Açık Kaynak İstihbaratı – OSINT

Sistem odasında yer alan bilgisayarın ekran görüntüleri, basında masum bir şekilde paylaşılabilir. Makam odasında önemli evrakların göründüğü masum bir ziyaret fotoğrafı da olabilir. İnternette yayımlanan bir fotoğrafla sistemin IP adresine ya da önemli veri ve talimatların bulunduğu kritik bilgilere ulaşmak kolaydır. Bilginin yayılma hızı ve kolaylığı arttıkça önemli bilgiler herkesin ulaşabileceği ortamlarda paylaşılmaktadır. İstihbarat toplamak tehdit istihbaratının uygulanması için önemli bir adımdır. Açık Kaynak İstihbaratı – OSINT internet, televizyon, radyo, dergi, gazete, broşür aracılığıyla paylaşılan hedefle ilgili verileri herkese açık bu kaynaklardan elde etmektedir.

OSINT – Açık Kaynak İstihbaratı Nedir?

Potansiyel ve mevcut tehditleri tanımlama ile organizasyonun zamanında stratejik karar vermesini sağlayan siber tehdit istihbaratının elde edilmesi için kullanılan kaynaklardan biri de Açık Kaynak İstihbaratı’dır. OSINT kısaltma ismiyle Open Source Intelligence olarak ifade edilmektedir. İnternet ortamında ücretsiz ve yasal olması şartıyla, blog, forum, grup, resim, podcast yayını ve video içeriklerinde aranabilir. Açık Kaynak İstihbaratı kısaca, kamuoyuna açık, gizli olmayan, belirli bir amaçla bir araya getirilmiş bilgilerin işlenmesi, analiz edilmesi ve raporlanmasıdır. Bir bilgiye erişmek için herhangi bir uzmanlık, beceri, araç veya teknik gerekiyorsa, bu açık kaynak olarak değerlendirilemez. OSINT öncelikli olarak Ulusal Güvenlik Birimleri, Kolluk Kuvvetleri, Stratejik İş Karar Mekanizmaları tarafından sıklıkla kullanılmaktadır. Ayrıca SOCMINT – Sosyal Medya İstihbaratı da Açık Kaynak İstihbaratı’nın bir dalıdır.

Hangi Kaynaklar Açık Kaynak Olarak Değerlendirilebilir?

  • Arama motorlarından elde edilen bilgiler
  • Haberler gibi kitleye yönelik, herkese açık olarak paylaşılanlar
  • Nüfus sayım bilgileri gibi kamunun bilgisine sunulan veriler
  • Endüstriyel dergiler gibi abonelik ve satın alma şartıyla sunulan bilgiler
  • Kamuoyuna açık toplantılarda bahsedilen hususlar
  • Fuar, fabrika, tesis gibi yerlerde herhangi bir etkinliğe katılarak sağlanan bilgi
  • Web sitesinin kullandığı teknolojik altyapıya ait veriler

Hedefe uygun istihbarat toplamak için aşağıdaki sorulara net olarak cevap vermek gerekir:

  • Ne arayacağım?
  • Hangi amaçla araştıracağım?
  • Hedefim kim veya nedir?
  • Nasıl araştırma yapacağım?

Açık Kaynak İstihbaratı OSINT Nasıl Toplanır?

Siber güvenlik alanında tehdit istihbaratı toplamak için hangi kaynaklardan nasıl yararlanıldığına göz atalım.

Arama Motorları Üzerinden Veri Toplamak

Arama motorları zafiyet senaryoları ve tehditler hakkında anahtar bilgiler elde etmek için en önemli kaynaktır. Hedef hakkında kritik bilgilerin toplanmasında büyük rol oynar. Search Engines Results Pages – SERP adı verilen sonuç sayfalarından endüstriyel tehditler, teknolojik tehditler, kullanılan exploitler, expolitin verdiği zararlar gibi tehdit aktörleri ve güncel tehditler takip edilebilmektedir. Arama motorları Siber Güvenlik Analisti’nin organizasyona saldıracak siber saldırganın bakış açısıyla bilgi toplamasına imkan sağlar. Organizasyonun altyapısındaki güvenlik zafiyetlerinin belirlenmesi için yardım eder. Bazı durumlarda basit Google aramalarıyla bile hedef organizasyonda hangi antivirüs ve güvenlik duvarı yazılımının kullanıldığı öğrenilebilir. Organizasyonun siber güvenlik uzmanı forum sitelerinde kullanılan güvenlik sistemlerinden bahsetmiş ve ifşa etmiş olabilir. Sık kullanılan arama motorları sırasıyla Google, Bing, Yahoo, Baidu, Yandex, Duckduckgo, AOL, Contextualwebsearch olarak gözlemlenmiştir.

