KURUMSAL SİBERGÜVENLİK:

Açık Kaynak İstihbaratı ve Sosyal Medya

Riski

Muhammer KARAMAN, Hayrettin ÇATALKAYA

Kurumsal Siber Güvenlik

* Kurumsal siber güvenlik olgusu, siber tehditlerin ve risklerin

doğrusal olmayan oranda arttığı ve daha da karmaşıklaştığı

günümüzde göz ardı edilmemesi gereken bir konudur.

Kurumsal Siber Güvenliğin Ana Bileşenleri 1. Siber Strateji, Politikalar ve Siber Güvenlik Yol

Haritası Oluşturulması, 2. Siber Ortamın Tanımlanması ve Tasarlanması,

3. Siber Güvenlik Durumsal Farkındalık Eğitimleri,

4. Risk Değerlendirmesi, Standardizasyon ve Siber Esnekliğin Sağlanması,

5. Güvenli Sistem Mimarisinin Oluşturulması,

6. Zafiyet Değerlendirmesi, 7. Merkezi Olay Yönetimi, 8. Log Korelasyon ve Yönetimi, 9. Sürekli İzleme ve Denetim,

10. İş Sürekliliği’nin Sağlanması.

Kurumsal Siber Güvenlik

Kurumsal Siber Güvenlik Neden Kurumsal Siber Güvenlik İhtiyacı Ortaya Çıktı?

1.

Siber Saldırılarının (Oltalama, Servis Dışı Bırakma, Fideye Zararlı Yazılımlar, Sosyal Ağlarla Yapılanlar vb. ) Çeşitliliğinin Artması,

2. Evden Çalışma İhtiyacı, 3. Bilgi Teknolojilerine Bağlılığın Artması, 4. Akıllı Nesnelerin Kullanımın Artması, 5. Siber Olayların Maliyetinin Artması, 6. Bilgi Paylaşımı ve Birlikte Çalışılabilirlik İhtiyacı, 7. Siber Saldırıların Asimetrik Etkileri, 8. Akıllı Telefonlar ve Tabletlerin İş Amaçlı Kullanımının

Artması, 9. Bulut Bilişim Teknolojilerinin Yaygınlaşması,

10. Kurumların Sosyal Ağlar’da Yer Almaya Başlaması.

* Basılı veya elektronik ortamda kamuya açık mevcut bilgilerdir. Açık

kaynak bilgileri istihbaratın önemli bir parçasıdır. Açık kaynak kabul

edilen; radyo, televizyon, basılı medya, internet vb. kullanılarak

istihbarat elde etmek mümkündür.

Açık Kaynak İstihbaratı

* Açık kaynak istihbaratının kolay, hızlı ve ucuz bilgi toplama yolu

olması nedeniyle başta bilgisayar korsanları olmak üzere, istihbarat

örgütleri ve kolluk kuvvetleri tarafından yoğun olarak kullanılmasını

sağlamaktadır. Bu özellikler açık kaynak istihbaratının tercih sebebi

olmasının yanında kıymetsiz gibi değerlendirilmesine de neden

olmaktadır.

Açık kaynak istihbaratı

* Siber istihbarat, hedef hakkında aktif veya pasif teknikler

kullanılarak bilgi toplamak, analiz etmek ve tedbirler almak olarak

tanımlanabilir. Açık kaynak üzerinde bir hedefle ilgili (Şahıs veya

sistem olabilir) aktif veya pasif bilgi toplama tekniklerini kullanır.

Pasif bilgi toplama teknikleri, hedefle en az irtibata geçilen teknik

olup saldırgan içinde en güvenlisidir. Burada bir saldırı öncesi

hedef hakkında açık kaynaktan bilgi toplamada en çok istifade

edilen pasif tekniklere değinilecektir.

Siber İstihbarat

* Açık kaynaktan bilgi toplanacak hedefin kişi/grup veya sistem

(web siteleri, etki alanları vb.) olarak iki grupta bulunabileceği

değerlendirilmektedir

Bilgi Toplama

1.  Hedef Şahıs/Grup ise:

* Saldırganın hedefi şahıs olduğunda kullanabileceği teknikler,

hedefin internet kullanım oranıyla paraleldir. Hiç internet

kullanmamış bir kişi hakkında yığınla bilgiye ulaşmak bazı

durumlar hariç beyhude bir çabadır. Saldırgan arama motorları,

sosyal paylaşım ağları, bloglar etc. kullanarak hedef hakkında

bilgi toplamaktadır.

Bilgi Toplama

* Sosyal medyada saldırganlar;

- Kullanıcıların güvenlik ve gizlilik ayarları eksikliği,

- Paylaşılan içeriklerin meta verileri,

-Sosyal ağ arkadaşlarından ve kullanım politikalarından

kaynaklanan problemlerden istifade ederek bilgi toplamaktadır.

Bilgi Toplama

* Hedefin arkadaşlarına ulaşan saldırgan, söz konusu verileri çeşitli

yazılımlarla (i2 Analyst Notebook, Maltego CaseFile vb.) analize tabi

tutarak bağlantı şemalarını çıkarmıştır.

