Blog Arşivleri

Şifre hatırlama derdi 2017’de tarihe karışıyor #IdentityCheck

Tüketici kimliğini çevrimiçi olarak kanıtlamaya yönelik mevcut yöntemler, müşterileri satıcının internet sitesinden farklı yerlere götürebiliyor. Onay adımları zaman alıyor ve şifre girişinde yapılan hatalar satın alma işleminin reddedilmesi veya iptal edilmesi ile sonuçlanabiliyor. MasterCard Kimlik Doğrulama teknolojisi, parmak izi gibi biyometrik verileri ve SMS ile gönderilen tek seferlik şifreleri kullanarak kimlik doğrulama işlemine hız kazandırıyor.

MasterCard İşletme Güvenliği Çözümleri Başkanı Ajay Bhalla “Günümüzde tüketiciler her türlü cihaz üzerinden alışveriş yapabiliyor. Teknolojinin işlemleri kolaylaştırmasını ve güvenli bir hale getirmesini bekliyorlar. MasterCard Kimlik Doğrulama teknolojisi, tüketicinin beklediği güvenliği ve hızı bir arada sunuyor” dedi.

2017’de şifreler tarih oluyor

MasterCard Kimlik Doğrulama, çevrimiçi alışverişte ödeme güvenliğinde şifrelere duyulan bağımlılığı da azaltacak bir teknoloji olarak dikkat çekiyor. Tüketiciler şifre hatırlamak zorunda kalmadan, her an yanlarında bulunan cep telefonu gibi akıllı cihazlarını kullanarak ve şahıslarına özel parmak izi gibi biyometrik verilerle alışverişi güvenli bir şekilde tamamlıyor. Hollanda’da binlerce kart sahibi, biyometrik özelliğe sahip ödemeleri Eylül 2015’te kullanmaya başladı. Benzer bir deneme çok yakında ABD’de kullanıma sunulacak. Amerikan finans kurumları, 2016 yılının ortasından itibaren MasterCard Kimlik Doğrulama’ya katılmayı seçebilecek. Global uygulama ise 2017 yılında hizmete sunulacak.

Tüketici anketleri, şifresiz ödeme yöntemlerini destekliyor

Yeni nesil tüketici doğrulama teknolojilerine duyulan ihtiyaç, kısa bir süre önce gerçekleştirilen bir araştırma ile doğrulandı. MasterCard’ın yürüttüğü ankete göre, tüketicilerin %53’ü şifrelerini haftada en az bir kez unutuyor. Unutulmuş şifreler yerine yeni şifre alma işlemleri 10 dakikadan fazla vakit kaybettiriyor.

İnsanların üçte birinden fazlası, online alışverişlerini şifrelerini hatırlayamadıkları için iptal etmek zorunda kalıyor. Her 10 kişiden 6’sı ise bu durumun konser ya da spor etkinliği bileti almak gibi süre açısından hassas işlemleri kaçırmalarına neden olduğunu söylüyor. Ankete katılanların yarıdan fazlası, aynı güvenlik seviyesini sağlayan ama hayatlarına kolaylık katan şifre dışı alternatifleri sıcak karşılıyor.

Reklamlar

“Deep Web” etkinliği

Deepweb_Etkinlik24 Ekim, Cumartesi günü Türkiye’de ilk defa gerçekleştirilecek “Deep Web” etkinliği ile katılımcılar internetin derinliklerine inmeye hazırlanıyor.

İnternette, arama motorları tarafından bulunamayan her şeyin dahil olduğu kısma Deep Web (Derin Web) adı verilmektedir ve bu gizemli alanın bildiğimiz statik internetin 500 katı büyüklüğünde olduğu tahmin edilmektedir. Dijital Stüdyo, oldukça merak uyandıran bu kavramın tüm sırlarını öğrenmek isteyenler için, 24 Ekim Cumartesi günü Workington Levent 199 Şubesi’nde, “Deep Web” üzerine Türkiye’deki ilk etkinliği gerçekleştirecek.

