İnternet Hakkınızda Sandığınızdan Daha Çok Şey Biliyor! OSINT ile Saldırı Yüzeyi Haritalama

Giriş

İnternette paylaştığınız ve belki önemsiz olan, aslında bir güvenlik açığı sayılmayacak şeylerin sizin hakkınızdaki bir yapbozun küçük parçaları olabileceğini hiç düşündünüz mü? Ya da şirketinizin tüm ağ altyapısı ve dijital varlıklarının korunduğunu düşünürken, eski bir çalışanın unuttuğu korumasız bir Subdomain’in tüm kalenizi fethedebileceğini biliyor musunuz? Siber güvenlikte sızma testlerinin ve siber saldırıların ilk ve en kritik adımı “Reconnaissance” (Keşif) aşamasıdır. OSINT (Open Source Intelligence - Açık Kaynak İstihbaratı) teknikleri, hedef hakkında internete sızmış veya açıkça bırakılmış bilgileri toplayarak bir Attack Surface Mapping (Saldırı Yüzeyi Haritalandırması) yapmamıza olanak tanır. Bu rehberde, siber dünyada bıraktığınız izlerin bir saldırganın gözünden nasıl haritalandırıldığını adım adım inceleyeceğiz.

Altyapı Düzeyinde Pasif Bilgi Toplama ve Alan Adı Keşfi

Alan adı seviyesindeki passive reconnaissance (pasif keşif), bir hedef organizasyonun internet üzerindeki dijital ayak izini belirlemenin ilk adımıdır. Bu aşamada, hedef kuruluşa ait tescilli alan adları, ilişkili IP adres blokları ve bu alan adlarının altındaki diğer alt alan adları (subdomain) haritalandırılır.

Whois Sorguları ile Sahiplik Bilgisi

Saldırı yüzeyi haritalandırmasının en temel katmanı, hedef alan adının sahiplik yapısı ve tescil geçmişini ortaya koyan Whois sorgularıdır. Whois protokolü, alan adının hangi tescil kuruluşu (registrar) üzerinden kaydedildiğini, DNS sunucularını (nameserver) ve coğrafi iletişim bilgilerini sağlar. Whois sorgularından elde edilen IP adres blokları ve otonom sistem numaraları (ASN - Autonomous System Number), sonraki aşamalarda yapacağımız gelişmiş taramalar için kritik birer girdidir.

Subfinder ile Eşzamanlı Alt Alan Adı Keşfi

Alt alan adı keşfi, hedef organizasyonun dış dünyaya sunduğu gizli veya unutulmuş hizmetleri (test sunucuları, yönetim panelleri, veri depolama alanları) yani Shadow IT (Gölge BT) altyapılarını ortaya çıkarmak açısından kritik öneme sahiptir. Go diliyle geliştirilmiş olan Subfinder, pasif çevrimiçi kaynaklar üzerinden alt alan adı keşfi yapan güçlü bir araçtır. Hedef sunucuya doğrudan hiçbir istek göndermez; bunun yerine internet üzerindeki pasif veri kaynaklarını ve sertifika şeffaflığı (certificate transparency) kayıtlarını sorgular.

Temel Kullanım Komutları:

Tek bir hedef domain için temel düzeyde pasif subdomain (alt alan adı) araması gerçekleştirmek ve çıktıyı bir metin dosyasına kaydetmek için şu komut kullanılır:

subfinder -d hedef.com -o ornek.txt

Elde edilen subdomain adlarını aktif olarak HTTP/S protokolleri üzerinden yanıt verip vermediğini doğrulamak ve saniyeler içinde canlı bir envanter oluşturmak için Unix boru hattı (piping) yöntemiyle şu komut zinciri çalıştırılabilir:

cat ornek.txt | httpx -silent -status-code -title -server -o alive.txt

Arama Motorları ve Pasif Web Kazıma Teknikleri

Ağ altyapısı sınırları çizildikten sonra, hedef kuruluşun internete sızmış olan kurumsal e-posta adreslerini, çalışan profillerini ve açık kaynaklarda indexlenmiş hassas dosyaları bulmak amacıyla web kazıma (web scraping) teknikleri kullanılır.

theHarvester ile Çok Boyutlu Keşif Operasyonları

theHarvester, sızma testlerinin bilgi toplama aşamasında e-posta adreslerini, sanal hostları, çalışan isimleri ve kurumsal profilleri kamuya açık arama motorları üzerinden derleyen kapsamlı bir OSINT framework’üdür.

Önemli Not: Aracın çalıştırılmasında güncel siber güvenlik standartları açısından eski “theharvester” komutunun kullanımı sonlandırılmış olup, yerine büyük/küçük harf duyarlılığına dikkat edilerek “theHarvester” komutu kullanılmalıdır.

Temel Kullanım Komutları:

DuckDuckGo arama motorunu kaynak alarak 500 sonuç sınırı ile e-posta ve host keşfi gerçekleştirmek için:

theHarvester -d hedef.com -l 500 -b duckduckgo

Tüm aktif arama motorlarını ve pasif kaynakları tek bir sorguda tarayarak en geniş veri kümesini elde etmek amacıyla şu komut yürütülür:

theHarvester -d hedef.com -b all

Aşağıdaki tablo, theHarvester aracının desteklediği veri kaynaklarından elde edilebilecek istihbarat tiplerini göstermektedir.

E-posta adreslerinin bu şekilde pasif olarak elde edilmesi, kurumsal kimlik avı (Phishing) simülasyonları ve Brute-Force (Kaba Kuvvet) saldırıları için doğrudan hedef listelerinin oluşturulmasını sağlar.

Google Dorking ile Indexlenmiş Verilerden Sızıntı Tespiti

Google Dorking veya gelişmiş arama operatörleri, arama motorlarının dizinleme yeteneklerini kullanarak hedef sunucularda saklanan gizli dosyaları ve yanlış yapılandırılmış dizinleri tespit etme yöntemidir. Doğrudan hedef sisteme istek gitmediği için tamamen pasif bir keşif tekniğidir.

• Hassas Doküman Tespiti: Yanlışlıkla kamuya açık alanlarda bırakılan hassas bilgileri (sözleşmeler, bütçeler) bulmak için:
  site:hedef.com filetype:pdf OR filetype:xlsx OR filetype:docx

• Dizin Listeleme Açıklarının Yakalanması: Sunucu üzerinde dosya dizinlerinin listelenmesine izin veren zayıf yapılandırmaları tespit eder:
  intitle:"Index of /ftp" OR intitle:"Index of /backup" site:hedef.com

Küresel Cihaz Arama Motorları ve Dijital Kimlik Analizi

Shodan: İnternetin Kara Kutusu

Shodan, dünya genelinde internete bağlı olan her türlü cihazı (sunucular, yöneticiler, IoT cihazları) pasif olarak tarayan ve bu cihazların servis afişlerini (banners) indeksleyen küresel bir OSINT platformudur. Hem CLI (komut satırı arayüzü) hem de web sitesi üzerinden erişilebilir.

Temel Kullanım Komutları:

Shodan CLI üzerinden belirli bir dış IP adresinin geçmiş tarama verilerini, açık portlarını ve olası zafiyetlerini listelemek için:

shodan host 52.179.197.200

Hedef şirkete ait IP bloklarında veya belirli bir organizasyonda, siber saldırganların en çok hedef aldığı açık portları ve servis afişlerini filtreleyerek nokta atışı sızıntı tespiti yapabilirsiniz.

shodan search --fields ip_str,port,transport,product org:"Hedef Şirket" port:22,80,443,3389

Bu komut hedef organizasyona ait varlıklarda SSH(22), HTTP(80), HTTPS(443) ve RDP(3389) portlarının açık olup olmadığını tarar, ekrana sadece IP adresini, port numarasını, protokolü ve çalışan yazılımın adını getirerek temiz bir çıktı verir.

Shodan’ın sunduğu bu pasif haritalandırma yetenekleri, siber tehdit istihbaratında iki kenarı keskin bir kılıç niteliğindedir. Bunun en çarpıcı örneği 2016 yılındaki “Mirai Botnet” saldırısıdır. Saldırganlar, Shodan’ın pasif veritabanını tarayarak internete doğrudan açık ve güvensiz Telnet protokolüyle çalışan milyonlarca IoT cihazını saniyeler içinde tespit etmiş ve küresel altyapıyı felç eden bir siber silah haline getirmiştir.

Sherlock ile Sosyal Ağlarda Kullanıcı Adı Korelasyonu (Aktif Keşif)

Saldırı yüzeyi yalnızca sunuculardan ibaret değildir. Kurumsal personelin dijital kimlikleri de bu yüzeyin kritik birer bileşenidir. Sherlock, hedef kullanıcı adlarının (username) GitHub, Docker Hub gibi 300’den fazla platformda aktif olup olmadığını eşzamanlı sorgularla yürüten açık kaynaklı bir araçtır.

Teknik Ayrım: Sherlock, sorgulama esnasında hedef platformların URL şablonlarına doğrudan HTTP istekleri gönderir ve dönen durum kodlarını (200 OK veya 404 NOT FOUND) analiz eder. Bu nedenle araç Aktif Keşif (Active Reconnaissance) kategorisinde yer alır. Operasyonel güvenliği (OPSEC) korumak adına komut satırına eklenen –tor parametresi, isteğin çıktığı kaynak IP adresini gizleyerek analisti anonimleştirir.

Temel Kullanım Komutları:

Belirli bir kullanıcı adını Tor ağı üzerinden siber güvenlik duvarlarına takılmadan ve kaynak IP’yi gizleyerek tüm platformlarda aratıp sonucu CSV olarak kaydetmek için:

sherlock "hedef_username" --tor --unique-tor --csv

--site parametresi sayesinde taramayı sadece siber istihbarat açısından kritik olan kod ve imaj depolarıyla sınırlandırmış oluruz. --timeout parametresi ise yanıt vermeyen platformlarda en fazla bekleme süresini saniye cinsinden belirlememizi sağlar.

sherlock "hedef_username" --site github --site dockerhub --timeout 5

Önemli Bir Parantez: OSINT ve KVKK İlişkisi

Açık kaynaklardan bilgi toplamak, bu bilgilerin internet üzerinde “herkese açık” olması sebebiyle yasal bir gri alan gibi görünebilir. Ancak yerel mevzuatımız olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) açısından durum net sınırlara sahiptir.

KVKK’nın 5. maddesi uyarınca, bir verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması (örneğin kişinin sosyal medya profilinde e-posta adresini herkese açık paylaşması), o verinin hukuki şartlara uygun olarak işlenebileceğine dair bir istisna sunar. Ancak bu durum, siber güvenlik araştırmacısına o veriyi sınırsızca işleme, depolama veya kötüye kullanma hakkı vermez. OSINT faaliyetleri sırasında elde edilen e-posta, çalışan isimleri, TC kimlik numarası sızıntıları veya telefon numaraları gibi veriler, veri sahibinin alenileştirme amacının dışına çıkılarak (örneğin rıza dışı bir veri tabanı oluşturmak veya hedef odaklı oltalama listeleri hazırlamak amacıyla) kullanıldığında açıkça KVKK ihlali teşkil eder. Bu nedenle siber güvenlik uzmanlarının, keşif faaliyetlerini sadece pasif envanter ve savunma odaklı risk analizi sınırları içinde tutması yasal uyumluluk açısından kritik bir zorunluluktur.

Sonuç

Açık kaynak istihbaratı ve pasif bilgi toplama teknikleri, modern siber güvenlik operasyonlarının temel taşını oluşturmaktadır. Bu rehberde ele alınan araçların entegre bir biçimde kullanılması, organizasyonların kendi siber duruşlarını ağ üzerinde hiçbir iz bırakmadan bir saldırgan gözüyle haritalandırmalarına olanak tanır. Kurumsal siber hijyeni korumak adına şu aksiyonlar hayata geçirilmelidir:

• Proaktif Alt Alan Adı İzleme: Subfinder benzeri araçlar belirli periyotlarla otomatik olarak çalıştırılmalı, yetkisiz veya güvensiz “staging” (test) ortamları hızlıca tespit edilmelidir.
• Otomatik Üstveri Temizliği: Kamuya açık platformlarda yayınlanacak tüm PDF ve dokümanlar, içerisindeki yazar adı, dahili yazılım sürümü gibi hassas üstverilerden (metadata) exiftool benzeri araçlarla temizlenmelidir.
• SOC ve API Entegrasyonu: Shodan ve Have I Been Pwned API’ları kurumsal SOC izleme sistemlerine entegre edilerek, dışa açık yeni bir servis veya veri ihlali tespit edildiğinde otomatik alarm mekanizmaları devreye sokulmalıdır.

Kaynakça

1. https://github.com/Pnwcomputers/ULTIMATE-CYBERSECURITY-MASTER-GUIDE/blob/main/OSINT/OSINT_GUIDE.md
2. https://medium.com/@maxwellcross/the-recon-playbook-finding-hidden-endpoints-like-a-pro-a48b8dea3d3f
3. https://hackviser.com/tactics/tools/the-harvester
4. https://akademi.altaysec.com.tr/blog-detay?slug=osint-open-source-intelligence-101-acik-kaynak-istihbarati-rehberi
5. https://www.kali.org/tools/sherlock/
6. https://www.query.ai/resources/blogs/leveraging-shodan-for-security-research/