALKASI
Bir irket paranin alabilecei en iyi guvenlik teknolojilerini satin
almi; calianlarini, akam eve giderken her eylerini kilit altina alacak
ekilde son derece iyi eitmi ve bina guvenlik gorevlilerini sektorun en
iyi guvenlik irketinden kiralami olabilir.
Bu irket yine de tamamen savunmasizdir.
Bireyler, uzmanlarin onerdii en iyi guvenlik uygulamalarini
calitiriyor, onerilen her guvenlik urununu bilgisayarina yukluyor olabilir-
ler ve uygun sistem yapilandirmasini ve guvenlik yamalarin! kullanmak
konularinda son derece dikkatli davranabilirler.
Bu bireyler yine de tamamen savunmasizdirlar. \ .-*- * : .,*
nsan Unsuru
Yakin bir gecmite Kongre'ye ifade verirken, baka birisi gibi davra-
narak ve yalnizca bu bilgiyi isteyerek, ifreleri ve dier hassas bilgileri
cou zaman irketlerden alabildiimi anlattim.
Tam anlamiyla guvende olduunu bilmeyi istemek doal bir
duygudur ama bu, pek cok nsanin sahte bir guvenlik hissiyle yetinme-
sine de neden olur. Karisini, cocuklarini ve evini korumak icin on kapisi-
na, maymuncukla acilamaz olarak bilinen, Medico marka bir silindirli kilit
taktirmi, sorumluluk sahibi ve sevecen bir ev sahibini duunun.
Davetsiz misafirlere kari ailesini guvenceye aldii icin ici rahat. Ama
pencereyi kiran ya da garaj kapisinin ifresini bozan hirsizlara ne ola-
cak? Guclu bir aiarm sistemi yerletirmek daha iyi olurdu ancak yine de
bir garantisi yok. Pahali kilitler olsun ya da olmasin, ev sahibinin
saldiriya acik olma hali devam ediyor.
Neden? Cunku nsan unsuru aslinda guvenliin en zayif halkasidir.
Guvenlik cou zaman bir yanilgidan ibarettir, jin icine dikkatsizlik,
saflik ve cahillik de girince daha da kotu olur. Yirminci yuzyilin en saygin
bilimadami olan Albert Einstein oyle demitir: "Yalnizca iki ey sonsuz-
dur, evren ve insanolunun aptallii; aslinda evrenin sonsuzluundan o
kadar da emin deilim." Sonuc olarak, insanlar aptailarsa ya da daha
sik gorulen ekliyle, doru guvenlik uygulamalari konusunda bilgisiz-
lerse, toplum muhendislii saldirilari baarili olmaktadir. Pek cok bi-
liim teknolojileri (BT) sektoru caliani, guvenlik bilincine sahip aile

---

A Aldatma Sanati
Guvenliin En Zayif Halkasi
reisimizle ayni yaklaimi kullanarak, guvenlik duvarlari, mudahaleleri
Havale odasindaki memurlar her gun deien ifreyi ezberlemek icin
ortaya cikarma sistemleri ya da daha guclu tanima sistemleri olan
kendilerini yormuyorlardi: ifreyi kucuk bir kaida yazip kolayca gorebile-
zaman tabanli kartlar ve biyometrik akilli kartlar gibi herkesce kabul gor-
cekleri bir yere asiyorlardi. Kasim ayinin tam o gununde Rfkin'in odayi
mu guvenlik urunleri kullandiklari icin irketlerini saldirilara kari buyuk
ziyaret etmesinin ozel bir nedeni vardi. O kaida bakmak istiyordu.
olcude guvende tuttuklari dorultusunda yanli bir kaniya sahiptirler.
