ASN ve netblock ile sınırı çizdikten sonra Censys listesi genelde şunu getirir: yüzlerce satır, her birinde IP, port, bir iki satır banner ve bazen TLS üzerinden daha zengin veri. Bu aşamada çoğu ekip hata yapar: “ilginç bir şey var” hissine kapılıp önceliklendirmeden çalışır. Ben bu yazıda tam tersini anlatmak istiyorum: banner’ı hız okuma değil, karar verme dili olarak kullanmak.
Savunmada hedefimiz merak tatmini değil; bu bulgu gerçekten bizim sorumluluk alanımızda mı ve düzeltmesi ne kadar acil? sorusuna yaklaşmak.
1. Banner nedir, neden abartılır?
Banner dediğimiz şey çoğu zaman sunucunun “merhaba” deme biçimidir: ürün adı, sürüm ipucu, bazen kurulumun izleri. Censys bu metni toplu halde gösterdiği için beyinde alarm çalar.
Ama iki gerçek var:
- Aynı ürün imzası farklı organizasyonlarda da görülebilir (paylaşımlı hosting, standart imajlar).
- Sahte veya eksik banner da mümkündür; güvenlik duvarı, reverse proxy veya bilinçli sert sıkıştırma banner’ı sadeleştirir.
Yani banner “kanıt”tır ama tek başına mahkeme kararı değildir.
2. İlk geçiş: üç seviyeli okuma
Ben pratikte şu üç seviyeyi kullanıyorum:
Seviye A — Sınıflandırma (10 saniye): Bu bir web mi, uzaktan yönetim mi, veritabanı mı, dosya sunucusu mu? Yanlış sınıfa koyarsanız her şey dramatik görünür.
Seviye B — Beklenenlik: Bu servis bu netblock için normal mi? Örneğin bir ofis çıkış IP’sinde beklenmedik bir yönetim portu ile CDN kenarında görülen standart HTTP farklı ağırlıkta değerlendirilir.
Seviye C — İmza tutarlılığı: Banner’daki ürün, sertifikadaki isimler ve DNS geri okuması aynı hikâyeyi anlatıyor mu? Anlatmıyorsa iş “kesin açık” değil; doğrulama kuyruğuna girer.
Bu üç seviye, panik düğmesine basmadan önce nefes aldıran bir kontrol listesi gibi.
3. Web’de sık görülen “gürültü” kaynakları
Web tarafında özellikle şu desenler listeyi şişirir:
- Varsayılan sayfalar, kurulum henüz bitmemiş servis göstergeleri, fazla konuşan hata sayfaları.
- Yönlendirme zincirleri: ilk bakışta “ilginç” görünen yol, aslında standart bir login ekranına çöküyordur.
- Ters proxy arkasında ürün tam görünmüyordur; banner sizi yanıltabilir.
Savunmacı soru şudur: Bu gözlem operasyonel bir hatayı mı işaret ediyor, yoksa sadece internetin kaba yüzeyi mi?
4. “Kritik” diye etiketlemeden önce sorulacak dört soru
- Veri sınıflandırması: Bu port üzerinden gerçek hayatta hassas veri taşınır mı?
- Kimlik doğrulama: Servis dünyaya açık ve zayıf mı, yoksa katmanlı mı? (Tek başına Censys bunu her zaman söylemez; iç testle tamamlanır.)
- Yaşam döngüsü: Geçici proje mi, unutulmuş eski sistem mi?
- Sahipliği: Banner “bizim yazılımımız”ı fısıldıyor ama IP paylaşımlı mı?
Bu sorular cevaplansa bile “risk puanı” üretmek başka iş; ama ticket açmadan önce düşünmek için yeterli bir filtre.
5. Censys çıktısını iç sürece bağlamak
Dışarıda gördüğünüz banner, içeride çoğu zaman şu ekiplerden birine düşer: ağ, sistem, uygulama, bulut, eski “şu sunucuyu kim biliyor?” sohbeti…
Ben bulguyu aktarırken şunları eklemeyi severim:
- Netblock / kapsam (bir önceki yazı)
- Censys’teki kısa alıntı (çok uzun yapıştırma gerekmez)
- DNS / hostname ile kısa doğrulama notu
- “Bu beklenen miydi?” sorusunun cevabı
Bu format, tartışmayı “panik” yerine envanter düzeltmesine çevirir.
6. Etik çizgi (tekrar, kısa)
Banner okumak kolaydır; yanlış yorumlamak da kolaydır. Paylaşımlı altyapılarda başka organizasyonların ayak izlerini “bizim skandalımız” gibi sunmamak; yetki sınırını bilmek; gereksiz merakla geniş tarama yapmamak — serinin başından beri aynı şartname.
7. Ödev: 15 dakikalık egzersiz
Kendi yetkiniz dahilinde bir netblock seçip Censys’te dar bir pas attığınızı varsayalım:
- 10 kayıt seçin.
- Her kayıt için Seviye A/B/C etiketini (sınıf / beklenenlik / tutarlılık) not edin.
- En fazla iki bulguyu “içeride takip edilecek” olarak işaretleyin.
Eğer on kaydın tamamını kritik diye işaretlediyseniz, muhtemelen filtre çok geniştir — ya da doğru yerde yoğun borç vardır. İkinci durum bile olsa önce daraltın; yoksa kimse sizi dinlemez.