5 Nisan 2023’te FBI ve Hollanda Ulusal Polisi, en büyük dark web pazar yerlerinden biri olan Genesis Market’in kapatıldığını duyurdu. “Çerez Canavarı Operasyonu” olarak adlandırılan operasyon, 119 kişinin tutuklanması ve 1 milyon doların üzerinde kripto para birimine el konulmasıyla sonuçlandı. Bu davaya özgü ayrıntılar için FBI’ın izin belgesini buradan okuyabilirsiniz. Bu olayların ışığında, OSINT’in dark web araştırmalarına nasıl yardımcı olabileceğini tartışmak istiyorum.
Dark Web’in anonimliği, muhbirler ve siyasi aktivistlerden siber suçlular ve teröristlere kadar çeşitli kullanıcıları cezbeder. Bu sitelerin ve karakterlerin arkasındaki kişileri belirlemeye çalışmak için kullanılabilecek birkaç teknik vardır.
Teknik Güvenlik Açıkları
OSINT olarak kabul edilmemekle birlikte, karanlık web sitelerini barındırmak için kullanılan teknolojide teknik güvenlik açıklarının bulunduğu durumlar olmuştur. Bu güvenlik açıkları yazılımın kendisinde olabilir veya hatalı yapılandırmalardan kaynaklanabilir, ancak bazen sitenin gerçek IP adresini ortaya çıkarabilirler. Genellikle bu yazılım güvenlik açıkları, sitenin gerçek IP adresini içeren hata mesajlarını tetiklemek için Burp Suite gibi sızma testi araçları ve teknikleri gerektirir. Bunun gibi güvenlik açıkları nadirdir ve nadiren kullanılır.
Karanlık web sitesi operatörlerinin, Shodan veya Censys gibi hizmetleri kullanarak gerçek IP adreslerine bağlanabilen SSL sertifikaları veya SSH anahtarları kullandığı durumlar da olmuştur.
Kripto Para Takibi
Dark web’deki işlemler genellikle yasa dışı mal ve hizmetler karşılığında kripto para birimini içerir. Bu, blok zinciri analiz araçlarının yardımıyla bireyleri tanımlama olasılığını açar.
Kara para aklamayı önlemek için çıkarılan kanunlar gereği bir bankaya gidip “anonim” adıyla hesap açamıyorum. Bu gereklilikler genellikle Kara Para Aklamayı Önleme (AML) ve Müşterinizi Tanıyın (KYC) olarak adlandırılır ve müşterilerin kimlik kanıtı için devlet tarafından verilmiş kimlik belgesi vermesini gerektirir. Birçok ülke, kripto para borsalarında benzer gereksinimlere sahiptir.
Birkaç yıldır şirketler, kripto para adreslerini Coinbase veya Binance gibi belirli borsalara bağlamaya çalışan blockchain analiz araçları sağladı. Bir kripto para birimi adresi belirli bir borsaya bağlandıktan sonra, yasa uygulayıcılar ve/veya yasal yetkiye sahip mali müfettişler, borsanın kendilerine bu hesabın sahibi için tanımlayıcı bilgiler sağlamasını talep edebilir.
Tarihsel olarak, bu blok zinciri analiz hizmetleri, bireylerin satın alması için maliyeti engelleyiciydi, ancak blok zinciri analitik sağlayıcısı Breadcrumbs, yakın zamanda çok daha uygun fiyatlar ve ücretsiz bir plan sağlayan bir analiz platformu başlattı.
Onları İnternete Getirmek
Beşinci günüme kadar karanlık ağ hakkında konuşmuyoruz. SANS SEC497 Uygulamalı OSINT kursu, Neden? Karanlık ağda edinilen bir iletişim yöntemi internete geri getirildiğinde, önce mevcut seçenekleri öğrenmeniz önemlidir. Açıklamama izin ver.
Ayda iki defadan fazla aynı yerde bulunamayacağınız bir belediye yönetmeliği nedeniyle sürekli olarak yer değiştirmek zorunda kalan bir yemek kamyonu işlettiğinizi hayal edin. Marka sadakati oluşturmaya ve potansiyel müşterilerin her gün nerede olduğunuzu bilmesini sağlamaya nasıl çalışırsınız?
Muhtemelen müşterilerin sizi nerede bulabileceklerini bilmeleri için sosyal medyada sizinle bağlantı kurmasını veya web sitenizi vb. ziyaret etmesini sağlamaya çalışırsınız. İster inanın ister inanmayın, karanlık ağda çok benzer bir dinamik var.
