İçeriğe geç

Önay Metin Kıvılcım Yazılar

Propaganda ve Psikolojik Harekat

Not: Öncelikle, yazının başında belirtmek istiyorum ki bu çok derin ve uzmanlık gerektiren bir konu. Ben bu yazımda elimden geldiğince/bildiğim kadarıyla konuyu size anlatmaya çalışacağım.

Türkiye olarak gerek sosyo-politik durumumuz gerekse jeopolitik konumumuz nedeniyle, çetin bir bölgede yer almaktayız. Farklı kaynaklar kendi emelleri doğrultusunda üzerimizde olağanüstü derecede psikolojik baskılar yapmaktalar. Bu nedenle ilgili olaylar karşısında olabildiğince konjonktürel düşünmeliyiz.

Ülkeler, amaçları doğrultusunda kendilerine stratejik, operatif ve taktik olmak üzere amaçlar edinir. Bu amaçları büyüklüğüne göre sıralamak gerekir ise “Stratejik > Operatif > Taktik” şeklinde sıralanabilir.

Stratejik:
Ülkenin uzun vadede (40-50 yıl) yapmak istediği planlara verilen isimdir. Örnek vermek gerekir ise Suriye bölgesinin Türkiye çıkarlarına göre değiştirilmesi (Bölge halkının Türkiye’yi sevmesi, terör örgütlerine direnç göstermesi vb.)

Operatif:
Stratejik amacı gerçekleştirmek için yapılması gereken daha küçük hedeflerdir. Üstteki örneğimiz için ilgili bölgenin terör örgütlerinden temizlenmesini örnek verebiliriz.

Taktik:
Operatif amacın başarılı olması için yapılan ufak ve çok olan hedeflerdir. Yine üstteki örneğimiz için ilgili bölgeye özel kuvvetlerin sahalara sızıp işaretleme yapması ve bu alanların İ.H.A. lar ile vurulması verilebilir.

Ülkeler her zaman konveksiyonel güçler ile amaçlarına ulaşamaz veya kalıcı olamaz. Bu nedenle ülkeler konveksiyonel güçlerinin yanında psikolojik harpte düzenlemelidir. Örneğin bir bölgede terör örgütünü yok ettikten sonra bölgede terörün tekrar oluşmaması için terörü besleyen unsurlarında (yaşam şartları, eğitim/sağlık hakları vb.) düzeltilmesi gerekir. Aksi takdirde kısır bir döngü gibi bölgede terör eylemleri hiç bitmeyecektir.

Psikolojik Harp Nedir?
Bir topluluğun bir topluluk/kişi üzerinde menfaatlerini gerçekleştirmek üzere iletişim araçları ile uyguladığı faaliyetlere denmektedir. Amaç, fiziksel güç kullanmadan hedef zümrenin düşüncesini değiştirmek, psikolojik olarak yormak ve hedeflerine ulaşma isteğini azaltmak veya yok etmektir. Psikolojik harp gerçekleştirilmeden önce psikolojik harp istihbaratı gerçekleştirilir. Bu aşamada hedef unsurun zafiyetleri tespit edilir. Unsuru en çok etkileyen konular (din, para, milliyetçilik vs) belirlenir. Bu değerler üzerinden nasıl bir yol izleneceğine karar verilir. Bu aşamada ne kadar iyi bilgi toplanır ise psikolojik harbin başarılı bir şekilde gerçekleştirilmesi o kadar olası olur. Psikolojik savaş, konveksiyonel savaşta olduğu gibi kısa vadede sonuç alınalabilecek bir alan değildir. Sonuç alınabilmesi için yıllar hatta asırlar gerekecektir. Fakat uzun sürdüğü gibi etkisinin yok edilmesi de bir o kadar uzun sürecektir. Psikolojik harp istihbaratında tespit edilen hedefler kendi lehine çevrilmeye/değiştirilmeye başlanır. Bunun için uygulanan en güzel yöntemde propagandadır.

Propaganda Nedir?

“Propagandada beyinlere her gün 1 cm çivi çakacaksın, 40 günde 40 cm girecek, girdiğini kimse hissetmeyecek, böylece yalan gerçek olacak” – Goebbels

Propaganda, tahmin ettiğiniz gibi bir amaç uğruna kamuoyundan destek toplamak/ kamuoyu düşüncesini değiştirmek/düşüncesini oluşturmak amacı ile yapılan faaliyetlere denmektedir. Bu faaliyetlerde etkilenmesini istediğiniz kitleye göre iletişim araçları değişmektedir. Propaganda için broşür, poster, TV, radyo, reklam panoları ve şarkılar gibi toplum tarafından görünecek/duyulacak araçlar kullanılmaktadır. Burada belirtmek istediğim önemli bir nokta var. Genelde propaganda için sadece “bir yalanın insanlara yutturulması” şeklinde düşünülmekte. Bu amaçla kullanılmasına karşın doğru haberlerin yayılması için yapılan çalışmalara da propaganda denildiği unutulmamalıdır. Aynı şekilde doğrular arasından kendi çıkarları için en uygun olan doğruyu seçip onu ön plana çıkartarakta propaganda yapılabilir.

Propaganda Türleri Nelerdir?
Propaganda da kendi içinde sınıflara ayrılmaktadır. Bu sınıflar beyaz, gri  ve kara olmak üzere 3 e ayrılmaktadır.

Beyaz Propaganda:
Propaganda kaynağının bilindiği, kaynağın bilerek kendisini gösterdiği propaganda türüdür. Örnek olarak seçim zamanı siyasi partilerin yaptığı propagandalar örnek gösterebilir.

Gri Propaganda:
Kaynağı ve doğruluğu net olarak kanıtlanamayan fakat çürütülemeyen de propaganda türüdür.

Kara Propaganda:
Kaynağı ve doğruluğu bilinmeyen propaganda türüdür. Genelde terör örgütleri kullanmaktadır.

Propagandaya maaruz kalan kişilere karşı fiziksel bir güç kullanılmamalı, baskı ile kontrol altına alınmamalıdır. Baskı ile kişilerin kontrol altına alınması yapılan propagandayı daha etkili kılacaktır. Propagandaya karşı yapılabilecek en etkili yöntem karşı propanda yapmaktır.

Çanakkale savaşında Propaganda ve Psikolojik Savaş

Blog yazısının resmi olarak da kullandığım broşür, Çanakkale savaşında uçak ile İngilizler tarafından toplanan askerlerin üstlerine bırakılmıştır. Yapılan bu propaganda faaliyeti ile düşman unsurların savaşma isteklerini azaltmak hedeflenmektedir. Çanakkale savaşı bittikten sonra Mustafa Kemal Atatürk aşağıdaki sözleri söylemiştir.

“Bu Memleketin toprakları üstünde kanlarını döken kahramanlar! Burada dost bir vatanın toprağındasınız. Huzur ve sükun içinde uyuyunuz. Sizler Mehmetçiklerle yanyana koyun koyunasınız. Uzak diyarlardan evlatlarını harbe gönderen analar! Gözyaşlarınızı dindiriniz. Evlatlarınız bizim bağrımızdadır, huzur içindedirler ve huzur içinde rahat rahat uyuyacaklardır. Onlar bu toprakta canlarını verdikten sonra artık bizim evlatlarımız olmuşlardır.” – Mustafa Kemal Atatürk

Bu sözleri ile Mustafa Kemal Atatürk, bir daha ki olası bir Türkiye saldırısında savaşması için oğlunu gönderen anne/babaların tekrar düşünmesini sağlamaktır. Cümledeki “uzak diyarlardan” kelimesi de bunu hedeflemektedir. Bu söz karşı tarafta “bizim taa oralarda ne işimiz var?” sorusunu akıllara getirecektir.

Algı yönetimi ve propaganda o kadar önemlidir ki Atatürk’ünde ilk yaptığı işlerden biri Anadolu ajansını kurmaktır. Bu sayede kurtuluş savaşı sürecinde halkın, dış ülkelerin propagandalarından ve algı oyunlarından en az şekilde etkilenmesini amaçlamıştır.

P.K.K. (Kürdistan İşçi Partisi) ile Mücadelede Örneği

Örneğin P.K.K. terör örgütünü destekleyen forum sitelerinde P.K.K. yandaşı bir profil oluşturularak, (aylar/yıllarca beslenmiş bir profil ile) psikolojik olarak destek kitlesinin inancını azaltmak adına T.S.K. nın son müdahalelerinden sonra ümidin azaldığını, tanıdığı bir çok P.K.K. lı örgüt üyesinin davayı (!) bıraktığı yönünde paylaşımlar yapılabilir. Bu ve benzeri girişimler terör örgütü mensuplarının silahı bırakıp teslim olmasına neden olmasa bile örgüte ileride girmek isteyecek kişilerin bu amaca olan inancını azaltacaktır. Böylelikle terör örgütüne 10 kişi katılacakken bu rakam 6 ya düşecektir.

