Editörün Notu: Bu yazı GIJN’in yakında yayınlanacak olan Gazeteciler için Dijital Tehditleri Araştırma Rehberi’nden alınmıştır. Dezenformasyonla ilgili birinci bölüm halihazırda yayınlanmıştır. Rehberin tamamı bu Eylül ayında Küresel Araştırmacı Gazetecilik Konferansı’nda yayınlanacak.
Tıpkı meşru bir çevrim içi sitede olduğu gibi herhangi bir dezenformasyon kampanyası ya da casus yazılım saldırısı bir ya da daha fazla alan adı, sunucu ve uygulama içeren dijital altyapıya dayanır. İnternet üzerinde çalışan her şey, faaliyetlerini izlemek ve bazı durumlarda farklı altyapıları birbirine bağlamak için kullanılabilecek bazı izler bırakır. Bu bölümde dijital altyapıyı araştırmak için kullanabileceğiniz çevrim içi araçlara giriş yapıyoruz.
Dijital Altyapı Nasıl Çalışır?
Dijital altyapıyı takip etmenin ilk adımı nasıl çalıştığını anlamaktır. Örnek olarak GIJN’in web sitesi gijn.org‘u ele alalım.
Alan Adı
İlk olarak, gijn.org alan adını kullanmaktadır. Alan adları, İnternet’in ilk günlerinde web sitelerine kullanıcı dostu isimler sağlamak için kurulmuştur. Böylece insanlar 174.24.134.42 gibi karmaşık teknik IP adreslerini hatırlamak zorunda kalmıyordu. Alan Adı Sistemi (DNS) protokolü, alan adlarını IP adreslerine dönüştürmek için kullanılır. IP adresleri için farklı kayıt türleri vardır ve DNS bunları çözümlemek için kullanılır. MX kayıtları, e-postaları bir etki alanına bağlı doğru adrese (info@gijn.org gibi) yönlendirmeye yardımcı olan sunucu için kullanılır. Ancak DNS’de kullanılan ana kayıt IPv4 adresleri için A türü (gijn.org gibi geleneksel İnternet adresi) ve IPv6 adresleri için AAAA’dır. (IPv6, İnternet’te daha fazla adrese izin veren daha yeni bir adres formatıdır, çoğu sistem hala hem IPv4 hem de IPv6 adreslerini kullanmakta. Web tarayıcınız, bir web sitesini ziyaret ettiğinizde girdiğiniz alan adını IP adresine çözümleme işini otomatik olarak yapar. Ancak bunu manuel olarak yapmak için CentralOps gibi çevrim içi bir araç kullanabilirsiniz. Örneğin, CentralOps’a gijn.org adresini girdiğimizde 34.122.151.197 IPv4 adresini alırız, IPv6 adresi almayız.
Alan adları kayıt şirketlerinden alınması gerekir. Bu şirketler müşteriler için alan adlarının kaydını yönetir; .com, .org veya .fr gibi üst düzey alan adlarını (TLD) yöneten kayıt kuruluşlarıyla aracı olarak hareket eder. Kayıt kuruluşları, TLD’leri için var olan alan adları hakkında bir bilgi veritabanı tutar ve buna Whois veritabanı denir. CentralOps gibi web araçlarını kullanarak mevcut alan adları hakkında bilgi almak için Whois araması yapmak mümkündür. Bazı durumlarda, Whois aramanız bir alan adının sahibi hakkında adı, telefon numarası, e-posta adresi ve fiziksel adresi dahil olmak üzere bilgi sağlayacaktır. Ancak alan adı sahipleriyle ilgili kişisel veriler genellikle gizlilik nedeniyle Whois veritabanlarından gizlenir. İnsanlar bu bilgilerin Whois arama sonuçlarından gizlenmesi için ödeme yapabilir ve birçok kişi ve şirket bunu yapmayı tercih eder. Bu durumlarda bile kayıt tarihini, yenileme tarihini ve kullanılan kayıt kuruluşunu bulmak mümkündür. Örneğin, gijn.org Whois araması için elde ettiğimiz sonuç şu şekildedir.