Havale odasina gelerek, calima surecleriyle ilgili notlar aldi; guya
Guvenlik urunlerinin tek balarina tam bir guvenlik salayacaina
yedekieme sisteminin olaan sistemlerle tam olarak Ortutuunden
inanan biri, guvenlik konusunda kendini kandiriyor demektir. Bu ancak
emin olmak istiyordu. Bu sirada asili kaittaki guvenlik ifresini gizlice
hayal aleminde gorulebilecek bir durumdur. Bu insanlar er ya da gec,
okudu ve ezberledi. Birkac dakika sonra diari cikti. Daha sonra
kacinilmaz olarak bir guvenlik sorunu yaayacaklardir.
soylediine gore, o an kendini piyangoda buyuk ikramiyeyi kazanmi
Taninmi bir guvenlik danimani olan Bruce Schneier'in da dedii
gibi hissetmiti.
gibi, "Guvenlik bir urun deil, bir surectir." Dahasi, guvenlik bir teknoloji
sorunu deildir; bir insan ve yonetim sorunudur.
Bir De svicre'deki u Banka Hesabina...
Aratirmacilar surekli olarak daha iyi guvenlik teknolojileri gelitirip
Oleden sonra saat uc sularinda odadan cikmi, doruca binanin
teknik aciklari somurmeyi giderek zoriatirinca, saldirganlar insan
mermer kaplamali giriindeki telefon kulubelerine gitmi, telefona jeton
unsurunu somurme yoluna daha cok gideceklerdir, insanlarin guvenlik
atarak havale odasinin numarasini cevirmiti. Sonra, telefonda baka
duvarini kirmak genellikle daha kolaydir ve bir telefon gorumesinden
bir kilia burunmu, kendini, banka danimani Stanley Rifkin'den,
baka yatirim istemedii gibi riski de cok duuktur.
bankanin Uluslararasi lemler Birimi'nin bir caliani olan Mike
Hansen'a donuturmutu.
Klasik Bir Aldatma Olayi
Bir kaynaa gore, yapilan gorume aaidaki gibi gelimiti:
letmenizin mal varliinin guvenliine kari en buyuk tehdit nedir?
"Merhaba, ben Uluslararasi lemler'den Mike Hansen," dedi Rifkin,
Yanitlamasi kolay: toplum muhendisi; siz sa eline bakarken sol eliyle
telefonun dier ucundaki genc kadina.
sirlarinizi calan acimasiz bir sihirbaz. Bu kii cou zaman o kadar
Kadin ofis numarasini istedi. Bu olaan bir soruydu ve Rifkin hazir-
arkada canlisi, samimi ve yardimseverdir ki onunia karilatiiniza
likliydi: "286," dedi.
ukredebilirsiniz bile.
Kadin sonra "Peki, ifre nedir?" diye sordu.
Bir toplum muhendislii orneine bakalim: Bugun pek cok insan
Stanley Mark Rifkin adindaki genc adami ve artik var olmayan Los
Rfkin'in adrenalinin etkisiyle zaten hizli atan kalbi o anda iyice hiz-
Angeles'taki Pasifik Hisseleri Ulusal Bankasi'yla olan macerasini hatir-
landi. Duraksamadan yanitladi, "4789." Sonra havale talimatlarini ver-
lamaz. Gercekte ne olduuyla ilgili ceitli rivayetler vardir ve Rifkin de,
meye baladi: New York Irving Yatirim Ortaklii'ndan Zurih VVozchod
benim gibi, hikayesini kendi azindan hicbir zaman anlatmamitir. Bu
Handels Bankasi'ndaki hesaba yatirilmak uzere "tam olarak on milyon
yuzden aaidakiler yayimlanmi makalelerden derlenmitir.
iki yuz bin dolar." Bu hesabi onceden kendisi actirmiti.