Etkinliğin yol göstericiliğini gerçekleştirecek ve Türkiye’de, siber güvenlik alanında en derin teorik ve pratik bilgiye sahip BT profesyonellerinin başında gelen Halil Öztürkçi etkinliğin içeriği ile ilgili “İnternette bulamadığınız herhangi bir şey, aslında oralarda bir yerlerde olabilir. Hayır, Google’da yeterince arka sayfalara baktığınızda ya da arama yaptığınız anahtar kelimeleri değiştirdiğinizde bulabileceklerinizden bahsetmiyoruz. Bahsettiğimiz, arama motorları tarafından dahi bulunamayanlar…” açıklamasında bulundu. 

BT güvenlik ekipleri, yazılım geliştiriciler ve dijital pazarlama profesyonelleri tarafından Deep Web kavramı etrafındaki sorular ve bunları yanıtlama çabaları her geçen gün artıyor. İnternet içerisinde neden bu kadar büyük ve bilinmeyen bir alan var? Böyle bir ayrımın olabilmesi nasıl mümkün oluyor? Ve bu alanı kullananlar kimler, yani kabaca ifade edersek, içeride neler oluyor? Bu soruların etrafına, ışığın etrafına toplanan ateş böcekleri gibi her gün yüzlerce, binlerce internet kullanıcısı geliyor ve Deep Web’in sırlarına öğrenebilmek için kafa patlatıyor. Dijital Stüdyo ve Workinton iş ortaklığında gerçekleştirilecek etkinlikte “Deep Web” ile ilgili bulabildiğiniz ancak doğruluğundan emin olamadığınız, çoğunlukla kulaktan dolma cevaplarla karşılaştığınız sorulara artık güvenilir ve anlaşılır yanıtlar bulabilmeniz amaçlanıyor. Kayıt ve detaylı bilgi için Dijital Stüdyo’nun http://www.dijitalstudyo.org/etkinlikler/deep-web-etkinligi/ web sitesini ziyaret edebilirsiniz.   

Halil Öztürkçi Hakkında
Digital Forensics Expert, Security Researcher, Pen Tester, MVP (Enterprise Security), SANS Mentor

ADEO Bilişim Danışmanlık Hizmetleri A.Ş. kurucularından olan ve 15 senedir IT sektörünün çeşitli alanlarında çalışmalarını sürdüren Halil ÖZTÜRKCİ, son 13 senedir güvenlik alanına yoğunlaşmış olarak çalışmalarına devam etmektedir. Sektöründe lider birçok kuruluşun yanında kolluk kuvvetleri ve kurumlara eğitim ve danışmanlık hizmetleri vererek güvenlik projelerinde aktif roller üstlenmiştir. Microsoft tarafından son 8 yıldır (2007-2014) Enterprise Security alanında “En Değerli Profesyonel” (MVP) unvanına layık görülen Halil ÖZTÜRKCİ, öğretim görevlisi unvanı ile de Bahçeşehir Üniversitesi Siber Güvenlik Yüksek Lisans Programı ve İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Yüksek Lisans Programında dersler vermektedir. Ayrıca, yapımcılığını ve sunuculuğunu üstlenmiş olduğu Güvenlik TV programı http://www.guvenliktv.org adresi üzerinden yayınlanmaktadır.

İnterneti az veya çok kullanan herkese mutlaka tavsiye ederim

sosyal medya ve güvenlikTeakolik (Hamza Şamloğlu )Ismail Hakkı Polat hocanın "Yeni Medya ve Bilgi Güvenliği" konulu dersine konuk hoca olarak katıldı. İnterneti az veya çok kullanan herkesin mutlaka izlemesine tavsiye edeceğim, hatta izlemeniz için ısrar edebileceğim çok verimli ve size çok şeyler kazandıracak dersi mutlaka yakınlarınızada izlettirin.

Mobile World Congress’de Siber Zorbalık Konuşuldu

kaspersky_labKaspersky Lab ve B2B International tarafından gerçekleştiren bir anket, ebeveynlerin neredeyse dörtte birinin (%22) çocuklarının çevrimiçinde ne gördüğünü, ne yaptığını kontrol edemeyeceğini düşündüğünü ve neredeyse yarısının (%48) çocuklarının siber zorbalıkla yüzleşmesinden endişelendiğini ortaya koyuyor. Çocukların siber zorbalığa karşı eğitimi ve desteklenmesine yönelik global kampanyanın bir parçası olarak Kaspersky Lab, konuyu Barselona'daki Mobile World Congress 2015'te tartışmaya açmak amacıyla üst düzeyde bir panel organize etti.

