Mshowto Topluluğu olarak 03 Mart 2020 Salı günü BTK Ankara Merkezinde düzenlediğimiz Açık Kaynak Kodlu Dünyanın Sunduğu Çözümler Etkinliğinde Eyüp Çelik tarafından gerçekleştirilen Açık Kaynak ile Siber İstihbarat oturumuna ait sunumdur.
3. Ben Kimim
• Kurucu (Privia Security Bilişim ve Danışmanlık)
• White Hat Hacker
• Ethical Hacking Eğitmeni
• Mshowto Editörü (www.mshowto.org)
• Blog Yazarı (eyupcelik.com.tr)
• Güvenlik Araştırmacısı (Security Researcher)
6. SOSYAL MEDYA
Önemi
1971 İlk e-posta gönderildi.
1978 BBS
1994 Geocities
2002 Friendster / Myspace
2003 Linkedin / 250+ Milyon
2004 Facebook / 2,5+ Milyar
2005 Youtube / 1 Milyar Kullanıcı
2006 Twitter / 500+ Milyon
2007 Tumblr / 500+ Milyon
2009 Whatsapp / 1,5+ Milyar
2010 Instagram / 500+ Milyon
2011 Google+ / 350+ Milyon
2012 Vine
2013 Medium
2015 Periscope
7. SOSYAL MEDYA
Önemi
50 Milyon Üyeye Ulaşmaları kaç yıllarını aldı?
• Radyo: 38 Yıl
• TV: 13 Yıl
• İnternet: 4 Yıl
• iPod: 3
• Facebook: 2 Yıl
• Google Plus: 6 Ay
8. SOSYAL MEDYA
TANIM
Sosyal medya, Web 2.0'ın kullanıcı hizmetine
sunulmasıyla birlikte, tek yönlü bilgi paylaşımından, çift
taraflı ve eş zamanlı bilgi paylaşımına ulaşılmasını
sağlayan medya sistemidir.
Küçük gruplar arasında gerçekleşen diyaloglar ve
paylaşımlar giderek, kullanıcı bazlı içerik (İngilizce:
UGC-User Generated Content) üretimini giderek
arttırmakta, amatör içerikleri dijital dünyada birer
değere dönüştürmektedir.
9. SİBER İSTİHBARAT
TANIM
İstihbarat (Intelligence); İstihbarat, bir suç olmadan
önce ilgili birimlerin bu risk hakkında kanıtlar bulmaya
çalışması ve suçu önleme faaliyetleridir.
Siber İstihbarat (Intelligence); Bu faaliyetlerin sanal
dünyada yani elektronik sistemler ve internet dünyası
üzerinden elde edilerek suç oluşmadan önce ortaya
çıkartılma faaliyetleri kapsamaktadır.
13. OSINT
TANIMLAR
OSINT; Açık Kaynak İstihbaratı, “herhangi bir
gizlilik gerektirmeyen, kamuoyuna açık, belirli bir
amaç için toplanan bilgilerin”, istihbarat niteliği
taşıyıp taşımadığına karar veren bir süzgeçten
geçirilmesiyle (analiz edilerek) elde edilen değerli
sonuçlardır.
Gazete, dergi, radyo, televizyon, internet, bloglar,
raporlar, basın toplantıları, resmi veriler,
konuşmalar, hava meteoroloji uyarıları,
konferanslar, sempozyumlar, profesyonel yayınlar,
akademik belgeler vs…
OSINT’i ortaya çıkartan İnternetin yaygınlaşması ve
medya kaynaklarının artmasıyla açık kaynağın
zenginleşmesidir.
‘Maliyeti uygun ve çok hızlı bir kaynaktır!’
15. DOĞRU ARAMA TERİMLERİ
ARAMA MOTORLARINI VERİMLİ KULLANIN!
Arama motorlarının özel arama terimleri bulunur! Daha net sonuçlar için bu terimleri kullanabilirsiniz.
Bu terimlere “Dork” adı verilir.
Dorklar, arama motorlarından en verimli şekilde yararlanabilmemiz için anahtar kelimelerin özel
kullanım şekilleridir.
Web Search; allinanchor:, allintext:, allintitle:, allinurl:, cache:, define:, filetype:, id:, inanchor:, info:,
intext:, intitle:, inurl:, link:, numrange:, related:, site:
Image Search; allintitle:, allinurl:, filetype:, inurl:, intitle:, site: Groups allintext:, allintitle:, author:,
group:, insubject:, intext:, intitle:
Directory; allintext:, allintitle:, allinurl:, ext:, filetype:, intext:, intitle:, inurl: News allintext:, allintitle:,
allinurl:, intext:, intitle:, inurl:, location:, source:
Product Search; allintext:, allintitle
16. HACKERLARIN KULLANDIĞI DORKLAR
ARAMA MOTORLARINI VERİMLİ KULLANIN!
Hackerlar arama motorlarını hepimizden çok daha verimli ve hedef odaklı olarak kullanırlar! Onlar,
sadece Google’ı kullanarak bile birçok siteyi hackleyebilir ve zafiyetlerini keşfedebilirler.
“Sosyal Mühendislik” tekniklerini kullanarak Google sayesinde doğru sonuçlara ulaşabilirler!
Örnek Arama:
inurl:"ftp" intext:"user" | "username" | "userID" | "user ID" | "logon" | "login" intext:"password" |
"passcode" filetype:xls | filetype:xlsx
GOOGLE WEB SAYFALARINI ÇOK İYİ OKUYABİLİYOR!
24. DORKLAR
ARAMA MOTORLARINI VERİMLİ KULLANIN!
Örnek Arama:
site:edu.tr tc no
filetype:xls tc kimlik
numrange:10000000000-999999999999 filetype:xlsx
25.
26. SHODAN.IO
ARAMA MOTORLARINI VERİMLİ KULLANIN!
Örnek Arama:
country:tr 3389
Remote Desktop Connection yani “Uzak Masaüstü Bağlantısı”
protokol olarak “Remote Desktop Protocol” (RDP) kullanır.
Varsayılan olarak “3389″ numaralı port ile iletişim sağlar.
27.
28. Popüler OSINT Araçları
Maltego, Shodan, The Harvester, Google Dorks, TinEye
Maltego; Alan adları, Sosyal Ağlar, Whois bilgileri, Ip
adresleri, E-posta , Telefon…
Shodan; Hackerların Arama Motorları
The Harvester; Hedef sistem üzerindeki mail
adreslerini ve alt domainleri tespit eder.
Google Dorks; Kimsenin göremediği, ancak Google’ın
gördüğü bilgileri toplar!
TinEye; Fotoğraf analizi yapar.
30. SOCMINT
TANIMLAR
SOCMINT; Sosyal medya istihbaratı, açık veya
kapalı Facebook ve Twitter gibi sosyal medya siteleri
üzerinden hem müdahaleci hem de müdahaleci
olmayan araçları kullanarak elde edilen verilerin
analizler yapılarak ortaya çıkartılan siber istihbarattır.
SOCMINT, “sosyal medya üzerindeki mevcut
bilgilerin analitik kullanımı” olarak tanımlanabilir.
SOCMINT, mesajlar veya gönderilen görüntüler gibi
içeriğin ve bir kullanıcının bir sosyal medya ağ sitesi
kullandığında ortaya çıkan diğer verilerin izlenmesini
içerir. Bu bilgiler kişiden kişiye, kişiden gruba, gruptan
gruba, özel ve herkese açık olan etkileşimleri içerir. Bu
istihbarat türü, OSINT’in ortaya çıkarttığı bir unsurdur.
Bu terim ilk defa, Londra merkezli düşünce kuruluşu Demos'ta, Sosyal Medya Analizi Merkezi için Harp
Araştırmaları bölümü profesörü Sir David Omand (2012) ortaya attı.
31. SOCMINT
SİBER İSTİHBARAT FALİYETLERİ
Sosyal Medya Verileri Üzerinden Siber İstihbarat Faaliyetleri;
Toplumsal olayların önceden tespit edilebilmesi veya gerçekleşen olaylarda geriye dönük araştırma
yapılabilmesi için, sosyal medya verileri çok önemli bir istihbarat ortamı haline gelmiştir.
Arap Baharı ile; Mısır’da Facebook kullanıcı sayısı 5,5 milyondan 8,5 milyona ulaşmış, Libya’da Twitter
kullanıcıları ilk aylarda 600 bin kişi artmıştır. Arap Baharının tüm Dünyaya Facebook ve Twitter’ın kitleleri
harekete geçirmekteki etkisini ispatlamasının ardından pek çok araştırmacı, sosyal medya sitelerinin
kitleler üzerindeki etkilerini araştırmaya yönelik çalışmalar yapmıştır.
Gezi Parkı; Türkiye’de 27 Mayıs 2013 tarihinde başlayan Gezi Parkı olayları için Twitterda üç ana etiket
(#Hashtag) ile 8.49 milyon mesajın yayınlandığı görülmüştür. Olaylarla ilgili toplamda 100 milyonun
üzerinde mesaj yayınlanmıştır. Olayların başlangıcında Türkiye’de günlük aktif Twitter kullanıcısı 1.8
milyon civarında iken, 10 günlük süre içinde bu rakam yaklaşık 9,5 milyona ulaşmıştır.
32. SOCMINT ÖRNEKLERİ
SİBER İSTİHBARAT
Terör örgütlerine karşı sosyal medyayı
istihbarat/güvenlik birimleri de tespit edilmesi ve
kullanması gerekiyor. Eylemlerin olay öncesi
tespiti gibi pek çok maksatla kullanmaktadır.
35. SOCMINT Araçları
Sosyal Medya’da Fotoğraf, Dosya, Eposta ve Domain Araçları
Fotoğraf Analizi: http://fotoforensics.com/
Fotoğraf Analizi: https://29a.ch/
Fotoğraf Analiz: https://www.tineye.com/
Vedbex: https://www.vedbex.com/tools/dstat
Geochrip: http://www.geochirp.com/
Email Sorgulama: https://hunter.io
Twint Twitter: https://github.com/twintproject
ZoomEye: https://www.zoomeye.org/
CenSys: https://censys.io/
Dosya Meta Data Analizi: https://www.get-metadata.com/
Şifrem Çalındı mı?: https://haveibeenpwned.com/
Spoof Caller: https://www.spoofcard.com/
Shodan: https://www.shodan.io/
Kişi Arama: https://pipl.com/
Kişi Arama: https://www.spokeo.com/
Google Hacking Database: https://www.exploit-db.com/google-hacking-
database
Linkedin Email Finder: https://getprospect.io
36. NASIL TESPİT EDİLEBİLİR?
ANONİM HESAPLARIN TESPİTİ
Açılan hesabın paylaşım analizi
• Verilmek istenen mesaj
• Eski paylaşımlardaki bilgiler
• Paylaşımlardaki lokasyon bilgileri
• Paylaşımlarda kullanılan cihaz bilgileri
• Anlatım bozuklukları imla hataları ve harf hataları
• Kullanılan cihaz bilgileri
• Emojin kullanımı
• Paylaşımların saat analizleri
• Login bilgileri?
https://api.twitter.com/1.1/search/tweets.json?q=%20&geocode=37.781157%2C-122.398720%2C1mi
https://api.twitter.com/1.1/geo/search.json
https://ads-api.twitter.com/1/targeting_criteria/locations
https://ads-api.twitter.com/1/targeting_criteria/devices
https://ads-api.twitter.com/1/accounts/zvb6gu1/videos
https://ads-api.twitter.com/1/accounts/abc1/account_media
https://ads-api.twitter.com/1/targeting_criteria/languages
37. NASIL TESPİT EDİLEBİLİR?
ANONİM HESAPLARIN TESPİTİ
Tweet Analizleri
Konum tespit işlemi, konum bilgisini vermeyenlerin tweetlerinde geçen her yöreye veya bölgeye özel anahtar
kelimeleri çıkararak en muhtemel konumu tespit edebiliyorlar.
Check-inler ve Tweet paylaşımlarındaki lokasyon bilgileri bu konuda büyük kolaylık sağlıyor.
IBM, tweet’ler lokasyon bilgisi taşımasa bile bu
paylaşımlardan kişilerin nerede olduğunun tespit
edilebileceğine dair bir algoritma geliştirdi.
Bu algoritmaya göre bir kişinin geotag’li yani
lokasyon bilgisi olsun olmasın kullanıcıların son 200
tweet’ine bakarak oturdukları şehri %68 oranında
doğru tahmin etmek mümkün.
38. TRUMP’ın Tweet Analizi
Paylaşımlarımı Birçok Bilgi Saklıyor
• Trump kendi kişisel telefonundan kendi tweetlerinin çoğunu
gönderdiği ve Samsung Galaxy kullandığı ortaya çıktı!
• Danışmanı ise iPhone kullanıyordu. Android cihazlardan sert
Tweetler, iPhone’dan ise yumuşak paylaşımlar….
• Güvenlik riski ortaya çıkınca Android telefon kullanmayı
bıraktı.
• Beyaz Saray Sosyal Medya Direktörü Twitter'da duyuruyu
yaptığında doğrulandı.
• İPhone'dan gelen tweet'lerin resim veya bağlantı içermesinin
38 katı olduğu ortaya çıktı.
https://www.dremio.com/trump-twitter-sentiment-analysis/
39. TRUMP’ın Tweet Analizi
Paylaşımlarımı Birçok Bilgi Saklıyor
• Trump'ın tweet'lerinde genel olarak en çok
kullanılan kelimeler hangileriydi?
• Trump hashtag kullanmayı bilmiyor!
• “Kötü”, “çılgın”, “zayıf” ve “aptal” gibi birçok
“duygusal olarak yüklü” sözcük, Android'de ezici
bir şekilde daha yaygındı.
Klasik istihbarat yöntemleri ile bu işi yapmaya kalksaydınız ne kadar zaman, para ve emek harcardınız?
40. KAYNAKLAR
TWİTTER ANALİZ KAYNAKLARI
Twitter analiz araçları: https://blog.bufferapp.com/free-twitter-tools
Tweetlerde lokasyona göre kelime arama: http://www.seekatweet.com/
Twitter Api dokümanları: https://dev.twitter.com/rest/public
Tweet analiz: https://tinfoleak.com/
Twitter istatistik: http://www.tweetstats.com/
Twitter analizleri: http://twittercounter.com/
41. CAMBRIGE ANALYTICA HİKAYESİ
VERİ İHLALLERİ!
• Donald Trump’ın başkanlığı için Facebook’ta 85 Milyon Dolar!
• Başkanlık seçimlerinden sonra… Facebook olmasaydı kazanamadık!
• Brexit Kampanyasında Türkler!
• Üçüncü Dünya Ülkelerindeki Seçimler
• Cambridge Analytica’nın çatı şirketi SCL Grubun 60 ülkede temsilciliği var.
• Temmuz 2011'de Ukrayna hükümeti ile ülkedeki insanları “profillemek” için
resmi bir sözleşme imzaladılar.
• Meksikada Peg.gi isimli bir uygulama için Daha çok kişi indirsin/kullansın diye
yerel operatör Mowisat ile işbirliği yapılmışUygulamayı indir, anket doldur,
yarışmaya katıl bedava internet paketi kazan…
• Rakip adayların kadınlara ilgisi “beğenilerinden” bellidir. Nix anlatıyor;
“İnternette siyasetçilerin nasıl itibarsızlaştırılabileceğine dair taktikleri
biliyoruz. Adayın evine çok güzel Ukraynalı kızlar gönderdik. Sonra videoları
yayınladık ve bu taktik işe yaradı.” Gerekirse seçim sunucularını Hackliyorlar!
• Zuckerberg 2014’te (tam ekipler çalışırken) Hindistan’ı ziyaret ederek, başkan
Mondi ile kucaklaşır! “Hindistan’ın yarısında internet yok, var olan da pahalı,
size uygun fiyatlı internet hizmeti vermek istiyorum” …ve Express Wifi isimli
projeye göre; yerel Hindistan operatörleri internet paketleri içinde Facebook
kullanımını ücretsiz yapar. Sadece FB!
Herhangi bir Facebook kullanıcısının sadece 68 Beğenisi üzerinden deri rengi, cinsel yönelimi ve hangi partiye
oy vereceğini %85 doğrulukla ölçebildiklerini keşfetmişler.
Facebook abonesinin davranış özelliklerini 70 Beğeni ile arkadaşından, 150 Beğeni ile ailesinden, 300 Beğeni
ile eşinden ve bir miktar daha fazlasında ise kendisinden bile iyi tanımlayabildiklerini görmüşler.
Politik mesajları test ettiler. “İslam’ın bu ülkede yeri yok” gibi radikal bir söylemi haberleştirip, profil tepkilerine
baktılar. 17 eyalette her gün Facebook üzerinde ellerindeki profillerin kişiliğine göre şekillendirilerek sadece o kişiye
gösterilen Trump yanlısı paylaşımlar ve anketler yaptılar.
Trump’a asla oy vermeyecek Miami’deki siyahlara, onları sandığa gitmekten alıkoyacak haberleri gösterdiler. Bu
sayede seçime katılımı bölgede %7–8 etkilediler. Aynı mahalledeki az eğitimli, fakir, aktif insanları belirlediler.
Sonra bunlara hoşlanmayacakları haberleri verip, karşıt statüdeki insanlarla kavga ettirdiler…
PEKİ RUSLARIN ROLÜ NEYDİ?
Ortalıkta Parası RUSLAR Tarafından Ödenmiş
Sahte ve Manipüle Etmeye Yönelik Sayfaların Reklamları Dönüyordu!