CTI Konseptinin Anlaşılması
Günümüzde artan siber tehditler nedeniyle siber güvenlik her zamankinden daha kritik hale geldi. Siber tehdit istihbaratı (CTI), bu tehditlere karşı savunmamızı güçlendirmek için hayati bir araçtır.
Siber Tehdit İstihbaratı, potansiyel veya mevcut siber tehditleri tanımlamak, analiz etmek ve değerlendirmek için kullanılan bilgileri ifade eder. Bu bilgiler kuruluşların siber tehditlerle daha etkili bir şekilde başa çıkmasına yardımcı olur.
Giderek daha karmaşık hale gelen siber saldırılarla karşı karşıya kaldığımız şu günlerde, ileri düzeyde bilgiye sahip olmak, proaktif bir savunma stratejisi oluşturmak için kritik öneme sahiptir. CTI, saldırıların nasıl gerçekleştiğini anlama ve bu saldırılara karşı korunmak için stratejiler geliştirme yeteneğimizi artırır.
Bu bilgiler açık kaynak istihbaratı, insan istihbaratı, teknik istihbarat gibi birçok farklı kaynaktan toplanabilmektedir. Ayrıca özel siber güvenlik firmaları ve devlet kurumları da önemli istihbarat kaynaklarıdır.
Siber Tehdit İstihbaratı veya kısaca CTI, siber tehditleri anlamamıza, önlememize ve bunlara karşı proaktif önlemler almamıza yardımcı olan bilgileri içerir. Günümüzde saldırganlar sürekli olarak yeni saldırı yöntem ve teknikleri geliştiriyorlar. Bu nedenle CTI’nin rolü artıyor. CTI ile risklerimizi yönetirken elde edeceğimiz faydaları iki ana başlıkta toplayabiliriz: Bunlardan birincisi potansiyel tehditlerimizin tespiti, ikincisi ise güvenlik açıklarımızın tespitidir.
Şimdi bunlara daha yakından bakalım.
Potansiyel Tehditleri Belirleme
Açık Kaynak İstihbaratı (OSINT)
OSINT, kamuya açık kaynaklardan toplanan bilgilerin analiz edilmesiyle elde edilen istihbaratı tanımlar. Bu sadece siber güvenlik uzmanları için değil aynı zamanda gazeteciler, araştırmacılar ve diğer birçok profesyonel için de vazgeçilmez bir araçtır.
İnternetten, forumlardan, bloglardan, sosyal medyadan ve diğer birçok kaynaktan bilgi toplayarak potansiyel tehditler hakkında bilgi edinebiliriz. OSINT çoğu zaman saldırganların kullandığı yöntemler, kullandıkları araçlar ve bu araçların nasıl kullanıldığına ilişkin bilgilere ulaşmak için ideal bir kaynaktır.
Peki OSINT için hangi kaynaklar kullanılıyor?
Dijital Medya: Haber siteleri, bloglar, podcast’ler ve çevrimiçi yayınlar.
Sosyal Medya: Twitter, Facebook, LinkedIn, Instagram ve diğer sosyal medya platformları.
Akademik Kaynaklar: Çevrimiçi makaleler, tezler, konferanslar ve seminerler.
Hükümet ve Kamu Kaynakları: Kamu veritabanları, resmi belgeler ve raporlar.
Haritalar ve Coğrafi Bilgi Sistemleri: Google Haritalar, OpenStreetMap ve diğer harita hizmetleri.
Forumlar ve Topluluklar: Derin web veya yüzey web üzerindeki özel forumlar ve topluluklar.
Yukarıda bahsettiğimiz kaynakları birkaç maddeyle özetlemiş olsak da aslında ne kadar büyük bir veri havuzunu kapsadığını fark ettiğinize eminim. Bu devasa veri havuzunda aradığımız şeyi bulmamızı kolaylaştırmak için kullanabileceğimiz araçlar da var:
Arama Motorları: Google, Bing, Yandex ve DuckDuckGo gibi arama motorlarının gelişmiş arama parametrelerinin kullanılması.
Sosyal Medya Araçları: TweetDeck, Social Mention ve diğerleri.
Veritabanları Shodan, Censys ve diğerleri.
Resim ve Video Analizi: Google Görsel Arama ve InVID.
Fark ettiğiniz gibi OSINT, savunma tarafında ve hücumda bizim için baştan sona aynı verilere, kaynaklara ve araçlara sahip. Bu nedenle temel önceliğimiz bu yöntem, araç ve kaynakların sistemli ve düzenli bir şekilde nasıl kullanılacağını öğrenmek ve tehdit aktörlerinden bir adım önde olmak olmalıdır.
Teknik İstihbarat (TECHINT)
Teknik İstihbarat, teknolojik araçlar aracılığıyla toplanan bilgilerin analiz edilmesiyle elde edilen istihbarattır ve kapsamı aslında uydu ve radar verilerinden oluşmaktadır. Bu dersteki konumuz olan Siber Güvenlik’te bu genellikle saldırganların tekniklerini, taktiklerini ve operasyonlarını anlamak için kullanılır.
Günlük siber güvenlik söz konusu olduğunda, TECHINT genellikle kötü amaçlı yazılımların veya sıfır gün güvenlik açıklarının analiz edilmesiyle elde edilir. Saldırganların hangi güvenlik açıklarını kullandığını ve bunları nasıl kullandıklarını anlamamıza yardımcı olur.
TECHINT’i aşağıdaki başlıklar altında da inceleyebiliriz:
Sinyal İstihbaratı (SIGINT): İletişim sinyalleri ve veri aktarımı izlenerek toplanır.
Bilgisayar Ağı İstihbaratı (CNA): Potansiyel siber tehditleri izlemek, analiz etmek ve bunlara karşı önlem almak için kullanılır.
Kötü Amaçlı Yazılım Analizi: Kötü amaçlı yazılımların işlevlerini ve amaçlarını anlamak için derinlemesine araştırmalar.
