{"id":1214154,"date":"2023-08-06T08:17:25","date_gmt":"2023-08-06T12:17:25","guid":{"rendered":"https:\/\/gijn.org\/?p=653997"},"modified":"2023-08-30T11:23:06","modified_gmt":"2023-08-30T15:23:06","slug":"dijital-tehditlerin-arastirilmasi-dijital-altyapi","status":"publish","type":"post","link":"https:\/\/gijn.org\/tr\/kaynak\/dijital-tehditlerin-arastirilmasi-dijital-altyapi\/","title":{"rendered":"Dijital Tehditlerin Ara\u015ft\u0131r\u0131lmas\u0131: Dijital Altyap\u0131"},"content":{"rendered":"

Edit\u00f6r\u00fcn Notu: Bu yaz\u0131 GIJN’in yak\u0131nda yay\u0131nlanacak olan Gazeteciler i\u00e7in Dijital Tehditleri Ara\u015ft\u0131rma Rehberi<\/a>\u2019nden al\u0131nm\u0131\u015ft\u0131r. Dezenformasyonla<\/a> ilgili birinci b\u00f6l\u00fcm halihaz\u0131rda yay\u0131nlanm\u0131\u015ft\u0131r. Rehberin tamam\u0131 bu Eyl\u00fcl ay\u0131nda K\u00fcresel Ara\u015ft\u0131rmac\u0131 Gazetecilik Konferans\u0131’nda yay\u0131nlanacak.<\/em><\/p>\n

T\u0131pk\u0131 me\u015fru bir \u00e7evrim i\u00e7i sitede oldu\u011fu gibi herhangi bir dezenformasyon kampanyas\u0131 ya da casus yaz\u0131l\u0131m sald\u0131r\u0131s\u0131 bir ya da daha fazla alan ad\u0131, sunucu ve uygulama i\u00e7eren dijital altyap\u0131ya dayan\u0131r. \u0130nternet \u00fczerinde \u00e7al\u0131\u015fan her \u015fey, faaliyetlerini izlemek ve baz\u0131 durumlarda farkl\u0131 altyap\u0131lar\u0131 birbirine ba\u011flamak i\u00e7in kullan\u0131labilecek baz\u0131 izler b\u0131rak\u0131r. Bu b\u00f6l\u00fcmde dijital altyap\u0131y\u0131 ara\u015ft\u0131rmak i\u00e7in kullanabilece\u011finiz \u00e7evrim i\u00e7i ara\u00e7lara giri\u015f yap\u0131yoruz.<\/p>\n

Dijital Altyap\u0131 Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/strong><\/p>\n

Dijital altyap\u0131y\u0131 takip etmenin ilk ad\u0131m\u0131 nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131 anlamakt\u0131r. \u00d6rnek olarak GIJN’in web sitesi gijn.org<\/a>‘u ele alal\u0131m.<\/p>\n

Alan Ad\u0131<\/strong><\/p>\n

\u0130lk olarak, gijn.org alan ad\u0131n\u0131 kullanmaktad\u0131r. Alan adlar\u0131, \u0130nternet’in ilk g\u00fcnlerinde web sitelerine kullan\u0131c\u0131 dostu isimler sa\u011flamak i\u00e7in kurulmu\u015ftur. B\u00f6ylece insanlar 174.24.134.42 gibi karma\u015f\u0131k teknik IP adreslerini hat\u0131rlamak zorunda kalm\u0131yordu. Alan Ad\u0131 Sistemi (DNS)<\/a> protokol\u00fc, alan adlar\u0131n\u0131 IP adreslerine d\u00f6n\u00fc\u015ft\u00fcrmek i\u00e7in kullan\u0131l\u0131r. IP adresleri i\u00e7in farkl\u0131 kay\u0131t t\u00fcrleri vard\u0131r ve DNS bunlar\u0131 \u00e7\u00f6z\u00fcmlemek i\u00e7in kullan\u0131l\u0131r. MX kay\u0131tlar\u0131, e-postalar\u0131 bir etki alan\u0131na ba\u011fl\u0131 do\u011fru adrese (info@gijn.org gibi) y\u00f6nlendirmeye yard\u0131mc\u0131 olan sunucu i\u00e7in kullan\u0131l\u0131r.\u00a0 Ancak DNS’de kullan\u0131lan ana kay\u0131t IPv4 adresleri i\u00e7in A t\u00fcr\u00fc (gijn.org gibi geleneksel \u0130nternet adresi) ve IPv6<\/a> adresleri i\u00e7in AAAA’d\u0131r. (IPv6<\/a>, \u0130nternet’te daha fazla adrese izin veren daha yeni bir adres format\u0131d\u0131r, \u00e7o\u011fu sistem hala hem IPv4 hem de IPv6 adreslerini kullanmakta. Web taray\u0131c\u0131n\u0131z, bir web sitesini ziyaret etti\u011finizde girdi\u011finiz alan ad\u0131n\u0131 IP adresine \u00e7\u00f6z\u00fcmleme i\u015fini otomatik olarak yapar. Ancak bunu manuel olarak yapmak i\u00e7in CentralOps<\/a> gibi \u00e7evrim i\u00e7i bir ara\u00e7 kullanabilirsiniz. \u00d6rne\u011fin, CentralOps’a gijn.org adresini girdi\u011fimizde 34.122.151.197 IPv4 adresini al\u0131r\u0131z, IPv6 adresi almay\u0131z.<\/p>\n

Alan adlar\u0131 kay\u0131t \u015firketlerinden<\/a> al\u0131nmas\u0131 gerekir. Bu \u015firketler m\u00fc\u015fteriler i\u00e7in alan adlar\u0131n\u0131n kayd\u0131n\u0131 y\u00f6netir; .com, .org veya .fr gibi \u00fcst d\u00fczey alan adlar\u0131n\u0131 (TLD)<\/a> y\u00f6neten kay\u0131t kurulu\u015flar\u0131yla arac\u0131 olarak hareket eder. Kay\u0131t kurulu\u015flar\u0131, TLD’leri i\u00e7in var olan alan adlar\u0131 hakk\u0131nda bir bilgi veritaban\u0131 tutar ve buna Whois veritaban\u0131 denir. CentralOps<\/a> gibi web ara\u00e7lar\u0131n\u0131 kullanarak mevcut alan adlar\u0131 hakk\u0131nda bilgi almak i\u00e7in Whois aramas\u0131 yapmak m\u00fcmk\u00fcnd\u00fcr. Baz\u0131 durumlarda, Whois araman\u0131z bir alan ad\u0131n\u0131n sahibi hakk\u0131nda ad\u0131, telefon numaras\u0131, e-posta adresi ve fiziksel adresi dahil olmak \u00fczere bilgi sa\u011flayacakt\u0131r. Ancak alan ad\u0131 sahipleriyle ilgili ki\u015fisel veriler genellikle gizlilik nedeniyle Whois veritabanlar\u0131ndan gizlenir. \u0130nsanlar bu bilgilerin Whois arama sonu\u00e7lar\u0131ndan gizlenmesi i\u00e7in \u00f6deme yapabilir ve bir\u00e7ok ki\u015fi ve \u015firket bunu yapmay\u0131 tercih eder. Bu durumlarda bile kay\u0131t tarihini, yenileme tarihini ve kullan\u0131lan kay\u0131t kurulu\u015funu bulmak m\u00fcmk\u00fcnd\u00fcr. \u00d6rne\u011fin, gijn.org Whois aramas\u0131 i\u00e7in elde etti\u011fimiz sonu\u00e7 \u015fu \u015fekildedir.<\/p>\n

 <\/p>\n

\"Mart

Mart 2023’te gijn.org i\u00e7in Whois giri\u015fi. G\u00f6r\u00fcnt\u00fc: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, Whois<\/p><\/div>\n

 <\/p>\n

Alan ad\u0131 sahibi bilgileri redakte edilmi\u015f olsa bile, alan ad\u0131n\u0131n ilk kez 24 Haziran 2009 tarihinde GoDaddy (kay\u0131t \u015firketi) \u015firketi arac\u0131l\u0131\u011f\u0131yla sat\u0131n al\u0131nd\u0131\u011f\u0131n\u0131 ve o tarihten bu yana d\u00fczenli olarak yenilendi\u011fini g\u00f6rebiliyoruz.<\/p>\n

Sunucu<\/strong><\/p>\n

Bir web sitesinin bir yerde bar\u0131nd\u0131r\u0131lmas\u0131 gerekir. Bu, web sitesiyle ili\u015fkili t\u00fcm dosyalar\u0131n depoland\u0131\u011f\u0131 ve birisi web taray\u0131c\u0131s\u0131 arac\u0131l\u0131\u011f\u0131yla sitede bir sayfa talep etti\u011finde kullan\u0131ma sunuldu\u011fu sunucu ad\u0131 verilen fiziksel bir bilgisayard\u0131r. G\u00fcn\u00fcm\u00fczde \u00e7o\u011fu sunucu OVH veya Digital Ocean gibi profesyonel bar\u0131nd\u0131rma sa\u011flay\u0131c\u0131lar\u0131 hatta Amazon Web hizmetleri veya Google Cloud gibi bulut sa\u011flay\u0131c\u0131lar\u0131 taraf\u0131ndan bar\u0131nd\u0131r\u0131lmaktad\u0131r.<\/p>\n

Sunucular \u0130nternet’e bir veya birka\u00e7 IP adresi \u00fczerinden ba\u011flan\u0131r (\u00e7o\u011fu zaman bir IPv4 ve bir IPv6 adresi \u00fczerinden). Bu IP adresleri, B\u00f6lgesel \u0130nternet Kay\u0131tlar\u0131<\/a> taraf\u0131ndan, bunlar\u0131 kendi sistemleri i\u00e7in kullanan \u015firketlere veya kurulu\u015flara devredilir. Bir hosting \u015firketi bir\u00e7ok IP adresine sahip olacak ve bunlar\u0131 bireysel web sitelerini bar\u0131nd\u0131rmak i\u00e7in kullan\u0131lan \u00e7e\u015fitli sunucular\u0131na atayacakt\u0131r.<\/p>\n

Her IP adresi sahibinin ayn\u0131 zamanda \u0130nternet’e ba\u011fl\u0131 farkl\u0131 a\u011flar\u0131 y\u00f6nettikleri IP’ler hakk\u0131nda bilgilendirmesi gerekir, b\u00f6ylece trafi\u011fi kendi y\u00f6nlerine g\u00f6nderebilirler. Bu, t\u00fcm \u0130nternet a\u011flar\u0131 taraf\u0131ndan tan\u0131nan ve benzersiz bir numara ile tan\u0131mlanan bir idari varl\u0131k olan bir Otonom Sistemin (OS)<\/a> kaydedilmesini gerektirir. \u00d6rne\u011fin, AS1252, Nebraska \u00dcniversitesi T\u0131p Merkezi olan UNMC-AS’nin numaras\u0131d\u0131r. OS numaralar\u0131n\u0131n olduk\u00e7a kapsaml\u0131 bir listesi \u00e7evrim i\u00e7i olarak mevcuttur.<\/a> \u00c7o\u011fu bar\u0131nd\u0131rma \u015firketi bir veya birka\u00e7 OS’ye sahiptir.<\/p>\n

ipinfo.io<\/a> gibi bir ara\u00e7, bir IP adresinin OS’sini, arkas\u0131ndaki \u015firketi ve IP’nin ba\u011fl\u0131 oldu\u011fu sunucunun konumunun bir tahminini belirlemenizi sa\u011flar. Bu co\u011frafi konum bilgisinin tam olarak do\u011fru olmad\u0131\u011f\u0131n\u0131 unutmay\u0131n<\/a>. GIJN’in 34.122.151.197 adresi i\u00e7in, Google’a ait olan AS396982<\/a>‘nin bir par\u00e7as\u0131 oldu\u011funu ve Google’\u0131n Iowa veri merkezinde<\/a> bulundu\u011funu g\u00f6r\u00fcyoruz.\u00a0 Whois aramalar\u0131 bazen sadece OS’den daha kesin bilgi veren bir IP adresi de sa\u011flar ancak bu \u00f6rnekte de\u011fil. ipinfo.io gibi bir ara\u00e7 size en eksiksiz sonu\u00e7lar\u0131 verecektir.<\/p>\n

