Sosyal mühendislik yani ingilizce tanımı “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir...Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri , şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.

Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, hedef kişiyle dost olmak , olmadığı halde kendini kız gibi gösterip kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.

Sosyal mühendislik aslında hack’in atası olarak bilinir bir nevi ilk hack atağıdır. Sosyal mühendisliğin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdığı kitapta sosyal mühendislikten bahsetmiştir. Hayatını Okuyup incelediğim kadarı ile girdiği sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulaştığını gördüm. Kevin Mitnick zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura kevin ile girdiği mücadeleyi anlattığı takedown adlı kitabında özellikle bu yönteme değinmiştir.

Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha şanslı Olduğunu göstermiştir. Kısaca Sosyal Mühendislik kişileri kandırarak elindeli gizli bilgileri sorularla veya farklı yollarla fark ettirmeden elinden almaktır...

SOSYAL MÜHENDİSLİK ESASLARI, BÖLÜM I: Hacker Taktikleri

GERÇEK BİR HİKAYE

Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı.

Yabancılar binanın dışından CFO’yu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardan finansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO’ sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFO’lu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.
Aslında, yabancılar CFO’nun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)

TANIMLAR
Sosyal mühendislikle okuduğum bir çok makale şu şekilde tanımlar ile başlar "insanlardan istediklerini öğrenme sanatı ve bilimi", "Dışardan bir hackerın sisteme giriş için ihtiyaç duyduğu bilgileri elde etmek için, bir bilgisayarın makul kullanıcıları üzerinde psikolojik hileler kullanmasıdır" yada "ihtiyaç duyduğun bilgileri elde et"(örneğin bir sistemi kırmaktansa bir kişiden şifreleri al). Gerçekte, sosyal mühendislik bunların hiçbirisi yapamayabilir, bu dahaçok senin nereye oturduğuna bağlıdır .  Tek şey, herkes sosyal mühendisliğe kızgın gibi görünür. Genel olarak zeki bir hacker, doğal insanların güvenine eğilimi ustalıkla gerçekleştirirler. Hackerların amacı geçerli bir sistemde izinsiz girebilmeyi başarmak için başkalarının bilgilerini elde edebilmektir ve bubilgilerle sisteme ikamet edebilmektir.
Güvenlik tamamen güvenle ilgilidir. Güven, koruma ve gerçekliktir. Genel olarak, güvenlik zincirinde zayıf bir halka olarak kabul edilir, bizim birçok sömürülebilir ataklarımızı onların münakaşadan dolayı ayrılan birilerine gönüllü bir şekilde kabul ettiririz. Bir çok güvenlik deneyimine sahip bilir kişiler üstüne basarak bu olguyu belirtmektedir. Kaç tane ağ boşluklarıyla, patchlerle ve firewall lar ile ilgili makalenin yayınlanmış olması önemli değildir. Sadece bunlardan gelebilecek tehlikeleri azaltabiliriz

HEDEF VE ATAKLAR
Sosyal mühendisliğin genel amacı hack in genel amacı ile aynıdır; sisteme izinsiz girmeyi elde etme yada bilgileri sırasıyla dolandırıcılık yapmak, ağa davetsiz olarak girmek, endüstriyel casusluk, kimlik hırsızlığı yada basitçe ağa yada sisteme zarar vermektir . Tipik hedefler: telefon şirketleri ve servisleri, büyük şirketler ve finansal kurumlar, askeri ve hükümet acentaları ve hastaneler. İnternetin canlanması endüstriyel mühendis atakların paylaşımı ile iyi bir şekilde başladı Fakat ataklar genel olarak büyük mevcudiyetler üzerine odaklanmaktadır.
Gerçek hayatta sosyal mühendislik örneği bulmak zordur. Hedef organizasyonların hiçbir zarar verdiklerini kabul etmek istemezler(Hepsinden sonra, ana güvenlik kırığını kabul etmek onu sadece benimsememek değildir, organisazyon isimlerine zarar verici olabilir). Saldırılar dokümantasyon edilmediği için gerçekte hiç kimse sosyal mühendislik atağı olup olmadığından emin olamayız.
Organizasyonların hedef boyunca neden sosyal mühendisliğe maruz kaldığına gelince, bir çok teknik hack yapmaktansa, yasadışı giriş elde etmek için çoğunlukla kolay bir yoldur. Teknik insanlar için, çoğunlukla sadece telefonu kaldırmak ve birilerine şifre için sor sormak oldukça basittir ve çoğunlukla, bu sadece bir hacker ın yapacağı iştir.
Sosyal mühendislik iki düzey üzerine kurulmuştur: Biri fiziksel diğeri ise psikolıjitir. İlk olarak, bir saldırı için fiziksel ataklara değinelim: çalışma yerleri, telefonlar, çöpler ve tüm çevirim içi olan her şey. Çalışma yerlerinde hacker kolaylıkla kapıdan içeri girip yürüyebilir, tıpkı film gibi Vebakım çalışması yapacak biri gibiyada organisazyona başarı ile giren bir danışman gibi davranabilir. Sonra davetsiz misafir ofiste kurumla yürüyüş boyunca; daha sonra gece evinden zarar verebilmek için yetecek kadar bilgi ile bina etrafında yatar ve binadan çıkar ta ki giriş için izin bilgilerini elde edene kadar giriş izni alabilmek için diğer bir yöntem ise sadece ayakta durmak ve çalışanların şifrelerini açıkça girdiklerini izlemektir.

TELEFON İLE SOSYAL MÜHENDİSLİK
En etkili sosyal mühendislik ataklarından biride telefon aracılığı ile yapılır. Bir hacker sizi arayabilir ve yetkili biri gibi davranabilir ve yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındır.
Şimdi iyi bir örneğe bakalım : Gecenin bir yarısı sizi arayabilirler:
H: ‘Son altı saat içinde Mısırı aradınız mı? ’
K: ‘Hayır’
H: ‘Sizin kartınız ile Mısıra yapılmış bir arama bulunmaktadır. Bir sorununuz var ve $2000 borçlu gözüküyorsunuz.’
H:‘Mesleğimi göz önünde bulundururum ki sizi bu borçtan kurtarabilirim. Yalnız bana PIN ve kart numaranızı söylemeniz gerekmektedir. Daha sonra sizi bu borçtan kurtaracağım’
(H: Sosyal mühendislik yapan kişi, K: Sosyal mühendisliğe maruz kalan kişi)
Yardım masaları genellikle bu işe eğilimlidirler. Çünkü onlar yardım için ordalar , gerçekte yasal olmayan bilgileri öğrenmeye çalışan kişiler tarafından istismar edilebilir. Yardım masası çalışanları güler yüzlü ve bilgi vermek için eğitilirler. Bu nedenle sosyal mühendislik için altın bir fırsattır. Yardım masası çalışanların çoğu güvenlik için çok az eğitilmişlerdir. Yardım masası çalışanları daha çok sorulan soruları cevaplamaya ve bir sonraki telefona geçmeye eğilimlidirler.Bu da çok büyük bir güvenlik açığı oluşturmaktadır.
Canlı bir Bilgisayar Güvenlik Enstitüsü gösterisinin kolaylaştırılmış, zekice tanımlanmış yardım masası sömürüsü bir telefon şirketini araması ve yardım masasına ulaşmasıyla başlar.
H: Bu geceki nöbetçi idareniniz kim?
K: Betty.
H: Betty ile görüşebilir miyim?
H: (transfer ediliyor) Merhaba Betty, İyi günler dilerim. Sisteminiz neden çalışmıyor?
K: Çalışmıyor mu? Gayet iyi durumda.
H: Daha iyi olması için oturumu kapatın
K: ( Oturumu kapatıyor )
H: Tekrar oturumu açın.
K: ( Oturumu açıyor )
H: Daha bir bip sesi göremedik, bir değişiklik göremedik. Yeniden oturum kapatır mısınız?
K: ( Oturumu kapatıyor )
H: Betty, senin ID ile ne olacağını anlamak için, senin bilgilerinle giriş yapmam gerekiyor. Şifreni ve ID numaranı verirmisin?
Böylelikle şifreyi ve ID yi öğreniyor. Zekice…
(H: Sosyal mühendislik yapan kişi, K: Sosyal mühendisliğe maruz kalan kişi)
Telefon konusunda yapılan bir değişimde telefon ödemeleri yada ATM dir. Hackerlar gerçekte surf yaparlar ve bu yolla PIN ve kredi kartı numaralarını bu yolla elde ederler. (Büyük bir İngiliz hava alanında çalışan bir arkadaşımın başına geldi). İnsanlar daima telefon gişelerinde ayakta dururlar, bu nedenle bu tarz yerler de daha dikkatli olunması gereken yerlerdir.

ÇÖPLERİ BOŞALTMA (Dumpster Diving)
Çöpleri boşaltmak, çer çöpü temizlemek olarak ta bilinir be başka bir sosyal mühendislik metodudur bilgilerin büyük bir çoğunluğu, şirketin çöplerinden toplanmıştır The LAN Times, çöpünüzde bulunan potansiyel güvenlik tehlikelerini şöyle sıralamaktadır: "şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler yada giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlarve eskimiş donanımlar"
Bu kaynaklar hacker lar için zengin bilgi damarlarıdır. Telefon rehberleri hackerlara canlandırılacak yada hedefteki insanların telefon numaralarını ve isimlerini verir. Organizasyon grafikleri organisazyonda ki yetkili posizyon daki kişiler hakkında bilgiler içerir. Küçük notlar giriş oluşturmak için cazip ve ilginç ufak bilgiler içerir. Takvimler çok önemlidir,hangi işçinin ne zaman işyeri dışında olacağını belirtir. Sistem el kitapları, hassas bilgiler ve diğer teknik bilgi kaynakları hackırlaraağa izinsiz girebilmek için gerekli bilgileri verebilir. Son olarak, eski donanımlar özellikle hard diskler yeniden onarılıptüm kullanışlı bilgiler elde edilebilir.