(Twitter’da 1949 Takipçili ve 535 Takipçili İki Hesabın Ortak Takipçilerinin Analizi.)

Bilgi Toplama

* Sosyal medya kullanılarak hedefin ilgi alanları, kullandığı sistemler,

bağlantı yapılan yerler, fotoğrafları, videoları, telefon numarası, e-posta

adresi, vb. bilgilere ulaşılması mümkündür

Bir Bakanlığa Ait Resmi Sosyal Medya Hesabından İki Yıllık Sürede Paylaşılan Toplam 3195 Adet Mesajların Gönderildiği Sistemler ve Günlük Yoğunluğunu Gösterir Çizelgeler.

Bilgi Toplama

* IBM araştırma takımı tarafından 2012 yılında 9551 kullanıcıya ait

1.524.544 tweet üzerinde yapılan araştırmada, kullanıcıların son 200

tweetine bakarak %58’nin şehir, %60’nın bölge, %78’nin zaman dilimi

konumlarını doğrulukla tespit edebilmişlerdir. Yapılan başka bir

araştırmada, konum bilgileri olmaksızın kullanıcı tweetlerinden

konumlarının bulunmasını sağlayan algoritma geliştirmiştir.

Bilgi Toplama

* Her ne kadar bazı sosyal ağlar yüklenen dosyaların meta verileri silse

de, halen meta verilerin açık olduğu sosyal ağlar kullanılarak bilgiler

elde edilebilmektedir. Sosyal medyadan istenen bilgileri toplayarak, bu

verileri grafiksel arayüzde kullanıcıya sunan programlar mevcuttur.

(Üst düzey devlet yöneticilerinin de içerisinde yer aldığı fotoğrafların EXIF koordinat verilerinden istifade ile bu kişilerin konumlarının harita üzerinde gösterimi.)

Bilgi Toplama

* Saldırganın hedef hakkında bilgi toplamada kullanacağı en faydalı

kaynak arama motorlarıdır. İnternetten otomatik bilgi toplayan birçok

programa çeşitli parametreler girilerek sonuç odaklı filtreleme ile

sonuca ulaşmak mümkündür.

Bilgi Toplama

2. Hedef Sistem İse:

Hedefin sistem olduğu durumda, saldırgan açık kaynaklardan

sisteme giriş yapabilmek için ihtiyacı olan her türlü bilgiyi

arayacaktır. Sistem yöneticisi, sistemde kullanılan yazılımlar,

sistemin yeri etc. bilgiler saldırganın ulaşmak isteyeceği

veriler arasında yer alacaktır. Saldırgan web adreslerini whois

sorgularına sokarak, yöneticiye ait bilgilere ulaşmak

isteyecektir.

Bilgi Toplama

* Whois sorguları sonucunda dönen verilerin bir kısmı güvenlik

kaygıları ile sistem yöneticileri tarafından hatalı kayıtlar ile gizlenmiş

olsa da geçmiş yılların whois kayıtlarına ulaşmak mümkündür. Web

sayfasının yayına başladığı zamandan şimdiye kadar ki kayıt

geçmişine ulaşmaya imkan sağlayan sistemler saldırganın günümüz

ve geçmişteki whois sorguları ile sistem yöneticisinin bilgilerine

ulaşmasına olanak verecektir.

Bilgi Toplama

* Saldırgan, web sayfalarının geçmiş görüntülerine arşiv kaydı

yapan sistemler vasıtasılya ulaşarak, sistem yöneticisine ulaşmaya

çalışabilir. Söz konusu sistemler, web sayfalarının zaman içerisinde

ekran görüntülerini arşivliyor olup, bu bilgiler içerisinden sistem

yöneticisine ulaşmak bazı durumlarda mümkün olabilir.

Bilgi Toplama

* Web sitesinden yayınlanan dosyaların meta verilerinin analizi

yapılarak; user names, ip number, client names, server ips, emails,

folder names, softwares, operating systems etc. bilgilerinin elde

edilmesi mümkündür. Söz konusu işlemi otomatik olarak yapan

yazılımlar mevcuttur. Bu yazılımlar kullanılarak, web sayfası

üzerinde bulunan meta veriler barındıran (doc, xls, ppt, pps, docx,

rtf vb.) dosyalar indirilip, meta veriler analiz edilerek faydalı bilgiler

elde etmek mümkündür.

Bilgi Toplama

* Bir bakanlık web sitesinden yayınlanan ve meta veriler barındıran

(63 adet doc, 57 adet docx, 58 adet pdf, 15 adet ppt, 21 adet pptx, 43

adet xls, 43 adet xls) toplam 300 dosya indirilerek meta veri analizi

gerçekleştirilmiştir.

Elde Edilen Bilgiler Sayısı Kullanıcı Adı 132 E-posta Adresi 185 İşletim Sistemi Bilgisi 5 Klasör Yolu 26 Yazıcı Bilgileri 29 Kullanılan Yazılımlar 25

Bilgi Toplama

(300 Adet Dosyayanın Meta Veri Analizinde Elde Edilen 132 Adet Kullanıcı Adlarının Bir Bölümü.)

