Siber Güvenlik
OSINT ile Coğrafi Konum Belirleme Teknikleri – Geolocation - 2
OSINT, kamuya açık kaynaklardan elde edilen veriler ile anlamlı bilgiler oluşturulmasıdır. OSINT’in altında kabul edebileceğimiz Coğrafi Konum Belirleme, yani Geolocation’dır. Bu, OSINT’in özel bir alanıdır. Peki, Gelocation nedir?
OSINT Nedir?
Open Source Intelligence (OSINT), dilimize Açık Kaynak İstihbaratı olarak çevrilir. "Açık Kaynak" kısmı, kamuya açık bilgileri ifade eder, "istihbarat" kısmıysa hedef hakkında belirli kalıplar ve profiller oluşturabileceğimiz bilgiler ve bu bilgiler arasındaki ilişkileri bulmayı ifade eder. OSINT çok geniş bir alandır ve uygulamanın birçok da farklı yolu vardır. Bu yazı ise genel olarak OSINT’in alt alanlarında olan Geolocation hakkında yazılmıştır.
Geolcation?
Geolocation en temelinde bir resmin, videonun veya cihazın içerisindeki farklı veri türleri veya analizi ile konumunun tespit edilmesidir. Bu yazı daha çok resim ve video konumlarının tespiti hakkında yazılmıştır. Geolocation’ın OSINT kapsamında kabul edebileceğimiz iki farklı yaygın kullanım alanı vardır:
- Olayların veya konumların tespiti
- Paylaşılan resim ve videoların doğrulanması
Farklı kullanım alanları olsa bile temelde bir içeriğin konumunu aramaktadır. Geolcation araştırması yaparken bakılacak ve kullanılacak yöntemler her zaman aynıdır. Her araştırmada aşağıdaki üç başlık sırası fark etmeksizin incelenmelidir:
- Metadata
- Reverse Image Search (RIS) – Tersine Görsel Arama
- Resim, video ya da cihazın detaylı analizi
Metadata
Metadata, bir kaynağı ya da veriyi tanımlamaya yardımcı olan ek bilgilerdir. Basitçe, kitapları birer veri kaynağı olarak kabul edersek, metadata kitap hakkında bilgi veren ilk sayfaları olur. Yani kitabın yazım/basım yılı, basım yeri, basım şirketi, yazarı ve editörü birer metadata olarak düşünülebilir. Aynı şekilde resim ve videolar için de metadata bulunur.
EXIF
Resim veya videolar içinde, GPS koordinatları, çekim yapan kamera/telefon bilgisi, çekim zamanı gibi birçok veriyi içeren uluslararası bir veri gurubu standartıdır. Geolocation yaparken bulunma ihtimali en az olan bilgi grubu olsa da bulunması durumunda en çok bilgiye ulaşabileceğiniz verilerdir.
Şekil 1: EXIF Örneği
Günümüzde özellikle Facebook, Instagram, Twitter ve Imgur gibi bilindik sosyal medya siteleri otomatik olarak EXIF verisini silerek sistemlerine yüklemektedir. Ancak EXIF’ın bulunabildiği yerler de vardır. Kişisel bloglar, haber siteleri ve fotoğraf paylaşım siteleri (flicker, photobucket v.b) ya da blog oluşturma siteleri otomatik olarak EXIF verisini silmez. Bu da Geolocation yaparken çok güzel bir araştırma noktası olur. Bu sebeple bulunma ihtimali az olsa da her zaman bakılmasında fayda vardır. Gerçek hayattan örnek vermek gerekirse, 2012 yılında farklı sebeplerle yetkililerden kaçan McAfee Antivirüs şirketinin kurucusu John McAfee, kaçışı sürecince birçok röportaj veriyordu ve çoğunda durumunun iyi olduğunu gösteren özel fotoğraflar paylaşıyordu. Ancak Vice ile yaptığı bir röportajda paylaşılan fotoğrafın EXIF verileri silinmeden paylaşıldığı için Mcafee’nin konumunu istemsizce paylaşmış oldular.
Şekil 2: Guatemala'da olduğu görülmekte
Tabii bu konu ortaya çıktıktan sonra John McAfee olayı ilk önce yalanladı ama sonra doğrulayıp Guatemala yetkilileri ile iletişimde olduğunu açıkladı. Kısacası neyi, nasıl paylaştığınıza dikkat etmenizde fayda var.
EXIF hakkında bilinmesi en önemli konulardan birisi de EXIF verilerinin değiştirilebilir olduğudur. Bir EXIF verisi bulsanız dahi mutlak doğru olarak kabul etmeyip, verileri doğrulamanız gerekmektedir.
Reverse Image Search (Tersine Resim Arama)
Tersine Resim arama son zamanlarda tüm arama motorlarına eklenen bir özeliktir. Temelde internete gördüğünüz bir görseli, normal bir Google/Bing araması yapıyormuş gibi arayabilirsiniz. Ayrıca Google, Bing ve Yandex görsel aramanın yanında yapay zekâ ile resim içeriğini tanıyıp benzer içerikler ve cisim tanıması sayesinde arattığınız görsellere benzer görseller bulmanıza yardımcı olabilir. Bu tür araştırmalar yaparken tüm arama motorlarının denenmesi tavsiye edilir, birinin bulmadığını diğerinin bulma olasılığı çok yüksektir.
Şekil 3: Reverse Image Search (RIS) Örneği
Elimizdeki bir kişin fotoğrafını Google ile RIS yaptığımız, Google otomatik olarak Hugh Jackman diye tamamladı ve onun hakkında bilgiler getirdi. Eğer bulamasaydı olası benzer fotoğrafları listeleyecekti.
Aramalarınızı yaparken, istediğiniz sonuçları alamazsanız, görseli kırparak ya da insan, araba gibi farklı cisimleri çıkartarak arayabilirsiniz. Temelde amacınız benzersiz özellikler kalacak şekilde bir arama yapmaktır.
Şekil 4: cleanup.pictures gibi bir site ile düzelteme sonrası RIS yapabilirisiniz.
Şekil 5: Korkulukları silindikten sonra sonucu bulabildik.
Detaylı Analiz
Çoğu zaman detaylı bir analiz yapmadan “Metadata” ve “Reverse Image Search” ile aradığınız yeri bulabilirsiniz. Ancak bazı durumlarda görseli ya da videoyu detaylı bir şekilde analiz etmek ve araştırma yapmak dışında bir yolunuz olmayabilir. Bir analizi yapmadan önce yapılacak ilk şey, elinizdeki görselin en yüksek kaliteli halini bulmak olmalı, bundan sonra ise OSINT metodolojisinin dört temel sorusu ile (Ne biliyorum? Bildiklerim ne anlama geliyor? Neyi bilmem gerekiyor? Nasıl bulabilirim?) tabelalara, işaretlere, manzaraya, yapılara ve peyzajlara ve hava durumuna bakmaktır.
Eğer bir video analizi yapıyorsanız, videoyu tekli kareler halinde, “frame by frame” olarak incelemeniz ya da frame by frame olarak listeleyip bakmanız işinizi kolaylaştırabilir.
Diğer Yöntemler
Bazen yukarıda bahsettiğimiz yöntemlerin hiçbiri işinize yaramayabilir. Bu durumda daha radikal daha niş alanlar ile arama yapmak durumunuzdasınız.
- Ülkeleri birbirinden nasıl ayırırım diye düşünüyorsanız, güzel ipuçları veren bu sitelere bakabilirsiniz:
- Bilmediğiniz bir araç plakası mı var? Dünyadaki tüm geçmiş ve mevcut araç plaka tiplerini listeleyen sitelere bakabilirsiniz:
- Ülke bayrağı olmadığını düşündüğünüz bayraklar mı görüyorsunuz? Bunun için bu sitelere bakabilirsiniz:
- Bir uçak kodu mu gördünüz ya da fotoğrafı mı var? Bunun için sitelere bu bakabilirsiniz:
- Dağ ya da tepeler mi görüyorsunuz? Bunun için de özel siteler var:
- Bilmediğiniz bir futbol forması mı gördünüz? Bunun için bu sitelere bakabilirsiniz:
- Resmi bir kimlik ya da pasaport yüzü mü gördünüz? Bunun için de özel siteler var:
- Askeri kamuflaj mı gördünüz? Bunun için bu sitelere bakabilirsiniz:
gibi yukarıda verdiğimiz siteler ve aklınıza gelebilecek her konunun listesini tutan siteler bulunuyor. Yapmanız gereken tek şey araştırabileceğiniz bir şey bulup, aradığınız coğrafi alanı daraltmaktır.
Bir OSINT Gelocation Örneği
Bir önceki yazıda çok basit bir Geolocation sorusu sormuştum. Bu soruyu aşağıdaki gibi çözebilirsiniz.
Şekil 6: Bu görsel gerçek bir yer midir? Değil ise nerede çekilmiştir, Gerçek ise burası nerededir.
Çözüm için Geolocaition bile yapmanıza gerek kalmadan bulunabilirdi ama metodolojiyi anlatmak için güzel bir örnek. Başlayalım…
Ne biliyorum?
- Görselde bir Polonya bayrağı bulunuyor.
- KRAKUS yazılı bir market bulunuyor.
- Tuğladan yapılmış uzun bir duvar/yapı bulunuyor.
- Bu duvarın/yapının üstünde, bir güvenlik şeridi, korkuluk var.
- İleride kırmızı ışıkların olduğu bir geçit var ve yol duvarın/yapının içinden geçiyor gibi gözüküyor.
- Modern sayılabilecek araçlar bulunuyor.
- İnsanlar beyaz tenli gözüküyor.
Bildiklerim ne anlama geliyor?
- Polonya da olabilir.
- KRAKUS isimli marketler olan bir ülkede olabilir. (Eğer gerçek bir market ise)
- Duvarın üstünden muhtemelen bir tren yolu var, çünkü otoyol bariyeri gibi gözükmüyor.
- Eğer tren yolu ise içerisinden tren yolu geçen bir şehir olmalı.
- Bu tren yolu şehrin merkezi bir yerinden geçiyor gibi bir izlenim var.
- İnsanların beyaz tenli olması muhtemelen kuzey yarım kürede olduğumuzu gösteriyor.
Neyi bilmem gerekiyor?
- Bu minyatür şehrin gerçek olup olmadığını,
- Minyatür şehir gerçek ise neresinin minyatürü olduğunu bilmem gerekiyor.
- KRAKUS marketlerin nerede olduğunu,
- KRAKUS marketi olan ve tren yolu geçen bir yer olmalı,
- Şehrin merkezinde veya merkeze yakın olmalı,
- KRAKUS diye bir market yok ise analize devam etmeliyim.
- Polonya olup olmadığını bulmamız gerekiyor.
Nasıl bulurum?
- Google Maps gibi arama ile KRAKUS aratmak.
- Çıkan şehirlerde Tren yolu aramak.
- Tren yolu olan yerlerde tuğla renkli yerler aramak.
- KRAKUS olan yerlerde “<Ülke/Şehir ismi> miniature city” diye arama yapmak.
Şimdi başlayalım,
- Google, Bing ve Yandex RIS ile yaptığım araştırmalarda sağlıklı bir sonuç gelmiyor. Bu sebep ile RIS konusu şimdilik kapatıyorum. (Eğer RIS ile bulduysanız güzel, aşağıdaki işleri yapmanıza gerek kalmadı ama yine de okumanızı tavsiye ederim)
- “Krakus Sklep Monopolowy” diye Google’da aratınca çıkan sonuçların sadece Polonya’dan olduğu gözüküyor. Bu iki şey demek, Krakus Polonya’ya özel gerçek bir market markası. Google Maps ise sadece 9 tane sonuç listeliyor. Bu da demek oluyor ki Krakus marketimiz az bulunan bir market. Yani işimiz kolaylaşıyor.
