KURUMSAL SİBERGÜVENLİK:
Açık Kaynak İstihbaratı ve Sosyal Medya
Riski
Muhammer KARAMAN, Hayrettin ÇATALKAYA

Kurumsal Siber Güvenlik
* Kurumsal siber güvenlik olgusu, siber tehditlerin ve risklerin
doğrusal olmayan oranda arttığı ve daha da karmaşıklaştığı
günümüzde göz ardı edilmemesi gereken bir konudur.

Kurumsal Siber Güvenlik
Kurumsal Siber Güvenliğin Ana Bileşenleri
1. Siber Strateji, Politikalar ve Siber Güvenlik Yol
Haritası Oluşturulması,
2. Siber Ortamın Tanımlanması ve Tasarlanması,
3. Siber Güvenlik Durumsal Farkındalık Eğitimleri,
4. Risk Değerlendirmesi, Standardizasyon ve Siber
Esnekliğin Sağlanması,
5. Güvenli Sistem Mimarisinin Oluşturulması,
6. Zafiyet Değerlendirmesi,
7. Merkezi Olay Yönetimi,
8. Log Korelasyon ve Yönetimi,
9. Sürekli İzleme ve Denetim,
10. İş Sürekliliği’nin Sağlanması.

Kurumsal Siber Güvenlik
Neden Kurumsal Siber Güvenlik İhtiyacı Ortaya Çıktı?
1.
Siber Saldırılarının (Oltalama, Servis Dışı Bırakma,
Fideye Zararlı Yazılımlar, Sosyal Ağlarla Yapılanlar
vb. ) Çeşitliliğinin Artması,
2. Evden Çalışma İhtiyacı,
3. Bilgi Teknolojilerine Bağlılığın Artması,
4. Akıllı Nesnelerin Kullanımın Artması,
5. Siber Olayların Maliyetinin Artması,
6. Bilgi Paylaşımı ve Birlikte Çalışılabilirlik İhtiyacı,
7. Siber Saldırıların Asimetrik Etkileri,
8. Akıllı Telefonlar ve Tabletlerin İş Amaçlı Kullanımının
Artması,
9. Bulut Bilişim Teknolojilerinin Yaygınlaşması,
10. Kurumların Sosyal Ağlar’da Yer Almaya Başlaması.

Açık Kaynak İstihbaratı
* Basılı veya elektronik ortamda kamuya açık mevcut bilgilerdir. Açık
kaynak bilgileri istihbaratın önemli bir parçasıdır. Açık kaynak kabul
edilen; radyo, televizyon, basılı medya, internet vb. kullanılarak
istihbarat elde etmek mümkündür.

Açık kaynak istihbaratı
* Açık kaynak istihbaratının kolay, hızlı ve ucuz bilgi toplama yolu
olması nedeniyle başta bilgisayar korsanları olmak üzere, istihbarat
örgütleri ve kolluk kuvvetleri tarafından yoğun olarak kullanılmasını
sağlamaktadır. Bu özellikler açık kaynak istihbaratının tercih sebebi
olmasının yanında kıymetsiz gibi değerlendirilmesine de neden
olmaktadır.

Siber İstihbarat
* Siber istihbarat, hedef hakkında aktif veya pasif teknikler
kullanılarak bilgi toplamak, analiz etmek ve tedbirler almak olarak
tanımlanabilir. Açık kaynak üzerinde bir hedefle ilgili (Şahıs veya
sistem olabilir) aktif veya pasif bilgi toplama tekniklerini kullanır.
Pasif bilgi toplama teknikleri, hedefle en az irtibata geçilen teknik
olup saldırgan içinde en güvenlisidir. Burada bir saldırı öncesi
hedef hakkında açık kaynaktan bilgi toplamada en çok istifade
edilen pasif tekniklere değinilecektir.

Bilgi Toplama
* Açık kaynaktan bilgi toplanacak hedefin kişi/grup veya sistem
(web siteleri, etki alanları vb.) olarak iki grupta bulunabileceği
değerlendirilmektedir

Bilgi Toplama
1. Hedef Şahıs/Grup ise:
* Saldırganın hedefi şahıs olduğunda kullanabileceği teknikler,
hedefin internet kullanım oranıyla paraleldir. Hiç internet
kullanmamış bir kişi hakkında yığınla bilgiye ulaşmak bazı
durumlar hariç beyhude bir çabadır. Saldırgan arama motorları,
sosyal paylaşım ağları, bloglar etc. kullanarak hedef hakkında
bilgi toplamaktadır.

Bilgi Toplama
* Sosyal medyada saldırganlar;
- Kullanıcıların güvenlik ve gizlilik ayarları eksikliği,
- Paylaşılan içeriklerin meta verileri,
-Sosyal ağ arkadaşlarından ve kullanım politikalarından
kaynaklanan problemlerden istifade ederek bilgi toplamaktadır.

Bilgi Toplama
(Twitter’da 1949 Takipçili ve 535 Takipçili İki Hesabın Ortak Takipçilerinin Analizi.)
* Hedefin arkadaşlarına ulaşan saldırgan, söz konusu verileri çeşitli
yazılımlarla (i2 Analyst Notebook, Maltego CaseFile vb.) analize tabi
tutarak bağlantı şemalarını çıkarmıştır.