Kullanılan araç ve yöntemler açısından incelediğimizde şu şekilde bir gruplandırma uygun olacaktır:
Trafik Analizi: Ağ trafiğini izlemek ve şüpheli etkinlikleri tespit etmek için kullanılır.
Korumalı Alan Ortamları: Kötü amaçlı yazılımın davranışını güvenli bir ortamda çalıştırarak analiz etmek için kullanılır.
Honeypot Sistemleri: Saldırganları tespit etmek ve tekniklerini öğrenmek için aldatıcı sistemler oluşturmak.
OSINT Araçları: Açık kaynaklardan siber tehditler hakkında bilgi toplamak için kullanılır.
Her ne kadar bu dersimizde TECHINT’i CTI kapsamında ele alıyor olsak da unutmamamız gereken bir detay var: TECHINT yöntem ve teknikleri, tehdit avcılığı ve olay müdahalesi gibi birçok siber güvenlik sürecinde vazgeçilmez bir konudur.
İnsan Zekası (HUMINT)
HUMINT doğrudan insan kaynağından bilgi toplama eylemidir. Klasik istihbaratta casusluk faaliyetleriyle ilişkilendirilse de siber güvenlikte de benzer taktik ve yöntemler bulunmaktadır.
Güvenlik toplulukları, forumlar veya kapalı ağlar aracılığıyla saldırganların eğilimleri, hareketleri ve planları hakkında bilgi edinmek mümkündür.
Siber dünyada teknik istihbarat yöntemleri sıklıkla ön plana çıkıyor ancak en karmaşık saldırıların bile çoğu zaman insan faktörünü içerdiğini unutmamamız gerekiyor. Bu nedenle HUMINT’in bu alanda anlaşılması ve uygulanması kritik öneme sahiptir.
Konusu insanı konu alan bir çalışmayı birçok başlık altında incelemek kuşkusuz mümkün değildir. Ancak yine de HUMINT kaynağı olarak şu başlıkları kullanabiliriz:
Sosyal Mühendislik: Hedef bireyleri manipüle ederek bilgi toplama veya bir ağa erişim sağlama tekniği.
Derin Web ve Karanlık Web Araştırması: Gizli çevrimiçi forumlarda, pazarlarda ve diğer platformlarda aktif olarak bilgi toplamak.
İçeriden Bilgi Alma: Kurum içinden veya yakından bilgi sağlayan bir kaynaktan bilgi toplanması.
Bu kaynaklardan toplanan veriler aşağıdaki konularda çok faydalı çıktılar üretme potansiyeline sahiptir:
Zayıf Yönlerin Tespiti: Teknik zayıflıklardan daha tehlikeli olan insani zayıflıkları tespit etme yeteneği.
Gelişmiş Tehdit Aktörlerini Anlamak: Aktörlerin motivasyonları, hedefleri ve yöntemleri hakkında fikir edinmek.
Önleyici İstihbarat: Olası tehditleri önceden tespit etme ve önlem alma kapasitesi sağlar.
HUMINT hakkında unutulmaması gereken en önemli detay bu tekniğin saldırganlar tarafından oldukça sık ve profesyonelce kullanılıyor olmasıdır. Siber güvenlik dünyasının tarihi, basit Sosyal Mühendislik çalışmaları ile başlayan ve tüm dünyayı ilgilendiren sonuçlar doğuran birçok olayla doludur. Dolayısıyla bu tekniklere hakim olmak hem hedef olduğumuzu anlamak hem de zayıf noktalarımızı tespit etmek açısından çok önemlidir.
Güvenlik açıkları
Güvenlik Açığı Tarayıcıları
Şu ana kadarki bölümde kendimize dışarıdan bakarak potansiyel tehditlerimizi nasıl tanımlayabileceğimize dair bir fikir edindik. Başka bir deyişle artık saldırganın gözünden nasıl göründüğümüzü biliyoruz. Peki bu bilgiyle bir kişi/grubun hedefli saldırısının merkezinde olduğumuzda, saldırganın işini kolaylaştıracak, bizi zor durumda bırakacak riskleri nasıl bileceğiz?
Öncelikle “Zincir en zayıf halkası kadar güçlüdür” klişesini hatırlamamız gerekiyor. Ne kadar klişe olursa olsun bu basit cümle siber güvenlik söz konusu olduğunda hala geçerliliğini koruyor. Tüm riskleri ortadan kaldırmak her zaman mümkün olmayabilir ancak risklerimizi her zaman bilebiliriz.
Zafiyet tarama sistemleri bu riskleri saldırganlardan önce (en azından onlar kadar) bilmemiz için vazgeçilmez araçlardır. Bu araç ve sistemler kuruluşunuzu sürekli taramak ve olası zayıflıkları size bildirmek için tasarlanmıştır. Tahmin edebileceğiniz gibi bu konuyla ilgili pek çok çözüm var ve hepsinin artıları ve eksileri var.
CVE gibi veritabanları halka açık veritabanları olmasına rağmen, bu veritabanlarında ( https://cve.mitre.org/ ) yayınlanan güvenlik açıklarından etkilenen yazılım/donanım/hizmetlerinizin olup olmadığını 7/24 izlemek oldukça karmaşık ve zahmetli bir süreçtir. Zafiyet tarayıcıları bu konuda en önemli yardımcımızdır.
Bir siber güvenlik profesyoneli olarak görevimiz öncelikle ihtiyaçlarımızı doğru belirlemek ve ardından bu ihtiyaçlara en iyi cevap veren ürün veya ürünleri belirlemektir (evet bazen bunu tek bir ürünle başarmak mümkün olmuyor).
Tehdit Raporları
Kullandığımız güvenlik ürünlerinin üreticileri, güvenlik firmaları ve araştırmacılar sıklıkla güncel tehditlere ilişkin raporlar yayınlamaktadır. Bu raporlar, aktif tehditler ve bu tehditlerin hedeflediği güvenlik açıkları hakkında bilgi sağlar.
