Uzun link iyi linktir

Uzun linkleri rahatça paylaşmak ve twitter gibi metin limitleri az olan mecralarda paylaşmak için URL kısaltıcı hizmetler sıkça kullanılır oldular. Bir de bulut hizmetlerindeki ve GSM bağlantı hızlarındaki artış ile kablolu ya da kablosuz internet bağlantılarına erişimin artması dolayısıyla bulutta veri tutmak için iCloud, OneDrive, Google Drive gibi uygulamalar hayatımızda daha fazla alan kaplamaya başladılar. İşte iki hizmeti birlikte inceleyen iki araştırmacı güzel bir makale hazırlamış.

Cornell Tech (Cornell Üniversitesi’nin teknoloji odaklı kampüsü) araştırmacıları, kısaltılmış linklerle küçük gruplar ya da güvenilen kişilerle paylaşılan çevrimiçi kaynakların anonim kişilerin de erişimine açık olup olmadığıyla ilgili bir araştırma yapmış. Microsoft OneDrive ve Google Drive bulut uygulaması ile harita uygulamalarına yönelik araştırmaları sonucunda ilginç bulgulara ulaşmışlar. Manşetlik olanı da “uzun link iyidir” olmuş.

Bilindiği üzere, link kısaltıcı hizmetler istediğiniz linkleri 6-7 karaktere kadar kısaltıp istediğiniz kişi ya da uygulamalarla paylaşmanıza izin veriyor. Örneğin bit.ly, goo.gl, binged.it, 1drv.ms gibi kısaltma hizmetleri ile web sitesi ya da konum linkleri kısaltılabiliyor. Cornell Tech’teki iki araştırmacı (Martin Georgiev ve Vitaly Shmatikov), bu hizmetleri güvenlik ve gizlilik açısından incelemiş. Hemen baştan söyleyeyim ilk bulguları süper: Bu kısa URL’ler (linkler) o kadar kısa ki tüm olası URL evreni taranabilir durumda ya da diyorlar ki çok büyük bir inceleme kümesi oluşturulabilir. Bir de ekliyorlar: Kısa URL’ler aracılığıyla paylaşılan her kaynak kamuya açık ve dünyanın her yerinde herkes tarafından erişilebilir durumda. Ne kadar güzel iki bulgu, değil mi?

İki araştırmacı, bit.ly’nin sunduğu URL kısaltma hizmetinin çalışma ilkeleri ve yöntemlerini, bit.ly tarafından işletilen OneDrive URL kısaltıcısına yönelik incelemeleri sebebiyle bayağı kurcalamış. Google Drive’ın da kendi URL kısaltıcısı olmadığı için bit.ly ile yapılan kısaltmaları incelemişler. Google Maps, MapQuest ve BingMaps gibi harita uygulamalarında kullanılan kısa URL’leri de sorgulamışlar.

Bulut depolama hizmetlerinde Word, Excel, PowerPoint, PDF, OneNote ve düz metin dosyaları ile görüntü dosyaları (JPEG, PNG vb.) salt okunur veya değiştirilebilir şekilde tutulabiliyor; ayrıca bu dosyalar bulut depolama üzerinden kamusal erişime de açılabiliyor. Harita hizmetleri ve uygulamaları da iki veya daha fazla konum arasındaki güzergâh ya da konum bilgilerinin kişiler arasında paylaşılmasına olanak sağlıyorlar. Bu paylaşım için de çok uzun olan linklerin kısaltılmasına izin veriliyor. Bu linkleri SMS, sosyal medya ya da e-posta ile paylaşabiliyoruz.