Kadin soylenenleri not edip, "Tamam, bilgileri aidim. imdi de birim-
ifre Kirmak
ler arasi takas numarasina ihtiyacim var." dedi
1978 yilinda bir gun Rifkin, Pasifik Hisseteri'nin yalnizca yetkili per-
Rfkin'in baindan aai kaynar sular dokuldu; bu beklemedii bir
sonelinin girebildii ve odadakilerin her gun milyarlarca dolar tutarinda
soru, aratirmasinda unuttuu bir ayrintiydi. Ama soukkanliliini
havale gonderip aldiklari havale odasina doru yollandi.
koruyup her ey yolundaymi gibi davrandi ve hic beklemeden cevap
verdi, "Bir kontrol edeyim; sizi hemen ararim." Bu kez bankanin baka
Ana bilgisayarin cokmesi olasiliina kari, havale odasinin verileri icin
bir birimini aramak icin tekrar telefonda kilik deitirerek havale odasin-
yedekieme sistemi gelitirecek bir irkette sozlemeli olarak caliiyordu.
daki bir calian gibi davrandi. Takas numarasini orendi ve genc kadini
Bu gorevi, banka yetkililerinin havaleleri nasil gonderdikleri de dahil olmak
yeniden aradi.
uzere, tum havale sureclerini orenmesini salamiti. Her sabah havale
yapmaya yetkili banka calianlarina, havale odasini aradiklarinda kullan-
Genc kadin numarayi aldi ve, "Teekkurler" dedi. (Bu koullar altinda,
malari icin, ozenle korunan gunluk bir ifrenin verildiini orenmiti.
teekkur etmesi gerekenin aslinda Rifkin olmasi gerektii soylenebilir.)

---

6 Aldatma Sanati
Guvenliin En Zayif Halkasi
Amaca Ulailmasi
koruma salamayi amaclamaktadirlar. nternetten indirilmi programlar
Birkac gun sonra Rifkin svicre'ye uctu, parasini aldi ve 8 milyon
kullanan bu yeniyetme korsanlar cou zaman biraz rahatsizlik vermek-
dolarini bir yiin elmas kariliinda bir Rus acentasina verdi. Tekrar
ten oteye gidemiyorlar. Buyuk kayiplar ve gercek tehlike, maddi bir
ucaa bindi ve talari bir para kuaina saklayarak A.B.D. gumruun-
kazanc salamaya gudulenmi, hedefleri iyi tanimlanmi, planli saldir-
den gecti. Tarihteki en buyuk banka soygununu yapmiti ve bunu bir
ganlardan geliyor. Bu nsanlar, amatorler gibi bircok sisteme birden
silah, hatta bir bilgisayar bile kullanmadan gercekletirmiti. Tuhaf olan,
girmeye calimaktansa, her seferinde tek bir hedef uzerinde youn-
iledii sucun bir sure sonra "en buyuk bilgisayar dolandiriciliklari"
laiyorlar. Amator korsanlar sayiyi cok tutmayi amaclarken, profes-
balii altinda Guinness Rekorlar Kitabi'nin sayfalarinda yer almasiydi.
yoneller kaliteli ve deerli bilgiyi hedefliyorlar.
Stanley Rifkin'in insanlari aldatma sanatinda kullandii bu beceri ve
Kimlik tespiti icin kullanilan tanima araclari, sistem ozkaynaklanna
teknikler butunune artik toplum muhendislii diyoruz. Aslinda bu i icin
ve dosyalara eriimin yonetilmesi icin eriim kontrolu sistemleri ve hirsiz
gerekenler ozenli bir planlama ve iyi laf yapma yeteneinden ibaret.
alarmlarinin elektronik karilii olan izinsiz girileri tespit sistemleri gibi
teknolojiler, bir irket guvenlik programi icin onemlidirler. Yine de ir-
Ve bu kitabin konusu ite bu -bendenizin ustasi olduu- toplum
ketler, guvenlik onlemlerine yatirim yapmaktansa, kahveye para harca-
muhendislii teknikleri ve irketiniz uzerinde kullanilmalari durumunda
mayi yeliyorlar.
nasil kari savunma yapacainiz.
Suclularin akli nasil suc ilemeye yonelik caliiyorsa, bilgisayar kor-
Tehlikenin Boyutu
saninin da akli guclu guvenlik teknolojilerinin aciklarini bulmaya yonelik
caliir. Cou zaman da bunu teknolojiyi kullanan kiileri hedefleyerek
yaparlar.
Rifkin'in oykusu, guvende olduumuz hissinin ne kadar.yanli bir
duunce olduunu mukemmel bir ekilde acikliyor. Bu tarz olaylar -belki
Yaniltici Uygulamalar
10 milyon dolarlik vurgunlar deil ama- her gun oluyor. u anda pa-
ralariniz gidiyor olabilir ya da birileri yeni urunlerinizin tasartmlartni
En emniyetli bilgisayarin kapali bir bilgisayar olduuna dair yaygin bir
caliyor olabilir ve siz bunun farkinda bile deilsiniz. Eer irketinizin
soz vardir. Akillica ama yanli: Art niyetli bir kii ofise gidip bilgisayari
baina henuz boyle bir olay gelmediyse, sormaniz gereken ey bunun
acmasi icin birini ikna ederek ii bitirir. Elinizdeki bilgiye sahip olmak
olup olmayacai deil, ne zaman olacai.
isteyen bir rakibiniz, cou zaman var olan pek cok farkli yoldan birini kul-
lanarak onu elde edebilir. Bu i yalnizca zamana, sabirli olmaya, kiilie
Artan Endie
ve israrcilia bakar. te bu noktada aldatma sanati devreye girer.
Bilgisayar Guvenlii Enstitusu'nun, 2001 yilinda bilgisayar suclariy-
Bir saldirganin, davetsiz misafirin ya da toplum muhendisinin guven-
la ilgili yaptii aratirmaya gore, gecen on iki ay icerisinde aratirmaya
lik onlemlerini atlatmak amaciyla, bilgisini paylaacak guvenilir bir kul-
laniciyi kandirmasi ya da hicbir eyden kukulanmayan bir hedefi ona
katilan kurulularin yuzde 85'inin bilgisayarlarina yetkisiz giri yapilmi.
giri hakki tanimasi icin aldatmasi gerekir. Guvenilir calianlar, hassas
Bu airtici bir rakam: Aratirmaya katilan her yuz kurulutan yalnizca
bilgileri paylamalari icin ya da saldirganin iceri sizmasini salayacak
on bei yil boyunca guvenlik ihlafi yaamadiini soyleyebilmi. Bir o
bir guvenlik acii yaratmalari icin kandirilabildiklerinde, ikna edilebildik-
kadar airtici olan baka bir veri de bilgisayarlarina izinsiz giriler
lerinde ya da yonlendirilebildiklerinde dunyadaki hicbir teknoloji bir ir-
sonucunda mali zarara urayan kurulularin orani: yuzde 64. Tek bir yil
keti koruyamaz. Tipki ifre cozumleyicilerinin ifre teknolojisini bertaraf
icerisinde kurulularin yansindan fazlasi mali zarara urami.
edecek bir acik bularak, ifrelenmi bir mesajin iceriini orenebildikleri
Kendi deneyimlerim bu tarz aratirmalardaki rakamlarin biraz
gibi, toplum muhendisleri de guvenlik teknolojilerini bertaraf etmek icin
abartili olduunu soyluyor. Aratirmayi yapan kiilerin niyetlerinden
calianlarinizi aldatma yontemi kullanilan
kukuluyum. Ama bu, zararin az olduu anlamina gelmez. Zarar buyuk.
Guvenlik ihlallerine kari hazirlikli olmayanlar, aslinda kaybetmeye
Guvenin Kotuye Kullanilmasi
hazirlaniyorlar.
Pek cok irkette kullanilan ticari guvenlik urunleri, counlukla,
Cou durumda, baarili toplum muhendislerinin guclu nsan ilikileri
yazilimci veletler olarak bilinen amator bilgisayar korsanlarina kari
vardir. Hizli dost olup guven salayabilmek icin gerekli kiilik ozellikle-
rine sahip; yani etkileyici, nazik ve sevimli kiilerdir. Deneyimli bir toplum

---

8
Adatma Sanati
Guvenliin En Zayif Halkasi
muhendisi, sanatinin stratejilerini ve taktiklerini kullanarak neredeyse
Bugunun havaalanlarina bir bakin. Guvenlik en ust duzeye ulami
hedefledii her bilgiye ulaabilir.
durumda ancak guvenlii aip, kontrol noktalarindan tehlikeli olabilecek
silahlar geciren yolcularla ilgili basinda duyduumuz haberlerle dehete
Yetenekli teknoloji uzmanlari alin teri dokerek bilgisayar kullanimina
duuyoruz. Hava alanlarimiz boyle bir alarm durumundayken bu nasil
bali riskleri en aza indirgemek icin bilgi guvenlii cozumleri uretmiler,
mumkun olabiliyor? Metal dedektorleri mi doru calimiyor? Hayir.
ancak en zayif halka olan insan unsuruna dokunmamilardir. Tum
Sorun makinelerde deil. Sorun insan unsurunda: Makineleri calitiran
zekamiza karin, biz insanlar -siz, ben ve dier herkes- birbirimizin
insanlarda. Hava alani yetkilileri Ulusa! Muhafizlar1! kapiya koyup, metal
guvenliine yonelik en buyuk tehdidi oluturuyoruz.
dedektorleri ve yuz tanima sistemleri yerletirebilirler ama aktif guvenlik
gorevlilerini, yolculari nasil kontrol edecekleri konusunda eitmek daha
Ulusal Karakterimiz
yararli olur gibi gorunuyor.
Ozellikle Bati dunyasinda, bu tarz tehditlerin uzerinde durmuyoruz.
Ayni sorun, dunya capinda, tum devlet kurumlari, eitim kurululari ve
Bize birbirimizden uphelenmemiz oretilmiyor. Bu en cok da
ticari iletmeler icin de gecerli. Guvenlik uzmanlarinin cabalarina karin
Amerika'da boyle. Bize "komumuzu sevmemiz", birbirimize guven-
bilgiler savunmasiz kaliyor ve guvenlik zincirinin en zayif halkasi olan
memiz ve inanmamiz oretilir. Yerel guvenlik orgutlerinin, insanlari
nsan halkasi guclendirumedii surece, toplum muhendislii becerileri
olan saldirganlarca itah acici bir hedef olarak gorulmeye devam ediyor.
evlerini ve arabalarini kilitlemeye ikna etmelerinin ne kadar zor
olduunu bir duunun. Bu tarz aciklarin verilebilecei gun gibi ortadadir
Her zamankinden cok u anda, pembe gozluklerimizi cikarip, bil-
ve haya! dunyasinda yaamayi tercih eden pek coklari tarafindan goz
gisayar sistemlerimizin ve alarimizin gizliliine, butunluune ve varlii-
ardi edilmektedir; ta ki aizlari yanana kadar.
na saldirmaya yeltenecek olanlarin kullandii yontemlere kari daha
gozu acik olmaliyiz. Trafikte dier arabalarin hereyi yapabilecei
Her insanin iyi niyetli ve durust olmadiini biliyoruz, ancak cou
olasiliina kari gelitirilen korunmaci suruculuun gerekliliine zaman-
zaman sanki oyle deillermi gibi davraniyoruz. Bu muhteem saflik,
la inandik; artik korunmaci programcilik uygulamalarini da orenip
Amerikalilarin yaamlarinin temel taidir ve bundan vazgecmek aci
onlara da inanma zamanimiz geldi.
verici olacaktir. Bir ulus olarak, ozgurluk anlayiimizin icine, yaanacak
en yi yerin anahtarlarin ve kilitlerin en az gerekli olduu yer anlayiini
Ozel yaantinizi, aklinizi ya da irketinizin bilgi sistemlerini ihial
da koymuuz.
eden bir saldiri tehlikesi, bainiza gelene kadar gercekleecekmi gibi
gorunmeyebilir. Maliyetleri yuksek olan boylesi bir gercekle yuzlemek-
Cou insan, kandirilma olasiliinin cok duuk olduu nancina
ten kacinmak icin, bilgi varliklarimizi, kendi kiisel bilgilerimizi ve
dayanarak, bakalari tarafindan kandiramayacai varsayimiyla hareket
ulusumuzun hassas alt yapilarini korumak konusunda hepimizin bilincli,
eder; bu ortak inancin bilincinde oian saldirgan, isteini o kadar akillica
eitimli ve uyanik olmamiz gerekmektedir. Ve bu onlemleri bugunden
sunar ki hic kuku uyandirmaz ve kurbanin guvenini somurur.
almamiz arttir.
Kurumsal Saflik
Teroristler ve Aldatmacalar
Ulusal karakterimizin bir parcasi olan bu saflik, bilgisayarlar ilk
olarak uzaktan birbirlerine balandiklarinda da goruluyordu. Hatirlayin,
Aldatma sanati, doal olarak, yalnizca toplum muhendisine ozgu bir
ntemet'in ilk ekli olan ARPANet {Savunma Bakanlii ileri Aratirma
arac deildir. FizikseMerorizm buyuk yankilar uyandiriyor ve dunyanin
Projeleri Birimi Ai} devlet, aratirma ve eitim kurumlan arasinda bilgi
tehlikeli bir yer olduunun daha once hic varmadiimiz kadar farkina var-
paylamanin bir yolu olarak tasarlanmiti. Amac, teknolojik ilerlemenin
mamiza yol aciyor. Sonucta, medeniyet yalnizca ince bir kaplama gibi.
yanisira bilgi ozgurluuydu. Boylece pek cok eitim kurumu, ilk bilgisa-
Eylul 2001'de, New York ve VVashington'a yapilan saldirilar her bi-
yar sistemlerini ya hic ya da cok az guvenlik salayarak kurdular.
rimizin -yalnizca Amerikalilarin deil, tum uluslarin iyi niyetli insanlarinin
Taninmi bir yazilim Ozgurlukcusu olan Richard Stallman, kendi
da- yureine huzun ve korku saldi. Dunyanin her tarafinda, iyi eitilmi
hesabini bir ifreyle korumayi bile reddetmiti.
ve yeni saldirilar yapmanin firsatini kollayan, takintili teroristlerin olduu
gerceine kari uyarildik.
Ancak internet'in elektronik ticaret icin kullanilmaya balanmasi,
zayif guvenlik Onlemlerinin, her eyin biribirine kablolarla bali olduu
Devletlerin son zamanlarda artan cabalan, guvenlik bilinci duze-
dunyamizda yaratacai tehlikeleri ciddi ekilde acia cikardi.
yimizi artirdi. Her tur terorizme kari uyanik ve tetikte olmaliyiz.

---

10 Aldatma Sanati
Guvenliin En Zayif Halkasi 11
Teroristlerin nasil buyuk bir hainlikle sahte kimlikler yarattiklarini, oren-
yuzden rakiplerimizin yaniltici cabalarini engellemek icin bir dereceye
ci ve komu rollerine burunduklerini ve kalabalia karitiklarini iyice
kadar ihtiyatli olmaliyiz.
anlamamiz gerekir. Entrikalar cevirirlerken, bu sayfalarda okuyacak-
Kitabin ana parcalarini oluturan ikinci ve ucuncu ana baliklar,
lariniza benzer aldatma numaralari cekerek asil niyetlerini gizliyorlar.
toplum muhendislerini i bainda gosteren hayali oykulerden oluuyor.
Bildiim kadariyla, teroristler irketlere, icme suyu tesislerine, elekt-
Bu bolumlerde unlari goreceksiniz:
rik uretme tesislerine ya da ulusal altyapimizin baka yaamsal Onemi
. Telefon belecilerinin yillar once bulduklari, telefon irketinden
olan parcalarina sizmak icin henuz toplum muhendislii teknikleri kul-
rehberde gecmeyen bir numarayi almanin salam bir yolunu.
lanmadilarsa da, asil sorun orada yatiyor. Bunu yapmak son derece
kolay. Bu kitap sayesinde, irket ust yonetimlerinin guvenlik bilincini yer-
* Saldirganlarin kullandiklari, uyanik ve kukucu calianlari bile
letirip yeni guvenlik politikalarini uygulamaya koyacaini umuyorum.
bilgisayar kullanici adlanni ve ifrelerini vermeye ikna edecek
ceitli yontemleri,
Bu Kitap Hakkinda
* Bir lem Merkezi yoneticisinin irketinin en gizli urun bilgisini
calabilmesi icin bir saldirgana nasil yardim ettiini,
irket guvenlii bir denge konusudur. Yetersiz guvenlik, irketinizi
* Bir hanimi, her tua basiim kaydeden sonra da ayrintilari
cok savunmasiz birakirken, guvenliin uzerinde fazla durmak ise ile
saldirgana e-postalayan bir yazilim indirmesi icin kandiran bir
ilgilenilmesini engelleyip, irketin buyumesini ve kazancini kisitlar. Asil
toplum muhendisinin kullandii yontemleri,
zor i guvenlik ve uretkenlik arasindaki dengeyi kurmaktir.
* Ozel dedektiflerin irketinizle ve sizinle ilgili nasil bilgi topladiklarini
irket guvenliiyle lgili baka kitaplar yazilim ve donanim teknoloji-
okuyacaksiniz. Bu sonuncunun icinizi urperteceinden eminim.
leri uzerine odaklanirlar ve en ciddi tehlikeye yeterince yer vermezler:
insanlarin aldatilmasi. Bu kitabin amaci, dierlerinden farkli olarak,
kinci ve ucuncu ana baliklarda gecen bazi hikayeleri okurken, bun-
sizin, beraber calitiiniz insanlarin ve irketinizin dier calianlarinin
larin mumkun olmadiini bu sayfalarda yazili yalanlarin, aailik
nasil yonlendirilebileceini anlamaniza yardimci olmak ve kandirilan
numaralarin ve dalaverelerin hic kimsenin yanina kalmayacaini
kii konumundan cikmak icin ne gibi onlemler alabileceinizi goster-
duunebilirsiniz. Gercek u ki, her olayda anlatilan hikayeler olmu ve
mektir. Elinizdeki kitap, counlukla, saldirganlarin bilgi calmak, guvenilir
olabilecek olaylari yansitmaktadirlar: Pek cou dunyanin bir koesinde
olduu duunulen ama aslinda oyle olmayan bir bilgiyi dorulamak ya
her gun olmaktadir; hatta siz bu kitabi okurken sizin kurumunuzun bile
da bir irket urununu tahrip etmek icin kullandiklari, teknik olmayan yon-
baina geliyor olabilir.
temler uzerinde duruyor.
Kitabin icerii, iinizi korumak soz konusu olduunda gercekten
Benim gorevim, var olan basit bir gercek nedeniyle daha da zor-
ibret verici olacaktir; kiisel yonden bakildiinda ise ozel yaaminizda
laiyor: Her okuyucu, toplum muhendisliinin en buyuk ustalari olan
bilginizin butunluunu korumak icin toplum muhendislerinin hamlelerini
anne-babalar tarafindan zaten yonlendirilmi durumda. Anne ve
bertaraf etmenize de fayda salayacaktir.
babaniz "sizin iyiliiniz icin," diyerek en doru olduunu duundukleri
Kitabin dorduncu ana baliinda konuyu farkli bir acidan ele ali-
eyleri size yaptirmanin yoifanni buldular. Toplum muhendisleri, hedef-
yoruz. Buradaki amacim, calianlarinizin toplum muhendisleri tarafin-
lerine ulamak icin hikayelerin, nedenlerin ve gerekcelerin uzerinde
dan kandirilmalari ^olasiliini en aza indirgemek icin gerekli iletme
nasil ozenle ve maharetle oynuyoriarsa, anne-babalar da ayni yontem-
kurallarini ve bilinclendirme eitimlerini oluturmaniza yardim etmek.
leri kullanan baarili birer hikaye anlaticisidirlar. Evet, hepimiz, iyi niyetli
Toplum muhendislerinin stratejilerini, yontemlerini ve taktiklerini anla-
(ve bazen o kadar da iyi niyetli olmayan) toplum muhendisleri olan
mak, irketinizin uretkenliini duurmeden BT varliklarinizi korumak icin
anne-babalarimtz tarafindan yorulduk.
uygun kontroller yerletirmenize yardimci olacaktir.
