Arama Motoru İstihbaratı: Google, Shodan ve Censys ile İleri Seviye Aramalar

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18

0_RFRHu1Hj_y2Nvz0r.jpg

Arama Motoru İstihbaratı: Google, Shodan ve Censys ile İleri Seviye Aramalar​

İnternet, buzdağının görünen yüzüdür. Çoğu kullanıcı için internet; haber okumak, video izlemek veya alışveriş yapmaktan ibarettir. Ancak bir Siber İstihbarat (OSINT) uzmanı için internet, milyarlarca sensörün, sunucunun ve unutulmuş dosyanın oluşturduğu devasa bir veri madenidir.

Bu madeni kazmak için kazma küreğe değil, doğru "sorgulara" ihtiyacınız vardır. Bu makalede, siber güvenlik dünyasının en güçlü üç arama motorunu: Google, Shodan ve Censys'i ve bunlarla nasıl ileri seviye arama motoru istihbaratı yapabileceğinizi inceleyeceğiz.

Google Dorking: Arama Çubuğundaki Hacker​

Herkes Google'da arama yapabilir, ancak herkes Google'ın dilini konuşamaz. Google, interneti tararken (crawling) sadece web sayfalarını değil, o sunuculardaki PDF dosyalarını, Excel tablolarını ve bazen yanlışlıkla açılmış yönetici panellerini de indeksler.

Bu gizli bilgilere ulaşmak için kullanılan ileri seviye arama operatörlerine "Google Dorks" veya "Google Hacking" denir. Bu bir "hackleme" işlemi değil, Google'a "bana sadece şunları getir" deme sanatıdır.

En Kritik Google Dork Operatörleri​

Bir OSINT çalışmasında en sık kullanılan operatörler şunlardır:
  • site:: Aramayı sadece belirli bir alan adı veya uzantı ile sınırlar.
    • Örnek: site:pwnlab.me(Sadece pwnlabme).
  • filetype: veya ext:: Belirli dosya türlerini arar (PDF, DOCX, XLS, LOG, SQL).
    • Örnek: filetype:pdf (Sadece PDF dosyalarını göster).
  • intitle:: Aranan kelimenin sayfa başlığında geçmesini zorunlu kılar.
    • Örnek: intitle:"index of /" (Dizin listelemesi açık olan, yani dosyaların kabak gibi ortada olduğu sunucuları bulur).
  • inurl:: Aranan kelimenin URL (adres) satırında geçmesini zorunlu kılar.
    • Örnek: inurl:admin (URL içinde admin kelimesi geçen sayfaları bulur).

Uygulamalı Google Dorking Senaryosu​

Diyelim ki bir siber güvenlik analistisiniz ve şirketlerin yanlışlıkla ifşa ettiği "Gizli" ibareli dosyaları araştırıyorsunuz. Şu komut, Google'ın derinliklerine inmenizi sağlar:

filetype:pdf "gizli" site:com.tr -site:pwnlab.me
Genişletmek için tıkla ...
Bu sorgu ne yapar?
  1. Sadece PDF dosyalarını arar.
  2. İçinde "gizli" kelimesi geçenleri bulur.
  3. Sadece Türkiye'deki ticari (.com.tr) sitelere bakar.
  4. Resmi Gazete sonuçlarını hariç tutar (gürültüyü engeller).
Uyarı: Google Hacking Database (GHDB) üzerinde binlerce hazır sorgu bulunur. Ancak bu sorguları yetkisiz sistemlere erişmek için kullanmak suçtur. OSINT sadece "görmek" içindir, "dokunmak" için değil.

Shodan: Nesnelerin İnterneti'nin (IoT) Röntgen Cihazı​

Google web sitelerini tarar; Shodan ise cihazları tarar. Shodan, "Dünyanın en korkutucu arama motoru" olarak bilinir çünkü internete bağlı buzdolaplarından trafik ışıklarına, güvenlik kameralarından endüstriyel kontrol sistemlerine (SCADA) kadar her şeyi bulabilir.

Shodan, cihazların "Banner" (Karşılama İletisi) bilgilerini okur. Bir sunucuya bağlandığınızda sunucu size "Ben X marka kamerayım, versiyonum 2.0" der. Shodan bu bilgiyi kaydeder.

Shodan ile Neler Bulunabilir?​

Siber tehdit istihbaratında Shodan şu amaçlarla kullanılır:
  • Zafiyet Tespiti: Yama yapılmamış (unpatched) eski sunucuları bulmak.
    • Sorgu: vuln:CVE-2019-0708 (BlueKeep zafiyeti olan cihazları listeler).
  • Açık Kameralar: Varsayılan şifresi değiştirilmemiş kameraları tespit etmek.
    • Sorgu: webcamxp
  • Endüstriyel Sistemler: Fabrika otomasyon sistemlerinin açık olup olmadığını kontrol etmek.
    • Sorgu: port:502 (Modbus protokolü).
Shodan, hedefinizin dijital altyapısında unuttuğu arka kapıları görmenizi sağlayan eşsiz bir OSINT aracıdır.

Censys: Dijital Saldırı Yüzeyi Yönetimi​

Shodan, hackerların favorisiyse; Censys daha çok akademik araştırmacıların ve kurumsal güvenlik ekiplerinin favorisidir. Çalışma mantığı Shodan'a benzer ancak Censys, özellikle SSL/TLS sertifikaları üzerinden yaptığı analizlerle öne çıkar.

Censys Neden Önemli?​

Bir saldırgan veya analist için Censys'in en büyük gücü, Cloudflare arkasına saklanmış gerçek IP adreslerini bulabilmesidir.

Senaryo: Bir web sitesi Cloudflare koruması kullanıyor, yani IP adresi gizli. Ancak bu site geçmişte bir SSL sertifikası almıştı. Censys, interneti sürekli taradığı için o sertifikanın hangi "Gerçek IP" (Origin IP) üzerinde tanımlı olduğunu veritabanında tutar.

Basit bir sertifika aramasıyla, milyon dolarlık güvenlik duvarlarının arkasındaki gerçek sunucu IP'si ifşa olabilir. Bu, Dijital Ayak İzi Analizi için kritik bir tekniktir.

Sonuç: Görünmeyeni Görmek​

Arama motoru istihbaratı, siber güvenliğin en temel ama en etkili yöntemlerinden biridir. Google ile "unutulanı", Shodan ile "korunmayanı", Censys ile "gizleneni" bulursunuz.

Bir kurumun siber direncini artırmak istiyorsanız, saldırganlardan önce kendi sistemlerinizi bu motorlarla taramalısınız. Çünkü siz bakmasanız bile, saldırganlar sürekli olarak sistemlerinizi bu araçlarla izliyor. Unutmayın; internete bağlı olan her şey, bir gün keşfedilmeye mahkumdur.
 

Ekli dosyalar

  • 0_RFRHu1Hj_y2Nvz0r.jpg
    0_RFRHu1Hj_y2Nvz0r.jpg
    64.3 KB · Görüntüleme: 3
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst