Türkiye'de Sosyal Mühendislik

Geçenlerde ünlü hacker yada kendisinin ifadesi ile Sosyal Mühendis olan Kevin Mitnick’in Aldatma Sanatı adlı kitabını okudum. İlginç konulara değiniyordu kitap. Özellikle güvenlik konusunda en zayıf halka olarak insan faktörü üzerinde duruyordu kitap.

Bende Türkiye’deki açıklardan söz etmek istiyorum. Diyelim ki bir kişi hakkında bir araştırma yapmak istiyorsunuz. Türkiye de bir kişiyi araştırmak için dört bilgi yeterlidir. Adı, soyadı, doğum tarihi ve baba adı. Devlet dairelerinde birçok sorgu bu dört temel bilgi üzerinden yapılır. Türkiye de herkes üniversiteyi kazanamasa da üniversite sınavına girmiştir. Bu nedenle bu bilgilere erişmenin en kolay yolu OSYM’nin sitesiydi. Eğer bir kişinin adı ve soyadı bilgisi mevcutsa OSYM’nin sitesinden baba adı ve doğum tarihini bulabilirdiniz. OSYM bu güvenlik riskini farketmiş olacak ki, bu sayfaya kısıt getirmiş. Ama, diyelimki bu dört bilgiye bir şekilde eriştiniz, neler yapabilirsiniz? SSK’nın sitesinden bu dört bilgi ile Vatandaşlık numarasına erişebilirsiniz. Ve SSK numarasından gün dökümü alarak en son çalıştığı şirketin sicil numarasını öğrenebilirsiniz. Eğer SSK’yı telefonla arayıp bilgi edinmek için telefondaki insanın ağzından bilgi almaya çalışırsanız şirket ile ilgili bilgilere de erişebilirsiniz. Ayrıca Türk telekomdan elinizdeki bilgilerle arama yapabilirsiniz. Telefon numarasını bulduğunuzda Türk telekomunun ttrehber olmadığı zamanlarda Hyper Terminal servisinden ise açık adresini bulabilirsiniz.

Bu konuda bizlerin yapabileceği birkaç şey var. Bu dört temel bilgiyi mümkün gizlemek dışında, çevrenizdekilerin devlette kayıtlı olan isminizi tam olarak bilmemeleri. Bu konuda en şanslı olanlar üç isime sahip olan insanlar sanırım. Belki bana paranoyak gözüyle bakıyorsunuz ama Intel başkanı Andrew Grove’un yalnız paranoyaklar ayakta kalır sözünü hatırlatmak istiyorum. Bu bilgileri çevremde ki muhasebeci arkadaşlarımdan öğrendim. Sanırım paranoyak olmakta fayda var.