Kırmızı Başlıklı Kız ve Ortadaki Kurt

Eylül 23, 2019

Bilgi güvenliği konularını çocuklarınıza anlatıyor musunuz? Muhtemelen anlatmıyorsunuz. Bazıları bilgi güvenliğini anlaşılır hale getirmekten vazgeçmekte ve çocukların çevrimiçi ortamda bazı şeyleri yapmasını ya da genel olarak internet kullanmasını yasaklamaktadır. Ancak açıklama yapılmadan bir şeylerin yasaklanması verimsizdir ve çocukların yasak meyvelerin peşinden gitmesi daha muhtemeldir.

“Çocuğunuzla siber tehditler ve bilgi güvenliğinin ne olduğu hakkında neden konuşmuyorsunuz?” sorusuna cevap olarak, zaten bu kavramlara çok hakim olmayan ebeveynler ne yapacaklarını bilemeyip pes etme eğilimi gösterir.
Ama her şey çoktan açıklanmıştır aslında. Farkında olmayabilirsiniz ama küçükler için siber güvenlik üzerine çok sayıda ders kitabı aslında yüzlerce yıl önce kaleme alınmıştır. Onları masal olarak da adlandırıyoruz. Tek yapmanız gereken o masalların biraz derinine inmek.

Kırmızı Başlıklı Kız

Örneğin, Kırmızı Başlıklı Kız masalına bakalım. Grimm Kardeşler, Charles Perrault ve daha pek çok ünlü siber güvenlik uzmanı tarafından defalarca ele alınmış, bilindik bir Avrupa halk masalı. Hikâyenin çeşitli versiyonları olabilir ancak temeli aynı. Neler olduğunu adım adım inceleyelim.

  1. Anne kızını bir sepet yiyecekler ninesine gönderir.
  2. Kırmızı Başlıklı Kız kurtla karşılaştığında kurt sorar: “Nereye gidiyorsun?”
  3. Kırmızı Başlıklı Kız cevap verir: “Nineme gidiyorum, ona yiyecek götüreceğim.”

Siber güvenliğe dair kısmı en baştan bellidir. Burada, iki taraf arasında iletişim kurma süreci olan el sıkışma sürecini açıklayabilir ve ilgili tehditleri birlikte gözlemleyebilirsiniz.

Kırmızı Başlıklı Kız, ninesinin kapısını çalıp “Kim o?” sorgusu almak ve ninesinin eve erişimine izin verebilmesi için annenin gönderdiği yiyeceklerle ilgili parolayla yanıt vermek üzere programlanmış durumda şu an. Ancak bir sebepten ötürü, doğru “Kim o?” sorgusunu alamadan önce rastgele bir talep doğrultusunda parolayı veriyor. Bu da saldırganın kullanabileceği bir fırsat doğuruyor.

  1. firmware masal versiyonuna bağlı olarak, kurt ya Kırmızı Başlıklı Kız’ı başka bir yola gönderiyor ya da ninesi için gidip çiçek toplamasını öneriyor.

Her iki durumda da, bir tür Hizmet Reddi (DoS) saldırısı. Kurt, Kırmızı Başlıklı Kız’ın gelmesinden sonra ninenin evine girmeye çalışırsa, içeri girmesi mümkün olmaz; beklenen ziyaretçi zaten içeridedir. Bu nedenle, Kırmızı Başlıklı Kız’ı bir süreliğine uzaklaştırması önemlidir, böylece küçük kız görevini zamanında tamamlayamaz.

  1.  Her iki durumda da, kurt ninenin evine ulaşan ilk kişi olur ve “Kim o?” sorgusuna doğru cevabı vererek giriş yapar. Ve nine eve girmesine izin verir.

