Nic.tr hacklendi derken, alan adı kaydında en üst düzey yetkiye sahip, aynı zamanda internetin 13 kök sunucusundan 2’sini yöneten internet devi VeriSign’ın da, 2010 yılında hack edildiğini doğrulandı.
VeriSign’ın ABD Menkul Kıymetler ve Takas Komisyonu’na yaptığı mecburi bildirim, firmanın 2010 yılında hacklendiğini ve bir dizi bilginin VeriSign networkünden çalındığını işaret ediyor. Bu gelişmeyle birlikte, 2010 yılında firma tarafından verilen güvenlik sertifikalarının bütünlüğü de sorgulanır hale gelmiş durumda.
VeriSign tarafından SEC’e yapılan bildirimde hack olayıyla ilgili tarihlere ve olay sırasında çalınan bilgilerin hangileri olduğuna yer verilmemekte. Buna karşın, söz konusu hack olayından VeriSign üst yönetiminin 2011 Eylül ayına dek haberdar edilmedikleri açıklanıyor. VeriSign firması tarafından konuyla ilgili olarak Reuters’e gönderilen bilgilendirmede, firmanın DNS sistemine destek veren sunucuların hacklenmediğine “inanıldığı” açıklanmakta. DNS sistemine destek sağlayan sunucular son derece kritik zira bu sunucuları hackleyen bilgisayar korsanları, kötücül yazılım taşıyan istedikleri web sitelerine rahatlıkla yönlendirme yapabilirler.
DNS sisteminin dışında, VeriSign’ın güvenlik sertifikaları da hayli önem taşıyor. Bu sertifikaları çalmaya başaran hackerlar, rahatlıkla web tarayıcılarını kandıran ve güvenli sertifikaya sahipmiş gibi gözüken siteler geliştirebiliyorlar. Hatırlarsanız 2011 yılında güvenlik sertifikaları sağlayıcısı DigiNotar’ın sertifikaları hackerlar tarafından çalınınca büyük bir gürültü kopmuştu [1]. VeriSign, güvenlik sertifikalarıyla ilgilenen iş kolunu 2010 yılı Ağustos ayında Symantec’e sattı. Symantec ise yayınlanan güvenlik sertifikalarıyla ilgili şu ana dek ellerinde kötüye kullanımı gösteren bir kanıt olmadığını açıklamakta.
Güvenlik analistleri, Stuxnet gibi endüstriyel tesislere yönelik solucanların da sahte güvenlik sertifikalarını kullandıklarına dikkat çekiyorlar. Dolayısıyla VeriSign’dan çalınan olası güvenlik sertifikaları, çok ciddi bir hack saldırısında dahi kullanılmış olabilir. VeriSign’ın hack vakasıyla ilgili SEC’e mecburiyetten bir bildirim yapması ancak kamuoyuna hiçbir açıklama geçmemiş olması ise şaşkınlıkla karşılanıyor.
[1]-Sızma Nedeniyle DigiNotar’ın Sertifikaları Artık Geçersiz
Kaynak : 