Alan adı sahibi bilgileri redakte edilmiş olsa bile, alan adının ilk kez 24 Haziran 2009 tarihinde GoDaddy (kayıt şirketi) şirketi aracılığıyla satın alındığını ve o tarihten bu yana düzenli olarak yenilendiğini görebiliyoruz.
Sunucu
Bir web sitesinin bir yerde barındırılması gerekir. Bu, web sitesiyle ilişkili tüm dosyaların depolandığı ve birisi web tarayıcısı aracılığıyla sitede bir sayfa talep ettiğinde kullanıma sunulduğu sunucu adı verilen fiziksel bir bilgisayardır. Günümüzde çoğu sunucu OVH veya Digital Ocean gibi profesyonel barındırma sağlayıcıları hatta Amazon Web hizmetleri veya Google Cloud gibi bulut sağlayıcıları tarafından barındırılmaktadır.
Sunucular İnternet’e bir veya birkaç IP adresi üzerinden bağlanır (çoğu zaman bir IPv4 ve bir IPv6 adresi üzerinden). Bu IP adresleri, Bölgesel İnternet Kayıtları tarafından, bunları kendi sistemleri için kullanan şirketlere veya kuruluşlara devredilir. Bir hosting şirketi birçok IP adresine sahip olacak ve bunları bireysel web sitelerini barındırmak için kullanılan çeşitli sunucularına atayacaktır.
Her IP adresi sahibinin aynı zamanda İnternet’e bağlı farklı ağları yönettikleri IP’ler hakkında bilgilendirmesi gerekir, böylece trafiği kendi yönlerine gönderebilirler. Bu, tüm İnternet ağları tarafından tanınan ve benzersiz bir numara ile tanımlanan bir idari varlık olan bir Otonom Sistemin (OS) kaydedilmesini gerektirir. Örneğin, AS1252, Nebraska Üniversitesi Tıp Merkezi olan UNMC-AS’nin numarasıdır. OS numaralarının oldukça kapsamlı bir listesi çevrim içi olarak mevcuttur. Çoğu barındırma şirketi bir veya birkaç OS’ye sahiptir.
ipinfo.io gibi bir araç, bir IP adresinin OS’sini, arkasındaki şirketi ve IP’nin bağlı olduğu sunucunun konumunun bir tahminini belirlemenizi sağlar. Bu coğrafi konum bilgisinin tam olarak doğru olmadığını unutmayın. GIJN’in 34.122.151.197 adresi için, Google’a ait olan AS396982‘nin bir parçası olduğunu ve Google’ın Iowa veri merkezinde bulunduğunu görüyoruz. Whois aramaları bazen sadece OS’den daha kesin bilgi veren bir IP adresi de sağlar ancak bu örnekte değil. ipinfo.io gibi bir araç size en eksiksiz sonuçları verecektir.
HTTPs Sertifikası
Hypertext Transfer Protocol Secure (HTTPs), bir web tarayıcısı ile web sitesini barındıran sunucu arasında iletişim kurmak için kullanılan güvenli bir protokoldür. Tarayıcının kriptografik bir sertifika kullanarak sunucunun kimliğini doğrulamasını sağlar. Bu, tarayıcının gerçek gijn.org’u yüklediğinden ve kimliğini gasp eden bir sunucu olmadığından emin olmasına yardımcı olur. Her kriptografik sertifika, farklı tarayıcılar ve işletim sistemleri tarafından tanınan bir üçüncü taraf sertifika yetkilisi tarafından verilir. Bu sertifikalar sınırlı bir süre için (genellikle üç ay ile bir yıl arasında) verilir ve düzenli olarak yenilenmesi gerekir. Bir sertifikayı görüntülemek için tarayıcı çubuğunuzdaki kilit simgesine tıklayabilir ve “bağlantı güvenli” ve “daha fazla bilgi “yi seçebilirsiniz. İşte GIJN web sitesi için elde ettiğimiz şey.
