Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets

Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets

  • Be the first to comment

  • Be the first to like this

Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets

  1. 1. Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets Hebun İLHANLI hebun.ilhanli@bgasecurity.com 19.05.2020
  2. 2. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 1BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity İçindekiler İçindekiler ..................................................................................................................................................................................... 1 Giriş .................................................................................................................................................................................................. 2 DDOSecrets Platformu ............................................................................................................................................................. 3 Veri Sorgulama ....................................................................................................................................................................... 4 Örnek Veritabanı .................................................................................................................................................................... 5 Örnek Doküman ..................................................................................................................................................................... 7 Bir Araştırma Senaryosu .................................................................................................................................................... 8 Sonuç ........................................................................................................................................................................................ 15 Referans .................................................................................................................................................................................. 16
  3. 3. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 2BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Giriş Veri ihlali, saldırganların bir sistemde veya ağda yetkisiz erişim elde etmesi ile kullanıcıların özel, hassas veya gizli kişisel bilgilerini ve finansal verilerini çalması sonucunda ortaya çıkmaktadır. Veri sızıntıları ve güvenlik ihlalleri ile alakalı araştırmalar yapan Risk Based Security adlı güvenlik firmasının yayınladığı “2019 MidYear QuickView Data Breach Report” adlı rapora göre, 2019’un ilk altı ayında 4.1 milyarı aşkın ihlalin varlığını kaydedilmiştir. Bunların içerisinde 3,800’den fazla kamuya açıklanmış veri ihlali olduğu tespit edilmiştir.[1] Veri sızıntıları içerisinde kişisel olarak tanımlanabilir (PII) olan bilgiler; gerçek ad, telefon numarası, e-posta adresi, kredi kartı, kimlik belgeleri (ulusal kimlik, sürücü belgesi, pasaport) gibi kritik bilgiler yer alabilmektedir. Bu veriler genellikle kamu ve devlet kurumlarına yapılan siber saldırılar sonucunda ilgili kurumların web platformları veya sunucularından elde edilmektedir. Öte yandan, bir siber saldırı olmadan değişik şekillerde veri sızıntılarının da ortaya çıkması söz konusudur. Sızdırılmış bu veri kümeleri rutin olarak çeşitli depolama sitelerine (ücretli veya ücretsiz) yüklenmekte ve aynı zamanda karanlık web forumları veya darknet pazarı gibi yerler aracılığı ile daha sınırlı kitlelere ulaştırılmaktadır. Değişik şekillerde sızdırılmış ve insanların erişimine sunulmuş bu veriler, ilgili oldukları kişi ve kurumlar için önemli bir güvenlik problemi teşkil etmektedir. Bu kapsamda; söz konusu kişi ve kurumlara dair bilgi güvenliğinin sağlanmasına yönelik gerçekleştirilen çalışmalarda, bu verilerin araştırılması gerekmektedir. Söz konusu araştırmalar genel olarak beyaz şapkalı güvenlik uzmanları tarafından, OSINT (Açık kaynak istihbaratı) çalışmaları kapsamında gerçekleştirilmektedir. OSINT (Açık kaynak istihbaratı) çalışmaları kapsamında bu bilgilerin araştırılması için çok sayıda platform mevcut olup bunlar üzerinde farklı şekillerde araştırmalar yapılabilir. Bu platformlardan bir tanesi, veri sızıntılarını ücretsiz sorgulamayı sağlayan Distributed Denial of Secrets platformudur. Bu yazıda Distributed Denial of Secrets platformu ile söz konusu araştırmaların yapılması üzerinde durulacaktır. Bu kapsamda öncelikle Distributed Denial of Secrets platformu hakkında bilgilendirme yapılacaktır. Daha sonra bir senaryo üzerinden bu platform kullanılarak nasıl anlamlı bir OSINT çalışması yapılacağı anlatılacaktır.
  4. 4. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 3BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity DDOSecrets Platformu Distributed Denial of Secrets grubu, 2018 yılında gayri resmi olarak uzun yıllar birlikte çalışan bir grup aktivist tarafından oluşturulmuştur. Grubun amacı; araştırma, gazetecilik, aktivizm ve teknoloji alanında veri toplama çalışması gerçekleştirmektir. Grup zamanla derin bağlantılarını ve bilgi toplama ağını genişletmiştir. Sızıntıların çoğunu özel veri kümelerinden, hacktivistlerden ve halka açık yerlerden aldıkları iddia edilmektedir. Bugün, 10 milyondan fazla e-posta, belge, tablo ve diğer veri kümelerine aşağıdaki https://hunter.ddosecrets.com adresten sorgulanabilmektedir. Aşağıdaki ekran görüntüsünde Distributed Denial of Secrets platformuna ait giriş paneli verilmiştir. Şekil 1 : Distributed Denial of Secrets Kütüphanesi Giriş Ekranı
  5. 5. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 4BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Veri Sorgulama Distributed Denial of Secrets kullanıcılara detaylı bir arama imkanı sunmaktadır. Aşağıdaki ekran görüntüsünde uygulamada veri sorgulandığında kullanılabilecek özellikler ve detaylara yer verilmiştir. Şekil 2 : Distributed Denial of Secrets Veri Sorgulama Ekranı (1) Uygulamanın içerisinde yer alan arama alanı sayesinde spesifik olarak bir isim, şirket, alan adı, doküman veya sızdırılmış bir veritabanı sorgusu yapılmaktadır. (2) Sorgulanan veriyi filtrelemek için uygulamanın sol kısmında yer alan panel kullanılabilir. Örneğin içeriğinde “apple.com” adresinin yer aldığı PDF formatında dokümanlar listelenmektedir. (3) Listelenen verinin ismi genellikle ismi korunmuş bir şekilde kütüphaneye eklenmektedir. (4) Ayrıca bu verinin hangi veri tabanında yer aldığı ile alakalı bilgilendirmede mevcuttur. Bu isimler genellikle yaşanan siber saldırı olaylarından yola çıkarak verilmektedir. (5) İlgili verinin hangi ülkeye ait olduğu veya hangi ülke ile bağlantılı olduğuyla alakalı kullanıcıya bilgiler de sunulmaktadır. (6) Çoğu sızdırılmış verinin ortaya çıkarılış tarihi anonim kalsa da bazı veri sızıntılarının ne zaman yayınlandığına dair bilgi verilmektedir.
  6. 6. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 5BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Örnek Veritabanı Distributed Denial of Secrets platformunda ayrıca veri sızıntılarına dair bilgiler kategorilere ayrılmış olarak sunulmaktadır. Aşağıda, veri ihlali yaşamış bir firmaya ait bilgilerin uygulama üzerinden gösterilmesine dair örnek bir ekran görüntüsü verilmiştir. Ayrıca ekranın her bir parçasında kullanıcıya sunulan bilgiler detaylı olarak sunulmuştur. Şekil 3 : Distributed Denial of Secrets Örnek Veritabanı (1) İncelenen veritabanında yaşanan veri sızıntısı ile alakalı kısa bir bilgilendirme mevcuttur. Ayrıca detaylı bilgiye ulaşmak isteyen kullanıcılar içina haber sitelerine düşmüş veri ihlali ile alakalı adres verilmektedir. Örneğin yukarıda verilen haber sitesi incelendiğinde Farragut, Tennessee merkezli otomatik plaka tanıma ekipmanı geliştiricisi ve üreticisi olan Perceptics LLC adlı firmanın 13 Mayıs 2019 tarihinde tespit ettiği bir siber saldırı sonucunda 100 binden fazla yüz resmi, insan kaynakları kayıtları, veritabanları, ABD İç Güvenlik Bakanlığı kılavuzları, gizlilik anlaşmaları ve iş planları gibi veri ihlali olduğu ile alakalı detaylı bilgilere yer verilmiştir[2]. Eğer veri ihlaline ait yeni bir kaynak ortaya çıkarsa ilgili veritabanında güncelleme yapılmaktadır. Uygulama geliştiricileri içinde API uygulaması da mevcuttur. (2) Veri sızıntıları içerisinde yer alan bu dokümanlar Distributed Denial of Secrets tarafından kullanıcılara sunulmaktadır. Sızıntının büyüklüğüne göre kategorilendirilmiştir (E-Postalar, videolar, ses kayıtları vs.). (3) Dokümanların bağlantılı olduğu ülkeler uygulama arayüzünde listelenmektedir. (4) Kişisel olarak tanımlanabilir bilgilerden olan isim bilgileri de sızıntı veriler üzerinden farklı kategoride listelenmektedir.
  7. 7. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 6BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity (5) Sızıntılar içerisinde yer alan mail konuşmalarında firma çalışanları ve müşterilere ait e-posta bilgisi yer almaktadır. (6) Sızıntılar içinde bulunan banka bilgileri ayrı bir kategori halinde sunulmaktadır. (7) Veri sızıntıları içerisinde yer alan telefon numaralarıda farklı bir bölümde listelenmiştir. Örneğin firma çalışanları ve müşteriler arasında geçen mail mail konuşmalarında yer alan imzalarında iletişim olarak telefon numaralarını da paylaşılmaktadırlar.
  8. 8. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 7BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Örnek Doküman Uygulamada ayrıca, her bir özel veri grubu ile ilgili ifşa bilgileri sunulurken, aynı anda farklı detaylar kullanıcıya gösterilmektedir. Aşağıdaki ekran görüntüsünde ifşa edilmiş bir mail konuşmasına ait bilgiler yer almaktadır. Yine kullanıcıya sunulan ekranın her bir kısmında gösterilen veriler ile ilgili bilgilendirme yapılmıştır. Şekil 4 : Distributed Denial of Secrets Örnek Mail Verisi İfşası (1) Platformda bulunan mail konuşmaları en ince ayrıntısına kadar kullanıcılara sunmaktadır. Konuşmaların hangi tarihte geçtiği, kim tarafından ve kime gönderildiği, EML formatında boyutu ve içerik türüne ait bilgiler verilmektedir. (2) Gönderilen mailin cevabını farklı bir sekmede açma imkânı bulunmaktadır. (3) Örneğin yukarıda verilen mailin içeriği incelendiğinde dikkat çeken detaylar mail adresleri, posta kodu, telefon numarası ve fiziksel adresidir. (4) Ayrıca ilgili mail sızıntısında yer alan önemli anahtar kelimeler site içerisinde etiketlenmiştir. Bu anahtar kelimelerin bulunduğu dokümanlara ait veri sızıntıları listelenebilir.
  9. 9. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 8BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Bir Araştırma Senaryosu Distributed Denial of Secrets platformu sorgulamalar esnasında kullanıcılara kolaylıklar sağlasa da resimleri yani bilgileri birleştirmek yine araştırmacıya kalmıştır. Bu bölümde bir senaryo üzerinden Distributed Denial of Secrets aracı kullanılarak bilgi toplama çalışmasının yapılması gösterilecektir. Aşağıda verilmiş olan ekran görüntülerinde bir kuruluşa ait nasıl bilgi toplandığı ile alakalı bilgiler verilmiştir. Şekil 5 : Distributed Denial of Secrets Kütüphanesi Giriş Ekranı Giriş ekranında bulunan“Leaks” bölümünde bazı şirketlere, kuruluşlara, örgütlere, devlet kurumlarına ait veri sızıntıları yer almaktadır. Bu bölüm üzerinden seçilecek bir veritabanında dokümanlardan veya mail konuşmalarından önemli bulgular tespit edilmesi hedeflenmektedir. Örnek araştırma senaryosu kapsamında, programın giriş arayüzündeki Leaks seçeneği seçilerek, hali hazırda yaşanmış olan veri sızıntılarının listelendiği bilgi ekranı açılmıştır.
  10. 10. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 9BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Şekil 6 : Distributed Denial of Secrets Kütüphanesi Örnek Veritabanları Veri sızıntıları listesinden Bradley Foundation veritabanı, örnek araştırma konusu olarak seçilmiştir. Konu ile ilgili google üzerinden araştırma yapıldığında sızıntı ile ilgili aşağıdaki bilgilere ulaşılmıştır. 2016 yılında Amerika'da bir hayır kurumu olan Lynde ve Harry Bradley Vakfı, Anonymous Poland adlı hacker grubu tarafından siber saldırı yaşadı. Bu veri sızıntısı sonucunda grup, vakfa ait binlerce dosyayı çevrimiçi olarak paylaştı. Yaşanan bu olay detaylı olarak incelendiğinde saldırının Clinton kampanyasına zarar vermek için tasarlandığı tespit edildi. Birçok siber güvenlik firması, araştırdığı bu olayın sorumlusu olarak devlet destekli hacker grupların olduğuna dair ipuçları elde etti. Bu olayların arkasında Rusya hükümeti olduğu iddia edilmektedir.[3][4]
  11. 11. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 10BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Çalışmanın bir sonraki adımında Bradley Foundation veri tabanında yer alan ifşa edilmiş e-posta adresleri araştırılmıştır. Elde edilen sonuçlar, aşağıdaki ekran görüntüsünde verilmiştir. Şekil 7 : Distributed Denial of Secrets İfşa Edilmiş E-Posta Hesapları Bradley Foundation adlı veritabanı incelendiğinde E-Posta hesaplarının bulunduğu kısımda yer alan bir adres dikkat çekmektedir. Dikkat çekmesinin nedeni farklı bir kurum çalışanı olmasına rağmen veri ihlali yaşamış kuruluşla iletişiminin fazla olmasıdır. Adresin yanında bulunan sayı vakıf ile arasında geçen mail konuşmalarının adetidir. E-Posta hesabında bulunan alan adı internette sorgulandığında bir seyahat danışman şirketi olduğu tespit edilmiştir.
  12. 12. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 11BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Aşağıdaki ekran görüntüsünde şirkete ait web sitesi yer almaktadır. Şekil 8 : Hedef kurum ile iletişim halinde olan Seyahat Danışman Şirketi Araştırılan şahıs rezerve edilen herhangi bir tatil söz konusu olduğunda çalışılan organizasyonlar adına tarih veya varış yerlerini değiştirmek, tüm tatilleri yeniden etiketlemek veya iptaller yapmak gibi seyahat organizasyonu düzenleyen bir firmada çalıştığı tespit edilmiştir. Linkedin uygulamasından kişi bazlı araştırma yaparak çalışanın pozisyonu hakkında araştırma yapıldığında aşağıdaki bilgiler elde edilmiştir.
  13. 13. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 12BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Şekil 9 : Hedef kurum ile iletişim halinde olan seyahat firması çalışanın Linkedin profili İlgili pozisyon araştırıldığında bu pozisyonun; bir organizasyonun seyahat için stratejik yaklaşımını, tüm satıcılarla yapılan görüşmeleri, kurumsal seyahat programının günlük işleyişi, gezi güvenliği, kredi kartı yönetimi ve seyahat gider veri yönetimi ile ilgilendiği anlaşılmıştır. Dolayısıyla bu şahıs veri ihlali yaşamış olan firma adına seyahat düzenlemelerini yöneten biri olduğundan dolayı firma ile olan iletişimi sürekli hale gelmiştir.
  14. 14. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 13BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Aşağıda verilmiş olan ekran görüntüsünde kurumsal seyahat yöneticisinin veri sızıntısı yaşamış kuruluş arasında geçen mail konuşmaları yer almaktadır. Şekil 10 : Mail Başlığından Bilgi Toplama Yöneticinin sızdırılmış mail arşivlerini incelerken daha önce analiz edilen kuruluşa ait çalışanların seyahat dokümanlarının yer aldığı görülmüştür. Örnek doküman içeriği aşağıdaki ekran görüntüsünde verilmiştir.
  15. 15. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 14BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Şekil 11 : Mail İçeriğinden Bilgi Toplama Kurumsal seyahat yöneticisinin ilettiği seyahat formu incelendiğinde veri ihlali yaşayan kuruluşa ait çalışanın soyadı ve sızan e-posta adreslerinin eşleştirilebildiği görülmektedir. İlgili doküman içerisinde çalışanın gerçek adı, telefon numarası, kredi kartı numarasının son dört hanesi ifşa edilmiştir. Ayrıca sızıntı veride rezervasyon bilgilerini içeren bilet numarası ve rezervasyon numarası da yer almaktadır. Rezervasyon yapılan uçak, otel, araç kiralama gibi hizmetlerin web sitelerinde geçmişe yönelik bir sorgulama aktif ise bu dokümandan alınacak bulgular sayesinde rezervasyon hakkında detaylı bilgiler elde edilebilir.
  16. 16. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 15BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Sonuç Yapılan çalışma ile, Açık Kaynak İstihbaratı yöntemi ile faydalı araçlardan birinin kullanımı ile nasıl bilgi toplanabildiği örnek bir senaryo üzerinden gösterilmiştir. Bugünün çevrimiçi dünyasında kullanıcıların Açık Kaynak İstihbaratından korunması neredeyse imkânsız hale gelmiştir. Kendi başına bir saldırı türü olmasa da bilgisayar korsanları tarafından bir araç olarak kullanılmaktadır. Saldırganın toplayacağı istihbarat ileriki süreçlerde kullanacağı atak vektörlerde işe yaramaktadır. Oltalama saldırılarını yaparken kullanılacak e-posta listesinin ya da kaba kuvvet saldırısı yaparken kullanılacak kullanıcı adı (e-posta) bilgilerinin tespit edilmesi gibi. Bu noktada kişi ve kurumların istenmeyen bir Açık Kaynak İstihbaratı çalışmalarından korunmalarının en etkili yolu, çevrimiçi paylaşılan bilgilere dikkat etmek ve Açık Kaynak İstihbaratı için kaynak oluşturan platformlarda ne tür bilgilerin mevcut olduğundan emin olmak için düzenli araştırma çalışmaları gerçekleştirmektir.
  17. 17. VERI SIZINTILARI İÇINDEN BILGI TOPLAMA: DISTRIBUTED DENIAL OF SECRETS 16BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Referans [1]https://pages.riskbasedsecurity.com/hubfs/Reports/2019/2019%20MidYear%20Data%20Breach%20 QuickView%20Report.pdf [2] https://theintercept.com/2019/08/01/perceptics-hack-license-plate-readers/ [3] https://projects.jsonline.com/news/2017/5/5/did-russians-hack-bradley-foundation-computers.html [4] https://www.vocativ.com/372088/bradley-foundation-hack-clinton-cammpaign-fake-files/index.html

×