Diğer

E-ticaret & Siber Tehditler

Elektronik ticaretin gelişimiyle birlikte insanların alışveriş alışkanlıkları da hızla değişmeye başladı, insanlar eskinden olduğu gibi mağazalarda saatlerini harcamak yerine elektronik ortamda dakikalar içinde alışverişlerini tamamlamayı tercih ediyorlar. İnsanların elektronik ticarete hızla ayak uydurmaları ise, ticari faaliyet gösteren birçok şirketin çalışma şeklinde ve yatırım stratejisinde köklü değişikliklere neden oldu. Çok sayıda şirket satışlarını elektronik ortama taşıyarak bu dünyada yer edinme çabasında.

(more…)

KVKK VERBİS Kaydı

7 Nisan 2018 tarihi itibari ile Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri işleyen kurum/kuruluşların (kanunda geçen ismi ile Veri Sorumlularının) sağlamaları gereken yükümlüklerden biri de Veri Sorumluları Sicili Bilgi Sistemi’ne (VERBİS) kaydolmaları ve gerekli bilgi girişlerini sağlamalarıdır.

(more…)

Ödeme Sistemlerini Tehdit Eden “Online Skimming” Saldırıları ve Saldırılardan Korunma Yolları

Bu yazıda kredi kartı ile işlem yapan hizmet sağlayıcılarına yönelik yeni bir saldırı türü olan Online Skimming’in ne olduğu, saldırının nasıl gerçekleştirildiği, kimleri hedef aldığı ve saldırılardan korunmak amacıyla alınabilecek önlemlere yer verilmiştir. Saldırı detaylarından bahsetmeden önce, kredi kartı ile işlem yapan hizmet sağlayıcıların güvenlik uyumluluğunu belirlenmiş bir çerçeve ile kanıtlayan PCI-DSS standardı hakkında kısaca bilgi vereceğiz.

(more…)

Cerberus

2019’un Haziran ayında ThreatFabric şirketinin zararlı yazılım analistleri tarafından internetin yeraltı dünyası forumlarında (underground forum) Cerberus adı verilen ve karaborsada satılan bir Android zararlı yazılımı bulundu. Zararlı yazılımın sahipleri tarafından da doğrulandığı üzere, son 2 senedir özel işlemler için kullanılan zararlı yazılımın kaynak kodu orijinal olarak yazılmış olup diğer trojan (truva atı yazılım) yazılımlardan herhangi bir alıntı yapılmadığı tespit edilmiştir. Bilinen diğer banka trojan’ları genellikle kaynak kodu ifşa edimiş olan “Anubis” gibi var olan zararlı yazılımların kodlarından alıntı yaparken, Cerberus kaynak kodunun bilinen zararlı yazılımların herhangi birinden alıntı yapılmadığı doğrulanmıştır.

(more…)

Penetrasyon Testi / Pentest (Sızma Testi)


Penetrasyon (pentest) terimi, İngilizce “Penetration Test” kavramının kısaltması ve Türkçe karşılığı Sızma Testi’dir. Penetrasyon Testi; firmaların bilişim sistemlerini oluşturan altyapı, donanım, yazılım ve uygulama gibi bileşenlere bir saldırganın izlemesi öngörülen teknikler kullanılarak yapılan saldırı ve müdahaleler sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanımıyla ilgili sistemlere sızılması, tespit edilen zafiyetlerin nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır.

(more…)

Kırmızı Takım, Mavi Takım ve Bilgi Güvenliğinin Mor Piramidi

Birçok kurum güvenlik sistemlerini ve bu sistemler ile ilişkin protokollerini düzenli olarak test ederler. Siber güvenlikte diğer birçok yapıyla beraber kırmızı takım ve mavi takımdan da sıklıkla bahsedilir. Bu iki takım ile beraber yakın zamanlarda mor takımdan da bahsedilir oldu. Saldırılara karşı güvenliği sağlayacak yapılanmayı oluşturmadan önce, bu takımların kimlerden oluştuklarını, güvenliği sağlamak için hangi araçları kullandıklarını bilmek doğru yapıyı oluşturmakta yardımcı olacaktır.

(more…)

LLMNR ile NTLMv1/v2 Aktarımı (Relaying)

LLMNR saldırıları oldukça bilinen bir araç olan Responder.py ile yapılabilir. Bu saldırılar, tüm ağı zehirler ve cevap olarak bu zafiyete yakalanan sunucu ve istemcilerin kullanıcı Hash değerini (şifrenin kripto edilmiş halini) yakalar.

Penetrasyon testi yapan ve yaptıran firmaların sistem yöneticileri bilirler ki aşağıdaki gibi bir hash değeri yakalandığında ciddi bir bulgu olarak sayılır. Ancak bu bulgu biraz daha ciddi hale getirilip kritik seviyeye çekilebilir.

(more…)

KVKK Mevzuatında Yapılan Değişiklikler

Kişisel Verilerin Korunması Kanunu bağlı mevzuatından olan;

  • “Veri Sorumluları Sicili Hakkında Yönetmelik”,
  • “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve
  • “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”inde

Yapılan değişiklikler 28.04.2019 tarih ve 30758 sayılı Resmi Gazete’de yayımlanmıştır.

(more…)

E-Ticarette Güven Damgası ve Sızma Testi

Güven Damgası nedir?

Elektronik Ticarette Güven Damgası Hakkında Tebliğ’de, Güven Damgası başvurusunda bulunan e-ticaret sitesinin sızma testi yaptırması gerektiğine ilişkin bir madde bulunmaktadır. Bu maddede güven damgası başvurusunda bulunmadan en fazla üç̧ ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alması ve bu önlemleri aldığına ilişkin doğrulama testi yaptırması gerektiğine ifade edilmektedir. (more…)

SPK Bilgi Sistemleri Tebliğleri

Ne kadar Hazırsınız?

Paydaşların ticari faaliyetlerinin daha güvenli ortamlarda gerçekleştirilmesinin amaçlandığı SPK Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği 05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanarak yayım tarihi itibari ile yürürlüğe girmiştir.

SPK Bilgi Sistemleri Yönetim Tebliği uyarınca kapsamdaki Kurum, Kuruluş ve Ortakların yerine getirmesi gereken temel hususlar:

  • Bilgi sistemlerinin yönetiminin oluşturulması ve hayata geçirilmesi,
  • Bilgi sistemlerinin yönetimine ilişkin politika, süreç ve prosedürlerin tesisi,
  • Bilgi sistemleri risk yönetiminin gerçekleştirilmesi,
  • Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi,
  • Üst yönetimin kaynak tahsisi, gözetimi ve sorumluluğu ve
  • Belli periyotlarda sızma testleri yapılmasıdır.

(more…)