Ayrıca bilgilerin yer aldığı silinen sayfalara ulaşabilmek için daha önce arşivlenmiş cache verileri arama motorlarından sağlanabilir. Arama motorlarının sunduğu ileri düzey arama teknikleriyle karmaşık sorgular, filtrelemeler sayesinde kısa sürede spesifik bilgilere sahip olursunuz. Potansiyel tehdit oluşturacak gizlenmiş ve hassas bilgiler yayınlayanların farkında olmadan arama motorları tarafından taranmış olabilir. Web uygulamalarının uzantılarını tek tek deneyerek güvenlik zafiyeti bulunan noktayı tespit etmek yerine bir kısım anahtar kelime ve harfler kullanarak exploit bulunabilmektedir. Google sonuçları Web sayfasının başlık, URL, metin gibi kısımlarını içerdiğinden bazı arama komutları sayesinde istenen dosya türü, tarih, adres, konum, ilgili dosya filtrelenebilmektedir.

Google Popüler Gelişmiş Arama Yöntemleri:

cache: Web sayfasının belirli bir zaman dilimindeki mevcut halini gösterir. Önbelleğe alınmış anlık görüntüsüne örnekteki aramayla ulaşılabilir.

cache:www.savunma-sanayi.com

related: Belirtilen web sayfasına benzer, ilişkili sayfaları görüntüler.

related:google.com araması yapıldığında diğer arama motorlarını görmekteyiz.

intitle: Arama sonuçlarında yalnızca başlığında belirtilen kelime ve içeriğinde spesifik metin bulunan sayfalar görüntülenir.

[siber tehdit intitle:istihbarat]sorgusuyla, başlığında “istihbarat” kelimesi bulunan “siber tehdit” içerikli sayfalar sıralanmıştır.

inurl: Belirtilen kelimenin URL adresi içinde bulunduğu sonuçlar görüntülenir.

[inurl:savunma site:www.savunma-sanayi.com] içinde “savunma” kelimesi bulunan adresleri gösterir.

filetype: Dosya türü ve uzantısına yönelik arama yapmanıza imkan tanır.

[savunma:pdf] örneğini Google’da arattığımızda “savunma” kelimesi içeren pdf uzantılı belgelere ulaşabiliriz.

link: Web sitesinin veya ilgili sayfanın adresini paylaşan diğer web sitelerini listelemektedir.

site: Web sitesine ait Google tarafından taranmış tüm sayfalara ve dosyalara bu sorgu ile ulaşabilirsiniz.

“site:www.savunma-sanayi.com siber” siber kelimesini site içerisinde aramış olursunuz.

@ Kullanımı: Bir organizasyona veya şahsa ait sosyal medya hesaplarını bulmak için kelimenin başına @ simgesi koymanız yeterlidir.

@intelkit araması yapıldığında intelkit Twitter ve Instagram hesaplarına ait linkler görüntülenmektedir.

Google Gelişmiş Görsel Arama ile kullanılabilir bilgiler içeren, hedefe ait görsellere ulaşılabilir. Resimlerin doğrulanması, konum, çalışan profilleri gibi bilgiler tek resimle ortaya çıkartılabilir. Ayrıca Google tersinden görsel aramayla elinizdeki görselin nerelerde paylaşıldığını ve kaynağını tespit edebilirsiniz.

Google Dork aramalarıyla web sitesine ait Login – Giriş sayfaları, VoIP portal girişleri, VPN sunucularının anahtarları teknik bilgi gerektirmeden bulunabilir.

inurl: “SPA Configuration” araması Linksys telefonlarını bulmaktadır.

Filetype:pcf vpn OR Group  aramasıyla VPN müşterileri tarafından kullanılan profil yapılandırma dosyalarına ulaşılabilir.

