Saldırılmasına Açıkça İzin Veren Ender Sitelerden Biri: dset.com.tr. Saldır, Ama Bil ki Yakalanır ve Banlanırsın

Hızlı cevap: Evet, dset.com.tr'ye karşı tarama yapabilirsin; biz saldırı yüzeyimizi gizlemiyoruz. Ama bil ki sitenin her ilginç görünen köşesi bir tuzaktır. Tuzağa basan IP tek denemede hem sunucuda hem Cloudflare kenarında 1 yıl banlanır. Bunu yapabiliyoruz çünkü güvenlik gizlilikle değil dayanıklılıkla olur. Bu bir meydan okuma değil, test edilmiş katmanların canlı vitrinidir.

Neden saldırı yüzeyimizi gizlemiyoruz

Çoğu kurum güvenliği bir saklambaç sanır: panelini gizle, sürüm bilgisini sansürle, "kimse bulamaz" diye umut et. Bu yaklaşımın adı belirsizlikle güvenliktir (security through obscurity) ve ciddi güvenlik mühendisliğinin yüz yıldır reddettiği bir yanılgıdır. Gizlilik bir savunma değildir; sadece keşfedilmeyi geciktiren bir perdedir. Perde aralandığında arkasında gerçek bir katman yoksa her şey çöker.

DSET olarak tersini yapıyoruz. dset.com.tr, gerçek bir siber güvenlik şirketinin sitesidir ve aynı zamanda canlı bir savunma vitrini gibi kuruludur. Saldırı yüzeyimizi bilerek görünür bıraktık, çünkü her katmanı test edilmiş bir sistemin saklanacak bir şeyi yoktur. Bir saldırgan ne yaparsa yapsın, karşısında gizlenmiş bir zafiyet değil, tasarlanmış bir tuzak ve dirençli bir savunma bulur.

Bu güveni boşuna taşımıyoruz. 2003'ten beri Ankara Hacettepe Teknokent Beytepe'de siber güvenlik, veri kurtarma ve adli bilişim alanlarında çalışıyoruz. Kendi sitemizi kalkana çevirdiysek, müşterimizinkini de çeviririz.

Tuzağa basınca ne oluyor: tek denemede 1 yıl ban

Bir saldırgan keşif (recon) yaparken otomatik araçlarla "ilginç" yolları yoklar. Klasik hedefler bellidir: /.env, /.git, /wp-admin, /backup.zip, eski yönetim panelleri, açık bırakılmış yedek dosyaları. Normal bir sitede bu yollar ya gerçekten vardır ya da basit bir 404 döner.

dset.com.tr'de bu yollar birer honeypot'tur (siber tuzak). Hiçbir gerçek değer taşımazlar; tek işlevleri dokunan IP'yi anında işaretlemektir. Çünkü meşru bir ziyaretçinin /.env dosyasını veya /backup.zip yedeğini istemesi için hiçbir sebep yoktur. Bu istek, niyetin kendisidir.

İşleyiş şudur:

  1. Saldırgan tuzak yollardan birine dokunur.
  2. İstek anında loglanır ve niyet sinyali olarak değerlendirilir.
  3. fail2ban, bu sinyali yakalar ve IP'yi yasaklar.
  4. Cloudflare entegrasyonu sayesinde ban yalnızca sunucuda değil, Cloudflare kenarında (edge) da uygulanır.
  5. Sonuç: o IP 1 yıl boyunca siteye giremez. Tek denemede.

Bu, "üç kez dene sonra düşün" diyen toleranslı bir sistem değildir. Tuzağa basmak için yanlışlıkla yapılacak bir şey yoktur; tarama aracı çalıştırmak bilinçli bir eylemdir. Merak edip bir tarayıcı geçiren kişi, siteyi bir daha göremeyecek.

Katmanlar: WAF, honeypot, fail2ban, Cloudflare ve daha fazlası

Tuzaklar buzdağının görünen kısmı. Asıl iş, altta duran katmanlı savunmadadır (defense in depth). Tek bir katman aşılsa bile arkasında bir diğeri durur.

Katman Ne yapar Saldırgana etkisi
Cloudflare proxy Tüm trafik Cloudflare arkasında, origin IP gizli Gerçek sunucu IP'si sızmaz, doğrudan hedeflenemez
Sıfır dış port Web ve SSH yalnızca Cloudflare Tunnel üzerinden Doğrudan port taraması karşılık bulmaz
Honeypot yollar /.env, /.git, /wp-admin gibi tuzaklar Recon niyeti anında ele verir
fail2ban + Cloudflare Tuzağa basan IP'yi tek denemede 1 yıl banlar Sunucu ve kenar seviyesinde kalıcı engel
ModSecurity WAF Bilinen saldırı imzalarını filtreler SQLi, XSS, path traversal denemeleri durur
Nonce tabanlı CSP Sayfada yetkisiz script çalışamaz Enjekte edilen kod tarayıcıda yürümez
HSTS preload Tarayıcı zorla HTTPS kullanır Düşürme (downgrade) ve araya girme zorlaşır
SPF / DKIM / DMARC E-posta sahteciliğini engeller DSET adına sahte mail gönderilemez
AI asistanı koruması Jailbreak ve prompt-injection'a dirençli Yapay zekaya zararlı talimat geçirilemez

Bu katmanların hiçbiri tek başına yeterli olduğunu iddia etmez. Güç, hepsinin üst üste binmesindedir. Bir saldırgan WAF'ı atlatsa CSP'ye takılır, CSP'yi aşsa origin'i bulamaz, origin'i arasa açık port bulamaz, tarama yaparken de tuzağa basıp banlanır.

Bu bir meydan okuma değil, vitrin

Burada hiç kimseye "gel de yıkabilirsen yık" demiyoruz. Bu yazının amacı kibir değil, şeffaflıktır. Bir güvenlik şirketinin en dürüst reklamı, kendi sitesinin nasıl korunduğunu açıkça göstermesidir. Çoğu firma müşterisine güvenlik satar ama kendi sitesi savunmasızdır. Biz tam tersini yapıyoruz: sitemiz, sattığımız hizmetin çalışan bir kanıtı.

Aynı disiplini kurumsal müşterilerimize de uyguluyoruz. Şirket içi siber saldırıların nasıl önleneceği, fidye yazılımından korunma ve oltalama e-postalarının nasıl ayırt edileceği gibi konularda aynı katmanlı yaklaşımı kuruyoruz. Üstelik veri kurtarma ve siber güvenliği neden aynı çatı altında tuttuğumuzu da boşuna anlatmıyoruz: savunma çöktüğünde bile veriyi geri getirebilen ekip, gerçek dayanıklılığın ne olduğunu bilir.

Vitrin olmasının bir nedeni de güven inşasıdır. Soyut "güvendesiniz" sözleri yerine, ölçülebilir ve doğrulanabilir katmanlar gösteriyoruz. Aktif savunma ve aldatma (deception) felsefesi, saldırganı yormak, yavaşlatmak ve niyetini erkenden açığa çıkarmak üzerine kuruludur. MITRE'nin Engage çerçevesi ve honeynet topluluğunun yıllardır savunduğu yaklaşım tam olarak budur.

Yasal sınır ve etik

Açık olalım: tuzaklarımız tamamen savunma amaçlıdır ve yasal sınırlar içinde kalır. Bir IP'yi banlamak, ona zarar vermek değil, ona kapıyı kapatmaktır. Sistemlerimiz hiçbir karşı saldırı (hack-back) yapmaz; yalnızca kendi kapımızı koruruz.

Diğer taraf için ise durum nettir. Yetkisiz erişim ve sistemlere izinsiz girme girişimi Türkiye'de Türk Ceza Kanunu'nun 243, 244 ve 245. maddeleri kapsamında suçtur. Bir sistemi izinsiz taramak, zafiyet aramak ve girmeye çalışmak yasal sonuçları olan eylemlerdir. dset.com.tr'nin saldırı yüzeyini görünür kılması, hiç kimseye saldırı izni vermez; tam tersine, denersen yakalanırsın ve bunun yasal bir karşılığı olduğunu hatırlatır.

Eğer güvenlik araştırmacısıysan ve bir bulgu paylaşmak istiyorsan, doğru yol tuzaklara basmak değil, sorumlu açıklama (responsible disclosure) kanalından bizimle iletişime geçmektir. Açık kapımız budur. Kötü niyetle gelene tuzak, iyi niyetle gelene masa.

Sık Sorulan Sorular (SSS)

Gerçekten saldırmama izin mi veriyorsunuz?

Hayır, "saldırın" diye davet etmiyoruz. Saldırı yüzeyimizi gizlemediğimizi söylüyoruz; bu farklı bir şey. Yetkisiz erişim girişimi suçtur ve tuzaklarımız tam da bunu yakalamak için var. Görünürlük, izin anlamına gelmez.

Tuzağa yanlışlıkla basıp banlanır mıyım?

Normal bir ziyaretçi olarak gezinirken bunu yaşamazsın. Tuzak yollar (/.env, /.git, /backup.zip gibi) meşru bir kullanıcının asla istemeyeceği yollardır. Bir tarama aracı çalıştırmadıkça oraya tesadüfen ulaşmazsın.

Ban ne kadar sürüyor ve nasıl kaldırılıyor?

Tuzağa basan IP 1 yıl boyunca banlanır, hem sunucuda hem Cloudflare kenarında. Meşru olduğunu düşünüyorsan iletişim kanalımızdan ulaşabilirsin; ama otomatik tarama yapan bir IP için sistem tek denemede ve uzun süreli karar verir.

Origin IP'nizi bulup doğrudan saldırılabilir mi?

Tüm trafik Cloudflare arkasında ve dışarı açık port yok; web ve SSH yalnızca Cloudflare Tunnel üzerinden çalışıyor. Origin IP sızmadığı için doğrudan hedefleme pratikte mümkün değil.

Bu kurulumu bizim şirketimize de yapar mısınız?

Evet, çekirdek işimiz bu. Kendi sitemizde gösterdiğimiz katmanlı aktif savunmayı, kurumunuzun ihtiyacına göre tasarlayıp kurarız. Değerlendirme için +90 536 662 38 09 numarasından bize ulaşabilirsiniz. Adres: Hacettepe Teknokent, Beytepe, Çankaya, Ankara.

Kaynaklar