Haberlerde, gazilerin; “bir an önce iyileşip, silah arkadaşlarımın yanına dönmek istiyorum!” dediğinin haber yapılması da Türkiye’nin terör ile mücadelede kararlı olduğunu vurgulamak için yapılmaktadır.

“TSK, El-Bab’dan Çekiliyor!” Propagandası

Haberde de bahsedildiği üzere sosyal medyadaki terör yandaşlarının yurt içindeki uyuyan hücreleri harekete geçirmek, Türkiye’den TSK ya karşı savaşmak için nüfus toplamak, T.S.K.’yı güçsüz göstermek vb. amaçlar için yapılmış bir kara propaganda örneğidir.

D.A.E.Ş.’in “T.S.K. Suriye’de Sivilleri Öldürüyor!” Propagandası

Savaş alanında kaybetmeye başlayan D.A.E.Ş., T.S.K.’nın Suriye’de müslüman sivilleri vurduğu algısını yaratmak için 3 Ocakta bir video yayınladı. Vurdukları alanlarda D.A.E.Ş. olmadığını, sadece sivillerin olduğu algısını yaratmak istiyordu.

Bu propaganda ile neyi amaçlıyor?:

  • Ülke içindeki uyuyan hücreleri (D.A.E.Ş.’in bir önceki videosunda da “Daha ne duruyorsunuz? Daha neyi bekliyorsunuz?” denmişti.) harekete geçirmek.
  • Uluslararası arenada T.S.K.’yı zor duruma düşürmek,
  • Yapılan mücadelenin haklılık payını azaltmak
  • Yapılan operasyonları geciktirmek.

Türkiye buna karşı ne yaptı?:

Anadolu Ajansı, TSK nın DAEŞ ten temizlediği Cerablus’dan bir video yayınladı. Videonun ana teması “TSK altında Suriye halkı güvende”. Videoda güvende olan, eğitim gören, sağlık hizmeti alan bir halkın olduğu gösterilmekte. Aynı şekilde İyilikder’in “İyilik Okulları” kapsamında Suriye’de 30 okulda eğitim verilmesine destek olduğu görülmekte. Bu yardımlar insani olmanın dışında tabi ki ulusal güvenliğin dolaylı bir aşaması. Oradaki küçük bireyler “Türkiye dost ülke, bize yardım etti.” algısıyla büyüyecek. (Türkçe – Arapça tabela) İleride tekrar bir terör örgütü oluşmasını/güçlenmesini zorlaştıracaktır. Yine dağıtılan çantalarda Türk bayrağı olması, “Türk dosttur” algısının her gün yenilenmesi için. Okula giden çocuk her gün o çantayla gidecek. O çantaya kitap defteri koyan anne “Türkiye sayesinde çocuğum güven içinde okuyabiliyor” algısını benimseyecek.

İyide anne bunu düşünse ne olur? Düşünmese ne olur? diyebilirsiniz. Y.P.G., yarın bir gün oraya savaşmak için adam toplamaya geldiğinde, 18 yaşına kadar o çanta ile okula gitmiş çocuk/anne bu kişilere direnç gösterecektir. Aynı şuan Halep’te olduğu gibi. Belki önümüzdeki 2-3 sene içerisinde bu basit okul çantalarının bir faydası olmayabilir. Ama ileride faydasının olmaması mümkün değil.

Azez de Türkiyenin eğitmiş olduğu Suriyeli polisler

HackingWars – Cyber Intelligence Çözümleri

Öncelikle CTF e katılan ve emek gösteren tüm arkadaşlara teşekkürler. Umarım güzel ve eğlenceli bir yarışma olmuştur. Geçen seneden biraz farklı olaran Twitter üzerinden troll tweetler atamadık. Bunun nedeni ülkemizde üzücü haberlerin olması. Dilerim bu terör belasından en kısa zamanda kurtuluruz. Bu soruları tek başıma hazırlamadım. Bana yardım eden gizli bir arkadaş var. Onun emeğide oldukça fazla.

1-) Watch (100 Puan): 

Soruda bir adet saatlerden oluşan fotoğraf ve BEATLES grubunun HELP! (https://en.wikipedia.org/wiki/Help!_(album)) albümünden “The Night Before” adlı şarkı vardı. Ve tabi ki bu ikisi arasında bir ilişki. Şarkıyı Shazam vb. uygulamalar ile dinlettiğinizde ismini bulabilirdiniz. İlk olarak şarkı sözlerine bakmak aklınıza gelecektir. Oradan bir sonuç alamayınca albüme bakacaktınız. Albüm kapağında zaten Flag Semaphore (https://en.wikipedia.org/wiki/Flag_semaphore) kullanıldığını fark etmeniz gerekiyordu. Fotoğraftaki bazı saatlerde akrep ve yelkovan yoktu. Bunları kenara attığınızda geri kalan saatlerde rakamların olmadığını göreceksiniz. 1 den 6 ya kadar rakamlar farklı farklı saatlerde kayboluyor. Bu harflerin sırasını belirtmekte. Flag semaphore a göre tek tek harfleri çıkardığınızda “kansha” yazacak. Bunuda Flag formatına uygun hale getirdiğinizde 1. soruyu çözmüş oluyorsunuz.

2-) Two e-face (200 Puan):

 Soruda üstteki fotoğraf bulunmakta. Fotoğraftan exif bilgileri (Oradada bir şey yok.) dışında çıkarılabilecek tek bilgi bir e-posta adresi olan “quirtyer@hotmail.com”. Malum günümüz dünyasında her şey sosyal medya demek. Elinizde böyle bir e-posta olduğunda herhangi bir sosyal medya hesabı var mı? ya da bir yerde leak olmuş mu diye bakarsınız. Bir yerde leak olmadığını gördüğümüzde “Quirtyer” kelimesini Twitterda aratıyoruz. Arattığımızda karşımıza aşağıdaki hesap çıkıyor. (Sorunun adıda bu profil fotoğrafından geliyordu)

Bu hesabı incelediğimizde hakkında kısmında “Brena Scanlon” yazdığını ve beğendiği gönderilerde LinkedIn e ait bir paylaşımın olduğunu görmekteyiz.

Bu iki bilgiye istinaden LinkedIn sitesinde bu şahsı aradığımızda sözde Yale üniversitesinde okuyan bir profil buluyoruz. Kolaylık olması açısından bu profilin desteklediği organizasyonlar arasında “dump” ve “leak” anahtar kelimeleri bulunuyor. Aynı sayfada “aidenmcnamara@gmail.com” e-posta adreside bulunmakta. Bu e-postaya ait bir veri sızıntısı var mı diye kontrol ettiğinizde “hercules” parolasına sahip bir sızıntı buluyorsunuz. Bu sorunun cevabıda hercules in flag formatına sokulmuş haliydi.

3-) Deep Space (300 Puan):

Bu soruda bir adet QR kod verilmekteydi. Bir QR kod ile yapabileceğiniz tek şeyde QR kodda bulunan adrese gitmektir. QR kodu bir kamera vasıtasıyla okutup, “https://archive.org/details/@danielrivera” adresine gitmeniz gerekiyor. Bu adrese gittiğinizde “DanielRivera” adlı bir kişinin archive.org profili ile karşılaşmaktasınız. Bu profilde bir adet fotoğraf ve “programmer, open source” anahtar kelimeleri bulunmakta. Adreste bulunan fotoğraf aşağıdaki şekilde.

Fotoğrafa bakan ve bilgisayar oyunlarına meraklı tüm arkadaşlar “Vault 101” kelimesinden direk olarak Fallout serisine gönderme yaptığımı göreceklerdir. (Buradan tüm Fallout dünyasına selamlar olsun.) İlgili sayfadaki anahtar kelimeleri ve fotoğraftaki “Nerenyum Project” i birleştirdiğinizde bu projeyi Githubda araştırmanız gerektiğini fark edecektiniz. Arattığınızda aşağıdaki gibi bir ekran ile karşılaşmaktasınız. İlgili projede zaten tek bir cpp dosyası mevcut.

Bu dosyanın içindeki kodları okumaya başladığınızda bir yorum satırında Youtube linki bulunduğunu göreceksiniz. Bu Youtube videosunu açtığınızda aktif olmadığını, açıklama kısmındaki yeni linki görecektiniz. O linke gittiğinizde NASA nın canlı olarak Youtube üzerinden yayınladığı yayını görecektiniz. Bu sorunun flagi ise belli zaman aralıkları ile bu videonun chat kısmında paylaşılmakta. Desem inanırdınız. Maalesef acı gerçek ile tanışmanın vakti geldi. Aslında bu sorunun adının deep space olmasının nedeni sizi uzay boşluğuna atması. Düzgün bir şekilde OSINT yapmazsanız kendinizi bulacağınız o dipsiz kuyu, uzay boşluğu. Kim bilir bu youtube linkinden yarışmacılar daha nerelere nerelere gittiler. Fakat flag size verilen ilk QR kodunun içerisinde gizliydi. QR kodu notepad++ vb programlar ile açtığınızda “descc” kısmında base64 ile encode edilmiş bir şekilde sizi beklemekteydi : ) (Bu blog yazısındaki fotoğrafta bulamazsınız.)

4-) Find this guy please (400 Puan): Bu soruyu ben hazırlamadığım için anlatmayı uygun görmedim. Fakat Githubdaki flag.txt içerisinde gizli değildi onu belirtmek istiyorum.

5-) The Witcher (500 Puan): 

Bu soruda yine yarışmacılara bir ekran görüntüsü verildi. Ekran görüntüsü Telegram adlı bir konuşma uygulamasına ait. İlgili görselde Steam indirim günlerinin geri sayımını yapan bir link ve Tenkirty takma ismi bulunmaktaydı. Burada da yine iki parçayı birleştirdiğinizde Tenkirty takma ismini Steam üzerinde aramız gerektiğini anlıyordunuz. İlgili profile girdiğinizde aşağıdaki sayfa ile karşılaşıyordunuz. Bu sayfada hack, game ve live channel anahtar kelimelerinizdi. Ayrıca Steam kötü özelliklerinden (bana göre) biriside eski takma isimlerinizin silinmemesi. Takma ismin yanındaki aşağıya bakan ok a tıkladığınızda eski takma isimleri göstermekte.

Eski takma ismi ve “live channel” anahtar kelimelerini birleştirdiğinizde günümüzde çok popüler olan Youtube veya Twitch gibi oyun severlerin uğrak mekanlarından olan platformlarda bu eski takma ismi aratmanız gerekmekteydi. Youtubedan bir şey çıkmayınca, Twitch de arattığınızda https://www.twitch.tv/kultying/v/94149960 adresini buluyordunuz. Mafia3 oynanan bir video. Videonun 3:10 saniyesinde oyun kapanıp, ekranda bir not defteri belgesi beliriyor.

Not defterindeki adrese gittiğinizde “zombie_pc_list” adlı bir dosya indirmektesiniz. Bu dosya bir Truecrpyt containerı. Bu dosyayı açmak için bir parolaya ihtiyacınız var. Rockyou.txt gibi sözlüklerle kırabileceğiniz bir şifre değil. Sorunun başında verilen Telegram konuşmasının exif bilgilerinde parola bulunmaktaydı. Bu parola ile Truecrypt containerını açtığınızda içindeki .txt belgesinde flag bulunmaktaydı.

Umarım soruları beğenmişsinizdir. Başka bir zaman, başka bir CTF de görüşmek dileğiyle!

Ladesin HUMINTe Faydaları

Lades nedir?
İki kişinin, tavuğun lades kemiğinin birer ucundan tutup kırmasıyla başlayıp, içlerinden birinin herhangi bir şeyi ötekinden “aklımda” demeksizin alması durumunda yenilmiş sayılmasıyla sonuçlanan oyun.

HUMINT nedir?
İnsanlar aracılığı ile elde edilmek istenen bilginin toplanması ve analiz edilerek raporlanmasıdır. Tahmin edebileceğiniz gibi burada bilgiyi toplayacak kişinin yetenekleri ön plana çıkmaktadır. İyi bir sosyal mühendislik yeteneği, hızlı düşünme ve kullandığı profili iyi benimsemek bunların başlarında gelmektedir. Ama istihbaratın olmazsa olmazı olan “sabır” da unutulmamalıdır. Bilgiyi elde etmek için ne kadar acele edilirse o kadar başarı şansı az olacaktır. Hızlı olmak hem karşı taraftaki kişiyi kuşkulandıracak hemde kişinin analizi yeterince yapılamadığından riski arttıracaktır.

Bu yüzden elde etmek istediği bilgiye sahip olan kişiye karşı sabırlı olmalı, güvenini kazanmalıdır. Güven kazanmak HUMINT’in altın anahtarıdır. Kişinin zaaflarını kullanarak, tehdit ederek elde edilecek bilgiler, normal yolla elde edilecek bilgilerden her zaman daha fazla risk/hata payı barındırmaktadır. Sinyal istihbaratı veya siber istihbarat ile elde edilemeyecek bilgiler HUMINT ile elde edilebilmektedir.

Peki ladesin bunca şeyle ne ilgisi var?
HUMINT, kendinizi geliştirmek adına yapabileceklerinizin sınırlı olduğu bir alandır. Ne kadar sosyal mühendislik kitapları okusanız, tekniklere dikkat etsenizde işin sonunda başarılı olmanız tecrübenize kalmaktadır.

Lades, yapısı gereği kısa süren (maks 1 hafta) bir oyundur. Bu süre zarfında güven kazanmak gibi bir amaç yoktur. Zaten lades oynadığınız kişi, tanıdığınız birisi olacağından güven faktörü burada önemsizdir. Geriye kalan sabır ve sosyal mühendislik etkenleri ise lades oyunu için geçerlidir. Buda kendinizi HUMINT için geliştirmek adına güzel ve basit bir yoldur. Lades oynarken aslında bir çok şeyi hesapladığımızı gözümüzden kaçırmaktayız. Peki nedir bu gözümüzden kaçanlar derseniz elimden geldiğince anlatmaya çalıştım.

Sabretmek:
Hepimiz lades oynadık ve lades başladıktan 5 dk sonra kimsenin ladesi unutup kaybetmeyeceğini biliyoruz. Öncelikle rakibin oyunu unutması için zaman tanımalısınız. Ve tabiki bu zaman içerisinde sizde unutmamalısınız. ( 🙂 )

Dikkatini dağıtmak:
Fakat üzerinden yeterince zaman (1 gün) geçse bile rakibinize bir şey verdiğinizde aklına gelmesi muhtemeldir. Bu faktörü aşağıya çekmek için onun kafasını doldurmalı\bulandırmalısınız.

Örneğin ladesi şirketinizden bir arkadaşınız ile oynuyorsanız ona normal zamanından daha çok iş vererek\yapmasını isteyerek kafasını yormaya çalışabilirsiniz. Arkadaşınız verdiğiniz işleri nasıl yapacağını, önce hangisini yapacağını düşünmeye başlayacaktır. Fakat her beyin için bunlar yeterli gelmeyebilir. Bu faktörü daha etkin bir şekilde kullanmak adına işlerin bitiş tarihini normalden daha erken bir tarihe çekebilir, patronun “bu iş daha bitmedi mi?” gibi sorular sorduğunu söyleyebilirsiniz. Bu kişiyi stres altına sokacak ve işleri bir an önce bitirmek için bütün konsantrasyonunu işlere vermesini sağlayacaktır. Bütün dikkatini işlere vermişken bu anı değerlendirip lades yapmaya çalışabilirsiniz.

Baskı kullanmak:
Her şirket verimli çalışabilmek için belli bir hiyerarşide çalışır. Her bölümün bir müdürü bulunmaktadır. Her çalışan kendini müdürüne karşı sorumlu hisseder. Örneğin bir iş arkadaşınız aradığında yetişemeyip telefonu açamadığınızda mı daha fazla stres olursunuz yoksa patronunuz aradığında mı?

Arkadaşınızı telefondan arayarak, telefonu yanına götürüp verebilir ve lades denemesinde bulunabilirsiniz. Arkadaşınız aramaya yetişebilmek için hemen telefonu alıp açmaya çalışabilir. Fakat arkadaşınız biraz daha dikkatli bir ise durumu anlayabilir ve aklımda diyebilir. Şansınızı arttırabilmek adına arkadaşınız üzerindeki baskı arttırabilirsiniz. Örneğin “Abi al CEO arıyor.” dediğinizde arkadaşınız kendinden daha yetkili biri onu aradığından dolayı üstünde baskı hissedecek ve içten içe “acaba benden ne istiyor” düşüncesine kapılacaktır. Bu lades şansınızı biraz daha arttırır. Fakat daha da arttırmak için “Abi CEO arıyor ve fena sinirli” diyerek arkadaşınızın kafasında “Neden sinirli ki? Benden xyz yi istedi acaba ondan dolayı mı? Ama onuda yaptım” vb düşünceler oluşturacak ve kafasında bir dizi soru işaretleri uyandırabilirsiniz. Arkadaşınız telefonu aldığı o 3-4 saniyelik dilimde bunları düşünmekten ve aramaya yetişebilmek adına hızlı davranması gerektiğinden dolayı lades düşüncesini aklına getirmeyecektir.

Burada “Abi CEO arıyor ve fena sinirli” derkenki jest ve mimiklerinizde oldukça önemli. Daha inandırıcı olması adına alt dudağınızı ısırıp kafanızı sağ-sola sallayabilirsiniz. Bu hareketler karşı tarafta cümlenizin daha da etkili olmasını sağlayarak başarı şansınızı arttıracaktır.

Gördüğüz gibi basit bir lades oyunundan bile öğrenilecek çok şey var. Tabiki HUMINT bu anlattıklarımdan çok daha fazlasıdır. Bahsettiklerimle sınırlandırmamak gerekir. Lades sadece kendinizi birazcık geliştirmenize faydalı olacaktır.

DKHo CTF Çözümleri

Merhabalar, Dünyayı Kurtaran Hacker’ın Oğlu (DHKo) CTF’i hakkında bir yazı yazmak istedim. 2012 nin aralık ayında (Bu mayalara göre kıyamet zamanları) düzenlenen ve benimde katıldığım yarışmanın 2. Sini düzenledik. Tabi bu yarışma benim için daha farklı şeyler ifade etmekte. İlkinde hayranı olduğum insanların düzenlediği bir yarışmaya lise yıllarımda girip elimden geleni yapmış, şimdiyse soru aynı yarışmada soru hazırlayan biri oldum. Bunun bana hissettirdiği duygu tabiki ayrı bir güzel.

2012 yılında dünyayı kurtaran abimizin birde oğlu varmış! Benim “İkinci Dalga DKH CTF’i” olarak adlandırdığım bu CTF’te de oğlunun hikayesini konu alıyoruz. DKH kaçırılmış ve oğlu DKH’ı, yani babasını arıyor. 7 kategori ve her kategoride 5 sorudan oluşan bu yarışmada bu şekilde başlamış oluyor. Ben siber istihbarat hakkındaki soruları Can hoca ile beraber hazırladım. Soruları hazırlarken olabildiğince “benzersiz”(uniq) olmasını istedik. Ve sanıyorumda bunu başardık. Benim en çok eğlendiğim kısım insanların gazeteyi bulmak için verdikleri o uğraş oldu. Kimisi çöpleri karıştırmış, kimisi komşuluk ilişkilerini tekrardan canlandırmış, birisi berbere mi gitsem diyordu. Bir kişide bayinin önünde bekliyordu.

Böyle bir CTF yaptığınız zaman beklediğiniz şeyde tabiki geri dönüşler oluyor. Sağ olsun arkadaşlar sürekli tweetleri ile bizi gülmekten kırdı geçirdi. Sanki herkes birbirini tanıyormuşta buluşup bir etkinlik yapmışız tadında bir CTF oldu diye düşünüyorum. Tekrar bütün o tweetleri atan arkadaşlara burdan teşekkürler! Bu CTF’in en kötü yanı, CTF bittikten sonra ki o boşluğa düşüş oldu. Bir kaç arkadaştanda gördüm ki aynı duyguları onlarda yaşamış. CTF bitti herkes “ee ne olacak şimdi? Ne yapacağım ben?” düşüncesine kapılmış. Ama her güzel şeyin malesef bir sonu vardır arkadaşlar.

Neyse daha fazla uzatmadan sorulara geçeyim.

The Good Old Days (100):

Soru: Evimizdeki boş bir kutuda babamın eski bir cep telefonunu buldum. İlginç olan cep telefonunda böyle bir fotoğrafın olması. Belki bu fotoğraf bir şeyleri açıklığa kavuşturur.

Not: Küçük harfler ile giriniz.

Çözüm: Verilen barkod fotoğrafında aşağıdaki rakamlar gözükmemekte. Bu yüzden çıplak gözle bu ürünün ne olduğunu anlamak imkansız. Ama yarışmacıların yapması gereken basitti ve bu barkodu online bir sitede (http://www.onlinebarcodereader.com/) taratıp rakamları elde edeceklerdi. Siteye fotoğrafı yüklediğinizde zaten direk “8690624303612” rakamlarına ulaşıyordunuz. Google babaya bu rakamları verdiğinizdede Çerezza süt mısırı 55gr çıkıyordu. Burada yazım sıkıntısı yaşanmasın diye cevabı “çerezza” yapmıştık. İlk “c” ile deyenler olmuş fakat sanıyorum ki ikinci denemede yapmışlardır. Sorunun adı nerden geliyor derseniz. EE hepimiz küçükken cips alıp yiyordu mahallede arkadaşlarla. Tatlı sert anılarımızda vardır. O yüzden böyle bir isim koyayım dedim.

The Perfect Choice (200):

Soru: Telefonu biraz daha kurcaladığımda mesajlarda bir evden bahsediliyor. “İkisi bu kadar mı denk gelir arkadaş hahaha” yazan bir mesaj var. Babamı takip eden ajanlar tarafından gizli kapaklı konuşulmuş. O ev her nerdeyse babama giden ipucu yakınlarında olmalı!
Not: Küçük harfler ile giriniz.

Çözüm: Sorunun bulunduğu sayfada steampunk temalı bir ev fotoğrafı bulunuyor. İlk başta arkadaşlar bu ev üzerinden denemeler yapmışlar fakat o fotoğrafın çözüm ile alakası yoktu. Sadece yarışmacıya “bir ev bulmalısın” demenin alternatif yoluydu. Ki bunuda soruda zaten belirttik. Her neyse soruda bir adet .kml dosyası vardı. Bilmeyenler için açıklıyayım .kml dosyası Google Maps için kullanılan bir format. Kişisel haritanızı (işaretlemeler, çizgiler vs.) oluşturmanızı ve bunu çevrimdışıda yanınızda taşıyabilmenizi sağlıyor.

.kml nin ne formatı olduğunu öğrenen/bilen herkesin işi Google haritalarda bu dosyayı açmak oldu. Fakat herkes açtığında çizilmiş bir kaç yoldan başka bir şey göremedi. Fakat sol tarafa baktığınızda Güzergah 1 in olup 2 nin olmadığını ama 3ün yine olduğunu ve bu şekilde gittiğini görmekteydiniz. Ee tabiki bir CTF’te bu yarışmacıları kıllandıran bir durumdur. Neden böyle eksik bu güzergahlar diye düşünürken tabiki arkadaşların aklına “bu dosyanın içeriğine birde yazı editörü ile bakalım ne varmış?” demek geldi. Dosyayı açtıklarında karışık bir format olmadığını dosyanın içerisinin XML formatında olduklarını gördü. İçerikte, bütün güzergahların (haritada gözükmeyenlerinde) olduğunu ve bu kordinatların yorum satırı ile pasifleştirildiğini fark ettiler. Yorum satırında çıkarıp tekrar haritalarda açtıklarında ise haritada “SİFTAH” yazdığını fark ettiler. Bazıları fark etmemiş ve çıkan tüm sokakları street view ile gezmiş. Onlara yazık olmuş cidden. Neyse devam etmem gerekirse iyide bu ne demek bu SİFTAH ?

Tabiki bu yazıyı bulan arkadaşlar “bu ne ya?” deyip direk yine Google Maps’te arattılar. Ve karşılarına Kadıköyde bulunan Siftah sokak çıktı.(Ne kadar ilginç değil mi?) Sorumuzda bir ev ve evin yanında ipucu olduğundan bahsediliyordu. Bu yüzden street view e geçip siftah sokağa inmek gerekiyordu. Siftah sokağa girdiğinizde “normal bir sokak işte” diyebilirsiniz fakat bu aşamada sorudaki “İkisi bu kadar mı denk gelir arkadaş hahaha” yazısını hatırlamanız gerekiyordu. Yani bu sokakta bir şeylerin denk gelmesi gerek. Elinizde zaten sadece “SİFTAH” yazısı olduğundan neyin denk gelmesi gerektiğinide fazla düşünmenize gerek yok. Tabiki Siftah apartmanı! Çoğu kişi buraya kadar gelmiş fakat etrafına iyice bir göz gezdirmemiş. Burada yarışmacılarımıza aslında önceden bir ipucu daha vermiştik. Oda sorunun başlığı olan “The Perfect Choice” du. Siftah apartmanının hemen yanında yer alan dükkanda bir reklam vardı ve o dükkandada “The Perfect Choice” yazıyordu. Altındada nemosub ile başlaya bir yazı. Fakat yazının devamı net gözükmediğinden dolayı flag olarak sadece “nemosub” u kullanmaya karar verdik.

Fight in the House (300):

Soru: Babamın tuttuğu eve girdiğimde her taraf darmadağandı. Belli ki bir boğuşma yaşanmış. Babam asla laptop’ını kitlemeden başından kalkmaz. Şimdiyse laptopında bu saçma video kanalı açık.
https://www.youtube.com/channel/UCBbJTI2j9-1Et-DYA1MoLBg

Çözüm: Soruda bir youtube kanalı verilmiş. İlgili linke girdiğimizde steampunk temalı bir profil bizi karşılıyor. Hacer Deniz adlı birinin profili ve 4 adet video beğenmiş. Bu videolarda dikkat edilmesi gereken pastebinin geçtiği videoydu. Ayrıca youtube kanalında “Davelerus” yazıyordu. Pastebin sitesine girip Hacer deniz ya da Davelerus yazıp arattığınızda karşınıza herhangi bir sonuç çıkmıyordu (ilk gün için) bunun için pastebin’in bir trick’ini bilmeniz gerekiyordu. Tıpkı sosyal medyada olduğu gibi pastebindede profil sayfası bulunmakta bunun için pastebin.com/u/Davelerus yazmanız gerekmekte. Pastebin ile haşır neşir olanlar bu ayrıntıyı bilecektir. Pastebinde ilgili sayfaya girdiğinizde “pastebin.com/KftAhUyk” sayfası ile karşılacaksınız.

Burada sözde bir hacker grubunun konuşması yer almakta. Konuşmalarda küfür kullandım çünkü küfür olaya gerçeklik katıyor. Konuşmayı okuduğunuzda bir telefon numarası ve bu telefon numarası ile açılmış bir sosyal medya hesabından bahsediliyor. Malum zaten 3-5 tane sosyal medya sitesi olduğundan hemen bu sitelerde ilgili numarayı aratmanız gerekiyor. Facebookta bu numarayı arattığınızda ya da kimbunumara.com da arattığınızda “Alara Difransiyaloğlu” adlı bir profil ile karşılaşıyorsunuz. Profilde herkese açık bir şekilde zaten flag yayınlanmış durumda. Not: Facebook hesabınız yok ise herkes ile paylaşsanız bile Facebook o kişinin paylaşımını göstermiyor.

Outside The Wire (400):

Soru: Davelerus un mail hesabına sızdım. Çoğu mail encrypted. Bir kaçı sadece okunabiliyor.
Onlarda şunlar:
“Oğlum bu iş bu kadar ciddi mi? Yani bunun için sahte kimlikle ev kiralamaya filan gerek var mı? Şu evin haline bak! Emlakçıda götün tekine benziyor zaten. Tek iyi yanı kendi netimizden çıkmıyoruz :D”
“Ben sana dedim AMK! O herife güven olmaz diye. Ne bok yicez şimdi? Mail’e bak! HER ŞEYİNİ WIPELA HER ŞEYİNİ ACİL!”
Bu herifleri bu kadar korkutan kişi kim olabilir ki? E-posta adresini bulup MD5’ini almam lazım …
NOT: md5 flag küçük harflerle yazılacaktır.

Çözüm: Soruyu okuduğunuzda zaten e-posta adresi bulmanız gerektiğini anlıyorsunuz. Soruda birde fotoğraf verilmiş. Fotoğrafın exif bilgilerine baktığınızda GPS kordinatları olduğunu hemen farkediyoruz. Bu kordinatlara gittiğimizde Gemlik Bursaya bağlı olan Küçük Kumla adlı ilçeyi görüyoruz. Google mapsten baktığınız zaman hemen o kordinatlarda Google maps üzerinde bir emlakçı ilanı olduğunu görmüşsünüzdür. Sorudaki emlakçı kelimesinden dolayıda çoğu kişi bu ilan üzerinden yollarına devam etmiş. Adamı telefondan arayan, pazarlık yapan vs bile olmuş. Hatta tesadüf eseri o kişinin paylaştığı ilginç bir kum sanatı ile ilgili fotoğrafta bulunması tabiki insanları kıllandıran bir farklı nokta olmuş. Fakat malesef doğru yol bu değildi. Sorudaki kilit cümle “Tek iyi yanı kendi netimizden çıkmıyoruz :D” cümlesiydi. Bu hacker grubu kendi adlarına internet kullanmıyorlar ise 2 ihtimal vardı. Ya açık hat üzerinden kendilerini hotspot açıp internete giriyorlardı. Ya da yakınlardaki bir WIFI noktası kullanıyorlardı. 3G den çıkılan hotspot noktasınıda yarışmacılar bulamayacağından dolayı tek mantıklı seçenek başkasının WIFInı kullanmaktı. Fakat çoğu arkadaş bu kilit cümleyi gözünden kaçırmış. Neyse kaldığımız yere geri dönecek olursak, bu hacker grubu kullandıkları WIFI ağını dünyadaki en popüler “Free WIFI” uygulaması olan https://play.google.com/store/apps/details?id=io.wifimap.wifimap&hl=tr adlı uygulamadan bulmuş olabilirlerdi. Bu uygulamayı telefonunuza kurduğunuzda size etrafınızdaki WIFI ağlarını göstermekte ya da kötü çalışan arama kısmını kullandırtmakta. Malesef o arama sonucu ilgili yeri bulmakta oldukça zor. Bu yüzden telefonunuzun GPS kordinatlarını değiştirebileceğiniz uygulamalardan birini kurup telefonunuzun GPS kordinatlarını değiştirmeniz gerekmekte. Değiştirip uygulamada WIFI’ları arattığınız zaman zaten 4 – 5 yer karışınıza çıkmakta. Bu yerlerden biri olan “Meltem Pansiyon” da ilginç bir yorum bulunmaktaydı. “Kervan Mimarlık” adlı bir şirket ev kiralamakta ve şirketin web sitesini vermekteydi. O sitede kervanmimarlik.com. Bu aşamadan sonra yarışmacılar e-posta arayacaklarını bildiklerinden dolayı direk iletişim sayfasındaki info@kervanmimarlik.com adresini girdiler ve flag doğru çıkmayıncada heralde yanlış yorum diyerek başka yollara gittiler. Tabiki bir takım arkadaş WHOIS bilgilerine bakıp ilginç bir şeyler var mı diye merak etti ve aradıklarını buldular. NSA’in bağcılar şubesi olan (şaka) nsa1971@yahoo.com e-posta adresini buldular.

Last Man Standing (500):

Soru: Babam dijital yaşama pek güvenmezdi. Bana bir keresinde açık kaynak istihbaratını öğretmek için şu yazıyı okutmuştu.
https://tr.wikipedia.org/wiki/A%C3%A7%C4%B1k_kaynak_istihbarat%C4%B1
O an anlamıştım …
Babamı bilgisayar başında oturarak bulamayacaktım. Sokağa çıkmam lazımdı.
Arayan numarayı not ettim ve koşarak sokağa fırladım…
0 (212) 505 65 37
İpucunu bulduğumda, ipucunun bulunduğu alanın başlığını (Galiba ‘Yİ’ ile bitiyordu) aralarında boşluk olmadan not etmem lazım.
Böylece ipucunun sonuna bu başlığı ekleyip, boşlukları temizleyip, komple büyük harf olarak not edersem babama ulaşabilirim.
NOT: flag içeriğinin tümü büyük harftir. İ, Ü vb harfler kullanılabilir.

Çözüm: Bu soru bizim için önemliydi. Bunun nedeni OSINT’in sadece internet üzerinden elde edilen bilgiler olduğunun düşünülmesi yaygın kanı. Ama adından belli olduğu üzere “açık kaynaklı” her türlü bilgi toplama alanı OSINT’in içerisine girmekte. Bu yüzden yarışmacılara farklı bir deneyim sunmak istedik. Günlerce bilgisayar başında oturan arkadaşları biraz bilgisayarlarının başından kaldırmak istedik ve öylede oldu. Bu soru ile ilgili çok güzel geri dönüşler aldığımızı düşünüyorum.

Soruda verilen numara Google’da aratıldığında Posta gazetesinin numarası olduğu görülmekteydi. Sorudada zaten “sokağa fırladım”, “bilgisayar başında oturarak bulamayacaktım” cümlelerinden bir Posta gazetesi alınması gerektiği anlaşılıyordu. Posta gazetesi alıp sayfalara incelediğinizde gözünüzden kaçmış olabilir. Malum babamızı arıyoruz bu yüzden kayıp ilanı olması muhtemeldi. Bu yüzden sarı ilanlar sayfasına girip flagı kolaylıkla bulabilirdiniz.

Bu sorunun cevabını gece farkedenler, bir sonraki gün gazeteler geri gönderileceğinden bayinin başında bekleyen arkadaşlar olmuş. Berbere gidip eski gazeteyi isteyenler, komşularına soranlar, bayideki çalışanlarla beraber flag arayanlar olmuş. Bu yorumlar bizi oldukça eğlendirdi ve mutlu etti. Bu sorudaki amacımıza ulaştığımızı düşünüyorum. Benim için oldukça keyifli bir CTF oldu. Genelde TR’deki CTFlerde konu olmuyor. Size bir IP, pcap exe vs veriliyor ve içinden flagi bulmanız isteniyor. Fakat DKH’ı diğer CTF’lerden ayıran özelliğinde bu olduğunu düşünüyorum. Soru bankasında çıkan soruları çözdürmüyor, bir hikayenin içine dahil ediyorsunuz. Buda katılımcıları daha farklı bir atmosferin içine sokuyor. Umarım çok daha güzelleri ile tekrar karşınızda olabiliriz. Son olarak Twitter’da eğlenen ve eğlendiren tüm arkadaşlara selam olsun. O tweetlerin yarışan arkadaşlara oldukça fazla moral verdiğini düşünüyorum. Kişisel olarak ben okurken oldukça eğlendim. O ince çizgiyi kaçırmadan süper bir şekilde noktaladık.

En son olarak siber güvenlik aleminden bazı kişiler CTF hakkında bir takım yorumlar yapmış. Gözümden kaçanlar olmuş olabilir. Bir kaç tanesini okudum. Eleştirilerin yapıcı ve mantıklı olduğunu düşünmediğimden dolayı tek söyleyeceğim şey canınız cehenneme! 🙂

Siber İstihbarat – 1

Siber İstihbarat nedir?:
İlgili birimlere sunulmak üzere toplanmış ve çözümlenmiş izlemsel veya taktik içerikli işlenmiş bilgilere denir. Her türlü kaynaktan elde edilen ham bilgi ilişkisiz gibi görünen parçalardan oluşan, çelişkili, güvenilmez, yanıltıcı veya yanlış olabilir. İstihbarat ise birleştirilmiş, değerlendirilmiş, çözümlenmiş, yorumlanmış ve ayıklanmış bilgidir. Kısaca pastebin adlı paylaşım sitesinden elde edilen 100 bin e-posta hesap bilgisi bir istihbarat değeri taşımamaktadır. Bu bilginin istihbarata dönüşebilmesi için 100 bin e-posta hesabının değerlendirilmesi gerekmektedir. Örneğin değerlendirilirken aşağıdaki sorulara benzer sorular sorulmaktadır.

  • Hangi kurumlara ait e-posta hesapları mevcut?
  • Hangi sektöre yönelik e-posta adresi daha fazla
  • Bu e-posta adreslerinin ortak noktası nelerdir?
  • Hacker bu e-posta hesaplarını nereden bulmuş olabilir?
  • Bir nick ile paylaşıldıysa bu şahıs daha önce ne tür bilgiler paylaşmıştır?
  • Daha önce paylaştığı bilgiler ile bu bilgiler arasında ortak noktalar var mı?
  • Hacker belli bir sektörü hedef alıyor olabilir mi?
  • Paylaştığı verileri toplamak için ne kadar teknik bilgi gerekiyor?
  • Hacker’ın yakın ilişkide olduğu kişiler kimlerdir?
  • Bu kişilerin teknik bilgi seviyesi nedir?
  • Bu bilgiler ile neler yapılabilir?

Bu sorular elde edilen veriye göre arttırılabilir/değiştirilebilir. Bu tür süzgeçlerden geçirildikten sonra daha önceki istihbaratlar ile karşılaştırılır ve ortaya istihbarat değeri taşıyan bir bilgi çıkar.

İstihbarat süreçleri nelerdir?:
İstihbarat tek bir aşamadan değil, bir kaç aşamadan geçerek oluşturulur. En basit olarak bir verinin istihbarat a dönüştürülmesi için aşağıdaki 3 aşama gerçekleştirilir.

  • Verinin elde edilmesi
  • Verinin değerlendirilmesi
  • Değerlendirmenin istihbarat raporuna dönüştürülmesi

İstihbarat kurumlarında veriyi elde eden kişi ile veriyi değerlendiren kişi genellikle aynı kişi olmamaktadır. Veriyi elde eden kişi veriyi değiştirmeden ve olabildiğince veri toplayarak elindeki veriyi değerlendirecek kişiye teslim etmelidir. Burada veriyi elde eden kişinin yetenekleri istihbarat raporunu doğrudan etkileyeceğinden bilgiyi elde eden kişinin oldukça çok ve doğru bilgiler elde etmesi gerekmektedir. Analiz ekibinin gelen veriyi yorumlaması ve ilgili birimlere bir an önce teslim edilebilmesi için veriyi elde eden kişinin olabildiğince hızlı ve güvenli yollar ile analiz ekibine yollaması gereklidir. Maalesef hız ile güvenlik her zaman ters orantılı olduğundan yollanacak veriye göre optimum değerin belirlenmesi gerekir.

İstihbarat Toplama Teknikleri:
Ulaşılmak istenen veriye göre istihbarat toplama tekniğide değişmektedir. Bunlar genel olarak bölümlere ayrılmaktadır. Bunlar;

  • İnsani İstihbarat (HUMINT)
  • Teknik İstihbarat (TECHINT)

olmak üzere 2 ye ayrılmaktadır. Daha sonra TECHINT kendi içerisinde toplanma şekillerine göre

  • Sinyal İstihbaratı (SIGINT)
  • Fotoğraf/Görüntü İstihbaratı (IMINT)
  • Uydu İstihbaratı
  • Nükleer İstihbarat
  • Radar İstihbaratı
  • Elektronik ve İletişim İstihbaratı (COMINT)
  • Siber İstihbaratı

7 ye ayrılmaktadır. Buradaki her teknik ayrı bir derya olduğundan dolayı ben sadece siber istihbarata değinmeye çalışacağım.

Verinin Elde Edilmesi:
Veri toplama evresi istihbarat kurumunun can damarıdır. Çünkü veri yoksa istihbaratta yoktur. Bu yüzden istihbarat kurumları, maddi imkanlarının çoğunu veri toplamak adına harcamaktadır. Öğrenilmek istenen bilgiye göre kişiler, kurumlar veya servisler kullanılabilir. Saha elemanı bu yüzden veri toplanacak kişi/ortam/grub hakkında önceden araştırma yapmalıdır.

Gerekirse arkadaşlık kurmalı, güvenini kazanmalı ve belirlediği vektör ile veriyi elde etmeye çalışmalıdır. Veri elde edebilmek için farklı yollar kullanılabilir. Bunlardan en bilinen yöntem kişinin OSINT (Google, sosyal medya vs.) teknikleri ile araştırılması ve elde edilen bilgiler ile kişiye yaklaşılmasıdır. Genel olarak adımlara bölmek gerekirse aşağıdaki adımlar örnek verilebilir.

  • Bilgi toplanmak istenen konunun belirlenmesi
  • Konu ile ilgili araştırma yapılması
  • İstenilen bilgiye sahip kişinin/grupların araştırılması
  • Bu kişi/grup ile iletişime geçilebilecek ortamların tespiti
  • Belirlenen ortama göre profillerin oluşturulması
  • Kişi/grup ile iletişime geçilmesi
  • Güven kazanılması
  • İstenilen bilginin elde edilmesi
  • Kişi/grup ile iletişimin kalıcı olmasının sağlanması

Güven kazanılması zor bir durum olduğu gibi kaybedilmesi de kolay bir durumdur. Bu yüzden saha elemanının kazandığı güveni kaybetmemek için oldukça dikkatli olması gerekir. Karşınızdaki kişi yakalanma korkusundan dolayı etrafındaki herkese şüphe içerisinde bakacaktır. Bu konuya “We Are Anonymous” adlı kitapta da bolca değinilmektedir. LulzSec ekibindeki kişiler uzun süre AFK (bilgisayar başında olmamak) olduğunda ya da konuşma tarzları değiştiğinde “kıllanmaktadır.”

Saha Elemanının Farklı Profilleri:
Saha elemanının sürekli farklı profillere bürünmesi gerekir. Yeri geldiğinde anarşizmi desteklerken yeri geldiğinde kanunları destekleyen biri olması gerekebilir. Bu tamamen veri elde etmek istediği kişi/kişiler ile nasıl daha kolay iletişim kurabileceği ile alakalıdır. Bu yüzden saha ekibinin bu profillerin düşünce yapısı hakkında detaylıca bilgiye sahip olması ve kendini her zaman güncel tutması gerekmektedir. Saha elemanının en çok zamanını alan kısım bu profillerin oluşturulma kısmıdır. Sağlam bir profil için gereken süre aylar hatta yılları bulabilir. Fakat sonucunda oluşturulan profiller ile önemli veriler elde edilecektir.

Saha elemanı tek başına güven kazanmaya çalıştığı gibi ekip olarak bir vektör düzenlenip yeni kişinin içeri alınmasıda sağlanabilir. İçeriden biri referans olacağından güven kazanıp içeri alınması her zaman daha kolay olacaktır. Fakat yeni giren kişinin ortaya çıkması sonucunda diğer kişide ifşa olacağından dolayı bu yöntem dikkatlice kullanılmalıdır.

Ayrıca İstihbarat kurumları hacker gruplarının içerisine girebilmek için sanal düşmanlar yaratıp bunlar ile savaş başlatabilir. Örneğin hacker grubunun içerisine sızdıktan sonra grup içerisindeki iş bölümünü anlamak veya kişilerin teknik bilgi düzeylerini ölçmek adına honeypotlar kurulup bu honeypotlara saldırılması istenebilir. Bu saldırılar sonucunda ekip üyelerinin teknik bilgi düzeyi, içerideki hiyerarşi tespit edilebilir. Böylelikle istihbarat kurumu teknik takibe alması gereken kişileri önem derecesine göre bölüp onlara daha fazla yoğunluk verebilmektedir.

Saha elemanının güven kazanması:
Saha elemanının veri toplayabilmesi için grupta kalması, kalabilmek içinde o gruptaki diğer üyeler gibi hareket etmesi gereklidir. Buradaki en büyük problem hacker gruplarının illegal işlemler yapması ve saha elemanının onlar kadar rahat davranamamasıdır. Bu durum kimi zamanlarda grup ile saha elemanını karşı karşıya getirebilmektedir. Bu tür durumların en az yaşanması için saha elemanına belli yetkiler verilmektedir. Bu yetkiler çerçevesinde saha elemanı yapabileceği ve yapamayacağı illegal işlemleri bilebilir. Maalesef burada aktif rol almak ile güven arasında doğru bir ilişki vardır. Bu konu hakkında başka bir yazı yazacağımdan şimdilik çok fazla detaya girmiyorum.

Verinin analiz ekibine yollanması:
Saha elemanı, analiz ekibine mümkün olan en güvenli ve anonim kanaldan elindeki bilgiyi göndermeyi amaçlar. Eğer saha elemanı açığa çıkar ise hacker grubu bu aşamadan sonra daha da dikkatli olacak ve grup içerisine başka bir saha elemanının tekrar girmesi daha da zorlaşacaktır. Ayrıca istihbarat kurumları her zaman diğer istihbarat kurumlarını gözlemlediğinden saha elemanı analiz ekibine veriyi gönderirken diğer kurumların eline geçmemesi için özen göstermelidir. Bu aşamada saha elemanı kriptoloji dalının nimetlerinden faydalanmak durumundadır. Saha elemanının verilerini gönderdiği kanal tespit edildiği durumda karşısına şifrelenmiş metinler çıkacaktır.

Bu durumda hacker grubu hangi verilerin sızdırıldığını bilemese bile verinin sızdırıldığını bileceğinden saha elemanı burada kriptolojinin yanında steganografi nin nimetlerindende faydalanmalıdır. Böylelikle güvenli seçilen kanal ifşa olsa dahi şüphe çeken herhangi bir veri görünmeyecektir. Örneğin Saha elemanının Steam üzerinden analiz ekibine veri gönderdiğini düşünelim. Burada seçilecek bazı anahtar kelimeler belli oyunlardan seçilebilir veya tamamen şaka amaçlı gönderilmiş bir resim linkindeki fotoğrafta steganografi ile gizlenmiş bilgiler olabilir. Böylelikle hacker grubu saha elemanının bilgisayarına sızıp Steam konuşmalarını okusa bile şüpheleneceği bir durum olmayacağından saha elemanı güvende kalacaktır.

Elimden geldiğince bu yazı dizisine yeni yazılar yazmaya çalışacağım. Şimdilik benden bu kadar.

Hacktrick 15

Son yılların değişmez gündemini oluşturan dijital ortamdaki bilgiler ve bunların güvenliği konusu Hacktrick’15 organizasyonunda alışılmışın dışında bir bakış açısıyla ele alınacak. Hacktrick’te bu sene eğitimler, konferanslar, yarışmalar ve turnuvalar bir arada olacak.

Octosec ekibi tarafından gönüllülük esasıyla düzenlenen etkinliğin ilkine geçtiğimiz yıl Ankara Üniversitesi ev sahipliği yapmıştı. Hacktrick’14 750 katılımcıyı sektörün önde gelen isimleriyle buluşturmuştu. Bu yıl, genişletilmiş konsepti ve daha büyük hedefleriyle Hacktrick’15 İstanbul’da gerçekleştirilecek. Alanında uzman kişiler tarafından verilecek eğitimlerle programına başlayacak olan Hacktrick, ilk günün akşamında başlayıp ikinci günün sabahına kadar sürecek zorlu ve büyük ödüllü Capture the Flag yarışmasına sahne olacak. Sonraki iki gün, Türkiye’den ve dünyadan alanında uzman konuşmacıların sunumları ile devam edecek. Hacktrick toplamda 16 ana oturum ile katılımcılara siber güvenlik konusunda adeta bilgi seli vaadediyor. Konferans Siber İstihbarat, Siber Güvenlik, Altyapı Güvenliği, Fiziksel Güvenlik, IoT Güvenliği gibi birçok ana başlığı içermektedir.

Hacktrick; eğitimlerin, konferansların ve CTF yarışmasının yanında katılımcıların eğlenceli ve keyifli vakit geçirmesi adına turnuvalar ve oyunlara da ev sahipliği yapacak. Futbol ve paintball turnuvalarının yanında son günlerin en popüler oyunu olan odadan kaçış oyunu ile zorlu ve bir o kadar da eğlenceli vakit geçirebilecekler.

6-7-8 Eylül 2015 tarihlerinde Sabancı Üniversitesi’nde gerçekleşecek olan Hacktrick’15 Siber Güvenlik Konferansı hakkında detaylı bilgi almak ve yerinizi ayırmak için www.hacktrickconf.com adresini ziyaret edebilirsiniz. Sizlere daha keyifli bir organizasyon sağlamamız için anketimize katılmayıda unutmayın ! 🙂

GPT, UEFI BIOS ve Secure Boot

Kişisel bilgisayarınızı daha güvenli yapabilmeniz için uygulayabileceğiniz 2-3 ufak ama etkisi çok büyük güvenlik önlemlerinden bahsedeceğim.

1-BIOS ayar sayfasına parola koymak:
BIOS ayarlarınızın sizin izniniz olmadan değiştirilmemesi için parola koyabilirsiniz. Bu parolayı bilmeyen kişi BIOS ayar sayfasına giremeyecek ve dolayısıyla overclock ve boot ayarlarını değiştiremeyecektir. Overclock yaparak sisteminize donanımsal bir arıza bırakabilir ya da boot cihazını değiştirerek Windows auth atlatabilir.

2-Power On’a parola koymak:
Bu özelliği tüm BIOSlar desteklememektedir. Fakat eğer BIOS’unuz destekliyorsa kesinlikle yapmanızı öneririm. Eğer bu ayarı aktif ederseniz bilgisayarınız başlatıldığı anda (İşletim sistemi değil, bilgisayara güç geldiği anda) sizden şifre isteyecektir. Böylelikle Windows kimlik doğrulamasını atlatmak isteyen biri bu parolayı bilmediğinden atlatamayacaktır.

3-UEFI BIOS, GPT ve Secure boot:
UEFI BIOS’lar normal BIOS’lardaki MBR yerine GUID/GPT kullanır. GPT’nin avantajı son kullanıcı için daha kısa bir açılış süresi ve dosya kurtarmanın daha kolay olması demektir. Fakat bizim amacımız daha güvenli olmak. UEFI BIOS hakkında daha detaylı bilgi için buraya göz atabilirsiniz.

Rootkit:
Rootkitlerin çalışma mantığını anlamak için sabit diskin ön yükleme sürecini iyice bilmek gerekir. Ön yükleme sürecini detaylıca öğrenmek için buradaki yazıyı okuyabilirsiniz. Rootkitler yazıda okuduğunuz MBR alanına kendilerini yazarlar. Böylelikle BIOS’dan sonra (İşletim sisteminden önce) çalışan ilk yazılım kendisi olur. Böylelikle işletim sisteminin yetkilendirme sınırlarına takılmaz. Fakat UEFI BIOSda “secure boot” özelliğini aktif ederseniz rootkit saldırılarından korunursunuz.

Secure Boot:
UEFI BIOS’larla birlikte “secure boot” denen bir özellikte geldi. Bu özellik siz bilgisayarınıza ilk işletim sisteminizi yüklerken o işletim sisteminin imzasını GPT ye ekliyor. Böylelikle daha sonra bootable bir cihaz ile bilgisayarınızı boot etmek istediğinizde o bootable dosyanın imzası GPT tablosunda olmadığından boot etmenize izin vermiyor. Bu özellik hem Windows kullanıcılarının kimlik doğrulama mekanizmasının aşılmasının önüne geçiyor hemde kendini MBR ye ekleyen rootkitlerinde önüne geçiyor.

”secure

4-Full Disk Encryption:
Eğer bilgisayarınızın sabit diskini Truecrypt ile şifrelemez iseniz bilgisayarınız kapalı iken kötü niyetli kişiler içerisindeki tüm bilgilere erişebilir. Fakat Truecrypt ile şifrelediğinizde bilgisayarınız kapalıyken verileriniz hard diskte encrypted ile bir şekilde tutulur. Bilgisayarınızı açmak istediğinizde truecrypt parolası girersiniz ve tüm hdd decrpyt edilir.

Fakat bilgisayarınızı açtığınız ve bilgisayarınızı kilitlemeden başından ayrıldınız. Bu durumda ne olacak? Bu durumda kötü niyetli kişi hard diskinizdeki tüm verilere erişebilir. Bunun için bilgisayarınızda her zaman container da bulunmalıdır.

5-Truecrypt Container:
Truecrypt’in container özelliği aslına bakılırsa şifreli ve içerisindeki dosya isimleri gösterilmeyen bir winrardan farksızdır. Bilgisayarınızdaki en kritik bilgilerini bu container içerisinde tutun. Böylelikle birisi bilgisayarınızın başına geçse bile container’ı açmadan o dosyalara erişemeyecektir.

Truecrack ile Kaba Kuvvet Saldırısı

Bundan önceki yazılarımda Truecrypt in nasıl kullanılacağını ve Crunch ile nasıl wordlist oluşturulacağından bahsetmiştim. Şimdide bu iki yazı birleştirerek Truecrypt dosyalarına nasıl kaba kuvvet saldırısı yapabileceğimizi anlatacağım. Not: Eğer bahsi geçen 2 konuyu bilmiyorsanız lütfen bu yazıyı okumadan önce o yazıları okuyun. Truecrack aracı Kali işletim sistemi ile hali hazırda geliyor. Fakat tabi ki diğer Linux sürümlerinede yükleyebilirsiniz. Fakat ben Kali kullanacağım. Terminale truecrack -h yazarak aldığı parametreleri görebilirsiniz.

-t : Kırılacak Truecrypt dosyasının yolu
-k : Truecrypt dosyasının hash algoritmasını belirtmek için. Varsayılan olarak ripemd160 kullanılıyor
-w : Kaba kuvvet saldırısında kullanılacak sözlüğün yolu
-c : Verdiğiniz kelimelerin türevlerini almak için kullanılır. Örneğin abc yazarsanız a,b,c,ab,ac… diye gidecektir.
-s : Minimum karakter sayısını belirtir. Varsayılan olarak 1 dir.
-m : Maksimum karakter sayısını belirtir.
-v : Denediklerini ve sonuçlarını terminale yazar.
Hemen bir örnek yapmak gerekirse

Not: Truecrack aracı sadece CPU üzerinden de çalışmıyor eğer Nvidia CUDA bir ekran kartınız var ise Truecrack aracı GPU üzerinden çalışarak daha performanslı olabiliyor.

Wifite Aracı ile Kablosuz Ağlara Sızmak

Wifite aracı Python dili ile geliştirilmiş ve wifi ağlarına sızmak için geliştirilmiş bir tooldur. En güzel yanı bir çok aracın (Aircrack-ng vb.) birleşiminden oluşması ve kullanımının çok kolay olmasıdır.

Ayrıca saldırı esnasında MAC adresinizi değiştirebilmenizde mümkün. Saldırı tamamlandığında ise MAC adresiniz eskisi ile değiştirilmekte. Böylelikle saldırı yaparken saldırının kimin tarafından yapıldığını belirlemek zorlaşıyor.

Kali de yüklü olarak geliyor fakat Ubuntu vb. OS larda sizin elle kurmanız gerek. Fakat kurulumu oldukça basit. apt-get install wifite diyerek kurabilirsiniz.

Terminale wifite -help yazarak aldığı parametreleri görebilirsiniz.

Wifite -c 6 derseniz sadece 6. kanalda çalışan ağlara saldıracaktır.
Wifite -e DenemeAg derseniz SSID si DenemeAg olan ağa saldıracaktır.
Wifite -dict sozluk.txt derseniz crack aşamasında belli bir sözlük kullanabilirsiniz.

Parametresiz bir şekilde direk olarak wifite yazarak tool u çalıştırırsanız otomatik olarak etraftaki kablosuz ağları tarayacaktır.

Burada hemen belirtmekte fayda var eğer wifite -wpa olarak tool u çalıştırırsanız sadece WPA doğrulamalı ağları size sunacaktır. Tabiki wifite -wps , wifite -wep de kullanılabilir. Tarama işlemi siz kesene kadar devam edecektir. Kesmek istediğinizde CTRL+C ye basmanız yeterli. Daha sonra sizden çıkan ağlardan birini seçmenizi isteyecek. Ağın numarasını yazmanız yeterli.

Daha sonra eğer saldırınız başarılı olursa ağın parolasını ekrana yazacaktır. Ayrıca Wifite aracının bir diğer güzel özelliği ise saldırı aşamasında MAC adresinizi değiştirebilmeniz. Böylelikle saldırganın kim olduğunu anlamak daha zorlaşıyor. Bunun için wifite -mac yazmanız yeterli.

Crunch ile Wordlist Oluşturma

Hepimiz ara sıra her ne kadar istemesek de kaba kuvvet (brute force) saldırısı yapmak durumunda kalıyoruz. Kaba kuvvet saldırısını neye uygulayacağınıza göre uyguladığınız teknikler değişiyor.

Örneğin bir veritabanını dump ettiniz fakat veritabanında şifreler MD5 ile tutuluyor. Bu durumda yapabileceğiniz 2 durum mevcut.

1-Wordlistdeki her text için hash oluşturup daha sonra DB deki hash ile karşılaştırmak
2-Rainbow table kullanarak daha önce oluşturduğunuz Hashler ile DB dekileri karşılaştırmak

Tabiki bilgisayar tekrar hash oluşturmayla uğraşmadığı için 2. yöntem 1. yönteme göre çok daha kısa. Fakat elinizde sağlam bir rainbow table ınız bulunmayabilir. Bu gibi durumlarda mecburen 1. yöntemi seçeceksiniz.

Bir başka örnek vermek gerekirse elinizde truecrypt konteyner ı var ve parolasını bilmiyorsunuz. Bu durumda üstte bahsetmiş olduğum rainbow table ları kullanamazsınız. Çünkü ortada karşılaştıracak bir hash yok. Yine mecburen 1. yöntemi kullanacaksınız.

Kısaca bunun gibi durumlarda rainbow table oluşturamaz, mecburen wordlistiniz ile brute force saldırısı yapmak zorunda kalırsınız. Bende bu yazıda nasıl wordlist oluşturabileceğinizi anlatacağım.

Abiler bunun için bir tool geliştirmiş. Adı Crunch. Hem Kalide varsayılan olarak geliyor hemde Windowsda çalışabilecek sürümü var. Ben bu yazıda Windows üzerinden anlatacağım.(Nasıl olsa her türlü komut ekranından çalışıyor.)

Öncelikle Crunch ı bilgisayarımıza indiriyoruz. Herhangi bir yükleme işlemi yok portable bir program.

Abiler bizi yormamak adına cmd.exe yi bile ayağımıza getirmiş(yok cd cd gideceksin dosyaya filan…) cmd.exe yi açtıktan sonra karşımıza çıkan ekranda belli argumanlar vererek toolu kullanmamızı istiyor.

Buradaki parametreleri sırasıyla açıklamak gerekirse,
1: Buradaki 1 minimum karakter uzunluğu (yani wordlist i oluştururken minimum 1 karakterden başlasın)
4: Maksimum karakter uzunluğu
-f: Charset dosyamızı gösteriyoruz. İçerisinde büyük, küçük, büyük-küçük,küçük-rakam vb hazır oluşturulmuş setler bulunmakta. İşimize yarayanı dosyayı belirttikten hemen sonra yazıyoruz (Örneğin numeric)

-o: Her zamanki gibi output yani bu wordlist i hangi isimlere nereye kaydedeceğini belirtiyoruz. Daha sonra wordlistimiz hazır.

Fakat hemen belirtmek istiyorum bir kaç ufak değişik kullanım tekniğide mevcut. Eğer aşağıdaki komutu verirseniz size “admin” kelimesinin türevlerini (danim,mdina vb) hazırlıyor. Bu yöntemide daha spesifik bir kaba kuvvet saldırısında kullanabilirsiniz.

Ve maalesef GPU değil, CPU kullanıyor.