Bilgi Toplama

* Sosyal ağların kullanım oranının arttığı günümüzde kurumlar, doğal

olarak bu ağlarda yer alarak takipçilerine daha hızlı ulaşmak

isteğindedirler. İnternet üzerine taşınan kurumsal veriler kontrol

altına alınmadığında türlü riskleri de beraberinde getirecektir.

Açık Kaynak Bilgi Toplanmasına Karşı Kurumlar Tarafından Alınabilecek Tedbirler

* Kurumların internet üzerine yükleyeceği verilerin paylaşılmak

istenenden fazla bilgi barındırmaması (İçerik ve meta data

yönünden) hususu göz önünde tutulur. Söz konusu incelemenin;

bilgi güvenliği farkındalığı yüksek personel tarafından ve tek elden

yapılması gerekmektedir.

Doğrudan Etkileyenlere Yönelik Tedbirler

* Kurumların veya kişilerin internet ortamındaki verileri koruma ve

yönetmede, bazı sistematik tedbirler (Siber güvenlik yol haritası

Kapsamında düşünülmelidir.) alması gerektiği kanaatindeyiz. Söz

tedbirlerinin kurumun doğrudan etkilediği ve dolaylı etkilediği

tedbirler olarak ikiye ayrılası mümkündür.

Açık Kaynak Bilgi Toplanmasına Karşı Kurumlar Tarafından Alınabilecek Tedbirler

* Yukarıdaki işlemlerin bir süreç yönetimi (Siber Güvenlik Eylem

Planı/Yol Haritası)’nin alt işlemleri şeklinde kurumlar tarafından

belli yapılması güvenlikte seviyeyi, etkinliği ve esnekliği

arttıracaktır.

Doğrudan Etkileyenlere Yönelik Tedbirler

* Siber güvenliği teknik bir olay değil, yönetimsel ve hayati bir olay

görerek bunu arttırıcı eğitimlerin alınması,

* Özellikle kilit yönetici ve liderlerin farkındalık seviyesinin arttırılması,

* Kurum içinde, hem eğitim hem de farkındalık düzeyinin arttırılması

maksadıyla, “Bayrağı Yakala (Capture The Flag)” gibi yarışmaların,

tatbikatların icra edilmesi fayda sağlayacaktır.

Dolaylı Etkileyenlere Yönelik Tedbirler

* Kurum çapında alınacak tedbirlerde, kişisel mahremiyet ve

hukuksal kısıtlamalar göz önünde bulundurulmalıdır.

* Kurumların işe alma sürecinde başlamak üzere, çalışanın özel

hayatında kuruma zarar verebilecek paylaşımlarına engel olacak

sözleşme ve prosedürlerin oluşturulmalıdır.

Dolaylı Etkileyenlere Yönelik Tedbirler

* Akıllı telefon ve cihazların kullanım oranının sürekli arttığı

günümüzde siber saldırı yapılmak istenen hedefte;

- Internet ağında serbestçe paylaşılan veriler indirilerek, meta

analizleri sonucunda kurumda çalışan personele ve sistemlere ait

bilgiler (isim, soyisim, organizasyon şeması, iş pozisyonu vb.) elde

edilebilir, kurumların organizasyonel yapıları ortaya çıkartılabilir,

SONUÇ

* Bu bilgilerden yola çıkarak, sosyal medya ağlarının bir operasyon

sahası olarak (sahte profillerle arkadaşlık teklifi, bilgi toplama,

güven kazanma sonra oltalama gibi) kullanılabilmesi ile hedefle

irtibat kurularak saldırı süreci devam ettirilebilir. İstihbarat toplama

amaçlı ortaya çıkan hedef odaklı/karmaşık (APT) zararlı yazılımlar

(Aurora, Flame, Red October vb.) sızma yapılan sistemlerde fark

edilmeden uzun yıllarca kalmaktadırlar.

SONUÇ

* Elde edilmek istenen amaçlara (İtibar kaybı, ekonomik kazanç,

propaganda ve algı yönetimi, zarar verme, casusluk vb.), devlet

destekli olup olmama durumlarına göre tasnif edilebilen siber

taarruzların öncesinde her zaman saldırı yapılmak istenen hedefe

ilişkin istihbarata ihtiyaç duyulacağı düşünülmelidir.

SONUÇ

SONUÇ * Yapılan analizlerde kurumların paylaşımda bulunduğu dosyaların

meta verilerini değiştirmeye yönelik tedbirler geliştirmeleri,

* Meta verilerden elde edilen bilgiler ışığında kurumlarda çalışan

personelin kişisel ve görev yerlerine ilişkin bilgilerinin buralarda yer

almasını önlemeleri,

* Bilgi sistem cihazlarında isimlendirmelerin organizasyon veya kişi

hakkında bilgi vermeyecek şekilde yapılandırılması,

* Siber güvenliğin sadece teknik bir alanla sınırlı olmayıp, artık her

bireyi kişisel ve kurumsal alanda etkileyen yaşamın bir parçası

olduğu gerçeği unutulmamalıdır.