2 puan yazan GN⁺ 2025-08-21 | 1 yorum | WhatsApp'ta paylaş
  • ABD vize başvuru web sitesi kullanıcıların ağ portlarını taramaya çalışıyor
  • Bazı kullanıcılar siteye erişirken beklenmedik ağ trafiği gözlemledi
  • Bu port tarama davranışının amacıyla ilgili tartışmalar ve güvenlik endişeleri gündeme geldi
  • Bazıları bunun güvenlik doğrulaması için kullanılan bir prosedür olabileceğini düşünüyor
  • Gizlilik ve ağa aşırı erişim konusundaki kaygılar yayılıyor

ABD vize başvuru sitesinin ağ portu taraması tartışması

ABD vize başvuru web sitesine erişen birçok kullanıcı, sitenin kullanıcı ağında port taraması yapmaya çalıştığını fark etti. Bunun sonucunda kullanıcılar, siteye tarayıcı üzerinden erişirken normalden farklı ağ trafiğinin oluştuğunu günlükler gibi araçlarla doğruladı.

Başlıca soru işaretleri

  • Bu port tarama girişimlerinin güvenliği artırmaya yönelik bir doğrulama prosedürü mü olduğu, yoksa başka bir amaca mı hizmet ettiği konusunda net bir açıklama bulunmuyor
  • Güvenlik uzmanları, bu yöntemin kötü amaçlı botları, proxy sunucularını veya VPN kullanıcılarını ayıklamak için yapılan bir ön kontrol olabileceğini belirtiyor
  • Ancak hassas kişisel verilerin girildiği kamuya ait bir web sitesinin önceden onay almadan ağ portlarına erişmeye çalışması, bunun gizlilik ilkeleriyle çelişip çelişmediği yönündeki tartışmaları büyütüyor

Topluluk tepkileri ve endişeler

  • Genel kullanıcılar, istenmeyen ağ erişimi karşısında rahatsızlık duyduklarını dile getiriyor
  • Port taramasının kötü niyetli davranışlara benzemesi nedeniyle sitenin güvenilirliği sorgulanıyor
  • Bazıları, bu işlemin ABD hükümetinin resmî sitesinde gerçekleşmesinin tartışmayı daha da büyüttüğünü söylüyor

Güvenlik ve gizlilik meseleleri

  • Kullanıcı izni olmadan gerçekleştirilen ağ portu keşfi, aşırı yetki ihlali riski taşıyor
  • Bu yöntemin gerçekten güvenliğe katkı sağlayıp sağlamadığı konusunda teknik etkinlik tartışmasına ihtiyaç var
  • İlgili yönergelerin eksikliği ve kullanıcı onayı sürecinin yetersizliği eleştiriliyor

Sonuç ve çıkarımlar

Bu olay, kamu kurumlarının web siteleri güvenlik amacıyla yeni teknik yöntemler devreye alırken, gizlilik ile teknik güvenlik arasında bir denge noktası bulunması gerektiğini gösteriyor. Ayrıca kullanıcılara açık bilgilendirme yapılması ve şeffaflığın sağlanması gelecekte önemli bir görev olarak öne çıkıyor.

1 yorum

 
GN⁺ 2025-08-21
Hacker News yorumu
  • Vize başvuru sürecinde her tür dolandırıcılık çok yaygın. Sadece iki kat ücret alan sitelerden, başvuranın reddedildiğini söyleyip onun adına sahte belge hazırlayan sitelere kadar her şey var. Bu yüzden vize sistemi, kullanıcının gerçekten gerçek bir kişi mi yoksa röle sunucusu ya da C2 kanalı kullanan bir dolandırıcı mı olduğunu anlamaya çalışıyor gibi görünüyor
    • Gerçekten korkunç bir web sitesi için bu tür bir savunma epey akıllıca bir yaklaşım. Partnerim Türkiye vatandaşı olduğu için yakın zamanda vize başvurusu yaptı; 30 dakikadan fazla dikkatle bilgi girdikten sonra oturum kapandı ve her şey kayboldu. Hesap oluşturmadıysanız ya da mevcut başvuru ID’sini not etmediyseniz geri dönüş yok. Süreçte .gov olmayan şüpheli bir siteye de yönlendirildik; ilk başta dolandırıcılık sandım ama gerçekten öyle değilmiş. Bu kâbus gibi süreci biraz olsun kolaylaştıran ücretli hizmetlerin neden ortaya çıktığını anlıyorum. İlgili belge teslimleri çoğunlukla VFS Global tarafından yürütülüyor ama bu şirketin kendisi de çok sorunlu, yani resmen aracılık ediyor ama pratikte pek yardımcı olmuyor. AB yakın zamanda Türkiye vatandaşları için Schengen vizesi başvuru sürecini sadeleştirdi; bunun nedeni, resmi vize aracı kurumlarının bile “iyi saat” randevularını karaborsada satarak dolandırıcılık yapmasıydı. Hem ABD’de hem AB’de uzun bekleme süreleri yüzünden burs fırsatları gibi değerli imkânlar sık sık kaçıyor. Buna karakter dönüştürme ya da encoding sorunları gibi küçük ama karmaşık problemler de eklenince, gerçekten işe yarayan AI agent benzeri bir şey çıkarsa bu pazarda fırsat olabilir diye düşünüyorum
    • Hindistan vize sistemi de benzer. Resmi .gov.in sitesini bulmak bile zor ve vize basitçe yaklaşık 10 dolara alınabiliyor. SEO’su güçlü dolandırıcı siteler ise aynı şeyi 80 dolara satıyor; gerçekte yaptıkları tek şey başvuruyu resmi siteye iletip aradaki farkı almak. Hindistan hükümetinin bu dolandırıcıları engellemesi iyi olurdu ama şu an öncelik gibi görünmüyor
    • Ağ tarafına çok hâkim değilim ama bir port taramasıyla birinin dolandırıcı olduğunu nasıl tespit edebildiklerini merak ediyorum
    • Bunun gerçekten nasıl mümkün olabileceğini hayal etmekte zorlanıyorum. Böyle bir “tarama” istemci tarafı JavaScript’te çalışıyorsa, dosyaları bir proxy sunucusu üzerinden aktarmanın proxy hakkında bir şey tespit etmeyi sağlaması bana pek olası görünmüyor
  • Bu özellik F5 script’inden geliyor; F5, anti-bot güvenlik çözümleri satan bir şirket. (/TSPD yolundan obfuscate edilmiş bir script yükleniyor ve bu F5’e özgü bir unsur)
    https://www.f5.com/
    • TS, F5’in eskiden satın aldığı TrafficShield’ın kısaltması gibi görünüyor; PD de muhtemelen Proactive Defense anlamına geliyor
  • uBlock Origin’de varsayılan olarak gelen Block Outsider Intrusion into LAN adlı bir liste olduğunu daha yeni öğrendim. Gerçekten çok faydalı bilgi
    • github’daki özellik isteğine bakınca bunun neden gerektiğini merak ettim. Tarayıcının neden gerçekten yerel ağa erişim sağlaması gerektiğini ya da böyle bir erişimi niye sunduğunu pek anlamıyorum. mDNS trafiği gibi soketlere bağlı şeylere erişirken buna benzer bazı istekler gördüğümü hatırlıyorum, o yüzden bir ihtimal aklıma geliyor
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • Böyle bir erişime izin verilmesi başlı başına dehşet verici. Ziyaret ettiğim her web sitesinin yerel ağıma erişebilmesine nasıl izin verildiği fikri aklımı almıyor
    • uBlock Origin’de js özellikleri giderek azalıyor; lite sürümde de bunun olup olmadığını merak ediyorum
    • Bu seçeneği etkinleştirince güvenlik seviyem ciddi biçimde arttı. Herkese teşekkürler
    • Ben de bu özelliğin varlığını bilmiyordum; dizüstü bilgisayarımda ve mobil tarayıcımda zaten etkinmiş
  • Tarayıcıların buna nasıl izin verdiğini ve neden mikrofon erişim izni gibi kullanıcı onayı istemediğini anlamıyorum. Rastgele bir web sitesinin benim LAN’ımda port taraması yapabilmesinin kabul edilebilir sayılması başlı başına çok tehlikeli. Bunun bir “özellik” değil, güvenlik açığı olarak görülmesi gerekmez mi?
    • Chrome’da böyle bir erişime izin verilmiyor. Yerel ağ servislerine dış sitelerden erişim için opt-in gerekiyor(
      https://github.com/WICG/private-network-access
      ) ve bunu kullanıcı onayına dayalı hale getirme sürecindeler(
      https://github.com/WICG/local-network-access
      ). PNA’nın gerçekten dağıtılıp dağıtılmadığı tartışmalı ama yıllar önce stable Chrome’da bunu bizzat yaşadım; bu yüzden güncel durumu tam bilmiyorum. Firefox ise bu tür erişimi desteklemiyor. Sanırım bunun nedeni geliştirme kaynağı eksikliği
  • Ben uMatrix kullanıyorum; varsayılan olarak istek yapılan site ve üst alan adı dışındaki tüm bağlantılar engelleniyor. Örneğin mail.yahoo.com ziyaret edildiğinde yimg.com gibi alan adlarını elle izinli hale getirmek gerekiyor; bu yüzden böyle port taraması/profilleme girişimleri işlemiyor. İlk başta aşırı rahatsız ediciydi ama birkaç ay whitelist büyütünce ziyaret ettiğim sitelerin %90’ı kapsanmış oldu. Benim sistemimde ceac.state.gov/genniv/, captcha.com, Google Analytics, Tag Manager, 127.0.0.1, burp (ağımda olmayan bir localhost adı) adreslerine bağlanmaya çalışıyor. İlginç şekilde tarayıcı konsolunda localhost ya da burp denemeleri pek görünmüyor. 127.0.0.1 için izin verince tcpdump ile 8888 portuna bağlanmaya çalışan trafik gördüm (o port açık değil)
    • uMatrix’in Facebook tracking pixel’ini ya da son dönemde çıkan alternatifi Conversions API Gateway’i de engelleyip engellemediğini merak ediyorum. Conversions API Gateway, container olarak doğrudan sizin alan adınızın altında (hatta ana alan adında) barındırılabiliyor ve sunucu tarafında kullanıcı verilerini Facebook’a iletiyor. Sadece JS ekleyince tüm veri aktarılıyor
    • uMatrix şu anda archive durumunda (destek sonlandı); bugünlerde önerilen şey, gelişmiş ayarlar açılarak uBlockOrigin kullanmak (bu yapı uMatrix işlevlerini içine alıyor). Daha güçlü engelleme için hard mode ayarlayıp kısayollarla relax blocking moduna geçmek de öneriliyor. Filtre listelerini de, özellikle yokoffing/filterlists ile bölgesel/dil bazlı listeleri, kullanmak iyi olur
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • Görünüşe göre Burp Suite’in web uygulamasına bağlı olup olmadığını kontrol etmeye çalışıyorlar
    • 127.0.0.1 isteklerini ağ sekmesinden nasıl gizlediklerini merak ediyorum
    • burp aslında
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      bağlantısında da geçen Burp Suite. Sitenin analiz edilmesini zorlaştırmaya çalışıyor gibi görünüyor
  • Bazı uzantılar “tüm sitelerdeki verilere erişim” izni istiyor. Tanınmış bir şirket ya da güvenilir bir geliştirici değilse böyle bir izni vermek bana mantıklı gelmiyor. Özellikle Hacks and Hops adlı uzantı, ana sayfa olarak
    https://g666gle.me/
    gibi var olmayan bir alan adını kullanıyor. Böyle bir uzantı ne kadar cazip görünürse görünsün asla yüklemem
    • Bu çelişkili durum HN gibi forumlarda neredeyse evrensel. Bu uzantıyı yükleyen kişinin aklı başında mı diye düşünmeden edemiyorum. “Gizlilik satın alabileceği” yanılgısına fazlasıyla kapılan insanlar, sonunda VPN kılığında rootkit’ler ve rastgele uzantılar indiriyor. Eğer sahte bir uzantı yüklediyseniz yapılabilecek en asgari şey PC’yi yakıp üstünden arabayla geçmek, tüm hesapları yeniden açmak ve tamamen yeni bir cihazdan tüm parolaları sıfırlamak kadar uç olabilir
  • Bu tür port taraması, cihaz fingerprinting’i ve anti-anonymity SaaS pek çok sitede var. Ebay ve Facebook da yapıyor. Ama bu olayda asıl amaç büyük ölçüde ad blocker’ı engellemeye çalışmak. 1MB boyutunda obfuscate edilmiş fingerprinting kodu + port taraması + WebGL bile kullanılıyor. İlginç olan, Burp Suite yolunu aramaya yönelik denemelerin bulunması
    • Ağımı bu tür saldırılara karşı nasıl daha güvenli hale getirebileceğimi merak ediyorum
    • Ben de yeni kart kaydı yapılan bir web sitesinde aynı port tarama yöntemini yaşamıştım
  • Bu “port taraması” aslında sadece 127.0.0.1:8888 adresine yerel bağlantı denemesi kadardı. Tam olarak ne amaçla yapıldığını bilmiyorum ama devlet siteleri bazen belge elektronik imzası için native yazılımla iletişim kurmak üzere bu yöntemi kullanıyor. Başka IP’lere bağlantı denemeleri de var mı merak ediyorum
    • Bu, kart okuyucu, debugging server ya da geliştirici hatası yüzünden de olabilir. Benim deneyimimde, geliştirme ortamında dış host yerine localhost ile baked-in URL’ler yanlışlıkla prod’a taşınmıştı. 8888 portunu yerel geliştirme sunucusu için kullanıyor olmaları da mümkün; çok şaşırtıcı olmaz
    • Bu büyük ihtimalle kullanıcının cihazında (yerelde) bir web sunucusu varsa ona veri toplama/izleme amacıyla bağlanmayı deniyor. Eskiden Facebook/Meta’nın da Android’de benzer biçimde izleme yaptığı ortaya çıkmıştı (Messenger/Instagram üzerinden web sunucusuyla izleme). Aşağıya bakın
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • Bu tür durumlarda, web sitesinin kart okuyucu vb. yerel portlara bağlanmaya çalışması aslında beklenen bir şey de olabilir. Bazı ya da çoğu AB ülkesinde insanlar kimlik kartı veya araç kayıt kartındaki çiple kimlik doğrulama ve idari işlemlere erişiyor; eskiden yalnızca Java + Internet Explorer desteklenirdi ama IE kaldırılıp Chromium’a geçildikten sonra bunun nasıl yapıldığını bilmiyorum, o yüzden yakın dönemde kullanmadım
    • Artık tarayıcı ile akıllı kart sürücüsü arasında köprü kuran bir yerel servis kurulması gerekiyor. Eskiden Java applet’in yaptığı işi şimdi bu bridge service yapıyor. Karta özgü sürücü ile bridge service birlikte kuruluyor
    • Bir keresinde iPhone/Android uygulamasıyla pasaportun NFC çipinin okunması istendi. Bu da galiba IE/Java’nın modern karşılığı
  • Bu uygulamayı daha önce bilmemem biraz utanç verici. Fingerprinting dışında ek kötüye kullanım amaçları olup olmadığını merak ediyorum
    • Facebook’un Android’de gerçekten bu yöntemi kullandığı olmuştu. Meta’nın Android uygulamaları localhost üzerinde bir sunucu açıp, tarayıcı korumaları tarafından engellenen takip verilerini bu yerel sunucu üzerinden değiş tokuş ediyordu. Teknik olarak bu da fingerprinting ama en uç kullanım örneklerinden biri sayılabilir
      https://news.ycombinator.com/item?id=44169115
    • Güvensiz URL’lere sahip router’lar olabilir. router authentication bypass diye aratırsanız örnekler çıkıyor
    • macOS Safari konsolunda site ziyaret edildiğinde şöyle bir şey
      https://files.catbox.moe/g1bejn.png
      görülüyor. 8888 portunun özellikle hangi servisler tarafından kullanıldığını merak ediyorum
    • Çoğunlukla takip amacıyla kullanılır ama eğer kullanıcı localhost üzerinde hassas bir servis çalıştırıyorsa veri sızdırma için de kötüye kullanılabilir
      https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe