İçeriğe geç

Siber İstihbarat – 1

Siber İstihbarat nedir?:
İlgili birimlere sunulmak üzere toplanmış ve çözümlenmiş izlemsel veya taktik içerikli işlenmiş bilgilere denir. Her türlü kaynaktan elde edilen ham bilgi ilişkisiz gibi görünen parçalardan oluşan, çelişkili, güvenilmez, yanıltıcı veya yanlış olabilir. İstihbarat ise birleştirilmiş, değerlendirilmiş, çözümlenmiş, yorumlanmış ve ayıklanmış bilgidir. Kısaca pastebin adlı paylaşım sitesinden elde edilen 100 bin e-posta hesap bilgisi bir istihbarat değeri taşımamaktadır. Bu bilginin istihbarata dönüşebilmesi için 100 bin e-posta hesabının değerlendirilmesi gerekmektedir. Örneğin değerlendirilirken aşağıdaki sorulara benzer sorular sorulmaktadır.

  • Hangi kurumlara ait e-posta hesapları mevcut?
  • Hangi sektöre yönelik e-posta adresi daha fazla
  • Bu e-posta adreslerinin ortak noktası nelerdir?
  • Hacker bu e-posta hesaplarını nereden bulmuş olabilir?
  • Bir nick ile paylaşıldıysa bu şahıs daha önce ne tür bilgiler paylaşmıştır?
  • Daha önce paylaştığı bilgiler ile bu bilgiler arasında ortak noktalar var mı?
  • Hacker belli bir sektörü hedef alıyor olabilir mi?
  • Paylaştığı verileri toplamak için ne kadar teknik bilgi gerekiyor?
  • Hacker’ın yakın ilişkide olduğu kişiler kimlerdir?
  • Bu kişilerin teknik bilgi seviyesi nedir?
  • Bu bilgiler ile neler yapılabilir?

Bu sorular elde edilen veriye göre arttırılabilir/değiştirilebilir. Bu tür süzgeçlerden geçirildikten sonra daha önceki istihbaratlar ile karşılaştırılır ve ortaya istihbarat değeri taşıyan bir bilgi çıkar.

İstihbarat süreçleri nelerdir?:
İstihbarat tek bir aşamadan değil, bir kaç aşamadan geçerek oluşturulur. En basit olarak bir verinin istihbarat a dönüştürülmesi için aşağıdaki 3 aşama gerçekleştirilir.

  • Verinin elde edilmesi
  • Verinin değerlendirilmesi
  • Değerlendirmenin istihbarat raporuna dönüştürülmesi

İstihbarat kurumlarında veriyi elde eden kişi ile veriyi değerlendiren kişi genellikle aynı kişi olmamaktadır. Veriyi elde eden kişi veriyi değiştirmeden ve olabildiğince veri toplayarak elindeki veriyi değerlendirecek kişiye teslim etmelidir. Burada veriyi elde eden kişinin yetenekleri istihbarat raporunu doğrudan etkileyeceğinden bilgiyi elde eden kişinin oldukça çok ve doğru bilgiler elde etmesi gerekmektedir. Analiz ekibinin gelen veriyi yorumlaması ve ilgili birimlere bir an önce teslim edilebilmesi için veriyi elde eden kişinin olabildiğince hızlı ve güvenli yollar ile analiz ekibine yollaması gereklidir. Maalesef hız ile güvenlik her zaman ters orantılı olduğundan yollanacak veriye göre optimum değerin belirlenmesi gerekir.

İstihbarat Toplama Teknikleri:
Ulaşılmak istenen veriye göre istihbarat toplama tekniğide değişmektedir. Bunlar genel olarak bölümlere ayrılmaktadır. Bunlar;

  • İnsani İstihbarat (HUMINT)
  • Teknik İstihbarat (TECHINT)

olmak üzere 2 ye ayrılmaktadır. Daha sonra TECHINT kendi içerisinde toplanma şekillerine göre

  • Sinyal İstihbaratı (SIGINT)
  • Fotoğraf/Görüntü İstihbaratı (IMINT)
  • Uydu İstihbaratı
  • Nükleer İstihbarat
  • Radar İstihbaratı
  • Elektronik ve İletişim İstihbaratı (COMINT)
  • Siber İstihbaratı

7 ye ayrılmaktadır. Buradaki her teknik ayrı bir derya olduğundan dolayı ben sadece siber istihbarata değinmeye çalışacağım.

Verinin Elde Edilmesi:
Veri toplama evresi istihbarat kurumunun can damarıdır. Çünkü veri yoksa istihbaratta yoktur. Bu yüzden istihbarat kurumları, maddi imkanlarının çoğunu veri toplamak adına harcamaktadır. Öğrenilmek istenen bilgiye göre kişiler, kurumlar veya servisler kullanılabilir. Saha elemanı bu yüzden veri toplanacak kişi/ortam/grub hakkında önceden araştırma yapmalıdır.

Gerekirse arkadaşlık kurmalı, güvenini kazanmalı ve belirlediği vektör ile veriyi elde etmeye çalışmalıdır. Veri elde edebilmek için farklı yollar kullanılabilir. Bunlardan en bilinen yöntem kişinin OSINT (Google, sosyal medya vs.) teknikleri ile araştırılması ve elde edilen bilgiler ile kişiye yaklaşılmasıdır. Genel olarak adımlara bölmek gerekirse aşağıdaki adımlar örnek verilebilir.

  • Bilgi toplanmak istenen konunun belirlenmesi
  • Konu ile ilgili araştırma yapılması
  • İstenilen bilgiye sahip kişinin/grupların araştırılması
  • Bu kişi/grup ile iletişime geçilebilecek ortamların tespiti
  • Belirlenen ortama göre profillerin oluşturulması
  • Kişi/grup ile iletişime geçilmesi
  • Güven kazanılması
  • İstenilen bilginin elde edilmesi
  • Kişi/grup ile iletişimin kalıcı olmasının sağlanması

Güven kazanılması zor bir durum olduğu gibi kaybedilmesi de kolay bir durumdur. Bu yüzden saha elemanının kazandığı güveni kaybetmemek için oldukça dikkatli olması gerekir. Karşınızdaki kişi yakalanma korkusundan dolayı etrafındaki herkese şüphe içerisinde bakacaktır. Bu konuya “We Are Anonymous” adlı kitapta da bolca değinilmektedir. LulzSec ekibindeki kişiler uzun süre AFK (bilgisayar başında olmamak) olduğunda ya da konuşma tarzları değiştiğinde “kıllanmaktadır.”

Saha Elemanının Farklı Profilleri:
Saha elemanının sürekli farklı profillere bürünmesi gerekir. Yeri geldiğinde anarşizmi desteklerken yeri geldiğinde kanunları destekleyen biri olması gerekebilir. Bu tamamen veri elde etmek istediği kişi/kişiler ile nasıl daha kolay iletişim kurabileceği ile alakalıdır. Bu yüzden saha ekibinin bu profillerin düşünce yapısı hakkında detaylıca bilgiye sahip olması ve kendini her zaman güncel tutması gerekmektedir. Saha elemanının en çok zamanını alan kısım bu profillerin oluşturulma kısmıdır. Sağlam bir profil için gereken süre aylar hatta yılları bulabilir. Fakat sonucunda oluşturulan profiller ile önemli veriler elde edilecektir.

Saha elemanı tek başına güven kazanmaya çalıştığı gibi ekip olarak bir vektör düzenlenip yeni kişinin içeri alınmasıda sağlanabilir. İçeriden biri referans olacağından güven kazanıp içeri alınması her zaman daha kolay olacaktır. Fakat yeni giren kişinin ortaya çıkması sonucunda diğer kişide ifşa olacağından dolayı bu yöntem dikkatlice kullanılmalıdır.

Ayrıca İstihbarat kurumları hacker gruplarının içerisine girebilmek için sanal düşmanlar yaratıp bunlar ile savaş başlatabilir. Örneğin hacker grubunun içerisine sızdıktan sonra grup içerisindeki iş bölümünü anlamak veya kişilerin teknik bilgi düzeylerini ölçmek adına honeypotlar kurulup bu honeypotlara saldırılması istenebilir. Bu saldırılar sonucunda ekip üyelerinin teknik bilgi düzeyi, içerideki hiyerarşi tespit edilebilir. Böylelikle istihbarat kurumu teknik takibe alması gereken kişileri önem derecesine göre bölüp onlara daha fazla yoğunluk verebilmektedir.

Saha elemanının güven kazanması:
Saha elemanının veri toplayabilmesi için grupta kalması, kalabilmek içinde o gruptaki diğer üyeler gibi hareket etmesi gereklidir. Buradaki en büyük problem hacker gruplarının illegal işlemler yapması ve saha elemanının onlar kadar rahat davranamamasıdır. Bu durum kimi zamanlarda grup ile saha elemanını karşı karşıya getirebilmektedir. Bu tür durumların en az yaşanması için saha elemanına belli yetkiler verilmektedir. Bu yetkiler çerçevesinde saha elemanı yapabileceği ve yapamayacağı illegal işlemleri bilebilir. Maalesef burada aktif rol almak ile güven arasında doğru bir ilişki vardır. Bu konu hakkında başka bir yazı yazacağımdan şimdilik çok fazla detaya girmiyorum.

Verinin analiz ekibine yollanması:
Saha elemanı, analiz ekibine mümkün olan en güvenli ve anonim kanaldan elindeki bilgiyi göndermeyi amaçlar. Eğer saha elemanı açığa çıkar ise hacker grubu bu aşamadan sonra daha da dikkatli olacak ve grup içerisine başka bir saha elemanının tekrar girmesi daha da zorlaşacaktır. Ayrıca istihbarat kurumları her zaman diğer istihbarat kurumlarını gözlemlediğinden saha elemanı analiz ekibine veriyi gönderirken diğer kurumların eline geçmemesi için özen göstermelidir. Bu aşamada saha elemanı kriptoloji dalının nimetlerinden faydalanmak durumundadır. Saha elemanının verilerini gönderdiği kanal tespit edildiği durumda karşısına şifrelenmiş metinler çıkacaktır.

Bu durumda hacker grubu hangi verilerin sızdırıldığını bilemese bile verinin sızdırıldığını bileceğinden saha elemanı burada kriptolojinin yanında steganografi nin nimetlerindende faydalanmalıdır. Böylelikle güvenli seçilen kanal ifşa olsa dahi şüphe çeken herhangi bir veri görünmeyecektir. Örneğin Saha elemanının Steam üzerinden analiz ekibine veri gönderdiğini düşünelim. Burada seçilecek bazı anahtar kelimeler belli oyunlardan seçilebilir veya tamamen şaka amaçlı gönderilmiş bir resim linkindeki fotoğrafta steganografi ile gizlenmiş bilgiler olabilir. Böylelikle hacker grubu saha elemanının bilgisayarına sızıp Steam konuşmalarını okusa bile şüpheleneceği bir durum olmayacağından saha elemanı güvende kalacaktır.

Elimden geldiğince bu yazı dizisine yeni yazılar yazmaya çalışacağım. Şimdilik benden bu kadar.

Tarih:Uncategorized