Scam, spam ve porno site saldırısı yapanlar için güvenilir ve popüler site adlarının varyasyonlarını kullanmak uzun süredir başvurulan bir taktik. Ancak siber suçlular IP adreslerini ele geçirerek yanlış yazılan alan-adı tuzağına yeni bir yön verdiler. Ve bu yöntemi Yahoo’da da denediler.
Eski problemi çözmek için sunucu-tabanlı güvenlik ürünleri Internet alanı ardındaki sunucunun IP adresinin izini sürerlerdi. IP adresi yanlış yazılan alan adını saptadığında söz konusu güvenlik ürünleri IP adresini insanları aldatmaya yönelik sitelerin ve şüpheli bazı sitelerin bulunduğu bir veri-tabanında karşılaştırmaya başlardı. Yani aslında Çin’de yer alan bir hafta önce kurulmuş bir site eBay taklidi yaptığında bu ürünler siteyi hemen fark ederek bloke edebiliyorlardı.
Yahoo olayında güvenlik firması Finjan, Yahoo’nun hiyerarşisinde yer alan daha önceden kullanılmamış bir IP adresinin hackerlarca kullanıldığını ve bu adresin sahte bir Google Analytics alan adı ardında kullanıldığını belirtiyor. Bu sayede Web-filtreleme ürünleri yüksek güven arzeden bir Yahoo alan adına girildiğini sanarak kandırılmış oluyorlardı.
Ne kurbanlar ne de network üzerindeki güvenlik mekanizmaları aslında kötü niyetli bir Web sitesini ziyaret etmekte olduklarını anlayamamışlardı.
Finjan’ın Şef Teknoloji Sorumlusu Yuval Ben-Itzhak InternetNews.com’a yaptığı açıklamada “Alan adını Yahoo’nun sahibi olduğu bir IP adresine atamayı başarmışlar. Yahoo’nun sahip olduğu bir IP adresi olarak görünen bir DNS sunucusuna nasıl bir adres ekleyebildikleri ise muamma,” diyor. Ben-Itzhak ayrıca Yahoo’nun gizliliği ihlal edilen adresi kapatmada çok sorumlu ve hızlı davrandığını ancak söz konusu IP adresinin ardındaki ekipmanın ne olduğu konusunda herhangi bir açıklama yapmaktan kaçındığını ifade etti.
Ben-Itzhak sunucudaki bir şeylerin bozulduğunu ve kötü niyetli kişilerin bu sayede Yahoo fark etmeden içeriklerini kullanıcılara gönderdiklerini düşünüyor. Ben-Itzhak bunun sosyal networklerdeki bir açık olduğunu söyledi.
Ben-Itzhak “2007 yılında çok net bir şey ortaya çıktı: Web 2.0 kullanan bu sosyal network siteleri çok eğlenceli siteler ancak aynı zamanda hackerlar için kötü niyetli kodlar barındırmada da birer cennetler,” diyor. “İstediğini her şeyi bu sitelere yükleyebiliyorsunuz, yani eğer isterseniz kötü niyetli içerikleri de yükleyebiliyorsunuz. MySpace’de bu yıl kötü niyetli kodlar içeren yüzlerce sayfa keşfettik.”
Ben-Itzhak sunucu-tabanlı güvenliğin halen birincil savunma modu olduğunu söylemekle birlikte bir siteden gelen akışta yer alan tüm gerçek içeriği tarayan ve şüpheli durumlarda kullanıcıları uyaran Finjan’ın SecureBrowsing ürünü veya Exploit Prevention Labs’ın (İstismar Önleme Laboratuarları) LinkScanner ürünü gibi tarayıcı eklentilerinin de mutlaka kullanılmasını öneriyor.
Kaynak : 