Kategori arşivi: Sektörel

Türkiye

Dışişleri Bakanlığı beyaz şapkalı hackerları işe alacak!

Yorum yapın

Dışişleri Bakanlığı beyaz şapkalı hackerları işe alacak!Dışişleri Bakanlığı, sekiz adet sözleşmeli bilişim personeli alımı için bir ilan yayınladı. İlandaki “ethical hacker” ifadesi dikkat çekti.

İlanda, tam zamanlı olarak işe alınacak bir “Bilgi Güvenliği Uzmanı” pozisyonu için Certified Ethical Hacker (CEH) belgesine sahip olmanın tercih sebebi olduğu belirtildi. Bu belgeler, siber korsanlık faaliyetlerine hâkim olan, ancak bunu etik ve yasal amaçlar için kullanan “beyaz şapkalı hacker” olarak adlandırılan bilgisayar uzmanları tarafından alınabiliyor.

Resmi Gazete’de yayımlanan ilana göre, Dışişleri Bakanlığı sekiz sözleşmeli bilişim personeli alacak. İlanda, uygulamalı/yazılı ve sözlü sınav sonuçlarına göre başarı sırasına göre sekiz sözleşmeli bilişim personeli alınacağı ifade edildi. Bu pozisyonlar arasında üç tam zamanlı “Yazılım Uzmanı”, bir tam zamanlı “İş Analisti”, bir tam zamanlı “Ağ Uzmanı”, bir tam zamanlı “Bilgi Güvenliği Uzmanı” ve iki tam zamanlı “Sistem Uzmanı” bulunuyor.

ETİK HACKERLARIN SERTİFİKA SAHİBİ OLMASI İSTENİYOR

Bilgi güvenliği uzmanı pozisyonu için, başvuru sahiplerinden Certified Ethical Hacker (CEH) Sertifikası ya da buna denk bir belge talep ediliyor. Bu belgeye sahip olanlar, siber güvenlik açıklarını tespit etmek amacıyla bilgisayar sistemlerine sızma yöntemlerini bilen, ancak bunu etik amaçlar için kullanan uzmanlar.

İlana başvuracak adaylardan, “beyaz şapkalı hacker” yeteneklerine sahip olmaları için şu sertifikalardan en az birine sahip olmaları isteniyor: “Tercihen, Certified Ethical Hacker (CEH), ECSA/LPT (Ec-Coincil Certified Security Analist/Licensed Penetration Tester), Offensive Security Certified Professional (OSCP), Web Application Penetration Tester (GWAPT) veya CPTE (Certified Penetration Testing Engineer) sertifikalarından en az birine sahip olmak veya ISO 27001 Baş Denetçi Sertifikası’na sahip olmak.”

Türkiye en çok siber saldırıya uğrayan 6’ncı ülke oldu

ÖNCELİK SIZMA TESTLERİ VE ZAFİYETLERİN TESPİTİ

Ayrıca, bu pozisyonda çalışacak uzmanlardan, bilişim sistemlerine ait güvenlik sistemleri hakkında bilgi sahibi olmaları, standart güvenlik araçlarını kullanabilmeleri, sızma testleri ve güvenlik açığı değerlendirme araçları konusunda deneyimli olmaları, zafiyet yönetimi ve zafiyetlerin giderilmesi konularında bilgi sahibi olmaları, ayrıca Siber Olaylara Müdahale Ekibi kurulumu, yönetimi ve dokümantasyonunda deneyim sahibi olmaları bekleniyor.

İlanda, işe alınacak personelin ücretlendirilmesiyle ilgili olarak, aylık brüt sözleşme ücretinin 657 sayılı Devlet Memurları Kanunu’nun 4’üncü maddesinin (B) bendine göre belirlenen sözleşme ücret tavanının ÖZEL ŞARTLAR başlığı altında belirtilen brüt sözleşme ücret tavanının katları ile çarpımı sonucu bulunacağı, ancak kurumun, tavan ücretin altında sözleşme düzenlemeye ve ödeme yapmaya yetkili olduğu kaydedildi.

Sektörel

Siber güvenlikte flaş transfer: Cihan Yüceer ADEO’nun CTO’su oldu

Yorum yapın

Türk siber güvenlik firması ADEO Cyber Security, dikkat çeken bir transfere imza atarak, tecrübeli isimlerden Cihan Yüceer’i kadrosuna kattı.

Sektörde birçok firmada üst düzey yöneticilik yapan Yüceer, ADEO’da Chief Technology Officer (CTO) görevine getirildi.

ADEO, siber güvenlik alanındaki hizmetlerini çeşitlendirmeye ve uluslarası ölçekteki faaliyetlerini genişletmeye çalışıyor.

ADEO, Microsoft Akıllı Güvenlik İşbirliğine katılan ilk Türk siber güvenlik şirketi olmuştu. Firma, Microsoft’un liderlik yaptığı ve siber güvenlik sektöründe söz sahibi üreticilerle servis sağlayıcıları bir araya getiren Microsoft Intelligence Security Assocation’a (MISA) üye olmuştu.

ADEO, en iyi 250 MSSP listesine giren ilk Türk siber güvenlik şirketi oldu
Sektörel

Bilgi güvenliği çalışanları neden siber suçlara kayıyor?

Yorum yapın

Siber güvenlik sektörü çalışanlarının farklı nedenlerle gün geçtikçe daha çok siber suç işleme eğiliminde olduğu ortaya çıktı.

Chartered Institute of Information Security’nin (CIISec) araştırmasına göre her 10 siber güvenlik çalışanından biri siber suçlara kayabilir.

Raporda gerek yetersiz maaş gerekse de işinde yaşadığı başka sebeplerle hoşnutsuz olan siber güvenlik çalışanlarınnın hizmetlerini para karşılığında dark web’de sunduğu belirtildi.

Güvenlik sektörünün yanı sıra yapay zekânın tehlikeye attığı diğer meslek çalışanları da siber suçlulara hizmet vermeye odaklanıyor.

“ÇOCUKLARIMIN YENİ OYUNCAKLARA İHTİYACI VAR”

Çalışmada ulaşılan çarpıcı sonuçlar göre araştırmacılara göre endişe verici boyutlara ulaştı.

Dark web’i tarayarak deneyimli siber güvenlik uzmanları tarafından verilen bazı ilanlar bulan ekip, farklı meslek dallarından da siber suçlulara hizmet etmek için çeşitli ilanlara rastladı.

Ekibin araştırmasında ulaştığı ilanlardan birisinde bir Python geliştiricisi saati yaklaşık 30 dolara “VoIP chatbotları, yapay zekâ chatbotları, hacking, kimlik avı çerçeveleri ve çok daha fazlasını yapmayı” teklif ediyor. Kişi, ilanını ise “Noel yaklaşıyor ve çocuklarımın yeni oyuncaklara ihtiyacı var.” diye sonlandırıyor.

Rusya’da siber güvenlik firmasının patronu vatana ihanetle yargılanacak

 

On yıllık deneyime sahip olduğunu söyleyen başka bir geliştirici ise “kimlik avı sayfaları, kripto boşaltıcılar, SMS sahteciliği ve e-posta sahteciliği” yapmayı teklif ediyor ve “yeni projeler denemekten heyecan duyacağını” söylüyor.

SADECE SİBER GÜVENLİK ÇALIŞANLARI YOK

CIISec, son zamanlarda yapay zekanın yükselişiyle meşru geçim kaynaklarının tehdit altında olduğu bildirilen seslendirme sanatçıları gibi diğer sektörlerin de tamamen siber suçlara yöneldiğini tespit etti.

Bir seslendirme sanatçısının ilanına rastlayan ekip, “Arama yapmayı gerektiren işlerde yardımcı olabilirim, kredi almak için kredi başvurusunda bulunan biri gibi davranabilirim, ayrıca bir banka, telefon şirketi vb. çalışanı gibi davranabilir ve sosyal mühendislik operasyonları yürütebilirim” ilanına rastladı.

Aynı kişinin ilanında yer alan “Yasal seslendirme işleri benim için yavaşladı ve acilen sermaye toplamam gerekiyor. Amerikan aksanım var.” cümleleriyse ekibin gözüne çarptı.

Bir başka ilan ise “Asya, Kuzey ve Güney Amerika, Avrupa ve Yeni Zelanda’da üyeleri bulunan bir hacker kolektifi için halkla ilişkiler alanında çalıştığını” iddia eden biri tarafından verilmiş.

Sözde halkla ilişkiler uzmanı, “kripto dolandırıcılığı için yüksek profilli Twitter hesaplarını hacklemek […] sosyal medya hesaplarına (Instagram, Facebook, LinkedIn vb.) erişim sağlamak ve silmek […] web sitelerinden bilgi almak (veriler, müşteri ve şirket bilgileri vb.)” dâhil olmak üzere “yakın zamanda gerçekleştirilen işlerden” bahsetmeye devam ediyor.

