İç ana makine adları buluta sızdığında

 (rachelbythebay.com)
1 puan yazan GN⁺ 2026-02-06 | 1 yorum | WhatsApp'ta paylaş
  • Ev tipi NAS cihazlarının web arayüzünün, yalnızca iç kullanım için olan ana makine adlarını dış servislere gönderdiği bir durum keşfedildi
  • NAS web arayüzüne gömülü sentry.io hata raporlama betiği, yığın izleriyle birlikte iç ana makine adını dışarıya gönderiyor
  • sentry.io tarafının bu ana makine adına ters yönde TLS bağlantısı kurmayı denediği, ancak gerçek bir istek göndermediği garip bir davranış gözlemlendi
  • Önceden yapılandırılmış wildcard DNS sayesinde sızıntı tespit edilebildi; hassas ana makine adları kullanıldığında ciddi bilgi ifşası riski bulunuyor
  • Bu mekanizma kötüye kullanılırsa rastgele ana makineler için DNS taraması tetiklenebilecek potansiyel bir güvenlik sorunu ortaya çıkıyor

NAS kurulumu ve iç ana makine adı yapılandırması

  • Bir NAS cihazı satın alınıp sürücüler takıldı ve ev ağına bağlandı; sistem HTTPS modunda çalıştırıldı
  • Genel internette anlamsız bir alan adının alt alt bölgesi için (ör. *.nothing-special.whatever.example.com) wildcard TLS sertifikası kuruldu
  • Tarayıcıdan erişmek için /etc/hosts dosyasına 172.16.12.34 nas.nothing-special.whatever.example.com gibi yalnızca yerel kullanıma yönelik bir kayıt eklendi

Dışarıdan gelen beklenmedik erişimin fark edilmesi

  • NAS kurulduktan birkaç gün sonra, aynı ana makine adına dış dünyadan istekler gelmeye başladı
  • Bu ana makine adı, yalnızca dizüstü bilgisayarın /etc/hosts dosyasında bulunan tamamen iç kullanıma özel bir ad
  • Önceden *.nothing-special.whatever.example.com tamamı için, kendi yönettiği makineye giden bir wildcard DNS kaydı ayarlanmış olduğundan sızıntı tespit edilebildi
  • NAS her yüklendiğinde bir GCP ana makinesi, SNI içinde bu iç ana makine adını sunarak bağlantı kurmayı denedi

Sızıntının nedeni: sentry.io hata raporlaması

  • NAS web arayüzünde phone home işlevi bulunuyor ve bunun bir parçası olarak sentry.io'ya yığın izleri gönderiliyor
  • Tarayıcı sentry.io'ya geri çağrı yaparken, iç depolama cihazı için kullanılan ana makine adını da birlikte iletiyor
  • sentry.io tarafının bu ana makine adına ters bir TLS bağlantısı oluşturduğu, ancak gerçekte hiçbir HTTP isteği göndermediği doğrulandı

Güvenlik sonuçları ve alınan önlemler

  • Ana makine adı hassas bilgi içeriyorsa (ör. mycorp-and-othercorp-planned-merger-storage gibi bir ad), ciddi bilgi sızıntısı riski oluşuyor
  • Bu sentry raporlama mekanizması kullanılarak rastgele dış ana makineler için DNS taraması tetiklemek mümkün olabilir (somut yöntem okura bırakılmış)
  • Önlem olarak Little Snitch çalıştırılıp ilgili alan adının tamamı tüm uygulamalar için engellendi

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-06
Hacker News yorumları

  • İnsanlar meseleyi yanlış anlıyor gibi görünüyor. Bu bir CT log sorunu değil, wildcard sertifika ile ilgili
    Sentry, istemci tarafı trace’leri toplarken isteğin gönderildiği host adını çıkarıp onu yeniden poll etmeye çalışmış ve reddedilmiş

    • Muhtemelen trace arayüzünde göstermek için favicon almaya çalışıyordu
    • Ama bu yapıdaysa, Sentry’nin keyfi IP’lere istek gönderebilmesine yol açabilecek bir güvenlik açığı ortaya çıkabilir. Özellikle otomatik olarak kötü amaçlı trafik diye işaretlenen IP’lere tekrar tekrar erişebilir
    • İnsanların kafasının karışmasının nedeni, blog yazısının fazlasıyla karmaşık ve belirsiz yazılmış olması

  • Host adları özünde özel bilgi değildir
    DNS sorguları veya TLS sertifikaları gibi çeşitli yollarla dışarı sızar
    Özel servisleri gizlemek istiyorsanız, host adı yerine URL yolu içine sır koymak daha iyidir
    Örneğin fileservice.example.com/my-hidden-service-007-abc123/ gibi olursa yalnızca HTTPS üzerinden taşınır ve maruziyet çok daha az olur

    • Elbette bu durumda da yol, Sentry gibi harici servislere gönderilebilir; bu yüzden opak URL kullanmak ve sırları URL’ye koymama alışkanlığı edinmek gerekir
    • “Yalnızca HTTP kullanılsa bu sızıntı azalır mı?” diye soran da olmuş

  • clown GCP Host” ifadesinin teknik bir terim olup olmadığını merak ettim. Meğer yazar cloud’la alay etmek için böyle yazmış
    Asıl mesele, NAS web arayüzünün logları Sentry’ye gönderirken iç host adlarını da içermesiymiş
    Ben olsam böyle bir durumda güvenilir bir açık kaynak işletim sistemi ile değiştirir ya da PiHole gibi DNS engelleme ile Sentry çağrılarını keserdim

    • “clown”, Big Tech’in cloud anlayışıyla dalga geçen bir ifade; eskiden IRC’de de “clown computing” denirmiş
      Birisi, yerel DNS ve TLS proxy kullanarak dışarı giden trafiği tamamen engellediğini anlattı
    • Başka biri de “clown”un, büyük bulut sağlayıcıları ve kullanıcılarını yeren eski bir terim olduğunu ekledi
    • Bir başkası şaka yollu, “clown” yerine “weenie” kelimesini de kullandığını söyledi
    • “Sirk gitti ama palyaçolar kaldı” tarzı espriler de vardı

  • Bu tür örnekler yüzünden ben uBlock Origin’i web güvenliği için asgari standart görüyorum
    Çoğu web sayfasının tonla üçüncü taraf script yükleyip veri sızdırması artık çok ciddi bir sorun
    Kökten çözüm değil ama şu anda yapabileceğimiz en iyi şey bu

    • Ben de yönlendiriciye AdGuard Home kurdum; trafiğin %15~20’si engelleniyor. Takip ve reklam işinin ne kadar abartılı olduğunu gösteriyor

  • Bu tür sorunları önlemek için öne bir Nginx reverse proxy koyup CSP header eklemek iyi olur
    Bu, NAS’ın kendi başına dışarı istek atmasını durdurmaz ama tarayıcının onun yerine istek göndermesini engelleyebilir
    Örneğin Steam avatar isteği (https://avatars.steamstatic.com/HASH_medium.jpg) de CSP politikasıyla engellenebilir
    Gerekirse yalnızca bazılarına izin verilebilir. Ayrıca Referrer-Policy: no-referrer ekleyerek host adının harici loglarda görünmesini engellersiniz

    • Birisi “ATM machine” diyerek gereksiz tekrar kullanımına takılmış
    • Başka biri de şakayla karışık “NPM oldukça basit” diye cevap vermiş

  • Ben Synology NAS aldım ve bunu birkaç kez pişmanlıkla düşündüm
    Topluluk yazılımları dışında yapılabilecek şey neredeyse yok
    Let's Encrypt ile SSL kurmak bile karmaşık ve yollar standart dışı olduğu için ayarın nerede olduğunu bulmak zor
    Eski rsync sürümü, eksik varsayılan araçlar gibi pek çok şikayetim var. Keşke Linux veya BSD tabanlı bir NAS kullansaydım

    • Synology’yi yalnızca dosya sunucusu olarak kullanınca çok kararlı olduğunu söyleyenler de vardı. Ama kapalı yapısı yüzünden UniFi NAS’a geçmeyi planlayan biri de vardı
    • “Sunucu istiyorsun ama NAS’ın sunucu olmamasından şikayet etmek çelişkili” diyen de olmuş
    • Synology NAS’a güncel Debian kurma rehberinin Doozan forumunda olduğunu paylaşan biri de vardı
    • “Onu sadece dosya/iSCSI sunucusu olarak bırak, çok kararlı; elleme” tavsiyesi de verilmiş
    • Tersine, bir başkası RS217 modelini 100 dolara alıp hayatının en iyi alışverişi olduğunu söylemiş. Synology Office’i Google Docs yerine kullanıyormuş ve arayüzün olgunluğundan etkilenmiş

  • Yakın zamanda Sentry kurdum; bu sistemin otomatik uptime monitoring ayarlamaya çalışan bir özelliği var
    Bir host algılarsa periyodik ping atıyor ve birkaç gün boyunca stabil yanıt alırsa “Bu host için uptime monitoring ayarlayalım mı?” diye bildirim gösteriyor

    • Birisi kısaca “Upsell fırsatı” diye yorum yapmış

  • Ben şahsen Sentry ile ilgili tüm domain’leri engelliyorum
    Genel bir çözüm değil ama benim ortamımda en iyi seçenek bu

  • Reverse DNS sunucuları, iç ağ adreslerini (ULA, RFC1918) bile çözmeye çalışıyor gibi göründükleri durumlar sık görülüyor
    Bu veriler başka bilgilerle birleştirilirse iç durum hakkında çıkarım yapılabilir
    Hatta “darknet veri toplama sırasında UDP ses trafiği bile yakalandı” denmiş

    • Buna karşılık biri, “O UDP sesi hangi yılın SIP trafiğiydi?” diye sormuş

  • Geçmişte Heroku’da benzer bir durumu incelemiştim
    Yeni bir uygulama oluşturduğunuzda rastgele bir subdomain veriliyor ve daha DNS sorgusu bile yapılmadan hemen zafiyet tarayıcılarından istekler gelmeye başlıyor
    Heroku’ya sorduklarında, bunun yeni uygulama URL’sinin Certificate Transparency (CT) loglarında yayımlanmasından kaynaklandığını söylemişler

    • Birisi, “Bu her yeni servise ‘beni saldırıya uğratın’ tabelası asmak gibi” diyerek, CT loglarına gerçek sertifika yerine yalnızca hash yazılması gerektiğini savunmuş
      Certificate Transparency nasıl çalışır bağlantısı da paylaşılmış
    • Başka biri de “Ben wildcard domain kullandığım için bu sorundan kaçınıyorum” diyerek bir ekran görüntüsü paylaşmış (görsel bağlantısı)