Lostar Blog - Lostar Bilgi Güvenliği

Ne kadar Hazırsınız?

Paydaşların ticari faaliyetlerinin daha güvenli ortamlarda gerçekleştirilmesinin amaçlandığı SPK Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği 05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanarak yayım tarihi itibari ile yürürlüğe girmiştir.

SPK Bilgi Sistemleri Yönetim Tebliği uyarınca kapsamdaki Kurum, Kuruluş ve Ortakların yerine getirmesi gereken temel hususlar:

• Bilgi sistemlerinin yönetiminin oluşturulması ve hayata geçirilmesi,
• Bilgi sistemlerinin yönetimine ilişkin politika, süreç ve prosedürlerin tesisi,
• Bilgi sistemleri risk yönetiminin gerçekleştirilmesi,
• Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi,
• Üst yönetimin kaynak tahsisi, gözetimi ve sorumluluğu ve
• Belli periyotlarda sızma testleri yapılmasıdır.

(more…)

1960’ların sonlarından başlayarak bilginin ya da yazılı mesajların elektronik yoldan iletişimi hayatın bir parçası olmaya başlamıştı ama bunu pek hatırlayanımız çıkacağını zannetmiyorum. Zira bu ilk dönemdeki iletişim daha çok kurum içi ya da en fazla birkaç kurum arasında kurulan, günümüz şartları ile karşılaştırıldığında “Ağ” (Network) olarak adlandırmanın bile zor olacağı küçük kümelerde yapılabiliyordu. 1970’lere gelindiğinde ise işin rengi yavaş yavaş değişmeye başlamıştı. 1973-74 yıllarında Amerikan Gelişmiş Savunma Projeleri Araştırma Ajansı (DARPA) çalışanlarından Robert E. Kahn ve Vinton Cerf’in [1]ortaya çıkardığı bir protokoller bütünü olan ve kısaca TCP / IP (İletişim Kontrol Protokolü / Internet Protokolü) olarak adlandırılan bir model bir anda iletişimin boyutunu bütün dünyayı kapsayacak gerçek bir “Ağ” seviyesine taşıyarak bugün bildiğimiz ve kullandığımız şekli ile internetin temellerini attığında aynı zamanda yeni bir çağın da başlangıcını belirlemiş oldular. (more…)

Güvenlik araştırmacıları, hemen hemen tüm CPU‘larda bulunan iki önemli açıkla ilgili resmi belgeleri (takma adlar ve logolarla birlikte) yayınladılar.  İşlemcilerde bulunan donanımsal bir açık ya da Word, Chrome gibi uygulamalarda karşılaşabileceğiniz düz bir yazılım hatası değil. Güvenlik açıkları, işlemci mimarisi seviyesinde.

Modern işlemci mimarilerinde, verilerin ham ve şifrelenmemiş biçimde geçebileceği dokunulmaz alanlar vardır. Örneğin; çekirdek içinde, mimarideki en merkezi yazılım biriminde veya diğer uygulamalardan dikkatle ayrılan sistem belleğinde. Verilere diğer işlemler ve uygulamalar tarafından müdahale edilmesini ve hatta bu verilerin gözlemlenmesini önlemek için güçlü korumalar bulunmaktadır. Meltdown ve Spectre bu korumaları atlatarak, bilgisayarın işlediği parolalar, hassas bilgiler veya şifrelenmiş iletişimler gibi neredeyse tüm verileri açığa çıkaran iki tekniktir. (more…)

Siber güvenlik uzmanları, akıllı telefon kullanıcılarını hacker’ların telefonlarındaki kişisel bilgilere erişimini sağlayacak sahte uygulamaları indirmemeleri konusunda uyarıyor. Eylül ayında hackerlar, Google Play Store‘ da “doppelgangers” olarak da bilinen birçok kötü amaçlı uygulama geliştirdiler; bu sahte uygulamalar yaygın kullanılan gerçek uygulamaları taklit ediyordu.

(more…)

Siber suçlulardan bizleri koruyan WiFi güvenliğini sağlayan WPA2 şifreleme protokolü kırıldı. KU Leuven üniversitesinde doktora çalışması yürüten Mathy Vanhoef, günümüzde üretilen ve son 13 yıldır var olan hemen hemen tüm modemlerde kullanılan WPA2 şifreleme protokolünde bulduğu zafiyeti duyurdu.
BKNZ: https://www.krackattacks.com/

İyi haber ise bu zafiyet yazılım güncellemesiyle kapatılabiliyor olmasıdır. WiFi yayın yapan ve WPA2 şifreleme protokolünü kullanan tüm modemlerinizin güncellemelerini kontrol etmek gerekmektedir. Vanhoef, bu zafiyeti üreticilere temmuz ayında bildirdiğini belirtiyor. Saldırılardan endişelenmesi gereken yerler şirketler ve devlet kurumlarıdır.

(more…)

Çek Cumhuriyeti Masaryk Üniversitesi’ndeki Kriptografi ve Güvenlik Araştırma Merkezi’nden Slovak ve Çek güvenlik araştırmacıları tarafından Infineon Technologies tarafından geliştirilen bir kod kütüphanesinin içerdiği bir hata nedeniyle RSA anahtar üretiminin uygulanmasında “ROCA” olarak adlandırılan bir güvenlik açığı keşfedildi. Açıklıktan etkilenen şifreleme anahtarları, donanım çipleri, kimlik doğrulama tokenları, yazılım paketleri, elektronik belgeler, TLS / HTTPS anahtarları ve PGP gibi birçok teknolojiyi güvence altına almak için kullanılıyor. Infineon Technologies’in akıllı kartları, güvenlik tokenları ve 2012 yılından beri üretilen güvenli donanım yongaları etkilenen kod kitaplığını kullanıyor. Bu güvenlik açığından yararlanmak isteyen bir saldırgan pratik bir zaman diliminde asal çarpanlara ayırma yöntemini kullanarak genel anahtardan bir özel anahtarı türetebilir.

(more…)

Etkilenen sistemler:

• Domain Controller
• Dosya sunucuları
• Email sunucuları

(more…)

Ortadoğu’da diplomatik münakaşalar çok da az denemez; ama Katar ve bazı Arap komşuları arasında bu yaz başlayan gerilim türüne az rastlanır cinsten denilebilir. İlk defa büyük bir jeopolitik kriz hacker’lar tarafından tetiklendi ayrıca ilk kez sahte bir haber neredeyse fiziki bir çatışmaya sebep olacaktı. Bilindiği kadarıyla sahte haberin hedef kitlesi bir kişiydi: ABD Başkanı Donald Trump.  Quartz’a verilen röportaj ve belgelerde Katar hükümeti, krize neden olan olayların tasvirini ilk kez ayrıntılı olarak açıkladı. (more…)

Film yapımı büyük bir mesele, IP’yi korumak ise daha da büyük ve önemli. Bilgi güvenliği açıklarından kaynaklanan sızdırmalar, bugünün dijital dünyasında oldukça yaygın. Hepimiz eğlence sektöründeki şirketlerin kendi içeriklerinin bazılarını ya da tamamını kasıtlı sızdırdığını duymuşuzdur. Bu stratejideki hedef ortalama bir tanıtımla yüksek gişe elde etmektir. Tarihteki TV şovları arasında en çok korsan dağıtılanlardan biri olan Game of Thrones’ un popülerliğine de illegal indirmelerin sağladığı katkı oldukça belirgin. Korsan dağıtım onlar için beklenmedik yararlar getirmiş olabilir; ama birçok şirket ürünlerini henüz yayınlanmaya hazır değilken bilgi güvenliğinden taviz vererek risk almak istemez ya da ürünlerinin yanlış ellerde dolaşmasına izin vermez. Dört temel örnekle neden (more…)

İphone’ların da dahil olduğu Broadcom WiFi yongalarını kullanan cihazlarda kritik bir güvenlik açığı Google Project Zero’nun güvenlik araştırmacısı Gal Beniamini tarafından keşfedildi. (CVE-2017-11120)

Bu zafiyet nisan ayında yayınlanan Broadcom WiFi SoC (Software-on-Chip) zafiyetine ve bu yaz başlarında Exodus Intelligence da çalışan güvenlik araştırmacısı Nitay Artenstein tarafından açıklanan BroadPwn güvenlik zafiyetine benziyor. Bu zafiyetler de akıllı telefonları WiFi üzerinden uzaktan ele geçirilmesini sağlıyor. (more…)