Bu, tekrarlama saldırısı yöntemini kullanan Ortadaki Adam (MitM) saldırısının tipik bir versiyonudur (gerçi bizim durumumuzda, Ortada Kurt daha doğru bir betimleme olur). Kurt, iki taraf arasındaki iletişim kanalına girer, el sıkışma prosedürünü ve parolayı müşteriden öğrenir ve yasa dışı olarak sunucuya erişebilmek için ikisini de tekrar üretir.

  1.  Kurt nineyi yer, üstüne geceliğiyle başlığını geçirir ve yatağa uzanıp yorganı üstüne çeker.

Modern anlamda bir kimlik avı sitesi kurar. Dışarıdan bakınca her şey gerçekçi görünür. Ninenin yatağı oradadır, nineye benzeyen biri içinde yatmaktadır.

  1. Eve yaklaşıp da “Kim o?” sorgusunu alan Kırmızı Başlıklı Kız getirdiği yiyeceklerle ilgili parolayı söyler.

Bu, MitM saldırısının bir devamıdır, ancak şimdi bilgi alışverişi prosedürünün ikinci bölümünü öğrenen kurt, sunucunun ninenin normal davranışını taklit eder. Şüpheli bir şey görmeyen Kırmızı Başlıklı Kız içeri girer.

  1.  Eve girer ve ninesinin neden bu kadar büyük kulakları, gözleri ve dişleri olduğunu yüksek sesle merak eder. Akıllıca sorulardır, ama nihayetinde, kurdun muğlak açıklamalarından tatmin olunca giriş yapar… ve mideye indirilir.

Gerçek hayatta, kimlik avı siteleri bu masaldaki gibi %100 ikna edici değildir ve şüpheli bir köprü bağlantısı gibi kuşku uyandıran öğeler içerir. Sorunları önlemek için dikkatli olmanız gerekir:
Örneğin ninenin alan adı adı geceliğinden belli oluyorsa, derhal siteyi terk edin.

Kırmızı Başlıklı Kız bazı tutarsızlıklar görmüş, ancak ne yazık ki onları görmezden gelmiştir. Burada, çocuğunuza Kırmızı Başlıklı Kız’ın dikkatsiz davrandığını açıklamanız ve bunun yerine ne yapması gerektiğini söylemeniz gerekir.

  1.  Neyse ki, bir grup oduncu (bazı versiyonlarda avcılar) ortaya çıkıyor, kurdu kesiyor ve nine ve Kırmızı Başlıklı Kız mucizevi bir şekilde güvenli ve sağlam bir şekilde ortaya çıkıyor.

Bilgi güvenliğiyle ilgili paralelliklerin kusursuz olmadığı ortada. Paranızı, itibarınızı veya güvenliğinizi geri almak için bir siber suçluyu kesemezsiniz. Gerçi dürüst olmamız gerekirse, böyle bir şey denemedik. Ve kayıtlara geçsin, denemiş olanlarla da hiçbir ilişkimiz bulunmuyor.

Diğer masallarda siber güvenlik

Masallar hayat dersleri içerir ve neredeyse her masalda bilgi güvenliğine dair alt metinler kesinlikle vardır. Asıl mesele, o alt metni doğru bir şekilde ortaya çıkarmaktır. Örneğin Üç Küçük Domuz masalında, brute-force saldırıları için üfleyip püfleme aracını kullanan bir script kiddie görüyoruz. Karlar Kraliçesi Kay’a troll-mirror denilen kötü amaçlı yazılımı yüklüyor ve uzaktan erişim aracı (RAT) dışarıdaki bir suçlu içeriden birinin sistem kontrol düzeyine nasıl ulaşabiliyorsa Kay’ı da o şekilde kontrol ediyor.

Buna karşılık, Çizmeli Kedi temel olarak, Kedi’nin önce devin altyapısını ele geçirdiği, daha sonra orada varlığını ortaya koyup bilinirlik hizmetlerini içeren karmaşık bir hile sayesinde yerel yönetimle sahte bir anlaşma yapmayı başardığı sofistike bir APT saldırısı gerçekleştirmesini ayrıntılarıyla anlatır.