Karanlık ağın anonimlikte sağladığı şey, istikrar ve güvenlikten yoksun olmasıdır. Silk Road, AlphaBay, Hansa, Wall Street ve şimdi de Genesis gibi büyük pazarların tümü kolluk kuvvetleri tarafından ele geçirildi. Hizmet Reddi saldırıları, popüler “Dread” forumunun son zamanlarda bu tür saldırılar nedeniyle birkaç aydır kapalı olmasının kanıtladığı gibi, Tor ağında büyük bir sorun haline geldi. Bu ortamda bir iş yürütmeyi ve istikrarlı bir gelir elde etmeyi hayal edebiliyor musunuz?
Satıcıların istikrar ve dayanıklılık elde etmeye çalışmasının bir yolu, birden çok pazar yerinde satış yapmak ve onlarla doğrudan iletişim kurmak için yöntemler sağlamaktır. İstikrar sağlamaya yönelik bu girişim çok anlamlıdır ve OSINT uygulayıcıları için inanılmaz derecede faydalıdır çünkü onları internette bulmak ve tüm bilgimizi, deneyimimizi ve kaynaklarımızı taşımak için kullanabileceğimiz iletişim yöntemleri veya “seçiciler” sağlar. . Karanlık bir web sitesinden bir e-posta adresini alıp Google kullanarak internetteki bir siteye bağlayabildiğimiz aşağıdaki örneğe bakın.
Birey(ler)i internetteki kaynaklara bağladığımızda, onları anonim hale getirmek için çok sayıda seçeneğimiz olur. Favori seçeneklerimden bazıları şunlardır:
Tarihsel WHOIS Aramaları
WHOIS kayıtları gibi etki alanı kayıt bilgileri, bir web sitesinin sahibi veya işletmecisi hakkında yararlı bilgiler sağlayabilir. Bazı durumlarda suçlular, yanlış veya eksik gizlilik koruma önlemleri kullanarak kimliklerini veya konumlarını istemeden ifşa edebilir. Bir sitenin WHOIS bilgileri şu anda anonim olsa bile, çoğu zaman geçmişte öyle olmadığı bir nokta vardı. Bir sitenin sahibinin gerçek kimliğini vermeden önce ve sonra özel olarak kaydettirildiği dört gün kadar küçük boşluklar gördüm.
Forumlarda OSINT
Karanlık ağdaki kişiler genellikle iletişim kurmak, soruları yanıtlamak vb. için forumlara katılırlar. OSINT uygulayıcılarının gerçek kimlikleri hakkında daha fazla bilgi edinmelerine yardımcı olabilecek bilgileri istemeden açığa çıkarabilirler. Kullandıkları dil ve kendilerine has sözler son derece faydalı olabilir.
İhlal Verileri
Bir e-posta anonim bir hizmete bağlı olsa bile, kullanıcı onu forumlar ve sosyal medya dahil olmak üzere başka sitelerde kullanmış olabilir. Soruşturmalarınızda yasal ve ahlaki olarak ihlal verilerini kullanabiliyorsanız, çevrimiçi bir kişiyi gerçek bir adla, fiziksel adresle vb. ilişkilendirebilirsiniz.
Bazı araştırmacılar için yararlı olduğu kanıtlanmış bir sızıntı örneği, SuperVPN, GeckoVPN ve ChatVPN dahil olmak üzere çeşitli VPN sağlayıcılarından 2021/2022 10 GB veri sızıntısıydı. Bu veriler, mobil cihazların uluslararası mobil abone kimliği (IMSI) dahil olmak üzere, kullanılan cihazlar hakkında tam adları, fatura ayrıntılarını ve potansiyel olarak benzersiz tanımlayıcıları içeriyordu.
Gelecekteki Gelişmeler ve Eğilimler
Gelecekteki dark web pazarını alt etme işlemleri burada tartışılan yöntemleri kullanacak ve hiç şüphesiz gelişen teknolojileri içerecektir. En belirgin gelişme, OSINT’te Yapay Zeka (AI) ve Makine Öğrenimi (ML) kullanmaktır. Örneğin yapay zeka, birden çok kaynaktan verileri hızlı bir şekilde toplayıp analiz edebilen web kazıma araçlarının oluşturulmasına yardımcı olurken, makine öğrenimi algoritmaları verilerdeki kalıpları ve ilişkileri tanımlamak için eğitilebilir. Bu ilerlemeler, araştırmacılara önemli ölçüde zaman ve kaynak tasarrufu sağlama potansiyeline sahiptir ve araştırmalarının diğer yönlerine odaklanmalarına olanak tanır.
SANS Enstitüsü, siber güvenlik eğitimi, sertifikalar ve ÜCRETSİZ kaynaklar hakkında daha fazla bilgi edinmek için hemen burayı tıklayın!
Not: Bu makale SANS Baş Eğitmeni Matt Edmondson tarafından ustalıkla yazılmış ve katkıda bulunmuştur.