Diğer

SPK Bilgi Sistemleri Tebliğleri

Ne kadar Hazırsınız?

Paydaşların ticari faaliyetlerinin daha güvenli ortamlarda gerçekleştirilmesinin amaçlandığı SPK Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği 05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanarak yayım tarihi itibari ile yürürlüğe girmiştir.

SPK Bilgi Sistemleri Yönetim Tebliği uyarınca kapsamdaki Kurum, Kuruluş ve Ortakların yerine getirmesi gereken temel hususlar:

  • Bilgi sistemlerinin yönetiminin oluşturulması ve hayata geçirilmesi,
  • Bilgi sistemlerinin yönetimine ilişkin politika, süreç ve prosedürlerin tesisi,
  • Bilgi sistemleri risk yönetiminin gerçekleştirilmesi,
  • Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi,
  • Üst yönetimin kaynak tahsisi, gözetimi ve sorumluluğu ve
  • Belli periyotlarda sızma testleri yapılmasıdır.

(more…)

Ana hatları ile Blok Zinciri (Blockchain)

 

1960’ların sonlarından başlayarak bilginin ya da yazılı mesajların elektronik yoldan iletişimi hayatın bir parçası olmaya başlamıştı ama bunu pek hatırlayanımız çıkacağını zannetmiyorum. Zira bu ilk dönemdeki iletişim daha çok kurum içi ya da en fazla birkaç kurum arasında kurulan, günümüz şartları ile karşılaştırıldığında “Ağ” (Network) olarak adlandırmanın bile zor olacağı küçük kümelerde yapılabiliyordu. 1970’lere gelindiğinde ise işin rengi yavaş yavaş değişmeye başlamıştı. 1973-74 yıllarında Amerikan Gelişmiş Savunma Projeleri Araştırma Ajansı (DARPA) çalışanlarından Robert E. Kahn ve Vinton Cerf’in [1]ortaya çıkardığı bir protokoller bütünü olan ve kısaca TCP / IP (İletişim Kontrol Protokolü / Internet Protokolü) olarak adlandırılan bir model bir anda iletişimin boyutunu bütün dünyayı kapsayacak gerçek bir “Ağ” seviyesine taşıyarak bugün bildiğimiz ve kullandığımız şekli ile internetin temellerini attığında aynı zamanda yeni bir çağın da başlangıcını belirlemiş oldular. (more…)

İŞLEMCİLERİ ETKİLEYEN GÜVENLİK AÇIKLARI: MELTDOWN VE SPECTRE

Güvenlik araştırmacıları, hemen hemen tüm CPU‘larda bulunan iki önemli açıkla ilgili resmi belgeleri (takma adlar ve logolarla birlikte) yayınladılar.  İşlemcilerde bulunan donanımsal bir açık ya da Word, Chrome gibi uygulamalarda karşılaşabileceğiniz düz bir yazılım hatası değil. Güvenlik açıkları, işlemci mimarisi seviyesinde.

Modern işlemci mimarilerinde, verilerin ham ve şifrelenmemiş biçimde geçebileceği dokunulmaz alanlar vardır. Örneğin; çekirdek içinde, mimarideki en merkezi yazılım biriminde veya diğer uygulamalardan dikkatle ayrılan sistem belleğinde. Verilere diğer işlemler ve uygulamalar tarafından müdahale edilmesini ve hatta bu verilerin gözlemlenmesini önlemek için güçlü korumalar bulunmaktadır. Meltdown ve Spectre bu korumaları atlatarak, bilgisayarın işlediği parolalar, hassas bilgiler veya şifrelenmiş iletişimler gibi neredeyse tüm verileri açığa çıkaran iki tekniktir. (more…)

Sahte Uygulamalar Üzerinden Hack’lenmekten Nasıl Korunabilirsiniz?

Siber güvenlik uzmanları, akıllı telefon kullanıcılarını hacker’ların telefonlarındaki kişisel bilgilere erişimini sağlayacak sahte uygulamaları indirmemeleri konusunda uyarıyor. Eylül ayında hackerlar, Google Play Store‘ da “doppelgangers” olarak da bilinen birçok kötü amaçlı uygulama geliştirdiler; bu sahte uygulamalar yaygın kullanılan gerçek uygulamaları taklit ediyordu.

(more…)

Enerji ve Diğer Kritik Altyapı Sektörlerini Hedefleyen APT Tehlikesi

Etkilenen sistemler:

  • Domain Controller
  • Dosya sunucuları
  • Email sunucuları

(more…)

Antivirüs Atlatma Teknikleri

Penetrasyon testlerinde, özellikle hedef makinede belirli dosyaları çalıştırma veya post exploitation aşamasında antivirüs uygulamalarını atlatmak zorunda kalabiliriz. belirli bir antivirüs uygulamalarını atlatmak zor olabilir çünkü (more…)

Siber Suç Türleri ve Terimleri

Siber suçlardaki artış kadar, siber suç türlerinde de artış yaşıyoruz. Geçmişten gelen siber suç türlerinin yanında, yeni türler ve bu saldırılar içinde yoğunlukla geçen terimleri açıklıyoruz:

(more…)

F5 TicktedBleed Zafiyeti

CVE-2016-9244 koduyla yayınlanan ve “Ticketbleed” adıyla anılan açık, CloudFlare’de çalışan bir şifreleme mühendisi olan Filippo Valsorda tarafından keşfedilmiştir.

TLS protokolünde bulunan Session Tickets değeri önceden başlatılmış bir TLS bağlantısını hızlı bir şekilde bir daha kurmak amacı ile geliştirilmiştir, bir istemci sunucuya TLS ile bağlanırken Session ID yolladığı zaman sunucu bağlantının başarılı bir şekilde gerçekleştiğini göstermek amaçlı bu Session ID’yi istemciye geri gönderir, gönderilen Session ID 1 ile 32 byte arasında değişebilir. (more…)

Web’i şifrelemek

Web uygulamalarının güvenliğindeki pek çok açık, uçtaki kullanıcı ile sunucu arasına girmeyi gerektiriyor. Bu nedenle web‘in tamamına HTTPS bağlantısı vermek, olası pek çok saldırının gündemden düşmesiyle sonuçlanır. TLS, iki uç arasında, uçtaki kullanıcının başka kimse tarafından okunmadığına güvenebileceği (sunucuya güvendiği kadar) bir bağlantı oluşturuyor. Daha önce HTTPS/SSL protokolü içerisinde kullanılan yöntemler TLS adında (Transport Layer Security) tüm internette kullanılabilecek bir yapıya kavuşturulmuş. Artık (more…)

Parola Güvenliği

İnternet ortamında bulunan tüm hesaplarınız için aynı parolayı kullanmak, tüm kapılar için aynı anahtarı kullanmak gibidir. Bir anahtar ile hem evinizi, hem arabanızı, hem ofisinizi hem de kasanızı açıyorsanız, anahtarınızı kaybetmeniz durumunda birçok risk ile karşı karşıya kalırsınız. Aynı prensip email, banka hesapları, kredi kart bilgileri gibi hassas bilgiler için de geçerlidir.

Birleşik Krallık’taki hüküment onaylı telekomünikasyon şirketi olan Ofcom tarafından 2013 yılında yapılan araştırmaya göre, (more…)