Panelde konuşan Kaspersky Lab Başkanı ve CEO'su Eugene Kaspersky şunları söyledi: “İnternet, birçok faydasının yanı sıra ne yazık ki bazı insanların yıkıcı ilkel karakter özelliklerini serbest bırakmasına olanak tanımaktadır ve siber zorbalık günümüzde sık karşılaşılan bir sorun haline gelmiştir. Kurbanlarına psikolojik zararı çok büyük ve uzun süreli olabilir. Muhtemelen tamamen teknolojik bir karşılığı olmasa da bu konuyla ilgili farkındalığı artırmak ve gençlerin ve anne-babalarının İnternetin sunduğu iyiliklerden güvenli bir şekilde faydalanmalarına yardımcı olmak için bu sorun hakkında konuşmalıyız”.

Mobile World Congress'teki panelde European Schoolnet Kıdemli Danışmanı ve Insafe kurucu ortağı Janice Richardson ise şu yorumlarda bulundur: “Siber zorbalık, aslında her tür zorbalık gençler için ciddi bir sorundur ve ebeveynler ve öğretmenlerin yanı sıra çocuklar ve gençleri de kapsayan bütüncül bir yaklaşımla mücadele edilmesini gerektirir. En önemli sorun, haberleşme araçlarımızın geçtiğimiz on yıllar içinde çok gelişmiş
ancak okur-yazarlık beceri gelişiminin aynı başarıyı yakalayamamış olmasıdır.”

Ankette ebeveynlerin iyi niyetli girişimlerinin çocuklarına bir gizlilik bulutu sağladığı ancak aslında onları çevrimiçi taciz ve suistimale karşı korunmasız bıraktığı görülüyor. Örneğin sadece %19'u çocuklarıyla sosyal ağlarda arkadaş olduklarını veya onları takip ettiklerini, sadece %39'u çocuklarının çevrimiçindeki faaliyetlerini izlediklerini belirtmiş. Sadece %38'inin çocuklarıyla çevrimiçi riskler hakkında konuşmuş olması kendine güven ve anlayış eksikliğini yansıtmakta.

Çalışmada çocukların siber zorbalıkla karşılaştıklarını itiraf etmeye pek gönüllü olmadıkları görülmüş: Çocukları çevrimiçinden taciz edilen ebeveynlerin dörtte biri (%25), bunun farkına uzun zaman sonra vardıklarını bildirmiş. Bu özellikle endişe verici; çünkü etkilenen ebeveynlerin %26'sının da gördüğü üzere çevrimiçi suistimal kolaylıkla gerek hayat zorbalığına dönüşebilmekte.

Siber zorbalığın uzun süreli duygusal etkileri gençler için yıkıcı olabiliyor ve ebeveynler bunu durdurmak için eyleme geçebileceklerini bilmel. Kaspersky Lab’ın çalışmasında, çocukları siber zorbalıkla karşılaşan ebeveynlerin %44'ünün bunu durdurmak için harekete geçtiği, yarısından fazlasınınsa hiçbir şey yapmadığı görülmüş.

Siber zorbalığı tamamen engellemek güç olabilir ancak çocukları bu sorun ve sonuçlarından korumak için alınabilecek bazı basit önlemler bulunmakta. Örneğin, sosyal ağlarda gizlilik ayarlarının incelenmesi, ebeveynlerin çocuklarına, iletilerini kimlerin görebileceğini ve kimlerin mesaj yazabileceğini kontrol etmelerine yardımcı olmaya olanak tanıyor. Yazılım uygulamalarında ve güvenlik çözümlerinde ebeveyn kontrol ayarlarından en iyi şekilde faydalanmak güçlü bir koruma ve huzursağlar.

Ancak alınacak önlemler teknolojiden daha fazlasını gerektiriyor. Ebeveyn çocuğuna gizli bilgileri gizli tutmanın; adres, telefon numarası, okul, kredi kartı numarası ve benzeri bilgileri çevrimiçinden açıklamamanın; ne paylaştığı ve kiminle paylaştığını bilmenin ne kadar önemli olduğunu ve zorbalığa maruz kaldığını düşündüğünde ve rahatsız hissettiğinde destek için kiminle konuşması gerektiğini anlatmalı. 

Siber zorbalık hakkında daha fazla bilgi ve nasıl mücadele edilmesi gerektiğiyle ilgili tavsiyeleri Kaspersky Lab’ın eğitim portalında bulabilirsiniz: kids.kaspersky.com

Dropbox, Facebook ve Google’ı artık kullanmayın

F-Secure logoEdward Snowden’in bu tavsiyeleri tüketiciler tarafından ciddiye alınıyor. F-Secure’in araştırması, kullanıcıların daha güvenli platformlara geçmek istediğini gösterdi.

Eski NSA Casusu Edward Snowden’in açıklamaları İnternet kullanıcılarının bilinçlenmesini sağladı. Snowden kullanıcılara, Dropbox, Facebook ve Google servisleri yerine güvenliğe önem veren alternatif firmalara geçmelerini tavsiye etti. F-Secure’in yaptığı araştırmalar ise kullanıcıların gerçekten bu adımı atmak istediğini gösteriyor. 6 ülkedeki kullanıcılar üzerinde yapılan anket, PRISIM skandalının ortaya çıktığından beri insanların, İnternet alışkanlıklarının değiştiğini ortaya çıkardı.

Snowden’in 11 Ekim 2014 tarihinde verdiği bir video röportajda, eski ajan İnternet kullanıcılarını, hangi servis ve sitelerden sakınmaları gerektiği konusunda uyardı. Bu tavsiyelerden sonra yapılan ankette ise %53’lük kısım Google yerine daha güvenli bir siteye geçmek istediğini söyledi. Katılımcıların % 56’sı ABD’den yayın yapan web sitelerinin kullanıcı bilgilerini kullanma yöntemleri hakkında son 1 yıl içerisinde daha fazla bilinçlendiklerini belirttiler. Katılımcıların % 46’sı ise kişisel verilerinin koruyacağına inandıkları hizmetlere ödeme yapmaya hazır olduklarını söyledi. Anket sonucunda %70’lik bir kesim İnternet sitelerindeki verileri kullanan istihbarat örgütleri ve devletlerin yapabileceklerinden korktuklarını itiraf etti. %68’lik katılımcıysa en az bir kez kişisel verilerini ve bilgilerini korumak için gizlenme programları ya da tarayıcıların kripto özelliklerini kullandığını ifade ediyor. Ankette cevap verenlerin %57’si şirketlerin ücretsiz hizmet karşılığında bilgilerinin kullanılmasından rahatsız olduklarını söyledi.

Almanya, Brezilya ve Filipinler, veri güvenliği konusunda en yüksek hassasiyeti gösteren ülkeler oldu. F-Secure, katılımcılara verilerinin güvenliği konusunda endişelerinin geçtiğimiz aylar içerisinde alışkanlıklarında değişiklik yaptırdı mı? Diye sordu. % 56’lık bir oran bu soruya olumlu cevap verdi. Bu soruya olumlu cevap verenlerin, %45’i İngiltere’den, %47’si ABD’den, %49’u Fransa’dan, %60’ı Almanya’dan, %67’si ise Brezilya ve Filipinler’den çıktı.

F-Secure Kullanıcı Güvenliği Başkan Yardımcısı Samu Konttinen konuyla ilgili şu açıklamalarda bulundu; “Anketin sonucu, insanların fikirlerinin değişmeye başlandığını gösteriyor. İnsanlar endişelenmeye başladı, güvenlik uzmanlarının mesajları adreslerine ulaşıyor.

Güvenlik endüstrisinin güven kazanma çabası sayesinde, birçok firmanın yöntemleri ortaya çıkmış durumda. Birçok insan, daha güvenli ve bilgileri saklayan servisleri kullanmaya artık hazır.

F-Secure bu konuda birçok özellik sunuyor ve artık arka kapı bırakmıyor. F-Secure26 yıldır güvenlik endüstrisinde hizmet veriyor. Ayrıca şirket değerleri Finlandiya’nın özel hayatı koruyan kanunlarına dayanıyor.

