|
VeriSign Kayıt Operatörü Kilidi
VeriSign “.com” ve “.net” uzantılı alan adlarının dünya üzerindeki tek Kayıt Operatörüdür (Registry). ICANN tarafından akredite edilmiş bütün “Kayıt Otoriteleri” (Registrar) “.com” ve “.net” uzatılı alan adlarını VeriSign üzerinden satın alarak son kullanıcılara ulaştırırlar.
Kurumların sahip oldukları alan adlarının gün geçtikçe artan marka ve ekonomik değerinin yanısıra, alan adları günümüzde, kurumlar için iletişim, paylaşım, iş sürekliliği ve erişilebilirlik açısından kritik bir önem arzetmektedir.
Alan adları üstlendikleri bu kritik sorumluluğa rağmen, aynı zamanda kurumların güvenlik zincirindeki en zayıf halka olarak nitelendirilmektedir. Bunun en büyük nedeni alan adı kayıt organizasyonunun doğası gereği, kuruma ait olan alan adı portfoyünün, herzaman kurumun güvenlik çemberinin dışında kalmasıdır.
Kurumun sahip olduğu bütün alan adı portföyü, kuruma alan adı tescil servisi sağlayan kayıt otoritesinin tarafından barındırılır ve yönetilir. Bu zorunlu iş modeli yüzünden kuruma ait olan alan adlarının güvenliği, hizmet alınan kayıt otoritesinin uyguladığı güvenlik politikaları ile sınırlıdır.
Alan adı organizasyonundaki bir diğer zayıf nokta ise alan adlarının mülki haklarının esasen alan adı yöneticisi olan kişilere, hatta bu kişilerin eposta adreslerine bağlanmış olmasıdır. Alan adı yöneticisi olarak atanan kişinin eposta sistemine oluşabilecek bir zaafiyet yada bu kişiye odaklı diğer olası senaryolar kurumun alan adı portföyünü tehtid edebilmektedir.
Kurumların alan adlarının bu savunmasız konumu, ardında "Rant", "Şantaj", "Ticari Rekabet", "İntikam" gibi motivasyonları barındıran saldırılara maruz kalmalarına neden olabilmektedir. Saldırganlar sosyal mühendislik teknikleri, kimlik hırsızlığı ve diğer olası güvenlik açıklarından istifade ederek kolayca alan adlarını gasp edebilmektedirler.
Çözüm
2008 yılı itibarı ile yeniden ivme kazanan alan adı gasp davaları sebebi ile 25 Haziran 2009 tarihinde VeriSign ICANN kurultayına alan adı gaspının engellenmesi için iki aşamalı çözüm önerisi sunmuştur. Bu önerilerden ilki olan "Kayıt Operatörü Kilidi" ICANN tarafından benimsenerek 10 Temmuz 2009 tarhinde yürürlüğe konmuş, ikinci güvenlik katmanı önerisi olan "İki Faktörlü Kimlik Deneten Kayıt Otoritesi" için ise kurultay, pilot proje başlatılmasını uygun bulmuştur.
VeriSign Türkiye distribütörü ve ICANN Akredite Kayıt Otoritesi olan IHS Telekom , 1 Eylül 2009 tarihi itibarı ile VeriSign "Kayıt Operatörü Kilidi" ve "İki Faktörlü Kimlik Deneten Kayıt Otoritesi" akreditasyonlarına haiz dünyadaki 12 Kayıt Otoritesiden biridir.
Kayıt Operatörü Kilidi Nasıl Bir Güvenlik Katmanı Sağlar?
"Kayıt Operatörü Kilidi" olası bütün felaket senaryolarına karşı koruma sağlar. Alan adının transfer şifresi bilinse dahi başka bir Kayıt Otoritesine transfer edilebilmesi mümkün değildir. Yönetim paneli tamamen saldırganlar tarafından ele geçirilse dahi , alan adının NS bilgilerinin değiştirilebilmesi, yani DNS çözümlemesinin değiştirilebilmesi mümkün değildir.
Kayıt Operatörü Kilidi Nasıl Çalışır?
VeriSign Kayıt Operatörü Kilidi, tamamen otomasyonlara bağlı mevcut alan adı organizasyonunun aksine, ıslak imzaya ve insan faktörüne dayalı bir güvenlik katmanıdır. Bir alan adı "Kayıt Operatörü Kilidi" ile kilitlendiğinde, kilidin açılabilmesi için; kurumun yetkilendirmiş olduğu 3 kişiden (maksimum 5 kişi) en az 2 kişi ıslak imzalı dilekçe ile başvuru yapar. Başvuruyu takiben yetkililer geri aranarak kimlik ve parola teyidi yapılır ve kilit açılır.
|
