Metadata Analizi: Dosyaların Gizli Bilgilerinden İstihbarat Üretme (ExifTool)

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18

exif-daten.webp

Metadata Analizi: Dosyaların Gizli Bilgilerinden İstihbarat Üretme​

Bir buzdağını düşünün. Gördüğünüz kısım dosyanın kendisidir (görüntü, metin, ses). Ancak suyun altında kalan ve görünmeyen devasa kısım, o dosyanın hikayesini anlatır.

Metadata (Üstveri), en basit tanımıyla "Veri hakkında veridir." Bir dosyayı oluşturduğunuzda, işletim sisteminiz ve kullandığınız yazılım; dosyanın içine gizlice oluşturulma tarihini, yazarın adını, kullanılan cihazın modelini ve bazen de tam GPS konumunu yazar.

OSINT uzmanları için metadata, hedef kişi veya kurumun dikkatsizliğinin ödülüdür.

Bölüm 1: Metadata Türleri ve EXIF​

Metadata dosyaya göre değişiklik gösterir, ancak temelde üç kategoriye ayrılır:
  1. Tanımlayıcı (Descriptive): Dosyanın içeriği hakkındadır (Başlık, yazar, anahtar kelimeler).
  2. Yapısal (Structural): Dosyanın formatı ve düzeni hakkındadır (Sayfa sayısı, çözünürlük, sıkıştırma türü).
  3. Yönetimsel (Administrative): Teknik detaylardır (Oluşturulma tarihi, cihaz modeli, GPS, düzenleme süresi).

EXIF (Exchangeable Image File Format)​

Özellikle fotoğraflar için kullanılan standarttır. Bir akıllı telefonla fotoğraf çektiğinizde, telefonunuz o anki saniyesini, diyafram açıklığını (f/stop), flaşın patlayıp patlamadığını ve eğer konum servisi açıksanız enlem/boylam bilgisini dosyanın içine gömer.

Bölüm 2: Metadata Neleri İfşa Eder?​

Bir dosyanın metadatasını okuyarak şu kritik istihbaratlara ulaşabilirsiniz:

1. GPS Konumu (Geo-tagging)​

Bu, istihbaratın "Kutsal Kase"sidir.
  • Senaryo: Hedef kişi, evinde çektiği kedisinin fotoğrafını e-posta ile size veya bir foruma gönderdi.
  • İstihbarat: Fotoğrafın EXIF verisinde 38.4192 N, 27.1287 E yazıyorsa, artık hedefin ev adresini kapı numarasına kadar biliyorsunuz demektir. Görüntü analizine gerek kalmaz.
    • Önemli Not: Facebook, Instagram, X (Twitter) gibi platformlar, yüklenen fotoğrafların metadatasını otomatik olarak siler. Ancak e-posta, WhatsApp (belge olarak gönderilirse) veya Telegram (sıkıştırmadan gönderilirse) veriyi korur.

2. Cihaz ve Yazılım Bilgisi​

  • Kamera Modeli: Fotoğrafın "iPhone 14 Pro" veya "Nikon D850" ile çekildiğini bilmek, hedefin ekonomik durumu ve teknoloji alışkanlığı hakkında bilgi verir.
  • Yazılım Sürümü: Bir PDF dosyasının "Adobe Acrobat 9.0" ile oluşturulduğunu görmek, kişinin güncel olmayan ve zafiyet barındıran (exploit edilebilir) bir yazılım kullandığını gösterir.

3. Gerçek Kimlik ve Kurum İçi Yapı​

Özellikle Office belgeleri (Word, Excel, PowerPoint) bu konuda çok gevezedir.
  • Yazar (Author): Şirketler genellikle bilgisayarları kurarken çalışan adını girer. İnternette anonim olarak yayınlanan bir basın bülteninin "Author" kısmında Ahmet Yilmaz yazması, anonimliği bitirir.
  • Dosya Yolu (File Path): Bazen metadata, dosyanın kaydedildiği klasör yolunu gösterir: C:\Users\admin\Desktop\Gizli_Projeler\Ihale_Listesi.xlsx. Bu yol, kullanıcının bilgisayarındaki klasör düzenini ve "Gizli Projeler" üzerinde çalıştığını ifşa eder.

Bölüm 3: Analiz Aracı – ExifTool​

Metadata analizi denince akla gelen tek bir endüstri standardı vardır: Phil Harvey tarafından yazılan ExifTool.

ExifTool, komut satırında çalışan (CLI) ancak binlerce dosya formatını okuyabilen ve düzenleyebilen inanılmaz güçlü bir araçtır.

Temel Kullanım (Terminal)​

  1. Tüm Veriyi Oku:exiftool fotograf.jpg(Bu komut, dosya hakkındaki yüzlerce satırlık teknik detayı döker.)
  2. Sadece GPS Verisini Oku:exiftool -gps* fotograf.jpg
  3. Klasördeki Tüm Dosyaları Tara:exiftool -Author -Creator .(Bulunduğunuz klasördeki tüm dosyaların yazarını listeler.)

Görsel Alternatifler​

Eğer komut satırı kullanmak istemiyorsanız:
  • Web Tabanlı: jimpl.com veya metadata2go.com (Dosyayı sürükleyip bırakırsınız, site analiz eder. Not: Gizli dosyaları asla online sitelere yüklemeyin.)
  • FOCA (Fingerprinting Organizations with Collected Archives): Bu araç, bir web sitesini (örn: hedefsite.com) tarar, sitedeki tüm PDF ve DOCX dosyalarını indirir ve hepsinin metadatasını analiz ederek size bir ağ haritası (Kullanıcı isimleri, sunucu sürümleri, yazıcı modelleri) çıkarır. Kurumsal siber istihbarat için efsanevi bir araçtır.

Bölüm 4: Metadata Poisoning ve Manipülasyon​

Bir istihbaratçı olarak şunu bilmelisiniz: Metadata değiştirilebilir.

Saldırganlar, sizi yanıltmak için metadata ile oynayabilir (Anti-Forensics).
  • Bir fotoğrafın çekildiği tarihi 2020 yerine 2025 yapabilirler.
  • GPS koordinatlarını değiştirip, fotoğrafı aslında olmadığı bir yerde (örneğin Beyaz Saray'da) çekilmiş gibi gösterebilirler.
Bu yüzden metadata, diğer bulgularla (görüntü analizi, gölgeler vb.) doğrulanmadıkça tek başına %100 kesin delil kabul edilmemelidir.

Bölüm 5: Korunma (Metadata Scrubbing)​

Siz başkalarını analiz ediyorsunuz, peki kendi güvenliğiniz?

Bir dosya paylaşmadan önce "Metadata Temizliği" (Scrubbing) yapmak hayati önem taşır.
  1. Windows: Dosyaya Sağ Tık -> Özellikler -> Ayrıntılar -> "Kişisel bilgileri ve özellikleri kaldır" seçeneği.
  2. ExifTool ile Temizlik: exiftool -all= dosya.jpg komutu, dosyanın içindeki tüm metadatayı kalıcı olarak siler.
  3. Signal / Telegram: Hassas görselleri paylaşırken, metadatayı otomatik silen güvenli mesajlaşma uygulamalarını veya araçlarını kullanın.

Sonuç: Dijital Parmak İzi​

Metadata, dijital dünyanın parmak izidir. Çoğu insan varlığından habersizdir, bu yüzden silmeyi unutur. Bir OSINT analisti için bu unutkanlık, bir dosyanın yaratıcısına, yaratıldığı yere ve zamana açılan kapıdır.

Unutmayın; bir Word dosyası sadece yazıdan, bir fotoğraf sadece görüntüden ibaret değildir. Her dosya, kendi yaratılış hikayesini içinde taşır.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst