1 Nisan 2014 Salı

Apple'ın 2008 yılında hayata geçirdiği ve ilk kez günlerden beri erişim sağlanamayan geliştirici portalının, Türk yazılımcı İbrahim Baliç'in bulduğu güvenlik açığı nedeniyle kapatıldığı öne sürüldü. Geçmişte Facebook'un da birçok güvenlik açığını bulan ve sosyal medya ağı tarafından ödüllendirilen yazılımcı Baliç, YouTube'da yayımladığı İngilizce videoda Apple'ın geliştirici portalında bulduğu güvenlik açığından bahsetti. Baliç, güvenlik açığı nedeniyle Apple kimliklerine, yazılımcıların ve yazılımcı olmayan kullanıcıların bilgilerine erişebildiğini öne sürdü.
Apple ise günlerdir kapalı olan geliştirici portalı hakkında bugün teknoloji dünyasına e-posta yoluyla açıklama yaptı. The Next Web ve 9to5Mac sitelerinin verdiği bilgiye göre, Baliç Perşembe günü geliştirici portalı kapanmadan birkaç saat önce güvenlik açığını tespit etti.


'SİBER SALDIRI AMACI TAŞIMIYORUM"

Baliç'ten bilgi alan 9to5Mac, Apple'ın bir 'enjeksiyon saldırısına' uğradığının anlaşıldığını ancak bu bilgiyi doğrulayacak verilerin ellerinde olmadığını belirtti.


Tespit ettiği güvenlik açığı aracılığıyla kullanıcıların ilk ve soyadlarına, Apple ID'lerine, e-posta adreslerine ve kullanıcı kimliklerine erişim sağlayabildiğini belirten Baliç, YouTube videosunda 100 bin kişinin bilgilerine ulaştığını öne sürerken, tüm bilgileri sildiğini duyurdu. Amacının güvenlik açıklarını bulmak olduğunu ve bir siber saldırı amacı taşımadığını vurgulayan Türk yazılımcı, geçmişte Facebook'unda güvenlik açıklarını bulmuş, hatta Facebook CEO'su Mark Zuckerberg'in hesanına girmiş, sosyal medya ağı tarafından ödüllendirilmişti.



APPLE'DAN AÇIKLAMA

Apple, İbrahim Baliç'in tespit ettiğini öne sürdüğü güvenlik açığı hakkında doğrudan açıklama yapmazken, 'bür güvenlik ihlali nedeniyle' geliştirici portalının halen teknik bakım altında olduğunu açıkladı. Geliştirici portalının sayfasında yapılan açıklama ise şöyle:
"Geçtiğimiz hafta Perşembe günü, sayfaya izinsiz giriş yapan bir kişi geliştirici portalından kayıtlı kullanıcılarımızın kişisel bilgilerini elde etmeye çalıştı. Hassas kişisel bilgiler şifrelenmiştir ve erişim sağlamamaz. Ancak bazı geliştiricilerin isimlerine, adreslerine ve/veya e-posta adreslerine erişim saplanabilmiş olma ihtimali bulunuyor.
Perşembe günü bu gelişmenin ardından sayfayı anında kapatarak o dakikadan itibaren çalışmalara başladık. Bu tür bir güvenlik tehdidinin bir daha yaşanmasını önlemek için geliştirici sistemlerimizi tamamen revize ediyoruz, sunucu yazılımımızı geliştiriyoruz ve veri tabanımızı yeniden inşa ediyoruz. Erişim sağlanamadığı sürenin uzunluğundan dolayı neden olduğumuz aksaklıklardan özür diliyoruz ve yakın zamanda geliştiricileri tekrar sayfamızda görmeyi umuyoruz."


Sıfır gün açığı satıcıya bilinmeyen yazılım bir delik anlamına gelir . Bu güvenlik deliksatıcı haberdar olur önce sonra hackerlar tarafından istismar edilir ve aceleyle onu - bunu düzeltmek için istismar bir sıfır gün saldırısı denir. Sıfır gün saldırıları Kullanımı malware, spyware sızan veya kullanıcı bilgilerine istenmeyen erişimi sağlayan içerebilir . Terimi " sıfır gün" özellikle ,geliştiriciler , hacker  dışındakilere deliğin bilinmeyen doğası anlamına gelir . Açığı bilinen olduktan sonra , bir yarış kullanıcıları korumak gerekir geliştirici , için başlar.
İngiltere'nin Birmingham Üniversitesi'nde bilgisayar mühendisliği alanında akademisyenlerden biri olan Flavo Garcia, içlerinde Porsche, Audi, Lamborghini ve Bentley'nin de bulunduğu lüks otomobillerin güvenlik sistemlerini çözen bir algoritma geliştirdi.



Lüks otomobilleri çalıştırabilen kodu

28 Mart 2014 Cuma

En tehlikeli mail hack yöntemi trojan ve keylogger ile yapılır.Çünkü çalınan sadece mail şifreniz değil PC içinde bulunan tüm bilgilerden, giriş yaptığınız sitelerdeki üyeliklerinize kadar herşeyiniz hacklenebilir.Hatta neredeyse PC nizin başkalarının kontrolüne geçtiğini söyleyebiliriz.Bundan korunma yöntemi ise, MSN den veya mail yoluyla gönderilen hiçbir .exe dosyasını kabul etmeyiniz, download etmeyiniz.İndirmiş oldugunuz her dosyayı antivirüsten geçirmelisiniz.

Bu oyunu yükleyenler arasındaysanız, cebinize deyim yerindeyse bir bomba yüklediniz demek!

Güvenlik uzmanları, Android'deki bir çocuk oyununda, "MasterKey" ismi verilen çok tehlikeli
Dünya devi Apple'ın geçtiğimiz yıllarda hayatımıza soktuğu kaybolan cihazların sinyallerine ulaşıp, kullanıcının mobil telefonunu kaybetmemesini sağlayan yazılımı geçtiğimiz günlerde Google tarafından yeni bir isimle tekrar yoğurularak can buldu. Uzun zamandır hayata geçirilmesi beklenen bu proje Android kullanıcılarının yüzünü güldürdü.
Yapılan bir araştırmaya göre şu an dünya üzerinde mevcut SIM kartların yüzde 25'inde bulunan bir güvenlik açığı keşfedildi.
Dünya üzerinde milyarlarca insan yaşıyor ve bu insanların büyük bir kısmı da iletişim aracı olarak en çok cep telefonlarını kullanıyor. Hal böyle olunca SIM kartlarının sayısı da milyarları buluyor. The New York Times'ın raporuna göre geçtiğimiz günlerde SIM kartlarda keşfedilen bir güvenlik açığı ise yaklaşık 750 milyon kişiyi ilgilendiriyor.

Belirtilene göre Almanya'da bir güvenlik araştırma laboratuvarı

20 Mart 2014 Perşembe

FIREWALL’LAR

Firewall u İnternet ile bilgisayar arasında kurulan bir duvar olarak nitelendirebiliriz.Bilgisayarımızı internete bağladığımızda , bağlı olan hat üzerinden bilgisayara onlarca kapı açılır.Bu kapılardan çeşitli virüs benzeri yazılımlar girebilir.Firewall’lar bu kapıları kapamaya yararlar.Biz bu kapılara "Port" adını veriyoruz.Örneğin I.explorer 80 no’lu porttan internete giriş sağlar.

Bilgisayar internete bağlandığı zaman doğal olarak bu portlar açılır.Ve kişilere açık açık "gelde benim sisteme gir" denilir.İşte firewall’lar burada devreye girerler.Firewall’lar bu portları kapar ve bizim iznimiz olmadan bu portlardan hiçbir giriş gerçekleşemez.

Bana göre en iyi Firewall ları sıralamak istiyorum;

1-Sygate Personal Firewall

2-Norton Personal Firewall

3-Kerio Personal Firewall

4-Zonealarm Firewall

Bilgisayar güvenliği kısaca, bilgisayarın izinsiz kullanılması engelleme anlamına gelmektedir.


NEDEN GÜVENLİK?

Bazı bilgiler bizim için özeldir: Her ne kadar kişisel bilgilerimiz devlet sırrı olmasa da, kimse maillerinin okunmasını, bilgisayarındaki dosyaların alınmasını istemez.


