Neden Bu Kadar Çok Konuşuldu?#

Kevin’e göre güvenlik sadece yazılım ve donanım meselesi değildi. İnsan davranışı değişkendi. Şirketler pahalı yazılımlara milyonlar harcayabilirdi. Ancak “doğru kişiyi doğru şekilde kandırırsanız, aşılabilir.” Kevin bu teknikleri The Art of Deception ve The Art of Intrusion kitaplarında açıkça anlattı.

Bir düşünün. Güvendiğiniz bir arkadaşınızın evindesiniz. Kahvenizi içtiniz. Biraz sohbet ettiniz ve ayrıldınız. Bankaya gittiniz… alışveriş merkezine gittiniz… alışveriş yaptınız… Saatler sonra eve geldiniz ama anahtarlarınızı bulamadınız. Arkadaşınızı aradınız, “Evet! Anahtarlar bende.”

Bir ay sonra…

3 günlük tatile çıktınız. Tatilden döndüğünüzde evinize hırsız girmiş olduğu için polisi aradınız.

Elbette… Arkadaşınız anahtarınızın kopyasını çekecek kötü bir insan olmayabilir. Olmayabilir mi?

Anahtarınız görünür de vardır ve kapınızı kilitleyebilirsiniz. Ama bu “güvende olduğunuz” anlamına gelmez. Demek istediğim;

Şirketlerimizin sistemleri 20 karakterli parolalar ile korunabilir. Ancak dikkatsiz bir çalışanımız varsa güvende değiliz.

“Sistemlerimizde 20 karakterli parolalar kullanıyoruz!”

“Güzel. Umarım bu parolaları önlerindeki deftere yazan bir çalışanınız yoktur.”

Mitnick’in hikayesi etiketlerle ilgili değil, tekrarlayan kalıplarla ilgilidir. Bugün, pentest/bug bounty dünyasında bile, teknik bir açık bulamazsanız, bir “süreç” açığı bulursunuz ve bir süreç açığı yoksa, bir “insan davranışı” açığı bulursunuz. Bugün, bir yabancının nerede çalıştığını bilmiyorsak, doğru yerlere bakmıyoruz demektir. LinkedIn? Kullanmıyor musunuz? Tamam! Instagram? Facebook? Nerede çalıştığınızı biyografinize yazmamış olabilirsiniz. Bir sosyal mühendis için, bir iş arkadaşınızla paylaştığınız bir fotoğraf yeterlidir. Veya işaretler. Kalıplar… Kalıplar zincirler oluşturur.

Örnek olarak, bir X şirketinde çalışansınız. Yoğun bir gün. Hala çalışıyorsunuz. Instagram’da bir hikaye paylaşmak istediniz. Paylaştığınız hikayede Y adında bir yazılımın adı geçti. Saldırgan bu fotoğrafı gördü. Yazılım hakkında araştırmaya başladı. Veya durun!! Hiç uğraşmadı bile :)

Y yazılımının sahibi olan Z isimli şirketi araştırdı. Ardından şirketinizle iletişime geçti.

– Merhaba, ben Z şirketinden arıyorum. Y yazılımı için kritik bir güncelleme var. Görünüşe göre sisteminizde yüklü, ancak yönetici tarafında bir uyumsuzluk var.

– Dün güncellemeyi yaptık.

– Evet, ana paket güncellendi. Sorun genellikle Y’nin 4.2 sürümünü çalıştıran sistemlerde ortaya çıkar. Görünüşe göre hala o sürümü çalıştıran bir node’unuz var.

– Tamam… Y’yi zaten 4.1 sürümünden yükseltmiştik.

– Tamam, işte aradığım bilgi buydu. Demek ki sorunlu modül A eklentisi. Onu ayrı olarak güncelleyeceğiz.

Kısa bir duraksama.

– Bu arada, Y’yi Windows üzerinde mi yoksa Linux sunucusunda mı çalıştırıyorsunuz?

– Linux. Ubuntu 20.04.

– Tamamdır, teşekkürler. Not aldım ve ekibe ileteceğim. Bugün size geri döneriz.

Şimdi, Y yazılımıyla uğraşmak yerine, Linux, Ubuntu 20.04.** sürüm bilgisiyle ilgili zafiyetleri kullanacağız. Ya da öyle bir şey…

Bunlar benim başıma gelmez diyenleri her gün görüyoruz.

Klasik kalıp şöyledir:

1. Güven oluştur,
2. Aciliyet yarat,
3. Otorite kur,
4. Küçük bir bilgi edin,
5. Bu bilgiyi daha büyük bir kapı açmak için kullan.

Burada: spoiler[“exploit”] genellikle bir CVE değildir; diğer tarafın yardım etme içgüdüsüdür.

Mitnick’in sık sık tekrarladığı yaklaşımı da şuna dayanıyor: En güçlü exploit, insan hatasıdır. Bu ifade kulağa havalı gelse de, gerçek anlamı rahatsız edicidir: Teknik kontrollerin yanında insan gözetimi (doğrulama, sorgulama, kayıt tutma) olmadan güvenlik bir şaka haline gelir.

Mitnick’in kalıcı etkisi, “güvenlik duvarı” metaforunun tek başına yetersiz olduğunu ortaya koymasıdır. Duvarın arkasında insanlar vardır ve insanlar acele eder, iyi niyetle yardım eder, otoriteye boyun eğer ve utandıkları için soru sormazlar. Bu yüzden teknik kontroller, insan-süreç kontrolleriyle desteklenmelidir.