Kamuya açık olan bu raporların dışında kurumunuza özel araştırma ve izleme yapan, kurumunuza özel bilgi veren firmalar da bulunmaktadır.
Tehdit raporları, belirli tehdit aktörlerinin kim olduğunu, hangi motivasyonlara sahip olduklarını ve hangi araçları, taktikleri ve prosedürleri (TTP) kullandıklarını ayrıntılarıyla anlatır.
Raporlarda, saldırganların hedef aldığı spesifik sistem, uygulama ve platformlar, aktif olarak hedeflenen güvenlik açıkları ve bu açıklardan nasıl yararlanıldığı, ne tür saldırı yöntemleri kullanıldığı, hangi aşamalardan oluştuğu, bu saldırıların nasıl tespit edilebileceği ve bu saldırıların nasıl tespit edilebileceği hakkında detaylı bilgiler yer alıyor. önlenmiş.
Tehdit raporları, siber güvenliğe proaktif bir yaklaşım benimsemek için çok önemlidir. Güncel tehdit bilgileri, kuruluşların olası saldırılara karşı daha hazırlıklı olmalarını ve kaynaklarını en etkin şekilde kullanmalarını sağlar. Ayrıca bu raporlar, kolektif savunma kapasitesinin oluşturulmasına yardımcı olan sektör çapında bilgi paylaşımı ve işbirliği için bir araçtır.
Bilgi Paylaşım Platformları
Bilgi paylaşım platformları, özellikle siber güvenlik alanında tehdit bilgilerinin hızlı ve etkili bir şekilde paylaşılmasına olanak sağlıyor. Bu platformlar kuruluşların potansiyel siber tehditlere karşı daha hızlı ve daha bilinçli tepki vermesini sağlar.
Bu alanda uzmanlaşmış pek çok hizmet var, fikir vermesi açısından birkaçını paylaşalım:
MISP (Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu ve Tehdit Paylaşımı)
Açık kaynaklı bir tehdit bilgi paylaşım platformudur. Tehdit göstergeleri, taktikleri, teknikleri ve saldırı prosedürleri hakkında detaylı bilgiler içerir.
FS-ISAC (Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi)
Finans sektörüne yönelik bilgi paylaşımını sağlayan bir platformdur. Finansal kurumlar arasında siber tehdit bilgilerinin paylaşılmasını kolaylaştırır.
OTX (Açık Tehdit Değişimi)
AlienVault tarafından sağlanan bu platform, kullanıcıların tehdit göstergelerini, analizlerini ve tartışmalarını paylaşmalarına olanak tanıyor.
Bu tür platformları kullanmanın birçok avantajı vardır. Şimdi bunlara bir göz atalım:
Otomasyon: Modern platformlar tehdit göstergelerini otomatik olarak toplar, analiz eder ve paylaşır.
Standardizasyon: Standart formatlar genellikle bilgi paylaşımı için kullanılır. Örneğin, STIX (Yapılandırılmış Tehdit Bilgisi İfadesi) ve TAXII (Güvenilir Otomatik Gösterge Bilgisi Değişimi) gibi protokoller, tehdit bilgilerinin tutarlı ve uyumlu bir şekilde paylaşılmasına olanak tanır.
Gizlilik ve Anonimlik: Birçok platform, kuruluşların bilgi paylaşırken kimliklerini gizlemelerine olanak tanır. Bu özellikle hassas bilgileri paylaşırken önemlidir.
İşbirliğine Dayalı Analiz: Bazı platformlar kullanıcıların tehdit bilgileri üzerinde işbirliği içinde çalışmasına olanak tanır, böylece topluluk tehditlere ilişkin daha geniş bir bakış açısına sahip olur.
Özelleştirme: Kuruluşlar tehdit bilgilerini ihtiyaçlarına ve sektör özelliklerine göre filtreleyebilir.
Sizin gibi birçok güvenlik profesyonelinin tespit ettiği bulguların belgelenmiş bir şekilde paylaşıldığı bu ortamların önemini hemen anladığınızı düşünüyoruz. Size düşen, hangi kaynaktan hangi veriyi nasıl ağırlıklandıracağınızı doğru belirlemek ve süreçlerinize entegre etmek.
Darkweb’e Giriş
DarkWeb nedir?
Karanlık ağı izleme konusuna girmeden önce, karanlık ağın ne olduğunu hızlıca öğrenelim.
Darkweb, İnternet’in genellikle standart tarayıcılar ve arama motorları aracılığıyla erişilemeyen gizli bir parçasıdır. Darkweb’e erişim, özel tarayıcılar (örn. Tor Tarayıcı) ve teknolojiler kullanılarak sağlanır.
En belirgin özelliklerinden biri de kullanıcıların ve web sitelerinin anonim kaldığı bir ortam sunmasıdır. Bu, hem meşru hem de yasadışı faaliyetler için bir yol sağlar.
Darkweb sitelerine erişim Tor (The Onion Router) gibi özel ağlar aracılığıyla sağlanmaktadır. Bu ağlar kullanıcıların gerçek IP adreslerini gizleyerek anonimlik sağlar.
Darkweb siteleri genellikle “.onion” uzantısına sahiptir ve yalnızca Tor tarayıcısı aracılığıyla erişilebilir.
Darkweb’de birçok farklı içerik var. Bunlar arasında siyasi aktivizm, sansür kaçakçılığı, gazetecilik ve daha fazlası gibi meşru içerikler bulunsa da ne yazık ki Darkweb aynı zamanda yasa dışı faaliyetler, uyuşturucu ticareti, silah satışı, siber suçlar ve çok daha olumsuz içerikler için de kullanılıyor.
Siber suçlular için popüler bir alan olduğundan bu bölgede gezinirken son derece dikkatli olunmalıdır. Kötü amaçlı yazılımlar, sahte siteler ve diğer tehditler ziyaretçiler için sürekli bir risk oluşturur.