Bilgisayar her işte, her alanda yaygınlaşmıştır. Her türlü bilgi bilgisayar ortamında tutulmaktadır. İnternet banka, alışveriş, haberleşme alanlarında yaygın olarak kullanılmaktadır. Bu bilgilerin ve şifrelerin iyi bir şekilde korunması gerekmektedir.


Güvenlik tehlikesi hızla artmaktadır. Neden tehlikeli olduğunu bir sonraki bölümde okuyabilirsiniz.

NEDEN TEHLİKELİ?
Kötü şöhretli islamofob ve uzun yıllardır KGB gazeteciliği yapan Latınina KGB’nin Gazprom radyosu "Ekho Moskvy" e "Kaspersky antivirüsleri" ile etkilenen zombi bilgisayarlar kullanarak Kavkaz Center’e düzenlenen sürekli DDoS saldıralarına katılan KGB ajanı Kaspersky’yi savunmak için konuştu.

Latınina tarafından temsil edilen KGB, Wired tarafından yayınlanan bir makalede Eugene Kaspersky’nin ajanlığını açığa çıkartarak aşağılanmıştı. Latınina şunları söyledi:
“Dünyayı 80’lerde kablolarla, 90’larda bilgisayar ağlarıyla bağladık. Bugünse dünyayı yazılımlarla bağlıyoruz. Bu yazılımların güvenli bir şekilde tasarımı, geliştirilmesi ve uygulamaya sokulması günümüz evrimleşen dünyası için kritiktir”(Mark Curphey, Microsoft ürün geliştirme başkanı ve OWASP kurucusu)

NEDEN GEREKLİ?

E-posta güvenliği genel olarak kişinin dikkatine bağlıdır.Bilinen yöntemlerden bahsedelim.

1. Gizli soru
2. Fake Mail
3. Trojan ve keylogger
4. Şifre Tahmini
5. Database Çalımı

1-Gizli Soru

Birçok kişinin 2. mail şifresi diyebiliriz.Şifremizi unuttuğumuzda gizli soru vasıtasıyla geri almamızı sağlarız.Fakat birçok kişi gizli sorularını "Adım ne, Ben Kimim, Sen Kimsin vb. şekilde kolay yapmaktadırlar.Tabi sorusu kolay olupta cevabı zor olanlarda var.Size önerim cevabınızı sorunuzla hiç alakası olmayan birşey yapın.Örn soru "Who is first Turkish Hacker?" cevabı da "Ben iyiyim sende iyisindir inşallah" gibi saçma yapabilirsiniz.Ben şahsen gizli soru cevabımı

Not:Yahoo ve mynet in bu açıklara karşı doğum tarihi gibi bir güvenlik eklemiştir denemeyiniz.


2-Fake Mail

En çok kullanılan yöntem fake maildir.Birçok kişi aaa hala fake mail yiyen mi var diye dalga geçsede, uzmanca hazırlanmış bir fake gerçekten büyük sorunlara yol açabilir.Hiç beklenmedik bir anda bir bakarsınız mailiniz hacklenmiş.Yöntem: fake mail.Buna karşı yapacağınız tek şey; Size mail şifrenizi isteyen hiçbir yere cevap vermemenizdir.

Mynetten yollanmış gibi gösterilen bir fake te "Mynet artık 3 GB alan veriyor.Aşağıdaki linkten hesabınıza giriş yapınız ve 3 GB lık hesabınızı aktive ediniz." yazabilir.Bunda hemen heyecanlanıp giriş yapan arkadaşlarımız çok oluyorBurada önemli olan dikkattir.Bu yüzden şifre isteyen hiçbir maile güvenmeyin!


3-Trojan ve Keylogger

Trojan bölümündeki yazıları tekrarlayalım...

En tehlikeli mail hack yöntemi trojan ve keylogger ile yapılır.Çünkü çalınan sadece mail şifreniz değil PC içinde bulunan tüm bilgilerden, giriş yaptığınız sitelerdeki üyeliklerinize kadar herşeyiniz hacklenebilir.Hatta neredeyse PC nizin başkalarının kontrolüne geçtiğini söyleyebiliriz.Bundan korunma yöntemi ise, MSN den veya mail yoluyla gönderilen hiçbir .exe dosyasını kabul etmeyiniz, download etmeyiniz.İndirmiş oldugunuz her dosyayı antivirüsten geçirmelisiniz.

