URL Kısaltıcıları / QR Kodları

OUCH! | Haziran 2013
BU SAYIDA...
• URL Kavramı
• URL Kısaltıcıları
• QR Kodları
URL Kısaltıcıları / QR Kodları
Giriş
Dilimizde Birörnek Kaynak Konumlayıcı kavramının
açılımı yerine daha yaygın olarak ingilizce kısaltması
olan
URL
Konumlayıcı
kullanılmaktadır.
(URL)
Birörnek
Kaynak
http://www.google.com
gibi
internet sitesi adresleri için kullanılan imgesel bir
isimden ibarettir. Bir URL, bir internet sayfası ya
da sitesinin ziyaret etmek istediğinizde yazdığınız
Konuk Editör
Dr. Eric Cole alanında tanınmış bir güvenlik uzmanıdır.
Advanced Persistent Threat, Hackers Beware ve
Network Security Bible kitapları da dahil birçok kitabın
yazarıdır. Ayrıca Dr. Cole, Secure Anchor Consulting
şirketinin kurucusu, SANS kadrosu öğretim üyesi ve ders
dizisi yazarıdır.
isimdir. Bir URL’i internet tarayıcınıza yazdığınızda
tarayıcınız bu ismi, bu sitenin internette nerede bulunduğunu gösteren bir IP adresine çevirir. Daha sonra
tarayıcınız bu internet sitesine bağlanır ve görüntülemek için sayfayı tarayıcınıza indirir. Buradaki problem, siber
suçluların URL’ler ile çeşitli şekillerde sizi kandırabilmesidir. Siz yasal bir siteyi ziyaret ettiğinizi düşünürken siber
suçlular tarafından yönetilen büyük ihtimalle kişisel bilgilerinizi çalmak veya internet tarayıcınızı ele geçirerek
bilgisayarınıza virüs bulaştırmak için tasarlanmış farklı sitelere yönlendirilebilirsiniz. Nereye yönlendirildiğinizi
düşündüğünüz ile gerçekten nereye yönlendirildiğiniz tamamen farklı olabilir. Şimdi URL’lerin nasıl çalıştığını,
yaygın olan çeşitli URL saldırılarını inceleyelim ve bunlardan nasıl korunabileceğinize bakalım.
URL Kavramı
URL sadece üç parçadan oluşan bir hedeftir. İlk parça internet sitesine nasıl bağlanacağınızı gösteren protokoldür.
Bu protokol, genelde HTTP (düz metin) ya da HTTPS (şifreli bağlantı) şeklindedir. İkinci parça, görüntülemek
istediğiniz internet sitesi olan alan adıdır. Üçüncü ve son kısım ise internet sitesinde ziyaret etmek istediğiniz
hedef sayfadır. Örnek bir URL’i inceleyelim.
https://www.securingthehuman.org/ouch
Bu URL, şifreli bir bağlantıyı temsil eden HTTPS ile başlıyor. İkinci parça, bağlantıya tıkladığınızda ziyaret
edeceğiniz internet sitesi www.securingthehuman.org ile devam ediyor. En son kısım “/” ile başlayarak internet
sitesinin hangi sayfasını ziyaret edeceğinizi gösteriyor. Bu örnekte ilk önce Securing The Human internet
sitesine gideceksiniz, daha sonra en yeni OUCH sayfasına yönlendirileceksiniz. Burada sorgulanması gereken
OUCH! | Haziran 2013
URL Kısaltıcıları / QR Kodları
en önemli kısım alan adı yani URL’in ikinci kısmıdır.
Bu kısım gerçekten sizin ziyaret etmek istediğiniz
internet sitesi midir? Şimdi kötü niyetli kişilerin sizi
nasıl
kandırdığını ve onların kontrol ettiği internet
sitelerine nasıl yönlendirebildiğini görelim.
URL Kısaltıcılar
Çok uzun ve karmaşık bir URL’i, basit ve kısa bir URL
haline getiren bir servis olan URL kısaltıcıları büyük
bir olasılıkla daha önce görmüşsünüzdür. Bu sayede
e-postalarda olduğu gibi uzun ya da karmaşık URL’ler
ile bağlantı kurmak kolaylaşmaktadır. Ayrıca bu servis,
karakter sayısının kısıtlı olduğu
yerlerde, örneğin
Twitter ya da yazılı mesajlarda da kullanılmaktadır.
URL kısaltıcı servislerine örnek olarak tinyurl.com, bit.
ly ya da goo.gl verilebilir. Kısaltılmış URL’lerdeki risk,
Güvende olmak için
bağlantıları tıklamadan önce
URL kısaltıcıların ya da QR
kodlarının sizi doğru adrese
yönlendirdiğinden emin olun.
onları tıkladığınızda gerçek hedefi görememenizdir.
Böyle olunca da saldırganlar, sizi onların kontrolündeki
internet sitelerine
yönlendiren kısaltılmış URL’ler
gönderebilmektedir.
Kendinizi korumanın yollarından bir tanesi, kısaltılmış bağlantıyı tıklamadan önce doğrulamaktır. Birçok internet
sitesi, kısatılmış URL’in kopyalanıp yapıştırılarak gerçek hedefini öğrenebilme olanağı sağlayan servisler
sunmaktadır (örnekler için Kaynaklar başlığına bakınız). Buna ek olarak, bazı URL kısaltıcılar gerçek hedef
adresini önizleme seçeneği sunar. Örneğin, eğer bir bit.ly URL’iniz varsa URL’in sonuna “+” ekleyerek gerçek
hedef adresini görebilirsiniz.
http://bit.ly/10hVtvV+
QR Kodları
QR kodu, akıllı telefonlarınız için tasarlanmış olup URL kısaltıcı kavramına benzer ve bir URL’i, sayısal görüntüye
çevirir. Mobil cihazlarınızda özel bir uygulama kullanarak QR kodunun fotoğrafını çekebilirsiniz. Daha sonra bu
uygulama QR kodunda gömülü olan internet sitesini mobil cihazınızda yüklü olan internet tarayıcısında açar.
Böylece URL kısaltıcılar için geçerli olan aynı riske girersiniz, aslında QR koduna güvenirsiniz ancak sizi nereye
götüreceğini bilemezsiniz. Örneğin, bir tren istasyonunda ya da havaalanında olduğunuzu ve yeni bir filmin
posterini gördüğünüzü düşünelim. Akıllı telefonunuz ile QR kodunu okuduğunuzda poster sizi tanıtım filmine
OUCH! | Haziran 2013
URL Kısaltıcıları / QR Kodları
yönlendirir. Poster büyük ihtimalle yasal ve kurallara uygun olmasına rağmen herhangi bir kötü niyetli kişi kolayca
postere yaklaşarak kendisinin oluşturduğu yeni bir QR kodunu içeren bir çıkartma yapıştırabilir. Bu zamandan
sonra bu QR kodunu okuyan herhangi bir cihaz, tanıtım filmi yerine saldırgan tarafından kontrol edilen bir internet
sitesine yönlendirilir.
URL kısaltıcılarda olduğu gibi ilk önce hedef adresi doğrulayın. QR kod okuyucu uygulamanızın, sizi nereye
götüreceğini gösterdikten sonra bu siteyi ziyaret edip etmeme opsiyonunu sunan bir özelliği desteklediğinden
emin olun. Eğer QR kod okuyucu uygulamanız hedef bağlantıyı önizleme özelliği sunmuyorsa yeni bir uygulama
yükleyin, çünkü çok fazla bedava seçeneğiniz var.
Daha Fazla Bilgi İçin
Aylık OUCH! güvenlik farkındalığı bültenine üye olun, OUCH! arşivlerine erişin ve http://www.securingthehuman.org
adresini ziyaret ederek SANS güvenlik farkındalığı çözümleri hakkında daha fazla bilgi edinin.
Türkçe Çevirisi
Selma Süloğlu, ODTÜ Bilgisayar Mühendisliğinde doktora yapmakta olup SOSoft Bilişim Teknolojilerinde
biyometrik güvenlik sistemleri üzerinde çalışmaktadır.
Sema Yüce, Türkiye’nin önde gelen kurumsal şirketlerinde ve özellikle bilişim, telekomünikasyon, sanayi,
perakendecilik gibi sektörlerde; bilgi güvenliği, iş sürekliliği, risk yönetimi, altyapı hizmetleri, yazılım geliştirme ve
proje yönetimi alanlarında yönetici ve danışman olarak 15 yılı aşkın süredir görev yapmaktadır.
Kaynaklar
QR kodu: http://en.wikipedia.org/wiki/QR_code
Unfurlur: http://unfurlr.com/
URL X-ray: http://urlxray.com/
Genel Güvenlik Terimleri: http://preview.tinyurl.com/6wkpae5
SANS Günün Güvenlik İpucu: http://preview.tinyurl.com/6s2wrkp
OUCH!, SANS Securing The Human Programı tarafından yayınlanır ve Creative Commons BY-NC-ND 3.0 lisansı altında dağıtılır.
Bülteni değiştirmediğiniz sürece, bu bülteni dağıtabilir ya da kendi farkındalık programlarınızda kullanabilirsiniz. Çeviri ya da daha fazla
bilgi için, lütfen [email protected] e-posta adresini kullanarak iletişime geçiniz.
Yayın Kurulu : Bill Wyman, Walt Scrivens, Phil Hoffman, Bob Rudis