Sosyal Mühendislik Kaynaklarım
Selamlar, bugün sosyal mühendislik konusuna değinmek istiyorum. Eğitimlerde, forumlarda, filmlerde ve birçok konseptte bu uygulamaya rastlayabiliyoruz. Ancak tam anlamıyla nasıl çalıştığını anlamak bazen zor olabiliyor. Kırmızı takımın paha biçilemez konularından biri olan sosyal mühendisliğin önemini ve işlevini arttırmak için kendi geliştirdiğim yöntem ve kaynakları sizlerle paylaşacağım. Makale 5 bölümden oluşmakta ve genelden özele bir biçimde sosyal mühendisliğe kendi bakış açılarımı yansıtmakta.
İÇERİK
- Sosyal Mühendisliği Anlamak
- Sosyal Mühendisliğin Bilgisayar Alanındaki Tehditleri
- İnsan ve Yarattıkları
- Sosyal Mühendislik Kaynaklarım
- Özet ve Sonuç
Sosyal Mühendisliği Anlamak
İşte büyük ustanın kendi ağzından çıkan cümleler, sosyal mühendisliğin bilgisayar alanındaki en büyük tehdit olduğunu tekrar vurgulamakta.
Peki neden böyle ? Onca teknik mesele dururken neden sosyal mühendislik ? Cevabı aslında oldukça basit: çünkü bizler, kendi yarattıklarımız kadar kontrol sahibiyiz. İnsan, kendini ne kod derleyicisinde düzeltebilir ne de yaratıcının ona bahşettiği niteliklerle doğru bir biçimde oynayabilir. Uyarıcı maddeler ve cerrahi operasyonlar bu durumlara çözüm oluşturabiliyor ama ne yazık ki tam anlamıyla insan kendini düzeltemiyor. Fakat durum insanın kendi yarattıklarına geldiğinde, istediğimiz şekilde düzeltme şansımız çoğu zaman bulunmakta. Bu durum sizce de oldukça tuhaf değil mi ?
İnsan ve Yarattıkları
Yaratıcının bizlere sunduğu bir zaafiyet olarak mı düşünülmeli yoksa yaratıcıdan bağımsız bir biçimde içinde bulunduğumuz sistemin (hayat) bir açığı mı ? Bu makalede bunları sorgulamayacağım ama üzerine oldukça düşünülmesi gereken kıymetli bir nokta olarak görüyorum. Lafı fazla uzatmadan, kendimi bu alana yönelik geliştirdiğim kaynakları sizlerle paylaşmak istiyorum.
Sosyal Mühendislik Kaynaklarım
Bu alana yani güvenliğe ilk başladığımız zamanlarda bizlere pratik yapabilmemiz için materyaller ve uygulamalı eğitimler sunuluyor ama böylesine önemli ve Türkçe kaynakların kıt olduğu bir konuyu ele almamız için bizlere pratik yapabileceğimiz materyaller gerekli. Bu sebepten ötürü kullandığım bazı kaynaklar ve onlara dair detayları Türkçeleştirerek önünüze sundum. Doğası gereği siber güvenlik ingilizce yine ingilizcesiyle okumanızı tavsiye ederim bu yazıda sadece kitapların özetlerine değinmek istedim.
1) Kevin Mitnick Kablolardaki Hayalet
Bu kitabımız tanınan en büyük efsane rahmetli Kevin Mitnick’in efsanevi hayatını bizlere anlatmakta. Kitap yaklaşık 500 sayfa ve ortalarında sıkılmaya başlayabilirsiniz ama kitabın mucizevi bir şekilde sizlere sosyal mühendislik senaryolarını Kevin abinin yaşadıklarından aktararak onun nasıl kıvrak zekasıyla sosyal mühendisliği bir saldırı vektörü haline dönüştürdüğünü gözler önüne seriyor.
2) Aldatma Sanatı: Güvenliğin İnsan Faktörünün Kontrolü
Bu kitap daha çok sosyal mühendislikte Kevin Mitnick’in uyguladığı metodolojilere değiniyor. Kevin Mitnick bu kitabı sosyal mühendislik konsepti üzerine çıkarmış. İnsan faktörünü oluşturduğu güvenlik önemlerini aşmayı anlatıyor. Kitap sosyal mühendislik tekniklerini ve bunların nasıl kullanıldığını detaylı bir şekilde inceliyor.
3) Practical Social Engineering
Bu kitabı Amazon’da gezinirken yüksek puan aldığını gördüm ve gerçekten de uygulamalı olarak okuduğum bilgileri teknik anlamda nasıl uygulamaya dökerim dedim. Bunun üzerine kitabı aldım. Kitap 3 bölüme ayrılmış:
- PART 1: THE BASICS: Burada sosyal mühendisliğin ne olduğundan ve sosyal mühendislik sonucu oluşabilecek etik hususlara değiniyor.
- PART 2: OFFENSIVE SOCIAL ENGINEERING: Bu kategori 7 bölüme ayrılmış: saldırıya hazırlık, firmalar için bilgi toplama, sosyal medya ve halka açık dökümanlar, insanlar hakkında bilgi toplama, oltalama, web sayfası klonlama, tespit, ölçüm ve raporlama.
- PART 3: DEFENDING AGAINST SOCIAL ENGINEERING: Burada ise oluşabilecek sosyal mühendislik saldırılarına karşı nasıl korunabileceğimizi anlatan bir bölüm bulunmakta: proaktif savunma teknikleri, teknik email kontrolleri, tehdit istihbaratı oluşturma.
Özet ve Sonuç
Arkadaşlar, size deneyimlediğim 3 kitabı anlattım. Bu kitapları oldukça faydalı buldum, özellikle sosyal mühendisliği benim gibi düzgün anlamadıysanız işinize fazlasıyla yarayacağı fikrindeyim. Bu kitaplarda bahsedilen bilgilerin çoğu Udemy, Coursera gibi platformlardaki etik hackerlık kurslarında da var. Burada maksat bilgi almak değil aslında aldığımız bilginin ne gibi senaryolarda ve en doğru nerede kullanacağımızı anlamak. Size firmaları telefonla arayıp kandırın demiyorum; bunun en etik yöntemi olarak yaşanmış senaryoları referans veriyorum. İşte bu sebepten ötürü burada gördüğünüz ve elde edeceğiniz kazanımlarla yapacağınız hiçbir eylem sorumluluğumda değildir.
Umarım faydalı olmuştur. Beğenip, takip ederek bana destek olabilirseniz çok sevinirim :)
Keyifli okumalar dilerim :)