İKNA ETME
Hackerlar kendi kendilerine ataklarda psikolojik bir etki kurabilmek için sosyal mühendislik ile nasıl mükemmelbir psikolojik etki oluşturabileceklerini çalışırlar. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır. Bu sosyal mühendisliktir.
Taklit etme genel olarak bazı karakterleri oluşturup, onların rollerini oynamaktır. En basit rol en iyisidir. Bazen bizi sizi arayıp ‘Ben MIS den John, şifrenize ihtiyacım var’ diyebilir. Fakat bu her zaman çalışmaz. Bir yandan hacker lar organizasyon daki gerçek bir bireyi çalışırlar ve o kişi yerine telefon edbilmek için o kişinin binadan çıkmasını beklerler. Bir hacker yaygın objeleri yazar, konuşma esnasında sesleerini gizlemek için küçük kutular kullanır ve konuşma biçimlerini, organizsayon tablosuna çalışır. Bence bu çok az inandırıcı bir ataktır. Çünkü çok fazla hazırlık ister. Ama yinede yapılmaktadır.
Taklit etme yönteminde kullanılan en yaygın rollar şunlardır: tamircilik, IT başkanı, yönetici, güvenli bir 3. parti elemanı (Örneğin başkanın yetkili asistanı sizi arıyor ve bşkanın gerekli bilgileri teyit ettirmek istediğini söylüyor) ve herhangi bir şirket elemanı. Büyük bir şirkette bunları kullanmak zor değildir çünkü herkesi tanıyamazlar. ID ler fake edilebilir. Bir çok çalışan patronlarına kendilerini sevdirmek ister bu nedenlede, kariyer sahibi birinin ihtiyaçlarını sağlamakiçin çok çalışırlar.
Riayet gruba dayalıdır. Fakat, inandırıcı bir kişiile tek başında kullanılabilir. Bu kullanıcılar hacker lara aynı gerekli bilgileri verir. Örneğin hacker IT yönetici rolünü oynuyorsa.
Şüphesiz sosyal mühendisik ile en iyi bilgi edinme yolundan biride arkadaş canlısı olmaktır. Buradaki anafikir telefonda meslektaşlarına inandırıcı olabilmek ve yardım istemektir. Bu nedenle hacker ihtiyaç duyduğu tek şey inandırıcı olabilmektir. Öte yandan bir çok çaşılan telefonlara cevap vermektedirler özelliklede bayanlar.
Bazen bir gülümseme, kibar bir teşekkür yada ‘kafam karıştı bana yardım edebilir misiz?’ cümlesi size çok yardımcı olacaktır.

ON-LINE SOSYAL MÜHENDİSLİK
İnternet aradığımız şifreleri sosyal mühendisilik ile elde etmek için verimli bir alandır. Bir çok kullanıcının yaptığı başlıca hata aynı şifreyi bir çok account ta kullanmasıdır: gmail, yahoo vs. . Bir hacker bir kullanıcının şifresini elde ettiği zaman onu bir çok accountta dener.Hacker ın bunu yapmasının bir yolu on-line forumlardır. Mesela hackerlar bazı para kazandıran kumar bilgilerini bu form ile gönderir ve kullanıcıdan isim ve şifre yazmasını ister.(email adresi içeren, keza şifrede) Bu formlar mail ile gönderilir. Mail iyi bir görünüm verir ve para kazandıran kumar da kanuni bir yatırım gibi görünür.
Diğer bir yöntemde hacker network admini gibi görünür ve size networkten bir şifre gönderip şifrenizi sorar. Bu tarz sosyal mühendislik atakları genelde çalışmaz. Kullanıcılar on-line iken hackerdan haberdardır. Ama genelde not bırakırlar. Ayrıca hacker larnetworkun bir kısmına benzeyen, şifre ve kullanıcı adınızı girmenizi istiyen pop-up pencereleri kurabilirler. Şu noktaya da değinelim, bir çok kullanıcı temiz bir text ile şifresini göndermez. Fakat nadiren sistem adminlerin güvenlik ölçümünün geri kalanına sahiptir. Daha iyisi, bazen sistem adminleri kullanıcılarını şifrelerini gizlemeleri, diğer bir yandan yüz yüze güvenilir ve yetkili bir çalışanla konuşma yapmaları konusunda uyarıda bulunmaktadır.
Ayrıce e-mail bir sisteme başarı ile girebilmek için direkt bir yoldur. Örneğin, yetkili kişinin mail e yaptığı eklentilerde virüs, worm, trojan atı bulunur. Buna en iyi örnek VIGILANT tarafından dokumantasyonedilen AOL hackidir: “Öyleyse bir hacker kendini AOL teknik destekleyicisi gibi tanır, bir saat kurbanla konuşur. Konuşma esnasında kendisini satışta olan çok ucuz bir arabası oldugunu söyler. Kurbanın ilgisini çeker ve hacker araba resminin olduğu bir e-mail gönderir. Araba resmi yerine mail bir backdoor exploit çalıştırmaktadır. Bu exploit AOL dışından firewall arasından bir bağlantı kurmaktadır ”

TERS MÜHENDİSLİĞİ
Son olarak, yasadışı bilgi edinme için daha gelişmiş kazanç metotlarından biri ‘ters sosyal mühendisliği’ olarak bilinir. Bu, hacker yetkili bir kişinin karakterterini oluşturduğu zaman olur. Bu nedenle işçiler diğer yoldan ziyade ona bazı bilgiler için soru sorarlar. Şayet inceden inceye araştırılıp, planlanır ve iyi çalışılırsa, ters sosyal mühendislik atakları belki hacker a işçilerden daha şansla değerli verileri elde etmek için gösterilebilir. Fakat bu istek çok büyük hazırlık, araştırma ve ön hack için kürek çekmektir.
Rick Nelson’un raporuna göre ters sosyal mühendisliği üç kısımdan oluşmuştur: sabotaj yapmak, reklam yapmak ve yardım etmektir. Hacker lar bir networku sabote ederken bir problem artışı olabilir. Hacker sabit problem ile uygun iletişime geçer ve o çalışanlardan kesin bilgileri ister ve gerçekte elde etmek için geldiği şeyi elde eder. Onlar bilir ki aslında o kişi hacker dır. Çünkü diğer müşterilerinin network sisteminden bir sorunları yoktur ve mutludurlar.

SONUÇ
Elbette ki, hiçbir sosyal mühendislik ile ilgili yazım Kevin Mitnick in anmadan bitirilmez: Bir makaleden alınmış yazı ile sonuçlandıralım.”Sizler servislere ve teknolojiye bir servet harcayabilirsiniz.. Sizin ağ teknolojiniz hala eskiye karşı savunmasız kalabilir-şekillendirilmiş idare



Hacker: Alo, iyi günler. Ben bilgi işlem bölümünden arıyorum. Sizin bilgisayarınızda bir sorun olduğu görünüyor. Sorunu çözmek için de yardımınıza ihtiyacımız var..
Kullanıcı: Aaa öylemi? Peki nasıl yardımcı olabilirim?
Hacker: Lütfen kullanıcı isminizi ve şifrenizi söyler misiniz?
Kullanıcı: Tabii, kullanıcı ismim X, şifrem de 12345.

2. Seneryo:
Hacker: İyi günler. Ben X internet hizmetlerinden (Superonline, Turk.net, E-kolay.net...) arıyorum. Bilgi işlem yetkilisiyle görüşebilir miyim?
Yetkili: Ben bilgi işlem şefi X X, Buyurun...
Hacker: X Bey bildiğiniz gibi son zamanlarda hızla artan virusler internet ve ağ güvenliğini ciddi bir şekilde tehdit eder hale geldi. Biz de bu tehlikeden hem kendimizi hem de siz müşterilerimizi korumak istiyoruz. Bu amaçla e-posta yoluyla gelen virüslere karşı bir önlem olarak, tüm müşterilerimizin e-postalarını taramak istiyoruz. Kesinlikle e-postaların içeriğine bakılmayacak ve bu hizmet için ekstra ücret istenmeyecektir. Bu konuda sizin fikrinizi almak istiyoruz. Yetkili: Gerçekten çok güzel bir olay. Tabii ki biz de bu hizmetten yararlanmak isteriz..
Hacker: Güzel, X Bey öncelikle bizdeki bilgilerinizi doğrulamak için lütfen şu sorulara cevap veriniz. Doğum yeriniz, doğum tarihiniz ve annenizin kızlık soyadı?
Yetkili: X, XX.XX.XXXX, X
Hacker: Tamam, kullanıcı isminiz ve şifreniz?
Yetkili: X, X.
3. Senaryo:

Hacker: Alo, iyi günler. Ben şirketin reklam bölümünde bugün işe başladım. Bilgisayara girebilmem için bir kullanıcı ismine ve şifreye ihtiyacım var. Bana yardımcı olabilirmisiniz?turkhackteam.org
Yetkili: Tabii, adınızı söyler misiniz?
Hacker: X X.
Yetkili: Peki X Hanım, kullanıcı isminiz X, şifrenizde X
Yukarıda anlatılan hayali senaryolar, aslında günlük hayatta sıkça karşılaşılan Sosyal Mühendislik yöntemlerini göstermektedir. Sosyal Mühendislik hacker'lar arasında sıkça kullanılan bir terimdir. Genellikle
telefon görüşmesi vasıtasıyla, kullanıcının zafiyetinden yararlanarak şifreleri, kullanıcı isimlerini ya da önemli bilgileri almak için kullanılan bir yöntemdir.
Sosyal Mühendislik yöntemi, çabuk sonuca ***ürmesi, hızlı ve basit olması nedeniyle hacker'lar tarafından sıkça kullanılır. Gelmiş geçmiş en iyi ve en ünlü hacker'lardan biri olarak kabul edilen Kevin Mitnick'in
de bir Sosyal Mühendislik dehası olduğu söylenir. Hatta Mitnick'in girdiği sistemlerin % 85'ine Sosyal Mühendislik yöntemleriyle ulaştığı bilinir. Mitnick'in yakalanmasında başrol oynayan ünlü güvenlik
uzmanı Tsutomu Shimomura, Kevin Mitnick ile girdiği mücadeleyi anlattığı "Takedown" adlı eserinde Mitnick'in bu yönüne işaret etmektedir. Mitnick, hapisten çıktıktan
sonra yazdığı "The Art of Deception: Controlling the Human Element of Security" adlı kitabında, Sosyal Mühendisliğin sırlarını anlatmış ve yazdığı pek çok hayali senaryolarla güvenlikte insan faktörünün ne denli önemli olduğunu vurgulamıştır.
Hacker Sosyal Mühendislik yöntemine başvurmadan önce şirket hakkında kısa bir araştırma yapmak zorundadır. Şirketin ne üzerine çalıştığını, bölümlerini ve yapısını bilmelidir. Aksi halde hiç reklam bölümü
olmayan bir şirketi arayıp, "Bugün reklam bölümünde işe başladım, bilgisayara girmek için kullanıcı ismine ve şifreye ihtiyacım var." derse, başaramayacağı ve üstüne hakaretler yiyeceği de kesindir.
Sosyal Mühendislik yöntemleri üzerine yapılan araştırmalar, bu konuda kadın sesinin her zaman erkek sesinden daha şanslı olduğunu ve karşıdaki kişininde daha çabuk etkilendiğini göstermiştir. Bu yüzden Sosyal Mühendislik yöntemini kullanacak olan hacker, genellikle kız arkadaşlarından yardım alır (:tabii kendisi kız değilse :) Bu konuda kimseden yardım almak istemeyenler ise kendi seslerini "voice changer" denilen cihaz ve programlarla kadın sesine dönüştürürler. Nitekim bu ses dönüştürme işi, iyi bir ses kartı, hoparlör ve bir mikrofonla kolaylıkla yapılabilir.

Önlemler

Kullanıcılarınızı Eğitin: Sosyal Mühendisliğe karşı alınacak en iyi tedbir, kullanıcıları eğitmekten geçer. Bu eğitime en alt kademedeki kullanıcıdan, en üst kademedeki kullanıcıya kadar herkes katılmalıdır.
Hacker'ların kullandığı bu yöntem her yönüyle anlatılmalı, örnekler verilmeli ve kullanıcılar bilinçlendirilmelidir. Telefonda arayan hiç kimseye karşıdaki kişiyi tam olarak tanımadıkça şifrelerin ve önemli bilgilerin verilmeyeceği belirtilmelidir. Büyük şirketlerde "help des" denilen bölümler vardır. Bu bölümleri arayıp bazı bilgileri öğrenmek amacıyla sözde yardım isteyen kişilere gerekli sorular sorulmalı, kimlik tespiti işlemi tam olarak gerçekleştirilmelidir.





Türkiye'nin En Büyük Sosyal Mühendisi

Daha Sonra ‘dolandırıcılar kralı sülün Osman’ adını alacak olan Osman ziya sülün, 1923 yılında fatih’te bir memur ****** olarak dünyaya geldi. ilk işini 1948 yılında fatih’te yeni tuttuğu evin sahibini dolandırarak yaptı. mesleğin inceliklerini kum kapılı bir rum olan aleko’dan öğrendi. en iyi işlerini 50 ve 60’lı yıllarda tuttu. tramvay, galata kulesi, kent meydanlarındaki saatler, şehir hatları vapurları gibi kamu mallarını saf vatandaşlara ‘satarak’ yada ‘kiraya vererek’ efsane haline geldi. galata köprüsü’nü satmak üzereyken tesadüfen yakalanmıştı. soyadı ‘sülün’, 1952 yılında bir meydan saatini satarken yakalandıktan sonra lakabı oldu. ona ilişkin son bilgi 1984 yılının temmuz ayında Beyoğlu’nda sürekli kaldığı otelde bir kalp spazmı geçirdiği yönünde. polisin tahminine göre sülün Osman bir yerde ölüp kaldı ve kimlik taşımadığı için de kimsesizler mezarlığına gömüldü.

Galata köprüsünü pazarlayan adam budur.Büyük paralar Kazanmıştır
Bir de çok taktik adamıymış, yankesici misali değil planlı ve organize suçlar işliyormuş. Yani adamımız tam bir sosyal mühendis usulü dolandırıcılık yapıyormuş.
23 ocak 1961’de Zeytinburnu’nda kumar oynarken yakalanmıştır.
Sülün Osman’ın özelliği ava gidenleri avlamaktır.
Şöyleki;
Çünkü asıl kötü niyetli olan kişiler sülün Osman mağdurlarıdır
İzmir saat kulesini yada dolmabahçe saat kulesini kapatıp her saate bakandan para almak,boğaz köprüsünün gelirine bilmem kaç liraya sahip olmak isteyen bir insanın iyi niyetli olduğu söylenemez
Bu insanları bulup da paralarını aldığı için sülün Osman’ın da "saf insanları kandırdığı".söylenemez.Yani aslında Böyle bencil insanları dolandırdığı için de pek kızmamak lazım.
Galata Köprüsünü,Beyazıt Kulesini daha pek çok şeyi satarak nam yapan meşhur dolandırıcı Sülün Osman..Muhtemelen yanındaki ailesi ama tabii bunda da bir üçkağıt olabilir

Elektrikli tramvay (İstanbul’daki eski tramvay) ,galata kulesi, boğaz köprüsü ,galata köprüsü bu amcanın(MÜHENDİS) sattığı ürünlerdir.Polis kayıtlarına geçmiş, hakkında kitap yazılmış ilginç bir karakterdir.
Sadece gayrimenkul değil menkul satışında da mühim başarılara imza atmış olan sülün Osman’nın zamanında dolmabahce önünde demirlemiş bulunan amerikan 6.filosu’na ait bir uçak gemisini sattığı da rivayet edilmektedir.

Bir savaş gemisini satın alan adam neden böyle bir şeye ihtiyaç duyar?
Dediğimiz gibi; Sülün Osman’ın özelliği ava gidenleri avlamaktır
Ünlü yazar ve bilgin Aziz Nesin’in esinlenip fil Hamdi karakterini yarattığı eski dolandırıcı
Kendisine ‘oğlum, galata kulesi’ni satmaya utanmadın mı’ diye soran Komisere, ‘komiserim, bu memlekette galata kulesi’ni satın alacak eşek olduğu sürece ben bu kuleyi satarım, hiç kusura bakmayın’ diyen ve pek de haklı olan dolandırıcı.

BİR cezaevinde "Alınteri ile yaşamak" konulu konferans da vermiştir ki akıllara zarar bir vakadır. (:Belki de Hapis’e girdiği sıralarda tövbe etmiştir :)
Müjdat Gezen’in anlattığına göre bir keresinde de taksim parkının girişine bir paspas atmış, bir de sandalye koyup kurulmuş. Gelenden gecenden giriş parası alıyormuş. Ama tabi herkesten istemiyor, Kimin verip kimin tersleyeceğini biliyormuş. Sonra biri sikayet etmiş de yakalanmış. Çok sayıda içeri girdikten sonra tövbe etmiş. Tövbesinden sonra Mühendisimiz İzmir de ortaya çıkmış Bir gün İzmir saat kulesinin önünde beklerken de biri gelip "Dayı şu saat satılık mı ?diye Sormuş O da "lem tövbe ettim s…. gidin başımdan" diye terslemiş.
Osman sülün bize şu atasözünü hatırlatmıştır.Her malın alıcısı çıkar

Mühendisimizin hakkında sadece kitap değil.Filmlere bile konu olmuştur.1982 yapımıEn büyük Şaban adlı filmde ‘’Boğaz içi köprüsü satan adam’’ kahramanımızı Hikmet Karagöz Canlandırmıştır.
SosyaL Mühendislik : Çoğunuzun mail kutusuna hergün onlarca tanımadığınız insandan değişik taleplerde bulunan mailler geliyordur.Mesela "Çekilişte 100$ kazandınız,Kampanyamızdan bedava tatil kazandınız...vs" bunlar acaba gerçekmi yoksa sadece basit bir oyunun kağıtlarımı ?

İşte Social Engineering(Sosyal mühendislik) burada başlar.Kısaca insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir.Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemlerden biridir.

Dünya’nın en tanınmış hackerlarından biri olan Kevin Mitnick’in büyük bir sosyal mühendis olduğunu biliyormuydunuz ?Kevin kendi kitabında (Aldatma Sanatı) dünyanın büyük bankalarına , kamu kuruluşlarına , büyük şirketlerin hesaplarına bir kaç telefon görüşmesiyle ulaşılabileceğini anlatmış.Peki nasıl yapılıyor bu ?

Sosyal Mühendisliği temelde 2 ye ayırabiliriz.İnsan kaynaklı ve bilgisayar kaynaklı olarak.2 yöntemdede temelde aynı şey yapılabilir.Mesela bir x şirketindeki y kullanıcının hesap bilgilerine ulaşmak istiyoruz.İlk yapacağımız şey x bankasına kayıtlı y kullanıcısına bir şekilde ulaşmak çünkü işimiz aldatmak.y kullanıcısına ulaştıktan sonra ona biz sizin hesabınıza ulaşmak istiyoruz lütfen verin demiyeceğiz bu yüzden sosyal mühendisliğe başvurmamız gerekecek.Mesela önce y kullanıcısını arayıp
-Merhaba,biz x bankasının müşteri temsilcisiyiz hesaplardaki bir karışıklık nedeniyle bilgilerinizi doğrulamanız gerekmektedir.

deriz.Fakat burada alacağımız bilgiler y kişisinin direk bankayla alakalı bilgileri olmamalıdır çünkü hiçbir banka bu bilgileri istemez buda sizi eleverir.Şimdi y kullanıcısının hesap kayıt tarihi son giriş tarihi hesap numarası gibi bilgilerini öğrendik bundan sonrasıyla y kullanıcısyla işimiz olmuyacak.Yapacağımız işlem x bankasını aramak olacaktır.
-Merhaba ben x,bankanıza şu hesaplı kullanıcısıyım,en son girişim şu tarihtedir ve banka hesabıma giremiyorum...
ve gerisi gelecektir.(yukardaki örnekle kimseyi kandıramazsınız işin mantığını anlatmak için böyle bir örnek verdim.Gerçekte yapılan diyaloglar daha profosyonel ve daha tekniktir bunun için mesela bir banka hesabıyla uğraşıyorsanız bankacılıkla ilgili bayağı bir birikime sahip olmanız gerekmektedir.)
Yazının başında "Çekilişten şu kadar para kazandınız" diye bir örnek vermiştim.Şimdi bunu inceliyelim.Eğer böyle bir mail aldıysanız incelemişsinizdir.Size şu kadar para kazandınız şu tarihte bu parayı alabilmeniz için bir kontrol yapmamız lazım lütfen şu şu bilgileri vererek şu maile aşağıdaki onay koduyla birlikte yollayınız.Bunun hakkında bilgisi olmayan biri şöyle düşünür
-aaaa acaip para kazanmışım.Dur bi dakka ya belki sahtedir dur bakayım ne istiyorlar "isim,soyisim,adres,kullandığım geçerli mail,doğduğum şehir" e bu bilgileri versem ne olur vermesem ne olur en iyisi göndereyim bakarsın parayı alırım.
Gönderir ve birkaç gün sonra aklına birşey gelir.
-Benim mailin gizli sorusu Doğum yerim değilmiydi ?!!!
Ve mailini kaptırır.
Daha büyük bir örnek verelim.Dünyada yüzlerce şirket var ve çoğu birbiriyle rekabet içinde yapılan basit hatalar bile milyonlarca dolar kaybına yolaçabilir.Bu şirketler nasıl birbirine üstünlük sağlayabilir.En basidinden eğer ben rakip şirket hakkında bazı yeni bilgilere ulaşabilirsem ne yapacaklarını görürüm ve ben bir adım öne geçmek için hamle yapabilirim tıpkı satranç oyunu gibi.Rakibin ne yapacağını önceden kestirmek.Tabi biz kestirmeyl zaman harcayamayız bunun için sosyal mühendisliğe başvurarak karşı şirketin teknik elemanını "tuş" edebiliriz.
Müşteri(Sosyal Mühendis):Merhaba,ben sizin firmanızın çıkardığı şu ürünü almak istiyorum şu özelliği çok iyi fakat geliştirilmesi lazım bu yüzden piyasadaki diğer ürünleri cazip görüyorum.Bir müşteri olarak size bu şikayetimi bildirmek istedim.
Sazan Teknik Eleman:Efenim,Firmamız kendini sürekli geliştirmekte ve şuanda piyasadaki tüm diğer rakiplerine nazaran en iyi teknolojiyi sunmakta.Bahsettiğiniz ürün için daha yeni teknolojiler üretmekteyiz bu sayede gene öncü olacağımızı söyleyebilirim.
Müşteri(Sosyal Mühendis):Ne gibi yenilikler yapmayı planlıyorsunuz.yani ben bir müşteri olarak önceden bilmek isterim çünkü şu ürünü eğer daha iyisi olmayacaksa şu firmadan almayı düşünüyorum.
Sazan Teknik Eleman:Efenim,şu ürünümüzün şu özelliği dünyada ilkkez geliştirilmiş şu teknoloji sayesinde size şunu sunacaktır.Rakiplerimiz hala eski teknolojiyle boğuşurken biz ilkkez bunu piyasaya sürerek siz müşterilerimizi memnun etmeyi planlıyoruz.
...
Devam edecek...
Peki sosyal mühendislik saldırılarına karşı nasıl korunabiliriz ?bunun için Komiser Güven ŞEKER’in bu konu hakkında yazdığı yazıyı inceleyebiliriz

Sosyal Mühendislere Karşı Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli olarak değişik taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal olmayan şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network) korumak için daha fazla zaman ve para harcarlar. Daha çok, yapılan harcamalar teknolojik güvenlik önlemleridir; sistem yükseltmeleri,güvenlik sistem paketleri, en son teknoloji kripto sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir. Bu tip saldırılara karşı kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartdını sağlama açısından takip etme çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına farklı yollardan giderler.
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın. Bunun anlamı güvenlik zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel özellikleri de artırmak mümkündür, böylelikle daha başka yeni metotlarda geliştirilebilecektir.

Sorumluluğun yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumlu olmadıklarına inandırılırsa, sosyal mühendisin ricasına uygun hareket ederler. Sosyal mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları durumda, kişisel sorumluluk konusunu şaşırtma ile o kadar sulandırırlar ki bir karar vermeye zorlarlar. Sosyal mühendisler karar verme sürecinde diğer çalışanların isimlerini kullanırlar, ya da yüksek seviyeden yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı ile, iddia ederler.

Göze girme şansı: Hedef eğer bir rica ile razı olan birisi ise, başarılı olma şansı yüksektir. Bir rakip olarak onu yönlendirmede bu çok büyük bir avantaj sağlar, ya da bilinmeyene göre yardım verir, sıcak bayan sesini kullanarak telefon aracılığı ile iletişime girerler. Sistem kırıcıları (hackers) topluluğuna teknoloji ile içli dışlı insanlar olarak toplumsal ilişkilerde çoğu zaman beceriksiz insanlar topluluğu olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal mühendisler etkilemenin yüksek hiçbir formunu kullanmadan bilgi elde ederler.

İlişkilere Güvenmek: Çoğu zaman, sosyal mühendisler belirledikleri kurban ile iyi güvenilir bir ilişki için beklerler ve o zaman bu güveni sömürürler. Bunu takip eden zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve doğal seyir içinde problem ortaya çıkar ve sosyal mühendis büyük hamlesini yapar. Böylece karşı taraftan şans verilmiş olur.

Ahlâkî görev: Hedefi dışarıdan ahlaksal olarak davranmaya cesaretlendirmek ya da başarı şansı için ahlaki hareket arttırmayı sağlamak. Bu durum için hedef olan kişi ya da organizasyondan bilgilerin sömürülerek alınmasını gerektiren bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse, başarı şansı artmış demektir.

Suçluluk: Eğer mümkünse çoğu insan suçluluk hissinde olmaktan sakınır. Sosyal mühendisler çoğu zaman, psikodrama üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın yüreği cız eder, empati ve duygudaşlık meydana getirirler. Eğer suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa hedef bundan çok fazla memnun olacaktır. Rica edilen bilginin yerine getirilmeyeceğine inanarak, belirleyici problemlerin rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp denge içinde iyilik olsun diye yapılmasını sağlarlar.

Künye: Sosyal mühendisin hüneri ile daha çok hedef tanımlanır ve bilgiye erişilir. Sosyal mühendisler iletişim anında daha çok zekice bir araya getirilmiş öncelikli, temelli girişimlerle bağlantı kurmaya çalışırlar.

Faydalı olmaya istekli olmak: Sosyal mühendisler diğer insanlara yardım etmeden zevk alanlara güvenerek eylemlerini yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı ister ya da bir hesaba giriş için yardım etmesini ister. Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak işlerini yaparlar.
Birbirine göre ayarlama: Hedef ile en az çatışma en iyisidir. Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu ile zekice ve sabırlı sunuş yaparlar. Emir gibi, bir şey sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına nadiren çalışırlar. Sosyal mühendis kahramanları genellikle direkt rica edenler, uydurma durum, kişisel ikna gibi kategorileri kullanırlar.

Direkt rica edenler: muhtemelen en basit metottur, ve başarı için en son olan yoldur. Bir işe basitçe girişildiğinde sorulan bilgidir. Direkt rica genellikle meydan okumadır ve genellikle ret edilir. Başarı şansı düşük olduğundan nadiren tercih edilir.
Uydurma durum: bir şey veya bir organizasyonun özelliğine göre elde edilen bilgilerle yapılan üretilen bir durum, bir kriz veya özel bir an ile ilgili olarak bu durumdan faydalanmadır. Kriz durumları anlık yardım içerir, sosyal mühendisler hedefin güvenini arttırıcı durumun gerekliliği ve yardım edilme ile ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki; kahramanlar gerçek tabanlı şeylere ihtiyaç duymaz, sadece ortalama gerekli şeylerle çalışırlar.
Kişisel İkna , Kişisel olarak yardım yapmayı isteyen bununla ilgili istekli insan gibi davranırlar. Amaçları kuvvetli uyum değildir, gönüllü-uyumlu insan anlayışına ulaşmaya çalışmaktır. Birçok bilişim teknolojisi (IT) güvenliğinde çalışan insan gerekli bilgilerden yoksun bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu, güvenlik öngörüleri ve güvenlik bilgileri olmalıdır. Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu saldırılara karşı kurumların savunma aracıdır. Sosyal mühendisler psikoloji üzerine kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George Stevens:2001). Bu çok özel saldırı metodunun farkındalığında özel süreçlerde eğitim ve çalışma gerektirir

Sosyal Mühendislik Terimler Sözlüğü

Ters Toplum Mühendisliği; Kurbanın bir soygunla karşılaştıgı ve yardım için saldırganı aradığı şekilde gelişen toplum mühendisliği saldırısı.Ters toplum mühendisliğinin bir türü desaldırganın aleyhinde olandır.Hedef bir saldırı yapıldıgını anlar ve işletmenin varlıklarını güvence altına alabilmek için psikolojik etkileme unsurları kullanarak saldırgandan mümkün oldugu kadar çok bilgi almaya çalışır.

Ölü Nokta; Bilginin bırakabileceği ve başkaları tarafından bulunma olasılığının düşük oldugu yer.Geleneksel casusların oldugu bir dünyada bu duvarda yerinde ıynamış bir taşın arkası olurdu bilgisayar korsanlarının dünyasında bu çoğunlukla uzak bir ülkedeki bir internet sitesidir.

Hedef; Bir dalaverenin kurbanı

Kaynağı Kurutmak; bir saldırgan gerçekleştirdiği saldırıyı kurbanın anlamasına izin verirse o zaman buna kaynağı kurutmak denir.Bu durumda aynı kaynağı sömürmek çok güçleşecektir.

SOS; Sosyal Güvenlik numarası için ABD emniyet teşkilatında kullanlıan gayrı resmi kısaltma.

Truva Atı; kurbanın bilgisayarıdan ve içinde bulunduğu ağdan bilgi toplamak yada kurbanın bilgisayarına yada dosyalarına zarar verebilmek için tasarlanmışkötü huylu yada zararlı kod içeren programdır.

Uzaktan Erişimli Komut Kabuğu:Belirli içeririği geliştirmek yada programları çalıştırmak için metin tabanlı komutlar kabul eden grafik içerikli olmayan bir arayüzdür.Teknik açıkları sömürebilen yada kurbanın bilgisayarına bir truva atı yükleyebilen bir saldırgan bir komut kabuğuna uzaktan erişim sağlanabilir.

Draje Güvenlik; Bell Laboratuvarı'ndan Bellovin ve Cheswick tarafından güvenlik duvarı gibi bir dış çeperin kuvvetli olduğu ama arkasındaki yapının zayıf kaldıgı güvelik senaryolarını açıklamaj için kullanılmış.Bu deyimde sert kabuklu M&M drajelerinden esinlenilmiştir.

Beni Şu Gönderdi Tarzı Güvenlik; Bilginin nerede oldugunu bilmeye ve o bilgiye yada bilgisayar sistemine erişmek için bir kelime yada ad kullanmaya dayanan güvenlik şeklidir.

Gizlilik Üzerinden Güvenik; Sistemin çalışma bilgileriyle ilgili ayrıntıları gizli tutmaya dayanan etkisiz bir bilgisayar güvenlik yöntemidir.Gizlilik üzerinden güvelik güvenilir bir grup insan dışında kimsenin sisteme giremeyeceği gibi yanlış inanışa dayanır.

İki Basamaklı Tanımlama; Kimliği belirlemek için iki farklı tanımlama çeşidi kullanılmasıdır.Örneğin bir kişinin kendini tanıtabilmek için belirli tanımlanabilir bir noktadan ve parolayı bilerek araması gerekebilir.

Malware; Kötü huylu yazılımların argo karşılığı bir virüs bir solucan ya da Truva Atı gibi zarar verici işlemler yapan bilgisayar programı.

Arka kapı; Kullanıcının bilgisi dışında bilgisayara gizli bir yol sağlayan üstü kapalı bir giriş noktası.Bir yazılım programı geliştirirken programcılar tarafından da kullanılır böylece sorunları çözmek için programa girebilirler.

SSL; (Güvenli yuva katmanı)Hem istemcinin hemde sunucunun internet üzerinden güvenli iletişimle belgelenmesini sağlayan Netscape tarafından geliştirilmiş bir protokol.

Basit Uçbirim; Kendi mikroişlemcisi olmayan uçbirim.Basit uçbirimler yalnızca basit komutlar kabul ederler ve sadece harf ve sayı gösterebilirler.

Ters Dalavere; Saldırıya uğrayan kişinin saldırgandan yardım istediği dolandırıcılık şekli.

Çöp Dalışı; Ya kendi başına değerli olan yada dahili telefon numaraları ve unvanlar gibi toplum mühendisliği sırasında kullanıla bilecek araçlar olan atılmış bilgileri bir şirketin (genelde dışarda ve korumasız olan çöplükten)toplama işi.

Doğrudan Bağlantı Hizmeti; Ahize kaldırıldıgında doğrudan sabir bir numarasa bağlanan telefonlar için telefon şirketlerinde kullanılan bir terim.

Reddet-Kes; Belirli bir telefon numarasında gelen aramaların engellenmesi şeklinde gerekli ayarlamalar yapılarak sunulan bir telefon şirketi hizmet seçeneği.

Uçbirim Tabanlı Güvenklik; Kısmen belirli bir uçbirim tanımlanmasına bağlı olarak kullanılan güvenlik;bu güvenlik yöntemi özellikle IBM'in büyük bilgisayarlarında çok kullanıldı.
Sayım; Hedef sistemde sunulan hizmetleri işletim sistemi tabanını ve sisteme erişimi olan kullanıcıların hesap adlarının listesini veren bir süreç.

Kaba Kuvvet Saldırısı; Harf sayısal karakterlerin ve özel simgelerin mümükün olan her kombinasyonunu deneyen bir parola belirleme stratejisi.

Yama; Çalıştırılabilir bir programa yerleştirildiğinde , var olan sorunu çözen bir program parçacığı.

Casus Yazılım; Hedefin bilgisayar faaliyetlerini gizlice izlemesi için özel olarak yapılmış program.Bunun bir çeşidi de çevrim içi reklamların internette gezinme alışkanlıklarına göre tasarrlanabilmesi için internetten alış veriş edenlerin ziyaret ettikleri siteleri takip etmek için kullanılır.Yazılım,kullanıcının,aralarında girilen parolalar ve klavyeden yazdıgı yazılar,e-postalar,sohbetler,anında mesajlar ziyaret edilen tüm ağ sayfaları ve ekran resimleri olan tüm faaliyetlerini yakalar.

Sessiz Yükleme; Bilgisayar kullanıcısının ya da işletmenin fark etmeyeceği şekilde bir yazılım uygulaması yükleme yöntemi.

Omuz Gezintisi; Klavyeye bilgi giren birini parolasını ya da başka kullanıcı bilgilerini görüp çalmak amacıyla seyretmek.

Gzıp; Bir Linux GNU uygulaması kullanarak dosyaların tek bir sıkıştırılmış dosyada toplanması.

Herkese Açık FTP; FTP (file transfer protocol-dosya aktarım protokolu)kullanma hesabınız olmasada bir bilgisayara uzaktan erişmenizi sağlayan bir programdır.Her ne kadar herkeze açık FTP'lere parolasız erişim mümkünsede

genellikle belli klasörlerin kullanıcı hakları sınırlandırmıştır.

Kevin David Mitnick (The Art of Deception)

İnsan faktörü bilgi güvenliği programlarındaki en zayıf halka olarak nitelendirilmektedir. Kullanıcılar kasıtlı veya kasıtsız olarak bilgi ağı ve kurumları tehditlere açık halde bırakmaktadır. Güvenlik programları çoğunlukla insan faktörü yerine teknik kontrollere odaklanma eğilimindedir.

E-dergide; internet ve msn kullanıcılarının toplum mühendisleri tarafından nasıl tuzağa düşürüldükleri, internet ve bilgi güvenliği konusunda yapılması gerekenleri anlatan önemli makalelere ve konuyla ilgili internette yer alan önemli haberlere yer verilmiştir.

Gelmiş Geçmiş En Büyük Hacker Kevin Mitnick’in Öyküsü

(Bu yazıyı ağırlıklı olarak Katie Hafner ve John Markoff’un Cyberpunk adındaki harika kitabına dayanarak yazdım. Murat Yıldırımoğlu)

Kevin Mitnick. 44 yaşında (06-08-1963). Gelmiş geçmiş en büyük hacker olarak kabul ediliyor. 5 yıl hapiste kaldıktan sonra 2000 yılında koşullu olarak serbest bırakıldı. Koşullardan birisi telefona ve bilgisayara dokunmamak. Bu koşulun başlıca nedeni daha önce de hapse giren Kevin’ın intikam olarak kendisini mahkum eden yargıca, kendisini suçlayan savcıya vb. oyunlar oynaması. Örneğin, bir seferinde telefon numarası öğrenme hattını (bizdeki 118 hizmeti) bir yargıcın telefonuna yönlendirmiş. Sevmediği birisinin telefonunu aylarca arızalı olarak göstermiş. Bir başkasının telefonuna binlerce dolarlık faturalar gönderilmesini sağlamış. Telefon ve bilgisayar sistemlerini avucunun içi kadar iyi bildiği tartışılmaz.

Kevin Mitnick sorunlu bir aileden geliyor. Kevin üç yaşındayken anne ve babası ayrılmışlar. Amcası madde bağımlısı. Bir seferinde cinayetle suçlanmış. Üvey kardeşi Adam aşırı dozda uyuşturucu kullanmaktan ölmüş.

Annesi Shelly lokantalarda garsonluk yaparak hayatını kazanıyor ve sık sık erkek arkadaş değiştiriyordu. Kevin annesinin arkadaşlarından birisine yakınlık duymaya başladığı zaman annesinin hayatına başka birisi giriyordu. Kevin’ın gerçek babası ile ilişkisi çok azdı. Sık sık yer değiştiriyorlardı, düzenli bir hayatları yoktu. Kevin’ın sürekli değişen arkadaş çevresine karşı telefon iletişiminden başka bir seçeneği yoktu. Bu yüzden telefon sistemlerini iyi öğrenmesi gerekiyordu. Öğrendi de...

1978’de Kevin Mitnick amatör radyoculukla uğraşıyordu. Bir yandan da telefon sistemleriyle ilgileniyordu. İnsan ilişkileri kötüydü, hemen herkesle takışıyor ve kavga ettiği herkese kin besleyip zarar vermeye çalışıyordu. Örneğin, telefon hatlarının kesilmesini sağlıyordu. Kin tutma ve sevmediği insanlara teknolojik zararlar verme huyu hep devam etti.

Kevin 1978 yılında amatör radyo sistemleriyle uğraşırken Roscoe ile tanıştı. Kevin’ın Roscoe ile ilişkisi hep sürecekti. 1995 yılında yakalandığında ilk aradığı kişi Roscoe olmuştu. Roscoe, daha kolay kız arkadaş bulmak için, o zamanlar ABD’de yaygın olan telefon konferans sistemlerinden birisini işletiyordu. Roscoe teknolojinin bu yönünü seviyordu: Kız arkadaş bulmasına yardımcı olmasını. İleride bu sayede tanıştığı ve yattığı kızların sayısını anımsamadığını söyleyecekti. Roscoe bu bilgilerini yazıya dökecek ve “Ev Bilgisayarınızı Kullanarak Kadınları Baştan Çıkarma Kılavuzu” adlı bir kitapçık da yazacaktı. Roscoe’nun kız arkadaşı Susan ise gündüzleri santral operatörlüğü geceleri ******likle para kazanıyordu. Susan da sevgilisi Roscoe sayesinde telefon sistemlerine ve daha sonra da bilgisayar sistemlerine girmeye başladı. Bu garip üçlüye katılan bir başkası, Steven da telefon sistemleri konusunda bilgili birisiydi. Dördü çok uyumlu olmasa da iyi bir gurup oluşturdular. İçlerinde teknik olarak en iyileri Kevinken, gurubu bir arada tutan kişi ve gurubun beyni Roscoe idi. Kevin ve Susan birbirlerinden nefret ediyorlar ama ortak arkadaşları (ve Susan’ın sevgilisi) Roscoe yüzünden birbirlerine katlanıyorlardı.

Bu guruptakiler telefon sistemini telefon firmalarının çalışanlarından daha iyi biliyorlardı. Gizli bilgileri ve kişisel bilgileri elde etmeleri çoğunlukla sosyal mühendisliğe dayanıyordu: Sızmak istedikleri sistemdeki birilerini arayıp, onların bir şeylere kızmış üstleri gibi konuşup, onlardan bilgi alıyorlardı. Roscoe bu işi bilime dönüştürmüştü. Bir deftere çalışanların kişiliğine ait birçok bilgi giriyordu: Üstü kim, altında kimler çalışıyor, yardımcı olmaya çalışan birisi mi yoksa soğuk birisi mi, çaylak mı, deneyimli mi. Hatta onların hobileri, çocuklarının adları vb. bile defterinde bulunuyordu.

Elde ettikleri bilgileri para için kullanmıyorlardı. Sistemlere girebilmek, onları tanımayan birisine ilişkin en ayrıntılı bilgileri elde etmek vs. onlara yetiyordu. Bir seferinde bu dörtlü telefon numarası öğrenme servisini kendilerine yönlendirdiler ve telefon numarası soranlara “Beyaz mısınız zenci mi? Telefon kataloglarımızı ayrı ayrı da” gibi sorular yönelttiler. Bu tür şeylerle çok eğleniyorlardı.

Daha sonra uzmanlık alanlarını telefon sistemlerinden bilgisayarlara kaydırdılar. Roscoe üniversitelerin bilgisayar sistemlerinde dolaşırken Susan askeri bilgisayarlara giriyordu.

Kevin Mitnick’in fotoğrafik bir belleği vardı. Birçok parolayı içeren bir listeye biraz baktıktan sonra listeyi saatler sonra bile bire bir tekrarlayabiliyordu.

Bir süre sonra Kevin ile Roscoe özellikle Susan’ı dışlayacak şekilde vakit geçirmeye başladılar. Susan bu durumdan memnun değildi. Üstüne bir de Roscoe’nun başka bir kızla nişanlanması eklenince memnuniyetsizliği arttı. Memnuniyetsiz ve bilgili herhangi bir kadının yapabileceği şekilde intikam almaya karar verdi.

1980 yılının Aralık ayında US Leasing adında, elektronik cihazları kiralama konusunda uzman bir firmanın bilgisayarlarına girildi. Kendisini Digital Equipments firmasının teknisyeni olarak tanıtan birisi US Leasing’i arayıp sistemdeki bir arızayı çözmek için geçerli bir kullanıcı adı, parolası ve bağlantı için telefon numarası sordu. Bu bilgileri şüphelenmeden karşı tarafa veren firma çalışanı ertesi gün Digital Equipments firmasını aradığında böyle bir kimsenin olmadığını, firmalarının onlar tarafından aranmadığını öğrendi. Aynı gece boyunca firmanın yazıcıları sürekli olarak “Sistem kırıcısı döndü. Sistem A üzerindeki disklerinizi ve yedeklerinizi uçurmaya az kaldı. Sistem B’yi zaten uçurmuştum. Bunları geri yüklerken eğleneceğini umuyorum, seni .öt deliği”, “Öç alma zamanı”, “FUCK YOU, FUCK YOU, FUCK YOU” vb. ifadeleri basıyordu. Bütün zemin kağıtla kaplanmıştı. Kağıtlarda arada bir insan adları da görünüyordu: Roscoe, Mitnick, Roscoe, Mitnick.

US Leasing’e kimin girdiği anlaşılamadı. Roscoe ve Kevin bunu Susan’ın yaptığını iddia ederken Susan da onları suçluyordu.

Susan’ın intikam çabaları devam etti. Roscoe’nun firmasını arayarak onun bilgisayar terminallerini izinsiz kullandığını ihbar etti. Bunun sonucunda Roscoe işten atıldı. Bu arada Roscoe ve Kevin’ın telefon kayıtlarını takip ediyor ve nereleri aradıklarını ne yaptıklarını saptamaya çalışıyordu. Roscoe ve Kevin takipten kurtulmak için sık sık telefon numaralarını değiştiriyorlardı. Buna karşılık Susan da onların evlerine kadar gelip telefon hatlarına saplanıyor ve bir telefon aparatıyla bağlı bulundukları santralde özel bir numarayı arayıp (Telekom çalışanlarının kullandıkları bir teknik) numarayı öğreniyordu. Sonra bu tekniği kullanamamaya başladı: Kevin daha bilgili olduğu için santralın bilgisayarına girip kendi telefonunun bu şekilde bulunmasını engellemişti. Sonra da Kevin, Susan’ın telefon görüşmelerini dinleyerek karşı kanıt toplamaya başladı. Susan yeni edindiği erkek arkadaşına telefonda mesleğinin inceliklerini ve ücretlerini bir bir açıklıyordu: “sen baskınsan yarım saati 45 dolar, sen pasifsen 40 dolar ve “güreşmek” istersen 60 dolar”. Bu arada Roscoe kendisini ve ailesini tehdit ettiği iddiasıyla Susan’ı savcılığa şikayet etti. Susan zor durumda kalmıştı ama öç almak için hala bir fırsatı bulunuyordu. Savcılık ve emniyet görevlilerine Kevin ve Roscoe’nun yaptıkları işleri anlattı ve bu bilgilere karşı korunma istedi.

1981 yılında Kevin ve Roscoe ABD’nin en büyük Telekom şirketlerinden birisi olan Pasific Bell şirketinin Los Angeles’daki COSMOS merkezine girmeye karar verdiler. COSMOS, telefon firmaları tarafından her türlü iş için kullanılan veritabanı programının adıydı ve Digital Equipments firmasının bilgisayarları üzerinde çalışıyordu. Ülke çapında yüzlerce COSMOS sistemi kuruluydu. Bu sistemde 10-15 civarında komutun nasıl kullanıldığını iyi bilmek gerekiyordu. Bunu da merkezin çöp kutularını karıştırarak elde ettiler. Çöpler arasında yazıcı çıktıları, çalışanların birbirlerine gönderdikleri notlar (parolalar dahil olmak üzere) ve buna benzer bilgiler vardı. Daha fazla bilgiye gereksinimleri olduğunu anlayınca kendilerini merkezin çalışanları olarak tanıtıp içeri girdiler. Şirket çalışanlarının bilgilerinin yer aldığı bölüme bazı adları eklediler. Digital Equipments bilgisayarları kullanan yerleri bir Digital Equipments çalışanıymış gibi aradıklarında bu adları kullanıyorlardı. Eğer karşı taraf kontrol etmek için COSMOS merkezini ararsa bu adlara rastlanacak ve arayan kişinin gerçekten Digital Equipments’da çalıştığı sanılacaktı. Bir yöneticinin odasından da COSMOS’a ilişkin birçok kılavuz alıp çıktılar. Ama fazla ileri gitmişlerdi. Yaptıkları iş hacker’lık falan değil düpedüz hırsızlıktı. Ertesi sabah odasına daldıkları yönetici işyerine gelince kılavuzların eksik olduğunu fark etti. Çalışan kayıtları arasında da tanımadıkları adları kolayca fark edebildiler ve şirketin güvenlik departmanına haber verdiler. Onlar da emniyet görevlilerine haber verdiler: Susan’ın bilgi verdiği emniyet görevlilerine.

Polisin, Kevin’ın evini basması uzun sürmedi. Kevin evde yoktu. Polislerin buldukları şeyler arasında COSMOS merkezi ile ilgili hiçbir şey yoktu ama genel olarak telefon ve bilgisayar sistemlerine ilişkin çok şey vardı. COSMOS güvenlik görevlilerinin ifadelerine dayanarak tutuklama kararı çıkartıldı. Kevin sinagoga gitmişti. Ailece pek dindar olmasalar da Kevin sık sık part-time çalışmakta olduğu sinagoga gidiyordu. Polisleri karşısında gören Kevin kaçmak istedi ama kısa bir araba takibi sonunda yakalandı. Kevin yakalandığında dağılmıştı: Çok korktuğunu söylüyor ve ağlıyordu.harkd attack

Savcı, Kevin’ı ve Roscoe’yu hırsızlık ve bilgisayara izinsiz girme ile suçladı. Duruşmadan hemen önce Kevin iki konuda suçlu olduğunu kabul etti. Bu yolla Roscoe’ya ihanet ediyordu ama ıslahhaneye gitmekten kurtulmayı umuyordu. Kurtuldu da. Aldığı ceza (ceza bile denilemez) 90 günlük bir inceleme ve 1 yıllık gözetim idi. Diğer arkadaşları da 3-5 ay arası cezalar aldılar. Kevin’ın arkadaş gurubuyla da görüşmemesi gerekiyordu.

Guruptaki kişiler cezalarını çekerken Susan da büyük bir aşama kat etti ve güvenlik konusunda danışman olarak çalışmaya başladı. Hatta bu sırada Washington’a gidip senatörlere ve yüksek düzey askeri personele bilgi bile verdi.

Kevin bu sırada Lenny adında başka bir arkadaşıyla en iyi bildiği işe devam ediyordu: Bilgisayarlara ve telefon sistemlerine girmek. En çok rastladıkları bilgisayarlar Digital Equipments firmasının mini bilgisayarlarıydı. Önceleri PDP serisi bilgisayarlar daha sonra ise VAX serisi bilgisayarlar. Bu bilgisayarlar üniversitelerde ve Telekom firmalarında çok yaygın olarak kullanılıyorlardı. Kevin ve arkadaşı Lenny en çok da Güney Kaliforniya Üniversitesinin bilgisayarlarına giriyorlardı. Bu da tekrar başlarının belaya girmesine neden oldu. Bir akşam üniversitenin terminallerinde "çalışırken" yakalandılar. Bu sefer Kevin kolay kurtulamadı: Bir ıslahhanede 6 ay geçirmesi gerekti. Bu arada Los Angeles polisi için de bilgisayar güvenliği konusunda bir videobant hazırladı. 1983'ün sonlarında serbest kaldı.hard atack

Kevin bir aile dostunun yanında çalışmaya başladı. Ama çalıştığı yerdeki tek bilgisayarı bütün gün boyunca kullanması patronunun dikkatini çekti. Patronu Mitnick'in neler yaptığını pek anlamıyordu ama Kevin'ın bilgisayar başında kredi kartları sorgulaması yaptığını fark ediyordu ve kaygılanıyordu. Kaygılarını anlatmak için polis teşkilatına ziyaret yaptı; Kevin Mitnick'in belalısı polis dedektifi ile görüştü. Dedektif de o sıralar Kevin ve arkadaşı Rhoades için bir soruşturma yürütüyordu.  Soruşturma konusu bir Telekom firmasının kodlarını kullanarak uzak mesafe görüşmeleri yapmalarıydı. Aynı zamanda MIT'nin çalışanlarını elektronik ortamda tehdit ediyorlardı. Bu sıralarda amatör radyo yayınlarıyla yaptığı kabalıklar Kevin'ın amatör radyo lisansını kaybetmesine neden olmuştu. Dedektif için bütün bunlar yeterliydi ve Kevin için bir arama ve tutuklama kararı çıkarttı. Evini, işyerlerini aradılar ama Kevin'ı bulamadılar. Hapishaneye girmektense kaçmayı tercih etmişti.