HTTPs Sertifikas\u0131<\/strong><\/p>\n

Hypertext Transfer Protocol Secure<\/a> (HTTPs), bir web taray\u0131c\u0131s\u0131 ile web sitesini bar\u0131nd\u0131ran sunucu aras\u0131nda ileti\u015fim kurmak i\u00e7in kullan\u0131lan g\u00fcvenli bir protokold\u00fcr. Taray\u0131c\u0131n\u0131n kriptografik bir sertifika kullanarak sunucunun kimli\u011fini do\u011frulamas\u0131n\u0131 sa\u011flar. Bu, taray\u0131c\u0131n\u0131n ger\u00e7ek gijn.org’u y\u00fckledi\u011finden ve kimli\u011fini gasp eden bir sunucu olmad\u0131\u011f\u0131ndan emin olmas\u0131na yard\u0131mc\u0131 olur. Her kriptografik sertifika, farkl\u0131 taray\u0131c\u0131lar ve i\u015fletim sistemleri taraf\u0131ndan tan\u0131nan bir \u00fc\u00e7\u00fcnc\u00fc taraf sertifika yetkilisi taraf\u0131ndan verilir. Bu sertifikalar s\u0131n\u0131rl\u0131 bir s\u00fcre i\u00e7in (genellikle \u00fc\u00e7 ay ile bir y\u0131l aras\u0131nda) verilir ve d\u00fczenli olarak yenilenmesi gerekir. Bir sertifikay\u0131 g\u00f6r\u00fcnt\u00fclemek i\u00e7in taray\u0131c\u0131 \u00e7ubu\u011funuzdaki kilit simgesine t\u0131klayabilir ve “ba\u011flant\u0131 g\u00fcvenli” ve “daha fazla bilgi “yi se\u00e7ebilirsiniz. \u0130\u015fte GIJN web sitesi i\u00e7in elde etti\u011fimiz \u015fey.<\/p>\n

\"\u015eubat

\u015eubat 2023 itibar\u0131yla gijn.org i\u00e7in HTTPs sertifikas\u0131. G\u00f6r\u00fcnt\u00fc: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, Let’s Encrypt<\/p><\/div>\n

 <\/p>\n

Bu sertifikan\u0131n \u00fccretsiz sertifika otoritesi Let’s Encrypt<\/a> taraf\u0131ndan 20 \u015eubat 2023 tarihinde sa\u011fland\u0131\u011f\u0131n\u0131 ve 21 May\u0131s’a kadar ge\u00e7erli olaca\u011f\u0131n\u0131 g\u00f6r\u00fcyoruz. Taray\u0131c\u0131 \u00e7ubu\u011funuzdaki kilit simgesinin kilidi a\u00e7\u0131ksa veya kilit simgesi yoksa ve “g\u00fcvenli de\u011fil” ibaresi varsa, sunucuyla ileti\u015fimi \u015fifrelemeyen ve ger\u00e7ekli\u011fini do\u011frulamayan g\u00fcvensiz HTTP protokol\u00fcn\u00fc kullanan bir web sitesinde gezindi\u011finiz anlam\u0131na gelir.<\/p>\n

\u0130\u015fte bu altyap\u0131n\u0131n farkl\u0131 y\u00f6nlerini \u00f6zetleyen bir diyagram.<\/p>\n

\"Dijital

Dijital web altyap\u0131 \u015femas\u0131. Resim: Yazar\u0131n izniyle yer verilmektedir.<\/p><\/div>\n

 <\/p>\n

gijn.org hakk\u0131nda \u00f6\u011frendiklerimizi \u00f6zetleyelim:<\/p>\n

\u0130lk olarak 24 Haziran 2009 tarihinde GoDaddy’den sat\u0131n al\u0131nan gijn.org alan ad\u0131n\u0131 kullan\u0131yor.<\/p>\n

Google Cloud’a ait AS396982’nin bir par\u00e7as\u0131 olan 34.122.151.197 IP adresine sahip bir sunucuda bar\u0131nd\u0131r\u0131l\u0131yor.<\/p>\n

En son 20 \u015eubat 2023 tarihinde Let’s Encrypt taraf\u0131ndan sa\u011flanan bir HTTPs sertifikas\u0131 kullan\u0131yor.<\/p>\n

Veri Kaynaklar\u0131<\/strong><\/p>\n

Art\u0131k dijital bir altyap\u0131n\u0131n temellerini anlad\u0131\u011f\u0131m\u0131za g\u00f6re, bunu nas\u0131l daha fazla inceleyebilece\u011fimize bakal\u0131m. Daha derinlemesine bir ara\u015ft\u0131rma i\u00e7in kullan\u0131labilecek \u00e7ok say\u0131da veri kayna\u011f\u0131 vard\u0131r. Bu ara\u00e7lardan baz\u0131lar\u0131 \u00fccretsizdir, baz\u0131lar\u0131 ise \u00fccretli eri\u015fim gerektirir. (Baz\u0131 platformlar gazeteciler i\u00e7in \u00fccretsiz ara\u015ft\u0131rma eri\u015fimi sa\u011flar, bu nedenle sormak i\u00e7in ula\u015fmaya de\u011fer).<\/p>\n

Whois ve Ge\u00e7mi\u015f Whois<\/strong><\/p>\n

Daha \u00f6nce g\u00f6rd\u00fc\u011f\u00fcm\u00fcz gibi, Whois alan ad\u0131 kay\u0131tlar\u0131 ad, telefon numaras\u0131, e-posta veya adres gibi bilgileri g\u00f6r\u00fcnt\u00fcleyebilir ancak bu bilgiler genellikle gizlilik nedenleriyle gizlenir. (AB’nin Genel Veri Koruma Y\u00f6netmeli\u011fi – GDPR – bu e\u011filimi h\u0131zland\u0131rd\u0131). \u0130yi haber \u015fu ki baz\u0131 ticari platformlar y\u0131llard\u0131r Whois verilerini topluyor ve bu veritabanlar\u0131na eri\u015fim sa\u011flayabiliyor. Bu birka\u00e7 y\u00f6nden faydal\u0131d\u0131r. \u0130lk olarak, ge\u00e7mi\u015f verileri kullanarak, alan ad\u0131 sahibinin herhangi bir gizlilik korumas\u0131na sahip olmad\u0131\u011f\u0131 ana kadar zamanda geriye gidebilir ve bilgilerini bulabilirsiniz. Bu, \u00e7o\u011funlukla uzun s\u00fcredir, yani en az birka\u00e7 y\u0131l veya daha uzun s\u00fcredir \u00e7evrim i\u00e7i olan web siteleri i\u00e7in kullan\u0131\u015fl\u0131d\u0131r. Bu sahiplik bilgilerini, ayn\u0131 ki\u015fi veya kurulu\u015f taraf\u0131ndan kaydedilmi\u015f ba\u015fka alan adlar\u0131n\u0131 bulmak i\u00e7in bir pivot noktas\u0131 olarak da kullanabilirsiniz.<\/p>\n

\u00d6rne\u011fin, 2019 y\u0131l\u0131nda \u00d6zbekistanl\u0131 aktivistleri hedef alan bir kimlik av\u0131 ve casus yaz\u0131l\u0131m kampanyas\u0131n\u0131 ara\u015ft\u0131r\u0131yordum.<\/a> Ge\u00e7mi\u015f alan ad\u0131 kay\u0131tlar\u0131n\u0131 kullanarak, kimlik av\u0131 i\u00e7in kullan\u0131lan bir alan ad\u0131n\u0131n b.adan1[@]walla.co.il e-posta adresiyle kay\u0131tl\u0131 oldu\u011funu tespit ettim. Sald\u0131rgan\u0131n Whois gizlili\u011fini etkinle\u015ftirmeyi d\u00fc\u015f\u00fcnmedi\u011fi ortaya \u00e7\u0131kt\u0131.<\/p>\n

\"RiskIQ'da

RiskIQ’da Ekim 2019’da my-id[.]top i\u00e7in Whois giri\u015fi. Resim: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, RiskIQ<\/p><\/div>\n

Ayn\u0131 e-posta adresi kullan\u0131larak kaydedilmi\u015f di\u011fer alan adlar\u0131n\u0131 arayarak, bu \u00e7evrim i\u00e7i kampanyayla ilgili daha bir\u00e7ok alan ad\u0131 tespit edebildim.<\/p>\n

<\/p>\n

RiskIQ’da b.adan1[@]walla.co.il taraf\u0131ndan kaydedilen alan adlar\u0131n\u0131n listesi. G\u00f6r\u00fcnt\u00fc: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, RiskIQ<\/p>\n

Ge\u00e7mi\u015fe y\u00f6nelik bilgi sa\u011flayan ticari platformlar aras\u0131nda RiskIQ<\/a>,\u00a0DomainTools<\/a>,\u00a0Recorded Future <\/a>ve Cisco Umbrella <\/a>say\u0131labilir. \u00dccretsiz bir katman\u0131 olan Whoxy.com<\/a> ve Whoisology.com<\/a>gibi hizmetler de bazen ge\u00e7mi\u015f kay\u0131tlar\u0131n par\u00e7ac\u0131klar\u0131n\u0131 sa\u011flar.<\/p>\n

Pasif DNS Bilgileri<\/strong><\/p>\n

Daha \u00f6nce ayr\u0131nt\u0131l\u0131 olarak a\u00e7\u0131kland\u0131\u011f\u0131 gibi, DNS protokol\u00fc belirli bir zamanda bir alan ad\u0131 i\u00e7in sunucunun IP adresini bulman\u0131z\u0131 sa\u011flar. Altyap\u0131n\u0131n geli\u015fimini takip etmek i\u00e7in, insanlar ve \u015firketler ge\u00e7mi\u015f DNS cevab\u0131n\u0131 kaydetmek i\u00e7in DNS sorgular\u0131n\u0131n ve cevaplar\u0131n\u0131n kay\u0131tlar\u0131n\u0131 toplar. Bu t\u00fcr veriler pasif DNS olarak adland\u0131r\u0131l\u0131r. DNS i\u00e7in ge\u00e7mi\u015f Whois kayd\u0131na e\u015fde\u011ferdir.<\/p>\n

Pasif DNS, altyap\u0131y\u0131 izlemek i\u00e7in \u00f6nemli bir ara\u00e7t\u0131r. Bir\u00e7ok k\u00f6t\u00fc ama\u00e7l\u0131 \u00e7evrim i\u00e7i site ge\u00e7icidir ve yaln\u0131zca birka\u00e7 g\u00fcn veya hafta boyunca yay\u0131nda olabilir. Bu nedenle, ge\u00e7mi\u015f verilere sahip olmak, kullan\u0131lan alan adlar\u0131 ve sunucular hakk\u0131nda \u00e7ok daha iyi bir anlay\u0131\u015f kazanmam\u0131z\u0131 sa\u011flar. Ayr\u0131ca dijital altyap\u0131y\u0131 uzun bir s\u00fcre boyunca izlemeyi m\u00fcmk\u00fcn k\u0131larak k\u00f6t\u00fc niyetli faaliyetin ne zaman ba\u015flad\u0131\u011f\u0131n\u0131 anlamam\u0131za yard\u0131mc\u0131 olur.<\/p>\n

Pasif DNS verileri tipik olarak IP, etki alan\u0131, ba\u015flang\u0131\u00e7 tarihi ve biti\u015f tarihi \u015feklinde sunulur. \u00c7o\u011fu platform IP veya etki alan\u0131 ba\u015f\u0131na arama yap\u0131lmas\u0131na izin verir ve baz\u0131 platformlar sadece A\/AAAA’dan daha fazla DNS t\u00fcr\u00fc i\u00e7erir.<\/p>\n

Yukar\u0131da ba\u015flat\u0131lan kimlik av\u0131 kampanyas\u0131 \u00f6rne\u011fine devam edecek olursak, tespit edilen ilk kimlik av\u0131 e-postalar\u0131ndan birinde mail.gmal.con.my-id[.]top. alan ad\u0131na bir ba\u011flant\u0131 vard\u0131. Kullan\u0131lan sunucular\u0131 belirlemek i\u00e7in, Farsight DNSDB gibi bir Pasif DNS Veritaban\u0131nda bu etki alan\u0131 i\u00e7in t\u00fcm IP \u00e7\u00f6z\u00fcn\u00fcrl\u00fcklerini arayabiliriz.<\/p>\n

\"Passive<\/p>\n

Farsight DNSDB’de mail.gmal.con.my-id[.]top. alan ad\u0131n\u0131n IPv4 \u00e7\u00f6z\u00fcn\u00fcrl\u00fckleri. Resim: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, Farsight DNSDB<\/p>\n

Daha sonra sald\u0131r\u0131 s\u0131ras\u0131nda ayn\u0131 IP adresinde bar\u0131nd\u0131r\u0131lan alan adlar\u0131n\u0131 arayabiliriz.<\/p>\n

\"Doman<\/p>\n

Farsight DNSDB’de 139.60.163.29 IP’si i\u00e7in alan \u00e7\u00f6z\u00fcmleri \u00f6rne\u011fi. Resim: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, Farsight DNSDB<\/p>\n

Pasif DNS sa\u011flay\u0131c\u0131lar\u0131 aras\u0131nda Farsight DNSDB<\/a>,\u00a0DomainTools<\/a>,\u00a0Risk IQ<\/a>,\u00a0Circl<\/a>,\u00a0Zetalytics<\/a>,\u00a0Recorded Future<\/a>,\u00a0Cisco Umbrella<\/a> ve Security Trails<\/a>. bulunmaktad\u0131r. Farkl\u0131 sa\u011flay\u0131c\u0131lar pasif DNS veri toplama i\u00e7in farkl\u0131 veri kaynaklar\u0131na sahiptir, bu nedenle \u00e7o\u011fu veri seti eksik ve tamamlay\u0131c\u0131d\u0131r. Daha eksiksiz bir resim elde etmek i\u00e7in ideal olarak birden fazla hizmet kullanmak istersiniz. Ayn\u0131 durum ge\u00e7mi\u015f Whois kay\u0131tlar\u0131 i\u00e7in de ge\u00e7erlidir.<\/p>\n

Sertifika \u015eeffafl\u0131k Veritabanlar\u0131<\/strong><\/p>\n

Her web sitesinin bir alan ad\u0131 ve IP adresi oldu\u011fu gibi, \u00e7o\u011fu da bir HTTPs sertifikas\u0131 kullan\u0131r. Bu, sertifikalarla ilgili bilgileri bir altyap\u0131 ara\u015ft\u0131rmas\u0131n\u0131n par\u00e7as\u0131 olarak kullanabilece\u011fimiz anlam\u0131na gelir. Sertifikalar, yetkililer taraf\u0131ndan verilen t\u00fcm sertifikalar i\u00e7in genel g\u00fcnl\u00fckler olu\u015fturan Sertifika \u015eeffafl\u0131\u011f\u0131<\/a> adl\u0131 bir g\u00fcvenlik standard\u0131 sayesinde denetim i\u00e7in kullan\u0131labilir. Censys<\/a> veya Crt.sh<\/a>\u00a0 gibi platformlar bu verilere \u00fccretsiz eri\u015fim sa\u011flar. Sertifikalar, onlar\u0131 kimin olu\u015fturdu\u011funa dair \u00e7ok fazla ayr\u0131nt\u0131 sa\u011flamaz ancak bir alan ad\u0131n\u0131n veya alt alan ad\u0131n\u0131n belirli bir sertifika taraf\u0131ndan kullan\u0131l\u0131p kullan\u0131lmad\u0131\u011f\u0131n\u0131 do\u011frulayabilir ve bu t\u00fcr alan adlar\u0131n\u0131n kullan\u0131m\u0131na ili\u015fkin bir zaman \u00e7izelgesi inceleyebilirsiniz.<\/p>\n

\u00d6zbekistan’daki aktivistleri hedef alan kimlik av\u0131 kampanyas\u0131nda garant-help[.]com alan ad\u0131yla ileti\u015fim kuran Android casus yaz\u0131l\u0131m\u0131 kullan\u0131lm\u0131\u015ft\u0131. Crt.sh<\/a>‘de\u00a0 yap\u0131lan h\u0131zl\u0131 bir arama bize bu alan ad\u0131n\u0131n (ve dolay\u0131s\u0131yla casus yaz\u0131l\u0131m\u0131n) kampanyan\u0131n operat\u00f6rleri taraf\u0131ndan ne zaman aktif olarak kullan\u0131ld\u0131\u011f\u0131na dair bir zaman \u00e7izelgesi sunmakta.<\/p>\n

\"HTTPs<\/p>\n

Crt.sh i\u00e7inde garant-help[.]com i\u00e7in sertifika arama. G\u00f6r\u00fcnt\u00fc: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, Crt.sh<\/p>\n

\u0130nternet Genelinde Tarama<\/strong><\/p>\n

\u0130nternet, birbirine ba\u011fl\u0131 birka\u00e7 milyar sistemden olu\u015fmaktad\u0131r. \u00d6rne\u011fin, en fazla d\u00f6rt milyardan fazla IPv4 adresi var.\u00a0 G\u00fcn\u00fcm\u00fczde mevcut bant geni\u015fli\u011fi ile \u0130nternet sistemlerinin b\u00fcy\u00fck bir b\u00f6l\u00fcm\u00fcn\u00fc d\u00fczenli olarak taramak m\u00fcmk\u00fcn. Baz\u0131 \u015firketler bu t\u00fcr \u0130nternet genelinde taramalar\u0131 d\u00fczenli olarak yapmakta ve sonu\u00e7lar\u0131 i\u00e7eren veri tabanlar\u0131na eri\u015fim sa\u011flamakta.<\/p>\n

\"Shodan<\/p>\n

gijn.org’u bar\u0131nd\u0131ran IP adresi i\u00e7in Shodan bilgileri. G\u00f6r\u00fcnt\u00fc: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, Shodan<\/p>\n

T\u00fcm hizmetler bu platformlar taraf\u0131ndan taranmad\u0131\u011f\u0131ndan ve yaln\u0131zca standart talepleri yerine getirdiklerinden, \u00f6rne\u011fin belirli bir sunucuda y\u00fckl\u00fc t\u00fcm web siteleri hakk\u0131nda bilgi vermeyece\u011finden, taramalar\u0131n s\u0131n\u0131rlamalar\u0131 vard\u0131r. Ancak dijital ara\u015ft\u0131rmalarda \u00f6nemli bir bilgi kayna\u011f\u0131 sa\u011flar. \u0130lk olarak, \u015f\u00fcpheli olabilecek bir sunucuda nelerin \u00e7al\u0131\u015ft\u0131\u011f\u0131na h\u0131zl\u0131 bir \u015fekilde bakman\u0131za ve altyap\u0131 kurulumu hakk\u0131nda bir fikir edinmenize olanak tan\u0131r. Baz\u0131 veritabanlar\u0131, bir sunucuda daha \u00f6nce nelerin \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131 ke\u015ffetmenize olanak tan\u0131yan ge\u00e7mi\u015f verilere de sahiptir. Son olarak ayn\u0131 \u00f6zel kurulumu kullanan ilgili altyap\u0131y\u0131 bulmak i\u00e7in karma\u015f\u0131k sorgular geli\u015ftirmek i\u00e7in kullan\u0131labilir. Bu son \u00f6zellik ara\u015ft\u0131rma i\u00e7in kritik olabilir. Amnesty Tech Lab bunu NSO Group’un Pegasus altyap\u0131s\u0131n\u0131<\/a> birka\u00e7 y\u0131l boyunca izlemek i\u00e7in kulland\u0131. Bir gazeteci olarak bu t\u00fcr izleme ve analizleri ger\u00e7ekle\u015ftirmek i\u00e7in teknik uzmanlarla i\u015f birli\u011fi yapmak faydal\u0131 olabilir.<\/p>\n

\u0130nternet genelinde taramalar i\u00e7in iki ana platform \u00a0Shodan<\/a> ve Censys<\/a> ancak \u00a0ZoomEye<\/a>,\u00a0BinaryEdge<\/a>, ya da Onyphe <\/a>gibi di\u011fer platformlar da kullan\u0131labilir. \u00c7o\u011fu verilere \u00fccretsiz eri\u015fim sa\u011flar ancak ge\u00e7mi\u015f veriler ve karma\u015f\u0131k sorgular i\u00e7in \u00fccret al\u0131r.<\/p>\n

K\u00f6t\u00fc Ama\u00e7l\u0131 Faaliyet Y\u00fcr\u00fcten Veritabanlar\u0131<\/strong><\/p>\n

K\u00f6t\u00fc niyetli altyap\u0131y\u0131 tan\u0131mlamak, izlemek veya endekslemek i\u00e7in bir\u00e7ok platform mevcut. Bunlar b\u00fcy\u00fck \u00f6l\u00e7\u00fcde siber g\u00fcvenlik end\u00fcstrisi taraf\u0131ndan kullan\u0131lmakta. Bu platformlar ayn\u0131 zamanda k\u00f6t\u00fc niyetli olmayan veya k\u00f6t\u00fc niyetli biti\u015fik (dezenformasyon gibi) altyap\u0131 hakk\u0131nda da bilgi sahibi olabilir ve bu da onlar\u0131 gazeteciler i\u00e7in faydal\u0131 k\u0131lar. \u0130\u015fte bu platformlardan baz\u0131lar\u0131;<\/p>\n

VirusTotal<\/b><\/a>.Bu \u00fcnl\u00fc antivir\u00fcs platformu neredeyse 20 y\u0131l \u00f6nce \u0130spanya’da<\/a> kuruldu ve daha sonra Google taraf\u0131ndan sat\u0131n al\u0131nd\u0131. Herkesin bir dosya g\u00f6ndermesine ve bu dosyan\u0131n 70’ten fazla antivir\u00fcs taray\u0131c\u0131s\u0131 ve URL\/alan ad\u0131 engelleme hizmeti taraf\u0131ndan taranmas\u0131na olanak tan\u0131r. VirusTotal d\u00fcnyan\u0131n en b\u00fcy\u00fck yasal ve zararl\u0131 dosya deposudur ve bir\u00e7ok siber g\u00fcvenlik \u015firketine bu dahili vir\u00fcs veritaban\u0131na eri\u015fim sa\u011flar. Bir casus yaz\u0131l\u0131m ara\u015ft\u0131rmas\u0131 \u00fczerinde \u00e7al\u0131\u015f\u0131yorsan\u0131z, VirusTotal benzer programlar\u0131 veya ilgili altyap\u0131y\u0131 aramak i\u00e7in iyi bir yerdir. Ald\u0131\u011f\u0131n\u0131z bir dosyan\u0131n k\u00f6t\u00fc ama\u00e7l\u0131 olup olmad\u0131\u011f\u0131n\u0131 kontrol etmek i\u00e7in VirusTotal’\u0131 kullan\u0131rsan\u0131z, y\u00fcklenen belgelerin daha sonra d\u00fcnya \u00e7ap\u0131nda binlerce ki\u015fiye a\u00e7\u0131k oldu\u011funu l\u00fctfen unutmay\u0131n. Bu y\u00fczden \u00f6zel bir belge y\u00fcklemek k\u00f6t\u00fc bir fikir! Bu t\u00fcr analizlerde yard\u0131mc\u0131 olmas\u0131 i\u00e7in uzmanlara ula\u015fmak daha iyi bir fikirdir.<\/p>\n

URLScan<\/b><\/a>. URLScan, kullan\u0131c\u0131lar\u0131n belirli bir URL’yi sorgulamas\u0131na ve ard\u0131ndan altyap\u0131 ve web sitesi hakk\u0131ndaki ayr\u0131nt\u0131lar\u0131 g\u00fcvenli bir \u015fekilde g\u00f6rmesine olanak tan\u0131yan a\u00e7\u0131k bir platformdur. Bu platform, \u015f\u00fcpheli bir ba\u011flant\u0131 tespit etti\u011finizde ve bunu g\u00fcvenli bir \u015fekilde kontrol etmek istedi\u011finizde kullan\u0131\u015fl\u0131d\u0131r. Ayr\u0131ca ba\u015fka birinin platforma g\u00f6ndermi\u015f olabilece\u011fi ilgili URL’leri de bulabilirsiniz. Taramalar genel veya \u00f6zel olabilir, ancak \u00f6zel taramalara yaln\u0131zca \u00fccretli eri\u015fimi olan kullan\u0131c\u0131lar i\u00e7in izin verilir.<\/p>\n

\"URL<\/p>\n

gijn.org i\u00e7in URLScan sorgusu \u00f6rne\u011fi. Resim: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, URLScan<\/p>\n

AlienVault OTX<\/b><\/a>. Bu, k\u00f6t\u00fc niyetli olarak tan\u0131mlanm\u0131\u015f altyap\u0131 hakk\u0131nda \u00f6nemli miktarda veri i\u00e7eren \u00fccretsiz bir veritaban\u0131d\u0131r. Veritaban\u0131nda arama yapmak i\u00e7in bir hesaba bile ihtiyac\u0131n\u0131z yok, arama \u00e7ubu\u011funa bir alan ad\u0131 veya IP adresi girmeniz yeterli. \u00d6rne\u011fin, k\u00f6t\u00fc ama\u00e7l\u0131 garant-help[.]com alan ad\u0131 i\u00e7in yap\u0131lan bir arama hemen ilgili bir yay\u0131na y\u00f6nlendirdi.<\/p>\n

\"AlienVaultOTX<\/p>\n

AlienVault OTX’te garant-help[.]com i\u00e7in arama yap\u0131n. G\u00f6r\u00fcnt\u00fc: Ekran g\u00f6r\u00fcnt\u00fcs\u00fc, AlienVaultOTX<\/p>\n

A\u015fa\u011f\u0131daki diyagram, dijital altyap\u0131n\u0131n her bir par\u00e7as\u0131n\u0131 incelemek i\u00e7in kullanabilece\u011finiz ara\u00e7 t\u00fcrlerini \u00f6zetlemektedir.<\/p>\n

\"Diagram<\/p>\n

Dijital altyap\u0131y\u0131 ara\u015ft\u0131rmak i\u00e7in metodolojileri ve kaynaklar\u0131 ara\u015ft\u0131r\u0131n. Resim: Diyagram, Yazar\u0131n izniyle yer verilmektedir.<\/p>\n

Vaka \u00c7al\u0131\u015fmalar\u0131<\/strong><\/p>\n

Mandiant’\u0131n APT1 tehdit grubu hakk\u0131ndaki raporu.<\/a> <\/strong>2013 y\u0131l\u0131nda ABD’li Mandiant \u015firketi APT1 adl\u0131 bir tehdit akt\u00f6r\u00fcn\u00fcn faaliyetlerini \u00c7in Halk Kurtulu\u015f Ordusu’nun 61398 numaral\u0131 birimine atfetmi\u015ftir.<\/a> Bu \u00c7inli askeri grup en az 2006’dan beri aktifti ve en az 141 kurulu\u015fun g\u00fcvenli\u011finin tehlikeye at\u0131lmas\u0131na kaynakl\u0131k etmi\u015fti.<\/p>\n

Vietnaml\u0131 grup Ocean Lotus’un ara\u015ft\u0131rmas\u0131.<\/a> <\/strong>Alman kamu yay\u0131nc\u0131s\u0131 Bayerischer Rundfunk ve Zeit Online’dan gazeteciler, genellikle Vietnaml\u0131 yetkililerle ba\u011flant\u0131l\u0131 oldu\u011fu d\u00fc\u015f\u00fcn\u00fclen bir tehdit grubu olan Ocean Lotus taraf\u0131ndan kullan\u0131lan altyap\u0131y\u0131 ara\u015ft\u0131rmak i\u00e7in harika bir i\u015f \u00e7\u0131kard\u0131lar. Bu ara\u015ft\u0131rmada insan kayna\u011f\u0131 ile grup taraf\u0131ndan kullan\u0131lan alan adlar\u0131 ve sunucular\u0131n teknik incelemesi bir arada kullan\u0131lm\u0131\u015ft\u0131r.<\/p>\n

G\u00f6zetim firmas\u0131 Circles hakk\u0131nda Citizen Lab raporu<\/a>.<\/strong> Citizen Lab,\u00a0 \u0130nternet genelinde taramay\u0131 kullanarak Circles\u00a0 m\u00fc\u015fterilerine hizmet vermek i\u00e7in kullan\u0131lan yap\u0131land\u0131rmay\u0131 tespit edebilmi\u015ftir. Bu sayede Citizen Lab, \u0130srailli g\u00f6zetim \u015firketinin m\u00fc\u015fterisi olan 25 h\u00fck\u00fcmeti tespit edebilmi\u015ftir.<\/p>\n

Togo: Hackers-for-Hire in West Africa<\/b><\/a> Ekim 2021’de Uluslararas\u0131 Af \u00d6rg\u00fct\u00fc’n\u00fcn G\u00fcvenlik Laboratuvar\u0131\u00a0 Togo aktivistine y\u00f6nelik casus yaz\u0131l\u0131m sald\u0131r\u0131s\u0131 hakk\u0131nda bir rapor yay\u0131nlad\u0131. Bu sald\u0131r\u0131 daha sonra Innefu Labs adl\u0131 Hintli bir \u015firketle ili\u015fkilendirildi. Buradaki ili\u015fkilendirme, bir sald\u0131r\u0131n\u0131n arkas\u0131ndaki akt\u00f6r\u00fc belirlemek i\u00e7in sald\u0131rgan\u0131n altyap\u0131s\u0131nda yap\u0131lan teknik hatalar\u0131n nas\u0131l kullan\u0131laca\u011f\u0131na dair ilgin\u00e7 bir \u00f6rnektir.<\/p>\n

Ek Kaynaklar<\/strong><\/p>\n

Dijital Tehditler: Siber Ara\u015ft\u0131rmalar E\u011fitim Kursu<\/a><\/p>\n

Gazeteciler i\u00e7in Organize Su\u00e7lar\u0131 Ara\u015ft\u0131rma Rehberi: Siber Su\u00e7lar<\/a><\/p>\n

GIJN Kayna\u011f\u0131: Dijital G\u00fcvenlik<\/a><\/p>\n

\"EtienneEtienne \u201cTek\u201d Maynier<\/strong><\/a><\/i>, Uluslararas\u0131 Af \u00d6rg\u00fct\u00fc G\u00fcvenlik Laboratuvar\u0131’nda g\u00fcvenlik ara\u015ft\u0131rmac\u0131s\u0131d\u0131r. Sivil topluma y\u00f6nelik dijital sald\u0131r\u0131lar\u0131 2016’dan beri ara\u015ft\u0131r\u0131yor ve kimlik av\u0131, casus yaz\u0131l\u0131m ve dezenformasyon kampanyalar\u0131 \u00fczerine bir\u00e7ok ara\u015ft\u0131rma yay\u0131nlad\u0131. Kendisine web sitesinden<\/a> ya da Mastodon<\/a>‘dan ula\u015fabilirsiniz.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dijital tehditlere y\u00f6nelik GIJN siber su\u00e7lar\u0131 ara\u015ft\u0131rma rehberinin ikinci b\u00f6l\u00fcm\u00fc dijital altyap\u0131y\u0131 kapsamakta ve \u00e7evrim i\u00e7i ara\u015ft\u0131rma ara\u00e7lar\u0131n\u0131 ve kaynaklar\u0131 sunmakta. <\/p>\n","protected":false},"author":3031167,"featured_media":1193101,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_price":"","_stock":"","_tribe_ticket_header":"","_tribe_default_ticket_provider":"","_tribe_ticket_capacity":"0","_ticket_start_date":"","_ticket_end_date":"","_tribe_ticket_show_description":"","_tribe_ticket_show_not_going":false,"_tribe_ticket_use_global_stock":"","_tribe_ticket_global_stock_level":"","_global_stock_mode":"","_global_stock_cap":"","_tribe_rsvp_for_event":"","_tribe_ticket_going_count":"","_tribe_ticket_not_going_count":"","_tribe_tickets_list":"[]","_tribe_ticket_has_attendee_info_fields":false,"republication-tracker-tool-hide-widget":false,"footnotes":"","_tec_slr_enabled":"","_tec_slr_layout":""},"categories":[23203,23200,23202],"tags":[22477],"gijn_topic":[],"series":[],"gijn_language":[],"gijn_region":[18919],"class_list":["post-1214154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bolum","category-kaynak","category-kilavuz","tag-pegasus-tr","gijn_region-afrika-tr"],"acf":[],"ticketed":false,"_links":{"self":[{"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/posts\/1214154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/users\/3031167"}],"replies":[{"embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/comments?post=1214154"}],"version-history":[{"count":3,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/posts\/1214154\/revisions"}],"predecessor-version":[{"id":1222129,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/posts\/1214154\/revisions\/1222129"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/media\/1193101"}],"wp:attachment":[{"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/media?parent=1214154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/categories?post=1214154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/tags?post=1214154"},{"taxonomy":"gijn_topic","embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/gijn_topic?post=1214154"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/series?post=1214154"},{"taxonomy":"gijn_language","embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/gijn_language?post=1214154"},{"taxonomy":"gijn_region","embeddable":true,"href":"https:\/\/gijn.org\/tr\/wp-json\/wp\/v2\/gijn_region?post=1214154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}