Trojan mailler de bu başlık altına girer.Örneğin bir mailde size link verilir ve tıkladığınızda karşınıza anlaşma gelir siz burada evet hayır seçeneklerinden hayır ı tıklayarak kurtulabilirsiniz..


4-Şifre Tahmini

Artık hack ile ilgilendiğinize göre zaten bu yöntemle hackleneceğinizi gözününe almamak lazım ama yine de açıklayalım.Kişi bilgisayarının başına geçip sizin koyabileceğiniz şifreleri tahmin etmeye çalışır ve tek tek dener.Ama zaten birkaç denemeden sonra mail girişi donduruluyor.


5-Database Çalımı

Burda dikkat edilmesi gereken tek şey hiçbir sitede kullandığınız şifreyi mail şifrenizle aynı yapmayınız.Sizin üye oldugunuz bir sitenin DB (database)sini ele geçiren bir kişi DB de tüm şifreleri eline geçirir ve şifreler karşısına gelir.md5 li de olsa sonuçta kırabilirse mailinizi eline geçirir.Bu yüzden hiçbir sitedeki şifreniz mail şifrenizle aynı olmasın.


GÜNCELLEMELER


Sisteminizin genel olarak güvenliğin sağlamak için sürekli upload etmelisiniz.

Windows Güncellemeleri;

Windowsunuzu sürekli güncellemeniz size güvenlik konusunda çok yardımcı olacaktır.


Office yazılımlarının güvenliğini de ;

Office - Office.com adreslerinden upload ederek sağlayabilirsiniz.

Windows güncellemeleri otomatik olarak ayarlanabilir.Bu da size bir kolaylık sunar.Otomatik güncelleştirmeyi ayarlamak için ;

Bilgisayarım’a sağ tıklayın > Özellikler > Otomatik Güncelleştirme’ye gelerek ayarlarınızı yapabilirsiniz..

Güncellemeler virüslere karşı alınabilecek önlemler arasında önemlidir.Bu yüzden kesinlikle güncellemelerinizi aksatmayınız..


AÇIKLAMA:

Virüslere, spyware’lere daha genel konuşursak “hacker” lara karşı hazırlıklı olmamız gerekmektedir.Güvenliğinden emin olmadığınız hiçbir şeyi download etmeyin, sisteminizin güncellemelerini yapın, antivirüs & spyware yazılımlarınızı sürekli güncel tutun, ve kimseye güvenmeyin..Dökümanda anlatılanları gerçekleştirirseniz güvenliğinizi büyük bir ölçüde sağlamış olursunuz..
Çoğumuz internette gezinirken bilgisayarlarımıza bulaşan spywarelerden, farkında olmadan ana sayfamızın değiştirilmesinden, browserımıza arama motorları eklenmesinden bıkmış durumdayız.Aslında daha kötüsü de var.İnternette gezinirken önemli kişisel bilgilerimizin,firma bilgilerimizin,cep telefon şifrelerimizin, (süperşifre) banka hesap numaraları yada şifrelerimizin çalınma olasılığıyla beraber yaşamaktayız.

Peki bu istenmeyen açıklıklardan nasıl korunuruz?


İlk olarak güvenlik neden önemlidir sorusuna bir cevabımızın olması gerekir.Evet güvenlik niçin önemlidir?

Özel hayat gizliligi, iş ve emek verilen bilgileri korumak gibi sebeplerden dolayı güvenlik kaçınılmaz hal almıştır.Örneğin; Zamanımızda firmalar hem verimlilik hem maliyeti düşürme hem de iletişim amacı ile kendi bilgisayar ağlarını internete bağlıyorlar ama güvenlik önlemlerini almıyorlar.Truva atları ve virüs yazma teknikleri Hakkında bilgiler internette birçok adreste anlatılır durumda.Bu programları kullanarak bilgisayar ağlarına zarar verenler ve verdirenler son zamanlarda çok kolaylaştı.

Neredeyse her firma haberleşmelerinizi elektronik posta ile yapmakta; müşteri bilgilerini, ürün bilgilerini, muhasebe bilgilerini elektronik ortamda saklamaktadır.Peki bu çalıştığımız bir firmadaki bu tür bilgilerin rakip firmanın eline geçebileceğinde firmanın başına neler gelebilir hiç düşündünüz mü?