CSINT Open Source Intelligence

Vaka okuma defteri

OSINT’i gerçek örnekler üzerinden tane tane oku.

Bu sayfa, haber ve raporlardaki açık kaynak çalışma mantığını sadeleştirir: önce soru, sonra veri, sonra doğrulama, en sonda ders ve dikkat notu.

Gerçek vaka okumaları

Önce mantığı gör, sonra kaynağa git.

Buradaki özetler doğrudan kopyalanacak yöntem değildir. Ama bir araştırmada hangi sorunun sorulduğunu, hangi verinin toplandığını ve sonucun nasıl temkinli yazıldığını net gösterir.

Vaka 01 / 2015

MH17: sosyal medya, harita ve uydu verisiyle rota kurma

GEOINT / görsel doğrulama

Sosyal medya görüntüleri, uydu ve harita ipuçları aynı zaman çizelgesinde birleştirildi.

Kaynağı aç

Rota ve konum eşleştirme

Bellingcat

01

Araştırma sorusu

Bir füze sisteminin olay günü nereden geçtiği ve hangi bölgeden ateşlenmiş olabileceği açık kaynaklarla nasıl gösterilebilir?

02

Eldeki veri

  • Sosyal medyada paylaşılan fotoğraf ve videolar
  • Yol, bina, tabela, arazi ve gölge gibi görsel ipuçları
  • Uydu görüntüleri, harita verisi ve sahadan gelen gazeteci/witness kontrolleri

03

Nasıl kontrol edildi?

1

Her fotoğraf ve video önce ayrı kanıt parçası gibi ele alındı.

2

Görünen sabit ipuçları harita ve uydu görüntüleriyle eşleştirildi.

3

Gölge yönü, paylaşım zamanı ve farklı kaynaklardaki tekrarlar zaman çizelgesine bağlandı.

4

Alternatif iddialar aynı kaynak mantığıyla karşılaştırıldı; tek görüntüyle kesin hüküm kurulmadı.

04

Buradan alınacak ders

İyi OSINT, tek bir viral görselden değil; küçük, bağımsız ve tekrar kontrol edilebilir parçaların aynı zaman çizelgesinde birleşmesinden çıkar.

05

Dikkat noktası

Savaş ve kaza vakalarında kişisel veri, mağdur görüntüsü ve tanık güvenliği ayrıca düşünülmelidir.

Vaka 02 / 2019

Suriye hastaneleri: video, uçuş kaydı ve ses kayıtlarını aynı çizgide okumak

Görsel doğrulama / savaş suçu iddiası

Farklı kanıt türleri dakika dakika aynı olay örgüsüne oturtuldu.

Kaynağı aç

Video, ses ve uçuş kaydı

The New York Times Visual Investigations

01

Araştırma sorusu

Bir hava saldırısı iddiası; video, uçuş gözlemi, tanık anlatımı ve ses kayıtları birlikte okunarak nasıl doğrulanır?

02

Eldeki veri

  • Sosyal medya ve yerel kaynaklardan gelen çok sayıda video
  • Uçak gözlem kayıtları ve zaman bilgileri
  • Tanık anlatımları, uydu/harita karşılaştırmaları ve ses kayıtları

03

Nasıl kontrol edildi?

1

Videolar önce gerçekten aynı yer ve aynı olay mı diye geolocate edildi.

2

Minare, su kulesi, tepe çizgisi ve bina konumu gibi sabit ipuçları Google Earth ile karşılaştırıldı.

3

Farklı açılardan çekilen videolar frame frame eşleştirilerek saldırı sırası çıkarıldı.

4

Uçuş kayıtları ve ses kayıtları, görsel zaman çizelgesiyle aynı dakikaya oturtuldu.

04

Buradan alınacak ders

Yüksek riskli iddialarda asıl güç tek kanıtta değil, farklı veri türlerinin aynı zamanı ve aynı yeri göstermesindedir.

05

Dikkat noktası

Bu tür vakalarda sonuç dili dikkatli olmalı; kanıt, yorum ve atıf seviyesi ayrı yazılmalıdır.

Vaka 03 / 2013

APT1: tehdit istihbaratında altyapı, gösterge ve açık kaynakla atıf çalışması

CTI / altyapı analizi

Domain, IP, C2 ve davranış desenleri uzun dönemli aktör profiline dönüştürüldü.

Kaynağı aç

IOC ve altyapı kümesi

Mandiant / Google Cloud

01

Araştırma sorusu

Uzun süreli siber faaliyetler; IP, domain, C2 altyapısı, olay müdahale verisi ve açık kaynaklarla nasıl anlamlı bir tehdit aktörü profiline dönüşür?

02

Eldeki veri

  • Yıllara yayılan olay müdahale gözlemleri
  • Domain, IP, C2 altyapısı ve IOC kümeleri
  • Açık kaynak kayıtları, kişi/kurum bağlantıları ve tekrar eden operasyon desenleri

03

Nasıl kontrol edildi?

1

Tekil IOC listesi yerine, tekrar eden altyapı ve davranış kümeleri takip edildi.

2

Farklı kurban olaylarından gelen teknik göstergeler aynı desen içinde karşılaştırıldı.

3

Açık kaynak bilgiler, teknik telemetriyi destekleyen bağlam katmanı olarak kullanıldı.

4

Atıf kesin gerçek gibi değil, kanıt yoğunluğu ve tutarlı desenler üzerinden raporlandı.

04

Buradan alınacak ders

CTI tarafında OSINT, tek IP aramak değil; göstergeleri zaman, altyapı, davranış ve bağlamla kümelendirmektir.

05

Dikkat noktası

Tehdit aktörü atfı yüksek risklidir. Kaynak, yöntem ve güven düzeyi yazılmadan kesin sahiplik iddiası kurulmamalıdır.

Güvenli pratik

Kurgusal verilerle sırayı çalış.

Gerçek kişileri hedeflemeden, yalnızca örnek senaryolarla araştırma sırası kurmak için hazırlandı.

Pratik 01

Şüpheli domain kontrolü

Kurgu veri

Bir arkadaşın sana kurgu bir alışveriş linki gönderiyor: secure-example-login.test.

Girdi

Elindeki bilgiyi ve araştırma sınırını yaz.

İzlenecek sıra

Adım 1

Kök domaini ayır

Adım 2

DNS ve sertifika geçmişini kontrol et

Adım 3

Arşivde eski görünüm var mı bak

Adım 4

Tek itibar sonucuyla karar verme

Çıktı

Domain profili, tarih notu, risk seviyesi ve doğrulama sınırı.

Pratik 02

Sahte sosyal medya iddiası

Kurgu veri

Kurgu bir paylaşım, eski bir videoyu bugünkü olay gibi gösteriyor.

Girdi

Elindeki bilgiyi ve araştırma sınırını yaz.

İzlenecek sıra

Adım 1

Paylaşım metnini kaydet

Adım 2

Daha eski kopyaları ara

Adım 3

Yükleme tarihi ve bağlamı karşılaştır

Adım 4

Sonucu güven düzeyiyle yaz

Çıktı

İlk kaynak adayı, zaman çizgisi ve iddianın durumu.

Pratik 03

Görsel konum temelleri

Kurgu veri

Kurgu bir fotoğrafta tabela, köprü ve dağ silueti görünüyor.

Girdi

Elindeki bilgiyi ve araştırma sınırını yaz.

İzlenecek sıra

Adım 1

Sabit ipuçlarını listele

Adım 2

Harita ve açık fotoğraf kaynaklarında aday yerleri karşılaştır

Adım 3

Tek benzerliği yeterli sayma

Adım 4

Hassas konumları genelleştir

Çıktı

Aday konum, destekleyen ipuçları ve belirsizlik notu.

Pratik 04

CVE iddiası kontrolü

Kurgu veri

Bir gönderi, kurgu bir ürün sürümünün acil exploit altında olduğunu söylüyor.

Girdi

Elindeki bilgiyi ve araştırma sınırını yaz.

İzlenecek sıra

Adım 1

CVE kaydını kontrol et

Adım 2

Satıcı bültenine bak

Adım 3

KEV/EPSS bağlamını oku

Adım 4

Kendi ortamının etkilenip etkilenmediğini ayır

Çıktı

Öncelik notu, doğrulama kaynakları ve önerilen aksiyon.

Pratik 05

Şirket ayak izi araştırması

Kurgu veri

Kurgu bir tedarikçi hakkında temel durum tespiti yapıyorsun.

Girdi

Elindeki bilgiyi ve araştırma sınırını yaz.

İzlenecek sıra

Adım 1

Resmi sicil kaydını bul

Adım 2

Alan adı ve resmi siteyi ayır

Adım 3

Üçüncü taraf özetleri belgeyle karşılaştır

Adım 4

Kişisel veriyi azalt

Çıktı

Kaynaklı şirket profili ve açık sorular.

Pratik 06

Phishing e-posta analizi

Kurgu veri

Kurgu bir e-posta, kurum şifresini yenilemeni istiyor.

Girdi

Elindeki bilgiyi ve araştırma sınırını yaz.

İzlenecek sıra

Adım 1

Bağlantıyı açmadan domaini ayır

Adım 2

E-posta başlığını ve SPF/DKIM/DMARC durumunu incele

Adım 3

Domain yaşını ve sertifika izini kontrol et

Adım 4

Ek dosya varsa ana bilgisayarda indirme

Çıktı

Savunma odaklı e-posta değerlendirmesi ve güvenli aksiyon.

Okuma notu

Amaç olayları yeniden hedeflemek değil, düşünme düzenini öğrenmek.

Vakalarda kişisel veri, mağdur görüntüsü, hassas konum ve atıf dili ayrıca düşünülmelidir. Kanıtı yorumdan ayır, belirsizliği yaz ve tek kaynağı kesin hüküm gibi kullanma.

Rapor oluşturucuya gitChecklistleri aç