Film yapımı büyük bir mesele, IP’yi korumak ise daha da büyük ve önemli. Bilgi güvenliği açıklarından kaynaklanan sızdırmalar, bugünün dijital dünyasında oldukça yaygın. Hepimiz eğlence sektöründeki şirketlerin kendi içeriklerinin bazılarını ya da tamamını kasıtlı sızdırdığını duymuşuzdur. Bu stratejideki hedef ortalama bir tanıtımla yüksek gişe elde etmektir. Tarihteki TV şovları arasında en çok korsan dağıtılanlardan biri olan Game of Thrones’ un popülerliğine de illegal indirmelerin sağladığı katkı oldukça belirgin. Korsan dağıtım onlar için beklenmedik yararlar getirmiş olabilir; ama birçok şirket ürünlerini henüz yayınlanmaya hazır değilken bilgi güvenliğinden taviz vererek risk almak istemez ya da ürünlerinin yanlış ellerde dolaşmasına izin vermez. Dört temel örnekle neden (more…)

İphone’ların da dahil olduğu Broadcom WiFi yongalarını kullanan cihazlarda kritik bir güvenlik açığı Google Project Zero’nun güvenlik araştırmacısı Gal Beniamini tarafından keşfedildi. (CVE-2017-11120)

Bu zafiyet nisan ayında yayınlanan Broadcom WiFi SoC (Software-on-Chip) zafiyetine ve bu yaz başlarında Exodus Intelligence da çalışan güvenlik araştırmacısı Nitay Artenstein tarafından açıklanan BroadPwn güvenlik zafiyetine benziyor. Bu zafiyetler de akıllı telefonları WiFi üzerinden uzaktan ele geçirilmesini sağlıyor. (more…)

Türk Standartları Enstitüsü (TSE)

18.11.1960 tarih ve 132 sayılı kanunla kurulmuştur. Amacı her türlü madde ve mamuller ile usul ve hizmet standartlarını yapmaktır. Enstitünün ilgili olduğu bakanlık Bilim, Sanayi ve Teknoloji Bakanlığıdır. Bir standardın Türk Standardı olabilmesi için Türk Standartları Enstitüsü tarafından kabul görmesi gerekmektedir.
(more…)

Penetrasyon testlerinde, özellikle hedef makinede belirli dosyaları çalıştırma veya post exploitation aşamasında antivirüs uygulamalarını atlatmak zorunda kalabiliriz. belirli bir antivirüs uygulamalarını atlatmak zor olabilir çünkü (more…)

Fidye yazılımları, talep edilen ücretler ödenene kadar özellikle kritik sistemlerdeki hassas bilgileri erişilmez hale getiren oldukça zararlı kötü amaçlı yazılım türevidir. İstenilen ücret genellikle bitcoin olarak ve belirli bir süre içerisinde talep edilmektedir. Ödenmediği durumda ise bu bilgileri şifreleyen anahtar kendini yok edip bir daha o bilgilere erişilmesini imkânsız hale getiren bir mekanizma ile çalışır. Fidye yazılımlarının son hamlelerinden biri ise zaman geçtikçe ücreti artırmalarıdır.

(more…)

Ağınızı yönetirken, uygulama geliştirirken hatta kağıt dosyaları bile organize ederken güvenlik hata kaldırmaz bir kavramdır. Güvenliğini düşünen şirketler seçimlerini hassas bilgilerine göre düzenler ve değerlendirirler. Veriye yönelik tehditler zamanla değişebilir fakat güvenliğin temelleri sabittir. Bilgisayarınızdaki ve dosyalarınızdaki kişisel bilgilerinizin ne olduğunu bilmeli ve yalnızca şirketiniz için ihtiyaç duyduklarınızı saklamalısınız. Ayrıca siber güvenlik vakalarına karşı kesinlikle bir plan oluşturmalısınız.

(more…)

Günümüzde, mobil cihaz kullanım oranı her geçen yıla göre hızla artmakta ve sağladıkları kolaylıklar dolayısıyla, iş dünyası başta olmak üzere hayatımızda önemli bir konuma sahip olmaya başladı. Bu artış ile birlikte mobil cihazlarda diğer popüler teknolojiler gibi saldırganların hedefi olmaya başladılar.

Symantec, yıllara ve işletim sistemlerine göre mobil güvenlik açıklarının oranını aşağıdaki gibi olduğunu geçtiğimiz nisan ayında yayınladığı yıllık İnternet Güvenlik Tehditleri Raporu’nda açıkladı.

(more…)

PowerShell Nedir-Ne Amaçla Kullanılır?

Bildiğimiz üzere Microsoft bugüne kadar yayınladığı işletim sistemlerinde kolay kullanım için GUI yi ön planda tutuyordu. Microsoft Server ürünleriyle bir ihtiyaç ortaya çıktı. “Sistemin derinlerine inerek daha kararlı olan uygulamaları çalıştırmak.” Maalesef yaygın olarak bilinen adıyla CMD buna yeteri kadar çözüm sağlayamadı, destek olamadı.Bunun üzerine Microsoft PowerShell yazılımını geliştirdi. Bu sayede (more…)

Siber suçlardaki artış kadar, siber suç türlerinde de artış yaşıyoruz. Geçmişten gelen siber suç türlerinin yanında, yeni türler ve bu saldırılar içinde yoğunlukla geçen terimleri açıklıyoruz:

(more…)

Bu yazıda, Oracle Ödül Avcılığı (bug bounty) programı kapsamında yaptığım çalışmada stored xss ve ssrf zafiyetlerinin teknik detayları yer almaktadır. Tespit edilen açıklık ile örnek bir senaryoda kullanıcı bilgileri çalınabilir, sunucudaki dosyalar okunabilir ve cloudflare arkasındaki ip adresi öğrenilebilir sunucuda kod çalıştırılabilirdi.

Oracle zafiyet yönetim konusunda bulguları 3 aşamada inceler: maksimum, orta ve düşük dereceli zafiyetler. Bu zafiyetler kritik yama güncellemesi (Critical Patch Update – CPU) adı altında tüm Oracle ürünleri için ayın 17’sine en yakın salı günü ve ccak, nisan, temmuz ve ekim aylarında olmak üzere üç ayda bir yayımlanır. Gönderdiğimiz zafiyetler kritik düzeyde değerlendirildi ve ekim ayında yayımlanacak olan kritik yama güncellemelerinde yer almasını sağladık.

(more…)