Strava gibi fitness odaklı sosyal ağ uygulamalarının hayranı mısınız? Yalnız değilsin. Askeri personel bile koşularını takip etmekten ve paylaşmaktan keyif alır. Strava uygulamasının topladığı ve yayınladığı tüm aktivite ve GPS verilerinin her zaman askeri üslerin kesin konumunu ortaya çıkarması dışında kulağa harika geliyor.
Bugün internette herkese açık olan bu tür bilgileri görmek sizi şaşırtabilir. Ancak aşırı paylaşım günlerinde nasıl yaşadığımız düşünülürse, bu bir sürpriz olmamalı. Twitter’da duyuruyoruz ve esasen soyguncuları davet ederek tatil planlarımızla ilgili otomatik yanıtları e-postayla gönderiyoruz. Güvenlik uzmanları buna OSINT (açık kaynak istihbaratı) diyor ve saldırganlar bunu sürekli olarak süreçler, teknolojiler ve insanlardaki güvenlik açıklarını belirlemek ve bunlardan yararlanmak için kullanıyor. OSINT verilerinin toplanması genellikle kolaydır ve süreç hedef tarafından görülmez. (Bu nedenle askeri istihbarat onu HUMIT, ELINT ve SATINT gibi diğer OSINT araçlarıyla birlikte kullanır.)
Güzel haberler? Kullanıcılarınızı korumak için OSINT’e dokunabilirsiniz. Ancak önce, saldırı yüzeyinizin kapsamını yeterince değerlendirmek ve buna göre savunmanızı güçlendirmek için saldırganların OSINT’i nasıl istismar ettiğini anlamalısınız.
OSINT asırlık bir kavramdır. Geleneksel olarak, açık kaynak istihbaratı TV, radyo ve gazeteler aracılığıyla toplandı. Bugün, bu tür bilgiler aşağıdakiler de dahil olmak üzere tüm İnternet’te mevcuttur:
· Facebook, Instagram ve LinkedIn gibi sosyal ve profesyonel ağlar
· Flört uygulamalarında herkese açık profiller
· Etkileşimli haritalar
· Sağlık ve fitness takipçileri
· Censys ve Shodan gibi OSINT araçları
Herkese açık tüm bu bilgiler, insanların maceralarını arkadaşlarıyla paylaşmalarına, belirsiz yerleri bulmalarına, ilaçları takip etmelerine ve hayallerindeki işleri ve hatta ruh eşlerini bulmalarına yardımcı olur. Ama işin bir de başka yönü var. Potansiyel hedeflerin farkında olmadan, bu bilgiler dolandırıcılar ve siber suçlular için de aynı derecede elverişlidir.
Örneğin, sevdiklerinizin uçuşlarını gerçek zamanlı olarak takip etmek için kullandığınız aynı ADS-B Exchange uygulaması, kötü niyetli kişiler tarafından hedeflerini bulmak ve kötü planlar yapmak için kullanılabilir.
OSINT’in Farklı Uygulamalarını Anlamak
Açık kaynak bilgileri yalnızca amaçlananlar için mevcut değildir. Devlet ve kolluk kuvvetleri de dahil olmak üzere herkes ona erişebilir ve kullanabilir. Ucuz ve kolay erişilebilir olmasına rağmen, ulus devletler ve istihbarat teşkilatları, doğru yapıldığında iyi istihbarat sağladığı için OSINT kullanıyor. Ve bunların tümü ücretsiz olarak erişilebilen bilgiler olduğundan, erişimi ve kullanımı tek bir varlığa atfetmek çok zordur.
Aşırılıkçı örgütler ve teröristler, hedefleri hakkında mümkün olduğunca fazla veri toplamak için aynı açık kaynaklı bilgileri silah haline getirebilirler. Siber suçlular ayrıca yüksek oranda hedeflenmiş sosyal mühendislik ve hedef odaklı kimlik avı saldırıları oluşturmak için OSINT’i kullanır.