Darkweb, internetin buzdağının yüzeyinin hemen üzerindeki kısmına benzetilebilir. “Surface Web” olarak adlandırılan internet günlük olarak kullandığımız internetin sadece küçük bir kısmını oluştururken, Deep Web ve Darkweb internetin daha büyük ve ulaşılması zor kısımlarıdır. Bu kavramların bilinçli ve etik kullanımı özellikle siber güvenlik profesyonelleri için önemlidir.
Peki, “Surface Web”, “Deep Web” ve “Dark Net” olmak üzere üç farklı kavramdan bahsettik. Bunların neler olduğuna kısaca göz atmak oldukça faydalı olacaktır.
Yüzey Ağı
Günlük olarak kullandığımız ve standart web tarayıcılarıyla erişebildiğimiz web sitelerini kapsar. Örneğin haber siteleri, sosyal medya platformları, online alışveriş siteleri vb.
Surface Web’deki bilgilere erişim standart arama motorları (Google, Bing, Yahoo vb.) aracılığıyla mümkündür.
Genellikle kaydedilen ve kamuya açık olan bilgileri içerir. İçeriğin çoğu halka açıktır.
Derin internet
İnternetin standart arama motorları tarafından indekslenmeyen kısmıdır. Dolayısıyla doğrudan erişim bağlantısı olmadan bu içeriklere ulaşmak zordur.
Deep Web içeriğine doğrudan bağlantılar, veritabanı sorguları veya özel ağlar aracılığıyla erişilebilir. Örneğin akademik veritabanları, özel sosyal medya profilleri, kişisel e-posta gelen kutuları ve bazı devlet kaynakları Deep Web’e dahil edilmektedir.
Deep Web internetin büyük bir kısmını oluşturuyor. Bu yalnızca dizine eklenmeyen veya özel izinlerle erişilmeyen bilgileri içerir. Her ne kadar “derin” bir isme sahip olsa da içeriğin büyük bir kısmı masumdur.
DarkWeb
Özel tarayıcılar ve ağlar (örn. Tor, I2P) kullanılarak erişilen internetin anonim kısmı. Genellikle yasa dışı faaliyetlere ev sahipliği yapıyor ancak aktivizm ve sansürsüz iletişim gibi meşru kullanımları da var.
Darkweb’e erişim özel tarayıcılar (örn. Tor Tarayıcı) kullanılarak sağlanır. Bu siteler genellikle “.onion” gibi özel alan adı uzantılarına sahiptir.
Darkweb, kullanıcılara ve operatörlere yüksek derecede anonimlik sağlar. Bu, hem meşru hem de yasadışı faaliyetler için bir yol sağlar. Uyuşturucu ticareti, silah satışı, siber suç faaliyetleri ve benzeri yasa dışı faaliyetler için kullanılsa da gazetecilerin, aktivistlerin ve baskıcı rejimler altındaki bireylerin sansürden kaçmaları için önemli bir platform da olabilir.
Siber Güvenlikte DarkWeb
Dark Web’in tehdit aktörleri açısından önemini gördük. İşimiz tehditleri yönetmek ve önlem almak olduğundan bu alan bizim için çok önemli. Peki DarkWeb’i hangi amaçlarla kullanabiliriz?
Tehdit İstihbaratı Kaynağı
Darkweb, siber suçluların ve hacker gruplarının faaliyet gösterdiği ana platformlardan biridir. Bu nedenle güvenlik uzmanları tehditlerin erken tespiti ve saldırı teknikleri için buradaki bilgilere başvurabilirler. Örneğin saldırganlar, Y şirketine ait bir sisteme uygulamayı kullanarak erişim sağladıklarını söylediklerinde, X uygulamasını bizim mi yoksa bir iş ortağımızın mı kullandığını bilmemiz/tespit etmemiz gerekiyor.
Sızdırılan Bilgilerin Tespiti
Darkweb’de büyük veri ihlallerinden sızan bilgiler sıklıkla satışa sunuluyor. Aldığımız tüm önlemlere rağmen gözden kaçırdığımız bir detay nedeniyle siber saldırının hedefi haline geldiysek bunu ilk fark edebileceğimiz yer DarkWeb’dir. Kuruluşumuzun, çalışanlarımızın veya müşterilerimizin bilgilerinin bu platformlarda olup olmadığını kontrol ederek erken tepki verebiliriz.
Bu noktada iyi anlamamız gereken bir detay var. DarkWeb’de dolaşan veriler doğrudan kurumumuzla ilgili olmayabilir ancak bizim için ciddi riskler oluşturabilir. Örneğin bir çalışanın evinde kullandığı bilgisayardan bazı verilerin sızdırıldığını düşünün. Bu veriler, çalışanın kişisel hesapları vb. için kullandığı şifreleri içerir. Kurum içinde kullandıkları şifrelerle aynı olabilir. Ya da bir iş ortağına veya onun çalışanlarından birine ait erişim bilgileri, iş için kullandığımız ortak hizmetler/sistemler üzerinden önce o kuruma, ardından sistemimize yetkisiz erişime yol açacak zincirleme bir felaketin sinyali olabilir.
Sıfır Gün Güvenlik Açıkları ve İstismarlar
Darkweb üzerinde henüz kamuya açıklanmamış güvenlik açıkları (sıfır gün) ve bu açıkları kullanarak sistemlere sızmak için hazırlanan istismarlar satışa sunulabiliyor. Bu, DarkWeb’de neredeyse günlük bir rutindir ve her gün onlarca uygulama açıkları ve bunları istismar eden yöntemler/yazılımlar satışa sunulmaktadır. Bu piyasayı doğru takip etmek, kurumumuzu etkileyebilecek açıkları tespit edip önlem almak çok kritik. Çoğu durumda saldırganların, üreticinin güvenlik açığını keşfetmesi ile yamanın yayımlanması ve yamanın kurumlar tarafından uygulanması arasında geçen birkaç günü iyi değerlendirdiği görülüyor.
X Hizmet Olarak
Darkweb, fidye yazılımı saldırıları ve DDoS hizmetleri gibi siber suç hizmetlerinin satıldığı bir pazar haline geldi. Güvenlik uzmanları bu tür hizmetlerin satışını izleyerek potansiyel tehditleri önceden tespit edebilir.
Aktivist ve Asi Gruplar
Baskıcı rejimlerin veya sansürün olduğu bölgelerde aktivistler ve isyancı gruplar Darkweb’i iletişim ve organizasyon için kullanabilir. İşinizin kapsamı ya da sadece kurumunuzun coğrafi konumu vb. nedenlerden dolayı doğrudan bu kuruluşların hedefi olabilirsiniz. Bu grupların hedef kapsamına girdiğinden dolayı zor anlar yaşayabilirsiniz. Örneğin aktivist bir grup herhangi bir sebeple ülkenizi hedef alabilir ve sırf bu ülkede iş yapan bir kurum olduğunuz için olası bir DDoS saldırısının hedefi olabilirsiniz. Bu tür faaliyetler hakkında önceden bilgi sahibi olmak, önlem almanız için size zaman kazandıracaktır.
Gelişmiş Teknik Bilgi Paylaşımı
Darkweb’de siber saldırganlar arasında gelişmiş teknik bilgiler paylaşılıyor. Bu, güvenlik uzmanlarına saldırganların kullanabileceği yeni teknikleri ve yöntemleri anlama fırsatı sağlar.
Tor, I2P, Freenet
Darkweb ve gizli internet hizmetlerinin altında yatan teknolojiler, kullanıcılara anonimlik ve gizlilik sağlayacak şekilde tasarlanmıştır. Bu amaca hizmet etmek için yola çıkan birçok proje olsa da en sık kullanılan teknolojiler Tor, I2P ve Freenet’tir. Şimdi özelliklerine bir göz atalım:
Tor
Tor, kullanıcıların internette anonim olarak gezinmesine olanak tanıyan ücretsiz bir yazılımdır. “Onion Router” olarak da bilinen katmanlı şifreleme yöntemi sayesinde kullanıcının IP adresi birden fazla rastgele düğüm arasında yönlendirilir.
Tor ağında hareket eden trafik farklı düğümlerden şifreli bir şekilde geçer ve rotadaki bu düğümlerin trafiğin gerçek kaynağı hakkında hiçbir bilgisi yoktur. Bu çalışma mantığı nedeniyle saldırganlara hatırı sayılır bir anonimlik sağlar.
Tor, anonim web taraması, engellenen sitelere erişim ve “.onion” uzantılı özel web sitelerine erişim için kullanılan tarayıcı tabanlı bir sistemdir.
I2P (Görünmez İnternet Projesi)
I2P, anonim ve güvenli bir iletişim katmanı oluşturmayı amaçlayan bir protokoldür. Tor’un aksine, özellikle eşler arası iletişim için tasarlanmıştır.
Tor’a benzer şekilde I2P, kullanıcıların internet trafiğini şifreler ve bu trafiği dünya çapındaki gönüllüler tarafından işletilen bir düğüm ağı üzerinden yönlendirir. Ancak I2P Tor’un aksine, trafik yönlendirmesi için merkezi bir dizin yerine dağıtılmış bir karma tablo (DHT) kullanır. Bu özellik, TOR’daki gibi merkezi bir yapı kullanılmadığından I2P trafiğinin sansürlenmesini veya engellenmesini daha da zorlaştırır.
I2P ayrıca Tor’dan farklı olarak katmanlı bir mimari kullanır. Bu, ağ üzerinde farklı türde uygulamaların çalışabilmesini sağlar. Tor esas olarak web’de gezinmek için kullanıldığından, bu onu Tor’dan daha çok yönlü hale getirir.
Freenet
Freenet, kullanıcıların dosyaları paylaşmasına ve web içeriğini anonim olarak yayınlamasına olanak tanıyan bir platformdur. Dosya paylaşımı, anonim web siteleri, forumlar.
Dağıtık depolama yapısına sahiptir. Yani dosyalar parçalara bölünür ve birden fazla bilgisayarda saklanır. Yüksek şifreleme standartlarına sahiptir. Kullanıcıların içerik oluşturup paylaşabilecekleri bir platform sunarak içeriği sansüre karşı bağışık hale getirir.
Yukarıdaki görsel ve açıklamalarda da görebileceğimiz gibi bu hizmetlerin her biri çalışma yöntemleri açısından farklılık gösterse de tehdit aktörlerine konforlu bir çalışma alanı sunuyor. Bu nedenle güvende kalabilmek için bu teknolojileri bilmemiz ve bu ağlarda olup bitenleri takip etmemiz hayati önem taşıyor.
Darkweb’i İzleme
Darkweb’de tehdit istihbaratı toplamak, siber güvenlik profesyonelleri için önemli bir araştırma alanıdır. Güvenlik uzmanları için buradan gelen bilgilerin takip edilmesi, tehditlerin erken aşamada tespit edilmesi ve önlem alınması açısından kritik önem taşıyor.
Karanlık ağın derinliklerindeki etkinlikleri manuel olarak izlemek hem zaman alıcıdır hem de çok geniş bir alanda etkili izleme sağlamak neredeyse imkansızdır. Bu nedenle, bu zorlukların üstesinden gelmek için otomatik izleme araçları ve teknikleri kullanılmaktadır.
Karanlık ağın derinliklerindeki etkinlikleri manuel olarak izlemek hem zaman alıcıdır hem de çok geniş bir alanda etkili izleme sağlamak neredeyse imkansızdır. Bu nedenle, bu zorlukların üstesinden gelmek için otomatik izleme araçları ve teknikleri kullanılmaktadır.
Web Tarayıcıları
Özel olarak yapılandırılmış web tarayıcıları, Darkweb sitelerini programlı ve otomatik olarak ziyaret edebilir ve içerik toplayabilir. Bu tarayıcılar, özel “.onion” uzantılarına sahip siteleri keşfeder ve bu sitelerdeki bilgileri düzenli olarak taramak ve dizine eklemek için kullanılır. Bu şekilde elde edilen veriler çeşitli dil ve metin analiz araçlarından geçirilerek sonuçlara ulaşılır.