1985'in yazında Kevin tekrar ortaya çıktı. Hakkındaki tutuklama kararı zaman aşımına uğramıştı. Tekrar arkadaşı Lenny ile ilişkiye geçti. Lenny çalıştığı yerlerdeki bilgisayarları Kevin'ın kullanımına açıyordu. Bu sırada ABD'nin en büyük (CIA ve FBI'dan daha büyük) haber alma teşkilatı olan NSA (National Security Agency) bilgisayarlarına da girmeye başladı. Yaklaşık altı ay içinde Los Angeles bölgesi içindeki hemen tüm mini bilgisayarlara girmelerini sağlayacak kullanıcı hesaplarını elde ettiler. Bu sırada NSA'in sıkıştırmasıyla Lenny işten kovuldu (girdiği işlerin çoğundan kovuluyordu).

Kevin 1985'in Eylül'ünde bir bilgisayar okuluna yazıldı. Başarılı bir okul dönemi geçiriyordu. Hard atack

Kevin'ın kızlarla arası hiç iyi olmamıştı. Bu yüzden 1987 yılında, arkadaşlarına evleneceğini söylediğinde herkesi şaşırttı. Gelin adayı bir telefon şirketinde yönetici olarak çalışıyordu (Kevin kızın nerede çalıştığını duyduğunda gülmekten az kalsın yere yuvarlanıyordu) ve Kevin'la okulda tanışmışlardı. Kevin ve arkadaşı birlikte yaşamaya başladılar.

Kevin, UNIX işletim sisteminin bir çeşidini üretip satan Santa Cruz Operation (SCO) firmasının bilgisayarlarına girdi. Bir sekreterin hesabını kullanıyordu. Eylemleri fark edildi. SCO yetkilileri Telekom şirketiyle işbirliği yaparak bağlantının kaynağını bulmaya çalıştılar. Bu iş normalde onlar için çocuk oyuncağıydı. Ama bu sefer bir zorlukla karşılaştılar: Bağlantıyı izlemeleri engelleniyordu. Kevin saatlerce bağlı kaldığı halde hattı bulunamıyordu. Bir süre sonra Kevin firmanın programı olan XENIX'i kopyalamaya çalıştı. Artık çok olmuştu. Bir seferinde dikkatsiz bir şekilde bağlanınca nereden bağlandığı saptandı. Evi yerel polis tarafından basıldı. Evde bilgisayar, modum (polis kayıtlarında böyle görünüyordu), telefon bağlantı aparatı, 55 adet disket çeşitli kitap ve kılavuzlar ile bir adet tabanca buldular. Kevin ve arkadaşı için tutuklama kararı çıkartıldı, sonra arkadaşının bu işin içinde olmadığı anlaşılınca onun kararı kaldırıldı. Dava sürerken Kevin ve arkadaşı evlendiler. SCO davası Kevin'ın suçunu kabul edip işbirliğine yanaşması ile bitti.
1988 yılında Kevin ve arkadaşı Lenny bir başka okula girdiler. İlk yaptıkları şey okulun bilgisayarındaki bütün dosyaları manyetik bant kartuşlarına kopyalamaya çalışmak oldu ve bu iş sırasında yakalandılar. Okulun sistem sorumlusu gecikmeden polise haber verdi. Polisin elinde yeterince bilgi vardı ve Kevin'ı hapishaneye tıkıp orada uzun süre tutmak için ellerinden geleni yapmaya kararlıydılar. Ama polis, üniversite, Telekom şirketi ve Digital Equipments arasındaki koordinasyonsuzluk yüzünden hiçbir şey yapılamadı.

Çalışmaları için Lenny’nin işyerindeki bilgisayarları kullanıyorlardı.

Kevin ve Lenny'nin şimdiki amaçları Digital Equipments firmasının en değerli yazılımı olan VMS işletim sistemini elde etmekti. Bunun için Arpanet içinde gezinmeye başladılar. Arpanet içindeki bir askeri bilgisayara girmeyi başardılar ve onu çaldıkları yazılımları saklamak için kullanmaya başladılar. Bu bilgisayara girdikleri anlaşılınca başka bilgisayarlara geçtiler: Güney Kaliforniya Üniversitesinin bilgisayarlarına. Bilgisayarlara giriyorlar, onların üzerinden Arpanet'e çıkıyorlar ve bir yerlerden aldıkları VMS'in kaynak kodunu bu bilgisayarlara kopyalamaya çalışıyorlardı. Kopyaladıkları kod VMS'in alelade bir sürümü de değil 5.0 sürümüydü. Bu sürüm henüz müşterilere dağıtılmaya başlanmamıştı ve bulunabileceği tek yer Digital Equipments'ın iç ağı olan Easynet idi. Kevin ve Lenny gerçekten de bir zamandır Easynet'e giriyorlardı. Girmekle kalmayıp Easynet içinde çalışanların birbirleriyle yazışmalarını da izleyebiliyorlardı. Bu yazışmalar arasında iki kişi dikkatlerini çekti. Birincisi bir VMS güvenlik uzmanıydı. İkincisi ise sürekli olarak bu uzmanla yazışan ve İngiltere'deki bir üniversitede çalışan bir başka uzmandı. İkinci uzman sürekli olarak bulduğu güvenlik açıklarını ilkine gönderiyordu. Tabii, bunlar Kevin ile Lenny'nin eline de geçiyordu.

VMS’in kaynak kodunun üniversitenin bir bilgisayarına aktarılması bittiğinde sıra dosyaları bir manyetik bant kartuşuna kopyalamaya gelmişti. Ellerindeki araçlarla bunu uzaktan yapmaları mümkün değildi. Bunu üniversitenin bilgisayarının başında yapmaları gerekiyordu. Bu iş için yanlarına eski arkadaşları Roscoe’yu aldılar . Kevin tanındığı için üniversiteye girmeyecek, işi Lenny ile Roscoe bitirecekti. Roscoe kendisini bir öğrenci olarak tanıtıp kopyalaması gereken dosyalar olduğunu söyledi ve kartuşun bilgisayara takılmasını sağladı. Sonra Lenny ile buluşup telefonla Kevin’a haber verdiler. Kevin bilgisayara uzaktan bağlanarak dosyaların kopyalanması için gereken komutları verdi. İşlem bitince Roscoe kartuşu aldı. Dosyalar çok büyük olduğu için bu işlemleri birkaç kez yapmaları gerekti ama sonunda VMS’in kaynak kodlarına sahip oldular. Artık bu kodu inceleyip işletim sisteminin açıklarını bulabilirlerdi.

Bu sırada hem üniversitede hem de Digital Equipments’da sisteme birilerinin girdiği anlaşılmıştı. Kevin ve Lenny’nin de okudukları e-postalar ile yakından bildikleri gibi Digital Equipments içinde üç kişi hemen hemen tüm zamanlarını bu işi çözmeye adamışlardı. Ama Kevin ve Lenny yine bu e-postalardan Digital Equipments’ın onları bulsa bile kolay kolay suçlayamayacağını öğrenmişlerdi. Firmalar kendi sistemlerine birilerinin girdiğinin öğrenilmesinden hiç de memnun kalmıyorlardı. Yine de her iki kurum da onları saptamak için ellerinden geleni yapıyorlardı. Kendilerine gelen telefon bağlantılarını izlemek için Telekom şirketleriyle birlikte çalışıyorlardı. Kevin telefon sistemini iyi tanıması nedeniyle aramalarını hep çağrı yönlendirme yöntemiyle yapıyor ve izleme sonunda rasgele numaralara erişmelerini sağlıyordu. Bir keresinde rastgele numara orta doğudan göçen bir adamın numarası çıktı. Adamın evi FBI tarafından basıldı ama ajanlar televizyon seyreden bir adamdan başka bir şey bulamadılar.

Bu arada Lenny ile Kevin arasında sorunlar baş göstermeye başladı. Lenny daha normal bir hayat sürmek istiyordu: Hacker’lık dışında faaliyetlerle ilgilenmek, kız arkadaşına daha fazla zaman ayırmak istiyordu. Kevin ise tek bir şeye saplanmıştı: Daha çok, daha çok bilgisayar sistemine girmek. Lenny’i de kendisiyle çalışmaya zorluyordu. Lenny, Kevin’ın ilerde kendi aleyhinde kullanabileceği bilgileri topladığını düşünüyordu. Sık sık tartışıyorlardı. Kevin her işlerinde "bu sonuncu olacak başka bir hacking yapmayacağız" diyordu ama birisi bitince bir başka işi başlatan da yine hep o oluyordu. Kevin çalışmaları ile ilgili olarak da karısına sürekli yalanlar söylüyordu. Lenny’nin arkadaşları Roscoe’yu arayıp durumdan yakındı. Roscoe da Kevin’ın halinden memnun değildi ve ona şimdiden iyi bir avukat bulmasını önerdi. Kevin çığırından çıkmıştı: VMS işletim sisteminin kaynak kodunu kopyaladıktan sonra şimdi de yine Digital Equipments’dan Doom adında bir oyunu kopyalamak istiyordu. Lenny için bu kadarı fazlaydı. İşindeki amirleriyle konuşup durumunu anlattı. Birlikte hem Digital Equipments’ı hem de FBI’ı aradılar ve durumu anlattılar. Lenny o ana kadar elde ettikleri 36 adet kartuşu FBI’a teslim etti. Birlikte Kevin’a bir tuzak hazırladılar. Lenny’nin üstüne mikrofon ve teyp yerleştirdiler. Lenny her akşam olduğu gibi işyerinde Kevin ile buluştu. Bu sırada FBI ve Digital Equipments güvenlik elemanları da aynı binada onları izliyordu. Kevin sabah saat 3’e kadar çalışmayı sürdürdü. Ertesi sabah FBI ajanları ve Digital yetkilileri bir toplantı yaptılar. Her zamankinin aksine bu sefer Digital Equipments da geri çekilmemeye karar vermişti. O gün akşam Kevin tutuklandı. Yıl 1988 idi.

Kevin’ın tutuklanışı gazetelere manşet oldu. Haberlerde onun basit bir telefonla nükleer savaşa yol açabileceği, toplum için bir tehdit oluşturduğu işleniyordu. Kevin maksimum güvenliğin sağlandığı bir hapishaneye kondu. Digital Equipments firması Mitnick’in kendilerine verdiği zararın 160 bin dolara mal olduğunu iddia etti. Kevin mahkemede bazı suçlamaları kabul etti, yaptıklarından dolayı özür diledi ve bu tür şeyleri bir daha tekrarlamayacağına söz verdi. Mahkeme onu bir yıl hapis ve altı aylık bir tedavi ile cezalandırdı. İyi hali görüldüğünden, 1990 yılının baharında, cezasının tümünü tamamlamadan hapishaneden şartlı olarak çıktı. Hapishaneden çıktığında karısı boşanmak istedi: Bütün olan bitenden bıkmıştı.

Kevin hapisten çıktığı zaman eski arkadaşı Susan ile görüşmeye başladı. Kevin kilo vermişti ve düzenli bir işte çalışıyordu. Susan, sonradan bu döneminde Kevin’ı baştan çıkarmaya çalıştığını söyleyecekti. Onun yatakta nasıl olduğunu merak ediyordu. Ama Kevin’ın bu taraklarda bezi yoktu. Susan vazgeçti. Daha sonra “isteseydim onunla yatardım” diyecekti.

FBI, hapisten çıkan Kevin'ın ıslah olduğuna inanmıyordu. Justin Petersen adında eski bir hacker'ı Kevin'ın peşine taktı. Justin, hem Kevin, hem de Roscoe ile ilişkiye geçip onları bilgisayarlara girme konusunda cesaretlendirdi.Üçü birlikte bir çok bilgisayara girdiler. Kevin, Justin'in ajan olduğunu farkedince bir avukata danışıp onunla yaptıkları görüşmeleri teybe kaydettiler. Ama çok geçti. Şartlı salıverme kurallarını ihlal ettiği için Kevin hakkında tutuklama kararı çıkartıldı. Kevin yakalanmamak için kaçmaya başladı. Sürekli şehir değiştiriyor, alışverişini hep nakit paralarla yapıyordu. Bilgisayarlara girme huyundan vazgeçememişti. Gelişen teknoloji ile birlikte bir dizüstü bilgisayar, bir hücresel telefon ve modemle çalışmak yeterli hale gelmişti. İnternet'in yaygınlaşması da ona hizmet ediyordu. Bir yerel İnternet hizmet sağlayıcısına bağlanıyor oradan da İnternet'te yaygın olarak kullanılan Telnet programı ile istediği sisteme bağlanabiliyordu.

Bu sırada Digital Equipments firmasına VAX sistemlerinin hatalarını rapor eden İngiliz'le arasında garip bir bağ oluştu. Kevin, İngiliz'in firmaya gönderdiği e-postaların hepsini okuyabiliyordu. Bu e-postalardan ne kadar bilgili bir kişi olduğunu anladığı İngiliz'e karşı hayranlık besliyordu. Bu hayranlığın sonunda kendisini telefonla aramaya bile başladı. Telefon görüşmeleri 2, 3 bazen 4 saat sürüyordu. İngiliz'in FBI ile bağlantılı olarak onu yakalamaya çalıştığını öğrenince büyük hayal kırıklığına uğrayıp bağlarını koparttı.

1994'ün son aylarında Kevin Seattle kentindeydi (Microsoft'un da merkezinin bulunduğu Amerika'nın kuzeydoğusundaki bir kent) . Brian Merril adıyla bir hastanede bilgisayar teknisyeni olarak çalışıyordu. Şehrin telekom şirketinin iki dedektifi telefon korsanlığını araştırırken onu buldular. Tarama cihazı ile binasına kadar ulaşıp telefon konuşmasını dinlediler. Kevin karşısındakiyle bir bilgisayar sistemine nasıl girileceğinden konuşuyordu. Ama arama emri ancak birkaç ay sonra çıkarılabildi. Arama yapıldığında da Kevin'ı bulamadılar. Kevin yine kaçmayı başarmıştı. Kaçtığı yer Amerika'nın doğusundaki Raleigh kentiydi. Bu kentte son ve en uzun hapis cezasına çarptırılmasına neden olan işini yapacaktı: Japon kökenli bir Amerikalı olan Tsutomo Shimomura'nın bilgisayarına girmek.

Tsutomu Shimomura dünyaca ünlü bir fizikçi olan Richard Feynman'dan ders alan parlak bir astrofizikçi idi. Ama astrofizik onu kesmiyordu. 19 yaşında Los Alamos Ulusal Laboratuvarında işlemci mimarisi ve hesaplama yöntemleri üzerinde çalışmaya başladı. Daha sonra San Diego Süper Bilgisayar Merkezinde çalışmaya başladı. Kendini beğenmiş birisiydi. Karşısındaki kişi onun konularından anlamıyorsa Tsutomu için değersizdi. Bilgisayarları çok seviyor ve bilgisayar güvenliği alanıyla yakından ilgileniyordu. Bu özelliği yüzünden Hava Kuvvetlerine ve NSA'e güvenlik konusunda danışmanlık yapıyordu. Bilgisayarına girildiğini farkettiğinde çok şaşırdı, çok bozuldu ve bunu kişisel bir tehdit olarak algılayıp bilgisayarına gireni takip etti. Yakalayana dek..

Tsutomu'nun sistemine giren kişi iz bırakmamak için günlük dosyalarını (log files) silmişti. Ama Tsutomu çok önceden tedbirini almıştı: Günlük dosyalarının bir başka bilgisayara düzenli olarak gönderilmesini sağlamıştı. Bu dosyaları bir master öğrencisi düzenli olarak inceliyordu. Bu öğrenci normalde hep artması gereken günlük dosyalarının son kopyasının küçülmüş olduğunu gördüğünde yolunda gitmeyen bir şeyler olduğunu farketti. Durumu Tsutomu'ya haber verdiğinde Tsutomu kayak yapmaya gidiyordu. Tatilini iptal edip hemen San Diego'ya döndü.

Tsutomu'nun bilgisayarlarına saldıran kişi IP spoofing denilen bir tekniği kullanıyordu. Chicago'daki Loyola Üniversitesinden girdiği sanılan birisi, bilgisayarının IP adresini Tsutomu'nun ağındaki bir IP adresi olarak göstermişti. Saldırgan bu yolla Tsutomu'nun birçok bilgisayarından düzinelerce dosyayı kopyalamıştı. Tsutomu bu tekniği duymuştu ama gerçekleştirilmesi çok zor olduğu için uygulandığını hiç görmemişti.

Tsutomu bilgisayar güvenliği konusunda çalışan kişilerin çoğu gibi Kevin Mitnick'i duymuştu. Kevin'ın arandığını da biliyordu. Saldırganın o olduğundan emin değildi ama araştırmaya hemen başladı. Önce saldırganın neleri çaldığını buldu: Hücresel telefon kodları, Tsutomu'nun e-postalarını ve çeşitli güvenlik araçlarını içeren özel klasörü (home directory) birçok başka dosya. Tsutomu bilgisayarlarındaki güvenlik önlemlerini arttırıp tatiline döndü. Sonraki günlerde Tsutomu, Bruce Koball adında birisi tarafından arandı. Bruce San Francisco'da yaşıyordu ve internet hesabına ayrılan disk alanının Tsutomu'nun dosyaları ile dolduğunu bildiriyordu. Bu alanda Tsutomu'nun yaklaşık 150MB'lık dosyası bulunuyordu . Tsutomu San Francisco'ya uçup İnternet Hizmet Sağlayıcısının merkezine karargah kurdu. Buradan kendi sistemlerine giren kişiyi izlemeye başladılar. Onun klavyede bastığı her tuşu takip edebiliyorlardı. Saldırganın o bölgedeki başka İnternet Hizmet Sağlayıcılarına (ISP) da girdiğini ve o sistemleri de parmağının ucunda oynattığını farkettiler. Karşılarındaki kişi sıradan birisi değildi. Saldırganın aslında yine o yöredeki başka bir ISP'den girdiğini farkedince karargahlarını oraya taşıdılar. Orada saldırganın ISP'nin 26000 müşterisine ait kredi kartı bilgilerini elde etmiş olduğunu gördüler (bu kredi kartı bilgilerinin kullanılıp kullanılmadığı hiç anlaşılamadı). Saldırgan ondan fazla kişinin e-postalarını izliyordu. Bu e-postalar içinde "itni" ifadesini arıyordu. Tsutomu'nun kuşkusu kalmamıştı: Aradıkları kişi Kevin Mitnick'ti.

Bu sırada saldırganın aramayı Raleigh'den (ABD'nin öbür tarafı) başlattığı saptandı. Aramalar bir hücresel telefon ve modemle yapılıyordu. Tsutomu tası tarağı toplayıp Raleigh'e uçtu. Orada telekom şirketi Sprint'in bir teknisyeni ile birlikte bir arabaya atlayıp telefon görüşmelerini taramaya başladılar. Otuz dakika içinde Kevin'ın yeri saptandı. FBI'a haber verildi. Kevin'ın kanıtları yok etmemesi için hızlı hareket etmeleri gerekiyordu. Sabahın ikisinde ajanlar kapıyı çaldılar. Kevin'ın ilk sorduğu şey arama belgesiydi. Ajanlar arama belgesini gösterdiklerinde adresin yanlış yazılmış olduğu anlaşıldı. Ama bu Kevin'ın içeri giren ajanlar tarafından tutuklanmasına engel olamadı. Beş yıl hapishanede kaldı. 21 Ocak 2000’de serbest bırakıldı fakat gözetim altında kaldı. Telefon kullanamıyor (annesini araması dışında). Bilgisayara el süremiyordu. ABD dışına çıkması yasaktı. Geçimini konferanslara katılarak sağlıyordu. 21 Ocak 2003 yılında üzerindeki kısıtlamalar kaldırıldı.Şu an kurucusu olduğu Mitnick Security Consulting,LLC ‘de çalışıyor.