OSINT Proxy'ler Neden Tehdit İstihbaratının Temel Taşıdır
Threat intelligence ekipleri ve SOC analistleri, her gün kamuya açık kaynaklardan veri toplar. Ancak bu veriyi toplarken sizi tanımlayabilirler. IP adresiniz, araştırma amacınızı ele verebilir; coğrafi konumunuz, hedeflenen altyapınızı ifşa edebilir. OSINT proxy'ler, araştırmacının kimliğini ve altyapısını hedeften gizlemek için kullanılan en temel operasyonel güvenlik katmanıdır.
Bu rehber, yalnızca yetkili ve yasal kapsamda yürütülen OSINT çalışmaları için hazırlanmıştır. Yetkisiz sistem erişimi, izinsiz kimlik bilgisi kullanımı veya yasadışı veri toplama bu kapsamın dışındadır. Her operasyon, kurum içi hukuk departmanı ve ilgili mevzuatla uyumlu olarak yürütülmelidir.
OSINT Kullanım Senaryoları: Tehdit İstihbaratı Proxy'leri Hangi İşe Yarar?
Tehdit istihbaratı residential proxy'ler, birden fazla senaryoda operasyonel güvenlik sağlar. İşte en yaygın kullanım alanları:
Karanlık Web Aynaları ve Clearnet Komşuları
Birçok karanlık web forumu, clearnet üzerinde erişilebilir ön yüzler barındırır. Bu siteler, kayıt duvarı arkasında olmayan bölümlerle tehdit aktörlerinin iletişim alanlarına kısmi erişim sunar. Araştırmacılar bu siteleri izlerken, kendi kurumsal IP'lerini ifşa etmek istemez — çünkü hedef, ziyaretçileri izleyebilir ve araştırma amacınızı tespit edebilir.
Siber Suç Forumlarının Clearnet Ön Yüzleri
RaidForums ve benzeri platformların kapatılmasından sonra ortaya çıkan forumlar, genellikle clearnet üzerinde barındırılır. Bu forumlarda yeni kampanyalar, araçlar ve işbirlikleri paylaşılır. Residential IP'ler, bu sitelere erişimde normal bir kullanıcı gibi görünmenizi sağlar ve bot koruma sistemlerini aşmanıza yardımcı olur.
Kamu Paste Siteleri
Pastebin, Ghostbin ve benzeri platformlar, sızdırılan verilerin ilk ortaya çıktığı yerlerdir. Bu sitelerin API'leri genellikle hız sınırlamasına sahiptir ve vericenter IP'lerini hızla engeller. Security research proxy'ler, bu sınırlamaları aşarak IOC'leri zamanında yakalamanızı sağlar.
Compromised-Credential Agregatörleri
Have I Been Pwned, DeHashed ve benzeri platformlar, sızdırılmış kimlik bilgilerini aramak için API'ler sunar. Ancak bu API'ler, vericenter IP'lerinden gelen yoğun istekleri engelleyebilir. Residential proxy'ler, bu platformlara normal bir kullanıcıymış gibi erişim sağlar.
Residential Proxy'ler Neden OSINT İçin Zorunludur?
Datacenter IP'ler, tehdit aktörleri ve savunma mekanizmaları tarafından kolayca tanınır. Bir veri merkezi IP bloğundan yapılan istekler, genellikle şu sonuçları doğurur:
- Hemen tespit: ASN bilgisi, vericenter IP olduğunu hemen ortaya koyar.
- Bot koruma tetiklemesi: Cloudflare, Akamai ve benzeri WAF'lar, vericenter IP'lerini otomatik engeller.
- Araştırma atribüsyonu: Hedef, ziyaretçinin bir araştırma kurumu veya güvenlik şirketi olduğunu tespit edebilir.
Residential IP'ler ise gerçek İSS'lerden tahsis edilir. Bu sayede:
- Atribüsyon önleme: Hedef, ziyaretçinin gerçek bir kullanıcı mı yoksa araştırmacı mı olduğunu ayırt edemez.
- Coğrafi kaynak uyumu: Hedeflenen bölgedeki IP'ler kullanarak, yerel bir kullanıcı gibi görünürsünüz.
- Bot koruma aşma: Residential IP'ler, çoğu bot koruma sistemini doğal olarak aşar.
Proxy Türleri Karşılaştırması
| Özellik | Residential Proxy | Datacenter Proxy | Mobile Proxy |
|---|---|---|---|
| Atribüsyon riski | Çok düşük | Yüksek | Çok düşük |
| Bot koruma aşma | Yüksek | Düşük | Çok yüksek |
| Hız | Orta | Yüksek | Düşük-Orta |
| Maliyet | Orta | Düşük | Yüksek |
| OSINT uygunluğu | En iyi genel seçim | Sadece hızlı IOC çekme | Sosyal medya OSINT |
Operasyonel Güvenlik: IP Rotasyonu ve Oturum İzolasyonu
OSINT operasyonlarında operasyonel güvenlik (OPSEC), proxy kullanımından daha kapsamlı bir disiplindir. Aşağıdaki pratikler, araştırma altyapınızın ifşasını önlemek için kritiktir.
IP Rotasyon Stratejileri
Per-request rotasyon, her HTTP isteğinde farklı bir IP kullanır. Bu, atribüsyonu en aza indirir ancak oturum tabanlı sitelerde sorun çıkarabilir. Sticky session rotasyonu ise belirli bir süre için aynı IP'yi korur — bu, forumlara giriş yapmanız veya çok adımllı bir işlem gerçekleştirmeniz gerektiğinde kullanışlıdır.
ProxyHat'ta sticky session oluşturmak için kullanıcı adında bir session ID belirleyebilirsiniz:
# Sticky session — 10 dakika boyunca aynı IP'yi korur
http://user-session-osint-alpha-abc123:PASSWORD@gate.proxyhat.com:8080
# Per-request rotasyon — her istekte farklı IP
http://user-country-US:PASSWORD@gate.proxyhat.com:8080Tarayıcı Oturum İzolasyonu
Proxy kullanmak tek başına yeterli değildir. Tarayıcı parmak izi, çerezler ve WebRTC sızıntıları da atribüsyon kaynağı olabilir. Her OSINT operasyonu için:
- Ayrı bir tarayıcı profili kullanın (Firefox Container Tabs veya Chromium profilleri).
- WebRTC'yi devre dışı bırakın.
- Canvas ve WebGL parmak izlerini rastgeleleştirin.
- Hiçbir zaman kişisel hesaplarla OSINT tarayıcısını kullanmayın.
Kişisel Tanımlayıcı Kullanmayın
OSINT operasyonlarında en büyük hata, kişisel e-posta, sosyal medya hesapları veya kimlik bilgileri kullanmaktır. Her operasyon için ayrı bir dijital kimlik oluşturun ve bu kimliği proxy altyapınızla eşleştirin. Kendi adınıza veya kurumunuzun adına hiçbir zaman doğrudan erişim sağlamayın.
Otomatik Besleme Alımı: IOC, URLhaus ve ThreatFox
Threat intelligence ekipleri, birden fazla kamu IOC beslemesini düzenli olarak çeker. Bu beslemeler, hız sınırlamasına sahip olabilir ve vericenter IP'lerini engelleyebilir. Tehdit istihbaratı residential proxy'ler, bu veri kaynaklarına kesintisiz erişim sağlar.
Aşağıdaki Python betiği, URLhaus ve ThreatFox'tan IOC'leri çeker ve ProxyHat residential proxy'lerini kullanır:
import requests
import json
from datetime import datetime
PROXY_URL = "http://osint-user-country-DE:PASSWORD@gate.proxyhat.com:8080"
PROXIES = {"http": PROXY_URL, "https": PROXY_URL}
HEADERS = {"User-Agent": "ThreatIntel-FeedBot/1.0"}
def fetch_urlhaus():
"""URLhaus'tan son zararlı URL'leri çek."""
url = "https://urlhaus-api.abuse.ch/v1/urlshrecent/"
try:
resp = requests.post(url, data={"limit": 100}, headers=HEADERS, proxies=PROXIES, timeout=30)
resp.raise_for_status()
data = resp.json()
iocs = []
for entry in data.get("urls", []):
iocs.append({
"source": "urlhaus",
"url": entry["url"],
"threat": entry["threat"],
"tags": entry.get("tags", []),
"date": entry["date"]
})
return iocs
except Exception as e:
print(f"[!] URLhaus hatası: {e}")
return []
def fetch_threatfox():
"""ThreatFox'tan son IOC'leri çek."""
url = "https://threatfox-api.abuse.ch/api/v1/"
payload = {"query": "get_iocs", "days": 1}
try:
resp = requests.post(url, json=payload, headers=HEADERS, proxies=PROXIES, timeout=30)
resp.raise_for_status()
data = resp.json()
iocs = []
for entry in data.get("data", []):
iocs.append({
"source": "threatfox",
"ioc_value": entry["ioc_value"],
"ioc_type": entry["ioc_type"],
"malware": entry.get("malware_printable", "unknown"),
"confidence": entry.get("confidence_level", 0)
})
return iocs
except Exception as e:
print(f"[!] ThreatFox hatası: {e}")
return []
if __name__ == "__main__":
all_iocs = fetch_urlhaus() + fetch_threatfox()
print(f"[*] Toplam IOC: {len(all_iocs)}")
with open(f"iocs_{datetime.now().strftime('%Y%m%d')}.json", "w") as f:
json.dump(all_iocs, f, indent=2)Bu betik, Almanya lokasyonlu bir residential IP üzerinden veri çeker. Ülke parametresini değiştirerek farklı coğrafyalardan erişim sağlayabilirsiniz — bu, bölgesel tehditleri izlerken faydalıdır.
Yasal Korkuluklar: Yetkili Kapsam ve Etik Sınırlar
OSINT çalışmaları güçlü bir araçtır, ancak gücüyla birlikte sorumluluk da taşır. Aşağıdaki yasal korkuluklar, her operasyonda gözetilmelidir:
Yalnızca Yetkili Kapsam
Her OSINT operasyonu, açıkça tanımlanmış bir kapsama sahip olmalıdır. Kapsam, neyin izleneceğini, hangi yöntemlerin kullanılacağını ve verilerin nasıl işleneceğini belirler. Kapsam dışı veri toplama, etik ve yasal olarak kabul edilemez.
Yetkisiz Sistem Erişimi Yasaktır
OSINT, kamuya açık kaynaklardan veri toplama anlamına gelir. Bir sisteme yetkisiz erişim, kimlik bilgisi denemesi veya authentication bypass girişimi, yasadışıdır ve bu rehberin kapsamı dışındadır. Erişim, hedefin erişim kontrol mekanizmalarına saygı duyarak yapılmalıdır.
Kimlik Bilgisi Kullanımı
Sızdırılmış kimlik bilgilerini, bir sisteme erişmek için kullanmak yasadışıdır. Bu bilgiler yalnızca tehdit değerlendirmesi amacıyla toplanabilir — bir hesabın tehlikeye girip girmediğini doğrulamak için kullanılamaz. Bu doğrulama, ilgili platformun resmi API'leri veya HIBP gibi hizmetler üzerinden yapılmalıdır.
GDPR ve Veri Gizliliği
Avrupa Birliği'ndeki kişisel verileri işlerken GDPR uyumluluğu gözetilmelidir. Kişisel veri içeren IOC'ler, yalnızca meşru güvenlik amacıyla işlenmeli ve gerektiğinde anonimleştirilmelidir. Kurum içi veri işleme politikaları ve hukuk departmanı onayı her zaman alınmalıdır.
Örnek Mimari: Marka Tehdit İstihbaratı Beslemesi
Bir marka tehdit istihbaratı beslemesi, kurumunuzun adını, ürünlerini veya alan adlarını hedefleyen tehditleri sürekli izler. Aşağıdaki mimari, ProxyHat residential proxy'lerini kullanarak otomatik bir izleme hattı oluşturur.
Mimari Bileşenleri
- Veri Toplayıcı: ProxyHat üzerinden paste siteleri, forumlar ve sosyal medya izler.
- İşleyici: Toplanan ham veriyi IOC'lere ve bağlam bilgisine dönüştürür.
- Zenginleştirici: IOC'leri ThreatFox, URLhaus ve VirusTotal ile zenginleştirir.
- Uyarı Motoru: Eşleşme bulunduğunda SOC ekibine uyarı gönderir.
Aşağıdaki Node.js betiği, marka tehdit izlemenin temel iskeletini gösterir:
const axios = require('axios');
const { SocksProxyAgent } = require('socks-proxy-agent');
// ProxyHat SOCKS5 proxy konfigürasyonu
const PROXY_HOST = 'gate.proxyhat.com';
const PROXY_PORT = 1080;
const PROXY_USER = 'osint-user-country-US';
const PROXY_PASS = 'PASSWORD';
const socksAgent = new SocksProxyAgent(
`socks5://${PROXY_USER}:${PROXY_PASS}@${PROXY_HOST}:${PROXY_PORT}`
);
const client = axios.create({
httpsAgent: socksAgent,
httpAgent: socksAgent,
timeout: 30000,
headers: { 'User-Agent': 'BrandThreatBot/1.0' }
});
// İzlenecek marka anahtar kelimeleri
const BRAND_KEYWORDS = ['proxyhat', 'proxy-hat', 'proxyhat.com'];
// Paste site izleme
async function monitorPasteSites() {
const sources = [
'https://pastebin.com/archive',
'https://ghostbin.com/recent',
];
const alerts = [];
for (const url of sources) {
try {
const resp = await client.get(url);
const content = resp.data;
for (const keyword of BRAND_KEYWORDS) {
if (content.toLowerCase().includes(keyword.toLowerCase())) {
alerts.push({
source: url,
keyword: keyword,
timestamp: new Date().toISOString()
});
}
}
} catch (err) {
console.error(`[!] ${url} izleme hatası: ${err.message}`);
}
}
return alerts;
}
async function main() {
console.log('[*] Marka tehdit izleme başlatılıyor...');
const alerts = await monitorPasteSites();
if (alerts.length > 0) {
console.log(`[!] ${alerts.length} uyarı tespit edildi`);
// SOC'ye uyarı gönder — webhook, e-posta veya SIEM entegrasyonu
for (const alert of alerts) {
console.log(JSON.stringify(alert, null, 2));
}
} else {
console.log('[+] Şu an uyarı yok');
}
}
main();Mimariyi Genişletme
Bu temel mimariyi şu şekilde genişletebilirsiniz:
- Çoklu coğrafya izleme: Farklı ülke parametreleriyle birden fazla ProxyHat oturumu açarak, bölgesel tehditleri izleyin.
- SIEM entegrasyonu: Uyarıları Splunk, Elastic veya QRadar'a göndererek mevcut SOC iş akışlarına entegre edin.
- Geçmiş analiz: OSINT proxy rehberimizi referans alarak, geçmiş tehdit verilerini de analiz edin.
ProxyHat ile OSINT Proxy Konfigürasyonu
ProxyHat, OSINT operasyonları için esnek ve güvenilir bir proxy altyapısı sunar. İşte temel konfigürasyon seçenekleri:
Temel HTTP Proxy
Per-request rotasyonla genel OSINT veri toplama:
curl -x http://user-country-US:PASSWORD@gate.proxyhat.com:8080 https://urlhaus-api.abuse.ch/v1/urlshrecent/Coğrafi Hedefleme
Belirli bir ülkeden erişim sağlamak için ülke parametresini kullanın:
# Almanya IP'si ile erişim
curl -x http://user-country-DE:PASSWORD@gate.proxyhat.com:8080 https://example-forum.de/recent-posts
# Şehir düzeyinde hedefleme — Berlin
curl -x http://user-country-DE-city-berlin:PASSWORD@gate.proxyhat.com:8080 https://example-forum.de/recent-postsSticky Session
Oturum tabanlı sitelerde tutarlı IP için session ID belirleyin:
curl -x http://user-session-monitor-xyz789:PASSWORD@gate.proxyhat.com:8080 https://target-forum.example/loginEn İyi Uygulamalar ve OPSEC Kontrol Listesi
Her OSINT operasyonu öncesi aşağıdaki kontrol listesini gözden geçirin:
- Kapsam onayı: Operasyon kapsamı hukuk departmanı tarafından onaylandı mı?
- Proxy konfigürasyonu: Residential proxy kullanılıyor mu? Coğrafi hedefleme doğru mu?
- Oturum izolasyonu: Ayrı tarayıcı profili kullanılıyor mu? Kişisel hesaplardan bağlantı yok mu?
- Veri işleme: Toplanan veriler GDPR ve kurum içi politikalara uygun mu?
- Log yönetimi: Operasyon logları güvenli şekilde saklanıyor mu?
- Atribüsyon kontrolü: DNS sızıntıları, WebRTC sızıntıları ve tarayıcı parmak izleri engellendi mi?
Daha fazla proxy konfigürasyon detayı için ProxyHat lokasyonlar sayfasını ve fiyatlandırma seçeneklerini inceleyin. Web scraping odaklı kullanım senaryoları için web scraping kullanım senaryomuzu da gözden geçirebilirsiniz.
Temel Çıkarımlar
OSINT proxy'ler, tehdit istihbaratı çalışmalarında atribüsyonu önlemenin en temel aracıdır. Residential proxy'ler, vericenter IP'lerine kıyasla bot koruma sistemlerini aşmada ve hedefin dikkatini çekmeden veri toplamada çok daha etkilidir.
- Residential proxy'ler, OSINT operasyonlarında atribüsyon riskini minimuma indirir.
- Coğrafi hedefleme, bölgesel tehditleri izlerken kritik bir yetenektir.
- Per-request rotasyon ve sticky session, farklı senaryolar için esneklik sağlar.
- Operasyonel güvenlik, proxy kullanımının ötesinde bir disiplindir — tarayıcı izolasyonu ve kişisel tanımlayıcıların hariç tutulması şarttır.
- Yasal kapsamın dışına çıkmak, hem etik hem de hukuki sonuçlar doğurur — her operasyon yetkili kapsamda yürütülmelidir.
- Otomatik IOC besleme alımı, ProxyHat ile kesintisiz ve güvenli şekilde gerçekleştirilebilir.