Bu sertifikanın ücretsiz sertifika otoritesi Let’s Encrypt tarafından 20 Şubat 2023 tarihinde sağlandığını ve 21 Mayıs’a kadar geçerli olacağını görüyoruz. Tarayıcı çubuğunuzdaki kilit simgesinin kilidi açıksa veya kilit simgesi yoksa ve “güvenli değil” ibaresi varsa, sunucuyla iletişimi şifrelemeyen ve gerçekliğini doğrulamayan güvensiz HTTP protokolünü kullanan bir web sitesinde gezindiğiniz anlamına gelir.
İşte bu altyapının farklı yönlerini özetleyen bir diyagram.
gijn.org hakkında öğrendiklerimizi özetleyelim:
İlk olarak 24 Haziran 2009 tarihinde GoDaddy’den satın alınan gijn.org alan adını kullanıyor.
Google Cloud’a ait AS396982’nin bir parçası olan 34.122.151.197 IP adresine sahip bir sunucuda barındırılıyor.
En son 20 Şubat 2023 tarihinde Let’s Encrypt tarafından sağlanan bir HTTPs sertifikası kullanıyor.
Veri Kaynakları
Artık dijital bir altyapının temellerini anladığımıza göre, bunu nasıl daha fazla inceleyebileceğimize bakalım. Daha derinlemesine bir araştırma için kullanılabilecek çok sayıda veri kaynağı vardır. Bu araçlardan bazıları ücretsizdir, bazıları ise ücretli erişim gerektirir. (Bazı platformlar gazeteciler için ücretsiz araştırma erişimi sağlar, bu nedenle sormak için ulaşmaya değer).
Whois ve Geçmiş Whois
Daha önce gördüğümüz gibi, Whois alan adı kayıtları ad, telefon numarası, e-posta veya adres gibi bilgileri görüntüleyebilir ancak bu bilgiler genellikle gizlilik nedenleriyle gizlenir. (AB’nin Genel Veri Koruma Yönetmeliği – GDPR – bu eğilimi hızlandırdı). İyi haber şu ki bazı ticari platformlar yıllardır Whois verilerini topluyor ve bu veritabanlarına erişim sağlayabiliyor. Bu birkaç yönden faydalıdır. İlk olarak, geçmiş verileri kullanarak, alan adı sahibinin herhangi bir gizlilik korumasına sahip olmadığı ana kadar zamanda geriye gidebilir ve bilgilerini bulabilirsiniz. Bu, çoğunlukla uzun süredir, yani en az birkaç yıl veya daha uzun süredir çevrim içi olan web siteleri için kullanışlıdır. Bu sahiplik bilgilerini, aynı kişi veya kuruluş tarafından kaydedilmiş başka alan adlarını bulmak için bir pivot noktası olarak da kullanabilirsiniz.
Örneğin, 2019 yılında Özbekistanlı aktivistleri hedef alan bir kimlik avı ve casus yazılım kampanyasını araştırıyordum. Geçmiş alan adı kayıtlarını kullanarak, kimlik avı için kullanılan bir alan adının b.adan1[@]walla.co.il e-posta adresiyle kayıtlı olduğunu tespit ettim. Saldırganın Whois gizliliğini etkinleştirmeyi düşünmediği ortaya çıktı.
Aynı e-posta adresi kullanılarak kaydedilmiş diğer alan adlarını arayarak, bu çevrim içi kampanyayla ilgili daha birçok alan adı tespit edebildim.
RiskIQ’da b.adan1[@]walla.co.il tarafından kaydedilen alan adlarının listesi. Görüntü: Ekran görüntüsü, RiskIQ
Geçmişe yönelik bilgi sağlayan ticari platformlar arasında RiskIQ, DomainTools, Recorded Future ve Cisco Umbrella sayılabilir. Ücretsiz bir katmanı olan Whoxy.com ve Whoisology.comgibi hizmetler de bazen geçmiş kayıtların parçacıklarını sağlar.