- Bulduğumuz 9 farklı lokasyonu hızlıca eleyebileceğimiz OverpassTubo Map Data adlı bir yol var ancak o konuya şu an girmemiz yazılım bilgisi ve OpenStreetMaps’ın API’ni öğrenmemizi gerektiriyor. Bu doğru olmayacağı için tüm sonuçları kontrol etmemiz gerekecek.
- Sonuçlara hızlıca baktığımızda ise sadece birinin tren yolu yakınında olduğu gözüküyor. Tren yolunun geçtiği yerin tuğla rengi olması da görselimizin gerçek bir yer olma ihtimalini artırıyor.
Şekil 7: KRAKUS Konumu
- Yakınından tren yolu geçen tek Krakus marketi burası olarak gözüküyor. (Krakus. Delikatesy, Wojciecha Bogusławskiego 14, 50-023 Wrocław, Poland)
Şekil 8: Konum Karşılaştırması
- Google Street View ile bu konuma girince görüyoruz ki, asfalt yol ve market isimleri dışında her şey aynı gözüküyor. Tren yolunun diğer tarafında da bir yol geçiyor ve o da gayet makul gözüküyor ama Google marketin orada olmadığını belirtmiş. Bir çıkarım yapmadan önce sokağı biraz inceledikten sonra görüyoruz ki güncel fotoğraflarda yol kenarında bir inşaat olduğu için araçlar buraya kadar gelmemiş. Sonuç olarak her ne kadar Krakus marketini bulamamış olsak da ilk görselimizin aslında gerçek bir yeri kopyalayarak yapılmış olduğunu tespit ettik. Ve çok yüksek ihtimalle tam konumunu bulduk.
- Şimdi yapmamız gereken tek şey, minyatür şehrimizi bulmak olacak.
- Bulduğumuz konum Wrocław şehri olduğu için, Google’a hızlıca “Wrocław miniature city” diye aratmak mantıklı olacak. Bunun sonucunda karşımıza sadece bir sonuç geliyor.
- Wrocław | Kolejkowo
Görüldüğü üzere aradığımız konum hakkında sormamız gereken 4 temel soruyu sorarak ve olabildiğince detaylı bir şekilde cevaplayarak çok hızlı bir şekilde görselimizin gerçek olup olmadığını ve konumunu bulduk. Burada ilk önce gerçek konumu bulmaktansa minyatür şehirler olan sergileri de bulabilirdik ama temelde aynı yolu izleyecektik.
Burada yaptığımız Geolocation aslında bu çok basit bir örnekti. Google Street View olmayan ya da uydu görüntüsü olmayan yerler de olabilirdi. Bu durumda Facebook, Instagram, Twitter, Snapchat, drone görüntü siteleri, FourSquare, Tripadvisor gibi çeşitli fotoğraf paylaşım sitelerini veya en eğlencelisi Microsoft Flight Simülatörü kullanabilirsiniz. Ayrıca bu konumu ararken özel bir araç kullanmamıza da gerek kalmadı. Daha karmaşık araştırmalarınızda özel araçları kullanmanız gerekebilir ama araştırma mantığımızın her zaman yukarıda belirttiğim çerçevede olması işinizi kolaylaştıracaktır.
Kaynakça:
- Last Toy Train Home — OSINT Challenge 11 - Medium
- A Very Particular Set of Skills: Geolocation Techniques For OSINT and Investigation - Chris Kindig (Circle City Con 2018 Videos) (Hacking Illustrated Series InfoSec Tutorial Videos)
- Tell, Explain, Describe… Asking The Right Questions To Get The Right Answers – Quiztime 25th June 2019 – NixIntel
- https://osintcurio.us/2020/11/01/ten-minute-tip-image-geolocation-part-1/
- https://nixintel.info/osint/tell-explain-describe-asking-the-right-questions-to-get-the-right-answers-quiztime-25th-june-2019/
- https://keyfindings.blog/2018/10/02/the-sunny-side-of-geolocation-verifications/
- https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/
- https://petapixel.com/2012/12/03/exif-data-may-have-revealed-location-of-fugitive-billionaire-john-mcafee/
- https://www.mobileprivacy.org/2012/12/vice-com-publishes-exclusive-with-john-mcafee-reveals-location-in-iphone-metadata-exif/