Mert Sarıca
[email protected]
Tehdit Avı
Bazen bir zararlı yazılımı konu alan blog yazısı yazdıktan sonra peki sen olsan bunu nasıl tespit
edebilirdin diye kendi kendime soruyorum ve arka planda aklımı kurcalayan,yanıtlanmayı bekleyen
bu soru ile ilgili bir süreç istemsiz olarak başlamış oluyor. Bu süreç tamamlandığında, soru
yanıtlandığında ise şekil 1-A’da görüleceği üzere ortaya yeni bir blog yazısı çıkı vermiş oluyor. Aralık
2016’nın blog yazısı olan They PWN Houses! yazısını yazdıktan sonra peki bu art niyetli kişiler devlet
sitelerini hedef alıyorlar vesayfaya zararlı JavaScript kodu enjekte ediyorlar ise bunu tespit etmek
pratikte ne kadar zor olabilir sorusuna yanıt aramaya başladım.
İ
lk iş olarak Google, Bing gibi arama motorlarından faydalanarak devlet
sitelerimizin (.gov.tr uzantılı) alan adlarına arama motorlarının APIle-
ri üzerinden ulaşmaya çalışsamda, mevcut kısıtlarından dolayı başarılı
olamadım. Keşke elimin altında OpenDNS servisine yapılan DNS istekleri
olsaydı da oradan listeyi çıkarabilirdim diye çaresizce hayal kurarken aklı-
ma OpenDNS’in muadili olan Roksit geldi ve kendileri ile iletişime geçerek
yapmış olduğum güvenlik araştırması ile ilgili olarak bu konuda destek is-
temeye karar verdim. Sağolsunlar niyetimin iyi olduğunu anladıktan sonra
her ne kadar tamamı olmasa da aklımdaki fikri pratiğe dökebileceğim ka-
dar gov.tr uzantılı alan adlarının listesini (~8000 tane) benimle paylaştılar.
26