Bu tezde, bilgisayar korsanı ile hedef bir sunucu arasında iletişimin kurulduğu durumda, bu kişinin loglarına bakarak bilgisayar korsanının, ne kadar tecrübeli olduğu ve kişiliği ile ilgili analiz yapan bir deney tasarlanmıştır. Bu sebeple, bir bal küpü sunucusu kurulmuş ve dizayn edilmiştir. Bu bal küpü sunucusunda toplanacak olan, kim olduğunu bildiğimiz ve kendilerine test yaptığımız hackerların verilerini analiz ederek, kim olduğunu bilmediğimiz hackerların uzmanlık ve kişilikleri hakkında tahmin yapılabilecektir. Bu tezde yapılan araştırmaya göre, böyle bir tasarım, literatürde, bilgisayar korsanlarına uygulanan anketler ve bu anketlerin kendi içerisindeki analizleri dışında, gerçek logları da katarak test edilmemiştir. Bu tezde hackerların gerçek bilgisayar logları da analize katılmıştır. Bu çalışma hacker'ın kişiliğini ve uzmanlığını anlamak için bir bal küpü tasarımı sağlar ve bu verilerin testlerle ilişkisini gösterir. Sonrasında ise loglara bakarak tahminde bulunulur. Honeypsy ismi verilen sistem, Big-5 kişilik testi, siber uzmanlık testi ve bu sırayla uygulanan honeypot ile logları toplamak için bir bayrağı yakalama (CTF) yarışmasından oluşur. Bu üç adım, bilinen siber korsanların uzmanlığı ve psikolojisi hakkında veri üretir. Kim olduğu bilinen hackerların logları, katıldıkları CTF etkinliği ile elde edilmektedir. Honeypot tasarımı ve CTF soruları bu araştırma için özel olarak hazırlanmıştır. Amaç, bu verileri analiz ederek bilinmeyen bir bilgisayar korsanının uzmanlığını ve kişiliğini tahmin etmektir. Bilinen bilgisayar korsanlarının verilerini inceleyerek/analiz ederek, bilinmeyen bilgisayar korsanlarının uzmanlıkları ve kişilikleri hakkında tahminlerde bulunmak mümkün olacaktır. Aynı mantık, sunucuya saldıran bilinmeyen bilgisayar korsanlarının bir sonraki hamlesini tahmin etmeye çalıştığında da geçerlidir. Böylece, bu tezde oluşturulan sistemden faydalanan bir kurum, kendilerine yapılan bir saldırı durumunda, saldıran tehditin ne kadar tecrübeli olduğu ve kişiliği hakkında bilgi edinebilir. Bu analizlere göre savunma stratejileri geliştirebilir, acil önlemler alabilir.
|
This thesis demonstrates a design of an experiment of a hacker infiltrating a server where it is assumed that the communication between the hacker and the target server is established, and the hacker also escalated his rights on the server. Therefore, the honeypot server setup has been designed to reveal the correlation of a hacker's actions with that of the hacker's experience, personality, expertise, and psychology. To the best of our knowledge, such a design of experiment has never been tested rigorously on a honeypot implementation except for self-reporting tests applied to hackers in the literature. However, no study evaluates the actual data of these hackers and these tests. This study also provides a honeypot design to understand the personality and expertise of the hacker and displays the correlation of these data with the tests. The developed system named "Honeypsy" is composed of a Big-5 personality test, a cyber expertise test, and a capture-the-flag (CTF) event to collect logs with honeypots applied in this sequence. These three steps generate data on the expertise and psychology of known cyber hackers. The logs of the known hacker activities on honeypots are obtained through the CTF event that they have participated in. The design and deployment of honeypots, as well as the CTF event, were specifically prepared for this research. The aim is to predict an unknown hacker's expertise & personality by analyzing these data. By examining/analyzing the data of the known hackers, it is now possible to make predictions about the expertise and personality of the unknown hackers. The same logic applies when one tries to predict the next move of the unknown hackers attacking the server. It is aimed to underline the details of the personalities and expertise of hackers and thus help the defense experts of victimized institutions to develop their cyber defense strategies in accordance with the modus operandi of the hackers. |