Dünyanın En Ünlü Üniversiteleri Pornografi Sunuyor - Ama Suçlu Kimdir?
Iste Burada Işin Garip Tarafı Başlıyor
Berkeley University. Columbia. Washington University. Dünyanın en itibarlı eğitim kurumlarının adlarını Google'da arıyorsunuz. Bulduğunuz şey? Açık pornografi. Dolandırıcılık siteleri. Bilgisayarınıza "zararlı yazılım bulaştı, para ödeyin" mesajları veren uzantılar.
Bana sorarsan bu, basit bir teknik hata değil - bu bir itibar felaketi. Araştırmacı Alex Shakhov'un SH Consulting'den bulduğu şey, Dijital güvenlik dünyasında şok dalgaları yarattı.
Nasıl Oluyor da Dünya Sınıfı Üniversiteler Bunu Engelleyemiyor?
Durum şöyle: Bir üniversite yöneticisi causal.stat.berkeley.edu gibi bir alt alan oluşturmak istediğinde, DNS sisteminde CNAME adı verilen bir kayıt oluştururlar. Bu kayıt basically "bu adres başka bir yere gidiyor" demek. Bir web sunucusu kurulur, hizmet verilir, herkes mutludur.
Ama sonra proje biter. Sunucu kapatılır. Site Artık gerekli değildir. Ve işte tam burada - birçok üniversite DNS kayıtlarını silmeyi unutuyor. Evet, sadece unutuyor.
Shakhov'un raporuna göre, en az 34 üniversiteye ait yüzlerce alt alan bu halde bekliyor. Yüzlerce. Hiç fark etmeden.
Hazy Hawk Kim? Ne Yapmış?
İşte tam da bu noktada "Hazy Hawk" diye bilinen sahte etkinlik grubu sahneye giriyor. Acikcasi bu tür gruplar, üniversite yöneticilerinin tembelliğinden yararlanmakta iyi. Silinmemiş CNAME kayıtları, açık kapı gibi davranıyor. Saldırganlar bu eski alanları "ele geçirip" kendi içeriklerini buraya yüklüyorlar.
Sonuç? causal.stat.berkeley.edu adresine girdiğinizde pornografik içerik buluyorsunuz. conversion-dev.svc.cul.columbia.edu'ye tıkladığınızda... yine aynı şey. provost.washu.edu'de (bu en komik kısım - rektörün adı altında) dolandırıcılık sitesi bulunuyor.
Google arama sonuçlarında bu hijacked sayfalardan binlerce listeleniyor. Yani biri "berkeley.edu pornografi" araması yapsa, ilk sonuçlar gerçek Berkeley sayfaları değil, suçluların yüklediği içerik oluyor. Başlı başına markalama sorunu bu.
Niye Kimse Fark Etmedi?
Pek çok üniversite IT departmanı, DNS yönetimini önemli görmüyor. Sunucu kapatılıyor, proje biliş, hatta belki yönetici değişiyor. CNAME kaydını silmeyi hatırlayan kimse olmuyor. Şirkette genelde bu tür "kapatma" işleri ihmal ediliyor - acikcasi en sektörde bu çok yaygın bir sorun.
Demir tavında dövülür diyorlar. Burada demir şimdi saldırganların elinde.
Üniversiteler Şimdi Ne Yapacak?
Shakhov'un bulgusu sonrası, etkilenen üniversitelerin bir seçeneği var: CNAME kayıtlarını hızlıca kaldırmak. Belki de daha önemlisi - DNS yönetimini ciddiye almak. Eski proje alanlarını izlemek, kayıtları kapatmak.
Ama tasi geregeini koyalım - bu bilinen bir sorun değil. Araştırmacılar yıllardır "subdomain hijacking" diye bir saldırı vektörü hakkında konuşuyorlar. Yine de üniversiteler (ve aslında birçok şirket) hala uygulamıyor gerekli önlemleri.
| Etkilenen Üniversite | Alan Adı | Hijacked Alt Alan Örneği |
|---|---|---|
| UC Berkeley | berkeley.edu | causal.stat.berkeley.edu |
| Columbia University | columbia.edu | conversion-dev.svc.cul.columbia.edu |
| Washington University (St. Louis) | washu.edu | provost.washu.edu |
Daha Geniş Resim: Kim Gerçekten Sorumlu?
Shakhov bulgusu yapmasaydı, bu durum ne kadar süre daha devam edecekti? Merak etmeyin, muhtemelen daha da uzun. Çünkü - ve bunu sektör içerisinde 10 yılı aşkın süredir gözlemliyorum - üniversitelerin siber güvenlik kültürü genelde güvenlik sektöründen geride kalıyor.
Birçok kurumda güvenlik ekibi, yeterli kaynağa sahip değil. DNS yönetimi genelde bir tür administratöre, belki başka 50 sorumluluktan biri olarak verilir. Hiç kimse "kapalı projelerden 6 ayda bir DNS kayıtlarını temizle" diye bir tatbikat yapmıyor.
İtiraf etmek gerekirse, ben de başlarda bu tür hijacking saldırılarının bu kadar yaygın olduğunu anlamıyordum. Ama Shakhov gibi araştırmacıların bulguları bakıldığında, pattern çok açık.
Okuyucular Olarak Bizim Durumumuz Ne?
Eğer .edu sitelerine güveniyorsanız - ki çoğumuz güveniyoruz - bu bulgu biraz endişe verici. Ama çok kötü olduğu kadar kötü olmayan bir yanı var: En azından şimdi biliyor üniversiteler. Shakhov'un açıklaması yaptığı anda, MIT'den Stanford'a kadar kurumlar DNS kayıtlarını gözden geçirmeye başladı.
Donen dolaplar sabitlenir diye bir söz vardır. Umarız bu durumda da öyle olur.
Hazy Hawk'ın Stratejisi: Neden İşe Yaradı?
Bir saniye dur. Şu noktayı açıklamak lazım: Niye saldırganlar tam da üniversiteleri seçtiler? Cevap basit - güven ve görünürlük. berkeley.edu adresinden gelen bir içerik, sizin güveni kazanıyor otomatik olarak. Google'da rank atıyor çünkü Berkeley yüksek güvenilirlik puanına sahip. Spam filterlerinden kaçıyor.
Saldırganlar "kaynak" arıyor, kullanıcı güvenini kötüye kullanabilecek alan. Üniversite domainleri tam da bunu sağlıyor. Yüzlerce alt alan kalabalıkta kaybolup gidiyor. Google indeksi binlerce sayfayı listelemeye devam ediyor. Kimse fark etmiyor - ta ki Shakhov gibi birisi fark edene kadar.
DNS Yönetiminin Temelleri Neden Hala Bu Kadar Zayıf?
Ben de baslarda anlamamistim niye böyle. Ama sonra fark ettim - DNS yönetimi boring. Seksapel değil. Bir şirketin yöneticileri AI'dan bahsetmek istiyor, blockchain konuşmak istiyor. Eski CNAME kayıtlarını silmek... kim buna para ayırıyor?
Bardagi tasiran damla işte bu. Binlerce ufak DNS hatası, bir anda üniversitelerin isim ve şerefini riskte bırakıyor.
Sıkça Sorulan Sorular
Soru: Bu sadece üniversiteleri mi etkiliyor?
Cevap: Hayır. Shakhov bulgusu üniversitelere odaklanıyor ama teknik olarak DNS yönetimi kötü olan herhangi bir kurumun başına gelebilir. Şirketler, devlet kurumları, hepsi risk altında.
Soru: Benim alan adım da hijack edilebilir mi?
Cevap: Eğer eski alt alanlarınızın CNAME kayıtlarını silmadıysanız, evet. DNS kayıtlarınızı denetlemeyi, özellikle decommissioned (kapatılan) projelerin kayıtlarını silmeyi önerilir.
Soru: Google bu sayfaları niye hala listeliyordu?
Cevap: Çünkü sayfalar resmi .edu domainler altında. Google bu alanları güvenilir buluyor. Yüzlerce alt alan kalabalıkta gizleniyor. Sistem otomatik olarak bunları fark etmiyor.
Kaynak: Ars Technica
