CyberFlow Logo CyberFlow BLOG
Osint Reconnaissance

theHarvester ile Dijital Ayak İzi Analizi: Siber Güvenlik İçin Temel Adımlar

✍️ Ahmet BİRKAN 📂 Osint Reconnaissance

theHarvester kullanarak dijital ayak izini analiz edin. Siber güvenlikte aktif keşif ve veri toplama yöntemlerini öğrenin.

theHarvester ile Dijital Ayak İzi Analizi: Siber Güvenlik İçin Temel Adımlar

theHarvester aracı ile dijital ayak izinizi analiz etmek ve sızıntıları engellemek için 6 adımda etkili yöntemler. Siber güvenlik uzmanları için vazgeçilmez bir kaynak.

Giriş ve Konumlandırma

Dijital Ayak İzi Analizi ve Önemi

Dijital ayak izi, bireylerin veya organizasyonların çevrimiçi varlıklarının bıraktığı izlerin toplamıdır. Bu izler, sosyal medya hesapları, web siteleri, e-postalar ve diğer çevrimiçi etkileşimler aracılığıyla oluşturulur. Özellikle siber güvenlik bağlamında, dijital ayak izi analizi, bir hedefin güçlü ve zayıf yönlerini anlamak için kritik bir ilk adımdır. theHarvester gibi araçlar, bu süreçte önemli bir rol oynamaktadır.

Neden theHarvester?

theHarvester, açık kaynaklı bilgi toplama (OSINT) araçlarından biridir ve özellikle belirli bir hedefe yönelik dijital ayak izi analizi yapmak için kullanılır. Bu araç, saldırganların veya kötü niyetli bireylerin hangi bilgilere erişebileceğini anlamak için kritik bir içgörü sağlar. Kullanıcı, hedef alan adı ile birlikte farklı veri kaynaklarını belirterek belirli bilgilere ulaşabilir. Örneğin:

theHarvester -d cyberflow.org -b google

Yukarıdaki komut, cyberflow.org alan adı ile Google üzerinden veri toplamaya başlayacaktır. Bu işlem, etkin bir bilgi toplama süreci için ilk adımdır.

Siber Güvenlik ve Pentest Bağlamında Kaynak Analizi

Siber güvenlikte, dijital bilgilere erişim sağlamak isteyen saldırganlar, hedeflerini anlamak için genellikle theHarvester gibi araçları kullanır. Bu bağlamda, dijital ayak izi analizi, potansiyel saldırı yüzeyinin belirlenmesinde büyük bir rol oynar. Örneğin, bir hedefin sosyal medya hesaplarında paylaştığı bilgiler, saldırıların planlanmasında kullanılabilir. Ayrıca, bu araçların sağladığı bilgiler, güvenlik uzmanlarının güvenlik açıklarını tespit etmelerine yardımcı olur.

theHarvester kullanıldığında, birçok farklı kaynak üzerinden veri toplayarak kapsamlı bir görünüm oluşturulabilir. Aşağıda, theHarvester'ın en yaygın veri kaynaklarından bazıları belirtilmiştir:

  1. Arama Motorları: Google ve Bing gibi popüler arama motorları, hedef hakkında bilgi toplamak için sıklıkla tercih edilir.
  2. Sosyal Medya: LinkedIn, Twitter gibi sosyal platformlar, şirket çalışanları ve onların rolleri hakkında değerli bilgiler sunar.
  3. Sertifika Kayıtları: crt.sh gibi araçlar, alan adlarının ve alt alan adlarının belirlenmesine yardımcı olur.

Bilgi Toplama Sürecinin Aşamaları

TheHarvester’ı kullanarak dijital ayak izi analizi yapmak, belirli bir süreç izlemeyi gerektirir. Bu süreç, veri kaynaklarını seçmekten başlayarak, sonuçların üzerinde çalışmaya kadar devam eder. İşte temel aşamalar:

  1. Temel Arama Operasyonu: İlk olarak, hedef domain ve veri kaynakları tanımlanmalıdır.
  2. Veri Kaynaklarını Seçme: Hedefe uygun veri kaynakları seçilmelidir.
  3. Sonuç Limitlerini Belirleme: Elde edilecek verilerin sayısı belirlenmelidir.
  4. Aktif Keşif: DNS brute force gibi teknikler kullanılabilir. Bu adım, pasif kaynaklar yetersiz geldiğinde devreye girer.
  5. Gelişmiş Entegrasyonlar: Shodan gibi araçlarla yapılan entegrasyonlar, hedefin mevcut güvenlik durumu hakkında daha fazla bilgi sağlar.
  6. Mavi Takım: Elde edilen veriler doğrultusunda savunma stratejileri geliştirilmelidir.

Sonuç

Dijital ayak izi analizi, sadece saldırganların ne tür bilgilere ulaşabileceğini değil, aynı zamanda güvenlik uzmanlarının bu bilgilere dayanarak nasıl bir savunma mekanizması oluşturabileceğini de gösterir. theHarvester ile yapılan siber keşif, sürdürülebilir bir siber güvenlik yaklaşımının ayrılmaz bir parçasıdır. Böylece hem bireyler hem de kuruluşlar, çevrimiçi varlıklarını güvence altına alacak stratejiler geliştirirler. Özellikle bilgi güvenliği alanında çalışan profesyoneller için bu tür araçların etkin kullanımı, başarılı bir siber güvenlik yönetimi için kritik öneme sahiptir.

Teknik Analiz ve Uygulama

Temel Arama Operasyonu

theHarvester aracı, dijital ayak izleri üzerinde analiz yaparken ilk adım olarak belirli bir hedef domain ve veri kaynağı belirtmeyi gerektirir. Örneğin, cyberflow.org domaini için Google üzerinden bilgi toplamak istiyorsanız aşağıdaki komutu kullanabilirsiniz:

theHarvester -d cyberflow.org -b google

Bu komut, hedef domain üzerinde arama motorlarını kullanarak veri toplayacaktır. Burada -d parametresi hedef domaini tanımlar, -b ise hangi veritabanı kaynağını (örneğin Google) kullanacağınızı belirtir.

Veri Kaynaklarını Seçme

theHarvester, sosyal ağlardan arama motorlarına kadar geniş bir veri kaynağı yelpazesine sahiptir. Hedeflenen veri türleriyle eşleşen kaynakları seçmek, elde edilen verinin içeriğini ve kalitesini önemli ölçüde etkiler. Mevcut veri kaynakları arasında LinkedIn, crt.sh, ve All gibi seçenekler bulunmaktadır.

  • LinkedIn: Hedef kurumda çalışan kişilerin isimlerini ve pozisyonlarını bulur.
  • crtsh: Sertifika kayıtlarını tarayarak alt alan adlarını bulur.
  • All: Aracın desteklediği tüm pasif kaynakları aynı anda tarar.

Kaynağı doğru seçmek, hedefe yönelik daha etkili bir araştırma gerçekleştirmenizi sağlar.

Sonuç Limitlerini Belirleme

Elde edilen arama sonuçlarının sayısını kısıtlamak için theHarvester’da -l parametresi kullanılır. Varsayılan değer olarak 500 sonuç döndürülmektedir. Ancak, daha az sonuç almak istiyorsanız bu değeri değiştirebilirsiniz. Örneğin, arama sonuçlarını 200 ile sınırlamak için gerekli komut aşağıdaki gibidir:

theHarvester -d cyberflow.org -b google -l 200

Bu komut, yalnızca 200 sonucu getirerek analiz süreçlerinizi daha odaklı hale getirir.

Aktif Keşif: DNS Brute Force

Pasif kaynaklar yeterli gelmediğinde, theHarvester aktif keşif süreçlerine başvurur. Bunun için bir kelime listesi kullanarak hedef domain için DNS brute force denemeleri yapılabilir. Aşağıdaki komut, target.com için DNS brute force işlemini başlatır:

theHarvester -d target.com -b google -c

Burada -c parametresi, aktif keşif modunu harekete geçirir ve kelime listesi kullanarak hangi alan adlarının mevcut olduğunu belirlemeye çalışır.

Gelişmiş Entegrasyonlar (Shodan & Screenshots)

theHarvester, topladığı IP adreslerini Shodan üzerinden sorgulama ve bulunan web sayfalarının ekran görüntülerini alma yeteneğine de sahiptir. Shodan ile yapılan sorgular, servislerin açık portlarının bulunmasına yardımcı olur:

theHarvester -d target.com -b google -s

Bu komut, keşfedilen hostlar üzerinde Shodan sorgusu yaparak açık portları belirler.

Şayet ek görüntüleme yapmak isterseniz, bulunan web adreslerinin önizlemelerini almak için --screenshot parametresini ekleyebilirsiniz:

theHarvester -d target.com -b google --screenshot

Bu işlem, belirtilen dizine ekran görüntülerinin kaydedilmesini sağlayacaktır.

Mavi Takım: OSINT Sızıntılarını Engelleme

theHarvester aracı, siber saldırganların sizin veya şirketiniz hakkında neler öğrenebileceğini gözler önüne serer. Bu bilgiler ışığında, sızıntıların önüne geçmek için belirli yöntemler geliştirmek önemlidir. Kurumsal e-postaların herkese açık platformlarda paylaşılmaması, kullanılmayan alt alan adlarının DNS kayıtlarının silinmesi ve hizmetlerin versiyon bilgilerinin gizlenmesi gibi adımlar izlenmelidir.

  • Kurumsal E-postalar: Çok fazla bilgi vermezseniz, şirket çalışanlarının e-posta adreslerinin kolayca bulunmasının önüne geçebilirsiniz.
  • Alt Alan Adları: Test aşamasındaki veya kullanılmayan alt alan adlarınızı silmek, bilgilerinizin kötü amaçlı kullanımlara açık hale gelmesini azaltır.
  • Servis Versiyon Bilgileri: Hizmetlerin (Apache, Nginx vb.) versiyon numaralarını gizlemek, saldırganların açıkları keşfetmesini zorlaştırır.

Bu tür önlemler, sızma testleri ve sürekli gözlem ile bir araya getirildiğinde kurumların siber güvenliğini önemli ölçüde artırır.

Risk, Yorumlama ve Savunma

Dijital ayak izi analizi, siber güvenlik kapsamında bir örgütün zayıf noktalarını belirlemekte önemli bir adım oluşturmaktadır. theHarvester aracı, belirli bir hedef (domain) üzerinde geniş bilgi toplamak için kullanılan etkili bir OSINT (Açık Kaynak İstihbaratı) aracıdır. Ancak, elde edilen bulguların güvenlik anlamını yorumlamak ve uygun savunma mekanizmalarını geliştirmek kritik öneme sahiptir. Bu bölümde, elde edilen verilerin analiz edilmesi, olası risklerin belirlenmesi ve güvenlik önlemlerinin nasıl alınması gerektiği ele alınacaktır.

Elde Edilen Bulguların Yorumlanması

theHarvester kullanarak topladığınız veriler, organizasyonun dijital varlıklarına ilişkin önemli bilgiler sunar. Örneğin, cyberflow.org için bir Google araması yaptığınızda, arama motorundan elde edeceğiniz bilgiler, mevcut kurumsal altyapı ile ilgili hassas verileri içerebilir. Bu veriler, sosyal mühendislik saldırıları, phishing saldırıları ve benzeri yöntemlerle kötü amaçlı kullanıcılar tarafından istismar edilebilir.

Örneğin, organizasyonla ilişkili e-postalar, çalışan isimleri veya alt alan adları (subdomain) gibi bilgilerin elde edilmesi, organizasyona yönelik potansiyel saldırıların zeminini hazırlayabilir. Bunların yanı sıra, sertifika kayıtlarını tarayarak alt alan adlarını bulmak için crtsh gibi kaynaklar kullanılabilir.

Yanlış Yapılandırmalar ve Zayıflıklar

Yapılandırma hataları siber güvenlik açısından büyük riskler taşır. Elde edilen bulgular arasında, yanlış yapılandırılmış web sunucuları veya açık portların bulunması gibi durumlar söz konusu olabilir. Örneğin, theHarvester ile yapılan bir sorgulama sonrasında, bir sunucunun versiyon bilgileri ya da açık portları tespit edilebilir. Bu durum, saldırganların hedef üzerinde daha fazla bilgi sahibi olmasına ve potansiyel olarak saldırı başlatmasına olanak tanır.

Hedef domain üzerinde yapılan DNS brute force denemeleri sonucunda, aktif olan veya olmayan alt alan adları tespit edilebilir. Eğer bu alt alan adları doğru yönetilmiyorsa, kullanılmayan ya da test aşamasındaki sistemlerin erişime açık kalması, potansiyel saldırılara kapı aralayabilir.

Sızan Veri ve Topoloji Analizi

Siber güvenlik açısından önemli olan bir diğer konu, sızan veriler ve bu verilerin organizasyon yapısı üzerindeki etkisidir. Verilerin sızması, yalnızca kurumsal itibar açısından değil; aynı zamanda müşteri bilgileri, finansal veriler gibi kritik bilgilerin tehlikeye girmesi açısından da büyük tehditler içerir.

Örnek olarak, theHarvester aracını kullanarak dışarıda kalan e-posta adresleri, sosyal medya hesapları ve diğer açık bilgiler derlenebilir. Eğer bu veriler kötü niyetli kullanıcıların eline geçer ve kullanılacak olursa, organizasyon ciddi saldırılara maruz kalabilir.

Profesyonel Önlemler ve Hardening Önerileri

Toplanan veriler üzerinde gerçekleştirilen analizlerden sonra, alınması gereken önlemler ve güvenlik katmanlarını güçlendirmek için yapılması gerekenler şu şekilde özetlenebilir:

  1. E-posta ve İletişim Güvenliği:

    • Kurumsal e-posta adreslerini açık platformlarda paylaşmaktan kaçınmak.
    • Kullanıcıların sosyal mühendislik saldırılarına karşı bilinçlendirilmesi.

  2. DNS Yönetimi:

    • Kullanılmayan veya test aşamasındaki alt alan adlarının DNS kayıtlarını derhal silmek.
    • DNS kayıtlarının yalnızca gerekli durumda açık tutulması.

  3. Sistem Hardening:

    • Sunucu yazılımlarının ve hizmetlerin güncel tutulması; versiyon bilgilerini gizlemek için gereksiz bilgilerin sunucularda ifşa edilmemesi.
    • Güçlü parolalar ve çok faktörlü kimlik doğrulama (MFA) uygulamak.

  4. Port Yönetimi:

    • Açık portların düzenli olarak denetlenmesi ve gereksiz olanların kapatılması.

Sonuç

theHarvester aracı ile dijital ayak izi analizi, bir organizasyonun siber güvenlik duruşunu değerlendirirken kritik bir öneme sahiptir. Elde edilen verilerin güvenlik anlamının doğru bir şekilde yorumlanması, potansiyel risklerin belirlenmesi ve uygun savunma mekanizmalarının geliştirilmesi, siber tehditlere karşı alınacak en etkili önlemler arasında yer alır. Siber güvenlik stratejilerinin sürekli güncellenmesi ve zayıf noktaların düzenli olarak kontrol edilmesi, organizasyonların güvenliğini artıracaktır.