Pasif DNS Bilgileri
Daha önce ayrıntılı olarak açıklandığı gibi, DNS protokolü belirli bir zamanda bir alan adı için sunucunun IP adresini bulmanızı sağlar. Altyapının gelişimini takip etmek için, insanlar ve şirketler geçmiş DNS cevabını kaydetmek için DNS sorgularının ve cevaplarının kayıtlarını toplar. Bu tür veriler pasif DNS olarak adlandırılır. DNS için geçmiş Whois kaydına eşdeğerdir.
Pasif DNS, altyapıyı izlemek için önemli bir araçtır. Birçok kötü amaçlı çevrim içi site geçicidir ve yalnızca birkaç gün veya hafta boyunca yayında olabilir. Bu nedenle, geçmiş verilere sahip olmak, kullanılan alan adları ve sunucular hakkında çok daha iyi bir anlayış kazanmamızı sağlar. Ayrıca dijital altyapıyı uzun bir süre boyunca izlemeyi mümkün kılarak kötü niyetli faaliyetin ne zaman başladığını anlamamıza yardımcı olur.
Pasif DNS verileri tipik olarak IP, etki alanı, başlangıç tarihi ve bitiş tarihi şeklinde sunulur. Çoğu platform IP veya etki alanı başına arama yapılmasına izin verir ve bazı platformlar sadece A/AAAA’dan daha fazla DNS türü içerir.
Yukarıda başlatılan kimlik avı kampanyası örneğine devam edecek olursak, tespit edilen ilk kimlik avı e-postalarından birinde mail.gmal.con.my-id[.]top. alan adına bir bağlantı vardı. Kullanılan sunucuları belirlemek için, Farsight DNSDB gibi bir Pasif DNS Veritabanında bu etki alanı için tüm IP çözünürlüklerini arayabiliriz.
Farsight DNSDB’de mail.gmal.con.my-id[.]top. alan adının IPv4 çözünürlükleri. Resim: Ekran görüntüsü, Farsight DNSDB
Daha sonra saldırı sırasında aynı IP adresinde barındırılan alan adlarını arayabiliriz.
Farsight DNSDB’de 139.60.163.29 IP’si için alan çözümleri örneği. Resim: Ekran görüntüsü, Farsight DNSDB
Pasif DNS sağlayıcıları arasında Farsight DNSDB, DomainTools, Risk IQ, Circl, Zetalytics, Recorded Future, Cisco Umbrella ve Security Trails. bulunmaktadır. Farklı sağlayıcılar pasif DNS veri toplama için farklı veri kaynaklarına sahiptir, bu nedenle çoğu veri seti eksik ve tamamlayıcıdır. Daha eksiksiz bir resim elde etmek için ideal olarak birden fazla hizmet kullanmak istersiniz. Aynı durum geçmiş Whois kayıtları için de geçerlidir.
Sertifika Şeffaflık Veritabanları
Her web sitesinin bir alan adı ve IP adresi olduğu gibi, çoğu da bir HTTPs sertifikası kullanır. Bu, sertifikalarla ilgili bilgileri bir altyapı araştırmasının parçası olarak kullanabileceğimiz anlamına gelir. Sertifikalar, yetkililer tarafından verilen tüm sertifikalar için genel günlükler oluşturan Sertifika Şeffaflığı adlı bir güvenlik standardı sayesinde denetim için kullanılabilir. Censys veya Crt.sh gibi platformlar bu verilere ücretsiz erişim sağlar. Sertifikalar, onları kimin oluşturduğuna dair çok fazla ayrıntı sağlamaz ancak bir alan adının veya alt alan adının belirli bir sertifika tarafından kullanılıp kullanılmadığını doğrulayabilir ve bu tür alan adlarının kullanımına ilişkin bir zaman çizelgesi inceleyebilirsiniz.
Özbekistan’daki aktivistleri hedef alan kimlik avı kampanyasında garant-help[.]com alan adıyla iletişim kuran Android casus yazılımı kullanılmıştı. Crt.sh‘de yapılan hızlı bir arama bize bu alan adının (ve dolayısıyla casus yazılımın) kampanyanın operatörleri tarafından ne zaman aktif olarak kullanıldığına dair bir zaman çizelgesi sunmakta.
Crt.sh içinde garant-help[.]com için sertifika arama. Görüntü: Ekran görüntüsü, Crt.sh
İnternet Genelinde Tarama
İnternet, birbirine bağlı birkaç milyar sistemden oluşmaktadır. Örneğin, en fazla dört milyardan fazla IPv4 adresi var. Günümüzde mevcut bant genişliği ile İnternet sistemlerinin büyük bir bölümünü düzenli olarak taramak mümkün. Bazı şirketler bu tür İnternet genelinde taramaları düzenli olarak yapmakta ve sonuçları içeren veri tabanlarına erişim sağlamakta.
gijn.org’u barındıran IP adresi için Shodan bilgileri. Görüntü: Ekran görüntüsü, Shodan
Tüm hizmetler bu platformlar tarafından taranmadığından ve yalnızca standart talepleri yerine getirdiklerinden, örneğin belirli bir sunucuda yüklü tüm web siteleri hakkında bilgi vermeyeceğinden, taramaların sınırlamaları vardır. Ancak dijital araştırmalarda önemli bir bilgi kaynağı sağlar. İlk olarak, şüpheli olabilecek bir sunucuda nelerin çalıştığına hızlı bir şekilde bakmanıza ve altyapı kurulumu hakkında bir fikir edinmenize olanak tanır. Bazı veritabanları, bir sunucuda daha önce nelerin çalıştığını keşfetmenize olanak tanıyan geçmiş verilere de sahiptir. Son olarak aynı özel kurulumu kullanan ilgili altyapıyı bulmak için karmaşık sorgular geliştirmek için kullanılabilir. Bu son özellik araştırma için kritik olabilir. Amnesty Tech Lab bunu NSO Group’un Pegasus altyapısını birkaç yıl boyunca izlemek için kullandı. Bir gazeteci olarak bu tür izleme ve analizleri gerçekleştirmek için teknik uzmanlarla iş birliği yapmak faydalı olabilir.
İnternet genelinde taramalar için iki ana platform Shodan ve Censys ancak ZoomEye, BinaryEdge, ya da Onyphe gibi diğer platformlar da kullanılabilir. Çoğu verilere ücretsiz erişim sağlar ancak geçmiş veriler ve karmaşık sorgular için ücret alır.
Kötü Amaçlı Faaliyet Yürüten Veritabanları
Kötü niyetli altyapıyı tanımlamak, izlemek veya endekslemek için birçok platform mevcut. Bunlar büyük ölçüde siber güvenlik endüstrisi tarafından kullanılmakta. Bu platformlar aynı zamanda kötü niyetli olmayan veya kötü niyetli bitişik (dezenformasyon gibi) altyapı hakkında da bilgi sahibi olabilir ve bu da onları gazeteciler için faydalı kılar. İşte bu platformlardan bazıları;
VirusTotal.Bu ünlü antivirüs platformu neredeyse 20 yıl önce İspanya’da kuruldu ve daha sonra Google tarafından satın alındı. Herkesin bir dosya göndermesine ve bu dosyanın 70’ten fazla antivirüs tarayıcısı ve URL/alan adı engelleme hizmeti tarafından taranmasına olanak tanır. VirusTotal dünyanın en büyük yasal ve zararlı dosya deposudur ve birçok siber güvenlik şirketine bu dahili virüs veritabanına erişim sağlar. Bir casus yazılım araştırması üzerinde çalışıyorsanız, VirusTotal benzer programları veya ilgili altyapıyı aramak için iyi bir yerdir. Aldığınız bir dosyanın kötü amaçlı olup olmadığını kontrol etmek için VirusTotal’ı kullanırsanız, yüklenen belgelerin daha sonra dünya çapında binlerce kişiye açık olduğunu lütfen unutmayın. Bu yüzden özel bir belge yüklemek kötü bir fikir! Bu tür analizlerde yardımcı olması için uzmanlara ulaşmak daha iyi bir fikirdir.
URLScan. URLScan, kullanıcıların belirli bir URL’yi sorgulamasına ve ardından altyapı ve web sitesi hakkındaki ayrıntıları güvenli bir şekilde görmesine olanak tanıyan açık bir platformdur. Bu platform, şüpheli bir bağlantı tespit ettiğinizde ve bunu güvenli bir şekilde kontrol etmek istediğinizde kullanışlıdır. Ayrıca başka birinin platforma göndermiş olabileceği ilgili URL’leri de bulabilirsiniz. Taramalar genel veya özel olabilir, ancak özel taramalara yalnızca ücretli erişimi olan kullanıcılar için izin verilir.
gijn.org için URLScan sorgusu örneği. Resim: Ekran görüntüsü, URLScan
AlienVault OTX. Bu, kötü niyetli olarak tanımlanmış altyapı hakkında önemli miktarda veri içeren ücretsiz bir veritabanıdır. Veritabanında arama yapmak için bir hesaba bile ihtiyacınız yok, arama çubuğuna bir alan adı veya IP adresi girmeniz yeterli. Örneğin, kötü amaçlı garant-help[.]com alan adı için yapılan bir arama hemen ilgili bir yayına yönlendirdi.
AlienVault OTX’te garant-help[.]com için arama yapın. Görüntü: Ekran görüntüsü, AlienVaultOTX
Aşağıdaki diyagram, dijital altyapının her bir parçasını incelemek için kullanabileceğiniz araç türlerini özetlemektedir.
Dijital altyapıyı araştırmak için metodolojileri ve kaynakları araştırın. Resim: Diyagram, Yazarın izniyle yer verilmektedir.
Vaka Çalışmaları
Mandiant’ın APT1 tehdit grubu hakkındaki raporu. 2013 yılında ABD’li Mandiant şirketi APT1 adlı bir tehdit aktörünün faaliyetlerini Çin Halk Kurtuluş Ordusu’nun 61398 numaralı birimine atfetmiştir. Bu Çinli askeri grup en az 2006’dan beri aktifti ve en az 141 kuruluşun güvenliğinin tehlikeye atılmasına kaynaklık etmişti.
Vietnamlı grup Ocean Lotus’un araştırması. Alman kamu yayıncısı Bayerischer Rundfunk ve Zeit Online’dan gazeteciler, genellikle Vietnamlı yetkililerle bağlantılı olduğu düşünülen bir tehdit grubu olan Ocean Lotus tarafından kullanılan altyapıyı araştırmak için harika bir iş çıkardılar. Bu araştırmada insan kaynağı ile grup tarafından kullanılan alan adları ve sunucuların teknik incelemesi bir arada kullanılmıştır.
Gözetim firması Circles hakkında Citizen Lab raporu. Citizen Lab, İnternet genelinde taramayı kullanarak Circles müşterilerine hizmet vermek için kullanılan yapılandırmayı tespit edebilmiştir. Bu sayede Citizen Lab, İsrailli gözetim şirketinin müşterisi olan 25 hükümeti tespit edebilmiştir.
Togo: Hackers-for-Hire in West Africa Ekim 2021’de Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı Togo aktivistine yönelik casus yazılım saldırısı hakkında bir rapor yayınladı. Bu saldırı daha sonra Innefu Labs adlı Hintli bir şirketle ilişkilendirildi. Buradaki ilişkilendirme, bir saldırının arkasındaki aktörü belirlemek için saldırganın altyapısında yapılan teknik hataların nasıl kullanılacağına dair ilginç bir örnektir.
Ek Kaynaklar
Dijital Tehditler: Siber Araştırmalar Eğitim Kursu
Gazeteciler için Organize Suçları Araştırma Rehberi: Siber Suçlar
GIJN Kaynağı: Dijital Güvenlik
Etienne “Tek” Maynier, Uluslararası Af Örgütü Güvenlik Laboratuvarı’nda güvenlik araştırmacısıdır. Sivil topluma yönelik dijital saldırıları 2016’dan beri araştırıyor ve kimlik avı, casus yazılım ve dezenformasyon kampanyaları üzerine birçok araştırma yayınladı. Kendisine web sitesinden ya da Mastodon‘dan ulaşabilirsiniz.