Kategori arşivi: Siber Güvenlik

Siber güvenlik sosyal bilimlerin birçok alanıyla olduğu gibi strateji ve güvenlik çalışmaları ile de yakın ilişki içerisindedir. Bu bölümde ülkelerin siber güvenlik stratejileri ile ilgili izledikleri politikaları, attıkları adımları, özel sektör ile ilişkiler, faili bulma, bilgi paylaşımı gibi kritik konularda ki yasal düzenlemelerle ilgili haber ve yorumlar bulunmaktadır.

Siber Güvenlik

Android’in kabusu 20 yaşındaki stajyer çıktı

Yorum yapın

Android yazılımı bulunduran akıllı cep telefonlarının korkulu rüyası haline gelen “Dendroid” adlı virüs programının arkasında bir güvenlik firmasında stajyer olarak çalışan 20 yaşındaki Morgan Culbertson çıktı.

300 Amerikan dolarına satın alınabilen program ile Android yazılımı bulunduran cep telefonlarına sızılıp buradaki bilgiler alınabiliyordu. Ayrıca cep telefonun ekran resmi alınıp fotoğraf ve şarkılara da ulaşım sağlanıyordu. Programı satın alanlar 7 gün 24 saat destek hizmetine de kavuşuyordu.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Siber güvenliğin önde gelen firmaları Trend Micro ve Symantec kullanıcıları bu program karşısında uyaran açıklamalar da yapmıştı.

Amerikalı makamların çalışmaları sonucunda Dendroid’in arkasındaki isim olan Morgan Culbertson yakayı ele verdi. Carnegie Mellon Üniversitesi’nde ikinci sınıf öğrencisi olan Culbertson, ayrıca FireEye isimli siber güvenlik firmasında stajyer olarak da çalışıyordu. Culbertson, şirkette Android cep telefonlarına saldıran yazılımları inceliyordu.

İLGİLİ HABER >> YAZ KAMPLARINDA ARTIK İZCİLER DEĞİL HACKERLAR VAR

Culbertson’in yakalanmasının ardından bir açıklama yapan FireEye, gelişme karşısındaki şaşkınlığa uğradıklarını belirtti. Culbertson’in mesai arkadaşları, genç stajyerin çok yetenekli olduğunu ancak suçlamalar karşısında şaşırdıklarını belirtti.

Yetkili makamlar, Culbertson’in kötü niyetli yazılımı hazırlarken FireEye’in de programlarından yararlanmış olabileceğini düşünüyor.

İLGİLİ HABER >> GÜNDÜZ UZMAN GECE HACKER GERÇEK OLDU: KEVIN POULSEN

 

 

 

Kritik Altyapı Güvenliği, Siber Güvenlik

Almanya’nın yeni siber güvenlik yasası can yakacak

Yorum yapın

Almanya’da geçen hafta kabul edilen yeni siber güvenlik yasası kritik altyapı güvenliği ve siber suçlarla mücadele alanlarında önemli değişiklikler getiriyor.

Su, enerji, telekom, sağlık, ulaşım ve finans sektöründe bulunan ve kritik altyapıları işleten 2 binden fazla şirketi etkileyecek düzenlemeye uymayan kurumlara 100 bin Avro’ya kadar ceza kesilmesi öngörülüyor.

İLGİLİ HABER >> DİJİTAL AKTİVİSTLER İÇİN ALMANYA’DA EĞİTİM FIRSATI

Vatandaşların günlük hayatların düzenli akışı için verdiği hizmetlerin kesilmemesi gereken kritik altyapılar hem kamu hem de özel kurumlar tarafından yönetiliyor. Geçtiğimiz hafta kabul edilen yasanın devlet kurumlarını da etkileyeceği ifade ediliyor. Yeni düzenleme kritik altyapılar için  minimum seviyede uyulması gereken bilgi güvenliği stadartlarını zorunlu hale getiriyor.

Siber suçlarla mücadele noktasında polis kuvvetlerinin yetersiz kaldığı düşünülen ülkede, siber güvenlik yasası polise yeni yetkiler veriyor. Emniyetin altında bulunan Kriminal Soruşturma Bürosu artık basit dijital suçlardan komplike siber casusluk operasyonlarına kadar geniş bir alanda operasyon yapabilecek.

İLGİLİ HABER >> ALMANYA BİLGİ GÜVENLİĞİ İÇİN AYRI KURUM KURACAK

Çeşitli sivil toplum kuruluşları siber güvenlik yasasını bireylerin mahremiyeti yeterince korumadığı için eleştiriyor. Bu eleştirilerin odağında yasanın telekom şirketlerine müşterilerinin data trafiğini 6 ay boyunca saklamasını zorunlu tutması bulunuyor. Saklanan bu bilgiler talep edildiği durumda polis tarafından soruşturma sırasında kullanılabilecek. Yasanın telekom şirketlerine getirdiği bir diğer zorunluluk da müşterilerin internet ve telefon bağlantıları istismar edildiğinde bunu müşterilere bildirmek. Edward Snowden’ın sızdırdığı bilgilere göre bazı telekom şirketleri istihbarat servislerinin müşterilerini dinlemesine göz yummuştu. Almanya’daki zorunluluğun bu durumdan kaynaklandığı düşünülüyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Siber Güvenlik

İngiliz üniversiteleri siber savaşçı yetiştirmek için kolları sıvadı

Yorum yapın

İngiltere’nin bilişim güvenliği belgelendirme kuruluşu (ISC) Eylül 2015’ten başlayarak 20 binden fazla lisans öğrencisine siber güvenliği öğretmek için yeni akreditasyon kriterlerini yayınladı. Lisans seviyesinde bilgisayar derecesi için Birleşik Krallık’ın ilk yüksek eğitim yönetmeliği olan bu yönetmelik, Birleşik Bilişim Kurumu’nun (BCS) referans olduğu akreditasyon kriterlerinin de bir parçasını oluşturacak.

BCS’de eğitim direktörü olan Bill Mitchell, bu yönetmeliğin, BCS tarafından akredite edilen bilgisayarla ilgili dereceler için mevcut olan bilgi güvenliği kriterlerini tamamlamak üzere siber güvenlik unsurlarına ek talimatlar sağlayacağını söylüyor.

Birleşik Krallık hükümeti, (ISC), Profesörler ve Bilişim Liderleri Konseyi (CPHC) ve 30 kadar üniversite, ders yönetmeliğini 2 yılı aşkın bir sürede hazırladı.

İLGİLİ HABER >> ABD ORDUSU SİVİL HACKER ÇALIŞTIRACAK!

Söz konusu yönetmelik, Birleşik Krallık’taki 100 kadar üniversitede bilgisayarla ilgili her lisans bölümünde siber güvenliğin öğretilmesini sağlayarak ülkedeki bilişim derecelerini dönüştürecek.

Bu yeni dersler, İngiliz hükümetinin Ulusal Siber Güvenlik Stratejisi’nin giderek büyümekte olan siber güvenlik uzmanı eksikliğini kapatmasında hayati bir girişim olarak görülüyor.

Siber güvenlik prensiplerinin yerleştirilmesi

İngiliz Kabine İşleri Bakanı Matthew Hancock da Birleşik Krallık’ın ancak yeterli sayıda yetenekli profesyoneli olursa dünya klasında bir siber güvenlik sektörünün sürdürebileceğini söyledi. Hancock, “Bu gibi girişimler, en iyi gençlerimizi siber güvenlik alanında bir kariyer yapmaları için teşvik etmek adına mükemmel örnekler” diye konuştu.

İLGİLİ HABER >> İNGİLTERE MERKEZ BANKASI HACKER İSTİHDAM EDECEK

Yönetmelik, her seviyedeki eğitim müfredatlarında bulunan ilgili siber güvenlik prensiplerini, konseptlerini ve öğrenme çıktılarını geliştirmeleri ve yerleştirmeleri için üniversitelere yardımcı olacak.

Bu yönetmelikle tehditlerden saldırılara, iyi yönetimden güncel endüstriyel uzmanlığa dayalı güvenli sistemler ve ürünler tasarlamaya kadar siber güvenlikle ilgili konseptlerin olduğu geniş bir spektrumun öğretilmesi amaçlanıyor.

Yönetmelikte ayrıca bilgi ve risk, güvenlik mimarisi ve operasyonlar ve siber güvenlik yönetimi gibi ana konseptler de yer alıyor.

Bu üniversite yönetmeliği ayrıca bilişim diplomalarını, endüstrinin ihtiyaçları ile birbirine yakın bir hizaya getirmeyi hedefliyor. Üniversitelerin, Birleşik Krallık ekonomisini destekleyecek bilişim altyapıları inşa etmek için gerekli olan anlayışa ve bilgiye sahip mezunlar vermesi ümit ediliyor.

İLGİLİ HABER >> İNGİLTERE VE ABD ORTAK SİBER TİM KURUYOR!

