Bu bülten, siber güvenlik ve siber savunma alanında dünyada yer alan başlıca gelişmeleri derlemeyi amaçlamaktadır. Siber güvenlik konusunda güncel

2 Bu bülten, siber güvenlik ve siber savunma alanında dünyada yer alan başlıca gelişmeleri derlemeyi amaçlamaktadır. Siber güvenlik konusunda güncel gelişmeleri taraf gözetmeden, farkındalık geliştirmek amacıyla sunan bültenimiz, ODTÜ Enformatik Enstitüsü nde faaliyet gösteren CyDeS (Cyber Defense and Security Center) tarafından aylık olarak hazırlanmaktadır.

3 İçindekiler: 4 Freak Saldırıları 5 GoDaddy: Siber Saldırılar İçin Araç Olarak Kullanılıyor 6 Google: Hackerlar Dolandırıcı Epostaları Göndermek İçin Google Apps Açıklığından Faydalanıyor 7 Android Açıklığı: Dropbox Gizliliğini Tehdit Ediyor 7 Pwn2Own Hack Yarışmasında Web Tarayıcılar Hackelenerek Yazılım Hataları Bulundu 8 Silikon Vadisi Havalı ve Güçlü, Peki Ama Kadınlar Nerede? 9 Google ı Koruyan Siber Savaşçı Prensesi 10 UTorrent Haber Vermeden Bitcoin Kazanma Yazılımını Yüklüyor 12 Firefox 37 ile SSL/TLS Sertifika Güvenliği 12 Sağlık Sektörü Sigorta Şirketi Premera Hacklendi 13 Drupal da Şifre Sıfırlama Açıklığı 14 Whatsapp ın Yeni Sesli Çağrı Özelliği Siber Dolandırıcıların İştahını Kabartıyor 15 Twitch: Haclendi 16 Japonya Siber Güvenlik Gücü için Hackerları İşe Alıyor 17 ABD İç Güvenlik Bakanlığı Raporu 18 Facebook Yazılım Hatası 19 Konum Bilgin Son 14 Gün İçinde 5398 Kez Paylaşıldı 20 Epostalarınızın Takip Edilip Edilmediğini Anlamanın En Kolay Yolu 21 Vawtrak Zararlı Yazılımı

4 FREAK SALDIRILARI Mıcrosoft Kullanıcılarını Freak Saldırılarına Karşı uyardı Microsoft, yüz milyonlarca Windows kullanıcısını başlangıçta sadece mobil cihazları ve Mac bilgisayarlarını tehdit ettiğine inanılan Freak adlı güvenlik açığından kaynaklı saldırılara karşı uyardı. Dokuz kişilik bir güvenlik uzmanı ekibi Apple ın ios ve Mac işletim sistemleri yanısıra Google ın Android işletim sistemi kullanan cihazlarda görülen güvenlik açığını kamuoyuna duyurdu. Bunun üzerine Microsoft bu açıklığa karşı kullanıcılarını uyaran bir güvenlik tavsiye bildirisi yayınladı. Bahsi geçen zayıflık, en güçlü kriptolama tekniklerinin ihracatını yasaklayan ABD düzenlemelerine uyum sağlamak için kasıtlı olarak güçsüzleştirilen kriptolama teknolojisini kullanan web sunucularına bağlı bilgisayarlar üzerinde görülüyor ve saldırılara ortam sağlıyor. Araştırmacılar duyurdukları açıklık hakkında eğer hackerlar başarılı olursa, zararlı yazılımın bulaştırıldığı bilgisayarlarda iletişim kanalları üzerinde bu hackerların casusluk yapabileceğini belirtti. The Washington Post un haberine göre whitehouse.gov ve fbi.gov gibi resmi kurum websiteleri de bu saldırılara karşı açıklıklara sahip siteler arasında görülüyor. Güvenlik uzmanları açıklıktan faydalanabilmenin göreceli olarak zor olduğunu çünkü hackerların bir saldırı başlatmadan önce ilgili şifrelemeyi kırmak için saatlerce bilgisayar başında uğraşmaları gerekeceğini belirtiyor. Qualys Inc. adlı siber güvenlik firması yöneticisi Ivan Ristic, Kanımca bu durum korkunç bir mesele değil ama işleri de yoluna koymak gerekiyor. şeklinde konuştu. Saldırının aşamaları ise şöyle: bu zayiflığa sahip websitesini bulma, şifreyi kırma, korunmasız bir bilgisayar ya da mobil cihaz bulma ve daha sonra da o düzeneğe giriş yapma. Microsoft daha zayıf kriptolama kullanan Windows sunucularındaki düzenlemeleri devredışı bırakmak için sistem yöneticilerine geçici bir çözüm bulmalarını tavsiye etti. Ayrıca Microsoft, tehditi araştırdıklarını ve Windows bilgisayarları ilgili tehditten otomatik olarak korumak için henüz bir güvenlik güncellemesi geliştirmediklerini açıklamasında belirtti. Apple, bu güvenlik açığını etkisiz kılmak için müşterilerine çok geçmeden sunulacak olan yeni bir yazılım güncellemesi geliştirdiğini duyurmuştu. Google da aynı zamanda Android kullanan cihazları üretip dağıtımını yapan ortaklarına sağlanmak üzere bir güvenlik yaması geliştirmişti. Freak, Factoring RSA-EXPORT Keys ifadesini simgeliyor. Bu açıklık, bankaların ve diğer hizmetlerin çoğunun bağlı olduğu ve internette en çok kullanılan protokollerden biri

5 FREAK SALDIRILARI olan Güvenli Soket Katmanı (Secure Sockets Layer - SSL) üzerinde keşfedildi. Bu protokol istemci ve sunucu arasında birkaç mesaj karşılıklı gönderip almayı içeren tokalaşmalardan (handshakings) sonra istemci tarafı için özel ve genel olmak üzere ikili anahtar çifti (private key ve public key) oluşturarak güvenli bir bağlantı kuruyor. Bu esnada bir saldırgan iletişim kanalına izinsiz girmeyi başarırsa farklı saldırılar başlatabilir. Bu saldırılar bilgisayar ağlarında man-in-the-middle-attacks olarak adlandırılır. SSL içerisinde oluşturulan anahtar, hackerların onu bulup kırmaları neredeyse imkansız olacak derecede büyük olmalı. Bu yüzden ilgili protocol normalde 2048 bitlik anahtarlar kullanıyor. Fakat bu anahtarların 512 biti geçmeyecek şekilde olmasını şart koşan kriptolama düzenlemeleri var. Bu yasal düzenlemeler 1990 larda ülke dışına kriptolama yazılımının satışını yasaklamak için ABD hükümeti tarafından çıkarılmıştı. Kaynak: http://www.reuters.com/article/2015/03/06/us-cybersecurity-freak-microsoft-iduskbn0m220920150306 http://cointelegraph.com/news/113638/freak-attackscan-hurt-android-and-apple-users-blockchain-is-a-remedy GoDaddy: SİBER SALDIRILAR İÇİN ARAÇ OLARAK KULLANILIYOR Hackerlar web kullanıcılarının bilgisayarlarına girmek için planın bir parçası olarak GoDaddy üzerinden alan adı kaydı olan websitelerini kullanıyor. Domain shadowing olarak bilinen bu yöntemde, saldırganlar GoDaddy hesaplarına izinsiz giriyor ve kullanıcıları zararlı yazılım içeren websitelerine yönlendiren yanlış alt alan adları oluşturuyor. Bu siteler daha sonra tehlikeli kodu ya da zararlı yazılımı kullanıcıların bilgisayarlarına aktarıyor ve siber saldırılara olanak sağlıyor. Bu saldırılar için en azından 10 bin eşsiz alt alan adları yaratıldı. Bu tehdit Cisco Systems destek mühendisi Nick Biasini tarafından rapor edildi. Biasini, blog paylaşımında çoğu kullanıcının alan adı hesaplarını düzenli olarak kontrol etmedikleri için bu saldırı tipinin artan şekilde etkili olduğuna dikkat çekti. Websitelerinin ya da IP adreslerinin kara listeye alınması gibi tipik tespit etme tekniklerinden kaçınmak için bu yöntemin etkili bir yol olduğuna dikkat çeken Biasini; bu tekniğin sadece alt alan adları oluşturmayı da kapsamadığını aynı zamanda şirketle bağlantılı IP adreslerinin de değiştirilmesinin söz konusu olduğuna dikkat çekiyor. Bu saldırı trendi aynı zamanda çeşitli yazılımlar içerisinde açıklıkları arayan kötü amaçlı çevrimiçi araçlar olan Angler exploit kit lerinin etkinliğini vurguluyor. Biasini, Angler için pazardaki en iyi exploit kit olduğunu da sözlerine ekliyor. Kaynak: http://thehill.com/policy/ cybersecurity/234588-godaddy-usedas-tool-for-cyber-attacks

6 GOOGLE HACKERLAR DOLANDIRICI EPOSTALARI GÖNDERMEK İÇİN GOOGLE APPS AÇIKLIĞINDAN FAYDALANIYOR com eposta adresi için https://admin.google.com/emaillogininstruction s?useremail=info@bankofanycountry.com). Eposta arayüzünü kullanarak bir saldırgan hedef kullanıcılara şifre, finansal detaylar ya da diğer hassas bilgiler gibi kişisel bilgilerini girmelerini isteyen zararlı linki de içeren bir çeşit e-dolandırıcılık epostası gönderebilir. Aşağıda da gösterildiği gibi araştırmacılar başarılı bir şekilde admin@ vine.com adresini elde etti ve kurbana konu satırında Welcome to Twitter yazan ve kullanıcının Twitter kullanıcı bilgilerini girmesini isteyen dolandırıcı websayfasının linkini de içeren bir eposta gönderdi. Google Apps for Work içinde keşfedilen kritik bir açıklık hackerların herhangi bir websitesinin domain adına dayanan eposta adreslerini kötüye kullanmalarına imkan sağlıyor. Hackerlar bu şirket eposta adresleri üzerinden dolandırıcılık epostaları gönderebiliyor. Eğer markanız üzerinden bir eposta adresiniz olsun isterseniz (myemail@gmail.com yerine admin@yourdomain.com gibi), o zaman siz Google Apps for Work aracılığıyla bir hesap oluşturabilirsiniz. Araştırmacılar bu güvenlik ve mahremiyet açığını arama motoru devine rapor ettiler ve Google bu kusuru kapatmak bir güvenlik yaması uyguladı. Şu anda hala saldırgana doğrulanmamış domainler için Send Sign in Instructions erişimine izin veriyor fakat bu kez özel eposta adresi yerine apps-noreply@google.com aracılığıyla. Hackerlar gelen kutunuza kimlik hırsızlığı epostaları hala gönderebilir; üstelik gönderen epostası Google ın kendi sunucuları üstünde oluşturulduğu için hiç bir uyarı olmaksızın. Google Apps for Work servisi; Gmail, Drive deposu, Calendar, çevrimiçi dökümanlar, Video Hangouts ve diğer ortak çalışmaya dayalı servisleri takımınız ya da kurumunuzla kullanmanıza izin verir. Google dan eposta hizmetine dayanan özel bir domain adı almak için normal bir Gmail hesabı açar gibi kaydolmak gerekiyor sadece. Hesabınızı yarattıktan sonra, siz domain yöneticisi konsol paneline Google uygulama arayüzü üstünden girebilirsiniz fakat Google sizin domain bilginizi onaylamadan herhangi bir servisi kullanamazsınız. Gaspedilen Hesaplardan E-dolandırıcılık Epostaları Gönderme Siber güvenlik araştırmacılarından Patrik Fehrenbach ve Behrouz Sadeghipour bir saldırganın herhangi bir kullanılmayan (daha önceden kaydı olmayan) domain bilgisini kaydedebileceğini keşfetmişler (Örneğin: Kaynak: http://thehackernews.com/2015/03/google-apps-vulnerability. html admin@bankofanycountry.com hesabını almak için bankofanycountry. com alan adı gibi). Ama açıkça görülüyor ki Google, domain doğrulaması yapılana kadar admin@bankofanycountry.com için eposta servisine girmenize izin vermiyor. Bu sizin ilgili eposta adresi üzerinden herhangi bir eposta ne gönderebileceğiniz ne de alabileceğiniz anlamına geliyor. Ama her nasılsa the Hacker News sitesinin haberine göre domain adminine, kurum kullanıcılarına Sign in Instructions göndermesine izin veren Google apps üzerinde bir web sitesi var (örneğin info@bankofanycountry.

7 ANDROİD AÇIKLIğı DROPBOX GİZLİLİĞİNİ TEHDİT EDİYOR IBM in güvenlik takımı hackerların mobil kullanıcıların dropbox hesaplarına sızmalarına olanak tanıyan can sıkıcı bir açık buldu. Araştırmacılar Dropbox ın SDK Version 1.5.4 for Android sürümünde özensiz yapılmış kodlama buldular. Bu SDK yı kullanarak Dropbox hesaplarına bağlanan uygulamalar risk altında çünkü bu açıklık siber saldırganların normal kimlik doğrulama mekanizmasını atlayıp hesaplara girebilmelerine müsade ediyor. Dropbox, hesaplarına uygulamaları bağlamak için Oauth protokolünü kullanıyor. Bu, bir hesaptan data almak için bir uygulamaya yetki verme amacıyla kullanılan kriptografik özel bir sözcük olarak adlandırılan büyük, rastgele bir sayı oluşturulması anlamına geliyor. Zayıf uygulamalar saldırganın bu şifreli sözcüğü çalmasına ve ilgili Dropbox hesabına girmesine izin veriyor. Bu noktada saldırgan herhangi bir veriyi ilgili hesaptan ele geçirebilir. Bu saldırıya bazı kısıtlamalar var. Android kullanıcısı bahsi geçen SDK yı kötü niyetli bir uygulama yüklenmeli. Ve eğer resmi Dropbox uygulaması bir cihaz üzerinde yüklenirse exploit asla çalışmaz. IBM çalışanları Dropbox ın bu güvenlik tehditine karşı tavrının takdir edilesi olduğunu belirttiler. IBM den yetkililer durumu Dropbox a ilettikten sadece 6 dakika sonra alındı bilgisi kendilerine bildirildi ve 24 saat geçmeden açıklığı onayladılar. Sadece 4 gün sonra da bu açıklığı telafi eden bir yama yayınladılar. Şu anki Dropbox SDK 1.6.3 versiyonunda artık saldırılara karşı bu açıklık giderilmiş durumda bulunuyor. Ama hala uygulamalarını güncellemede tembellik yapan ciddi bir kullanıcı kitlesi bulunuyor ve bu kullanıcılar risk altında olabilirler. Dropbox güvenlik mühendisi Devdatta Akhawe bir blog yazısında bu açıklığın kullanıcı verilerine girmek için kullanıldığına dair şu ana kadar hiç bir rapor almadıklarını belirtti. Yazısında IBM çalışanları Roee Hay ve Or Peles e teşekkür eden Dropbox çalışanı, kendileri için güvenlik ve mahremiyetin çok önemli olduğunu ve bu sebeple kullanıcılarını güvende tutmak için güvenlik araştırmacıları ile yakın şekilde çalışmaya devam edeceklerini belirtti. Kaynak: http://www.theregister.co.uk/2015/03/11/dropbox_sdk_flaw_ left_microsoft_office_mobile_open_to_attack/ kullanan bir Dropbox hesabına girerse ancak o zaman bu saldırı çalışıyor. Kullanıcı aynı zamanda kötü niyetli bir websitesini ziyaret etmeli ya da Pwn2Own Hack Yarışmasında Web Tarayıcılar Hacklenerek Yazılım Hataları Bulundu Her yıl düzenlenen Pwn2Own Hack yarışması 2015 yılı için Kanada, Vancouver da gerçekleştirildi ve dünyanın farklı yerlerinden gelen hackerlar Windows OS, Adobe Reader and Adobe Flash ile beraber en çok kullanılan 4 web tarayıcısı Microsoft Internet Explorer, Mozilla Firefox, Google Chrome ve Apple Safari içerisinde 21 kritik yazılım hatası bularak toplamda 557,500 dolar para ödülü kazandı. Bulunan yazılım hataları ise şu şekilde: Windows işletim sisteminde 5 bug Internet Explorer 11 içinde 4 bug Mozilla Firefox içinde 3 bug Adobe Reader içinde 3 bug Adobe Flash içinde 3 bug Güney Koreli güvenlik araştırmacısı lokihardt takma adlı Jung Hoon Lee 110,000 dolar kazanarak ödülden en büyük payı alan isim oldu. Kaynak: http://thehackernews.com/2015/03/browser-hacked-pwn2own. html Apple Safari içinde 2 bug Google Chrome içinde 1 bug

8 Sİlİkon Vadİsİ havalı ve güçlü; peki ama kadınlar nerede? Silikon Vadisi ndeki cinsiyetçi yaklaşım yaygın ve yazılı kaynaklara geçmiş durumda fakat eğer teknoloji bizim bütün geleceğimizi şekillendiriyorsa kadınlar neden dışlanıyor? Kadın bir şirket CEO su Silikon Vadisi ndeki bir teknoloji yarışmasında ilgileri üzerine çektiğinde aklına gelen son şey onun cinsiyetiydi. Ama yatırım fonu için dikkatli bir şekilde pratik ederek hazırladığı çalışmasını sunduğunda bütün dinleyiciler alkışlamıyordu onu. O, istenmeyen bu ilgiyi görmezlikten gelip çalışmalarına odaklandı fakat daha sonra çalışması yersiz bulundu. Çalışmam bu insanlar için biraz alay konusu oldu fakat neden? Bu profesyonel bir konferanstı. diyor olası fon şanslarını riske sokma korkusuyla adını vermek istemeyen kadın CEO. Bu hikaye aslında cinsiyet ayrımcılığının yoğun olarak görüldüğü Silikon Vadisi nde çalışan çoğu kadın tarafından bilinen bir gerçek ve bu cinsiyetçi kültür topluma da yansıyor. Örneğin teknoloji dünyasının Oscar ı kabul edilen Crunchies Ödüllerinde sunucu, bir kadın için hakaret içeren ifadeleri tekrar tekrar kullanabildi (daha sonra özür diledi). Silikon Vadisi nde yöneticilerin sadece %11 i, yazılım geliştiricilerin ise yaklaşık %20 si kadınlardan oluşuyor. Forbes dergisinde yayınlanan 100 lider teknoloji yatırımcısı sıralamasında ise sadece 4 kadın yer alıyor. Silikon Vadisi şirketleri ayrıca diğer sektörlerdeki büyük şirketlere nazaran daha az kadın çalışana sahip genel olarak. Büyük teknoloji şirketlerinin sadece %53 ü yönetici kadrosunda bir kadına sahipken diğer yandan her sektörden ABD deki büyük şirketlerde bu oran %84 olarak görülüyor. Silikon Vadisi nde kadınlar ve erkekler arasındaki maaş uçurumu da daha kötü durumda. Öyle ki vadide erkekler kadınlardan %61 daha fazla kazanıyor. Bu oran ABD genelinde ise %48 e iniyor. Geçen ay Silikon Vadisi nde çalışan kadınlar için düzenlenen bir konferansta konuşan Hillary Clinton konuşmasında bu sektöre adım atıp hayalleri peşinde koşan kadınların sayısının bir elin parmaklarını geçmediğine vurgu yaptı. 2014 yılı boyunca aktivist kurum ve bireyler bu sorun konusunda yol katetmek için anahtar bir rol oynadılar. Bu aktivistler yüksek sesle bu sorunu dile getirdiler. Feminist medya platformu Model View Culture özellikle etkili oldu bu çalışmalarda. Facebook un operasyon direktörü Sheryl Sandberg de Lean In adlı kitabında bu çalışmaları desteklediğini belirtip kadınların daha fazla sorumluluk almaları gerektiğine dikkat çekiyor ve şirket içerisinde yükselebilmek için pragmatik tavsiyeler öneriyor. Model View Culture ın eski kurucu ortaklarından olan ve şimdi San Frnsisco da feminist bir hacker platformu olan Double Union için çalışan Amelia Greenhall onun rolünü imkanları genişletmek olarak görüyor. Greenhall ve diğerlerinin baskısı sonuç verdi ve Google ın başını çektiği büyük teknoloji firmaları kendi çalışanlarındaki cinsiyet çeşitliliği verilerini kamuoyuyla ilk kez paylaştılar. Ayrıca Intel işgücünde cinsiyet çeşitliliği çalışmaları için 300 milyon dolar ayırmış durumda. Şu anda kadınların yer aldığı teknik rollerin oranı Facebook ta %15, Apple da %20 olarak kayda geçmiş durumda. Silikon Vadisi nde kadınların gelişmesini engelleyen en bilinen nedenlerden biri vadinin kadınları pek hoş karşılamayan sıkı çalış sıkı eğlen kültürünü yansıtan bir erkekler kulübü görüntüsü çizmesi. Yeni kurulmuş gelişme aşamasındaki şirketlerde bu durum daha net gözlemlenirken yine bu şirketlerde istihdam kişisel bağlantılar vasıtasıyla sağlanıyor. Silikon Vadisi ndeki kadınları destekleme amaçlı faaliyet gösteren kar amacı gütmeyen organizsyonlardan Anita Borg Institute for Women and Technology nin CEO ve başkanı Telle Whitney, bu küçük ölçekli şirketlerin 100 çalışanı istihdam etttiklerinde bile çoğu zaman temel algıda değişikliğe gitmediklerini ve bu şirketlerin büyük teknoloji firmalarında gözlenen kültürden oldukça farklı bir yapı ortaya koyduğunu belirtiyor. Pek çok kar amacı gütmeyen, kadınları teknoloji alanında destekleme amacı güden organizasyonlar bulunmakla beraber içlerinde belki de en hızlı yükselenlerden biri de küçük bir feminist organizasyon olan Ada Inıtiative. Amaçlarını bozuk olan bu sistem içerisine daha fazla kadın sokmak olmadığını belirten kurum, asıl amaçlarının sistemi kadınlar için daha iyi yapmak olduğunu belirtiyor. Bu alanda çok başarılı kadınlar sayıca az da olsa bulunuyor. 2.3 milyar dolarlık değere sahip Houzz adlı bir ev dizayn sitesinin kurucusu ve CEO su Adi Tatarko, ABD Teknolojiden Sorumlu Yöneticisi Megan Smith bunlardan birkaçı. Kaynak: http://www.theguardian.com/technology/2015/mar/08/sexism-silicon-valley-women

9 Google ı Koruyan Sİber Savaşçı Prensesİ Peri masallarında prensesler korunmaya ihtiyaç duyar ama Google ın Silikon Vadisi ndeki yönetim merkezinde bu prenses kaleyi savunan kişi bu sefer. 31 yaşındaki Parisa Tabriz mühendislikte en büyülü iş unvanlarından birine sahip: Google güvenlik prensesi. Onun görevi dünyadaki en popüler ağ tarayıcısını hacklemek ve black hat hackerlardan önce açıkları bulmaya çalışmak. eline bağlı. Eğer biz bu verileri koruyamazsak söz söylemeye de hakkımız olmayacak demektir. diyor Parisa Tabriz. Siber suç kavramı son 10 yıl içinde uzun bir yol katetti ve Tabriz in en büyük kaygısı şu an için Google yazılımı içerisindeki yazılım hatalarını bulup bunları hükümetlere ya da suçlulara satan insanlar. Bununla mücadele etmek için şirket, rapor edilen hatalar için 100 dolar ila 200 bin dolar arasında değişen ödemeler yapan bir ödül Doğrusunu programı başlatmış söylemek gerekirse Oz Büyücüsü nde nasıl bulunuyor. Tabriz, Silikon sihirbazlar iyi ve kötü olarak ikiye ayrılıyorsa hackerlar da aynı şekilde iyiler (white hat) ve kötüler (black hat) olarak nitelendiriliyorlar. Google a saldıranları yenmek için Tabriz in herşeyden önce onlar gibi düşünmesi gerekiyor. Bu siber savaşta yaklaşık bir milyar Google kullanıcısının verisi tehlikede demektir. İşe başladığımda iş unvanım biraz sıkıcı ve anlamsız olduğunu Vadisi ndeki cinsiyet dengesizliğini kabul ediyor ve istatistiki bilgilerin kadınların siber güvenlik alanında sayıca az olmaları probleminin ne olduğuna dair sizi düşünmeye sürüklediğini ekliyor. Bunun sebebi bir kültür mü yoksa bir atmosfer mi diye soruyor Tabriz. Tabriz in işi teknolojik olarak bil yap mantığı üzerine olduğu kadar saldırganların psikolojisini anlama üzerine de görülüyor aynı zamanda. düşündüğüm bilgi güvenliği mühendisiydi. Bu yüzden biraz da şaka maksatlı olarak güvenlik prensesi olarak onu değiştirdim. Hiç de kız gibi ya da prensesler gibi biri olmadım. Bu yüzden bu adlandırma biraz ironikti ama takıldı kaldı! diyor Parisa Tabriz. Kaynak:http://edition.cnn.com/2015/03/13/tech/parisa-tabriz-securityprincess-google-hack/index.html Tabriz in rolü Google da çalışmaya başladığından beri 8 yıl içinde çarpıcı biçimde evrilmiş. O zamanlar Illinois Üniversitesi nden yeni mezun biri olan Tabriz, 50 güvenlik mühendisinden biriymiş; şimdi ise 500 ün üzerindeler. Kullanıcılarımız arasında yabancı ülkelerin başkanları da var. Umuyorum ki Obama da Chrome kullanıyor. Üst düzey kişiler, siyasi muhalifler, gazeteciler, ve sadece günlük olarak interneti kullanmak isteyen sıradan insanları kapsıyor bu durum. Google, veriler konusunda bize güvenen kullanıcıların

10 utorrent HABER VERMEDEN BITCOIN KAZANMA YAZILIMINI YÜKLÜYOR Eğer son zamanlarda popüler BitTorrent hizmeti olan μtorrent in 3.4.2 Build 28913 sürümünü yüklediyseniz ya da güncellediyseniz o zaman siz bu uyarıyı okumalısınız. μtorrent dosya paylaşım servisi kullanıcıları, torrent yüklemek için kullanılan yazılımın son güncellemesinin sessiz sedasız EpicScale adlı istenilmeyen bir Bitcoin kazanma yazılımını yüklemesinden şikayet ediyor. H a b e r s i z Yüklemeden Kullanıcılar Şikayetçi Kullanıcıların bilgisayarlarına onayları olmadan yüklenen Epic Scale bir sanal para kazandırma yazılımı ve rapor edildiğine göre kullanıcıların bilgisayarlarını BitTorrent şirketinin Bitcoin gelirlerini sağlamak için kullanıyor. Bu istenilmeyen yazılım sunucu bilgisayarları yavaşlatıyor ve özellikle sistemden kaldırması da zahmetli. Bu yazılım son olarak utorrent in şikayet forumunda dikkat çekerken Groundrunner adlı bir kullanıcı yükleme esnasında kendilerine hiç bir bilginin verilmediğini ve bu yüzden kendisinin donanımla gelen yazılımdan da vazgeçtiğini belirtti. Utorrent in müşteri destek alanından üst düzey bir yönetici bu konuya cevap verdi ve ilgili yazılımın kullanıcı onayı olmadan yüklendiği iddialarını reddetti. Bahsi geçen utorrent çalışanı Epic Scale şirketin kazancına katkıda bulunan mükemmel bir partner bizim için. Bu dosyayı silme konusunda çekin- meyin. Siz kesinlikle tekrar bir yükleme almayacaksınız. Yazılım, makinenizden temelli olarak kaldırılmış olacak. şeklinde yazdı forumda. Belirle ve Kaldır Bitcoin Kazandırıcısını Her ne kadar ilgili μtorrent çalışanı kaldırma konusunda sorun yok dese de Epic Scale in sorunlu tarafı Windows makinelerindeki bilinen kaldırma prosedürleri ile basitçe bilgisayarınızdan kaldırılamıyor oluşu. Epic Scale, μtorrent tarafından kar amaçlı kullanılıyor fakat normal kullanıcılar için çalışırken sistem kaynaklarını tüketen bir sorun aynı zamanda. Bir kullanıcı, bilgisayarı boştayken bile belirgin şekilde işlemci yükünün arttığını farketmiş. Habersiz yükleme titizlikle yapılıyor ve üstelik bütün bilgisayarlarda değil. BitTorrent sözcüsü meseleyi yakından değerlendirdiklerini ve hiç bir habersiz yükleme işleminin gerçekleşmediğini ama yine de olayı yakından izlemeye devam edeceklerini belirtti. Kullanıcılar bu programın bilgisayarlarının performansını belirgin şekilde düşürdüğünü farketmiyorlar sonuç olarak. Windows kullanıcılarına Görev Yöneticisi nden EpicScale programının kendi sistemlerinde çalışıp çalışmadığını kontrol etmeleri tavsiye ediliyor. Şu ana kadar μtorrent, dünya genelinde her ay 150 milyondan fazla aktif kullanıcısıyla en çok ziyaret edilen BitTorrent hizmeti konumunda bulunuyor. Alternatif Torrent programlarını denemeyi düşünüyorsanız Linux, Mac OS X ve Windows için mevcut olan hafif, ücretsiz ve çok platformlu Deluge, Vuze, Bitcomment, qbittorrent i deneyebilirsiniz. Bir yazılım kurarken karşımıza çıkan son kullanıcı lisans anlaşmasını kabul etme işlemi o kadar yaygın ki çoğu kullanıcı onları görmezlikten geliyor ya da kabul ediyor okumadan, neyi kabul ettiğini bilmeden. Ortalama bir kullanıcı bir yazılım kurarken sadece 6 saniye harcıyor her sayfada (İleri...İleri...Yükle..ve Tamamlandı). Aşağıdaki ekran görüntüsünde μtorrent Epic Scale kurulumundan önce kullanıcıya bir seçenek sunuyor kabul et ya da reddet şeklinde ve ortalama bir kullanıcı onun EpicScale programının kullanımına izin verdiğini asla anlamıyor.

UTORRENT HABER VERMEDEN BITCOIN KAZANMA YAZILIMINI YÜKLÜYOR 11 Kullanıcılar ya toplu olarak hatalılar ya da yazılım yüklemesinde kullanıcıların kafasının karışmasına neden olan bir şeffaflık sorunu var. Kaynak: http://thehackernews.com/2015/03/beware-torrent-silentlyinstalling.html

12 Firefox 37 İle SSL/TLS Sertİfİka Güvenlİğİ OneCRL teknolojisi, dijital güvenlik sertifikalarının doğruluğunu daha ileri bir şekilde onaylamak için varolan kontrollerin eksiklerini gideriyor. Mozilla 31 Mart itibariyle yeni bir SSL/TLS sertifika kontrol mekanizmasını yeni sürümü Firefox 37 içerisinde hayata geçirmiş olacak. OneCRL olarak adlandırılan yeni sertifika kontrol teknolojisi ile beraber Mozilla, kötü sertifikalardan ve potansiyel olarak zararlı websitelerinden kullanıcıları korumak için yürürlükten kaldırılmış sertifikaların bir listesini dahil ediyor tarayıcıya. Bir SSL/TLS sertifikası hem kriptolama hem de verilen bir alan adı için güvenilirlik sağlamak için tasarlanmış durumda. Günümüzde bütün modern web tarayıcıları Online Sertifika Statüsü Protokolü nü (OCSP) verilen bir site sertifikasının geçerli olup olmadığını kontrol etmek için çoktan kullanıyor. Yeni OneCRL hemen OCSP ile yer değiştirmek için tasarlanmadı. Firefox 37 OCSP yi desteklemeye devam edecek şu an için. Mozilla da uygulama güvenlik mühendisi Mark Goodwin e göre OneCRL sisteme tamamen yerleştirilse bile OCSP ye yine ihtiyaç duyulacak. Sayfa yüklemelerinde önemli ertelemelere neden olmaksızın OCSP yi beklemeyeceğiz ve OCSP aynı zamanda sertifika yetkilisine bir kullanıcının hangi siteleri ziyaret ettiğini bildirerek özel bilgiyi sızdırabilir. Diğer yandan, OneCRL de ise etkili bir şekilde hızlı çalışıyor. Bu yüzden OCSP nin talep ettiği hiçbir ertelemeye sebep olmuyor. Mahremiyet bakış açısından ise OneCRL kontrolleri tarayıcıya yerel olarak yapıldığı için ne sertifika yetkilisi(ca) ne de Mozilla, kullanıcıların internette nerelere girdiğine dair bir bilgi toplayamıyor. OSCP, OneCRL ye göre daha ölçekleneblir kabul ediliyor. Goodwin ayrıca OneCRL nin sertifika statü kontolü sırasında bütün işi yapamayacağını ve Mozilla nın uzun vadeli planının hem OneCRL hem de OCSP yi birleştirmek olduğunun altını çiziyor. Goodwin e göre bu iki mekanizma birleştirilebilirse web hem daha hızlı hem de daha güvenli olacak. Kaynak: http://www.eweek.com/security/ firefox-37-feature-to-improve-ssltls-certificatesecurity.html Sağlık Sektörü Sigorta Şirketi Premera Hackendi ABD de sağlık sektörünün önde gelen sigorta şirketlerinden Premera hackerların geçen yıl bilgisayar sistemlerine sızmayı başardığını ve 11 milyon kişinin verilerinin bu saldırılardan etkilenmiş olabileceğini kamuoyuna duyurdu. Premera Blue Cross adlı sigorta şirketi, hackerların milyonlarca müşterisinin sosyal güvenlik numaraları, doğum tarihleri, eposta, adres, banka hesap bilgileri, klinik bilgileri ve detaylı sigorta bilgilerinin yer aldığı sağlık profillerine girmiş olabileceğini duyurdu. Açıklamada ilk olarak 5 Mayıs 2014 tarihinde hackerların sisteme sızdğını ama 29 Ocak 2015 tarihine kadar farkedemedikleri belirtildi. Bu saldırı 2015 yılı içerisinde sağlık sigortası şirketlerini hedef alan ikinci en büyük saldırı oldu. Ocak ayında da diğer bir büyük sağlık sigortası şirketi olan Anthem hacklenmiş ve 80 milyon müşteri ve çalışanının kişisel bilgileri çalınmıştı. Eyalet kanunları gereği şimdi Premera bilgileri çalınan 11 milyon kişiye bildirim mektupları gönderecek. Şirketten yapılan açıklamada FBI ile olayın soruşturulduğu ve bilgi teknolojileri (IT) sistemlerinin güçlendirilmesi ve ek önlemler alınması için çalışmalara da başlandığı belirtildi. Kaynak:http://tinyurl.com/ot7f7s8

Drupal da Şİfre Sıfırlama Açıklığı 13 Geniş bir şekilde kullanılan açık kaynak kodlu içerik yönetim sistemi Drupal, sisteminde hackerların Drupal websitelerini hacklemelerine fırsat veren 2 kritik açıklığı keşfetmesinden sonra kullanıcılarına mevcut Drupal yazılımlarını en son versiyonlar olan 6.35 ya da 7.35 e güncellemelerini tavsiye etti. Bir güvenlik danışmanının bildirdiğine göre Drupal içindeki bir açıklık hackerların belli durumlar altında şifre sıfırlama URL leri üzerinden güvenlik kısıtlamalarından sıyrılmalarına izin veriyor. Bu şifre sıfırlama açıklığı hackerların kullanıcıların hesaplarına herhangi bir şifre girişi yapmadan yetkisiz şekilde giriş yapmalarını sağlıyor. Kısmen ciddi olarak değerlendirilen bu açıklık, saldırgana uzaktan Drupal temelli bir internet sitesine site yöneticisi gibi girme imkanı sağlıyor ve saldırgan zararlı yazılım içeren linkleri siteye yükleyerek hedefteki sunucunun kontrolünü ele geçirmeye çalışabiliyor. Drupal 7 internet siteleri üzerinde bahsi geçen bu açıklık sadece çoklu kullanıcı hesaplarında veritabanındaki şifre hash süreçlerinde programlanabilir değişiklikler yapılması ile sadece görülebiliyor. Drupal 6 ile çalışan internet siteleri ise daha fazla risk altında çünkü site yöneticilerinin oluşturdukları yeni kullanıcı hesapları aynı şifreyle kullanıyor. Buna ek olarak, bu güvenlik açığından kullanıcı hesaplarının tutulduğu veritabanındaki şifre hash alanı en az bir kullanıcı için boş bırakılarak da Drupal 6 websiteleri için faydalanılabiliyor. İlgili güvenlik danışmanı da boş şifre hash lerine sahip ya da kolay tahmin edilebilir şifrelere sahip Drupal 6 websitelerinin bu açıklığa karşı daha savunmasız olduğunu belirtti. Dış bir kimlik doğrulama kullanan sitelere bunun uygulanabileceğini ve öyle ki şifre alanının sabit ve geçersiz bir değer olarak düzenlenebileceği eklendi ayrıca. Drupal içerik yönetim sisteminin etkilenen versiyonları aynı zamanda açık bir yönlendirme hassaslığına da sahip bulunuyor. Drupal action URL alanında zararlı yazılım içeren üçüncü taraf adreslere kullanıcıları yönlendirmek için siber suçlular tarafından kullanılan hedef parametresini içine alıyor. Drupal ekibine göre saldırganlar tarafından kullanılan Drupal 6 ve 7 nin etkilenen versiyonlarında çoklu URL bağlantılı API fonksiyonları var. Bu da potansiyel olarak ek açık yönlendirme zaafiyetlerine neden oluyor. Geliştiriciler şunları belirtti: Bu korunmasızlık hali, hedef parametrelerinin ortak kullanımlarının saldırıdan kolay etkilenmemesi sebebiyle bir nebze azaltılıyor. Ama yine de Drupal 7 nin form API sini kullanan bütün onaylama formları içerdiği İptal butonu nedeniyle saldırılara karşı savunmasız bir konumda ve Drupal 6 onaylama formları da bu açıklığı barındırıyor. Bu mesele gerçekten ciddi çünkü Drupal internet üzerinde 1 milyar websitesi tarafından kullanılıyor ve Wordpress ve Joomla nın ardından 3. sırada bulunuyor. Drupal MTV, Popular Science, Sony Music, Harvard ve MIT nin de aralarında bulunduğu internet siteleri için bir içerik yönetim sistemi sağlıyor. Tavsiyeler Web sayfası yöneticilerinin aşağıdaki adımları yerine getirmeleri tavsiye ediliyor: Kullanılan Drupal çekirdeğini Drupal ın en son versiyonları olan 6.35 ve 7.35 versiyonlarına yükseltin Yönetici konumunda olmayan bir kullanıcı olarak başarılı bir saldırının etkilerini azaltmak için bütün yazılımı çalıştırın Bilinmeyen kaynaklardan linklere tıklamayın Bilinmeyen ya da güvenilmeyen kaynaklardan eposta eklerini açmayın Eposta ekleri için dosya uzantılarına beyaz liste uygulayın Kaynak: http://thehackernews.com/2015/03/hacking-drupal-website.html

14 WHATSAPP IN YENİ SESLİ ÇAĞRI ÖZELLİĞİ SİBER DOLANDIRICILARIN İŞTAHINI KABARTIYOR SWhatsapp yeni çağrı özelliğini henüz saklı tutarken siber dolandırıcılar yeni Whatsapp çağrı özelliğini aktif etmek için kullanıcıları davet eden sahte mesajlarla dünya genelinde Whatsapp kullanıcılarını hedef alıyor. Eğer arkadaş listenizdeki birilerinden Hey, I m inviting you to try WhatsApp Free Voice Calling feature, click here to activate now > http://whatsappcalling.com şeklinde bir mesaj alırsanız çok dikkatli olun bu bir dolandırıcılık demektir. Popüler mesajlaşma uygulaması merakla beklenen ve Skype ve Viber gibi benzer uygulamalarda varolan, Android kullanıcılarına interneti kullanarak sesli görüşme imkanı sunan yeni sesli arama özelliğini kamuoyuna sundu. Ama her nasılsa bu bedava Whatsapp arama özelliği sadece Whatsapp ın Android için en son versyonu olan ve Google Nexus 5 telefonlarında kullanılan Android 5.0.1 Lollipop u kullanan kullanıcıları için şimdilik. Yeni Whatsapp Çağrı Özelliği Nasıl Sağlanır? Şirket yeni Whatsapp arama özelliğini henüz resmi olarak bildirmedi ama bazı kullanıcılar onu kullandıklarını iddia ediyorlar. Hindistan rapor edilen bir Reddit kullanıcısına göre Whatsapp ın bu yeni çağrı özelliği arkadaşından aldığı bir sesli çağrı aldıktan sonra onun telefonunda aktif edildi. Dünya genelinde milyonlarca kullanıcı merakla bu yeni sesli çağrı özelliğini bekliyor ve Android ya da ios için bu yeni Whatsapp özelliğini nasıl sağlayacaklarını internet üzerinden araştırıyorlar. Tabi bu durum dolandırıcılara istedikleri fırsatı sağlıyor. İddiaya göre siber dolandırıcılar, kötü amaçlı ve reklam amaçlı yazılımları yaymak için kimlik hısızlığı epostaları, Whatsapp mesajları ve dolandırıcı websitelerine yönlendiren kötü niyetli linkler içeren sahte davetiyeler gönderiyorlar kullanıcılara. Kullanıcılar linklere tıkladıkları zaman sözde Whatsapp adına düzenlenen ankete katılmanı isteyen bir websitesine yönlendiriliyorlar. Anket kullanıcıları kötü amaçlı yazılım içeri-

15 yor olabilecek bilinmeyen uygulama ve yazılımları yüklemeye zorluyor. 70 milyondan fazla kullanıcısıyla Whatsapp, bizim olduğu kadar dolandırıcılar için de dünya genelinde geniş bir şekilde tercih edilen popüler bir mesajlajma servisi. 5.0 versiyonu için mevcut ve Whatsapp ın yeni versiyonu 2.11.508 aracılığıyla başarılı bir şekilde kullanılabilir. Bu sesli arama özelliği hala beta versiyonda. Whatsapp sesli çağrı hizmeti Google Play Store üzerinden mevcut değil ama davet üzerine Whatsapp websitesinden sadece indirilebiliyor. Kendinizi Nasıl Koruyacağınızı Öğrenin: Bu dolandırıcılıktan kendinizi korumak için aşağıdaki şeyleri öğrenmeniz gerek: Whatsapp sesli çağrı özelliği şu anda Android Lollilop Kaynak: http://thehackernews.com/2015/03/whatsappcalling-feature-invite.html Twitch: Hacklendİ Amazon un Twitch ekibi yaptığı açıklamada canlı yayınlanan ağ üzerindeki bazı kullanıcı hesap bilgilerinin çalınmış olabileceğini bildirdi. Yapılan açıklamada olası yetkisiz girişten şüphelenildiğini bildiren site, kullanıcılarının kendi güvenlikleri için Twitter ve Youtube üzerinden Twitch hesabı bağlantılarının kesildiği belirtildi. Yapılan açıklama şöyle: Gelecek sefer sizin Twitch hesabınıza giriş yapmak istediğinizde yeni bir şifre oluşturmanız hatırlatılacak. Aynı zamanda daha önceki şifrenizi kullandığınız başka sitelerdeki hesaplarınızın şifrelerini de değiştirmenizi tavsiye ediyoruz. Bu olası yetkisiz giriş meselesinden etkilenen kullanıcılarla detaylı olarak doğrudan iletişim kurulacaktır. Amazon Twitch i geçen yıl rakibi Google dan daha yüksek bir teklif vererek 970 milyon dolara satın almıştı. Kaynak: http://www.theguardian.com/technology/2015/mar/24/twitch-hack-amazon-gaming-site-says-user-details-may-havebeen-stolen

16 SİBER TEHDİTLERE KARŞI yönetimler Japonya Siber Güvenlik Gücü için Hackerları İşe Alıyor Japonya, siber güvenlik tehditlerine karşı hack becerilerinden yararlanmak amacıyla resmi olarak çalışma başlatan son ülke oldu. Ülkede kısa bir süre önce kurulan Ulusal Olay Hazırlık ve Siber Güvenlik Strateji Merkezi (Nisc), Japonya nın siber savunma kapasitesini geliştirmek amacıyla white hat hackerlardan oluşan bir ekip kuracak. Kyodo News in haberine göre 2014 yılında Japonya da resmi ve özel kurumlarını hedef alan 25.7 milyar siber saldırı girişimi gerçekleştirildi. Resmi bir rapor bu saldırı girişimlerinin çoğunun yönlendiricilerin ve güvenlik kameralarının kontrolünü elde etmek amacıyla düzenlendiğini belirtiyor. Şimdi ise Birleşik Krallık gibi Japonya da genç hackerlardan geleceğin siber savunmacıları olarak istifade etmek istiyor. Bu amaçla şubat ayında Japonya, yerel Japon takımların ABD, Çin, Polonya, Rusya, Güney Kore, ve Tayvan dan hacker gruplarının saldırılarına karşı kendi becerilerini test etmeleri üzerine kurulu bir hack yarışmasına ev sahipliği yaptı. Birleşik Krallık ın Siber Güvenlik Strateji ve Ulusal Siber Güvenlik Programı sorumlularından Francis Maude hem hükümetlerin hem de iş dünyasının siber güvenlik alanında yetenekli insanlara ihtiyaç duyduğunu belirtti. Kaynak:http://tinyurl.com/ qavyb6yrecruits-hackers-forcyber-security-force ABD ve Birleşik Krallık Bankaları Ortak Siber Güvenlik Saldırı Testi ABD ve Birleşik Krallık hükümetleri arasında uzmanları bilgi alınan ortak kararlar doğrultusunda Londra ve paylaşacak ve New York taki bankalar bilgisayar sistemlerine saldırılara karşı nasıl cevap yönelik büyük çaplı bir siber saldırı simüle edecekler. Bu siber saldırı tatbikatı geçen yıl iki ülke arasında siber suçlara karşı oluşturulan işbirliği vereceklerini koordine edecekler. B i r l e ş i k programı çerçevesinde gerçekleştirilecek. Krallık taki beş büyük şirketin Bu işbirliği programı doğrultusunda bir transatlantik siber hücre kurulacak ve hem ABD hem de Birleşik Krallık tan bilgisayar güvenliği dördünde güvenlik açığı olduğu 2014 yılındaki raporlarda kayda geçmiş ve 1.5 milyon sterline mal olmuştu bu açıklıklar. ABD de National Security Agency (NSA) ve Federal Bureau of Investigation (FBI) hali hazırda kendi siber hücrelerine sahipler ve artık Birleşik Krallık tan MI5 ve Government Communications Headquarters (GCHQ) ile işbirliği geliştirecek. Kaynak: http://www.bloomberg.com/news/ articles/2015-01-16/u-k-and-u-s-banks-planjoint-cyber-security-attack-test

İç Güvenlik Bakanlığı Raporu: 17 2014 te 245 Siber Saldırı Endüstriyel Kontrol Sistemlerini Hedef Aldı ABD Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi (ICT-CERT), 12 aylık period içinde ABD de endüstriyel kontrol sistemlerinin en azından 245 defa siber saldırılarla vurulduğunu kabaca %55 inde gelişmiş kalıcı tehditlere (APT) ya da sofistike aktörlere rastlandığı belirtilirken diğer aktör tipleri hacktivistler ile içeriden tehdit ya da suçlar olduğu eklendi. İletişim ve su sektörlerinin her biri 14 kez saldırıya maruz kalırken, nükleer 6, kimya alanında ise 4 saldırı kayda geçmiş. Aşağıdaki grafik ICS-CERT tarafından açıklanan bu saldırıların metodlarının çeşitli formlarını gösteriyor: ICS-CERT açıklamasında ayrıca bu 245 saldırının sadece rapor edilenler olduğunu ve çok daha fazla sayıda farkedilmeyen başka saldırıların da yüksek ihtimal gerçekleştiğini belirtti. Endüstriyel kontrol sistemlerinin siber alanda yeni ve sofistike oyuncular olarak görülen Rus hackerlar duyurdu. Bu saldırılar içerisinde 79 saldırıyla enerji sektörü başı çekerken 65 saldırıyla kontrol sistemleri ekipman imalatı yapan kritik imalat sektörü ikinci sırada geldi. Rapor kontrol sistemleri imalatçılarının ekonomik casusluk ve keşif gibi nedenlerle sofistike saldırıların hedefi olabileceğini belirtiyor. Rapor edilen bütün bu saldırıların tarafından hedef alınmasının yükselen bir kaygı olduğu da raporda dikkat çeken noktalardan. Kaynak: http://tinyurl.com/ oat44b4

18 Facebook Kullanıcı Fotoğraflarının Görüntülenmesİne Neden Olan Yazılım Hatasını Düzelttİ Facebook, zararlı yazılım içeren uygulamalar aracılığıyla kullanıcıların özel fotoğraflarına erişime izin veren ciddi bir açıklık üzerinde yoğunlaştı. İlgili güvenlik açığı Laxman Muthiyah tarafından keşfedildi ve Muthiyah Facebook tarafından 10 bin dolar ile ödüllendirildi. Bu açıklık fotoğraf senkronizasyonu ile ilgili ve önceden onaylanan bu özellik kullanıcıların telefonlarında bulunan fotoğraflarını otomatik olarak facebook hesaplarında özel bir yere yüklüyor. Kullanıcılar bu özel fotoğrafları Facebook zaman tünelinde bir masaüstü bilgisayarı üzerinden paylaşabiliyor. Araştırmacı dosyalara girmek için üçüncü taraf uygulamalara izin veren bir açıklık buldu. Muthiyah a göre, Facebook mobil uygulaması senkronize edilen içeriğe üst düzey giriş anahtarlı graph.facebook. com/me/vaultimages e bir GET talebinde bulunarak giriyor. Ama konu yönlendirilmeden önce Facebook sunucuları sadece giriş anahtarının sahibini kontrol ediyor, talepte bulunan uygulamayı değil. Bu durum ilgili Facebook uygulamasına kullanıcının özel fotoğraflarına erişim izni vermiş oluyor. Uzman, kendisinin açığı raporladıktan sonra Facebook un 30 dakikadan daha az sürede geri dönüş yaptığını belirtti. Sosyal medya devi bahsi geçen bu açığı sunuculara girişleri sınırlandıran whitelist yöntemiyle yama yaparak kapattı. Öyle ki şu anda hiçbir uygulama kullanıcı telefonundaki fotolara erişemiyor artık. Güvenlik uzmanı Graham Cluley, Tripwire s State of Security adlı blog üzerinden paylaştığı yazısında ciddi bir gizlilik açığına 30 dakikada geri dönüş yapılmasını etkileyici bulduğunu belirtti. Gerçek şu ki 2012 nin sonlarında fotoğraf senkronizasyon hizmeti piyasaya sürüldü ve bu açık o zamandan beri vardı (2yıldan daha fazla bir süre). Sorun şu anda çözülmüş olsa da Facebook un kendi araştırmacıları bu süre zarfında bu açığı kendileri keşfetmeliydi. dedi Cluley. Muthiyah ın Facebook ta ciddi bir güvenlik açığı bulması ilk değil. Daha önce de şubat ayında kullanıcıların fotoğraflarını silmeye olanak tanıyan Graph API yazılım hatasını bildirdiği için şirketten 12 bin 500 dolar kazanmış. Son olarak açıklanan açıklık ise Lübnan kökenli araştırmacı Joe Balhis tarafından rapor edilen ve saldırganların kullanıcıların yorumlarını silmesine olanak tanıyan bir açıklıktı. Facebook, yazılım hatası bildirim ödül programı kapsamında sadece geçen yıl 1.3 milyon dolar ödeme yaptı. Kaynak: http://tinyurl.com/o5tzf3o, ve http://tinyurl.com/osvzol4

Konum Bilgin Son 14 Gün İçinde 5398 Kez Paylaşıldı 19 Senin akıllı telefonun konum bilgini çeşitli şirketlerle ne kadar sıklıkta paylaşıyor farkında mısın? Sadece 2 hafta içerisinde 5000 den fazla. Bu rakam biraz şok edici ama gerçek! Carnegie Mellon Üniversitesi nden güvenlik araştırmacılarının yaptığı son bir çalışma bir dizi akıllı telefon uygulamasının konumunuzla ilgili veriyi düşündüğünüzden çok daha fazla olarak topladığını ortaya çıkardı. Güvenlik araştırmacısı alarm veren bu durum hakkında bir uyarı yayınladı: Sizin konum bilginiz Facebook, GO Launcher EX, Groupon ve yedi diğer uygulama tarafından son 2 hafta içinde 5398 kez paylaşıldı. Araştırmacıların çalışmaları boyunca 3 hafta süreyle 23 Android akıllı telefon kullanıcısı izlendi. İlk Hafta: Katılımcılardan akıllı telefon uygulamalarını normal şekilde kullanmaları istendi. İkinci Hafta: Bu uygulamaların kullandığı veriyi izlemek ve yönetmek için App Ops adlı bir uygulama yüklendi. Üçüncü Hafta: Araştırmacı ekip günlük olarak bir uygulama konumla ilgili veriyi her talep ettiğinde katılımcılara ping ataan bir mahremiyet uyarı bildirimi göndermeye başladı. Araştırmacıların vardıkları sonuçlar: Android için bazı uygulamalar kullanıcıların hareketlerini her 3 dakikada bir takip ediyor. Android için bazı uygulamalar ihtiyaç duyulduğundan daha fazla veriyi toplamaya çalışıyor. Groupon adlı uygulama iki hafta içerisinde bir katılımcının koordinatlarını 1062 defa talep etti. Bir meteoroloji uygulaması olan Weather Channel ortalama olarak 2000 defa (yani her 10 dakikada bir) cihaz konumunu tale petti. Katılımcılar farklı uygulamalar tarafından bu kadar yakından takip edildiklerinden haberdar değildi ve çoğu bu araştırmanın sonuçlarına çok şaşırdı. 4182 kez mi? Siz benimle dalga mı geçiyorsunuz? diye sordu katılımcılardan biri ve devam etti: Kendi telefonum tarafından takip ediliyormuşum. Bu sayının çok yüksek oluşu ürkütücü. Diğer bir katılımcı: 356 sayısı beklenmedik derecede büyük. Araştırma ekibi verilere girişi yönetmeye yardım eden yazılımı buldular ve üyeler App Ops adlıb u uygulamanın girişine izin verdiklerinde toplam olarak onların uygulama izinleri 51 defa control edildi ve 76 farklı uygulamaya tanınan 272 izin kısıtlandı. Katılımcılardan sadece biri izinleri gözden geçirmede başarısız oldu. Kullanıcı mentalitesi gereğince katılımcılar bu uygulamanın erişim izinlerinde değişiklikler yaptıklarında, birkaç gün sonra onlara nadiren baktılar. Carnegie Mellon Üniversitesi nden Profesör Norman Sadeh Uygulama erişim izni yöneticileri hiç yoktan iyidir ama kendi kendilerine onlar yeterli değiller. Mahremiyet bildirimleri farkındalığı artırmada ve gizlilik ayarlarını yeniden gözden geçirip ayarlamada önemli bir rol oynayabilir dedi. App Ops gizlilik uygulamasının yardımıyla katılımcılar 8 günlük bir süre içinde uygulama izinlerini toplamda 69 defa gözden geçirdiler ve 47 farklı uygulamayla ilgili 122 ek izni engellediler. En nihayetinde araştırma ekibine göre bir kullanıcı gizlilik bildirimini günlük olarak almaya başlarsa kesinlikle gizlilik ayarlarına gidip kendilerini bu kadar yakından takip eden bu uygulamaları kısıtlayacak. Kaynak: http://thehackernews.com/2015/03/location-sharing-apps.html

20 Epostalarınızın Takİp Edİlİp Edİlmedİğİnİ Kontrol Etmenİn En Kolay Yolu Şirketlerin sizin eposta aktiviteleriniz hakkında herşeyi bildiğinin farkında olmayabilirsiniz. Herşeyden kastedilen ise müşterilerden birinden gelen epostayı ne zaman açtınız, hangi makineyi kullanıyorsunuz, nerede bulunuyorsunuz, hangi linklere tıklıyorsunuz gibi sizing rızanız dışındaki şeyler. Yesware, Bananatag ve Streak gibi şirketler eposta takibi konusunda şirketlere hizmet sunuyor. Onlar gelen epostanın alıcı tarafından ne zaman ve nerede açıldığına dair şirketi bilgilendiren küçük pikseller ya da resimler ekleyerek epostayı takip ediyorlar. Şirketler tarafından yaygın şekilde kullanılıyor bu yöntem ve eğer siz takip edildiğinizden haberdar olmak isterseniz basit ama etkili bir seçeneğe sahipsiniz. Yeni bir Chrome uzantısı olan Ugly Email sizin Gmail kutunuzdaki epostalarınızın takip edilip edilmediğini haber veriyor ve üstelik daha eposta okunmadan bunu yapıyor. Yüklendikten sonra Bananatag, Streak ve Yeswear şirketlerinden biri tarafından takip ediliyorsa o epostanın yanında ince küçük bir göz sembolü ortaya çıkıyor. Ugly Email yaratıcısı Sonny Tulyaganov, Ugly Email in sizin Gmail hesabınızdan herhangi bir veriyi saklamadığını, kaydetmediğini ve iletmediğini, herşeyin son kullanıcı da gerçekleştiğini belirtiyor. Bununla beraber bazı kısıtlamalar da mevcut. İlk olarak, Ugly Email şu anda sadece Gmail üzerinde çalışıyor. Bu yüzden Outlook kullanıcıları bu hizmetten faydalanamıyor. İkincisi, Ugly Email sadece Google Chrome üzerinde çalışıyor ama Tulyaganov, Firefox ve Safari versiyonları için de planlarında olduğunu belirtti. Son olarak Ugly Email şu anda sadece Yesware, Bananatag ve Streak görüntü takip sağlayıcılarına karşı etkili ama daha fazla takip servisini bu listeye eklemeye devam edeceklerini belirtiyorlar. Tabi bu ne kadar zaman alır henüz belli değil. Kaynak: http://thehackernews. com/2015/03/email-tracking-software.html