Lostar Blog - Lostar Bilgi Güvenliği

Penetrasyon (pentest) terimi, İngilizce “Penetration Test” kavramının kısaltması ve Türkçe karşılığı Sızma Testi’dir. Penetrasyon Testi; firmaların bilişim sistemlerini oluşturan altyapı, donanım, yazılım ve uygulama gibi bileşenlere bir saldırganın izlemesi öngörülen teknikler kullanılarak yapılan saldırı ve müdahaleler sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanımıyla ilgili sistemlere sızılması, tespit edilen zafiyetlerin nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır.

Birçok kurum güvenlik sistemlerini ve bu sistemler ile ilişkin protokollerini düzenli olarak test ederler. Siber güvenlikte diğer birçok yapıyla beraber kırmızı takım ve mavi takımdan da sıklıkla bahsedilir. Bu iki takım ile beraber yakın zamanlarda mor takımdan da bahsedilir oldu. Saldırılara karşı güvenliği sağlayacak yapılanmayı oluşturmadan önce, bu takımların kimlerden oluştuklarını, güvenliği sağlamak için hangi araçları kullandıklarını bilmek doğru yapıyı oluşturmakta yardımcı olacaktır.

LLMNR saldırıları oldukça bilinen bir araç olan Responder.py ile yapılabilir. Bu saldırılar, tüm ağı zehirler ve cevap olarak bu zafiyete yakalanan sunucu ve istemcilerin kullanıcı Hash değerini (şifrenin kripto edilmiş halini) yakalar.

Penetrasyon testi yapan ve yaptıran firmaların sistem yöneticileri bilirler ki aşağıdaki gibi bir hash değeri yakalandığında ciddi bir bulgu olarak sayılır. Ancak bu bulgu biraz daha ciddi hale getirilip kritik seviyeye çekilebilir.

Kişisel Verilerin Korunması Kanunu bağlı mevzuatından olan;

• “Veri Sorumluları Sicili Hakkında Yönetmelik”,
• “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve
• “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”inde

Yapılan değişiklikler 28.04.2019 tarih ve 30758 sayılı Resmi Gazete’de yayımlanmıştır.

Bir çoğumuzun bildiği gibi, BDDK 25 Aralık 2018 tarihinde BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK TASLAĞI isimli bir taslak doküman dahilinde; Siber Güvenlik Farkındalığı Artırma Programı’na dair bilgiler yayımladı.

Bu ay sonu itibariyle son haline getirilecek dokümanın taslak metnine linkten ulaşabilirsiniz.

Güven Damgası nedir?

Elektronik Ticarette Güven Damgası Hakkında Tebliğ’de, Güven Damgası başvurusunda bulunan e-ticaret sitesinin sızma testi yaptırması gerektiğine ilişkin bir madde bulunmaktadır. Bu maddede güven damgası başvurusunda bulunmadan en fazla üç̧ ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alması ve bu önlemleri aldığına ilişkin doğrulama testi yaptırması gerektiğine ifade edilmektedir. (more…)

Ne kadar Hazırsınız?

Paydaşların ticari faaliyetlerinin daha güvenli ortamlarda gerçekleştirilmesinin amaçlandığı SPK Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği 05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanarak yayım tarihi itibari ile yürürlüğe girmiştir.

SPK Bilgi Sistemleri Yönetim Tebliği uyarınca kapsamdaki Kurum, Kuruluş ve Ortakların yerine getirmesi gereken temel hususlar:

• Bilgi sistemlerinin yönetiminin oluşturulması ve hayata geçirilmesi,
• Bilgi sistemlerinin yönetimine ilişkin politika, süreç ve prosedürlerin tesisi,
• Bilgi sistemleri risk yönetiminin gerçekleştirilmesi,
• Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi,
• Üst yönetimin kaynak tahsisi, gözetimi ve sorumluluğu ve
• Belli periyotlarda sızma testleri yapılmasıdır.

(more…)

1960’ların sonlarından başlayarak bilginin ya da yazılı mesajların elektronik yoldan iletişimi hayatın bir parçası olmaya başlamıştı ama bunu pek hatırlayanımız çıkacağını zannetmiyorum. Zira bu ilk dönemdeki iletişim daha çok kurum içi ya da en fazla birkaç kurum arasında kurulan, günümüz şartları ile karşılaştırıldığında “Ağ” (Network) olarak adlandırmanın bile zor olacağı küçük kümelerde yapılabiliyordu. 1970’lere gelindiğinde ise işin rengi yavaş yavaş değişmeye başlamıştı. 1973-74 yıllarında Amerikan Gelişmiş Savunma Projeleri Araştırma Ajansı (DARPA) çalışanlarından Robert E. Kahn ve Vinton Cerf’in [1]ortaya çıkardığı bir protokoller bütünü olan ve kısaca TCP / IP (İletişim Kontrol Protokolü / Internet Protokolü) olarak adlandırılan bir model bir anda iletişimin boyutunu bütün dünyayı kapsayacak gerçek bir “Ağ” seviyesine taşıyarak bugün bildiğimiz ve kullandığımız şekli ile internetin temellerini attığında aynı zamanda yeni bir çağın da başlangıcını belirlemiş oldular. (more…)

Güvenlik araştırmacıları, hemen hemen tüm CPU‘larda bulunan iki önemli açıkla ilgili resmi belgeleri (takma adlar ve logolarla birlikte) yayınladılar.  İşlemcilerde bulunan donanımsal bir açık ya da Word, Chrome gibi uygulamalarda karşılaşabileceğiniz düz bir yazılım hatası değil. Güvenlik açıkları, işlemci mimarisi seviyesinde.

Modern işlemci mimarilerinde, verilerin ham ve şifrelenmemiş biçimde geçebileceği dokunulmaz alanlar vardır. Örneğin; çekirdek içinde, mimarideki en merkezi yazılım biriminde veya diğer uygulamalardan dikkatle ayrılan sistem belleğinde. Verilere diğer işlemler ve uygulamalar tarafından müdahale edilmesini ve hatta bu verilerin gözlemlenmesini önlemek için güçlü korumalar bulunmaktadır. Meltdown ve Spectre bu korumaları atlatarak, bilgisayarın işlediği parolalar, hassas bilgiler veya şifrelenmiş iletişimler gibi neredeyse tüm verileri açığa çıkaran iki tekniktir. (more…)

Siber güvenlik uzmanları, akıllı telefon kullanıcılarını hacker’ların telefonlarındaki kişisel bilgilere erişimini sağlayacak sahte uygulamaları indirmemeleri konusunda uyarıyor. Eylül ayında hackerlar, Google Play Store‘ da “doppelgangers” olarak da bilinen birçok kötü amaçlı uygulama geliştirdiler; bu sahte uygulamalar yaygın kullanılan gerçek uygulamaları taklit ediyordu.

(more…)