F-Secure’in online depolama ve veri senkronizasyonu servisi yountied, tamamen kriptolu ve tabanı güvenliğe dayalı bir platform. Halka açık Wifi bağlantılarında bile program tam güvenlik sunuyor. İnternet üzerinden takip edilemiyorsunuz ve hacker ’lara karşı güvenliğinizi de sağlıyor.  F-Secure Freedome kullanımı basit bir güvenlik ve koruma sistemidir. Mobil cihazınızda hangi uygulamaların verilerinizi aldığını size söyler. Ücretsiz F-Secure App Permissions uygulamaları yüklediğinizde vermeniz gereken bilgiler hakkında size önceden bilgi verir.

Siber Güvenlik İstanbul’da Konuşulacak

SGD-LOGO-RGBÜlkemizde düzenlenen en ilgi çekici ve en büyük bilgi güvenliği konferansı olma özelliği taşıyan ve Siber Güvenlik Derneği tarafından bu yıl 2.si düzenlenen Siber Güvenlik Konferansı, 13 Mayıs 2014 tarihinde Harbiye Askeri Müze'de gerçekleştirilecek. 

Siber Güvenlik Konferansı, Türkiye'de Siber Güvenlik konusunda bilgi paylaşımını ve bilinçlendirmeyi amaç edinen Siber Güvenlik Derneği tarafından düzenlenmekte olup, ulusal siber güvenlik alanında çalışan profesyonelleri, bilgi güvenliği çalışanlarını, akademisyenleri, bilişim hukukçularını, kamu ve özel sektörü bir araya getirerek, siber güvenliğe yönelik çözüm ve çözüm önerileri sunmayı hedefliyor.  

Siber Güvenlik Kurulu'nun oluşturulması ve Siber Güvenlik Eylem Planı çalışmalarının sürdürüldüğü şu günlerde, devletin üst düzey kademelerinden yetkililerin de katılım sağlıyor olmaları Siber Güvenlik Konferansı'nın hedefine ulaşmasında büyük rol oynayacak.

Ana temanın “Sanal Dünya, Gerçek Tehditler” olduğu konferansta; siber güvenlik, siber savunma stratejileri, siber casus yetiştirme politikaları, siber suçlar, siber savaşlar ve bu alana yönelik olarak diğer ülkelerin yaklaşımları, siber güvenlik kavramının bireysel, kurumsal ve ulusal güvenlik açısından önemi konuşulacak.

Siber güvenlik konusunda uzman akademisyen, kamu ve özel sektör çalışanı bir çok isim, ana tema çerçevesinde farklı alanlardaki tecrübelerini ve çalışmalarını katılımcılarla paylaşacak. Paralel oturumlar şeklinde gerçekleştirilecek konuşmalarda, siber güvenlik konusunda vizyon geliştirici paylaşımların yanı sıra, beyaz şapkalı hackerlar tarafından ilgi çekici teknik sunumlar da yer alacak.

Ulusal Siber Güvenlik alanındaki konular ise panel formatında alanında uzman katılımcılar, emniyet yetkilileri ve bilişim hukukçuları tarafından irdelenecek. 2013 yılında dünyaya damgasını vuran ve önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve siber suçlar panelistler tarafından masaya yatırılacak ve yasal düzenlemelerdeki eksikliklerden bahsedilecek.

Konferans içeriğinde yer alan panelde Vizyon Arge Yönetim Kurulu Başkanı Murat Balaban’ın moderatörlüğünde Siber Güvenlik Eylem Planı da masaya yatırılacak. Diğer ülkelerin siber güvenlik eylem planlarıyla karşılaştırmalı analizler yapılıp, eylem planına sektör katkıları konuşulacak.

Siber Güvenlik Konferansı, kamu ve özel sektördeki siber güvenlik uzmanlarının, hacker’ların, bilişim hukukçularının, güvenlik güçlerinin ve siber güvenliğe merakı olan herkesin katılması gereken bir etkinlik.

Konferansa katılım ücretsiz. Kayıt ve daha detaylı bilgi için konferans web sitesini http://www.siberguvenlikkonferansi.org/ ziyaret edilebilir.

SurGATE Labs: Oltalama(Phishing) saldırıları kurumları ve kişileri tehdit ediyor

surgateOltama(Phishing) saldırıları tüm dünyanın başına bela olmaya devam ediyor. Anti-Phishing Çalışma grubu (www.apwg.org)  2013 3. çeyrek oltalama raporunu yayınladı. Rapora göre 2. Çeyrekteki tespit edilen phishing saldırıları %20 artarak 143,353 adet olarak belirlendi.

Saldırılar o kadar ciddi boyutlara geldi ki FBI web sayfasından duyuru yapmak ihtiyacı hissetti. FBI http://www.fbi.gov/scams-safety/e-scams adresinden FBI adına gönderilen oltalama e-posta örnekleri yayınlayarak vatandaşlarına bu tür e-postalara kanmaması gerektiğini belirtti.

Türkiye de de durum dünyadan farklı değil. Her geçen gün fatura, hesap özeti, uçak bileti şeklinde zararlı içerik bulunduran sahte e-postalar Türkiye’de faaliyet gösteren bankalar, hava yolu şirketi ve telekom operatörlerinden geliyormuş gibi alıcılara gönderilmektedir. Eklerin yanlışlıkla açılması sonucu ciddi veri kayıpları yaşanabilmektedir.

SurGATE Labs e-posta güvenliğini artırmak için uzun yıllardır yerli Ar-Ge çözümleri sunmaktadır.
Ar-GE faaliyetleri yanında sosyal bilişim sorumluluğu kapsamında da kamuyu bilgilendirici faaliyetlerde bulunma kararı aldı. Güvenli İletişim Teknolojileri, yeni nesil ağ altyapıları ve siber güvenlik teknolojilerine yatırım yapan Vizyon Arge A.Ş ‘nin firması olan SurGATE Labs CTO’su İsmail Yenigül konuyla ilgili şu açıklamalarda bulundu.

“Günümüzde e-posta üzerinden yapılan siber saldırılarda phishing e-postaları ön sırada bulunmaktadır. Bu tarz saldırılardan korunmanın en kolay ve etkin yöntemlerinden birisi de SPF(Sender Policy Framework) kullanımıdır. SurGATE Messaging Gateway ürünümüzde SPF ve kendi geliştirdiğimiz Anti-Spoofing özelliği bulunmaktadır. Türkiye’de güvenli e-posta iletişimi için doğru ve etkin SPF kullanımını artırıcı tanıtım ve destek faaliyetlerinde bulunacağız. Unutmayalım son günlerde veri, zaman ve para kaybına sebebiyet veren malware fatura e-postaları hep bilinen kurumların e-posta adreslerden geliyor gibi gözükmektedir.”

SPF konusunda yardıma ihtiyacını bulunan bilgi işlem yöneticileri müşterimiz olsun veya olmasın http://www.surgate.com web sayfasından SurGATE Labs ekibimiz ile iletişime geçerek SPF konusunda bilgilendirme ve destek alabilir.”

Trend Micro, Heartbleed’in Türkiye ve dünyadaki verilerini açıkladı

Trend_MicroTrend Micro uzmanları, Türkiye ve Dünyada kaç web sitesi ve mobil uygulama Heartbleed’e karşı savunmasız durumda sorusunu araştırdı.  Hem web sitelerini hem de mobil uygulamaları etkileyen Heartbleed ile ilgili çarpıcı sayısal verilere ulaştı.

İnternet üzerinden alınan ve gönderilen bilgilerin korunmasını sağlayan SSL şifreleme teknolojisini etkileyen Heartbleed Bug, bugüne kadar internetin karşılaştığı en sinsi ve tehlikeli güvenlik açıklarından birisi olarak nitelendiriliyor. Trend Micro, öncelikle web sitelerindeki bir güvenlik açığı olarak saptanan Heartbleed Bug’ın mobil uygulamaları da etkilediğini belirtiyor. Siber güvenlikte küresel lider Trend Micro Heartbleed’in etki alanıyla ilgili rakamsal bilgileri açıklıyor.

Türkiye’de 115 Web Sitesi Heartbleed Bug’a Karşı Savunmasız

Trend Micro’nun üst seviye alan adları üzerinden yürüttüğü araştırmada, Türkiye merkezli ‘.tr’ alan adlı toplam 3 bin 40 adet siteden 457 tanesinin SSL şifrelemesi kullandığı belirlendi. Bu 457 sitenin 342 tanesinin güvenli olduğu ortaya çıktı. Geri kalan 115 web sitesi, yani ‘.tr’ alan adı kullanan internet sitelerinin yüzde 25’i Heartbleed Bug’a karşı savunmasız durumda.

Dünya’daki üst seviye alan adına sahip 1 milyon web sitesinin yüzde 5’i Hearthbleed’ten etkilendi

Trend Micro’nun yaptığı araştırmada üst seviye alan adına sahip 1 milyon web sitesi incelendi. Trend Micro uzmanları bu 1 milyon sitenin yüzde 5’inin Heartbleed’e karşı korunmasız olduğu sonucuna ulaştılar. Bu veriler içerisinde Güney Kore merkezli ‘.kr’ üst seviye alan adına sahip web sitelerinin yüzde 56’sının Heartbleed’e karşı savunmasız olduğu ortaya çıktı. Güney Kore’yi yüzde 45’lik oranla ‘.jp’ üst seviye alan adına sahip Japonya merkezli web siteleri izledi. Dikkat çeken bir başka veri ise gov uzantılı web sitelerinin yüzde 38’inin Heartbleed’e karşı savunmasız olduğu.

Android 4.1.1 sürümünü kullanan mobil platformlar tehlike altında

Trend Micro’nun saptadığı bir başka veri ise Heartbleed tehlikesinin mobil platformlarda da etkili olduğu. Özellikle Android 4.1.1 sürümünün korunmasız olduğuna dikkat çeken Trend Micro uzmanları, bağımsız OpenSSL Kütüphanesi kullanan uygulamaların da güvenlik tehlikesine neden olabileceğini vurguladılar. Google Play üzerinde bağımsız OpenSSL kütüphanesi kullanan 273 uygulamanın Heartbleed’e karşı savunmasız olduğu saptandı.

Toplamda 7 bin uygulamayı inceleyen Trend Micro uzmanları bunlardan 6 bin tanesinin savunmasız olduğunu belirledi. Uygulamaların temalarına bakıldığında ise Lifestyle (yaşam tarzı) ve eğlence içerikli uygulamaların yüzde 13’ü, sosyal ve iş içerikli uygulamaların yüzde 6’sı korunmasız durumda. Ek olarak fotoğraf ve sağlık içerikli uygulamaların yüzde 4’ü, alışveriş ve üretim içerikli uygulamaların ise yüzde 3’ünün Heartbleed’e karşı savunmasız olduğu ifade edildi.

Trend Micro uzmanları Hearthbleed’e karşı alınabilecek pratik önlemleri ise şu şekilde sıralıyor:

  • Tüm sistemlerinizde güvenlik yazılımlarının güncel olduğundan emin olun.
  • Online hesaplarınız ve finansal hesaplarınızdaki her türlü şüpheli durumu gözlemleyin.
  • Şifrenizi değiştirmenizi tavsiye eden sitelerde hemen şifrenizi değiştirin.

Open SSL’de ortaya çıkan güvenlik zafiyeti ile ilgili Comodo’nun yorumu

comodoSSL protokolü kullanımı sağlayan açık kaynak kodlu ve ücretsiz bir yazılım olan Open SSL yazılımı içerisinde HeartBeat adı verilen ve istemci ya da sunucu tarafında, bu şifreli kurulan trafiğin yerinde olup olmadığının kontrolü için kullanılan tercihe bağlı aktif hale getirilebilen bir yöntem söz konusu.

Bu yöntemin tanımlı olduğu yazılımın kütüphanesinde keşfedilen bir zafiyet üzerinden, sunucu ya da istemci fark etmeksizin bu yazılımı kullanan bütün sistemlerin hafıza (RAM) bilgisinin belli bir kısmı sızdırılabiliyor.

Bu sızan bilgilerde, Web oturum bilgileri, parolalar, önemli şifreleme anahtarları gibi kritik bilgiler yer alıyor olma ihtimali bulunuyor.

Medyada yanlış bir bilgilendirme ile bu açıklığın bir virüs gibi kendi kendine yayılan ve diğer bütün sistemleri ele geçirmek için kontrolsüz ilerleyen bir tehdit gibi gösterilmesi, tamamen bilgi eksikliğinden kaynaklanıyor.

Oysaki bu açığın keşfedilmesinden itibaren çok hızlı bir şekilde OpenSSL geliştiricileri bu açığın yamasını çıkararak bu güvenlik açığını kapatmıştır.

Open SSL yazılımının güncellenmesi ve 1.0.1g sürümü öncesindeki tüm sürümlerin çıkarılmış bu son sürüm ile değiştirilmesi sonrası hem istemciler hem de sunucu tarafta bu yazılımı kullananlar tarafında sorun çözülmüştür.

Bireysel ve kurumsal kullanıcıların tüm güvenlik ihtiyaçlarını karşılayan online güvenlik sistemleri üreticisi Comodo’nun  Türkiye Operasyon Müdürü Cem Sofuoğlu  yazılım güncellemesi ile bu sorunun rahatlıkla çözülebileceğini belirtiyor.

Bireylerin web, ftp ya da eposta gibi SSL kullanan servisleri kontrol etmek için Comodo’nun sağlamış olduğu ücretsiz https://sslanalyzer.comodoca.com hizmetindende faydalanabileceğini belirtiyor.

Trend Micro, yeni yılda kullanıcıların güvenliğini sağlayabilmesi için dikkat edilmesi gerekenleri sıraladı

Geçtiğimiz yıl güvenlik açıkları, sosyal medya ve mobil cihazlardaki tehditler, kimlik hırsızlıkları gibi birçok güvenlik skandalıyla geçti. Yeni yılda benzer sorunların yaşanmaması için önerilerde bulunan Trend Micro Tüketici Güvenlik Hukuku Danışmanı Richard Medugno, güvenlik konusunda kullanıcıların mutlaka dikkat etmesi gereken 10 maddeyi sıraladı:

  1. İnternet üzerinden yaptığınız harcamalarda kullandığınız banka kartlarının şifrelerini belli periyotlarda değiştirin. Zira birçok alışveriş sitesinin veritabanı kötü niyetli kişiler tarafından ele geçiriliyor ve sizin de bilgileriniz bu veritabanlarından birinde olabilir.
  2. Eğer çevrimiçi harcamalarınızda kredi kartı kullanıyorsanız, aylık olarak fatura detaylarınızı kontrol etmeyi ihmal etmeyin.
  3. Facebook üzerindeki gizlilik ayarlarını kontrol etmeyi ve paylaşımlarınızı görecek kişileri sınırlamayı unutmayın. Facebook’un asla “mahrem bir platform” olmadığını aklınızdan çıkarmayın.
  4. İnternet üzerinde kullandığınız tüm şifrelerin farklı harfler, rakamlar, noktalama işaretleri ve en az 10 karakterden meydana geldiğine emin olun. Kısa ve basit şifrelerden kaçının.
  5. Kişiye özel hazırlanmış mesajlar ya da e-postalar üzerinden gerçekleşen olta saldırılarının tuzağına düşmeyin. Özellikle tanımadığınız kişilerden aldığınız mesajlara şüpheci yaklaşın.
  6. Herhangi bir dijital ortamda kişisel verilerinizi barındıran bir mesajı paylaşmadan ya da göndermeden önce iki kere düşünün. Bu veriler yıllar sonra bile olsa kötü niyetli kişiler tarafından kullanılabilir.
  7. Dolandırıcılığa karşı koruma sağlamayan bir ödeme yöntemi kullanmayın. Özellikle banka havalesi ya da doğrudan banka hesabına para yatırmaya benzer yöntemleri asla tercih etmeyin. Zira bu yöntemlerde paranızı geri almak mümkün olmayacak.
  8. Telefonunuzu ya da diğer tüm taşınabilir cihazlarınızı güvenlik koduyla kilitleyin. Bir süre sonra cihazın kendiliğinden kilitlenmesini sağlayın.
  9. Çocuklarınız evden bağlantı sağlarken internet erişimlerini görüntülemekten endişe etmeyin. Bunun için birçok ebeveyn kontrol aracından yararlanabilirsiniz.
  10. Anlık olarak güncellenen ve bir antivirüs çözümünden çok daha fazlasını sunan güvenlik yazılımlarını hem bilgisayarınızda hem de mobil cihazlarda mutlaka kullanın.
%d blogcu bunu beğendi: