Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
1. Veri Sızıntıları İçinden Bilgi Toplama:
Distributed Denial of Secrets
Hebun İLHANLI
hebun.ilhanli@bgasecurity.com
19.05.2020
2. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
1BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
İçindekiler
İçindekiler ..................................................................................................................................................................................... 1
Giriş .................................................................................................................................................................................................. 2
DDOSecrets Platformu ............................................................................................................................................................. 3
Veri Sorgulama ....................................................................................................................................................................... 4
Örnek Veritabanı .................................................................................................................................................................... 5
Örnek Doküman ..................................................................................................................................................................... 7
Bir Araştırma Senaryosu .................................................................................................................................................... 8
Sonuç ........................................................................................................................................................................................ 15
Referans .................................................................................................................................................................................. 16
3. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
2BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Giriş
Veri ihlali, saldırganların bir sistemde veya ağda yetkisiz erişim elde etmesi ile kullanıcıların özel, hassas
veya gizli kişisel bilgilerini ve finansal verilerini çalması sonucunda ortaya çıkmaktadır. Veri sızıntıları ve
güvenlik ihlalleri ile alakalı araştırmalar yapan Risk Based Security adlı güvenlik firmasının yayınladığı
“2019 MidYear QuickView Data Breach Report” adlı rapora göre, 2019’un ilk altı ayında 4.1 milyarı aşkın
ihlalin varlığını kaydedilmiştir. Bunların içerisinde 3,800’den fazla kamuya açıklanmış veri ihlali olduğu
tespit edilmiştir.[1]
Veri sızıntıları içerisinde kişisel olarak tanımlanabilir (PII) olan bilgiler; gerçek ad, telefon numarası, e-posta
adresi, kredi kartı, kimlik belgeleri (ulusal kimlik, sürücü belgesi, pasaport) gibi kritik bilgiler yer
alabilmektedir. Bu veriler genellikle kamu ve devlet kurumlarına yapılan siber saldırılar sonucunda ilgili
kurumların web platformları veya sunucularından elde edilmektedir. Öte yandan, bir siber saldırı olmadan
değişik şekillerde veri sızıntılarının da ortaya çıkması söz konusudur.
Sızdırılmış bu veri kümeleri rutin olarak çeşitli depolama sitelerine (ücretli veya ücretsiz) yüklenmekte ve
aynı zamanda karanlık web forumları veya darknet pazarı gibi yerler aracılığı ile daha sınırlı kitlelere
ulaştırılmaktadır.
Değişik şekillerde sızdırılmış ve insanların erişimine sunulmuş bu veriler, ilgili oldukları kişi ve kurumlar için
önemli bir güvenlik problemi teşkil etmektedir. Bu kapsamda; söz konusu kişi ve kurumlara dair bilgi
güvenliğinin sağlanmasına yönelik gerçekleştirilen çalışmalarda, bu verilerin araştırılması gerekmektedir.
Söz konusu araştırmalar genel olarak beyaz şapkalı güvenlik uzmanları tarafından, OSINT (Açık kaynak
istihbaratı) çalışmaları kapsamında gerçekleştirilmektedir.
OSINT (Açık kaynak istihbaratı) çalışmaları kapsamında bu bilgilerin araştırılması için çok sayıda platform
mevcut olup bunlar üzerinde farklı şekillerde araştırmalar yapılabilir. Bu platformlardan bir tanesi, veri
sızıntılarını ücretsiz sorgulamayı sağlayan Distributed Denial of Secrets platformudur.
Bu yazıda Distributed Denial of Secrets platformu ile söz konusu araştırmaların yapılması üzerinde
durulacaktır. Bu kapsamda öncelikle Distributed Denial of Secrets platformu hakkında bilgilendirme
yapılacaktır. Daha sonra bir senaryo üzerinden bu platform kullanılarak nasıl anlamlı bir OSINT çalışması
yapılacağı anlatılacaktır.
4. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
3BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
DDOSecrets Platformu
Distributed Denial of Secrets grubu, 2018 yılında gayri resmi olarak uzun yıllar birlikte çalışan bir grup
aktivist tarafından oluşturulmuştur.
Grubun amacı; araştırma, gazetecilik, aktivizm ve teknoloji alanında veri toplama çalışması
gerçekleştirmektir. Grup zamanla derin bağlantılarını ve bilgi toplama ağını genişletmiştir. Sızıntıların
çoğunu özel veri kümelerinden, hacktivistlerden ve halka açık yerlerden aldıkları iddia edilmektedir.
Bugün, 10 milyondan fazla e-posta, belge, tablo ve diğer veri kümelerine aşağıdaki
https://hunter.ddosecrets.com adresten sorgulanabilmektedir.
Aşağıdaki ekran görüntüsünde Distributed Denial of Secrets platformuna ait giriş paneli verilmiştir.
Şekil 1 : Distributed Denial of Secrets Kütüphanesi Giriş Ekranı
5. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
4BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Veri Sorgulama
Distributed Denial of Secrets kullanıcılara detaylı bir arama imkanı sunmaktadır. Aşağıdaki ekran
görüntüsünde uygulamada veri sorgulandığında kullanılabilecek özellikler ve detaylara yer verilmiştir.
Şekil 2 : Distributed Denial of Secrets Veri Sorgulama Ekranı
(1) Uygulamanın içerisinde yer alan arama alanı sayesinde spesifik olarak bir isim, şirket, alan adı,
doküman veya sızdırılmış bir veritabanı sorgusu yapılmaktadır.
(2) Sorgulanan veriyi filtrelemek için uygulamanın sol kısmında yer alan panel kullanılabilir. Örneğin
içeriğinde “apple.com” adresinin yer aldığı PDF formatında dokümanlar listelenmektedir.
(3) Listelenen verinin ismi genellikle ismi korunmuş bir şekilde kütüphaneye eklenmektedir.
(4) Ayrıca bu verinin hangi veri tabanında yer aldığı ile alakalı bilgilendirmede mevcuttur. Bu isimler
genellikle yaşanan siber saldırı olaylarından yola çıkarak verilmektedir.
(5) İlgili verinin hangi ülkeye ait olduğu veya hangi ülke ile bağlantılı olduğuyla alakalı kullanıcıya bilgiler
de sunulmaktadır.
(6) Çoğu sızdırılmış verinin ortaya çıkarılış tarihi anonim kalsa da bazı veri sızıntılarının ne zaman
yayınlandığına dair bilgi verilmektedir.
6. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
5BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Örnek Veritabanı
Distributed Denial of Secrets platformunda ayrıca veri sızıntılarına dair bilgiler kategorilere ayrılmış olarak
sunulmaktadır. Aşağıda, veri ihlali yaşamış bir firmaya ait bilgilerin uygulama üzerinden gösterilmesine dair
örnek bir ekran görüntüsü verilmiştir. Ayrıca ekranın her bir parçasında kullanıcıya sunulan bilgiler detaylı
olarak sunulmuştur.
Şekil 3 : Distributed Denial of Secrets Örnek Veritabanı
(1) İncelenen veritabanında yaşanan veri sızıntısı ile alakalı kısa bir bilgilendirme mevcuttur. Ayrıca detaylı
bilgiye ulaşmak isteyen kullanıcılar içina haber sitelerine düşmüş veri ihlali ile alakalı adres verilmektedir.
Örneğin yukarıda verilen haber sitesi incelendiğinde Farragut, Tennessee merkezli otomatik plaka tanıma
ekipmanı geliştiricisi ve üreticisi olan Perceptics LLC adlı firmanın 13 Mayıs 2019 tarihinde tespit ettiği bir
siber saldırı sonucunda 100 binden fazla yüz resmi, insan kaynakları kayıtları, veritabanları, ABD İç Güvenlik
Bakanlığı kılavuzları, gizlilik anlaşmaları ve iş planları gibi veri ihlali olduğu ile alakalı detaylı bilgilere yer
verilmiştir[2]. Eğer veri ihlaline ait yeni bir kaynak ortaya çıkarsa ilgili veritabanında güncelleme
yapılmaktadır. Uygulama geliştiricileri içinde API uygulaması da mevcuttur.
(2) Veri sızıntıları içerisinde yer alan bu dokümanlar Distributed Denial of Secrets tarafından kullanıcılara
sunulmaktadır. Sızıntının büyüklüğüne göre kategorilendirilmiştir (E-Postalar, videolar, ses kayıtları vs.).
(3) Dokümanların bağlantılı olduğu ülkeler uygulama arayüzünde listelenmektedir.
(4) Kişisel olarak tanımlanabilir bilgilerden olan isim bilgileri de sızıntı veriler üzerinden farklı kategoride
listelenmektedir.
7. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
6BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
(5) Sızıntılar içerisinde yer alan mail konuşmalarında firma çalışanları ve müşterilere ait e-posta bilgisi yer
almaktadır.
(6) Sızıntılar içinde bulunan banka bilgileri ayrı bir kategori halinde sunulmaktadır.
(7) Veri sızıntıları içerisinde yer alan telefon numaralarıda farklı bir bölümde listelenmiştir. Örneğin firma
çalışanları ve müşteriler arasında geçen mail mail konuşmalarında yer alan imzalarında iletişim olarak
telefon numaralarını da paylaşılmaktadırlar.
8. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
7BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Örnek Doküman
Uygulamada ayrıca, her bir özel veri grubu ile ilgili ifşa bilgileri sunulurken, aynı anda farklı detaylar
kullanıcıya gösterilmektedir. Aşağıdaki ekran görüntüsünde ifşa edilmiş bir mail konuşmasına ait bilgiler
yer almaktadır. Yine kullanıcıya sunulan ekranın her bir kısmında gösterilen veriler ile ilgili bilgilendirme
yapılmıştır.
Şekil 4 : Distributed Denial of Secrets Örnek Mail Verisi İfşası
(1) Platformda bulunan mail konuşmaları en ince ayrıntısına kadar kullanıcılara sunmaktadır.
Konuşmaların hangi tarihte geçtiği, kim tarafından ve kime gönderildiği, EML formatında boyutu ve
içerik türüne ait bilgiler verilmektedir.
(2) Gönderilen mailin cevabını farklı bir sekmede açma imkânı bulunmaktadır.
(3) Örneğin yukarıda verilen mailin içeriği incelendiğinde dikkat çeken detaylar mail adresleri, posta kodu,
telefon numarası ve fiziksel adresidir.
(4) Ayrıca ilgili mail sızıntısında yer alan önemli anahtar kelimeler site içerisinde etiketlenmiştir. Bu
anahtar kelimelerin bulunduğu dokümanlara ait veri sızıntıları listelenebilir.
9. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
8BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Bir Araştırma Senaryosu
Distributed Denial of Secrets platformu sorgulamalar esnasında kullanıcılara kolaylıklar sağlasa da
resimleri yani bilgileri birleştirmek yine araştırmacıya kalmıştır.
Bu bölümde bir senaryo üzerinden Distributed Denial of Secrets aracı kullanılarak bilgi toplama
çalışmasının yapılması gösterilecektir.
Aşağıda verilmiş olan ekran görüntülerinde bir kuruluşa ait nasıl bilgi toplandığı ile alakalı bilgiler
verilmiştir.
Şekil 5 : Distributed Denial of Secrets Kütüphanesi Giriş Ekranı
Giriş ekranında bulunan“Leaks” bölümünde bazı şirketlere, kuruluşlara, örgütlere, devlet kurumlarına ait
veri sızıntıları yer almaktadır. Bu bölüm üzerinden seçilecek bir veritabanında dokümanlardan veya mail
konuşmalarından önemli bulgular tespit edilmesi hedeflenmektedir.
Örnek araştırma senaryosu kapsamında, programın giriş arayüzündeki Leaks seçeneği seçilerek, hali
hazırda yaşanmış olan veri sızıntılarının listelendiği bilgi ekranı açılmıştır.
10. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
9BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Şekil 6 : Distributed Denial of Secrets Kütüphanesi Örnek Veritabanları
Veri sızıntıları listesinden Bradley Foundation veritabanı, örnek araştırma konusu olarak seçilmiştir. Konu
ile ilgili google üzerinden araştırma yapıldığında sızıntı ile ilgili aşağıdaki bilgilere ulaşılmıştır.
2016 yılında Amerika'da bir hayır kurumu olan Lynde ve Harry Bradley Vakfı, Anonymous Poland adlı
hacker grubu tarafından siber saldırı yaşadı. Bu veri sızıntısı sonucunda grup, vakfa ait binlerce dosyayı
çevrimiçi olarak paylaştı. Yaşanan bu olay detaylı olarak incelendiğinde saldırının Clinton kampanyasına
zarar vermek için tasarlandığı tespit edildi. Birçok siber güvenlik firması, araştırdığı bu olayın sorumlusu
olarak devlet destekli hacker grupların olduğuna dair ipuçları elde etti. Bu olayların arkasında Rusya
hükümeti olduğu iddia edilmektedir.[3][4]
11. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
10BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Çalışmanın bir sonraki adımında Bradley Foundation veri tabanında yer alan ifşa edilmiş e-posta adresleri
araştırılmıştır. Elde edilen sonuçlar, aşağıdaki ekran görüntüsünde verilmiştir.
Şekil 7 : Distributed Denial of Secrets İfşa Edilmiş E-Posta Hesapları
Bradley Foundation adlı veritabanı incelendiğinde E-Posta hesaplarının bulunduğu kısımda yer alan bir
adres dikkat çekmektedir. Dikkat çekmesinin nedeni farklı bir kurum çalışanı olmasına rağmen veri ihlali
yaşamış kuruluşla iletişiminin fazla olmasıdır. Adresin yanında bulunan sayı vakıf ile arasında geçen mail
konuşmalarının adetidir. E-Posta hesabında bulunan alan adı internette sorgulandığında bir seyahat
danışman şirketi olduğu tespit edilmiştir.
12. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
11BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Aşağıdaki ekran görüntüsünde şirkete ait web sitesi yer almaktadır.
Şekil 8 : Hedef kurum ile iletişim halinde olan Seyahat Danışman Şirketi
Araştırılan şahıs rezerve edilen herhangi bir tatil söz konusu olduğunda çalışılan organizasyonlar adına
tarih veya varış yerlerini değiştirmek, tüm tatilleri yeniden etiketlemek veya iptaller yapmak gibi seyahat
organizasyonu düzenleyen bir firmada çalıştığı tespit edilmiştir.
Linkedin uygulamasından kişi bazlı araştırma yaparak çalışanın pozisyonu hakkında araştırma yapıldığında
aşağıdaki bilgiler elde edilmiştir.
13. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
12BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Şekil 9 : Hedef kurum ile iletişim halinde olan seyahat firması çalışanın Linkedin profili
İlgili pozisyon araştırıldığında bu pozisyonun; bir organizasyonun seyahat için stratejik yaklaşımını, tüm
satıcılarla yapılan görüşmeleri, kurumsal seyahat programının günlük işleyişi, gezi güvenliği, kredi kartı
yönetimi ve seyahat gider veri yönetimi ile ilgilendiği anlaşılmıştır.
Dolayısıyla bu şahıs veri ihlali yaşamış olan firma adına seyahat düzenlemelerini yöneten biri olduğundan
dolayı firma ile olan iletişimi sürekli hale gelmiştir.
14. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
13BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Aşağıda verilmiş olan ekran görüntüsünde kurumsal seyahat yöneticisinin veri sızıntısı yaşamış kuruluş
arasında geçen mail konuşmaları yer almaktadır.
Şekil 10 : Mail Başlığından Bilgi Toplama
Yöneticinin sızdırılmış mail arşivlerini incelerken daha önce analiz edilen kuruluşa ait çalışanların seyahat
dokümanlarının yer aldığı görülmüştür. Örnek doküman içeriği aşağıdaki ekran görüntüsünde verilmiştir.
15. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
14BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Şekil 11 : Mail İçeriğinden Bilgi Toplama
Kurumsal seyahat yöneticisinin ilettiği seyahat formu incelendiğinde veri ihlali yaşayan kuruluşa ait
çalışanın soyadı ve sızan e-posta adreslerinin eşleştirilebildiği görülmektedir. İlgili doküman içerisinde
çalışanın gerçek adı, telefon numarası, kredi kartı numarasının son dört hanesi ifşa edilmiştir. Ayrıca sızıntı
veride rezervasyon bilgilerini içeren bilet numarası ve rezervasyon numarası da yer almaktadır.
Rezervasyon yapılan uçak, otel, araç kiralama gibi hizmetlerin web sitelerinde geçmişe yönelik bir
sorgulama aktif ise bu dokümandan alınacak bulgular sayesinde rezervasyon hakkında detaylı bilgiler elde
edilebilir.
16. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
15BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Sonuç
Yapılan çalışma ile, Açık Kaynak İstihbaratı yöntemi ile faydalı araçlardan birinin kullanımı ile nasıl bilgi
toplanabildiği örnek bir senaryo üzerinden gösterilmiştir.
Bugünün çevrimiçi dünyasında kullanıcıların Açık Kaynak İstihbaratından korunması neredeyse imkânsız
hale gelmiştir. Kendi başına bir saldırı türü olmasa da bilgisayar korsanları tarafından bir araç olarak
kullanılmaktadır. Saldırganın toplayacağı istihbarat ileriki süreçlerde kullanacağı atak vektörlerde işe
yaramaktadır. Oltalama saldırılarını yaparken kullanılacak e-posta listesinin ya da kaba kuvvet saldırısı
yaparken kullanılacak kullanıcı adı (e-posta) bilgilerinin tespit edilmesi gibi.
Bu noktada kişi ve kurumların istenmeyen bir Açık Kaynak İstihbaratı çalışmalarından korunmalarının en
etkili yolu, çevrimiçi paylaşılan bilgilere dikkat etmek ve Açık Kaynak İstihbaratı için kaynak oluşturan
platformlarda ne tür bilgilerin mevcut olduğundan emin olmak için düzenli araştırma çalışmaları
gerçekleştirmektir.
17. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS
16BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Referans
[1]https://pages.riskbasedsecurity.com/hubfs/Reports/2019/2019%20MidYear%20Data%20Breach%20
QuickView%20Report.pdf
[2] https://theintercept.com/2019/08/01/perceptics-hack-license-plate-readers/
[3] https://projects.jsonline.com/news/2017/5/5/did-russians-hack-bradley-foundation-computers.html
[4] https://www.vocativ.com/372088/bradley-foundation-hack-clinton-cammpaign-fake-files/index.html