SOCMINT: Sosyal Medyadan İstihbarat Toplama, Sherlock ve EXIF Verisi
OSINT Rehberi - Bölüm 11
Arama motorlarını gelişmiş operatörlerle ve özel platformlarla nasıl kullanacağınızı anladıktan sonra, sosyal medya istihbaratının daha teknik boyutuna geçiyoruz. Açık kaynak istihbaratının en dinamik kollarından biri olan bu alanda, kullanıcı profillerinin ve paylaşılan içeriklerin analizi siber savunmanın önemli bir parçasıdır.
Sosyal medya platformları, bireylerin ve organizasyonların farkında olmadan en çok veri sızdırdığı alanların başında gelir. Bu verilerin sistemli bir şekilde toplanması, doğrulanması ve analiz edilmesi süreçlerinin bütününe SOCMINT adı verilmektedir.
SOCMINT Kavramları ve Terminolojisi
Sosyal medya istihbaratı, hedef organizasyonun veya kişilerin dijital haritasını çıkarmak amacıyla kullanılır. Süreç temel olarak üç ana veri bileşeni etrafında şekillenir:
- Kullanıcı Profili Detayları: Kullanıcıların çevrimiçi dünyada sundukları kimliklerin statik özetidir. Örneğin, bir çalışanın profesyonel ağ profilinde yer alan “Sistem Yöneticisi” unvanı ve kullandığı teknolojiler (Exchange, SharePoint gibi) teknik altyapı hakkında bilgi verir.
- Etkileşimler: Kullanıcıların platformlardaki dinamik aktivitelerini kapsar. Siber güvenlik forumlarındaki tartışmalara katılım veya kablosuz güvenlik araçları hakkındaki yorumlar, hedefin ilgi alanlarını ve uzmanlık seviyesini gösterir.
- Metadata (Üstveri): Paylaşılan içeriklere eşlik eden bağlamsal verilerdir. Bir fotoğrafın yüklendiği coğrafi konum, paylaşım saati, tarihi ve kullanılan cihaz türü bu kategoriye girer.
İki Veri Türü
SOCMINT kapsamında analiz edilen veriler teknik açıdan iki ana gruba ayrılır:
Açık (Explicit) Bilgi
Kullanıcıların kendi rızalarıyla ve doğrudan paylaştıkları verilerdir. Bir Tweet içinde belirtilen kişisel görüşler, bir iş değişikliği duyurusu veya profil sayfasında açıkça yazan e-posta adresleri bu veri türüne örnektir. Görünür katmanı oluşturur ve doğrudan hedef odaklı analiz imkanı sunar.
Örtük (Implicit) Bilgi
Kullanıcıların doğrudan beyan etmediği ancak davranış kalıplarından çıkarılan verilerdir. Beğenilen gönderilerin analizi, paylaşım yapılan saatlerin yoğunluğu veya görsellerin arkasına gizlenmiş cihaz bilgileri örtük veriyi oluşturur. Bu veri türü, hedefin alışkanlıklarını ve dolaylı ilişkilerini ortaya çıkarır.
Sherlock ile Kullanıcı Adı Araması
Dijital dünyada kullanıcılar genellikle farklı platformlarda aynı kullanıcı adını (username) tercih ederler. Sherlock aracı, tek bir kullanıcı adını girdikten sonra yüzlerce sosyal medya platformunu tarayarak o isme ait profilleri tespit etmeyi mümkün kılar.
Kali Linux işletim sistemi üzerinde Sherlock aracının kurulumu ve kullanımı şu adımlarla gerçekleştirilir:
1. Sistemi Güncelleme:
Sistem paketlerinin güncel olduğundan emin olmak için terminale ilgili komut girilir.
sudo apt update && sudo apt upgrade -yBu komut sistem listelerini yeniler ve mevcut paketleri onay gerektirmeden yükseltir.
Git Kurulumu:
Depoyu indirmek için gerekli olan Git sürüm kontrol aracı yüklenir.
sudo apt install git -ySistemde Git aracının kurulu olup olmadığı kontrol edilir ve yükleme tamamlanır.
Sherlock Deposunu Klonlama:
GitHub üzerindeki resmi kaynak kodları yerel dizine indirilir.
git clone https://github.com/sherlock-project/sherlock.gitBu komut projenin tüm dosyalarını “sherlock” adlı bir klasöre kopyalar.
Gereksinimleri Yükleme:
Aracın çalışması için ihtiyaç duyduğu Python kütüphaneleri kurulur.
cd sherlock && python3 -m pip install -r requirements.txtDizinin içine geçiş yapılır ve pip yöneticisi aracılığıyla bağımlılıklar sisteme entegre edilir.
Tarama İşlemini Başlatma:
Kurulum tamamlandıktan sonra hedef kullanıcı adı ile sorgu çalıştırılır.
python3 sherlock.py hedef_kullanici_adiSherlock, yapılandırılmış ağ listesini tarayarak aktif profillerin bağlantı adreslerini ekrana basar.
Hashtag Analizi ve Geolocation
Hashtag’ler ve coğrafi konum verileri, sosyal medya üzerinde belirli bir konudaki canlı verileri haritalandırmak için stratejik öneme sahiptir.
Trend ve Topluluk Analizi
Sanal dünyadaki etkileşimleri izlemek amacıyla bazı özel platformlardan yararlanılır:
- Hashtagify ve RiteTag: Sosyal mecralardaki popüler etiketleri analiz ederek hangi konuların öne çıktığını raporlar.
- TweetDeck: Belirli anahtar kelimeleri ve etiketleri gerçek zamanlı olarak yan yana panellerde izlemeyi sağlar.
- BuzzSumo: Etiket bazlı içerik keşfi yaparak en çok etkileşim alan paylaşımları listeler.
Geolocation Teknikleri
Siber istihbaratta coğrafi konum tespiti üç farklı mekanizma üzerinden ilerler:
- Sunucu Tabanlı Veri Toplama: IP adreslerinin fiziksel konumlarla eşleştirilmesi mantığına dayanır. Üçüncü taraf servis sağlayıcıların veri tabanlarına bağımlı olduğu için doğruluk oranı her zaman kesin değildir.
- Cihaz Tabanlı Veri Toplama: Cihazların üzerinde yer alan GPS modülleri ve hücresel ağ sinyalleri yardımıyla çalışır. Yoğun nüfuslu alanlarda yüksek doğruluk sunarken, kırsal bölgelerde gecikmeler yaşanabilir.
- Kombine Veri Toplama: Hem sunucu hem cihaz verilerini harmanlayarak en kararlı konum bilgisini üretmeyi amaçlar.
Case Study: Gerçek Dünya Geolocation Vakası
Olay: 6 Ocak 2021 tarihinde Amerika Birleşik Devletleri’nde yaşanan kongre baskını olayları.
Yöntem: Kolluk kuvvetleri, belirli bir zaman diliminde o coğrafi sınır içerisinde bulunan cihazların tespiti için geofencing (coğrafi sınır) warrants adı verilen yasal talepler doğrultusunda teknoloji şirketleriyle iş birliği yapmıştır.
Sonuç: Sosyal medya paylaşımları, baz istasyonu kayıtları ve konum servisleri verileri çapraz analiz edilerek alan içerisindeki şüphelilerin kimlikleri ve hareket yönleri tespit edilmiştir. Bu süreç, dijital konum verilerinin adli olaylardaki etkisini gösteren net bir örnek olmuştur.
Fotoğraf Metadata Analizi ve ExifTool
Dijital kameralar veya akıllı telefonlar ile çekilen fotoğrafların içerisine EXIF (Exchangeable Image File Format) adı verilen teknik veriler işlenir. Bu veriler, fotoğrafın çekildiği cihaz modelinden, çekim anındaki coğrafi koordinatlara kadar pek çok hassas bilgi barındırabilir.
Birçok büyük sosyal medya platformu kullanıcı gizliliğini korumak adına yüklenen görsellerdeki bu verileri otomatik olarak siler. Ancak kişisel blog sitelerinde, kurumsal web sayfalarında veya forumlarda orijinal halleriyle unutulan görseller sızıntı kaynağı olmaya devam eder.
Konum takibinin kapalı olduğu durumlarda bile cihazın teknik ayarları fotoğrafa işlenir. Çevrimiçi araçlar (Jimpl.com gibi) veya yerel yazılımlar bu verileri analiz edebilir.
ExifTool Kullanımı
ExifTool, multimedya dosyalarının üstverilerini okumak, yazmak ve düzenlemek için geliştirilmiş güçlü bir komut satırı aracıdır. Kali Linux üzerinde yerleşik olarak bulunur.
Bir görselin içerisindeki tüm gizli üstverileri okumak için terminalde şu komut çalıştırılır:
exiftool hedef_gorsel.jpg
Komutun ardından ekrana yansıyan satırlar arasında cihazın markası, kamera mercek ayarları, odak uzaklığı, ISO değeri ve eğer varsa enlem-boylam koordinatları listelenir.
Dikkat: Kurumsal dökümanlar veya görseller kamuya açık mecralarda paylaşılmadan önce mutlaka metadata temizleme işlemlerinden geçirilmelidir. Aksi takdirde siber saldırganlar bu verileri sosyal mühendislik senaryolarında birer kaldıraç olarak kullanabilir.
Yüzey kaynaklarını kapattıktan sonra, internet’in gözükmeyen katmanlarına iniyor ve dark web navigasyonu ile ilk otomasyon araçlarını tanıyoruz.
Bu Makaleden Anahtar Çıkarımlar
Sıkça Sorulan Sorular
SOCMINT verileri yasal olarak herkes tarafından toplanabilir mi?
SOCMINT, kamuya açık olan ve yasal olarak erişilebilen sosyal medya verilerinin toplanmasını kapsar. Ancak gizlilik ayarları korunan veya kapalı gruplardaki verilerin izinsiz alınması etik ve hukuki sorunlar doğurabilir.
Fotoğraflardaki EXIF verileri tamamen nasıl silinir?
Windows sistemlerde dosya özelliklerindeki ayrıntılar kısmından kişisel bilgileri kaldır seçeneğiyle, Linux üzerinde ise ExifTool aracı vasıtasıyla tüm metadata içeriği kalıcı olarak silinebilir.
Sherlock taramalarında neden bazen yanlış sonuçlar (false positive) çıkıyor?
Sherlock, platformlardaki HTTP durum kodlarını kontrol eder. Bazı web siteleri o kullanıcı adı var olmasa bile özel hata sayfaları döndürdüğü için araç orada profil varmış gibi algılayabilir.
