Pek çok kişi muhtemelen devlet kurum ve kuruluşları için tahsis edilebilen .gov uzantılı alan adlarına sahip bağlantılara ve e-postalara güvenebileceklerine inanıyor ya da söz konusu alan adını almanın diğerlerine göre çok daha zor olduğu varsayıyor; ancak yakın tarihli bir deneyim, bu güvenin ciddi biçimde hatalı olduğunu ve herhangi birinin kendi .gov uzantılı alan adını kolayca alabileceğini gözler önüne seriyor.
Bu ayın başlarında KrebsOnSecurity şirketi, bir siber güvenlik araştırmacısından bir belediye başkanının ismini kullanarak .gov uzantısı için sahte bir başvuruda bulunmasını istedi. İsminin gizli kalmasını isteyen araştırmacı, bunun için sahte bir Google Voice numarası ve Gmail hesabı kullandığını söylerken, gerçek olan tek şeyin belediye başkanının adı olduğunu belirtti.
Aşağıdaki ekran görüntüsünde .gov uzantısının başvuru sayfasını görüyorsunuz:
Başvurusu sırasında resmi bir yetkilendirme formu doldurduğunu ve Google’dan aratılarak kolayca bulunabilecek bir belgeyi antetli kağıt üzerine bastığını ifade eden araştırmacı, daha sonra bunu postayla veya faksla karşı tarafa gönderdiğini söyledi.
Kısa süre sonra ise kendisine ve yetkilendirdiği kişilere .gov uzantısıyla hesap oluşturmak için bağlantı gönderildiğini dile getiren araştırmacı, “Bu yaptığım şeyi çoğunlukla bir düşünce deneyi olarak gerçekleştirdim. Asla yasal olduğunu söylemedim. Sadece ne kadar kolay olduğunu göstermek istedim. En azından kimlik doğrulamasının olacağını tahmin ettim; ancak bu bile yoktu” şeklinde konuştu.
KrebsOnSecurity, .gov alan adına yönelik başvuruları yönetmekten sorumlu olan ABD Genel Hizmetler İdaresi’nden (General Services Administration - GSA) birisinin 24 Kasım’da belediye başkanını aradığını söyledi. Fakat bu, sahte alan adı başvurusu kuruma ulaştıktan dört gün sonra ve GSA'nın sahte isteği kabul etmesinden yaklaşık 10 gün sonra gerçekleşti.
Alan adı uzmanı John Levine’a göre, belediyeler ve devlet kurumları adına alınan sahte .gov uzantılı internet siteleri ve e-posta adresleri, ikna edici bir şekilde sahtecilik yapmanın yanı sıra, bir eyalet seçiminin kaderini dahi değiştirebilir.
ABD İç Güvenlik Bakanlığı'nın (DHS) bir bölümü olan Siber Güvenlik ve Altyapı Ajansı'ndan bir yetkili, .gov uzantısının güvenliği ve bütünlüğünü korumanın çok kritik olduğunu belirtti. Söz konusu uzantının ülke genelinde binlerce devlet kuruluşu için hassas bir altyapı olduğunu ifade eden yetkili, ABD merkezli tüm devlet kuruluşlarının güvenliğini artırmak için .gov’a yönelik kayıt sürecinin DHS’ye devredilebileceğini aktardı.
