Yayınlara don

Tuzak Tokenler ile Aldatma Katmani Olusturma

· TomeSpell Security · 3 dk okuma

Geleneksel guvenlik saldirganlari disarida tutmaya odaklanir. Aldatma bu modeli tersine cevirir — ihlali varsayar ve saldirganin dokunmamasi gereken bir seyle etkilesim kurdugu anda tetiklenen tuzaklar yerlestirir.

Tuzak tokenler en basit ve en etkili aldatma araclarindan biridir. Saldirgana degerli gorunen ancak tek bir amaca hizmet eden dosyalar, kimlik bilgileri veya URL’lerdir: erisildiklerinde sizi uyarmak.

Tuzak tokenler neden ise yarar

Zafiyet tarama veya saldiri tespitinden farkli olarak, tuzak tokenlerin benzersiz bir ozelligi vardir: sifira yakin yanlis pozitif orani. Meşru bir kullanicinin bir bal kukasi dizinindeki aws-credentials-backup adli dosyayi acmak icin hicbir nedeni yoktur. Bu dosyaya erisilirse, bir sorun var demektir.

Bu, tuzak tokenleri ideal kilar:

  • Erken ihlal tespiti — yetkisiz erisimden aylar degil dakikalar icinde haberdar olun
  • Ic tehdit gorunurlugu — calisanlarin kapsam disi dosyalara erisimini tespit edin
  • Tedarik zinciri izleme — kod depolarina veya derleme ciktilarina token yerlestirin

Token turleri ve nereye yerlestirilmeli

Belge tokenleri

Acildiginda geri bildirim gonderen PDF ve Office belgeleri. Bunlari saldirganlarin aradigi yerlere yerlestirin:

# Tuzak belgeleri yuksek degerli konumlara yerlestirin
cp Q3-Finansal-Rapor.pdf /mnt/paylasim/finans/
cp olay-mudahale-plani.docx /mnt/paylasim/bt-guvenlik/
cp calisan-maaslari-2026.xlsx /mnt/paylasim/ik/gizli/

Belgeler gercek gorunur. Bir saldirgan (veya merakli bir calisan) actiginda, gomulu tetikleyici IP, kullanici ajani ve zaman damgasiyla birlikte atesler.

Kimlik bilgisi tokenleri

Saldirganlarin topladigi yerlere yerlestirilen sahte kimlik bilgileri:

# Bir uretim sunucusunda sahte AWS kimlik bilgisi dosyasi olusturun
mkdir -p /home/deploy/.aws
cat > /home/deploy/.aws/credentials << 'EOF'
[default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
region = us-east-1
EOF
chmod 600 /home/deploy/.aws/credentials

Bu kimlik bilgileri herhangi bir API’ye karsi kullanildiginda, tuzak tetiklenir. Saldirgan kendi altyapisini ifsa ederken hicbir deger elde edemez.

Binary tokenleri

Calistirildiginda tetiklenen yerel calistirilabilir dosyalar:

# Tuzak binary'leri yaygin arac yollarina yerlestirin
cp canary-kubectl-debug /usr/local/bin/kubectl-debug
cp canary-db-backup /opt/scripts/db-backup
chmod +x /usr/local/bin/kubectl-debug /opt/scripts/db-backup

Farkli ortamlar icin yaygin kiliklari:

OrtamDosya AdiKonum
Kuberneteskubectl-debug/usr/local/bin/
Veritabani sunucularidb-backup/opt/scripts/
Bastion sunucularivpn-connect/usr/local/bin/
CI calistiricilarideploy-prod/opt/ci/

Bir tetikleme nasil gorunur

Bir tuzak token tetiklendiginde, tam baglamla yapilandirilmis bir olay alirsiniz:

{
  "token": "ct_a3f2e8b1c4d59670",
  "canary_name": "Q3-Finansal-Rapor.pdf",
  "type": "pdf",
  "triggered_at": "2026-03-25T14:32:01Z",
  "source_ip": "185.62.190.44",
  "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
  "geolocation": {
    "country": "RU",
    "city": "Moskova"
  }
}

Bu tek olay size sunu soyler: Moskova’daki 185.62.190.44 adresindeki biri Windows makinesi kullanarak sahte finansal raporunuzu acti. Bu yuksek guvenilirlikte bir ihlal gostergesidir — ayarlama gerektirmez.

Uyarilari entegre etme

Tuzak tetiklemelerini olay mudahale kanallariniza yonlendirin:

# Ornek uyari yonlendirme yapilandirmasi
alerts:
  canary_trigger:
    severity: high
    channels:
      - slack: "#guvenlik-olaylari"
      - email: "[email protected]"
    runbook: "https://wiki.dahili/runbooks/tuzak-tetiklendi"
    auto_actions:
      - kaynak_ip_izole_et
      - adli_bilisim_yakala

Yerlestirme en iyi uygulamalari

Tokenleri gercekci adlandirin. test-tuzak.pdf kimseyi kandirmaz. maas-degerlendirme-2026.xlsx, prod-veritabani-yedek.sh, vpn-yapilandirma.ovpn gibi isimler kullanin.

Tokenleri saldirganlarin bakacagi yerlere yerlestirin. Ev dizinleri, kimlik bilgisi depolari, paylasimli surculer, kaynak kod depolari, yedek konumlari ve CI/CD yapilandirmasi.

Tokenlerinizi katmanlayin. Birden fazla konumda birden fazla tur kullanin. Tek bir tuzak bir tuzak telidir. Bir duzine tuzak, kacmasi neredeyse imkansiz bir tespit agidir.

Her tetiklemeyi gercek olarak ele alin. Tuzak tokenlerin yanlis pozitif orani sifira yakindir. Bir tetikleme, yetkisiz erisimin gerceklestigini gosterir.

Tuzak tokenler neredeyse hicbir maliyetle kurulur ve bakimi yapilir. Yanlis pozitif uretmezler. Ve diger her guvenlik aracinin kacirdigi seyi yakalarlar: aginizin icinde olan ve etrafta bakan saldirgani.

En yuksek degerli uc konumunuza uc tuzakla baslayin. Oradan olceklendirin.

← Yayınlara don