bakimliyiz
Sponsor Reklamlar
Geri git   Bakimliyiz.Com > GENEL KÜLTÜR > Kadın ve Hukuk

Kadın Portalı Kayıt Ol İletişim Forumları Okundu Kabul Et
Alt 27-02-2011, 07:20   #1 (permalink)
 
elif - ait Kullanıcı Resmi (Avatar)
 
Standart İnternette Bilişim Suçlarında Kullanılan Metotlar

İnternette Bilişim Suçlarında Kullanılan Metotlar

1. Sistem Kırıcılık (Hacking)
Tabi ki popüler olanları içinde ticari sırları çalmada sistem
kırıcılık (hacking) üç metottan birisidir. E- posta sistem
kırıcılığın (hacking) en önde olmasının iki nedeni vardır:
1)Sistem kırıcı (hacking) araçlarının büyük şekilde
yararlanılabilir alanda olması. Şu anda 100.000 internet
sitesi düzenlenebilir ücretsiz indirilebilen sistem kırıcı
(hack) araçları ile doludur.
2) Sistem kırıcılık (hacking) göreceli olarak çok kolay
işlemektedir. Derin bilgiye gerek olmadan basitçe protokol
veya internet protokol (Ip) adres bilgisi olmadan bir klik ve
tuş ile kullanabilme kolaylığı vardır. Sistem kırıcılık
(hacking) üç kategoride yapıyı kırıp içeri girer: Sistem uzak
erişim ve fiziksel erişim.

2. Sosyal Mühendislik
Temel amacı; sistemlere izinsiz girmek yada dolandırma yolu
ile bağlantı kurmak iizinsiz ağa (network) girmek
endistüriyel casusluk kimlik hırsızlığı sistem yada ağın
(network) bozulmasına yol açmaktır. Sosyal mühendislik iki ana
kategoride tarif edilebilir; hem insan kaynaklı hem de
bilgisayar kaynaklı saldırı metodudur (Wendy thurs:2001).
Sosyal mühendislik kişileri kandırarak değerli bilgi ve
parolalarını ellerinden almayı maçlamaktadır. Bu amaçla
örneğin e- posta (e-mail) atarak şifre elde etmeye çalışırlar
shoulder surfin sörf metodu ile basitçe şisel bilgileri
toplanan kişiye uygun parola tahminleri yapılır. Bu noktada
sosyal mühendislerin çalışma etodolojisini anlayabilmek için
bir örnek çalışmaya bakmak gerekir:
Klasik bir saldırı metodolojisi: görev - bilgi erişimi: Eldeki
bilgilerle bir şey yapın diye söylense elbette temel olarak
dijital yada yazılı materyalin kopya tarihi değerli olacaktır.
Rakipler açısından şirket adına ne kadar çok bilgi
toplanabilirse o kadar çok şirketin durumuna yönelik şirket
hedefleri planları hareketleri stratejileri hakkında
değerlendirme yapılabilir. Rakip ile ilgili alınabilecek
birkaç bilgi aşağıda belirtilmiştir. Pazar ve yeni ürün
planları Kaynak kodları Şirket stratejileri Üretim teknolojik
çalışmalar Olağan ticaret metotları Ürün tasarımı araştırma
ve maliyetler Anlaşmalar ve akit tedbirleri; teslim
fiyatlandırma bilimsel terimler. Şirket internet sitesi
Müşteri ve destekleyici bilgileri Birleşme ve elde etme
planları Mali bütçeler gelirler vergiler. Pazar reklam
giderleri. Kaynakların fiyatları stratejiler listeler.
Sorumlular operasyonlar organizasyon şeması isim/aylık
cetvelleri. Ayrıca tescilli bir şirket çalışması için sıcak
hedefe yönelik personel kayıtları olabilir. Aşağıdaki
bilgilerden herhangi biri de değerli olabilir. Ev adresleri Ev
telefon numarası Karı koca ve çocuk adları Sosyal Güvenlik
numarası Hasta kayıtları Kredi kartı kayıtları Performans
değerlendirmeleri Tüm bu veriler toplanarak elde bulunan veya
internetten kolaylıkla bulunabilecek yardımcı program veya
metotlar ile hedefe kolaylıkla varılabilecektir.

a. Sosyal Mühendislere Karşı Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli
olarak değişik taktikleri de kullanarak bilgisayar
sistemlerine yönelik yasal olmayan şekilde erişmeye
çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network)
korumak için daha fazla zaman ve para harcarlar. Daha çok
yapılan harcamalar teknolojik güvenlik önlemleridir; sistem
yükseltmelerigüvenlik sistem paketleri en son teknoloji
kripto sistemleri gibi. Fakat yeni bir yol olan sosyal
mühendislik bu önlemleri önemsemeden yasal olmayan
uygulamalarına devam etmektedir.Bu tip saldırılara karşı
kurumların savunmaları için iyi politikalara sahip olmaları
gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir.
Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele
içerisinde son teknolojik değişimlere ayak uyduran ama bunun
her zaman sistem kırıcıların (hacker) ve script şakacılarının
(script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan
güvenlik bültenlerinde güvenlik açıkları yeni zayıf noktalara
yönelik bilgilendirmeleri yeni yamaları onarımları yeni
güvenlik ürünlerini güvenlik uzmanları takip etse de yeni
standart ürünlerin standartdını sağlama açısından takip etme
çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler
güvenlik zincirinin en zayıf yerindeki karmaşık güvenlik
araçlarının bir yere toplanarak kullanımı ile çalışan insan
aracına farklı yollardan giderler.
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze
almasın. Bunun anlamı güvenlik zayıflıkları programların
platformun ağın (network) yada donanımların bağımsızlığı ile
ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik
sistemleri fonksiyonlarında insanî aracılık sistemleri
gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde
hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe
karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi
sömürü metotlarını kullandıkları nasıl çeşitli şekilde
kişilik özelliklerini değiştirerek başarılı bir sosyal
mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu
metotlar kullanılarak kişisel özellikleri de artırmak
mümkündür böylelikle daha başka yeni metotlarda
geliştirilebilecektir.

Sorumluluğun yayılımı : Eğer hedefe onların kendi
hareketlerinden sadece sorumlu olmadıklarına inandırılırsa
sosyal mühendisin ricasına uygun hareket ederler. Sosyal
mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları
durumda kişisel sorumluluk konusunu şaşırtma ile o kadar
sulandırırlar ki bir karar vermeye zorlarlar. Sosyal
mühendisler karar verme sürecinde diğer çalışanların
isimlerini kullanırlar ya da yüksek seviyeden
yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı
ile iddia ederler.

Göze girme şansı: Hedef eğer bir rica ile razı olan birisi
ise başarılı olma şansı yüksektir. Bir rakip olarak onu
yönlendirmede bu çok büyük bir avantaj sağlar ya da
bilinmeyene göre yardım verir sıcak bayan sesini kullanarak
telefon aracılığı ile iletişime girerler. Sistem kırıcıları
(hackers) topluluğuna teknoloji ile içli dışlı insanlar olarak
toplumsal ilişkilerde çoğu zaman beceriksiz insanlar topluluğu
olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal
mühendisler etkilemenin yüksek hiçbir formunu kullanmadan
bilgi elde ederler.

İlişkilere Güvenmek: Çoğu zaman sosyal mühendisler
belirledikleri kurban ile iyi güvenilir bir ilişki için
beklerler ve o zaman bu güveni sömürürler. Bunu takip eden
zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve doğal
seyir içinde problem ortaya çıkar ve sosyal mühendis büyük
hamlesini yapar. Böylece karşı taraftan şans verilmiş olur.
Ahlâkî görev: Hedefi dışarıdan ahlaksal olarak davranmaya
cesaretlendirmek ya da başarı şansı için ahlaki hareket
arttırmayı sağlamak. Bu durum için hedef olan kişi ya da
organizasyondan bilgilerin sömürülerek alınmasını gerektiren
bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna
inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse
başarı şansı artmış demektir.
Suçluluk: Eğer mümkünse çoğu insan suçluluk hissinde olmaktan
sakınır. Sosyal mühendisler çoğu zaman psikodrama
üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın yüreği
cız eder empati ve duygudaşlık meydana getirirler. Eğer
suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa
hedef bundan çok fazla memnun olacaktır. Rica edilen bilginin
yerine getirilmeyeceğine inanarak belirleyici problemlerin
rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp
denge içinde iyilik olsun diye yapılmasını sağlarlar.

