Beyaz Şapka Ağustos 2017 - Page 26

Mert Sarıca mert.sarica@gmail.com Tehdit Avı Bazen bir zararlı yazılımı konu alan blog yazısı yazdıktan sonra peki sen olsan bunu nasıl tespit edebilirdin diye kendi kendime soruyorum ve arka planda aklımı kurcalayan,yanıtlanmayı bekleyen bu soru ile ilgili bir süreç istemsiz olarak başlamış oluyor. Bu süreç tamamlandığında, soru yanıtlandığında ise şekil 1-A’da görüleceği üzere ortaya yeni bir blog yazısı çıkı vermiş oluyor. Aralık 2016’nın blog yazısı olan They PWN Houses! yazısını yazdıktan sonra peki bu art niyetli kişiler devlet sitelerini hedef alıyorlar vesayfaya zararlı JavaScript kodu enjekte ediyorlar ise bunu tespit etmek pratikte ne kadar zor olabilir sorusuna yanıt aramaya başladım. İ lk iş olarak Google, Bing gibi arama motorlarından faydalanarak devlet sitelerimizin (.gov.tr uzantılı) alan adlarına arama motorlarının APIle- ri üzerinden ulaşmaya çalışsamda, mevcut kısıtlarından dolayı başarılı olamadım. Keşke elimin altında OpenDNS servisine yapılan DNS istekleri olsaydı da oradan listeyi çıkarabilirdim diye çaresizce hayal kurarken aklı- ma OpenDNS’in muadili olan Roksit geldi ve kendileri ile iletişime geçerek yapmış olduğum güvenlik araştırması ile ilgili olarak bu konuda destek is- temeye karar verdim. Sağolsunlar niyetimin iyi olduğunu anladıktan sonra her ne kadar tamamı olmasa da aklımdaki fikri pratiğe dökebileceğim ka- dar gov.tr uzantılı alan adlarının listesini (~8000 tane) benimle paylaştılar. 26