Bu bülten, siber güvenlik ve siber savunma alanında dünyada yer alan başlıca gelişmeleri derlemeyi amaçlamaktadır. Siber güvenlik konusunda güncel

Transkript

1

2 2 Bu bülten, siber güvenlik ve siber savunma alanında dünyada yer alan başlıca gelişmeleri derlemeyi amaçlamaktadır. Siber güvenlik konusunda güncel gelişmeleri taraf gözetmeden, farkındalık geliştirmek amacıyla sunan bültenimiz, ODTÜ Enformatik Enstitüsü nde faaliyet gösteren CyDeS (Cyber Defense and Security Center) tarafından aylık olarak hazırlanmaktadır.

3 3 İçindekiler: 4 Anthem 5 Google: Chrome, Google Play, Gmaıi, Drive 8 Cisco Siber Güvenlik Raporu 12 Samsung 12 Microsoft & HP 13 WordPress 13 Otomobillerde Siber Güvenlik 14 Cyber Güvenlik Alanında Kadınlar 16 Hollanda : Hükümet Websitesi Hack Saldırısı 16 Türkiye : Ciber Güvenlık Plani 17 Çin : Ciber Güvenlık Yasasi 17 UK : Ciber saldırı simülasyonu 18 CyDes : Siber Güvenlık Eğitimi 19 Avrupa Birliği : Güvenli bulut bilişimi 20 Lenovo: Zararlı Reklam Yazılımı 21 Soysal Paylaşim Ağları : Arkadaşlık siteleri, Facebook Thread Echange 22 Bankalar : 1 milyon Dolarlik Siber Saldırı

4 4 anthem: BÜYÜK ÇAPLI SİBER SALDIRI Sağlık Sigortası Şirketi Hacklendi, 40 Milyon Müşteri Bilgisi Çalındı Amerika Birleşik Devletleri nde yaklaşık 40 milyon müşteriye hizmet veren Anthem Inc (ANTM.N), 4 Şubat tarihinde bilgisayar korsanlarının bilişim sistemlerinden birine sızmayı başardığını ve eski ve mevcut müşterileriyle beraber çalışanlarının kişisel bilgilerinin çalındığını duyurdu. ABD de sağlık sektöründeki ikinci en büyük sigorta şirketi olan Anthem, açıklamasında saldırıdan tıbbi bilgi ya da kredi kartı, banka hesap numaraları gibi finansal bilgilerin etkilenmediğini belirtirken bilgisayar korsanlarının ad, doğum tarihi, sosyal güvenlik numaraları, adresler, eposta adresleri ve iş bilgilerine ulaştığını bildirdi. Açıklamada saldırının çok sofistike olduğuna vurgu yapan şirket, ilgili güvenlik açığını kapatmak için çalışmalarının ivedilikle devam ettiğini ve saldırının Federal Soruşturma Bürosu(FBI) na rapor edildiğini söyledi. Sigorta şirketi saldırıyı araştırmak üzere siber güvenlik firması FireEye Inc FEYE ile anlaştı. Şirket, kaç müşteri ve personelinin saldırıdan etkilendiğine dair bilgi vermezken the Wall Street Journal on milyonlarca insanı kapsadığından şüpheleniyor. Bu saldırının ABD de sağlık sektöründen bir sigorta şirketini hedef alan en büyük siber saldırı olduğu belirtiliyor. Anthem 2015 e girerken 37.5 milyon müşteriye sahipti. Federal Soruşturma Bürosu (FBI) geçen ağustos ayında sağlık sektörü firmalarının hedef alındığı yönünde bir uyarı da yapmıştı. Tıbbi kimlik hırsızlığı, hastalar tarafından çoğu zaman hemen farkedilmiyor ve bu durum sağlık bilgilerini herhangi bir sahtecilik durumunda bankalar tarafından hızlı bir şekilde iptal edilen kredi kartı bilgilerinden daha değerli kılıyor. Güvenlik uzmanları 3 trilyon dolara ulaşan ABD sağlık sektörünün son yıllarda bilgisayar korsanları tarafından artarak hedef alındığını belirtiyor. Bu durumda sektörün bilişim konusunda en son teknolojileri kullanmamasının da etkili olduğu belirtiliyor. Anthem veritabanına yönelik siber saldırı sonucu bilgileri çalınan müşteri ve çalışanlarına bir mektup ve eposta göndereceğini duyurdu. Şirket aynı zamanda adresi üzerinden kredi görüntüleme hizmeti sağlayacağını da duyurdu. Kaynak: Anthem: Siber Saldırının Ardından Uzmanların Yorumu Anti-Phishing Working Group un kurucu ortaklarından Dave Jevans a göre Anthem i hedef alan hacker saldırıları 5 çalışan üzerinden gerçekleştirildi. Information Security Media Group ile olan tolantıda Dave Jevans Anthem e yönelik siber saldırının şirketleri ve çalışanları hedef alan saldırıların gelişimi konusunda da sembolik olduğunu belirtti. Hassas müşteri bilgilerine ev sahipliği yapan veri sistemlerine giriş hakkına sahip az sayıdaki çalışanı hedef alan bu saldırılar e-dolandırıcılık faaliyetlerini artırma amacı güttüğünü belirtti. Büyük resme bakınca son yıllarda kimlik hırsızlığı saldırılarında ciddi değişikliklerin göze çarpar olduğunu belirten Dave Jevans, geniş tabanlı müterileri hedef alan kimlik hırsızlığı saldırılarında %25 lik ciddi bir düşüş olduğunu belirtiyor. Gerçek riskin ise çalışanları hedef alan siber saldırılardaki artış olduğunu belirtiyor ayrıca kendisi. JPMorgan Chase e yönelik gerçekleşen saldırının arka planda ağ üzerinde açıklığı bulunan bir bilgisayar üzerinden bir bilgi teknolojileri çalışanının sisteme giriş yaparken saldırganların şifreyi ele geçirmesiyle gerçekleştiğine dikkat çeken Dave Jevans,

5 5 anthem: BÜYÜK ÇAPLI SİBER SALDIRI en sofistike saldırıların çok az sayıda çalışanı hedef alan saldırılar olduğunu belirtiyor. Bu saldırılarda artık mobil araçların da kullanıldığını belirten Dave Jevans, saldırganların çalışanlara özel ağ profillerini güncellemelerini isteyen cep telefonu mesajı gönderebileceklerini örnek olarak veriyor. Dave Jevans, SMS gibi yöntemlerin saldırıları belirleme yöntemlerini zor durumda bıraktığı belirtilirken 2015 te mobil cihazların e-dolandırıcılık saldırılarında daha sık kullanılacağını belirtiyor. Öte yandan uzman güvenlik analisti Ken Westin a göre hackerlar bir sistem yöneticisinin giriş bilgilerini elde ederek kriptolanmış dataya ulaşmayı başardı. Westin açıklamasında eğer sistem yöneticisi kimliğine sahipse birisi o zaman bu şifrelenmiş datayı çözebileceğini belirtti. Eylül 2009 da 500 den fazla kişinin kayıtlarının maruz kaldığı sağlık sektöründeki sızmalardan sonra olayların %52 si hırsızlık, %8 i bir laptop ya da usb flash sürücüsü gibi depo malzemesi kaybı, %4 ü de tamamı kriptolanmış veriler olan uygunsuz kayıplar olarak kayda geçmişti. Siber güvenlik araştırma firması Securosis CEO su Rich Mogull kriptolamanın siber saldırıları belirlemede karşı önlem olarak listede yer alması gerektiğini söylüyor. Rich Mogull aynı zamanda bir ana güvenlik uzmanın kiralanıp güçlü bir pozisyonda çalıştırılması gerektiğini de ekledi. Ana bir güvenlik görevlisi hackerların çalışanlardan şifre vb. bilgileri farkında olmadan ele geçirebildikleri sosyal mühendislik saldırılarına karşı personel eğitimini yönetebilir. Mogull, gelecek aşama olarak da fonlandırmaya dikkat çekti. Ona göre firmalar bilgi teknolojileri harcamalarını bir gelişme görebilmeleri için en azından %7 olarak planlamalılar. Healthcare Information and Management Systems Society un geçen yıl sağlık sektöründe yapmış olduğu araştırmaya göre şirketlerin bilgi teknolojileri bütçeleri ortalama %3 civarında. Ken Westin e göre bu sorunu bir anda bitirebilecek bir çözüm yok ve buna kriptografi de dahil. Kaynak: Ve Telafi Planı Büyük siber saldırı sonucu sosyal güvenlik numaraları, doğum tarihleri ve hassas sağlık bilgilerinin çalınmasının ardından Anthem, milyonlarca müşterisinin ücretsiz kredi görüntüleme ve kimlik hırsızlığı koruma hizmetlerinden faydalanabileceğini bildirdi. Anthem sözcüsü Kristin Binns gönderdiği bilgilendirme epostasında müşterilerin iki yıl boyunca ücretsiz sağlanacak olan bu hizmetler için kayıt olabileceğini ve nasıl kaydolunacağına dair bilgilere anthemfacts. com web adresi üzerinden ulaşabileceklerini bildirdi. Geçtiğimiz haftalarda bilgisayar korsanları ABD deki sağlık sektöründe iki numaralı sigorta şirketi olan Anthem in veritabanına sızmayı başarmış ve milyonlarca kişinin bilgilerini çalmıştı. Anthem sağlayacakları hizmetlere büyük talebin olmasını bekliyor. Binns açıklamasında amaçlarının zararı minimize ederken bir yandan da müşterilerinin içlerinin rahat etmesini sağlamak olduğunu belirtti. Sigorta şirketi 10 eyalet avukatından ücretsiz kimlik hırsızlığı koruması ve kredi takip sistemi hakkında bilgi isteyen bir mektup almıştı. Connecticut avukatlarından George Jepsen, Anthem in vakit kaybetmeden böyle bir sistemi devreye sokmasından ve bunu iki yıl boyunca ücretsiz sağlayacak olmasından memnun olduğunu belirtti. Açıklamasında şirketin bu sızdırma olayını vakit kaybetmeden kamuoyuna duyurmasını takdir ettiğini belirten avukat, siber saldırı hakkındaki araştırmasının da devam ettiğini belirtti. New York Menkul Kıymetler Borsası ndaki Anthem hisseleri son olarak 11 şubat gününü %2 lik bir artışla dolardan kapatmıştı. Kaynak:

6 6 CHROME ARTIK GÜVENLİ WEB TEKNOLOJİSİNİ DAHA FAZLA DESTEKLEYECEK Google, Wikipedia ve CNN gibi bilinen siteleri güvenlik uyarısı ile işaretlemede ilk adımı attı. Bu sitelere güvenlik uyarısı ekleniyor çünkü şifrelenmemiş durumdalar ve bu durum hükümetlerin ve bilgisayar korsanlarının iştahını kabartan bütün data işlemlerine olanak sağlıyor. Kriptolama kimlik hırsızlığı yapan bilgisayar korsanlarından ve internet üzerinde denetim kurmak isteyen hükümetlerden korumak amacıyla işlemler sırasında kullanıcıların verilerini şifreler. Ocak ayı sonuyla Google, Chrome un bir test versiyonuna kriptolanmamış web sayfaları hakkında kullanıcıları uyarmak için bir özellik ekledi. Bu özelliği Chrome un ana versiyonlarına da eklemeyi düşünen Google, hem insanları web sayfaları hakkında uyarabilecek hem de kullanıcılara web sayfalarında birşeylerin yanlış gittiğini söylemek istemeyen web site operatörlerini yeni yapılandırmalara zorlayacak. Bu yeni maliyetler demek tabi ama Google bu problemin düzeltilmesi gerektiğini düşünüyor. Kriptolamanın önceden varsayılan bir özellik haline gelmesi Web için önemli ve devasa bir değişiklik anlamına geliyor. Kriptolanmamış web sayfaları sebebiyle kötü niyetli korsanlar internet erişiminin olduğu bölgelerden bilgisayarlar arasında iletilen verileri okuyabilir. Aynı zamanda bilgisayar korsanları web sayfalarını modifiye edebilir ve internet servis sağlayıcısına (ISP) kendi reklamını ekleyebilir. Gizli dinleme ve izinsiz değişiklikleri bloke etmek için Google, arama sitesini ve Gmail bağlantılarını kriptolama yoluna gitti 2010 da. Daha sonra Microsoft ve Yahoo onları takip etti analizine göre, Wikipedia, Instagram, Craigslist, Imgur, China Daily, CNN ve Amazon gibi bilinen siteler de dahil sayısız web sayfasına güvenli erişim imkanı yok şu anda. Nitekim Web üzerindeki bilinen sitelerin %55 i kriptolama önermiyor. Google ın bu kriptolamayı hayata geçirmedeki ilk adımı hemen hemen kimseyi etkilemeyecek ilk aşamada çünkü Chrome un deneysel Canary versiyonu üzerinde kriptolanmamış web sayfaları hakkında uyarı veren manuel bir düzenleme öneriyor şu an için sadece. Kriptolanmamış bir web sitesine girildiğinde Chrome un adres barında üzerinde kırmızı çarpı işareti olan asma kilit sembolü gösterilecek. The Electronic Frontier Foundation (EFF) ve ortakları Firefox geliştiricisi Mozilla, bilgisayar ağı ekipman üreticisi Cisco Systems ve içerik dağıtıcısı Akamai Technologies, web site operatörlerini HTTPS e geçişini kolaylaştırmak amacıyla Let s Encrypt adlı bir projeyi hayata geçirdiler geçen yıl. Kaynak :

7 7 GOOGLE ŞÜPHELİ UYGULAMALAR GOOGLE PLAY DEN KALDIRILDI Güvenlik sağlayıcısı Avast ın araştırmacıları Google Play üzerinde reklam destekli bilgisayar yazılımları içeren 3 uygulamayı bildirdi. Bu uygulamalardan en bilineni Google Play in kendi verilerine göre yaklaşık 10 milyon kez indirilmiş olan the Durak adlı kağıt oyunu. Diğer uygulamalar bir tarih uygulaması ile bir IQ test uygulaması. Reklam destekli diğer yazılım uygulamalarının aksine bu uygulamalar reklamları göstermeden önce uzun bir süre bekliyor. Bu uygulamalar kurulduğunda akıllı telefonlarda hiç bir anormallik göstermiyorlar başlangıçta. Telefon reboot edildikten 1 hafta kadar sonra ise akıllı telefonlarda bir şeylerin yanlış gittiği farkediliyor. 30 gün sonra ise ilgili uygulama gerçek rengini belli ediyor ve kullanıcı hangi uygulamanın telefonda sorun yarattığını anlayamıyor. Kullanıcı virüse maruz kalmış telefonun kilidini her açtığında, telefona virus bulaştığına dair ya da bir uygulamanın güncelliğini kaybettiğini belirten bir reklamı kullanıcının karşısına çıkarıyor. Google app Hack Saldırılarına Karşı Savunmasız Google ın app uygulamasını kullananların hizmet engelleme saldırılarına karşı (DoS) av olma riski taşıdığı ortaya çıktı. Araştırmacılar Hector Marco ve Ismael Ripoll, Google app uygulaması içinde bir yazılım hatası olduğunu ve bu açığın kullanıcıları özel olarak hazırlanacak epostalar aracılığıyla uzaktan gelecek DoS saldırılarına karşı savunmasız bırakabileceğini söyledi. Kötü amaçlı epostaları üretmek için kullanıcı ile hiçbir etkileşim kurulmasına ihtiyaç duyulmayacağını belirten iki araştırmacı, kurban kötü amaçlı epostayı aldığında epostayı indirmeyi denerken uygulamanın bozulacağını belirtti. Web üzerinden ilgili epostanın kaldırılabilceğini belirten uzmanlar bir çözüm yolu olarak önce internet bağlantısının kesilmesinin daha sonra ilgili epostanın silinmesini öneriyor. Kaynak: Çoğu kullanıcı sorunun kaynağını bulamıyor ve her telefonun kilidini açtığında sahte reklam mesajlarıyla karşılaşıyor. Bu sahte reklamlara güvenip önüne getirilen basamakları yerine getirmesi halinde ise güvenilmeyen kaynaklardan istenilmeyen uygulamalara davetiye çıkarılmış oluyor. Kaynak : Google Drive, ilgili website üzerinden gerekli güvenlik kontrollerini yapan kullanıcılara kalıcı olarak 2 GB lık ek bir alan hediye ediyor.

8 8 CISCO DAN GÜVENLİK MANİFESTOSU Cisco nun rapor bulguları, güvenlik öncelikleri ve beklentilerini düzenlemede ortak kurulların rol almasının zamanı geldiği sonucuna varıyor. Cisco nun Güvenlik Manifestosu ortak kurulların, güvenlik takımlarının ve organizasyondaki kullanıcıların yardım edebileceği güvenliği sağlama, bugünün dünyasında siber kod script leri olan exploit kit ler güvenlik şirketleri tarafından hemen ortadan kaldırılmalı. Kötü niyetli kombinasyonlar: Flash ve JavaScript tarihsel olarak tek başlarına güvenilmez ama güvenlik konusunda avantajlı olarak değerlendiriliyor. Saldırganlar bu iki alanın en zayıf noktalarını birleştiriyor. Flash ın kötü amaçlı yazılımları, iki farklı dosya olan Flash ve JavaScript arasındaki açıklıklardan faydalanarak faaliyetlerini gizlemek için şimdi JavaScript ile etkileşim kurabiliyor. Bu harmanlanmış saldırı tipini tespit etmek çok zor. Kullanıcılar: Kullanıcılar orta noktada bulunuyor. Onlar sadece hedef değil aynı zamanda son kullanıcılar siber saldırılara bilmeden yardım da ediyor. Cisco araştırması gösteriyor ki 2014 boyunca istenmeyen eposta ve zararlı reklamlardaki %250 lik artışın bir etkisi olarak Silverlight saldırılarında %280 lik bir artış oldu ve bunun nedeni daha çok kullanıcının tehlikeli sitelerden karşıdan yükleme yapması olarak gösteriliyor. Saldırganlar bu süreç içerisinde ilgilerini gittikçe sunucu ve işletim sistemlerinden kaydırdı. Savunan Kişiler: 1700 şirketten bilgi güvenliği başkanları ve güvenlik operasyonları uzmanları ile yapılan Cisco nun Kalite Testi Araştırması sonuçları küresel olarak savunmada genişleyen bir haritayı gözler güvenlik zorluklarını önüne daha iyi anlama ve cevap verme konularında resmi bir dizi güvenlik prensibinden meydana geliyor. Bu prensipler ise şu şekilde: 1. Güvenlik işi desteklemeli 2.Güvenlik varolan mimariyle çalışmalı seriyor. Özellikle bilgi güvenliği başkanlarının %75 inin kullandıkları güvenlik araçlarını çok ya da son derece etkili gördüklerini işaret ediyor. Ama her nasılsa ve kullanılabilir olmalı 3.Güvenlik şeffaf ve bilgilendirici olmalı 4. Güvenlik görünebilirliğe ve uygun eyleme olanak sağlamalı 5.Güvenlik bir toplum problemi olarak görülmeli Saldırganlar: Online suçlular taktiklerini genişletiyor ve siber saldırı savaşlarını gerçekleştirmek için mesajlarını değiştiriyorlar ve bu onların tespit edilmesini zorlaştırıyor. Cisco nun akıllı tehdit algılama sistemlerinin ortaya koyduğu en üst üç akım ise şu şekilde: Snowshoe İstenmeyen Epostaları: Tercih edilen yeni bir saldırı metodu olarak bu yöntemde saldırganlar tespit edilmemek için geniş bir IP adresi kümesinden düşük hacimli istenmeyen eposta gönderiyor. Sade bir site içerisinde gizlenen web zayıflıkları: Geniş bir şekilde kullanılan sistemdeki açıklıkları sömürme amaçlı cevap verenlerin %50 sinden daha azı da güvenlik açıklarını engellemeye yardımcı olması için yama ve konfigürasyon gibi standart araçları kullanıyor ve onların en son versiyonları çalıştırdıklarından emin oluyor. Popüler OpenSSL in kriptografi kütüphanesindeki ciddi bir açıklık olan Heartbleed geçen yılın dönüm noktalarından oldu yine de bütün OpenSSL versiyonlarının %56 sı 4.5 yıldan daha uzun süredir kullanımda. Güvenlik takımlarının yama yapmadıkları da önemli bir bilgi. Kaynak: cisco%c2%ad650998

9 TE SİBER GÜVENLİK RAPORU Bilgi güvenliği ve mahremiyet her zaman sıcak gündem maddelerinden ama 2015, siber güvenlik konusunda tansiyonun yükseleceği bir yıl olacak gibi görünüyor. Son aylarda kamuoyunda iyi bilinen ve dünyanın ilgisini veri koruma, şifreleme, mahremiyet ve izleme gibi konulara çeken siber saldırılar görüldü. Manşetleri süsleyen bu olaylar hükümetlerden, şirketler ve diğer organizasyonlardan, aileler ve bireylerden yükselen veri çatlaklarının sonucu ün başlıca güvenlik ihlalleri: Bu, her ne şekilde olursa olsun kapsamlı bir liste değil fakat şirket ve organizasyonların artan oranda iyi organize olan siber suçlulara karşı düzenli bir şekilde büyük çaplı gizli veri kaybettiği net şekilde görülüyor. Bir güvenlik açığı ortaya çıktığı zaman ilgili şirket sadece çalınan veriler için kaygılanmıyor, ayrıca tamir etmesi ciddi zaman ve para gerektiren marka değerlerinde de kayba uğruyor in manşetleri süsleyecek yeni siber saldırıları getireceğini kesinlikle tahmin edebiliriz. Gelin nedenlerine bakalım: Satış yapanlar, analistler ve uzmanlar yıllık siber güvenlik tahminleri yapmayı artık bir gelenek haline dönüştürdü. Bu kişiler siber güvenlik alanında söz hakkına sahip olsa da, güvenlik ve mahremiyet konusunun şirketlerin, organizasyonların, bireylerin ve hükümetlerin gündemlerinde üst sıralarda olduğu gerçeği inkar edilemez bir gerçek Bu yüzden siber güvenlik endüstrisinin 2015 tahminlerini özetlemek ilginç oldu doğrusu. Bunu gerçekleştirmek için 17 organizasyonun ileriye dönük tahminlerde bulundukları makaleleri incelendi ve 130 tahmin sonucunu birkaç yeni çıkan kategoriye ayırarak aşağıdaki grafik elde edildi.

10 TE SİBER GÜVENLİK RAPORU 1. İlk kategori için bazı eleştirmenler Heartbleed/Open SSL ve Shellshock/Bash gibi eski ama geniş şekilde kullanılan kodlar içindeki yeni farkedilen yazılım hatalarının altını çiziyorlar. Diğer yandan Sophos güvenlik yazılımı firması ise IPv6 Protocol ve UEFI içindeki kötüye kullanılabilecek açıklıklara dikkat çekiyor. Bu arada Apple ın genişleyen yatırım alanı bilgisayar korsanlarının iştahını kabartacak gibi görünüyor. 2. İkinci kategoride ise geniş bir tahmin aralığı gözleniyor. Otomatikleştirilmiş güvenlik araçlarının artık etkili olmayacağı öngörülüyor. Ağ güvenliği alanında çalışan Fortinet e göre bilgisayar korsanları Google ın oluşturmuş olduğu ve spam yapan siteler ile özgün içerikli siteleri ayırtetmeye yardımcı eleme sistemi olan Sandboxing tekniklerinden kurtulmanın yollarını artan oranda arayacak ve araştırmacıların dikkatini başka yöne çekecekler. 3. Üçüncü kategoride çeşitli haberleşme protokolleri sayesinde birbirleri ile haberleşen ve birbirlerine bağlanarak, bilgi paylaşarak akıllı bir ağ oluşturan Nesnelerin İnterneti (IoT) hakkında. Güvenlik uzmanlarına göre siber suçlar; elektrik üretimi ve petrol sektörlerinde farklı cihazların birbiri ile kablolu ya da kablosuz haberleşmesini sağladığı Machine-to-Machine (M2M) teknolojisini muhtemelen hedef alacağını belirtiyor 2015 yılı için. 4. Birçok uzmana göre mobil teknoloji pazarındaki büyüme bilgisayar korsanlarının bu sektöre olan ilgilerini artırıyor; özellikle de kısa sürede ses getirmiş olan Apple Pay gibi mobil ödeme sistemleri muhtemel hedefler arasında olacak. 5. Blue Coat güvenlik şirketine göre kriptolama iki tarafı keskin bir bıçak. Kriptolamanın kullanımı tüketici gizliliğini korumak için artmaya devam edecek ama kötü amaçlı yazılım giderek artarak kriptolamanın arkasına gizlenecek farkedilmemek için. 6. Hiçbir kayıt türü sağlık sektöründe kişiyi tanımlamak için kullanılan bilgiler (PII) kadar dolandırıcılık ve siber saldırılar için ilgi çekici değil. Bu sebeple kamuoyunda iyi bilinen güvenlik ihlallerinin 2015 te de haberlerde yerini alacağını tahmin etmek için kristal küreye ihtiyaç yok. Ama yine de uygunsuz içeriği engellemek için kullanılan bir web filtresi olan Websense, sağlık sektörü verileri için ilgi çekmeyi başardı. 7. Veriler, Avrupa Birliği nin Veri Koruma Düzenlemesi(GDPR) ile artık ABD den daha güvenli konumda. Bu durum Avrupa Birliği içerisinde herhangi bir veri ihlali yaşandığında bundan bir ABD firmasının sorumlu tutulabileceği anlamına geliyor. Milyonlarca

11 TE SİBER GÜVENLİK RAPORU dolarlık cezalar ve davalar ile siber sigorta politikaları bir standart olacak gibi görünüyor. 8. FireEye şirketine göre 2015 yılı içerisinde organizasyonlar gittikçe daha az kendi güvenlik operasyon merkezlerini (SOC) çalıştıracak ve şirketler barıştan savaş zihniyetine geçiş yapacak. Bu arada doğrudan CEO lar siber güvenlik işleriyle ilgilenmeye başlayacak. 9. İnsanlar ve sosyal ağlar da bilgisayar korsanları için artan bir ilgi noktası ve bu alandaki faaliyetlerin bir de sosyal mühendislik tarafı var. Bilgisayar korsanları kritik sistem ve datalara ulaşmak için hedef aldıkları kurbanların bilgilerinden faydalanacaklardır. 10. FireEye ve Damballa güvenlik şirketleri gelişmiş gizli saldırılara karşı ortak bir işbirliğine gidecekler bu saldırıları önceden belirleyip engellemek için. 11. Araştırmacılar tarafından devlet destekli ya da politik amaçlı siber saldırılar yeni bir siber savaşın habercisi olduğu yönünde düşünceler belirtilirken casusluk saldırılarında artış bekleniyor 2015 yılında. 12. Ransomware denilen kullanıcının bilgisayarındaki dosyaları kilitleyip açmak için ücret talep eden fidye yazılımlarda da artış bekleniyor 2015 yılı için. 13. Bulut servisler diğer bir siber savaş alanı olarak tanımlanıyor uzmanlar tarafından. Bulut ve altyapıyı servis olarak sunan (IaaS) şirketler, müşteriye bir yandan verimliliği artıran işlevsellik sağlarken diğer yandan veriyi nasıl yönetip koruyacaklarına dair de kendi aralarında rekabet etmeleri gerekecek. Cloud Computing in 3 ana ayağından biri olan yazılımın hizmet olarak sunulması (SaaS) üzerinden güvenlik yazılımı hizmetlerinin de verilmesi bekleniyor in sonunda bütün bilişim alanındaki siber güvenliğin %15 inin SaaS üzerinden sağlanması bekleniyor de bu oranın %33 ü görmesi bekleniyor te big data için en büyük tehdit salami attacks olarak ifade edilen para çalmak için küçük parçalar halinde işlemler gerçekleştiren ve bu sebeple çoğu zaman farkedilmeyen siber 15. Uzmanlar 2014 yılında kamuoyunda ses getiren çok sayıda siber saldırının internet üzerinden gerçekleştirilen satış işlemleri sırasında gerçekleştiğine dikkat çekti te de bu trendin devam etmesi bekleniyor. Öyle ki Damballa şirketine göre 2014 yılı buzdağının görünen ucuydu sadece. Forrester şirketi satış güvenlik bütçelerinin çift haneleri göreceğini tahmin ediyor 2015 te. Kaspersky Lab a göre bilgisayar korsanları satış noktalarını ve ATM leri de hedef alıyor yılında ise açık kaynak yazılım, zararlı reklam yazılımı ve tedarik zinciri içerisindeki linkler gibi korunmasız üçüncü partileri içeren yeni saldırı yollarının denenmesi bekleniyor. Sonuç olarak organizasyon ve kuruluşların sosyal, mobil, big-data, bulut bilişim (cloud) ve diğer dijital işlem stratejileri kaçınılmaz şekilde yeni tarzda siber saldırılara maruz kalacak ve bu siber saldırılar bu kurumların firewall, antivirüs yazılımları ve VPN gibi siber güvenlik sistemlerini test edecek. Eğer bu güvenlik sistemlerinin yeterli olmadığı görülürse yeni savunma alanlarında yatırımlara ihtiyaç duyulacak demektir. Kaynak:

12 12 dijital market Samsung Samsung akıllı televizyonlarda üçüncü parti uygulamalar aracılığıyla program ve filmlere neden reklam konulduğunu araştırıyor Samsung, dünyada akıllı televizyon sektöründe en çok satış yapan firma unvanını korurken akıllı televizyonlarının bazılarında diğer uygulamalar vasıtasıyla reklam konulma nedenlerini araştırıyor. Avustralya daki Samsung akıllı televizyon sahipleri bir saat içerisinde birkaç defa yayını kesen sessiz bir Pepsi reklamıyla karşılaşmaktan şikayet ederken şirket sözcüsü durumun farkında olduklarını ve bunun bir hatadan kaynaklandığını tahmin ettiklerini ve öncelikli olarak bu sorunu çözmekle uğraştıklarını söyledi. Durumun sadece Avustralya daki akıllı televizyonlarda ortaya çıktığı da açıklamada belirtildi. Şu ana kadar bu reklamların çıkmasına neden olan en azından iki uygulama tespit edildi: Hard disk üzerinde saklanan video dosyalarını kullanıcıların yayınlamasına izin veren medya merkezi yazılımı Plex Samsung un Avustralya daki akılı televizyonlarında fabrika çıkışı yüklü bulunan ve kullanıcılara izlenmek istenen kanallar için ödeme imkanı sağlayan bir uygulama olan Foxtel Play Çok kısa bir süre önce de yine Samsung akıllı televizyonlarında bulunan sesli kumanda özelliğinin kullanıcıların dinlenmesine sebep olduğu ortaya çıkmıştı. Konuşmaları kaydeden televizyonun söz konusu konuşmaları Samsung ya da üçüncü taraflarla paylaşabildiği de ifade ediliyor. Bu özelliğe mahremiyet hakkını savunan aktivistler şiddetle karşı çıkarken şirketten yapılan açıklamada kullanıcılar sesli kumanda özelliği açıkken kişisel meseleleri konuşmamaları konusunda uyarıldı. Kaynak: Microsoft, HP Araştırmacılarını UAF Yazılım Hatalarını Azaltmadaki Katkılarından Ötürü Ödüllendirdi Microsoft, use-after-free(uaf) açıklıklarından faydalanan saldırılara karşı Windows kullanıcılarını koruma çalışmalarına katkılarından ötürü üç HP araştırmacısına toplamda 125 bin dolar ödedi. Brian Gorenc, AbdulAziz Hariri ve Simon Zuckerbraun adlı araştırmacılara Isolated Heap ve MemoryProtection ile başetme konusunda yeni metodlar tanımladıkları için 100 bin dolar, bu açıklıkları bloklamak için savunma stratejilerinin açıklandığı teknik rapor için de 50 bin dolar ödeme yapıldı. Kaynak:

13 WordPress Analytics Plugin: 1.3 Milyon Websitesini Hackerlara Karşı Savunmasız Bıraktı 13 Wordpress in içerik yönetim platformu içerisindeki en popüler eklentilerinden birinde kritik bir açıklık keşfedildi ve bu durum 1 milyondan fazla websitesini hackerlara karşı savunmasız bırakmış durumda. Bu açıklık, Wettable Powder Slimstat (WP-Slimstat) olarak adlandırılan bir WordPress eklentisinin çoğu versiyonunda bulunuyor. Şu anda dünya genelinde WordPress kullanan 70 milyondan fazla websitesi bulunuyor ve onların 1.3 milyonu WP-Slimstat eklentisini kullanıyor. Web güvenlik firması Sucuri nin bildirdiğine göre en son versiyon olan Slimstat dan önceki bütün WP-Slimstat versiyonları son kullanıcı bilgisayarları arasında gidip gelen veriyi işaretlemek için kullanılan tahmin edilebilir bir gizli anahtar içeriyor. Zayıf gizli anahtarı bir saldırganın hedef websitesine düzenleyeceği SQL Injection saldırısıyla kolaylıkla ele geçirilebilir ve kurbanın veritabanından kritik bilgiler çalınabilir bu sayede. Sucuri şirketinin uzmanlarından Marc-Alexandre Montpas açıklamasında bu bug sayesinde saldırganların websitesi veritabanlarına Blind SQL Injection tekniği kullanılarak kolaylıkla girip kullanıcı adı, şifre gibi önemli bilgileri ele geçirebileceklerini belirtti. WP-Slimstat gizli anahtarı eklentinin yüklenme tarih bilgisinin sadece bir MD5 karma versiyonu ve hackerlara en modern işlemcilerle sadece 10 dakikalarını alacak 30 milyon değeri test etmek kalıyor. Kaynak: html Çoğu Otomobil Firması Siber Saldırılara Karşı Hazırlıklı Değil ABD Senatörü Ed Markey nin sunduğu bir rapora göre hemen hemen bütün yeni otomobillerde varolan ve hackerlara bir giriş noktası sağlayan kablosuz teknolojiler olmasına ragmen otomobil şirketleri bu sistemlerin nasıl çalıştığı ve hackerlardan bu sistemleri nasıl korumak gerektiği konusunda temel bilgiye sahip değil. Bu rapordan bir hafta öncesinde ise Alman araştırmacılar BMW nin geliştirmiş olduğu ve araç içerisinden internete bağlanmayı sağlayan Connected Drive sistemini hacklediğini bildirdi. Alman araştırmacılar bir cep telefonu istasyonu üzerinden BMW nin telematik sistemi üzerindeki bir SIM kartına sahte mesajlar gönderdiler ve araç kapılarını açıp kapayabildiler. Diğer araştırmacılar da bir aracın hacklenebileceğini ve onun kritik fonksiyonlarının kontrol edilebileceğini ve bunun uzaktan yapılması sebebiyle diğerlerinden farklı olduğunu belirtti yılında California-San Diego daki araştırmacılar ve Washington Üniversitesi onların araç kontrollerini uzaktan erişimle yönlendirebileceklerini göstermişlerdi ama aracın çok yakınlarda olması gerekiyordu. Yine 2014 yılında Argus Siber Güvenlik firması da araç içerisindeki portlara bağlanarak yine araçların hacklenebileceğini göstermişti ancak uzaktan araca müdahale yeni birşey. Kaynak:

14 14 Siber Güvenlik Alanında Kadınlar Siber güvenlik endüstrisi kadın karşıtı bir geçmişe sahip ve bu durumu düzeltmek için saldırgan üsluptan uzak durulması gerekiyor gibi görünüyor. Michelle Dennedy odadaki tek kadın olmaya alışmış artık. Erkek egemen Silikon Vadisi ndeki tek kadın olması bir tarafa Bayan Dennedy aynı zamanda kadınların az bulunur olduğu siber güvenlik teknoloji dünyasında başarılı bir şekilde de yükselmiş. Ponemon Institue tarafından 2014 yılında yapılan bir araştırmaya göre kadınlar bilgi güvenliği işgücünün yüzde 20 den az bir kesimini oluşturuyor ve bu araştırma gösteriyor ki kadınların çekirdekten yükselmeden sektörden ayrılması artık olağan bir şey haline gelmiş. The Women s Society of Cyberjutsu (WSC), siber güvenlik alanında kadınları desteklemek ve yardım etmek için faaliyet gösteren ve kar amacı gütmeyen bir organizasyon ve bu organizasyon kadınlar için aşağıdaki eylem planlarına sahip: Siber Güvenlik Seminerleri Siber Güvenlik Eğitimleri Sektördeki Kadınları Biraraya Getiren İletişim Ağı Sektördeki Kadınlara Tavsiyeler Sağlamak Amacıyla mentörlük Kadınların Sektörde İstihdam Edilmesine Destek Amaçlı İş Kurulu ve Gönüllü Çalışmaları Yine Women s Society of Cyberjutsu(WSC) adlı bu organizasyonun yaptığı çalışmalara göre ABD de kadınlar genel iş hayatında %50 lik bir paya sahipken, bilişim sektöründe bu oran %25 e düşüyor ve siber güvenlik sektöründe ise %11 gibi çok küçük bir orana iniyor. İşte bu sebeple WSC nin nihai misyonu, siber güvenlik sektöründeki kadınlara iletişim, eğitim, danışmanlık ve özkaynak paylaşımı gibi konularda çözüm yolları sunup yardımcı olmak. Halihazırda bir yandan da siber güvenlik alanında kadınları desteklemek ve daha fazla kadın bilgisayar bilimi öğrencisini sektörde çalışmaya teşvik etmek için çalışmalar devam ediyor. Dennedy 2001 yılında ilk kızı doğduğunda o zamanlar gizlilik alanında çoktan çalışıyormuş ve çalınan kimlikler veritabanını araştırarak kızının sosyal güvenlik numarasının kızının doğumundan önce 11 yıl boyunca dolandırıcı banka hesapları oluşturmak için kullanıldığını keşfetmiş. Kızım finansal bir doğum kusuru ile doğmuş gibiydi. Eğer bu durum hakkında bilgimiz olsaydı önceden önlerdik. Kızıma ciddi maddi zararlara neden olabilirdi. Kızımın telefon alma, okul kirası ödeme, ev, iş gibi alanlardaki ekonomik gücünü olumsuz etkileyebilirdi. diyor Dennedy o zamanlar için. Bu olayın üzerinden 15 yıl geçmiş ve Dennedy kişisel mahremiyet bilgilerini güvenli bir şekilde saklama konusundaki tutkusu sayesinde bugün endüstrisinde üst düzey bir konumda bulunuyor. Sun Microsystems, Oracle gibi küresel

15 15 kuruluşlarda üst düzey yöneticilik deneyimlerinin ardından şimdi Intel Security için çalışıyor. Rutgerd Üniversitesi nden bilgisayar güvenliği profesörü Rebecca Wright a göre üniversitedeki siber güvenlik programına başvuran genç kadınlar bu iş kolunun peşine düşmek için benzer nedenlere sahipler. Siber güvenlik alanı onların teknik anlamda ilgilerini çektiği kadar bu işi dünyada anlamlı birşeyler yapmanın bir yolu olarak da görüyorlar. diyor Wright. Siber Güvenlik Alanında Cinsiyetçilik Siber güvenlik alanına başlarken saldırı ve mücadelenin düşmanca dili, kadın öğrencileri ne yazık ki soğutuyor; aksi durum olsa kadınlar kariyerlerine belki de bu alanda devam edecekler. California Politeknik Eyalet Üniversitesi nden son sınıf öğrencisi Jessie Pease güvenlik ve gizlilik konularında yaptıkları şey hakkında emin olan birinci sınıf öğrencileri ile konuştuğunda kendilerinin Mountain Dew içip bodrumda oturan ve duş almayan hackerlar oldukları gibi bir yanlış algı olduğuna dikkat çekiyor. Bilgisayar bilimlerinden mezun olanların sadece %18 i kadınlardan oluşurken alt bilim dalı olan siber güvenlik alanında ise bu oran %10 unun altına düşüyor. Bu cinsiyet dengesizliği derslerde de kadınları olumsuz olarak etkiliyor. Pease derslerde erkeklerin hem üstü kapalı hem de açık düşmanlığıyla başetmek durumunda kaldığını belirtip siber güvenlik branşının çok teknik ve zor olduğuna dair yaygın bir inanış olduğuna da dikkat çekiyor. Sınıfında erkek arkadaşlarının kadınların bu işi yapamayacağını düşündüğünü ve kadınları küçümsediklerini de sözlerine ekliyor. Sınıfındaki erkek arkadaşlarının bir projede beraber çalışırken kod yazma konusunda kendisine güvenmediğini belirten Peace, ortak yapılan projelerde erkeklerin projenin yönetimini devralma eğilimnde olduğunu bunun sebebinin de yine kadınların bu işi yapamayacağı algısı olduğuna dikkat çekiyor. Bölümündeki erkeklerin Pease in Cisco ve Apple şirketlerinde tamamladığı başarılı stajlarını da kadın olmasına ve pozitif ayrımcılığa bağladığını belirtiyor. Pease ayrıca bölümden bazı kadın arkadaşlarının ilerleyen dönemde kullanıcı arayüzü ya da kullanıcı deneyimi gibi kadın sayısının daha fazla olduğu bölümlere geçiş yaptığını da dikkat çekiyor. Bazı şeyler yavaş da olsa değişiyor yine de. Pease kadınların bölümü tercih etmelerini teşvik eden ve siber güvenlik alanını onlara daha çekici kılan Yazılım ve Donanımda Kadınlar Kulübünün başkanlığını yaptı. Büyüklük taslayan sınıf arkadaşları ve meslektaşlarıyla yüzleşme stratejileri geliştirdi. Siber güvenlik alanıyla ilgilenen kadınlar için burslar olduğuna dikkat çeken Pease kendisinin de Hewlett-Packard firmasının Bilgi Güvenliğinde Çalışan Kadınlar için Burs programından faydalandığını sözlerine ekliyor. Yeni İstihdam Çalışmaları İşyerlerinde siber güvenlik mezunu kadınları destekleme amaçlı çalışmalar devam ediyor. Dennedy, Intel Security firmasının bu alanda kadınları teşvik etmek için 300 milyon dolar ayırdığına dikkat çekiyor. Dennedy bu yatırımın bu alandaki cinsiyet çeşitliliğini artırmanın şirkete önemli yararlar getireceğinin de kanıtı olduğuna dikkat çekiyor. Şirketin parayı gereksiz yere saçmadığını aslında bunun cinsiyet çeşitliliğinin iş için yararlı olduğunun da bir işareti olduğunu belirtiyor. Şu anda siber güvenlik alanında istihdam edilenlerin beşte birinden azını kadınların oluşturduğunu belirten Dennedy, bu oranın zaman içinde değişeceğini ve gelecek kuşak kadınların daha rahat edeceğini belirtiyor. Kaynaklar: ve

16 16 SİBER TEHDİTLERE KARŞI yönetimler ABD yönetimi potansiyel siber tehditlerle ilgili istihbarat toplama ve siber güvenlik riskleri hakkında analizler sağlamak amacıyla yeni bir resmi kurum oluşturma kararı aldı. Yeni birim, Siber Tehdit İstihbarat Merkezi(CTIIC) bilinecek. Entegrasyon Kaynak: ou9cu94 olarak Hollanda: Resmi Kurum Websiteleri Hack Saldırısı Nedeniyle Hizmet Dışı Kaldı 10 şubatta gerçekleştirilen siber saldırılar Hollanda hükümetinin ana websitelerini felce uğrattı. Online güvenlik kaygıları artarken düzenlenen DDOS saldırıları 10 saat kadar resmi kurum sitelerine erişimi durdurdu. Saldırılardan kamuya bilgi veren Holanda resmi kurum sitelerinin çoğunluğu etkilenirken telefon hatları ve acil iletişim kanalları saldırılardan etkilenmedi. Hollanda Hükümeti Bilgi Hizmetleri biriminden görevli Rimbert Kloosterman, popüler bir ağ olan GeenStijl.nl i de içeren diğer websitelerinin de DDOS saldırılarına uğradığını belirtti. Siber Güvenlik Ulusal Merkezi birimince ilgili saldırılar araştırılıyor. Kloosterman sorunun başlangıçta teknik bir problem gibi düşünüldüğünü fakat daha sonra bunun dışardan bir siber saldırı olduğunu farkettiklerini de ekledi. Fakat Delft Teknik Üniversitesi nden başetmenin zor olduğunu söylerken yazılımların 25 dolara bile satın alınabildiğini belirtti. Kaynak: : siber güvenlik uzmanı Christian Doerr saldırıların DDOS saldırıları olduğundan şüphe ettiğini belirtti. Siz bir DDOS saldırısına maruz kalırsanız bunu anlarsınız. diyen güvenlik uzmanı böyle saldırılarla qjnychk ABD Başkanı Barack Obama, California Silikon Vadisi nde iş dünyasının önde gelen isimlerine seslendi ve son aylarda kamu ve özel kuruluşları altüst eden siber saldırıları engellemek için teknoloji şirketlerinin hükümetle bağlarını ilerletmesini istedi. Konuşmasında siber saldırılara karşı özel sektör şirketlerinin hem birbirleriyle hem de federal hükümetle bilgi paylaşmalarını desteklediğini belirten Obama, kongreden de gerekli yasal düzenlemelerin yapılmasını istedi. Kaynak: pynsaq5 Türkiye: Siber Güvenlik Planı Türkiye, siber güvenlik yazılım üzerine inşa edilmesi alanında gelecekte maruz planlanıyor. kalabileceği saldırılara karşı Bu esnada, Savunma Sanayi koordinasyonu ve işbirliğini Müsteşarlığı da olası siber sağlayacak bir yapı oluşturmak saldırılara karşı bir birim kurma istiyor. Üst düzey bir yetkili Bu hazırlığı içinde. Türk Silahlı sistem ana bir işletim sistemi Kuvvetleri kendi siber tehdit gibi çalışacak. Bütün gelecek birimlerini kurma çalışmalarına işler bu sisteme entegre edilecek tıpkı tek bir işletim sistemi Havelsan ve STM gibi devlet çoktan başlamış durumda. altında çalışan farklı programlar gibi. Sistem, siber saldırılara larca dolar ayrılacak olan bu kontrolündeki firmalar milyar- karşı açıklıkları minimize çalışma için öncelikli personel etmeyi amaçlıyor ve savunma, arayışlarına başlamış durumda. güvenlik ve ticari uygulamalara sahip olacak. diğer oyuncular Aselsan ve Siber güvenlik alanındaki Yetkililere göre Siber Güvenlik Operasyon Merkezi olarak TUBİTAK bütün siber güven- Havelsan olmakla birlikte adlandırılacak sistemin yerli bir lik programlarının %70 ini sağlıyor yılında siber güvenlik ve yeni teknolojiler üzerine yapılan konferanslarda askeri yetkililer siber güvenliği ülkenin 5. Kuvveti olarak nitelendirmişti. Kaynak:

17 17 Çin : Siber Güvenlik Yasası Düzenlemesi Çin, Teknoloji Şirketlerinden Arka Kapı ve Kriptolama Anahtarlarını Talep Ediyor Birkaç batılı teknoloji şirketi Çin de büyük işler yapıyorlar ama Çin in getirmeyi planladığı yeni düzenlemeyle devam etmeleri pahalıya mal olabilir. Çin, yerli bankalara teknoloji satan batılı şirketler üzerinde yeni bir bankacılık siber güvenlik düzenlemesine başladı. Bu düzenleme ile Çinli bankalarla iş yapan batılı teknoloji şirketleri artık arka kapı (backdoor) yazılımlarını Çin Hükümetiyle paylaşmak zorunda olacak. Arka kapı, bir sisteme dışarıdan sızılabilmesi için o sistemde açık oluşturma işlemine denir ve genellikle bazı portlar açılarak bazı yazılımların sisteme sızmasını sağlayan yazılımlardır. En son kanun düzenlemesi ile batılı şirketler şifreleme anahtarlarını ve gizli kaynak kodlarını da Çin Hükümetiyle paylaşmak zorunda kalacak. Bu yasal düzenlemeler, 1 yıl önce Edward Snowden ın ABD Ulusal Güvenlik Teşkilatı nın Çin ağları üzerinde izleme yaptığını duyurmasının ardından Çin Hükümeti tarafından gündeme alınmıştı. ABD bu yeni düzenlemeler ile dünyanın en büyük ve en hızlı büyüyen Çin pazarında oyun dışında kalma kaygısı taşıyor. Son olarak Apple, geçen yılın son çeyreğinde Çin de en büyük akıllı telefon satıcısı oldu. Bu talepler, uyması halinde ABD ile işleri bozulacak olan Apple gibi şirketler için olanaksız görünüyor. Kaynak: com/2015/02/iphone-china-backdoor.html UK : Siber Saldırı Simülasyonu Birleşik Krallık olası siber saldırılara karşı hazırlıklarına devam ediyor ve simüle edilmiş bir saldırının Britanya nın hackerları durdurması için en parlak fikirleri bulmasına yardımcı olacağı düşünülüyor. Uluslararası iletişim merkezi olan BT Tower üzerinde gerçekleştirilen simülasyon, altyapı için hayati önem BT Tower içindeki çalışanlara taşıyan gücü yeniden açmak hackerlar tarafından gönderilen ve içinde Binalarınız kon- Tabi bütün bunlar sadece bir için veriliyor. trolümüz altında. Güç kesildi. simülasyon olmakla beraber Kontrol bizde. Ifadeleri geçen kod kırıcılar sanal gerçeklik bir video ile başlıyor. içinde Birtanya yı savunmak Çalışanlar bunun hemen için en iyi yazılımcıları bulmak ardından öğle yemeklerini amacıyla düzenlenen bir yarım bırakıp işe koyuluyorlar. Yarış, sistemi kurtarıp yarışmanın içindeler de aynı zamanda. ABD li siber güvenlik firması Norse un websitesinde gösterdiği gibi her gün gerçekleşen milyonlarca saldırının yıllık maliyeti 400 milyar dolar olarak tahmin ediliyor. Uzmanlar bu probleme karşılık verilmesi gerektiğni düşünüyor artık. BT Security Academy den Rober Partridge siber güvenlik endüstrisinin %27 sinin gelecek 10 yıl içinde emekliye ayrılacağını ve bu durumun genç jenerasyon için henüz doldurulmamış büyük bir harita sunacağını belirtiyor. Bu yarışmanın kendi kendini eğitmiş üst düzey yazılımcıları bulup onlardan etik sınırlar içinde faydalanmak olduğu belirtilirken bu zorlu işte hackerları etkisiz kılıp sistemi yeniden açmak bir saat sürdü. Yarışma ödüllü ama asıl ödül daha güvenli bir internet olabilir. Kaynak:

18 18 ODTU Enformatik Enstitüsü Siber Güvenlik ve Savunma Araştırma Merkezi (CyDeS) Ukraynalı yetkililere (siber olaylara müdehale ekibine ve siber güvenlik alanında çalışan üst düzey yetkililere) yönelik siber güvenlik eğitimi verdi Günümüzde ülkeler arasında ortaya çıkan anlaşmazlıklar siber dünyayı da etkileyerek bu ülkeler arasında siber savaşların ortaya çıkmasına yol açmaktadır. Ukrayna nın içinde bulunduğu siber savaş en çok bilinen örneklerinden biridir. Ukrayna nın komşusuyla yaşadığı sorunlar siber dünyada da karşılık bulmuş ve bağımsız hackerler ve organize suç örgütlerinin yanı sıra uzmanlarına düşmektedir. Bu noktada, siber güvenlik uzmanlarının yetkinlikleri önem kazanmaktadır. Ukrayna hükümeti de kritik siber savunma personelini yetiştirmek amacıyla ODTÜ Enformatik Enstitüsü bünyesinde bulunan CyDeS (Siber Güvenlik ve Savunma Araştırma Merkezi) laboratuvarının NATO Bilim ve Barış için Güvenlik Programı kapsamında gelen güvenlik uzmanlarına bilgi ve becerilerini aktarmaktadırlar. Eğitim kapsamında verilen güvenlik açıkların tespit edilmesi ve kapatılması, sunucuların ve web uygulamalarının savunulması, ağ güvenliği, siber olaylara müdahale, adli bilişim, kullanıcı ve sistem aktivitelerinin denetlenmesi, kriptografi, zararlı yazılımların analizi gibi konular devlet destekli siber saldırıların da hedefi haline gelmiştir. Bu saldırılar, Ukrayna nın bilgi ve iletişim altyapısına zarar vermek amacıyla online (çevrimiçi) hizmetleri engelleme, bilgi sızdırma ve istihbarat elde etme ve propaganda yapma amaçlarını da taşımaktadır. Yapılan analizlerde, saldırıların ana hedeflerinin Ukrayna daki devlet kurumları, kritik altyapılar, eğitim kurumları ve endüstri kuruluşları olduğu görülmüştür. Siber savaşlarda en büyük görev, ülkelerinin siber savunmasından sorumlu olan ve bir anlamda siber ordu diye de nitelendirilebilecek siber güvenlik verdiği uygulamalı siber savunma eğitimi seçmiştir. Eğitiminin temel amacı, Ukrayna daki kritik kurumların siber savunmasından sorumlu olan güvenlik uzmanlarının bu alandaki bilgi ve becerilerini artırarak Ukrayna nın siber savunmasına katkıda bulunmak ve siber saldırılara hazır hale getirmektir. Bu amaçla ODTÜ Enformatik Enstitüsü bünyesinde bulunan CyDes Laboratuvarı ve siber güvenlik alanında kendilerini kanıtlamış uzmanlar, uygulamalı eğitimlerle Ukrayna nın istihbarat teşkilatı, içişleri bakanlığı, savunma bakanlığı ve dışişleri bakanlığı gibi kritik kurumlarından uygulamalı olarak işlenmiştir. Eğitim sonunda siber saldırı oyunları ile verilen uygulamalı eğitim pekiştirilmiştir. İsimlerinin verilmesini istemeyen Ukrayna lı katilimcilar eğitimin kalitesinden çok memnun kaldıklarını, siber güvenlik alanında bilgi ve becerilerinin artığını ve bu bilgileri ülkelerine döndüklerinde uygulayacaklarını belirttiler.

19 AB Ajansı Resmi Kurumlara Ait Bulut Bilişim için Güvenlik Taslağını Anahatlarıyla Belirledi AB için güvenli bulut bilişimi 19 Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı(ENISA) kamu sektörünün bulut bilişime geçmesinin gerekliliğini işaret etti. Estonya, Yunanistan, İspanya ve Birleşik Krallık ta kullanılan bulut bilişimlerin yönetim tekniklerine vurgu yapan bu rapor, bulut bilişimin ilk temin edilme aşamasından sonlandırılıp sözleşmenin iptal edildiği sürece kadar güvenlik ve gizlilik konularında rehberlik edecek bir kılavuz sunuyor. Rapora göre bulut bilişim hizmet tedarik modeli ölçeklenebilirlik, esneklik, yüksek performans ve güvenlik konularında kamu yönetimlerinin ihtiyaçlarını büyük ölçüde giderebiliyor. Raporda yönetim alanında bulut bilişimin sağlanması durumunun henüz başlangıç aşamasında olduğu; ayrıca adaptasyon konusunda ana engellerden olan güvenlik ve gizlilik konularının taşıma esnasında hesaba katılması gereken anahtar faktörler olduğuna vurgu yapılıyor. Kritik verinin korunması, hizmet seviyesi anlaşması(sla) şartlarından kriptolama gibi gerçek teknolojik mekanizmalara kadar uzanan bir alanda çözüm aranan bir konu. Çoğu ülke özellikle de ölçeklenebilirlik, esneklik ve taşınabilirlik konularında bulut bilişime geçmenin yararlarını farketmiş olmasına ragmen bir sonraki aşamaya geçip servisleri buluta aktarmaya gönülsüz davranıyorlar. Rapora göre AB kamu yönetimi toplumunda bulut bilişimin yayılabilmesi için iyi pratiklere ve başarı öykülerine ihtiyaç duyulduğu kadar aynı zamanda teknolojinin kullanılabilirliğini test etmek için bulut prototiplere de net bir ihtiyaç var. Yine rapora göre kamu hizmetlerinin bulut bilişime geçmesi konularındaki ana güvenlik zorlukları, gereksinimler ve engeller; hizmet seviyesi anlaşmasının(sla) detaylı güvenlik konularıyla ilgili olduğu kadar aynı zamanda data koruma ve uyumluluğu, cihazların karşılıklı çalışabilirliği, data taşınabilirliği, kimlik ve sisteme giriş yönetimi konularıyla da ilgili. Şu anda çalışan ya da planlanan kamu kurumlarına ait bulut bilişim hizmetlerinin güvenliği konusunda kapsamlı bir analiz içeren bir çalışma bulunmadığı gibi kamu kurumlarına yönelik bulut bilişim alanında bir değerlendirme ve karşılaştırmaya izin veren genel bir güvenlik çerçevesi tanımlamak için de hiç bir kılavuz bulunmuyor. Bu yüzden bu rapor diğer AB ülkelerindeki kamuya ait bulut bilişim sistemleri için yeni güvenlik ihtiyaçlarına cevap verebilen ve adapte olabileceğine inandıkları bir güvenlik çerçevesi ve mantık modeli sunuyor. Kaynak: eu-agency-outlines-security-framework-for-government-clouds

20 20 lenovo: ZARARLI REKLAM YAZILIMI da bilinen ağ bağlantıları kalıntıların kalacağını da üzerinden veri toplamak için sözlerine ekledi. kullanılıyordu. Aslında bu durum bilgisayar Profesör Woodward, Birisi üreticilerinin üçüncü taraflarla Bank of America nın site- olan anlaşmalarını ve maki- sine girdiğinde Superfish nelere yapılan önyüklemeler devreye giriyor ve size kendi hakkında daha geniş soruları Lenovo, dizüstü ve masaüstü sonbahardan beri müşterilerin sertifikasını sunuyor Bank of gündeme taşıyor. bilgisayarlarında kurulu Lenovo forumlarında konuyla America sertifikasıymış gibi Westin, artan güvenlik ve gelen gizli reklam yazılımını ilgili şikayetlerde bulunduğu ve gönderip alınan ne varsa mahremiyet kaygılı alıcılarla kullanıcılarının tepkisini çek- biliniyor. Kullanıcı geri bildir- yakalıyor. diyor. beraber dizüstü bilgisayar ve mesi üzerine kaldırma kararı imlerinin olumsuz olduğu Tripwire adlı güvenlik mobil telefon üreticileri gelir aldı. farkedilmiş oldu böylece. şirketinin üst düzey anal- kaynağı haline gelen stratejiler Uzmanlara göre Superfish Forum yöneticisi Mark Hop- isti Ken Westin Eğer bulgular temelinde geçersiz reklamcılık adıyla bilinen reklam yazılımı kins, internet tarayıcılarındaki doğruysa Lenovo kendi imzalı arayarak kendi kendilerine kullanıcıların güvenliğini açılır pencere davranışı gibi sertifikalarını yüklüyor. Onlar zarar verebilir. tehlikeye atıyordu. Bu gizli bazı konular sebebiyle Super- sadece müşterilerinin güvenini Kullanıcılar reklam yazılımları yazılım internet tarayıcılarına fish yazılımının sorunlar çözül- boşa çıkarmakla kalmadılar hakkında kendilerine bilgi ver- reklamları aktarıyor ve kötü ene kadar müşteri sistemlerin- aynı zamanda müşterilerini ilmemesinden ötürü Lenovo amaçlı yazılımlara davetiye den geçici olarak kaldırıldığını artmış riskle karşı karşıya firmasına açık bir şekilde öfkeli- çıkarmış oluyordu. belirtti. bıraktılar. dedi. ler. Bir Lenovo forum kullanıcısı Şimdi Lenovo firması neden Superfish ağ üzerindeki Lenovo her ne kadar yeni reklam yazılımlarının bilgi- ve ne kadar süredir bu yazılımın resimleri görsel olarak analiz makinelerden Superfish in sayarlara yüklenmesindeki önyüklü geldiğini ve ne tür veri edip en ucuz ürünü bulma kaldırıldığını ve diğerlerinde de amacın gizli yazılım kullanarak topladığı hakkında sorularla konusunda kullanıcılara yardım etkisizleştirildiğini söylese de müşteriler üzerinden kar elde yüzleşiyor. etmesi için tasarlanmıştı. bu yazılımın çoktan kurulmuş etmek olduğuna dikkat çekiyor Şirket BBC ye verdiği demeçte Bu tarz reklam amaçlı olduğu bilgisayarlarda son ve bir daha Lenovo bilgisayar Ocak 2015 itibariyle yeni yazılımlar bir kişinin dizüstü durumun ne olduğuna dair net almayacağını sözlerine ekliyor. bilgisayarların önyüklemeler- ya da masaüstü bilgisayarı bir bilgi yok. Son olarak Çinli bilgisayar inden Superfish uygulaması ile etkileşime geçmesi sebe- Profesör Woodward üreticisi Lenovo, kullanıcılarına kaldırıldı. Bununla beraber biyle sektörde kötü amaçlı Lenovo nın bu durum ilgili yazılımı kaldırmalarına Superfish yazılımının önceden yazılımların bir formu olarak hakkında konuşmaya çok yardımcı olmak için bir bulunduğu bilgisayarlarda görülüyor genellikle. isteksiz olduğunu ama bu veri araç önerdi. Firma yaptığı da etkisizleştirildi. Superfish Surrey Üniversitesi nden Pro- toplamanın ne kadar süredir açıklamada müşterilerinden sadece birkaç bilgisayar mod- fesör Alan Woodward inter- yapıldığı, ne kadar kapsamlı özür dilerken bu durumdan elinde önyüklü durumdaydı. nette gezerken sizin isteğiniz olduğu ve bu toplanan verile- deneyim kazandıklarını ve Şu anda Superfish ile ilgili dışında reklam pencerelerinin rin saklanmak üzere nerelerde gelecekte neyi nasıl yapmaları yeni kaygılara karşı detaylı bir açılmasının kabul edilemez ve toplandığı sorularına cevap gerektiği konusunda kendile- şekilde araştırmalar devam sinir bozucu olduğunu belirti- vermesi gerektiğini söyledi. rini geliştireceklerini belirtti. ediyor. denildi. yor. Ayrıca şirketin sıfırdan bir disk Bu problem hem Lenovo Açıklamada Superfish in Güvenlik uzmanlarına göre sağlamayacağı için yazılımdan hem de Superfish in en popül- sadece Ekim ile Aralık ayları Superfish iki bağlantı noktası er tartışma konuları olduğu arasında müşterilere alışveriş arasındaki bağlantıyı izinsiz twitter da da fırtına kopardı. yaparken yardımcı olması için izlemeyi sağlayan man-in- Kaynak: önyüklü geldiği belirtilirken the-middle saldırısı olarak