Makaleyi hazırlayan iki araştırmacı, bit.ly’nin veri tabanına sorguyla erişerek link taraması yapmışlar. Öncelikle belirtmek gerekir ki bu arkadaşlar, normalde kötü niyetli kişilerin 6 veya 7 karakterden oluşan kısa linklerin hepsine kısa sürede ve kolayca ulaşabileceğini belirtiyorlar. Yani diyorlar ki; link evreni günümüz bilgisayar korsanları için kolayca elde edilebilecek küçüklükte. Bit.ly’nin kısaltması sonucunda oluştuğunu hesapladıkları URL’lerin bir botnet ile bir günde taranabileceğini söylüyorlar. Bu arkadaşlar, OneDrive üzerinde 28.597, Google Drive üzerinde ise 458 adet linke ulaşmışlar. Bu linkler üzerinden ise değiştirilebilir durumda çok sayıda dokümana (metin dosyası veya fotoğraf dosyası gibi) erişim sağlamışlar. Bulut depolama hizmetlerinin otomatik senkronizasyon özelliği çok iyi bir hizmet deseler de bu arkadaşlar, bu özelliğin değiştirilebilir dosyalara anonim erişim nedeniyle güvenlik açığı oluşturduğunu gördüklerini belirtiyorlar. Değiştirilebilir durumdaki bir dosyaya zararlı bir uygulamacık eklenmesi ya da dosyanın zararlı bir uygulamayla değiştirilip sanki aynı dosyaymış izlenimi verilmesi ile birlikte otomatik senkronizasyon sonucunda, bulut depolamadan yararlanan kişilerin ana bilgisayarlarının ele geçirilmesi ya da en azından onlara zarar verilmesi büyük olasılık. Unutmadan ekleyelim: Bulut depolama uygulamalarındaki anti-virüs taramaları ya da güvenlik uygulamaları hızlı ve kolayca atlatılabilecek türden.

Harita uygulamalarındaki kısa linklerde de durum hemen hemen aynı. Linkler yine çok kısa oldukları için link evreni çok ufak ve bütün linklere kötü niyetli kişiler kolayca ulaşabilir durumda. Bu husus, biraz daha kişisel veri veya hassas veriyle alakalı bir durum arz ediyor. Zira araştırmacıların ulaştığı linklerin yaklaşık %10’u güzergâh bilgisi içeriyor. Bu da demek oluyor ki hastane ziyaretleri, tedavi merkezlerine yapılan düzenli gidişler, kürtaj merkezlerine gidiş, kişilerin ne zaman nereye gittiklerini gösteren tüm yön verileri kötü niyetli kişilerin eline geçebilecek durumda. Hatta kısaltılmış URL’ye sahip bu yön tayinleri o kadar detaylı verileri ortaya koyuyor ki kişilerin doğrudan tespit edilmesi bile mümkün diyor bu iki araştırmacı. Yani, kısa linkle paylaşılan ya da kaydedilen yön tayinleri veya güzergâh bilgileri bir kişinin adı ve soyadından tutun da nereye ne zaman gittiğine kadar tüm kişisel ve hassas verileri açığa vuracak imkânlar sunuyor.

Araştırmacılar, bu sorunlu durumlar için de beş öneri getirmiş:

  • URL kısaltıcı hizmetler biraz daha uzun linkler (örneğin 10 karakterden oluşan) sunabilir.
  • URL kısaltıcıların, hizmeti alan kişileri kişisel verilerinin açığa çıkması ihtimaline karşı uyarması düşünülebilir.
  • URL kısaltma hizmetlerinin şirket içi uygulamalar ile yürütülmesi ele alınabilir (bit.ly gibi şirketlere kötü haber tabii).
  • URL kısaltıcıların, link tarama isteklerine karşı daha katı tutum sergilemeleri iyi bir engel olabilir.
  • URL kısaltıcıların daha iyi ve güvenli API tasarımı sahibi olması en önemli ve hızlıca sunulabilecek önlem olabilir.

Bu araştırma gerçekten ilgi çekici ve hap gibi sunulmuş. Kısaca kısa linkleri risklerini de göz önünde bulundurarak ve bulut depolama hizmetlerini kullanırken iki kere göz önünde bulundurarak kullanın anlamını çıkarabiliriz. Sonuç ise basit: Uzun link iyidir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir