Dünyada her geçen gün bulut bilişim önem kazanırken, Whizlabs’den konuyla ilgili eğitime katkı sağlayacak bir adım geldi. The Hacker News ile bir anlaşma yapan firma Google bulut eğitimlerine kısıtlı bir süre yüzde 95 indirim yaptığını duyurdu.
Google Cloud birçok mühendisin detaylı olarak bilmediği alanlardan birisi olarak görülüyor. Konuyla ilgili sertifika ve resmi sınavlarda da alınan eğitimler mühendislere önemli bir avantaj sağlıyor.
Google Cloud sertifikaya hazırlık testleri ve kursları, konuya ilişkin daha hızlı yol almayı sağlıyor. Eğitim kapsamında 43 saat görüntülü anlatım ve binden fazla uygulama sorusu sunuluyor.
Program çerçevesinde kursiyerler, Cloud Architect, Cloud Security Engineer, Data Engineer, Cloud Network Engineer, and Cloud Developer eğitimlerinden faydalanabiliyor.
Eğitimler, normal ücreti olan 639 dolar yerine sınırlı bir süre 29,99 dolar karşılığında veriliyor.
Söz konusu programa kayıt olmak için başvuru linkini kullanabilirsiniz.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Bir güvenlik araştırmacısı, Microsoft’a herhangi bir hesabın ele geçirilmesine yol açabilecek bir güvenlik açığını bildirdiği için kendisine 50 bin dolarlık bounty ödül verdiğini duyurdu.
Hindistan merkezli bağımsız güvenlik araştırmacısı Laxman Muthiyah, bahsi geçen açığın Microsoft’un çevrim içi hizmetlerindeki herhangi bir hesabın şifresini sıfırlamak için istismar edilmiş olabileceğini ifade etti.
Araştırmacının açıkladığı saldırının hedefinde, Microsoft’un kullanıcının e-posta veya telefon numarasını girmek suretiyle bir güvenlik kodu alıp sonrasında bu kodu girmesini öngören “parola kurtarma” işlemi yer alıyordu.
Parola kurtarma için genellikle 7 basamaklı bir güvenlik kodu alınmakta, bu da kullanıcıya 10 milyon olası koddan birinin verildiği anlamına geliyor. Hedefteki kullanıcının hesabına erişmek isteyen bir saldırganın, kodu doğru bir şekilde tahmin etmesi veya doğru kodu girene kadar mümkün olduğunca çok sayıda bu kodu deneyebilmesi gerekiyor.
Microsoft, saldırıları önleme noktasında otomatik “brute forcing”i (kaba kuvvet saldırısı) önlemek için yapılan girişim sayısını sınırlamak ve peş peşe girişim yapıldığında söz konusu IP adresini kara listeye almak da dahil olmak üzere bir dizi mekanizmaya sahip.
PAROLA DEĞİŞİKLİK İSTEKLERİ AYNI ANDA GÖNDERİLİRSE SİSTEM ÇARESİZ KALIYOR
Öte yandan Muthiyah’ın keşfettiği şey, yalnızca isteklerin gönderilmesini otomatik hale getirmeye yönelik bir teknik değil, aynı zamanda isteklerin sunucuya aynı anda ulaşması halinde sistemin bunları engellemeyeceği gerçeğiydi (zira en ufak bir gecikme bile savunma mekanizmasını tetikleyecekti).
Araştırmacı, “Doğru olan da dahil olmak üzere yedi haneli yaklaşık 1000 kod gönderdim ve parolayı değiştirmek için bir sonraki adımı atabildim.” diyor.
SALDIRI İKİ FAKTÖRLÜ KİMLİK DOĞRULAMASI ETKİN OLMAYAN HESAPLAR İÇİN GEÇERLİ
Muthiyah, saldırının iki faktörlü kimlik doğrulaması (2FA) etkin olmayan hesaplar için geçerli olduğunu ancak ikinci kimlik doğrulama adımının bile aynı saldırı türünü kullanarak atlanabileceğini ifade etti. Özellikle, kullanıcıdan önce authenticator uygulaması tarafından oluşturulan 6 haneli bir kod ve daha sonra e-posta veya telefon yoluyla alınan 7 haneli bir kod oluşturması isteniyor.
Araştırmacıya göre tüm bunlar bir araya getirilince bir saldırganın 6 ve 7 haneli güvenlik kodlarının tüm olasılıklarını göndermesi gerekiyor, bu da yaklaşık 11 milyon istek girişimine tekabül ediyor ve herhangi bir Microsoft hesabının parolasını değiştirmek için bunların aynı anda gönderilmesi gerekiyor (iki faktörlü kimlik doğrulaması etkin olanlar dahil)
ZAFİYETİN DERECESİ: “ÖNEMLİ”
Güvenlik açığı, geçtiğimiz yıl Microsoft’a bildirildi ve Kasım ayında bir yama kullanıma sunuldu. Microsoft, zafiyetin önem derecesini ‘önemli’ olarak değerlendirmek suretiyle Kimlik Ödül Programı (Identity Bounty Program) kapsamında araştırmacıyı 50 bin dolar ile ödüllendirdi.
Araştırmacı, zafiyetin kritik önem taşımasının tek nedeninin, saldırının karmaşıklığı olduğunu bildirdi. Zira çok sayıda eş zamanlı isteği işlemek ve göndermek için, saldırganın binlerce IP adresini taklit etme yeteneğinin yanı sıra iyi bir işlem gücüne sahip olması gerekiyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Şirketlerin ve kuruluşların sahip oldukları yazılımların güvenliğini test etmek amacıyla dışarıdan hackerlara ve yazılımcılara yönelik gerçekleştirdiği ve zafiyetleri bulmaları karşılığında ödüllendirdiği bir program olan Bug Bounty güvenilirliğini kanıtlamaya devam ediyor.
İşlemci devi Intel’in kendi uzmanları tarafından yürütülen araştırma ve dışarıdan destek alınan hata ödül programları (bug bounty yarışmaları) işbirliği ile şirketin yazılımındaki güvenlik zaafiyetlerinin çok büyük kısmı tespit edildi.
Bu, Intel’in dahili araştırma ekipleri ve gerçekleştirdikleri bug bounty yarışmalarına yaptığı yatırımların meyvesini verdiği anlamına geliyor. Üst üste iki yıl boyunca, Intel’in ürünlerinde bulunan güvenlik açıklarının büyük çoğunluğu (yüzde 92) özellikle dahili araştırma ekiplerinin çabalarından ve hata ödül programları yoluyla tespit edildi.
AÇIKLARIN YÜZDE 45’İ BUG BOUNTY VASITASIYLA TESPİT EDİLDİ
Şirketin “2020 Ürün Güvenliği” raporuna göre, 2020’de Intel ürünlerinde bildirilen 231 güvenlik açığından 109’u (yüzde 47) Intel çalışanları tarafından bulunurken, 105’i (yüzde 45) bir hata ödül programına katılan harici araştırmacılar tarafından tespit edildi. Şirket, farklı farklı programlara ne kadar yatırım yaptığını ayrıntılı olarak açıklamazken, hata ödül programları için yılda ortalama 800 bin dolar ödediğini belirtti.
Intel’in Güvenlik İletişim Direktörü Jerry Bryant, şirketin güvenlik konusundaki çok yönlü yaklaşımını sürdüreceğini ifade etti ve ekledi: “Güvenlik bir kez yatırım yapılıp bırakılabilecek bir şey değil” Güvenlik geliştirme uygulamalarının iyinin ötesinde bir konumda olması gerektiğini belirten Bryant, “Bu, şirketinizde bir zihniyete dönüşmeli, güvenlik açığı yönetim süreçlerine yatırım yapmalısınız.”
RAPOR BUG BOUNTY’NİN ÖNEMİNİ ORTAYA KOYUYOR
Rapor, uygulama ve yazılım geliştiricileri için hata ödül programlarının ne derece önemli olduğunu göstermesi bakımından dikkat çekici. Beş yıl öncesine kadar birçok şirket hata ödül programlarının etkinliğini tartışıyordu. Ancak şimdilerde çoğu şirket harici araştırmacılarla işbirliği yapılmasına artan oranda önem veriyor.
Intel, şirketin Ürün Güvencesi ve Güvenlik Grubunu kurmasının ardından 2018’de kendi hata ödül programını başlatmıştı. Rapor, şirketin söz konusu çabalarının karşılığını aldığını ortaya koyuyor. Ödül programları aracılığıyla sürece dahil olan harici araştırmacılar, Intel’in ana konusu olan işlemciler, ağ oluşturma ve grafik platformları üzerinde daha fazla etkiye sahip olma eğiliminde olan daha karmaşık ürün yazılımı veya donanım güvenlik açıklarını aramak yerine, genellikle yazılım sürücülerine odaklandı. Raporda, şirketin dahili araştırmacılarının aygıt yazılımı ile ilgili güvenlik sorunlarının yüzde 69’unu ve donanım sorunlarının yüzde 57’sini tespit ettiği belirtildi.
Intel raporda” harici araştırmacılar tarafından bulunan sorunların büyük bir kısmı, çoğunlukla grafik, ağ oluşturma ve Bluetooth bileşenleri için yazılım desteği ve yazılım sürücülerinden oluşan yazılımlarla ilgiliydi. Bunlar ele alınması gereken önemli konular olsa da, ürün aygıt yazılımımız, platformlarımıza olan güven noktasında temel teşkil ediyor ve veriler bunun iç güvenlik araştırmamızın öncelikli hususu olduğunu gösteriyor.”
Intel’in dahili araştırma ekibi veya hata ödül programı dışında bir yöntemle tespit edilen güvenlik açığı sayısının sadece 17 olduğu bildirildi. Şirket, bu araştırmacılara Intel’in ortaklarının, müşterilerinin ve ödül motivasyonu olmayan kuruluşların dahil olduğunu söyledi.
EN FAZLA GÜVENLİK AÇIĞI SÜRÜCÜLERDE VE DİĞER YAZILIM BİLEŞENLERİNDE TESPİT EDİLDİ
En fazla güvenlik açığı (93), sürücülerde ve diğer yazılım bileşenlerinde meydana gelirken, cihaz yazılımında 66, cihaz yazılımı ve yazılımda 58 güvenlik açığı tespit edildi. En az sayıda güvenlik açığı (14) donanımı (işlemciler vb.) etkiledi. Branching speculative execution’daki (spekülatif yürütme) gözden kaçan sorunların neden olduğu Spectre ve Meltdown tasarım zaafiyetleri gibi donanım güvenlik açıkları, ürün üretildikten sonra düzeltilmesi veya hafifletilmesi çok zor zaafiyetler olarak biliniyor.
Rapora göre, genel olarak, grafik bileşenleri (22), güvenlik açıklarının en büyük bölümünü oluşturdu. Bunların neredeyse yarısı yüksek riskli olarak sıralandı. En kritik güvenlik açıkları, herhangi bir Intel tabanlı bilgi işlem platformunun güven ölçümünün temelini oluşturan Intel Güvenlik ve Yönetim Motoru’nda (CSME) meydana geldi.
Hata ödülleri programı vasıtasıyla bildirilen güvenlik açıklarının sayısındaki artış göz önüne alındığında, şirketin harici araştırmacılara ayırdığı bütçeyi artıracağı düşünülüyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Tayvan merkezli TSMC dünyanın en büyük çip üreticileri arasında yer alıyor
Dünyanın en büyük çip üreticileri arasında yer alan Doğu Asya ülkesi Tayvan’da yaşanan kuraklık, pandemi kaynaklı dünyada yükselen çip talebiyle karşı karşıya olan elektronik sektörünü iyice zora soktu.
Çip fabrikaları, üretim için ihtiyaç duydukları suya erişmekte sorun yaşıyor. Bu durum, ülkedeki çip üretimini artırma planlarına da zarar veriyor.
Dünya çapında sokağa çıkma kısıtlamaları bilgisayar ve oyun konsolu gibi elektronik cihazlarda talep patlamasına yol açmış, kısıtlamalar nedeniyle tedarik, üretim ve dağıtımda sorun yaşayan üreticiler talebe yetişemez hale gelmişti.
Buna ek olarak küresel otomobil piyasasının da son aylarda canlanmaya başlaması, otomobillerin çok sayıda çip içermesi nedeniyle talebi daha da artırıyor.
Modern araçlarda yüzden fazla mikro işlemci çipi bulunabiliyor. ABD merkezli otomotiv şirketi General Motors, piyasadaki çip kıtlığının kâr beklentilerini 2 milyar dolara kadar düşürebileceğini açıkladı.
JOE BIDEN ÇİP ÜRETİMİNE İLİŞKİN RAPOR İSTEDİ
Ford ve diğer üreticiler de otomobil ve kamyon üretimlerinin etkilendiğini duyurdu. ABD Başkanı Joe Biden bir başkanlık kararnamesi ile ülkede yerli çip üretimini artırmanın yollarının üzerine 100 gün içinde bir rapor hazırlanmasına karar verdi.
Biden’ın ekonomi danışmanı Brian Deese de çip tedariki konusunda Tayvan ile iletişim halinde. Bu hafta Tayvan hükümetine bir mektup yazan Deese, bu konudaki iş birlikleri için teşekkür etti.
Ada ülkesi Tayvan gelen talep üzerine ABD, Almanya ve Japonya’ya yardımcı olma sözü verdi. Fakat son kuraklık, Tayvan’ın bu talebi karşılamasını zorlaştırıyor.
Hükümet işyerlerinin kullanabileceği su miktarına kısıtlama getirdi. Bunun üzerine TSMC ve United Microelectronics’in de aralarında yer aldığı büyük çip üreticileri, tesislerine kamyonla su taşımanın yollarını aradıklarını açıkladı. TMSC günde 156 bin ton suya ihtiyaç duyduğunu paylaştı.
Kaynak: BBC Türkçe
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD’li teknoloji devi Apple’ın son yıllarda birçok şirketi satın alarak bünyesine kattığı ortaya çıktı. Şirketin CEO’su Tim Cook, son altı yıl içinde 100’den fazla şirketi satın aldıklarını açıkladı.
Cook, dün hissedarlar toplantısında bu satın almaların büyük ölçüde teknoloji ve yetenek transferi için yapıldığını söyledi.
Apple, geçen yılın Ekim-Aralık döneminde 111,4 milyar dolarla tarihinin en büyük gelirini elde etmişti.
Apple’ın son 10 yıldaki en büyük alımı kulaklık üreticisi Beats Electronics olmuştu. Apple, rap şarkıcısı ve yapımcı Dr. Dre tarafından kurulan şirkete 2014’te 3 milyar dolar ödedi.
Şirket, 2018’de de şarkı tanıma uygulaması Shazam’ı 400 milyon dolara almıştı.
Apple, küçük şirketleri satın alarak bunların yeniliklerini kendi ürünlerine entegre ediyor. Bunlardan biri 3D algılama teknolojisini geliştiren İsrail şirketi PrimeSense. Apple, FaceID (yüz tanıma) teknolojisinde bu yazılımdan yararlandı. Şirket ayrıca iPhone ve Macbook bilgisayarları için “arkayüz” teknolojisine büyük yatırımlar yaptı.
ELON MUSK’IN TESLA TEKLİFİ REDDEDİLDİ
Apple’ın geçen yılki yatırımları yapay zeka, sanal gerçeklik, ödeme sistemi ve podcast şirketlerini de kapsıyor. Şirket 2019’da kendi otonom sürüş teknolojisine entegre etmek için 2019’da sürücüsüz otomobil üreticisi Drive.ai’yi satın aldı. Şirket 2016’da Uber’in Asya’daki en büyük rakibi, araç paylaşım servisi Didi Chuxing’e bir milyar dolar yatırım yaptı. Apple’ın piyasa değeri 2 trilyonun üzerinde.
Analistler Apple’ın son altı yılda 100 şirket satın almasına ve büyük bir satın alma gücü bulunmasına karşın yine de çok seçici davrandığını söylüyor. Elektrikli otomobil üreticisi Tesla’nın CEO’su Elon Musk, 2013’te, şirketin zor günler geçirdiği dönemde Cook’a şirketi satmaya çalıştığını ancak Tim Cook’un bunu reddettiğini açıklamıştı.
Apple’ın ayrıca rakiplerinin çoğuna göre de satın almalarda görece tutucu bir yaklaşımı var. Örneğin Microsoft, LinkedIn’e 26 milyar dolar, Amazon, Whole Foods’a 17,3 milyar dolar Facebook da WhatsApp’a 19 milyar dolar ödemişti. Apple’ın en büyük 10 alımının toplamı, bunların herhangi biri için ödenen paranın çok altında kalıyor.
Kaynak: BBC Türkçe
Siber Bülten abone listesine kaydolmak için formu doldurunuz