Bilgi Toplama
Bir Bakanlığa Ait Resmi Sosyal Medya Hesabından İki Yıllık Sürede Paylaşılan Toplam 3195 Adet
Mesajların Gönderildiği Sistemler ve Günlük Yoğunluğunu Gösterir Çizelgeler.
* Sosyal medya kullanılarak hedefin ilgi alanları, kullandığı sistemler,
bağlantı yapılan yerler, fotoğrafları, videoları, telefon numarası, e-posta
adresi, vb. bilgilere ulaşılması mümkündür

Bilgi Toplama
* IBM araştırma takımı tarafından 2012 yılında 9551 kullanıcıya ait
1.524.544 tweet üzerinde yapılan araştırmada, kullanıcıların son 200
tweetine bakarak %58’nin şehir, %60’nın bölge, %78’nin zaman dilimi
konumlarını doğrulukla tespit edebilmişlerdir. Yapılan başka bir
araştırmada, konum bilgileri olmaksızın kullanıcı tweetlerinden
konumlarının bulunmasını sağlayan algoritma geliştirmiştir.

Bilgi Toplama
(Üst düzey devlet yöneticilerinin de içerisinde yer aldığı fotoğrafların EXIF koordinat verilerinden
istifade ile bu kişilerin konumlarının harita üzerinde gösterimi.)
* Her ne kadar bazı sosyal ağlar yüklenen dosyaların meta verileri silse
de, halen meta verilerin açık olduğu sosyal ağlar kullanılarak bilgiler
elde edilebilmektedir. Sosyal medyadan istenen bilgileri toplayarak, bu
verileri grafiksel arayüzde kullanıcıya sunan programlar mevcuttur.

Bilgi Toplama
* Saldırganın hedef hakkında bilgi toplamada kullanacağı en faydalı
kaynak arama motorlarıdır. İnternetten otomatik bilgi toplayan birçok
programa çeşitli parametreler girilerek sonuç odaklı filtreleme ile
sonuca ulaşmak mümkündür.

Bilgi Toplama
2. Hedef Sistem İse:
Hedefin sistem olduğu durumda, saldırgan açık kaynaklardan
sisteme giriş yapabilmek için ihtiyacı olan her türlü bilgiyi
arayacaktır. Sistem yöneticisi, sistemde kullanılan yazılımlar,
sistemin yeri etc. bilgiler saldırganın ulaşmak isteyeceği
veriler arasında yer alacaktır. Saldırgan web adreslerini whois
sorgularına sokarak, yöneticiye ait bilgilere ulaşmak
isteyecektir.

Bilgi Toplama
* Whois sorguları sonucunda dönen verilerin bir kısmı güvenlik
kaygıları ile sistem yöneticileri tarafından hatalı kayıtlar ile gizlenmiş
olsa da geçmiş yılların whois kayıtlarına ulaşmak mümkündür. Web
sayfasının yayına başladığı zamandan şimdiye kadar ki kayıt
geçmişine ulaşmaya imkan sağlayan sistemler saldırganın günümüz
ve geçmişteki whois sorguları ile sistem yöneticisinin bilgilerine
ulaşmasına olanak verecektir.

Bilgi Toplama
* Saldırgan, web sayfalarının geçmiş görüntülerine arşiv kaydı
yapan sistemler vasıtasılya ulaşarak, sistem yöneticisine ulaşmaya
çalışabilir. Söz konusu sistemler, web sayfalarının zaman içerisinde
ekran görüntülerini arşivliyor olup, bu bilgiler içerisinden sistem
yöneticisine ulaşmak bazı durumlarda mümkün olabilir.

Bilgi Toplama
* Web sitesinden yayınlanan dosyaların meta verilerinin analizi
yapılarak; user names, ip number, client names, server ips, emails,
folder names, softwares, operating systems etc. bilgilerinin elde
edilmesi mümkündür. Söz konusu işlemi otomatik olarak yapan
yazılımlar mevcuttur. Bu yazılımlar kullanılarak, web sayfası
üzerinde bulunan meta veriler barındıran (doc, xls, ppt, pps, docx,
rtf vb.) dosyalar indirilip, meta veriler analiz edilerek faydalı bilgiler
elde etmek mümkündür.

Bilgi Toplama
Elde Edilen Bilgiler Sayısı
Kullanıcı Adı 132
E-posta Adresi 185
İşletim Sistemi Bilgisi 5
Klasör Yolu 26
Yazıcı Bilgileri 29
Kullanılan Yazılımlar 25
* Bir bakanlık web sitesinden yayınlanan ve meta veriler barındıran
(63 adet doc, 57 adet docx, 58 adet pdf, 15 adet ppt, 21 adet pptx, 43
adet xls, 43 adet xls) toplam 300 dosya indirilerek meta veri analizi
gerçekleştirilmiştir.

Bilgi Toplama
(300 Adet Dosyayanın Meta Veri Analizinde Elde Edilen 132 Adet Kullanıcı Adlarının Bir Bölümü.)

Açık Kaynak Bilgi Toplanmasına Karşı
Kurumlar Tarafından Alınabilecek Tedbirler
* Sosyal ağların kullanım oranının arttığı günümüzde kurumlar, doğal
olarak bu ağlarda yer alarak takipçilerine daha hızlı ulaşmak
isteğindedirler. İnternet üzerine taşınan kurumsal veriler kontrol
altına alınmadığında türlü riskleri de beraberinde getirecektir.

Doğrudan Etkileyenlere Yönelik Tedbirler
* Kurumların internet üzerine yükleyeceği verilerin paylaşılmak
istenenden fazla bilgi barındırmaması (İçerik ve meta data
yönünden) hususu göz önünde tutulur. Söz konusu incelemenin;
bilgi güvenliği farkındalığı yüksek personel tarafından ve tek elden
yapılması gerekmektedir.

Açık Kaynak Bilgi Toplanmasına Karşı
Kurumlar Tarafından Alınabilecek Tedbirler
* Kurumların veya kişilerin internet ortamındaki verileri koruma ve
yönetmede, bazı sistematik tedbirler (Siber güvenlik yol haritası
Kapsamında düşünülmelidir.) alması gerektiği kanaatindeyiz. Söz
tedbirlerinin kurumun doğrudan etkilediği ve dolaylı etkilediği
tedbirler olarak ikiye ayrılası mümkündür.

Doğrudan Etkileyenlere Yönelik Tedbirler
* Yukarıdaki işlemlerin bir süreç yönetimi (Siber Güvenlik Eylem
Planı/Yol Haritası)’nin alt işlemleri şeklinde kurumlar tarafından
belli yapılması güvenlikte seviyeyi, etkinliği ve esnekliği
arttıracaktır.

Dolaylı Etkileyenlere Yönelik Tedbirler
* Siber güvenliği teknik bir olay değil, yönetimsel ve hayati bir olay
görerek bunu arttırıcı eğitimlerin alınması,
* Özellikle kilit yönetici ve liderlerin farkındalık seviyesinin arttırılması,
* Kurum içinde, hem eğitim hem de farkındalık düzeyinin arttırılması
maksadıyla, “Bayrağı Yakala (Capture The Flag)” gibi yarışmaların,
tatbikatların icra edilmesi fayda sağlayacaktır.

Dolaylı Etkileyenlere Yönelik Tedbirler
* Kurum çapında alınacak tedbirlerde, kişisel mahremiyet ve
hukuksal kısıtlamalar göz önünde bulundurulmalıdır.
* Kurumların işe alma sürecinde başlamak üzere, çalışanın özel
hayatında kuruma zarar verebilecek paylaşımlarına engel olacak
sözleşme ve prosedürlerin oluşturulmalıdır.

SONUÇ
* Akıllı telefon ve cihazların kullanım oranının sürekli arttığı
günümüzde siber saldırı yapılmak istenen hedefte;
- Internet ağında serbestçe paylaşılan veriler indirilerek, meta
analizleri sonucunda kurumda çalışan personele ve sistemlere ait
bilgiler (isim, soyisim, organizasyon şeması, iş pozisyonu vb.) elde
edilebilir, kurumların organizasyonel yapıları ortaya çıkartılabilir,

SONUÇ
* Bu bilgilerden yola çıkarak, sosyal medya ağlarının bir operasyon
sahası olarak (sahte profillerle arkadaşlık teklifi, bilgi toplama,
güven kazanma sonra oltalama gibi) kullanılabilmesi ile hedefle
irtibat kurularak saldırı süreci devam ettirilebilir. İstihbarat toplama
amaçlı ortaya çıkan hedef odaklı/karmaşık (APT) zararlı yazılımlar
(Aurora, Flame, Red October vb.) sızma yapılan sistemlerde fark
edilmeden uzun yıllarca kalmaktadırlar.

SONUÇ
* Elde edilmek istenen amaçlara (İtibar kaybı, ekonomik kazanç,
propaganda ve algı yönetimi, zarar verme, casusluk vb.), devlet
destekli olup olmama durumlarına göre tasnif edilebilen siber
taarruzların öncesinde her zaman saldırı yapılmak istenen hedefe
ilişkin istihbarata ihtiyaç duyulacağı düşünülmelidir.

SONUÇ
* Yapılan analizlerde kurumların paylaşımda bulunduğu dosyaların
meta verilerini değiştirmeye yönelik tedbirler geliştirmeleri,
* Meta verilerden elde edilen bilgiler ışığında kurumlarda çalışan
personelin kişisel ve görev yerlerine ilişkin bilgilerinin buralarda yer
almasını önlemeleri,
* Bilgi sistem cihazlarında isimlendirmelerin organizasyon veya kişi
hakkında bilgi vermeyecek şekilde yapılandırılması,
* Siber güvenliğin sadece teknik bir alanla sınırlı olmayıp, artık her
bireyi kişisel ve kurumsal alanda etkileyen yaşamın bir parçası
olduğu gerçeği unutulmamalıdır.