Lostar Blog - Page 2 of 23 - Lostar Bilgi Güvenliği
KRACK (Key Reinstallation Attack) : WPA2 Şifreleme Standartı Kırıldı
Siber suçlulardan bizleri koruyan WiFi güvenliğini sağlayan WPA2 şifreleme protokolü kırıldı. KU Leuven üniversitesinde doktora çalışması yürüten Mathy Vanhoef, günümüzde üretilen ve son 13 yıldır var olan hemen hemen tüm modemlerde kullanılan WPA2 şifreleme protokolünde bulduğu zafiyeti duyurdu.
BKNZ: https://www.krackattacks.com/
İyi haber ise bu zafiyet yazılım güncellemesiyle kapatılabiliyor olmasıdır. WiFi yayın yapan ve WPA2 şifreleme protokolünü kullanan tüm modemlerinizin güncellemelerini kontrol etmek gerekmektedir. Vanhoef, bu zafiyeti üreticilere temmuz ayında bildirdiğini belirtiyor. Saldırılardan endişelenmesi gereken yerler şirketler ve devlet kurumlarıdır.
RSA Anahtar Üretimi Uygulamasındaki Güvenlik Açığı (ROCA)
Çek Cumhuriyeti Masaryk Üniversitesi’ndeki Kriptografi ve Güvenlik Araştırma Merkezi’nden Slovak ve Çek güvenlik araştırmacıları tarafından Infineon Technologies tarafından geliştirilen bir kod kütüphanesinin içerdiği bir hata nedeniyle RSA anahtar üretiminin uygulanmasında “ROCA” olarak adlandırılan bir güvenlik açığı keşfedildi. Açıklıktan etkilenen şifreleme anahtarları, donanım çipleri, kimlik doğrulama tokenları, yazılım paketleri, elektronik belgeler, TLS / HTTPS anahtarları ve PGP gibi birçok teknolojiyi güvence altına almak için kullanılıyor. Infineon Technologies’in akıllı kartları, güvenlik tokenları ve 2012 yılından beri üretilen güvenli donanım yongaları etkilenen kod kitaplığını kullanıyor. Bu güvenlik açığından yararlanmak isteyen bir saldırgan pratik bir zaman diliminde asal çarpanlara ayırma yöntemini kullanarak genel anahtardan bir özel anahtarı türetebilir.
Hacker’lar az kalsın bu yaz savaş başlatacaktı: Sahte haber Donald Trump için tasarlandı.
Ortadoğu’da diplomatik münakaşalar çok da az denemez; ama Katar ve bazı Arap komşuları arasında bu yaz başlayan gerilim türüne az rastlanır cinsten denilebilir. İlk defa büyük bir jeopolitik kriz hacker’lar tarafından tetiklendi ayrıca ilk kez sahte bir haber neredeyse fiziki bir çatışmaya sebep olacaktı. Bilindiği kadarıyla sahte haberin hedef kitlesi bir kişiydi: ABD Başkanı Donald Trump. Quartz’a verilen röportaj ve belgelerde Katar hükümeti, krize neden olan olayların tasvirini ilk kez ayrıntılı olarak açıkladı. (more…)
Bilgi Güvenliği Hakkında Hollywood Size Ne Öğretebilir?
Film yapımı büyük bir mesele, IP’yi korumak ise daha da büyük ve önemli. Bilgi güvenliği açıklarından kaynaklanan sızdırmalar, bugünün dijital dünyasında oldukça yaygın. Hepimiz eğlence sektöründeki şirketlerin kendi içeriklerinin bazılarını ya da tamamını kasıtlı sızdırdığını duymuşuzdur. Bu stratejideki hedef ortalama bir tanıtımla yüksek gişe elde etmektir. Tarihteki TV şovları arasında en çok korsan dağıtılanlardan biri olan Game of Thrones’ un popülerliğine de illegal indirmelerin sağladığı katkı oldukça belirgin. Korsan dağıtım onlar için beklenmedik yararlar getirmiş olabilir; ama birçok şirket ürünlerini henüz yayınlanmaya hazır değilken bilgi güvenliğinden taviz vererek risk almak istemez ya da ürünlerinin yanlış ellerde dolaşmasına izin vermez. Dört temel örnekle neden (more…)
Backdoor : iPhone 7 Uzaktan Ele Geçirme Zafiyeti
İphone’ların da dahil olduğu Broadcom WiFi yongalarını kullanan cihazlarda kritik bir güvenlik açığı Google Project Zero’nun güvenlik araştırmacısı Gal Beniamini tarafından keşfedildi. (CVE-2017-11120)
Bu zafiyet nisan ayında yayınlanan Broadcom WiFi SoC (Software-on-Chip) zafiyetine ve bu yaz başlarında Exodus Intelligence da çalışan güvenlik araştırmacısı Nitay Artenstein tarafından açıklanan BroadPwn güvenlik zafiyetine benziyor. Bu zafiyetler de akıllı telefonları WiFi üzerinden uzaktan ele geçirilmesini sağlıyor. (more…)
TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Türkçeleştirilmesi
Türk Standartları Enstitüsü (TSE)
18.11.1960 tarih ve 132 sayılı kanunla kurulmuştur. Amacı her türlü madde ve mamuller ile usul ve hizmet standartlarını yapmaktır. Enstitünün ilgili olduğu bakanlık Bilim, Sanayi ve Teknoloji Bakanlığıdır. Bir standardın Türk Standardı olabilmesi için Türk Standartları Enstitüsü tarafından kabul görmesi gerekmektedir.
(more…)
Antivirüs Atlatma Teknikleri
Penetrasyon testlerinde, özellikle hedef makinede belirli dosyaları çalıştırma veya post exploitation aşamasında antivirüs uygulamalarını atlatmak zorunda kalabiliriz. belirli bir antivirüs uygulamalarını atlatmak zor olabilir çünkü (more…)
Fidye Yazılımları ve Korunmak İçin İpuçları
Fidye yazılımları, talep edilen ücretler ödenene kadar özellikle kritik sistemlerdeki hassas bilgileri erişilmez hale getiren oldukça zararlı kötü amaçlı yazılım türevidir. İstenilen ücret genellikle bitcoin olarak ve belirli bir süre içerisinde talep edilmektedir. Ödenmediği durumda ise bu bilgileri şifreleyen anahtar kendini yok edip bir daha o bilgilere erişilmesini imkânsız hale getiren bir mekanizma ile çalışır. Fidye yazılımlarının son hamlelerinden biri ise zaman geçtikçe ücreti artırmalarıdır.
(more…)
Şirketler için Güvenlik Rehberi
Ağınızı yönetirken, uygulama geliştirirken hatta kağıt dosyaları bile organize ederken güvenlik hata kaldırmaz bir kavramdır. Güvenliğini düşünen şirketler seçimlerini hassas bilgilerine göre düzenler ve değerlendirirler. Veriye yönelik tehditler zamanla değişebilir fakat güvenliğin temelleri sabittir. Bilgisayarınızdaki ve dosyalarınızdaki kişisel bilgilerinizin ne olduğunu bilmeli ve yalnızca şirketiniz için ihtiyaç duyduklarınızı saklamalısınız. Ayrıca siber güvenlik vakalarına karşı kesinlikle bir plan oluşturmalısınız.