Dil ve Metin Analizi Araçları
Toplanan verileri analiz etmek için doğal dil işleme (NLP) ve diğer metin analiz tekniklerini kullanır. Bu araçlar, özellikle belirli anahtar kelimeleri, konuları veya eğilimleri ararken son derece faydalıdır.
Tehdit İstihbaratı Platformları
Bu platformlar yukarıda iki başlıkta özetlediğimiz çalışmalar için profesyonel ekiplerle çalışmaktadır. Çeşitli kaynaklardan toplanan verileri birleştirir ve analiz eder. Örneğin Insight, Recorded Future, FE Intelligence, Crowdstrike gibi platformlar, Darkweb’den gelen verileri diğer kaynaklardan gelen istihbaratla birleştirerek geniş bir tehdit ortamı sağlıyor. Platformun özelliklerine göre size özel raporlamalar yapabilirler. Bu sayede herhangi bir geliştirme/operasyon çabası harcamanıza gerek kalmadan kurumunuz, çalışanlarınız ve iş ortaklarınızın başına gelenlerden gerçek zamanlı olarak haberdar olabilirsiniz.
Tor Ağına Bağlanma
Linux (Ücretsiz)
Ubuntu standart depolarında Tor’un eski bir sürümü var ve bu size sorun yaratacaktır. Bu nedenle torproject.org adresindeki kurulum talimatlarını takip ederek ilerleyeceğiz.
dpkg --print-architecture
APT varsayılan olarak HTTP’yi kullanırken TOR depoları HTTPS’yi kullanır. Bu nedenle APT paket yöneticisinin HTTPS kullanabilmesi için sisteminize gerekli bir paketi kurmamız gerekiyor:
apt install apt-transport-https
Öncelikle mevcut mimarimizi öğrenip not almamız gerekiyor:
dpkg --print-architecture
Laboratuvar ortamımızda bu komutun çıktısı amd64 olarak döndü ve bunu not ettik. Artık torproject’in repo’larını sisteme tanıtabiliriz ( Az önce elde ettiğimiz amd64 bilgisini arch= parametresinde tanımladığımızı unutmayın.
echo "deb [arch= amd64 signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org focal main " >> /etc/apt/sources.list.d/tor.list
echo "deb -src [arch= amd64 signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org focal main " >> /etc/apt/sources.list.d/tor.list
Bu iki komutu sırasıyla çalıştırdığımızda /etc/apt/sources.list.d/ dizini altında tor.list dosyasını oluşturduk ve ihtiyacımız olan tanımları bu dosyaya yazdık.
Bir sonraki aşamada yeni eklenen bu kaynaklara ilişkin imza dosyasını sisteme eklememiz gerekiyor:
wget -qO- https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --dearmor | tee /usr/share/keyrings/tor-archive-keyring.gpg >/dev/null
Artık bu sorunu çözdüğümüze göre önce apt veritabanını güncelleyebilir, ardından tor core paketini yükleyip tor hizmetini çalıştırabiliriz:
apt update apt install tor deb.torproject.org-keyring
Artık Tor Core hizmetini çalıştırabiliriz:
systemctl start tor
Son olarak hizmetin çalıştığından emin olmak için aşağıdaki komutu çalıştırabilirsiniz:
sudo systemctl status tor
Her şey yolundaysa aşağıdaki gibi bir çıktıyla karşılaşacaksınız. “active: active” ibaresi hizmetin sorunsuz çalıştığını gösterir.
Artık Tor Core sorunsuz çalıştığına göre Tor Tarayıcıyı yükleyebiliriz. Bunun için öncelikle kullanıcı haklarına yöneliyoruz. Tor Tarayıcıyı root olarak çalıştırmanız kesinlikle önerilmez.
wget https://www.torproject.org/dist/torbrowser/12.5.2/tor-browser-linux64-12.5.2_ALL.tar.xz
İndirdikten sonra arşivi açmamız gerekiyor:
tar -xf tor-browser-linux64-12.5.2_ALL.tar.xz
Daha sonra arşivin açıldığı dizine giderek start-tor-browser.desktop scriptini çalıştırıyoruz ve işlem tamamlanıyor:
cd tor browser ./start-tor-browser.desktop
Her şey yolunda gitseydi Tor Tarayıcı bizi aşağıdaki gibi bir ekran görüntüsüyle karşılamalıydı:
Connect butonuna bastıktan sonra .onion uzantılı adreslere ulaşabileceğiz.
Mac os işletim sistemi
MacO’lar için Tor’u yüklemek çok kolaydır, sadece “https://www.torproject.org/download/” adresine gidin, aşağıdaki ekrandan MacOs paketini seçin, DMG paketini açın ve Uygulama klasörüne taşıyın:
TorBot
Tehdit istihbaratı platformlarının dışında kendi DarkWeb istihbarat hizmetinizi oluşturmak istiyorsanız daha önce Python derslerinde gösterdiğimiz gibi kendi tarayıcı araçlarınızı geliştirebilirsiniz.
Bu dersimizde yine Python ile geliştirilen ve açık kaynak olarak dağıtılan TorBot uygulamasını kullanacağız. TorBot, OWASP tarafından Darkweb hakkında bilgi toplamak için geliştirilen açık kaynaklı bir araçtır. “.onion” uzantılı siteleri tarayıp bilgileri indeksleyerek Tor ağındaki gizli servisleri keşfetmek için kullanılır.
Kurulumu ve kullanımı oldukça basit olan bu uygulama ile Tor ağında çalışan örümcekleri birkaç adımda çalıştırabilir ve Tor ağını belirli anahtar kelimeler için tarayabilirsiniz. (TorBot bu kursun hazırlandığı ve geliştirilmeye devam edildiği dönemde aşağıdaki fonksiyonları yerine getirebiliyordu.)
TorBot’u çalıştırmak için,
Firefox Monitörü
Firefox Monitor, 2007 yılından bu yana indekslediği veriler içerisinde sağladığınız e-posta adresiyle ilgili bir sızıntı olup olmadığını sorgulamanızı sağlayan ücretsiz bir hizmettir. Python kursunda öğrendiklerimiz ile hızlı ve kolay bir şekilde bir script yazabilirsiniz. Çalışanlarınızın bilgilerini sorgular.
Hatta bu adresleri Firefox monitör hizmetine kaydedebilir ve herhangi bir sızıntı durumunda alarm vermesini sağlayabilirsiniz.
Kötü Amaçlı Yazılımlar, IOC’ler, Tehdit Grupları
Bu dersimizde Malware, IOC, Tehdit Grupları gibi kavramlara odaklanacağız. Bu kavramlar, güvenlik profesyonellerinin tehdit istihbaratından olay müdahalesine kadar tüm süreçlerde aynı dili kullanmasını sağlar.
Şimdi Kötü Amaçlı Yazılımın ne olduğuyla başlayalım:
Kötü amaçlı yazılım
“MALicious softWARE” (kötü amaçlı yazılım) ifadesinin kısaltmasıdır. Bilgisayarlara, sunuculara, mobil cihazlara ve bilgi sistemlerine zarar vermek, bu sistemleri istenmeyen şekillerde kullanmak veya hem kişi hem de kuruluşların hassas verilerini çalmak amacıyla tasarlanmış yazılımlardır.
Kötü amaçlı yazılımın birçok farklı türü ve çeşidi vardır. En yaygın kötü amaçlı yazılım türleri şunlardır:
Virüs: Diğer programlara bulaşan ve bu programlar çalıştırıldığında etkinleşen kötü amaçlı yazılımdır.
Solucan: Kendi kendine çalışabilen ve sistemden sisteme yayılabilen bir kötü amaçlı yazılım türüdür. Solucanlar ağları kullanarak diğer bilgisayarlara yayılır.
Truva Atı: Yararlı veya eğlenceli gibi görünen ancak aslında kötü amaçlı işlevlere sahip yazılım.
Fidye yazılımı: Bir cihazı veya üzerindeki dosyaları kilitleyen ve dosyaların veya cihazın kilidini açmak için kullanıcıdan fidye talep eden kötü amaçlı yazılımdır.
Casus yazılım: Kullanıcının bilgisi dışında bilgi toplayan ve bu bilgiyi üçüncü şahıslarla paylaşan yazılımdır.
Reklam Yazılımı: İstenmeyen reklamlar görüntüleyerek veya tarayıcı ayarlarını değiştirerek kullanıcının internet deneyimini bozan yazılım.
Keylogger: Kullanıcının klavye tuş vuruşlarını kaydeden ve bu bilgiyi kötü niyetli kişilere gönderen yazılım.
Botnet: Virüs bulaşmış birçok cihazın merkezi bir komuta ve kontrol sunucusu tarafından kontrol edildiği ağlar. Bu ağlar genellikle DDoS saldırıları, spam gönderme ve diğer kötü amaçlı faaliyetler için kullanılır.
Rootkit: Sistemin daha derin düzeylerine (genellikle işletim sistemi çekirdeğine) sızarak varlığını gizleyen ve kötü amaçlı etkinlikleri maskeleyen yazılım.
Bu tanımlara tüm kötü amaçlı yazılımları dahil etmek mümkün olmasa da, kötü amaçlı yazılımlar burada listelediğimiz birçok başlığın kapsamına girebilir.
Kötü amaçlı yazılımlar genellikle kullanıcıları kandırarak, güvenlik açıklarından yararlanarak veya başka kötü amaçlı yazılımlar tarafından yüklenerek bir sisteme bulaşır. Bu nedenle güncel antivirüs yazılımı kullanmak, yazılımı ve işletim sistemini düzenli olarak güncellemek ve şüpheli e-posta eklerine veya bağlantılarına tıklamamak gibi en iyi uygulamaları benimsemek önemlidir.
IOC
IOC, “Uzlaşma Göstergesi”nin kısaltmasıdır. Siber güvenlikte IOC, bir bilgisayar ağının veya sisteminin kötü niyetli etkinliklerin etkisi altında olup olmadığını belirlemeye yardımcı olan teknik verileri ifade eder.
IOC’ler, erken müdahale ve etkili bir müdahale stratejisi oluşturmak için kritik olan bir güvenlik olayının veya ihlalinin ilk işaretlerini tespit etmek için kullanılır. Ayrıca bu belirtiler saldırganın taktiklerini, tekniklerini ve prosedürlerini (TTP) anlamak için de kullanılabilir.
IOC örnekleri şunları içerir:
IP Adresleri: Kaynağına veya hedefine göre şüpheli veya kötü amaçlı trafiği tespit etmek için kullanılır.
URL’ler ve Etki Alanı Adları: Kötü amaçlı yazılımın komuta ve kontrol sunucularıyla iletişim kurduğu veya kötü amaçlı içerik dağıttığı bilinen URL’ler veya etki alanları.
E-posta İmzaları: Kötü amaçlı e-posta kampanyalarını tespit etmek için kullanılan bu imzalar genellikle e-postanın başlığını, gönderenin adresini veya e-postada bulunan diğer benzersiz özellikleri içerir.
Dosya Karma Değerleri: Kötü amaçlı yazılım veya şüpheli dosyaları tespit etmek için kullanılır. MD5, SHA-1 veya SHA-256 gibi karma algoritmalarla oluşturulan benzersiz değerleri içerir.
Dosya Yolları ve Adları: Sisteme sızan kötü amaçlı dosyaların veya şüpheli dosyaların konumları.
Kötü amaçlı yazılım kalıntıları: Belirli izler, özellikle kayıt defteri anahtarları, dosya adları ve diğer sistem değişiklikleri.
IOC’ler, tehdit istihbaratı platformları, güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri, ağ izleme araçları ve diğer güvenlik araçları tarafından kullanılır. Ancak IOC’ler sürekli olarak değişebilir, bu nedenle güvenlik ekiplerinin bu işaretleri sürekli güncel tutması ve yeni tehditleri sürekli izlemesi gerekir.
Tehdit Grupları
Siber güvenlik bağlamında “Tehdit Grupları”, belirli bir amaca veya gündeme hizmet etmek için hareket eden ve genellikle ortak taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaşan organize kötü niyetli aktör gruplarıdır.
Bu grupların farklı motivasyonları olabilir: devlet destekli siber casusluk, mali kazanç, aktivist hedefleri veya ideolojik nedenler. Tehdit gruplarının varlığını ve faaliyetlerini anlamak, bir kuruluşun siber savunma stratejisinin önemli bir parçasıdır.
Tehdit grupları hakkında bilmeniz gereken bazı önemli noktalar şunlardır:
Devlet Destekli Gruplar
Bu gruplar genellikle ulusal hükümetler tarafından desteklenir ve ulusal güvenlik, siber casusluk veya siber savaş amacıyla hareket eder. Bunlar, genellikle yüksek profilli hedeflere karşı oldukça karmaşık saldırılar gerçekleştirme kapasitesine sahiptir.
Finansal Motivasyona Sahip Gruplar
Bu grupların temel amacı genellikle maddi kazanç elde etmektir. Fidye yazılımı saldırıları, banka hırsızlığı veya kredi kartı bilgilerinin çalınması bu tür grupların ortak eylemleridir.
Hacktivistler
Siyasi veya toplumsal amaçlara inanan kişi veya gruplar, hedeflerine mesaj göndermek amacıyla siber saldırılar gerçekleştirmektedir.
Terörist Gruplar
Bu gruplar siber saldırıları ideolojik veya politik amaçlarına hizmet etmek için kullanabilirler.
Suçlular
Bireysel suçlular veya daha organize suç grupları mali kazanç elde etmek için siber suç işleyebilir.
Tehdit grupları genellikle belirli TTP’leri benimser. Bu, güvenlik araştırmacılarının ve analistlerinin bu grupları ve yürüttükleri kampanyaları tanımlamalarına yardımcı olabilir. Örneğin, bir tehdit aktörü belirli bir kötü amaçlı yazılım ailesini kullanıyor olabilir veya belirli bir ağ altyapısına sahip olabilir.
Bilgi güvenliği topluluğu, tehdit gruplarını izler ve onların eylemleri, kullandıkları araçlar ve hedefledikleri sektörler hakkında bilgi toplar ve paylaşır. Bu, topluluğun bu tehditlere karşı daha etkili bir şekilde savunma yapmasına yardımcı olur.
Sonuç olarak, tehdit aktörlerinin eylemlerini anlamak ve izlemek, siber güvenlik stratejisinin önemli bir parçasıdır ve kuruluşların kendilerini daha iyi korumalarına yardımcı olabilir.
MITRE
MITRE, ABD’de faaliyet gösteren, kar amacı gütmeyen bir kuruluştur ve bu kuruluş, savunma, ulusal güvenlik ve siber güvenlikle ilgili birçok projede hükümete danışmanlık yapmaktadır. MITRE, siber güvenlik topluluğu için birçok farklı çerçeve oluşturmuştur ancak ” MITRE Çerçevesi ” söz konusu olduğunda en sık başvurulan çerçeve ” ATT&CK “dir.
MITRE ATT&CK (Düşman Taktikleri, Teknikleri ve Ortak Bilgi) , siber tehditlerin taktiklerini, tekniklerini ve prosedürlerini (TTP) tanımlamak ve sınıflandırmak için kullanılan bir bilgi tabanıdır . ATT&CK, saldırganın hedefe ulaşmak için hangi aşamalardan geçtiğini ve bu aşamalarda hangi teknikleri kullandığını anlamaya yardımcı olur.
ATT&CK matrisi birçok farklı taktik (sütun) ve bu taktikler altında ortaya çıkan teknikleri (satırlar) içerir:
Taktikler: Saldırganın amacına ulaşmak için izlediği adımları temsil eder. Örneğin, ilk erişim, yürütme, hakların yükseltilmesi, veri çıkarma vb.
Teknikler: Saldırganın belirli bir taktiği gerçekleştirmek için kullandığı özel yöntemler. Örneğin, kimlik avı e-postaları kullanmak, belirli bir açıktan yararlanmak veya komuta ve kontrol sunucularıyla iletişim kurmak.
Prosedürler: Aşağıdaki teknikler, belirli bir tehdit grubu veya yazılım tarafından kullanılan daha spesifik varyasyonlardır.
MITRE ATT&CK, güvenlik ekiplerinin potansiyel tehditlerin nasıl hareket ettiğini ve hangi teknikleri kullandıklarını anlamalarına yardımcı olur. Bu bilgiler savunma stratejileri geliştirmek, olaylara müdahale etmek ve tehdit avcılığı faaliyetlerini yürütmek için değerlidir.
Ayrıca MITRE , siber güvenlik topluluğunun tehditleri daha iyi anlamasına yardımcı olmak için ATT&CK’yi sürekli olarak günceller . Dolayısıyla bu çerçeve siber güvenlik profesyonelleri için önemli bir referans kaynağıdır.
MITRE’nin belgelediği bir diğer önemli kaynak ise Tehdit gruplarıdır.
Güncel tehdit gruplarına ilişkin detaylı bilgiye https://attack.mitre.org/groups/ adresinde yayınlanan bu listeden ulaşabilirsiniz . Aynı listeden, saldırının hangi aşamada, hangi aktör tarafından, hangi teknik ve taktiklerin kullanıldığı da belgelendi.
Bu bilgiler dünya çapındaki güvenlik araştırmacılarına hem olay incelemesi hem de olaya müdahale süreçlerinde çok yararlı bir yol haritası sağlar ve güvenlik profesyonellerinin ne tür bir tehditle karşı karşıya olduklarını hızlı bir şekilde belirlemeleri için harika bir yoldur.