Künye: Sosyal mühendisin hüneri ile daha çok hedef tanımlanır
ve bilgiye erişilir. Sosyal mühendisler iletişim anında daha
çok zekice bir araya getirilmiş öncelikli temelli
girişimlerle bağlantı kurmaya çalışırlar.
Faydalı olmaya istekli olmak: Sosyal mühendisler diğer
insanlara yardım etmeden zevk alanlara güvenerek eylemlerini
yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı
ister ya da bir hesaba giriş için yardım etmesini ister.
Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme
düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz
cazibesine sırtlarını dayayarak işlerini yaparlar.
Birbirine göre ayarlama: Hedef ile en az çatışma en iyisidir.
Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu
ile zekice ve sabırlı sunuş yaparlar. Emir gibi bir şey
sipariş eder gibi sinirli ve baş belası gibi kazanmak adına
nadiren çalışırlar. Sosyal mühendis kahramanları genellikle
direkt rica edenler uydurma durum kişisel ikna gibi
kategorileri kullanırlar.

Direkt rica edenler: muhtemelen en basit metottur ve başarı
için en son olan yoldur. Bir işe basitçe girişildiğinde
sorulan bilgidir. Direkt rica genellikle meydan okumadır ve
genellikle ret edilir. Başarı şansı düşük olduğundan nadiren
tercih edilir.
Uydurma durum: bir şey veya bir organizasyonun özelliğine göre
elde edilen bilgilerle yapılan üretilen bir durum bir kriz
veya özel bir an ile ilgili olarak bu durumdan faydalanmadır.
Kriz durumları anlık yardım içerir sosyal mühendisler hedefin
güvenini arttırıcı durumun gerekliliği ve yardım edilme ile
ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri
gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki;
kahramanlar gerçek tabanlı şeylere ihtiyaç duymaz sadece
ortalama gerekli şeylerle çalışırlar.
Ki ş isel İ kna Kişisel olarak yardım yapmayı isteyen
bununla ilgili istekli insan gibi davranırlar. Amaçları
kuvvetli uyum değildir gönüllü-uyumlu insan anlayışına
ulaşmaya çalışmaktır. Birçok bilişim teknolojisi (IT)
güvenliğinde çalışan insan gerekli bilgilerden yoksun
bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği
farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu
güvenlik öngörüleri ve güvenlik bilgileri olmalıdır.
Çalışanların sosyal mühendis riski ile ilgili eğitimi bu
saldırılara karşı kurumların savunma aracıdır. Sosyal
mühendisler psikoloji üzerine kurulu ve sosyal hainliklere
dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George
Stevens:2001). Bu çok özel saldırı metodunun farkındalığında
özel süreçlerde eğitim ve çalışma gerektirir.

3. Dumpster Diving (Çöpleri Boşaltma)
Çöpleri karıştırma çok pis bir iştir fakat ticari ve değerli
bilgileri elde etme açısından çok önemli ve başarılı bir
tekniktir. Çöpleri karıştırma kulağa iğrenç gelse de kanunî
bir iştir. Çöp umuma açık yer üzerinde sokaklarda geçitlerde
bulunuyorsa kolaylıkla erişilebilecek yer olarak göz önüne
alınır.Amerikan mahkemeleri; ticari şirketlerce
erişilebilecek alanlardaki çöpler özel mülkiyetten çıkar.
Bunlar sadece izinsiz girilmez levhası olan yerlerde
bulunuyorsa ve siz eğer izinsiz boşaltım işlemi için
girmişseniz suç işlemiş olursunuz; şeklinde hüküm vermektedir.
Paylaşılan çöpler ile ilgili potansiyel güvenlik zayıflıkları
olarak; şirket telefon rehberleri organizasyon şekilleri
kısa notlar şirketin siyaset tarzı toplantı zamanları
sosyal olay ve tatiller elle yapılan sistemler bağlantı isim
ve parolalarını içeren hassas yazıcı çıktıları diskler ve
kayıt üniteleri şirket mektup başlıkları ve kısa not
formları zamanı geçmiş donanımlar belirlenmiştir. Çöpler
zengin bir bilgi kaynağı olarak ortak casusluk iîmkanını
sunmaktadır. Yukarıda sayılan her bir araç uzman birinin
elinde birçok işe yarayabilir. Konunun önemine uygun olarak
Amerika' da çöpleri boşaltma ile ilgili kanun maddeleri
hazırlanmıştır an act concerning dumpester diving. Kanun
tasarısına konan bu ilke bilgisayar sistem kırma (hack) ve
kanunsuz dinleme vb. ile aynı sayılarak ticari gizliliği
koruma kanunu adı altında başlıklandırılmıştır. Çöp boşaltma
kurbanı olan şirketin kendine karşı bu bilgilerin kullanılması
durumunda yüksek mahkeme yolu ile bunu bozma gibi bir hakkı
vardır. Bu şirketler ayrıca cezayı gerektiren tazminat hakkı
için dava açma hakkı elde ederler.

4. Kuvvetli Darbe (Whacking)
Temel olarak kuvvetli darbe kablosuz sistem kırma (hacking)
dır. Kablosuz ağı (network) gizli dinleyen sistemlerin hepsi
doğru bir radyo kanalını bulmayı ve kablosuz iletimin içinde
bulunabilmeyi gerektirir. Gerekli donanım ile ofis binalarının
dışından sinyallerin toplanabilmesi mümkündür. Bir defa
yüklenen bir kablosuz şebeke sistemi ile davetsiz misafir
genelde şifrelenmemiş (kriptolanmamış) olarak ağdan (network)
gönderilen bilgiyi toplar.

5. Kolay Telefon Düşmesi
Ortak bilgide (corporate espionage) telefon düşmesi başka bir
yol olarak kullanılmaktadır. Dijital kayıt yapan alet ile faks
cihazını iletim ve kabulünü izleyen bir sistemi oluşturmak
faks cihazına bir bilgi gelmeden önce kimsenin bilgisi olmadan
bir kopyasının alınması telefon ile görüşmede bir kişinin
sesleri toplanarak banka hesabına erişmek mümkündür.
Sonuç
Çağımızda bilginin kullanımı artık yetmemekte kullanılan
bilginin korunması ve sağlıklı şekilde iletilmesi ön plana
çıkmaktadır. Ülkemizin de bilgi politikasının değişen şartlara
uygun hâle getirilmesi artık temel bir mecburiyet hâline
gelmiştir. Bilginin gelinen noktada önemi ortadadır. Bilgiye
sahip olan ister devlet isterse özel sektör olsun artık
ekonomik değer ifade eden bu ****dan dolayı hedef hâline
gelmiştir. Çalışmada ortaya konan tehlikeler elbetteki
aysbergin görünen kısmıdır.


elif isimli Üye şimdilik offline konumundadır  





Hızlı Cevap

Doğrulama Sorusu
Mesajınız:
Yazı şeklini sil
Kalın
Eğik yazı
Altı çizik

Grafik ekle
Alıntı yap [QUOTE]
 
Alanı Küçült
Alanı Büyült

Seçenekler
Stil


İnternette Bilişim Suçlarında Kullanılan Metotlar

İnternette Bilişim Suçlarında Kullanılan Metotlar konusu, GENEL KÜLTÜR / Kadın ve Hukuk forumunda tartışılıyor.



Benzer Konular

Konu Konuyu Başlatan Forum Cevap Son Mesaj
İnternette aşk Jülyet Anketler 19 05-04-2010 10:36
Yönetim Bilişim Sistemleri Bölümü Nedir? - Yönetim Bilişim Sistemleri Bölümü Hakkında gizem Meslekler Rehberi ve Meslek Seçimi 0 27-06-2009 02:01

Üye olmadan soru sorabilirsiniz!

Bütün Zaman Ayarları WEZ +4 olarak düzenlenmiştir. Saat şuan 12:47 .


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.
Web Stats