ABD vize başvuru web sitesi neden ağ portlarımı tarıyor?
(news.ycombinator.com)- ABD vize başvuru web sitesi kullanıcıların ağ portlarını taramaya çalışıyor
- Bazı kullanıcılar siteye erişirken beklenmedik ağ trafiği gözlemledi
- Bu port tarama davranışının amacıyla ilgili tartışmalar ve güvenlik endişeleri gündeme geldi
- Bazıları bunun güvenlik doğrulaması için kullanılan bir prosedür olabileceğini düşünüyor
- Gizlilik ve ağa aşırı erişim konusundaki kaygılar yayılıyor
ABD vize başvuru sitesinin ağ portu taraması tartışması
ABD vize başvuru web sitesine erişen birçok kullanıcı, sitenin kullanıcı ağında port taraması yapmaya çalıştığını fark etti. Bunun sonucunda kullanıcılar, siteye tarayıcı üzerinden erişirken normalden farklı ağ trafiğinin oluştuğunu günlükler gibi araçlarla doğruladı.
Başlıca soru işaretleri
- Bu port tarama girişimlerinin güvenliği artırmaya yönelik bir doğrulama prosedürü mü olduğu, yoksa başka bir amaca mı hizmet ettiği konusunda net bir açıklama bulunmuyor
- Güvenlik uzmanları, bu yöntemin kötü amaçlı botları, proxy sunucularını veya VPN kullanıcılarını ayıklamak için yapılan bir ön kontrol olabileceğini belirtiyor
- Ancak hassas kişisel verilerin girildiği kamuya ait bir web sitesinin önceden onay almadan ağ portlarına erişmeye çalışması, bunun gizlilik ilkeleriyle çelişip çelişmediği yönündeki tartışmaları büyütüyor
Topluluk tepkileri ve endişeler
- Genel kullanıcılar, istenmeyen ağ erişimi karşısında rahatsızlık duyduklarını dile getiriyor
- Port taramasının kötü niyetli davranışlara benzemesi nedeniyle sitenin güvenilirliği sorgulanıyor
- Bazıları, bu işlemin ABD hükümetinin resmî sitesinde gerçekleşmesinin tartışmayı daha da büyüttüğünü söylüyor
Güvenlik ve gizlilik meseleleri
- Kullanıcı izni olmadan gerçekleştirilen ağ portu keşfi, aşırı yetki ihlali riski taşıyor
- Bu yöntemin gerçekten güvenliğe katkı sağlayıp sağlamadığı konusunda teknik etkinlik tartışmasına ihtiyaç var
- İlgili yönergelerin eksikliği ve kullanıcı onayı sürecinin yetersizliği eleştiriliyor
Sonuç ve çıkarımlar
Bu olay, kamu kurumlarının web siteleri güvenlik amacıyla yeni teknik yöntemler devreye alırken, gizlilik ile teknik güvenlik arasında bir denge noktası bulunması gerektiğini gösteriyor. Ayrıca kullanıcılara açık bilgilendirme yapılması ve şeffaflığın sağlanması gelecekte önemli bir görev olarak öne çıkıyor.
1 yorum
Hacker News yorumu
.govolmayan şüpheli bir siteye de yönlendirildik; ilk başta dolandırıcılık sandım ama gerçekten öyle değilmiş. Bu kâbus gibi süreci biraz olsun kolaylaştıran ücretli hizmetlerin neden ortaya çıktığını anlıyorum. İlgili belge teslimleri çoğunlukla VFS Global tarafından yürütülüyor ama bu şirketin kendisi de çok sorunlu, yani resmen aracılık ediyor ama pratikte pek yardımcı olmuyor. AB yakın zamanda Türkiye vatandaşları için Schengen vizesi başvuru sürecini sadeleştirdi; bunun nedeni, resmi vize aracı kurumlarının bile “iyi saat” randevularını karaborsada satarak dolandırıcılık yapmasıydı. Hem ABD’de hem AB’de uzun bekleme süreleri yüzünden burs fırsatları gibi değerli imkânlar sık sık kaçıyor. Buna karakter dönüştürme ya da encoding sorunları gibi küçük ama karmaşık problemler de eklenince, gerçekten işe yarayan AI agent benzeri bir şey çıkarsa bu pazarda fırsat olabilir diye düşünüyorum.gov.insitesini bulmak bile zor ve vize basitçe yaklaşık 10 dolara alınabiliyor. SEO’su güçlü dolandırıcı siteler ise aynı şeyi 80 dolara satıyor; gerçekte yaptıkları tek şey başvuruyu resmi siteye iletip aradaki farkı almak. Hindistan hükümetinin bu dolandırıcıları engellemesi iyi olurdu ama şu an öncelik gibi görünmüyor/TSPDyolundan obfuscate edilmiş bir script yükleniyor ve bu F5’e özgü bir unsur)https://www.f5.com/
Block Outsider Intrusion into LANadlı bir liste olduğunu daha yeni öğrendim. Gerçekten çok faydalı bilgihttps://github.com/uBlockOrigin/uAssets/issues/4318
https://github.com/WICG/private-network-access
) ve bunu kullanıcı onayına dayalı hale getirme sürecindeler(
https://github.com/WICG/local-network-access
). PNA’nın gerçekten dağıtılıp dağıtılmadığı tartışmalı ama yıllar önce stable Chrome’da bunu bizzat yaşadım; bu yüzden güncel durumu tam bilmiyorum. Firefox ise bu tür erişimi desteklemiyor. Sanırım bunun nedeni geliştirme kaynağı eksikliği
mail.yahoo.comziyaret edildiğindeyimg.comgibi alan adlarını elle izinli hale getirmek gerekiyor; bu yüzden böyle port taraması/profilleme girişimleri işlemiyor. İlk başta aşırı rahatsız ediciydi ama birkaç ay whitelist büyütünce ziyaret ettiğim sitelerin %90’ı kapsanmış oldu. Benim sistemimdeceac.state.gov/genniv/,captcha.com, Google Analytics, Tag Manager,127.0.0.1,burp(ağımda olmayan bir localhost adı) adreslerine bağlanmaya çalışıyor. İlginç şekilde tarayıcı konsolundalocalhostya daburpdenemeleri pek görünmüyor.127.0.0.1için izin verincetcpdumpile 8888 portuna bağlanmaya çalışan trafik gördüm (o port açık değil)yokoffing/filterlistsile bölgesel/dil bazlı listeleri, kullanmak iyi olurhttps://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
127.0.0.1isteklerini ağ sekmesinden nasıl gizlediklerini merak ediyorumburpaslındahttps://portswigger.net/burp/documentation/desktop/tools/proxy
bağlantısında da geçen Burp Suite. Sitenin analiz edilmesini zorlaştırmaya çalışıyor gibi görünüyor
Hacks and Hopsadlı uzantı, ana sayfa olarakhttps://g666gle.me/
gibi var olmayan bir alan adını kullanıyor. Böyle bir uzantı ne kadar cazip görünürse görünsün asla yüklemem
127.0.0.1:8888adresine yerel bağlantı denemesi kadardı. Tam olarak ne amaçla yapıldığını bilmiyorum ama devlet siteleri bazen belge elektronik imzası için native yazılımla iletişim kurmak üzere bu yöntemi kullanıyor. Başka IP’lere bağlantı denemeleri de var mı merak ediyorumlocalhostile baked-in URL’ler yanlışlıkla prod’a taşınmıştı. 8888 portunu yerel geliştirme sunucusu için kullanıyor olmaları da mümkün; çok şaşırtıcı olmazhttps://news.ycombinator.com/item?id=44169115
https://news.ycombinator.com/item?id=44175940
https://news.ycombinator.com/item?id=44169115
router authentication bypassdiye aratırsanız örnekler çıkıyorhttps://files.catbox.moe/g1bejn.png
görülüyor. 8888 portunun özellikle hangi servisler tarafından kullanıldığını merak ediyorum
https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe