Lostar Blog - Lostar Bilgi Güvenliği

Sahte Uygulamalar Üzerinden Hack’lenmekten Nasıl Korunabilirsiniz?

Siber güvenlik uzmanları, akıllı telefon kullanıcılarını hacker’ların telefonlarındaki kişisel bilgilere erişimini sağlayacak sahte uygulamaları indirmemeleri konusunda uyarıyor. Eylül ayında hackerlar, Google Play Store‘ da “doppelgangers” olarak da bilinen birçok kötü amaçlı uygulama geliştirdiler; bu sahte uygulamalar yaygın kullanılan gerçek uygulamaları taklit ediyordu.

(more…)

Devamını Okuyun

KRACK (Key Reinstallation Attack) : WPA2 Şifreleme Standartı Kırıldı

Siber suçlulardan bizleri koruyan WiFi güvenliğini sağlayan WPA2 şifreleme protokolü kırıldı. KU Leuven üniversitesinde doktora çalışması yürüten Mathy Vanhoef, günümüzde üretilen ve son 13 yıldır var olan hemen hemen tüm modemlerde kullanılan WPA2 şifreleme protokolünde bulduğu zafiyeti duyurdu.
BKNZ: https://www.krackattacks.com/

İyi haber ise bu zafiyet yazılım güncellemesiyle kapatılabiliyor olmasıdır. WiFi yayın yapan ve WPA2 şifreleme protokolünü kullanan tüm modemlerinizin güncellemelerini kontrol etmek gerekmektedir. Vanhoef, bu zafiyeti üreticilere temmuz ayında bildirdiğini belirtiyor. Saldırılardan endişelenmesi gereken yerler şirketler ve devlet kurumlarıdır.

(more…)

Devamını Okuyun

RSA Anahtar Üretimi Uygulamasındaki Güvenlik Açığı (ROCA)

Çek Cumhuriyeti Masaryk Üniversitesi’ndeki Kriptografi ve Güvenlik Araştırma Merkezi’nden Slovak ve Çek güvenlik araştırmacıları tarafından Infineon Technologies tarafından geliştirilen bir kod kütüphanesinin içerdiği bir hata nedeniyle RSA anahtar üretiminin uygulanmasında “ROCA” olarak adlandırılan bir güvenlik açığı keşfedildi. Açıklıktan etkilenen şifreleme anahtarları, donanım çipleri, kimlik doğrulama tokenları, yazılım paketleri, elektronik belgeler, TLS / HTTPS anahtarları ve PGP gibi birçok teknolojiyi güvence altına almak için kullanılıyor. Infineon Technologies’in akıllı kartları, güvenlik tokenları ve 2012 yılından beri üretilen güvenli donanım yongaları etkilenen kod kitaplığını kullanıyor. Bu güvenlik açığından yararlanmak isteyen bir saldırgan pratik bir zaman diliminde asal çarpanlara ayırma yöntemini kullanarak genel anahtardan bir özel anahtarı türetebilir.

(more…)

Devamını Okuyun

5 ADIMDA SİBER GÜVENLİĞİNİZİ İYİLEŞTİRİN

PwC, hazırladığı 2018 Küresel Bilgi Güvenliği Araştırması Raporu’nda, malware ve diğer kötü niyetli siber saldırıların arttığını belirtti. Buna rağmen rapora göre dünya genelindeki şirketlerin %44’ünün tam anlamıyla bir siber güvenlik stratejisi yok.

Ayrıca, 120 ülkede incelenen 9500 yöneticinin %48’inde herhangi bir çalışan siber farkındalık geliştirme eğitim programının olmadığını ve %54’ünde olaya müdahale sürecinin olmadığını bildirdi.

PwC’nin ABD’deki siber güvenlik liderlerinden Sean Joyce, raporda “Birçok organizasyon dijital risklerini değerlendirmeli ve kaçınılmaz olanlara karşı siber dayanıklılık oluşturmaya odaklanmalıdır” dedi.

(more…)

Devamını Okuyun

Enerji ve Diğer Kritik Altyapı Sektörlerini Hedefleyen APT Tehlikesi

Etkilenen sistemler:

  • Domain Controller
  • Dosya sunucuları
  • Email sunucuları

(more…)

Devamını Okuyun

Hacker’lar az kalsın bu yaz savaş başlatacaktı: Sahte haber Donald Trump için tasarlandı.

 

Ortadoğu’da diplomatik münakaşalar çok da az denemez; ama Katar ve bazı Arap komşuları arasında bu yaz başlayan gerilim türüne az rastlanır cinsten denilebilir. İlk defa büyük bir jeopolitik kriz hacker’lar tarafından tetiklendi ayrıca ilk kez sahte bir haber neredeyse fiziki bir çatışmaya sebep olacaktı. Bilindiği kadarıyla sahte haberin hedef kitlesi bir kişiydi: ABD Başkanı Donald Trump.  Quartz’a verilen röportaj ve belgelerde Katar hükümeti, krize neden olan olayların tasvirini ilk kez ayrıntılı olarak açıkladı. (more…)

Devamını Okuyun

Bilgi Güvenliği Hakkında Hollywood Size Ne Öğretebilir?

bilgi güvenliği

Film yapımı büyük bir mesele, IP’yi korumak ise daha da büyük ve önemli. Bilgi güvenliği açıklarından kaynaklanan sızdırmalar, bugünün dijital dünyasında oldukça yaygın. Hepimiz eğlence sektöründeki şirketlerin kendi içeriklerinin bazılarını ya da tamamını kasıtlı sızdırdığını duymuşuzdur. Bu stratejideki hedef ortalama bir tanıtımla yüksek gişe elde etmektir. Tarihteki TV şovları arasında en çok korsan dağıtılanlardan biri olan Game of Thrones’ un popülerliğine de illegal indirmelerin sağladığı katkı oldukça belirgin. Korsan dağıtım onlar için beklenmedik yararlar getirmiş olabilir; ama birçok şirket ürünlerini henüz yayınlanmaya hazır değilken bilgi güvenliğinden taviz vererek risk almak istemez ya da ürünlerinin yanlış ellerde dolaşmasına izin vermez. Dört temel örnekle neden (more…)

Devamını Okuyun

Backdoor : iPhone 7 Uzaktan Ele Geçirme Zafiyeti

İphone’ların da dahil olduğu Broadcom WiFi yongalarını kullanan cihazlarda kritik bir güvenlik açığı Google Project Zero’nun güvenlik araştırmacısı Gal Beniamini tarafından keşfedildi. (CVE-2017-11120)

Bu zafiyet nisan ayında yayınlanan Broadcom WiFi SoC (Software-on-Chip) zafiyetine ve bu yaz başlarında Exodus Intelligence da çalışan güvenlik araştırmacısı Nitay Artenstein tarafından açıklanan BroadPwn güvenlik zafiyetine benziyor. Bu zafiyetler de akıllı telefonları WiFi üzerinden uzaktan ele geçirilmesini sağlıyor. (more…)

Devamını Okuyun

TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Türkçeleştirilmesi

Türk Standartları Enstitüsü (TSE)

18.11.1960 tarih ve 132 sayılı kanunla kurulmuştur. Amacı her türlü madde ve mamuller ile usul ve hizmet standartlarını yapmaktır. Enstitünün ilgili olduğu bakanlık Bilim, Sanayi ve Teknoloji Bakanlığıdır. Bir standardın Türk Standardı olabilmesi için Türk Standartları Enstitüsü tarafından kabul görmesi gerekmektedir.
(more…)

Devamını Okuyun

Antivirüs Atlatma Teknikleri

Penetrasyon testlerinde, özellikle hedef makinede belirli dosyaları çalıştırma veya post exploitation aşamasında antivirüs uygulamalarını atlatmak zorunda kalabiliriz. belirli bir antivirüs uygulamalarını atlatmak zor olabilir çünkü (more…)

Devamını Okuyun