Google Hacking Database- GHDB Üzerinden Tehdit İstihbaratı

Bazı güvenlik zafiyetlerin bulunmasına yönelik Google arama yapılarını sunan veritabanıdır. Açıklar ve exploitler toplanarak sistemdeki karşılığı kontrol edilir.

GDHB Kategorileri:

  • Footholds – Hedefte erişime izin veren zafiyetler
  • Kullanıcı adı veya şifresi içeren dosyalar
  • Hassas klasörler
  • Web Sunucu tespiti
  • Zafiyeti bulunan dosyalar
  • Açığı olan sunucular
  • Önemli bilgiler içeren hata mesajları
  • Portal giriş sayfası
  • Çeşitli çevrimiçi cihazlar
  • Yazılım sürüm bilgileri
  • Web uygulama kaynak kodları
  • Çok önemli olmasa da kıymetli bilgi içeren dosyalar

 

Deep ve Dark Web Üzerinden Veri Toplamak

Siber alemde gizlenmiş ve arama motorları tarafından taranmayan bilgi ve web sayfalarından oluşan çevrimiçi katmana Deep web adı verilir. Deep webde bulunan sayfalara bilinen tarayıcılar ile ulaşmak mümkün değildir. Deep web yasal veya yasal olmayan işler için kullanılabilir.

Darknet veya Dark web siber alemin en dipteki katmanıdır. Dark webe, özel araçlar ve darknet browser ile ulaşılabilir. Siber tehdit aktörleri genellikle yasal olmayan işleri ve siber suçları Dark web üzerinde sergiler. Dark web için TOR Browser, DeeperWeb kullanılabilir. Tehdit istihbaratı elde etmek için saldırganın kaynaklarıyla ilgili bilgiler veya zafiyet paylaşımları Dark webde incelenmelidir.

Kurumsal Web Siteleri Üzerinden Bilgi Toplamak

Çoğu organizasyonun kurumsal sitelerinden kullandıkları donanım, yazılım, ağ, firewall, sunucu yapısı, yazılım sürümleri, veritabanı yapısı öğrenilebilir. Önemli pozisyonlarda çalışanlar e-posta adresleriyle listelenebilir. Firma sayfalarından alt yapı bilgileri elde etmek son derece önemlidir. Günümüzde LinkedIn birçok çalışanın iletişim bilgileri ve ilgi alanlarını paylaştığı için bilgi toplamayı kolay hale getirmiştir.

Grup, Forum ve Blog üzerinden Veri Toplamak

Internet kullanıcıları bilgi paylaşımı maksadıyla blogları takip eder, gruplara ve forumlara katılır. Ağ bilgileri, sistem verileri ve personel bilgileri gibi hedefe ait hassas bilgiler bu platformlar üzerinde yayımlanabilir. Sahte profillerle üye olunan Google veya Yahoo gruplarından çalışanların ve organizasyonun bilgileri elde edilebilir. Alan adları, IP adresleri ve kullanıcı adlarına ulaşmak için teknik bir çaba içine girmeye gerek yoktur.  İş yerinin tam adresi, ev – cep – ofis numarası, personel – firma e-posta adresleri, tanımlanabilen bilgiler içeren işyeri resimleri, çalışanların ödülleri – ideallerine ait fotoğraflar siber güvenliği tehlikeye sokabilecek bilgilerden bazılarıdır.

Bahsedilen kaynakların dışında Shodan, Binaryedge gibi web sitesine veya IP adresine ait zafiyetleri gösteren web uygulamaları kullanmak da tehdit istihbaratı açısından önemlidir. İlgili alan adına ait alt alan adlarını, domain sahibinin iletişim bilgilerini, aynı IP üzerinden yayımlanan diğer siteleri görmek bu araçlarla mümkündür.

Açık kaynak istihbaratı toplamak için üst düzey teknik bilgiye ihtiyacınız yoktur. Bu yazıyı okuyabiliyorsanız şimdiden açık bir kaynaktan bilgi sahibi oluyorsunuz demektir.

İlgili Yazılar : https://savunma-sanayi.com/sosyal-medya-istihbarati-nedir-socmint/

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

About Author

2 yorum

  1. Pingback: İnsan İstihbaratı - HUMINT | Savunma Sanayi

  2. Pingback: Darkweb ve Deepweb'de Veri Toplamak | Savunma Sanayi

Cevap Bırakın

%d blogcu bunu beğendi: