CyberFlow Logo CyberFlow BLOG
Osint Reconnaissance

SpiderFoot ile OSINT ve Keşif: Adım Adım Kılavuz

✍️ Ahmet BİRKAN 📂 Osint Reconnaissance

SpiderFoot ile siber güvenlik alanında OSINT araştırmalarınızı geliştirin. Adım adım kılavuz ile veri toplama ve analiz etmeyi öğrenin.

SpiderFoot ile OSINT ve Keşif: Adım Adım Kılavuz

Bu yazıda, SpiderFoot aracı ile otomatik OSINT ve keşif yapmayı adım adım öğreneceksiniz. Web arayüzü, komut satırı ve veri analizi için önemli ipuçları burada.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, bilgi toplama süreci kritik bir öneme sahiptir. Açık kaynak istihbaratı (OSINT), bu sürecin temel yapı taşlarından birini oluşturur. OSINT, halka açık kaynaklardan elde edilen verilerin toplanması ve analiz edilmesiyle ilgilidir. Bu yazıda ele alacağımız SpiderFoot aracı, bu süreçte kullanılabilecek etkili bir otomasyon aracıdır. SpiderFoot, yalnızca basit bilgi toplama işlemlerini yerine getirmekle kalmaz, aynı zamanda elde edilen verilerin görselleştirilmesine ve analiz edilmesine olanak tanır.

SpiderFoot Nedir?

SpiderFoot, çeşitli kaynaklardan verileri toplayabilen çok sayıda modül sunan, Python tabanlı bir OSINT ve keşif framework'üdür. Araç, hedeflerin ağ üzerindeki varlıklarını haritalandırarak farklı veri türlerini toplar. Web arayüzü (GUI) ve komut satırı arayüzü (CLI) üzerinden çalışabilmesi, kullanıcıların hangi yöntemin en uygun olduğuna karar vermesine yardımcı olur. Neredeyse otomatik hale getirilmiş süreçleri sayesinde, hem güvenlik profesyonelleri hem de tehdit avcıları için idealdir.

Neden Önemli?

Siber güvenlikte proaktif bir yaklaşım benimsemek, potansiyel tehditleri daha başlangıç aşamasında tespit edebilmek için hayati önem taşır. SpiderFoot, belirli bir hedefin zayıf noktalarını belirlemek ve güvenlik açıklarını değerlendirmek için kullanılır. OSINT, sizlere, bir hedefin yalnızca genel görünümünü sağlamaktan öte daha derinlemesine bilgi edinme imkanı sunar. Ayrıca, bu bilgiler siber saldırılara karşı gereken hazırlığı yapmak için de kritik bir rol oynamaktadır.

Pentest ve Savunma Açısından Bağlantı

Penetrasyon testleri, bir sistemin güvenlik açıklarını tespit etmek ve analiz etmek amacıyla yapılan testlerdir. SpiderFoot, bu testlerin planlama aşamasında kullanılabilir. Hedefin mevcut durumu ile ilgili veri toplamak, test sırasında karşılaşılabilecek çeşitli senaryoları daha iyi anlamanızı sağlar. SpiderFoot’un sunduğu veri çeşitliliği sayesinde, hem mavi takım (savunma) hem de kırmızı takım (saldırı) perspektifinden kapsamlı bir analiz yapabilirsiniz. Böylece, potansiyel savunma stratejileri geliştirilebilir.

Teknik İçeriğe Hazırlık

Bağlam olarak, SpiderFoot'u kullanarak nasıl OSINT elde edeceğinizi açıklayacağımız adım adım bir kılavuz sunacağız. İlk olarak, Web arayüzünün nasıl başlatılacağını göreceğiz. Sonrasında, çeşitli kullanım senaryolarına göz atacak, komut satırı üzerinden hızlı taramalar yapacağız. Verilerin nasıl dışa aktarılabileceği, modüllerin nasıl listeleneceği ve mavi takımın savunma stratejilerine yönelik ipuçlarına da değineceğiz.

Aynı zamanda, araç içerisindeki modüllerden bazılarını ve onların işlevselliğini inceleyeceğiz. Örneğin, Shodan, Whois, AbuseIPDB gibi modüller, veri toplama sürecinin kapsamını genişletecektir. Böylece, veriler sadece izinsiz erişim amacıyla değil, gerektiğinde savunma amaçlı da kullanılabilecektir.

SpiderFoot'un teknik detaylarına geçmeden önce, kullanım senaryoları hakkında kısa bir bilgi vereyim. Araç, dördü ana olmak üzere çeşitli senaryolar sunarak, taramanın amacını ve gürültü seviyesini ayarlamanıza izin verir. Bu senaryolar aracılığıyla, hedefe yönelik daha hedef odaklı bir yaklaşım geliştirebilirsiniz.

Kısacası, SpiderFoot yalnızca bir bilgi toplama aracı değil, aynı zamanda siber güvenlik stratejilerini şekillendirmeye yardımcı olan bir platformdur. Devam eden bölümlerde, bu platformun sunduğu özellikleri ve işlevselliği daha derinlemesine keşfedeceğiz.

Teknik Analiz ve Uygulama

Web Arayüzünü (GUI) Başlatma

SpiderFoot, kullanıcılarına görsel bir arayüz ile bilgi toplama olanağı sunar. Bu arayüze erişmek için aracı belirli bir IP ve port üzerinden dinlemeye almanız gerekmektedir. Aşağıdaki komutu kullanarak SpiderFoot'u 5001 portunda başlatabilirsiniz:

spiderfoot -l 127.0.0.1:5001

Bu komut çalıştırıldığında, web tarayıcınızda http://127.0.0.1:5001 adresine giderek SpiderFoot arayüzüne erişebilirsiniz. Buradan hedeflerinizi taramaya ve detaylı grafiksel analiz yapmaya başlayabilirsiniz.

Kullanım Senaryoları (Use Cases)

SpiderFoot, çeşitli hedef durumlarına göre dört ana kullanım senaryosu sunar. Bu senaryolar, taramanın gürültü seviyesini ve amacını belirlemenize yardımcı olur.

  1. Passive Senaryo: Bu senaryo en az "gürültü" çıkaran yöntemdir. Hedefe hiç dokunmadan, yalnızca 3. taraf veritabanlarından (önbellekler) bilgi toplar.
  2. Active Senaryo: Bu, hedefin internet üzerindeki aktif varlığını test etmek için tasarlanmıştır. Görünür IP adresi taraması ve açık port kontrolleri içerir.
  3. Investigative Senaryo: Belirli bir şüpheli IP veya e-posta adresi hakkında derinlemesine istihbarat toplamak için kullanılır.
  4. Footprint Senaryo: Hedefin internet üzerindeki tüm varlıklarını analiz etmek için tasarlanmıştır.

Senaryo seçimini aşağıdaki komut ile belirleyebilirsiniz (örneğin passive senaryo için):

spiderfoot -s cyberflow.org -u passive

CLI Üzerinden Hızlı Tarama

Web arayüzü yerine, komut satırını kullanarak hedefleri taramak daha hızlı olabilir. Özellikle pasif modda (−u parametresi ile) tarama yapmak için aşağıdaki komutu kullanabilirsiniz. Örneğin, "cyberflow.org" hedefini pasif modda taramak için:

spiderfoot -s cyberflow.org -u passive

Bu komut, tarama işlemini başlatacak ve sonuçları terminal üzerinde görüntüleyecektir. Hedef analizi tamamlandığında, tarama sonuçları kullanılabilir hale gelecektir.

Veriyi Dışa Aktarma (JSON/CSV)

Toplanan verileri başka araçlarla analiz etmek veya raporlamak için uygun bir formata çevirmeniz gerekebilir. SpiderFoot, çıktıları JSON ve CSV formatlarında dışa aktarmayı destekler. Çıktı formatını JSON olarak ayarlamak için kullanmanız gereken parametre şu şekildedir:

spiderfoot -s example.com -o json

-o bayrağı ile çıktının formatını belirleyebilir ve istediğiniz ayrı bir dosya adı ile kaydedebilirsiniz.

Modülleri Listeleme

SpiderFoot içerisinde, Shodan, Whois, AbuseIPDB gibi çeşitli modüller bulunmaktadır. Bu modüller, hangi verilerin toplanabileceğini anlamanızı sağlar. Mevcut tüm SpiderFoot modüllerini listelemek için aşağıdaki komutu kullanabilirsiniz:

spiderfoot -M

Bu komut, sistemde yüklü olan tüm modüllerin bir listesini çıkaracak ve hangi bilgi türlerine erişebileceğinizi göstererek daha etkili keşif yapma imkanı tanıyacaktır.

Mavi Takım: OSINT Defansı

Siber güvenlikte, OSINT'i etkili bir defansif araç olarak kullanmak kritik öneme sahiptir. SpiderFoot gibi araçlar, potansiyel olarak kurumunuza ait kritik bilgilerin sızdırılmasını nasıl önleyebileceğinizi anlamak için kullanılabilir. Kötü niyetli kişiler tarafından kullanılabilecek bilgilere erişimi sınırlandırmak ve veri koruma stratejilerini geliştirmek için aktarılan bilgileri analiz etmek oldukça önemlidir.

Veri sızıntılarını önlemek için uygulamanız gereken bazı stratejiler şu şekildedir:

  • Whois Privacy kullanarak alan adı kayıt bilgilerinizdeki kişisel bilgileri gizleyebilirsiniz.
  • DNS Sıkılaştırma ile gereksiz DNS kayıtlarını temizleyerek iç ağ detaylarını saklayabilirsiniz.
  • API Key Exposure kontrolü yaparak yanlışlıkla paylaşılmış uygulama anahtarlarını denetleyebilirsiniz.

Bu stratejiler, kurumsal bilgilerinizin güvenliğini sağlamada kritik bir rol oynamaktadır. SpiderFoot aracı, bu tür sızmalara karşı mükemmel bir başlangıç noktası sunar ve bilgilerinizin korunmasına yardımcı olur.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlikte, elde edilen bulguların güvenlik anlamının yorumlanması, yapılan araştırmaların etkinliğini artırmak ve olası riskleri azaltmak adına kritik bir aşamadır. SpiderFoot gibi araçlar, geniş çaplı OSINT (Açık Kaynaklı İstihbarat) toplama yeteneği sunarak, potansiyel tehditleri ve zafiyetleri belirlemede sosyal mühendislik ve hedef belirleme aşamalarında önem arz eder.

İncelenen Sonuçlar

Elde edilen veriler genellikle hedefin internet üzerindeki genel varlığı, IP adresleri, alt alan adları, güvenlik sertifikaları gibi unsurları içerir. Örneğin, aşağıdaki gibi bir tarama komutu çalıştırıldığında:

spiderfoot -s cyberflow.org -u passive

Sonuç olarak alınan bilgiler, cyberflow.org alan adına ait potansiyel zayıf noktaları ve yapılandırma hatalarını içerir.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırma, siber saldırganların potansiyel olarak hedef sistemlere erişebilmesine olanak tanır. Örneğin, Whois bilgileri açıkça görüntülendiğinde, bir organizasyonun sahip olduğu iletişim kanallarına erişim sağlanabilir. Eğer bu bilgilere kimliği belirsiz bireyler tarafından ulaşılırsa, sosyal mühendislik teknikleriyle hedef alınabilirler. Ayrıca, DNS yapılandırmalarında gereksiz kayıtların ve iç ağa dair bilgilerin açıkça görünmesi de potansiyel tehdit unsuru oluşturmaktadır. Bu tür zafiyetlere karşı alınacak önlemlerden bazıları şunlardır:

  • Whois Gizliliği: Alan adı kayıt bilgilerinde yer alan özel verilerin gizlenmesi sağlanmalıdır.
  • DNS Sıkılaştırma: Gereksiz DNS kayıtlarının silinmesi; bu, iç ağ detaylarının dışarıya sızmasını önler.

Savunma Stratejileri

Elde edilen bulgulara dayanarak uygulanan savunma stratejileri, bir organizasyonun siber güvenliğini sağlamak için kritik öneme sahiptir. Aşağıda bu stratejilerden bazıları yer almaktadır:

Güvenlik Sertifikalarının Kontrolü

Hedefin güvenlik sertifikalarının geçerliliği, bir olası zafiyetin önlenmesi açısından kritik bir unsur olarak değerlendirilmektedir. Sertifikaların süresi dolmuşsa veya yanlış yapılandırılmışsa, saldırganlar bu açıkları kullanarak güvenli bir bağlantı oluşturabilirler.

API Anahtarlarının Kontrolü

API anahtarlarının yanlışlıkla kamuya açık bir platformda (örneğin GitHub) sızması, saldırganların hizmetlere erişim sağlamasına neden olabilir. Bu nedenle, API anahtarlarının kullanımına dair bir kontrol mekanizması oluşturulmalıdır.

# GitHub üzerinde yanlışlıkla paylaşılan API anahtarlarını denetlemek için 
# aşağıdaki komutlar kullanılabilir.
grep -r "your_api_key" /path/to/your/code/

Sonuç Özeti

SpiderFoot gibi güçlü OSINT araçları, potansiyel tehditleri tespit etme ve değerlendirme konusunda önemli katkılar sağlamaktadır. Yanlış yapılandırmalar, zafiyetler ve sızma yolları üzerine derinlemesine bir analiz yaparak, bu tür risklerin minimize edilmesi mümkündür. Alınacak proaktif önlemlerle, organizasyonların güvenliğini artırmak ve etkin bir savunma mekanizması oluşturmak hedeflenmelidir. Kapsamlı bir risk değerlendirmesi ve uygun savunma stratejileri ile, siber saldırılara karşı daha dayanıklı bir yapı inşa edilebilir.