Bu eitimle artlanmi olarak yonlendirilmeye acik hale geldik. Eer
Kisacasi, bu kitabi, toplum muhendisliinin oluturduu air tehlike-
her zaman tetikte olup bakalarina guvenmeseydik, bizden yararlan-
ye kari sizleri bilinclendirmek ve irketinizin ve calianlarinizin bu yolla
mak isteyen birinin kuklasi olacaimiz endiesiyle dolu olsaydik, zor bir
somurulmesi olasiliini en aza indirgemenize yardim etmek icin yazdim.
yaam suruyor olurduk. Kusursuz bir dunyada kuku bile duymadan
bakalarina guvenir, karilatiimiz insanlarin durust ve guvenilir olduk-
Ya da belki oyle soylemeliyim, bu olasilik bir daha hic somurule-
larindan emin olurduk. Ama kusursuz bir dunyada yaamiyoruz ve bu
meyecekleh kadar azalacaktir.

---

2
Sanati

---

ZARARSIZ GB GORUNEN
BLGLER
Cou insana gore toplum muhendislerinden kaynaklanacak en
buyuk tehdit nedir? Kendinizi korumak icin ne yapabilirsiniz?
Eer amac cok deerli bir odul ele gecirmekse -diyelim ki, bir irketin
fikri sermayesinin onemli bir parcasiysa- o zaman belki de gerekli olan
oy, mecazi olarak, yalnizca daha guclu bir kasa ve daha iyi silahlanmi
bekcilerdir. Oyle deil mi?
Ama aslinda bir irketin guvenliinin ailmasi, genellikle kotu
adamin irketteki pek cok insanin korunmasi ve sinirlandirilmasi icin bir
neden gormedii, son derece masum, gunluk ve onemsiz gorunen bir
bilgiyi ya da bir belgeyi elde etmesiyle balar.
Bilginin Gizli Deeri
Cou toplum muhendisleri, bir irketin elinde olan ve zararsiz gibi
gorunen bilgileri el ustunde tutarlar cunku bu bilgiler, kendilerini daha
inandirici kNabilmelerinde can alici bir rol oynayabilir.
Bu sayfalarda, toplum muhendislerinin saldirilarina sizin de "tanik"
olmanizi salayarak ilerini nasil yaptiklarini gostereceim; bazen olayi
kurban rolundeki kiilerin baki acisindan sunacaim, boylece kendinizi
onlarin yerine koyabilecek ve siz (belki de calianlarinizdan ya da i
arkadalarinizdan biri) olsaydiniz nasil bir yanit verebileceinizi tarta-
bileceksiniz. Cou durumda ayni olaylari toplum muhendisinin baki
acisindan da goreceksiniz.
lk oyku finans endustrisindeki bir acik noktaya deinmektedir.
Creditchex
ngilizler, tutucu bir bankacilik sistemine uzun bir sure katlanmak
zorunda kaldilar. Siradan ve durust bir vatanda olarak bir bankadan
iceri girip bir hesap actiramazdiniz. Hatirli muterilerden biri sizin icin bir
tavsiye mektubu yazmadii surece banka sizi muteri olarak kabul
etmeyi duunmezdi biie.
ingilizlerin bu sistemi gunumuzun gorunute eitlikci bankaciliin-
dan doal olarak oldukca farkli. yapmaktaki cada rahatliimiz,
neredeyse herkesin bir bankaya girip kolaylikla vadesiz cek hesabi

---