CPHC’de Başkan Yardımcısı olan ve aynı zamanda Warwick Üniversitesi’nde siber sistem mühendisliği profesörü olan Carsten Maple, “Bu yüksek eğitimde güvenlik eğitimi alanında önemli bir değişikliğe işaret ediyor; siber güvenlik şu anda bilgisayar oyunu geliştirmekten ağ mühendisliğine kadar bütün ilgili bilişim disiplinleri için bütünleyici bir unsur olarak görülüyor.” diye konuşuyor.

Maple, “Daha önceleri siber güvenlik, programlamadan ayrı bir disiplin olarak görülüyordu, öğrencilere nasıl uygulama yazacakları, nasıl sistem ve teknoloji geliştirecekleri öğretiliyordu. – Ama şimdi onları nasıl koruyacakları öğretilecek – Bu da sistemlerin içinde yerleşik zafiyetlerin yayılmasına neden oluyordu.” diye ekliyor.

İngilteredeki yetenek eksikliğini giderme

Maple ayrıca bu yönetmeliğin, siber güvenliğin üniversite müfredatına katılmasında ve bu disiplinin ilerletilmesinde pratik ve erişilebilir bir yol olacağını düşünüyor.

(ISC) Avrupa idare amiri olan Adrian Davis, Birleşik Krallık’ın hem siber güvenlik alanında yetenek eksikliğinden hem de sanayinin ihtiyaçları ile bilişim mezunlarının kapasitelerinin birbiriyle uyuşmamasından dolayı uzun süredir olumsuz etkilendiğini belirtiyor. Ardından “Bunların hepsi birleşince, en nihayetinde bizim dijital ekonomiyi ve Birleşik Krallık programlanabilir mantık kontrolünü inşa etme ve savunma yeteneğimizi bir araya getiriyor.” diye ekliyor.

İLGİLİ HABER >> İNGİLTERE’Yİ SİBER GÜVENLİKTE SIRTLAYAN ADAM: ANDY WILLIAMS

Davis, Birleşik Krallık’ın şimdi ilgili bütün bilişim derecelerine siber güvenliği de yerleştiren dünyadaki ilk uluslardan biri olduğunu vurguluyor.

“Daha da önemlisi, bu sistem en ileri bilgi ve en önde gelen siber güvenlik uzmanları tarafından inşa edilip sürdürüldükçe, en güncel yetenekler de eğitilmiş olacak. İşgücüne katılan mezunlar, yeteneklerini hemen kullanma imkanına sahip olacaklar.” ifadelerini kullanıyor.

ISC’ye bağlı Global Bilgi Güvenliği İşgücü Araştırması’nın son bulgularına göre İngiliz şirketlerinin yüzde 62’sinde çok az siber güvenlik çalışanı bulunuyor ve araştırmaya katılanların yüzde 20’si, bir güvenlik açığını kapatmalarının en az 8 gün aldığını kabul ediyor.

Araştırmada yer alan tahmine göre, 2020 yılında bilgi güvenliği alanında profesyonel açığı dünya genelinde 1,5 milyona ulaşacak. Bu da şirketlerin tehditlere karşı koymak ve hataları düzeltmek için daha fazla mücadele etmesi ve siber saldırılardan sonra toparlanmalarının daha uzun zaman alması anlamına geliyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Siber Güvenlik

İngiltere yanlışlıkla kendi ajanlarını dinlemiş

Yorum yapın

İngiltere’nin dijital istihbarat örgütü GCHQ’ nun kendi elemanları hakkında yasal sınırların dışında izleme/dinleme yaptığı ortaya çıktı.

Dünyanın en önemli istihbarat örgütlerinden biri hakkında kamuyla paylaşılan bu bilginin kaynağı bu kez Edward Snowden değil. Bilakis bir İngiliz yetkili.

İstihbarat servisleri komiseri Sir Mark Waller GCHQ hakkında yayınladığı yıllık raporda, geçen sene GCHQ’nun kendi elemanları hakkında izleme/dinleme yapan sisteminde yasalar tarafından konulan sınırların dışından bilgi toplandığını bulduğunu açıkladı.

GCHQ’da çalışan personelin kişisel iletişiminin sınırlı olarak izlenmesi yasal olarak mümkün olsa da, Waller mayıs ayında istihbarat örgütünde yaptığı teftişte kurumun yetkisinin ötesinde kişisel bilgi topladığını belirledi.

Bu durumun teknik bir hatadan kaynaklandığını ifade eden GCHQ yetkililerinin Waller’a verdiği bilgilere göre, kurum personeli hakkında yetkisiz toplanan bilgiler teknik bir hatadan kaynaklandı ve tespit edildikten sonra bu bilgiler sistemden silindi. Sistem yeniden konfigüre edildi. Waller sistemin yeniden hata verip vermeyeceğini anlamak için teftiş etmeye devam edeceğini açıkladı.

Waller’ın GCHQ araştırmasında yetkisiz toplanan bilgilerin iki taşeron firma yetkilisi tarafından istismar edildiği bilgisini de verdi. Olayın ortaya çıkmasının ardından çalışanların sözleşmesi iptal edildi.

Geçtiğimiz günlerde MI6 çalışanlarından biri yaptığı işin gerektirmeyeceği istihbarat datalarına ulaşmaya çalıştığı için ceza almıştı.

Siber Güvenlik

Güvenlik uzmanları siber saldırılardan nasıl korunuyor?

Yorum yapın

Bilgisayarla ilişkileri günlük işlerini halletmek veya işyerindeki çalışmalarını yürütmekle ilgili olan insanların kendilerini siber tehditlerden nasıl koruyacaklarına dair internette yüzlerce makale bulunuyor.

 

Hatta siber güvenlik şirketleri günlük ve haftalık basın açıklamaları ile güncel tehditler hakkında bilgi veriyor ve kullanıcıların bu tehlikeler karşısında ne yapacakları anlatılıyor.

 

Peki bu işin uzmanları, kendi güvenliklerini nasıl koruyor. Gelin bir de onların sesini duyalım.

 

Citrix Baş Güvenlik Uzmanı Kurt Romer:

Bilgisayarındaki programları güncel hallerini kullanmak güvenliğin olmazsa olmazı şeklinde konuşuyor Romer. Ayrıca sanal alemde güvenilir sitelerde gezinmenizi ve dosya indirdiğiniz sitelerin de “güvenilir” olduğuna emin olun diye de ekliyor. Ayrıca kendisiyle paylaşılan linkleri de Google’da bir araştırma yapmadan açmadığının altını çiziyor.

 

Firehost Tehdit İstihbarat Başkanı Chase Cunningham:

Bilgisayarındaki güvenlik duvarı her daim açık. Ayrıca aile üyelerini de tehditler noktasında bilgilendirmek gerektiğini düşünüyor Cunningham. “Çocuklarınızın internette yapabileceklerini sınırlandırın” diyen güvenlik uzmanı, çocukların sosyal mecralarında neleri paylaşmamaları gerektiğini de söylemek gerektiğini anlatıyor. Cunningham, evde de bir IP yönlendirici bulunması gerektiğine de inanıyor.

 

OpenDNS Üstdüzey Araştırmacı Mark Nunnikhoven:

Dijital güvenlikte en önemli şey, şifre güvenliği. Kullanıcıların, iki uzun şifre cümlesi ezberlemesi gerektiğini söylüyor Nunnikhoven: Biri bilgisayar şifreniz diğeri de şifre yönetici programınız için.

 

Palo Alto Networks İstihbarat Direktörü Ryan Olson: Nunnikhoven gibi şifrenin önemine dikkat çeken Olson, ayrıca bazı önemli işler için de “sanal platformlar” kullanıyor. Bu platformların güzelliği, işletim sisteminiz içinde farklı bir bilgisayar ortamı yaratması ve buraya indirdiğiniz dosyaların ana bilgisayara kayıt edilmemesi. Olsın böylece riskli işler yapacağınızda bunun diğer bilgilerinize zarar vermeyecek bir şekilde yapmanızı sağladığını düşünüyor.

 

WhiteHat Security Üstdüzey Yetkili Ryan O’Leary: İnternette pek birşey paylaşmayın diyor O’Leary. Kişisel bilgilerinizi soran bir eposta gelirse kesinlikle cevap vermeyin diye de ekliyor. Ayrıca bilgilerinizi paylaşmak zorunda kalırsanız da bunun “HTTPS” protokolü kullanan siteler üzerinden olması gerektiğini salık veriyor.

 

IXIA’dan yetkili Frank Gifford: Gifford da kullandığınız şifrelerin önemli olduğunu düşünenlerden. “Her programı indirmeyin” diyen Gifford, sanal makinelerin kullanılması gerektiğine inanıyor.

 

Uzun lafın kısası…

  1. Güçlü bir şifreniz olsun
  2. Bilmediğiniz dosyaları bilgisayara indirmeyin
  3. Kişisel bilgilerinizi eposta ile paylaşmayın
  4. Her programı indirmeyin