Web sitelerinin güvenli olduğunu gösteren sertifikalara dikkat!

Web sitelerinin güvenli olduğunu gösteren sertifikalara dikkat!
İnternet Tahsisli Sayılar ve İsimler Kurumu Teknoloji Üst Yöneticisi Conrad, web sitelerinin güvenli olduğunu gösteren güvenlik sertifikalarının kullanışsız hale geldiğini belirtti.

İnternet Tahsisli Sayılar ve İsimler Kurumu (ICANN) Teknoloji Üst Yöneticisi (CTO) David Conrad, web sitelerinin güvenli olduğunu gösteren güvenlik sertifikalarının günümüzde kullanışsız hale geldiğini belirterek, "Alan adı satın alan herkes bu sertifikaları da satın alabiliyor ve sitesini güvenilir olarak kullanıcılara sunabiliyor. Güvenlik sertifikalarına tamamen güvenebilmek için sertifikaların uygun ve güvenilir bir otorite tarafından verildiği konusunda dikkatli olmak gerekiyor." dedi.

Conrad, kurum olarak alan adı sistemi (DNS) olarak bilinen benzersiz tanımlayıcıların işlevsel bir şekilde çalışmasında bir sekretarya görevi gördüklerini söyledi.

Alan adlarının arka planında çeşitli rakamlardan oluşan IP adreslerinin bulunduğuna işaret eden Conrad, "Bilgisayarlar isimlerden daha çok rakamlarla ve standartlara uygun çeşitli protokollerle anlaşmayı tercih ediyor. Bu standartlar sayesinde bilgisayarlar internette birbirleriyle iletişim sağlayabiliyor. ICANN'in görevi bu iletişimi sağlayan alan adı standartlarını stabil ve güvenli kılmak ve bu sistemin interneti destekleyebilmesini sağlamak." dedi.

Conrad, ICANN'in dünyanın her yerinde farklı organizasyonlardan çok sayıda katılımcının bulunduğu çok uluslu bir yapıya sahip olduğunu vurgulayarak, "ICANN topluluğu olarak Devlet Danışma Komitesi olarak bilinen bir yapıya sahibiz. Bu komite 178 ülkeden katılımcıya sahip. ICANN'in kendi bünyesinde 35 ülkede 53 farklı dilde hizmet veren 400 civarı çalışan bulunuyor." dedi.

"E-POSTALARA DİKKAT"

David Conrad, bir siber saldırı yöntemi olan phishing'in (oltalama), alan adlarının suistimalini içermesi bakımından takip ettikleri bir yöntem olduğunu, yöntemin çoğunlukla e-posta aracılığıyla uygulandığını bildirdi.

Conrad, bu yöntemle saldırganlar tarafından milyonlarca e-posta mesajı gönderildiğini ve bu mesajın içeriğindeki linke kullanıcıların tıklamasının hedeflendiğini aktararak, şunları kaydetti:

"Kullanıcı, bu linkte tıkladığında bir bankanın ya da farklı bir kurumun internet sitesiymiş gibi tasarlanan tuzak sitelere yönlendiriliyor. Buna ek olarak daha sinsi yöntemler de mevcut. Örneğin, benim Türkiye'de olduğumu bilen bir saldırgan, bana seyahat acentesinden uçuşlarımla ilgili yönlendirmelerde bulunan bir e-posta göndererek beni hedef alabiliyor.

Kullanıcılar, bir web sitesinin güvenli olduğunu adres çubuğunda yer alan kilit sembolünden, yani güvenlik sertifikasından anlayabiliyordu. Web sitelerinin güvenli olduğunu gösteren güvenlik sertifikaları günümüzde kullanışsız hale geldi. Çünkü alan adı satın alan herkes, yanında bu sertifikaları da satın alabiliyor ve sitesini güvenilir olarak kullanıcılara sunabiliyor. Güvenlik sertifikalarına tamamen güvenebilmek için sertifikaların uygun ve güvenilir bir otorite tarafından verildiği konusunda dikkatli olmak gerekiyor."