Dünyanın öte yanından biri sizi stalklasa neler bulabilir ki?
Open-source intelligence, kısa adıyla OSINT, Türkçesiyle açık kaynak istihbaratı, aslında “stalklama” olarak günlük hayatımızda sık sık karşılaşabileceğimiz bilgi toplama metodu, halka açık bilgileri toplayıp korale ederek hedefle ilgili bilgi çıkarma amacıyla yapılan işlemlerin genel adı. Google’da kurum veya kişi aramak, Instagram fotoğraflarından konum incelemek, LinkedIn’den çalışan verilerini toplamak, “Hakkımızda” alanlarından kurumum yapısına bakmak, haritalardaki sokak görünümü ile cephe fotoğrafı paylaşılan kiralık evin tam konumunu bulmak, WhatsApp’ta son görülme takip etmek şeklinde farklı farklı örneklendirilebilir. Aktif veya pasif yöntemlerle yapılabilir.
Bu yazıda, yakın tarihte OSINT kullanarak gerçekleştirilmiş dört bilgi ifşası/araştırma olayını inceleyeceğiz.
OSINT Kullanım Örnekleri
1. Strava ve askeri üsler
Kullandığımız cihazlar hakkımızda birçok veri topluyor. Özellikle sağlık uygulamaları ve giyilebilir cihazlar, konumumuzdan kalp atışımıza kadar geniş bir aralıkta veri toplayıp analiz ederek kişiye özel öneriler sunabilmekte. Strava da bu uygulamalardan koşu ve bisiklet alanında özelleşen bir tanesi. Kişisel sporlarını bu uygulamalar ile takip edenler arasında askerler de var tabi.
Şirket, 2017 yılında yayınladığı bir güncelleme ile kullanıcılardan toplanan verilerden oluşturulan global ısı haritası yayınladı. İlk bakışta, çevrenizde sık kullanılan koşu-bisiklet rotalarını bulmanızı, yeni rotalar keşfetmenizi sağlayabilecek hoş bir çalışma. Ancak bu harita, çölün ortasında, dağın başında, savaşın ortasındaki Suriye’de alakasız yerlerde de hareketlilik gösteriyordu. Bir araştırmacının (Nathan Ruser) haritada karanlıklar arasında parlayan alanları Google Maps ile çaprazlayarak keşif yapılabileceğini fark etmesi ile Afganistan’daki Amerikan askerleri, Suriye’deki Türk birlikleri, Nijerya’daki Fransa üssü gibi dünyanın dört bir yanına dağılmış askeri üsler ortaya çıkmaya başladı. Bu üslerden bazıları Google Maps gibi platformlardan kaldırılmış, gizli bilgi olarak nitelendirilebilecek alanlar.
Araştırmacılar sadece burada kalmayıp, ısı haritasını uygulama üzerinden erişilebilen bilgiler ile çaprazlayarak kullanıcıların konumlarını ortaya çıkarabildiler. Kullanıcıların rota kullanım sıklıkları üzerine saat tahmini ekleyerek o kullanıcının rutin olarak bulunduğu konumlar bulunabilirdi.
Bu ifşalardan sonra Strava, kritik bilgilerin gizlenmesi konusunda adım atacağı açıklaması yaptı.
2. Kamerun’daki infaz
2018 Haziran’ında 2 kadın ve 2 çocuğun asker görünümlü bir grup tarafından infaz edildiği bir video paylaşıldı. Üzerine başlayan tartışmalarda olayın Kamerun’da mı Mali’de mi geçtiği konusunda anlaşmazlık vardı. Kamerun hükümeti, iddiaları videodaki asker üniformasının kendilerine ait olmadığını ve kullanılan silahların envanterlerinde bulunmadığını söyleyerek reddetti.
Eylül ayında BBC, videoyu farklı parçala bölüp coğrafi özellikleri harita verileriyle çaprazlayarak önce cinayetin işlendiği konumu bulduğunu paylaştı. Daha sonra, videodaki bitkilerin, zemin özelliklerinin ve görülen binaların uydu görüntülerindeki değişimlerini kullanarak bir tarih aralığı çıkardılar ve son olarak gölge boyundan cinayet saatini hesapladılar.
Bununla da kalmayıp, Kamerun hükümeti açıklamasında belirttiği asker üniforması ve silahları üzerine gittiler. Geçmiş fotoğraflar incelenerek silahların Kamerun ordusunda belli bir birlik tarafından kullanıldığı tespit edildi. Ayrıca Kamerun askerlerinin Facebook’ta paylaştığı fotoğraflarda videodaki üniformanın aynısı görülebiliyordu. Bununla birlikte Haziran’dan Eylül’e olan süreçte Kamerun hükümeti görüşünü değiştirmiş, yedi askerin soruşturmada olduğunu açıklamıştı.
2015’te farklı bir haber grubunun çektiği görüntülerde, keşfedilen konuma yakın bir Kamerun askeri karakolu bulunduğu görülebiliyordu. Videodaki konuşmalardan çıkarılan isimler ile yapılan bir Facebook aramasında Kamerun askerinin hesabına ulaşıldı. Bulunan isim Kamerun hükümetinin yayınladığı tutuklanan askerler listesinde de bulunuyordu. BBC, videodaki iki askerin daha kimliğini buldu.
Araştırmanın detaylarını incelemek için tweet serisine bakabilir veya BBC videosunu izleyebilirsiniz.
Binlerce kilometre uzakta çekilmiş bir videodaki bilgileri analiz edip halka açık kaynaklarla çaprazlayarak yapılan bu gazetecilik örneği muhtemelen tarihte bir ilktir.
3. Ukrayna’da Rus ordusu hareketleri
Rus ordusunun Ukrayna işgalini hepimiz biliyoruz. Yukarıdaki örneklerde askerlerin telefon kullanımının doğurabileceği sonuçlardan bazılarını gördük. Benzer durumlar, Ukrayna savaşında da karşımıza çıkıyor.
Rus ordusunun ilk harekete geçtiği zaman ve kullandığı yol, Google Maps’te “trafik sıkışması” olarak görülebilmekteydi. Bunun kaynağının Rus askerlerinin telefonlarından çok, askeri konvoyun geçtiği yoldaki sivil telefonları olduğunu söylüyor Dr. Jeffrey Lewis.
Ukrayna’daki siviller ve dünyanın dört bir yanındaki binlerce insan, paylaşılan videoları, fotoğrafları ve erişilebilir askeri kaynakları kullanarak sürekli bir araştırma halindeler. TikTok videolarını, internete açık güvenlik kameralarını, uydu görüntülerini kullanarak asker hareketlerini ve teçhizatı raporluyorlar. Aktif olarak devam eden bir durum olduğu için ayrıntılara girmeyeceğim. Twitter’da sayısız paylaşım bulabilirsiniz. Daha fazla detay için IntelCrab hesabını takip edebilir, ortaya çıkarılan birçok bilgiyi bu adreste inceleyebilirsiniz. Ayrıca paylaşılan görüntülerdeki kullanılamaz hale gelen askeri ekipmanları raporlayan bir site mevcut.
4. Milyarder Jeffrey Katzenberg’in hacklenmesi
OSINT tekniklerinin nasıl büyük çaplı kurum veya ordu bilgisi edinmek için kullanılabileceğini gördük. Aynı teknikler, kişi odaklı saldırılarda hazırlık için de kullanılabiliyor. Rachel Tobac ve Evan Tobac, Dreamworks’ün kurucusu Jeffrey Katzenber’in bilgisayarına girmeyi, mikrofonunu dinlemeyi, epostalarını okumayı, tarayıcı geçmişini görmeyi ve dahasını başardı.
İki hacker, legal olarak gerçekleştirilen bu deneye tabi ki izin alarak başladılar. İnternette yaptıkları araştırmada Katzenber’e yakın olarak çalışan Anthony Saleh’i keşfettiler. Tabi kimin taklit edileceğini bulmak yeterli değil. Hedefin iletişim bilgilerini, internette paylaşılan verileri analiz eden ve kişiler hakkında bilgi toplayan (ve satan) servislerde (bir örnek olması açısından Pipl) buldular. Bu servisler ne kadar OSINT kapsamına alınmalı bilemesem de, potansiyel bir siber saldırganın bu servislerden faydalanabileceği açık.
Hackin geri kalanı OSINT’in dışına çıkıyor. Önce kötü niyetli bir PDF hazırlayıp Saleh’in adresine benzer bir adresten eposta gönderdiler. Ses değiştirme yazılımı ve arka plan gürültüsü kullanarak, telefon numarasını da spoof ederek Katzenberg’i arayıp sadece “E-postayı aç” dediler. Katzenberg, acil durum olduğunu düşünerek aktif bir projenin raporu olarak görülen PDF’i bilgisayarına indirip açtığında tüm sistemi ele geçirilebildi. Burada dikkat edilmesi gereken durum Katzenberg’in güncel olmayan ve zafiyetli uygulamalar kullanıyor oluşu.
Saldırının ayrıntıları için YouTube videosunu izleyebilirsiniz.
Metadata ve Önemi
Türkçe ismiyle üstveri, ana verinin içeriğinden bağımsız, ana veriyle ilgili diğer bilgilerdir. Bir fotoğrafın çekilme tarihi, fotoğrafı çeken kameranın teknik özellikleri, gönderilen mesajların gönderici-alıcı bilgileri, telefon görüşmesinin süresi gibi örneklenebilir. Tek başına verildiğinde pek anlam ifade etmese de, üstverilerin kendi içlerinde çaprazlanması ile kritik bilgiler açığa çıkarılabilir. Birçok telefon, çekilen fotoğrafın konumunu kaydetme özelliği içerir. Fotoğrafı paylaştığınız sosyal medya platformu, bu üstverileri temizlemiyor ise, istemeden konumunuzu da tüm takipçilerinizle paylaşıyor olabilirsiniz. Dosyaların bir kısım üstverisine dosya ayrıntılarına bakarak ulaşabileceğiniz gibi, ExifTool aracını deneyebilirsiniz.
OSINT süreçleri, yalnızca görülen veri ile değil, o veriye bağlı üstverileri araştırarak da yapılmaktadır.
Üstveri, kendi başına bir araştırma konusu. Pek detayına girmeden birkaç kullanım alanından bahsedeceğim.
Birkaç hafta önce Elsevier yayıncılık şirketinin, yayınladığı bilimsel makalelere, erişen kullanıcıya özel bir üstveri eklediği keşfedildi. Bu veri sayesinde internette izinsiz (kesinlikle kulanılmasını desteklemediğim (!) SciHub veya LibGen gibi platformlarda) paylaşılan bir PDF’in kim tarafından paylaşıldığı tespit edilebilirdi.
Benzer bir kullanım bazı yazıcılarda da mevcut. 80’lerde geliştirilip varlığından 2004’te haberdar olduğumuz bir teknoloji. Kullanılan yazıcı her kağıda gözle görülemeyecek boyutta kendi imzasını bırakıyor, bu imza ile çıktı alınan kağıdın hangi yazıcıdan çıkartıldığı tespit edilebiliyor, yazıcı seri numarası takip edilerek nerede ve kime satıldığı bilgisine erişmek için kullanılıyordu. Detaylarını merak edenler wiki makalesini inceleyebilir.
Üstveri dijital reklamcılık sektöründe de aktif olarak kullanılıyor. Aynı Wi-Fi ağına bağlı cihazların GPS verisi kapalı olsa bile aynı ortamda bulundukları sonucunu çıkarmak, rutin bir şekilde belli saatlerde telefonda konuşan insanların ilişkisini tahmin etmek gibi şeyler yalnızca üstveri analiziyle gerçekleştirilebilir. Bu konuyu başka bir yazıya bırakıyorum.
Son olarak, eski CIA ve NSA direktörü General Michael Hayden’ın sözünü alıntılayacağım: “We kill people based on metadata” (Üstveriye dayanarak insan öldürüyoruz)