Diğer

Siber Güvenlik Farkındalığı Artırma Programı ve BDDK’nın Beklentileri

Bir çoğumuzun bildiği gibi, BDDK 25 Aralık 2018 tarihinde BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK TASLAĞI isimli bir taslak doküman dahilinde; Siber Güvenlik Farkındalığı Artırma Programı’na dair bilgiler yayımladı.

Bu ay sonu itibariyle son haline getirilecek dokümanın taslak metnine linkten ulaşabilirsiniz.

(more…)

E-Ticarette Güven Damgası ve Sızma Testi

Güven Damgası nedir?

Elektronik Ticarette Güven Damgası Hakkında Tebliğ’de, Güven Damgası başvurusunda bulunan e-ticaret sitesinin sızma testi yaptırması gerektiğine ilişkin bir madde bulunmaktadır. Bu maddede güven damgası başvurusunda bulunmadan en fazla üç̧ ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alması ve bu önlemleri aldığına ilişkin doğrulama testi yaptırması gerektiğine ifade edilmektedir. (more…)

SPK Bilgi Sistemleri Tebliğleri

Ne kadar Hazırsınız?

Paydaşların ticari faaliyetlerinin daha güvenli ortamlarda gerçekleştirilmesinin amaçlandığı SPK Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği 05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanarak yayım tarihi itibari ile yürürlüğe girmiştir.

SPK Bilgi Sistemleri Yönetim Tebliği uyarınca kapsamdaki Kurum, Kuruluş ve Ortakların yerine getirmesi gereken temel hususlar:

  • Bilgi sistemlerinin yönetiminin oluşturulması ve hayata geçirilmesi,
  • Bilgi sistemlerinin yönetimine ilişkin politika, süreç ve prosedürlerin tesisi,
  • Bilgi sistemleri risk yönetiminin gerçekleştirilmesi,
  • Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi,
  • Üst yönetimin kaynak tahsisi, gözetimi ve sorumluluğu ve
  • Belli periyotlarda sızma testleri yapılmasıdır.

(more…)

Ana hatları ile Blok Zinciri (Blockchain)

 

1960’ların sonlarından başlayarak bilginin ya da yazılı mesajların elektronik yoldan iletişimi hayatın bir parçası olmaya başlamıştı ama bunu pek hatırlayanımız çıkacağını zannetmiyorum. Zira bu ilk dönemdeki iletişim daha çok kurum içi ya da en fazla birkaç kurum arasında kurulan, günümüz şartları ile karşılaştırıldığında “Ağ” (Network) olarak adlandırmanın bile zor olacağı küçük kümelerde yapılabiliyordu. 1970’lere gelindiğinde ise işin rengi yavaş yavaş değişmeye başlamıştı. 1973-74 yıllarında Amerikan Gelişmiş Savunma Projeleri Araştırma Ajansı (DARPA) çalışanlarından Robert E. Kahn ve Vinton Cerf’in [1]ortaya çıkardığı bir protokoller bütünü olan ve kısaca TCP / IP (İletişim Kontrol Protokolü / Internet Protokolü) olarak adlandırılan bir model bir anda iletişimin boyutunu bütün dünyayı kapsayacak gerçek bir “Ağ” seviyesine taşıyarak bugün bildiğimiz ve kullandığımız şekli ile internetin temellerini attığında aynı zamanda yeni bir çağın da başlangıcını belirlemiş oldular. (more…)

İŞLEMCİLERİ ETKİLEYEN GÜVENLİK AÇIKLARI: MELTDOWN VE SPECTRE

Güvenlik araştırmacıları, hemen hemen tüm CPU‘larda bulunan iki önemli açıkla ilgili resmi belgeleri (takma adlar ve logolarla birlikte) yayınladılar.  İşlemcilerde bulunan donanımsal bir açık ya da Word, Chrome gibi uygulamalarda karşılaşabileceğiniz düz bir yazılım hatası değil. Güvenlik açıkları, işlemci mimarisi seviyesinde.

Modern işlemci mimarilerinde, verilerin ham ve şifrelenmemiş biçimde geçebileceği dokunulmaz alanlar vardır. Örneğin; çekirdek içinde, mimarideki en merkezi yazılım biriminde veya diğer uygulamalardan dikkatle ayrılan sistem belleğinde. Verilere diğer işlemler ve uygulamalar tarafından müdahale edilmesini ve hatta bu verilerin gözlemlenmesini önlemek için güçlü korumalar bulunmaktadır. Meltdown ve Spectre bu korumaları atlatarak, bilgisayarın işlediği parolalar, hassas bilgiler veya şifrelenmiş iletişimler gibi neredeyse tüm verileri açığa çıkaran iki tekniktir. (more…)

Sahte Uygulamalar Üzerinden Hack’lenmekten Nasıl Korunabilirsiniz?

Siber güvenlik uzmanları, akıllı telefon kullanıcılarını hacker’ların telefonlarındaki kişisel bilgilere erişimini sağlayacak sahte uygulamaları indirmemeleri konusunda uyarıyor. Eylül ayında hackerlar, Google Play Store‘ da “doppelgangers” olarak da bilinen birçok kötü amaçlı uygulama geliştirdiler; bu sahte uygulamalar yaygın kullanılan gerçek uygulamaları taklit ediyordu.

(more…)

Enerji ve Diğer Kritik Altyapı Sektörlerini Hedefleyen APT Tehlikesi

Etkilenen sistemler:

  • Domain Controller
  • Dosya sunucuları
  • Email sunucuları

(more…)

Antivirüs Atlatma Teknikleri

Penetrasyon testlerinde, özellikle hedef makinede belirli dosyaları çalıştırma veya post exploitation aşamasında antivirüs uygulamalarını atlatmak zorunda kalabiliriz. belirli bir antivirüs uygulamalarını atlatmak zor olabilir çünkü (more…)

Siber Suç Türleri ve Terimleri

Siber suçlardaki artış kadar, siber suç türlerinde de artış yaşıyoruz. Geçmişten gelen siber suç türlerinin yanında, yeni türler ve bu saldırılar içinde yoğunlukla geçen terimleri açıklıyoruz:

(more…)

F5 TicktedBleed Zafiyeti

CVE-2016-9244 koduyla yayınlanan ve “Ticketbleed” adıyla anılan açık, CloudFlare’de çalışan bir şifreleme mühendisi olan Filippo Valsorda tarafından keşfedilmiştir.

TLS protokolünde bulunan Session Tickets değeri önceden başlatılmış bir TLS bağlantısını hızlı bir şekilde bir daha kurmak amacı ile geliştirilmiştir, bir istemci sunucuya TLS ile bağlanırken Session ID yolladığı zaman sunucu bağlantının başarılı bir şekilde gerçekleştiğini göstermek amaçlı bu Session ID’yi istemciye geri gönderir, gönderilen Session ID 1 ile 32 byte arasında değişebilir. (more…)