İşletmeler rekabeti analiz etmek, pazar eğilimlerini tahmin etmek ve yeni fırsatları belirlemek için açık kaynak bilgilerini kullanır. Ancak bireyler bile bir noktada ve çeşitli nedenlerle OSINT gerçekleştirir. Eski bir arkadaş veya favori bir ünlü için Google’da arama yapmak olsun, hepsi OSINT’tir.
Çoklu OSINT Tekniği Nasıl Kullanılır
Evden çalışmaya geçiş kaçınılmazdı, ancak COVID-19 vurduğunda tüm sürecin hızlandırılması gerekiyordu. Kuruluşların geleneksel güvenlik çevresinin dışında, evden çalışan kişilere karşı güvenlik açıklarını ve verileri bulmak, bazen yalnızca hızlı bir çevrimiçi aramadır.
Sosyal ağ siteleri: Siber suçlular, kişisel ilgi alanları, geçmiş başarılar, aile detayları ve çalışanların, başkan yardımcılarının ve hedef kuruluşlarının yöneticilerinin mevcut ve hatta gelecekteki konumları gibi verileri toplayabilir. Bunu daha sonra hedef odaklı kimlik avı mesajları, aramalar ve e-postalar oluşturmak için kullanabilirler.
Google: Kötü niyetli kullanıcılar, belirli BT ekipmanı ve yönlendiriciler, güvenlik kameraları ve ev termostatları gibi IoT cihazlarının belirli marka ve modelleri için varsayılan şifreler gibi bilgileri Google’dan alabilir.
GitHub: GitHub’da yapılan birkaç basit arama, paylaşılan, açık kaynak kodundaki uygulamalar, hizmetler ve bulut kaynakları için kimlik bilgilerini, ana anahtarları, şifreleme anahtarlarını ve kimlik doğrulama belirteçlerini ortaya çıkarabilir. Kötü şöhretli Capital One ihlali, böyle bir saldırının en iyi örneğidir.
Google korsanlığı: Google doking olarak da bilinen bu OSINT tekniği, siber suçluların uygulamalardaki güvenlik açıklarını, bireylerle ilgili belirli bilgileri, kullanıcı kimlik bilgilerini içeren dosyaları ve daha fazlasını bulmak için gelişmiş Google arama tekniklerini kullanmasına olanak tanır.
Shodan ve Censys: Shodan ve Censys, İnternet bağlantılı cihazlar ve endüstriyel kontrol sistemleri ve platformları için arama platformlarıdır. Bilinen güvenlik açıklarına, erişilebilir esnek arama veritabanlarına ve daha fazlasına sahip belirli cihazları bulmak için arama sorguları iyileştirilebilir.
OSINT’in Savunma Uygulamaları İçin Uygulamaları
Halihazırda fırsatları belirlemek ve rakipleri incelemek için OSINT’i kullanan işletmelerin, OSINT uygulamalarını siber güvenliğe genişletmeleri gerekir.
OSINT ÇerçevesiOSINT araçlarının bir koleksiyonu olan , işletmelerin OSINT’in gücünden yararlanmaları için iyi bir başlangıç noktasıdır. Sızma testi yapanların ve güvenlik araştırmacılarının ücretsiz olarak erişilebilen ve potansiyel olarak istismar edilebilir verileri keşfetmesine ve toplamasına yardımcı olur.
Censys ve Shodan gibi araçlar da öncelikle kalem testi için tasarlanmıştır. İşletmelerin İnternete bağlı varlıklarını belirlemelerine ve güvence altına almalarına olanak tanır.
Kişisel verilerin fazla paylaşılması, bireyler ve çalıştıkları kuruluşlar için sorunludur. İşletmeler, çalışanlarını güvenli ve sorumlu sosyal medya kullanımı konusunda eğitmelidir.
Çalışan siber güvenlik farkındalığı eğitimi, en azından altı ayda bir yapılan bir girişim olmalıdır. Habersiz siber saldırılar ve kimlik avı simülasyonları bu eğitim atölyelerinin bir parçası olmalıdır.