Daha da kaygı verici olanı, aynı ilanda kişilerin fiziksel adresleri, doğum tarihleri ve telefon numaraları gibi kişisel verilerinin de ele geçirilmesi teklif ediliyor.

BÜYÜYEN BİR TREND

CIISec, en yeni bulgularının, 2022-2023 yılları için yaptığı daha önceki araştırmayı desteklediğini ve bu araştırmaya göre yetersiz maaşların siber güvenlik sektöründen ayrılanların başlıca nedeni olduğunu, her beş profesyonelden birinin haftada 48 saatten fazla çalıştığını ve tükenmişlik riski taşıdığını belirtiyor.

CIISec CEO’su Amanda Finch, “Araştırma, güvenlik liderlerinin %25’inin işle ilgili stres nedeniyle 2025 yılına kadar güvenlik sektöründen ayrılacağını gösteriyor ve bu sadece liderleri kapsıyor.” açıklamasını yaptı.

Ayrıca Finch, “Maaşlar ve uzun çalışma saatleri buna katkıda bulunuyor ve etkisini görmeye başlıyoruz. Analizlerimiz, yüksek vasıflı bireylerin siber suçlara yöneldiğini gösteriyor.” ifadelerini kullandı.

Uzmanlar, bu sorun daha iyi maaşlar ve çalışma koşullarıyla çözülmezse siber güvenlik sektörü her on çalışanından birini siber suçlara kurban verme riskiyle karşı karşıya kalabileceğinden endişe ediyor.

Ayrıca uzmanlar, hâlihazırda siber suçluları önlemekte zorlandıklarını bunun üstüne de mevcut yasal mesleklerinde parlak ve yetenekli insanların suça çekildiğini görmenin giderek acı verdiğinin altını çiziyor.

Sektörel

Mercedes ticari sırlarını ve kaynak kodlarını yanlışlıkla nasıl paylaştı?

Yorum yapın

Mercedes-Benz sistemlerindeki kritik bir ihmal, Alman otomotiv devinin ticari sırlarının ve kaynak kodlarının sızmasına neden oldu. Peki bu kritik yanlış nasıl yapıldı?

İngiliz merkezli güvenlik şirketi RedHunt Labs, Alman otomotiv devi Mercedes-Benz’in API Anahtarları ve diğer kritik bilgilerine sınırsız erişim sağlayan halka açık bir GitHub deposu keşfetti.

Otomotiv devi olayı doğrularken, sözkonusu deponun kaldırıldığını söyledi.

RedHunt Labs’tan uzmanlar, rutin internet taramasında halka açık bir GitHub deposunda bir Mercedes-Benz çalışanının kimlik doğrulama anahtarını bulduğunu açıkladı.

Söz konusu kimlik doğrulama anahtarının, Alman otomotiv devinin kritik bilgilerine “sınırsız erişim” sağlayabilecek düzeyde olduğu tespit edildi.

Uzmanlara göre GitHub’da kimlik doğrulamak için şifre kullanmaya alternatif olan bu anahtarla herkes, Mercedes’in GitHub kurumsal sunucusuna tam erişim sağlayabilir ve böylece şirketin özel kaynak kodu depolarının indirilmesine olanak sağlayabilirdi.

İlgili GitHub deposunda yer alan kritik bilgiler arasında şirkete ait belgeler, planlar, tasarımlar, bulut erişim anahtarları ve API anahtarları gibi bilgiler yer alıyordu.

Alman otomotiv devi Porsche, bug bounty programı başlattı!

Hatta uzmanlar, deponun Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veri tabanını ve hatta bir Mercedes yazılımının kaynak kodunu ifşa ettiğini doğruladı.

SEBEBİ İNSAN HATASI MI?

Mercedes sözcüsü Katja Liesenfeld, şirketin “ilgili API anahtarını iptal ettiğini ve halka açık depoyu ivedilikle kaldırdığını” söyledi.

Yaptığı açıklamada Liesenfeld, “Dahili kaynak kodunun halka açık bir GitHub deposunda insan hatası nedeniyle yayınlandığını doğrulayabiliriz. Kuruluşumuzun, ürünlerimizin ve hizmetlerimizin güvenliği en önemli önceliklerimizden biridir” ifadelerini kullandı.

Ek olarak önlemler alınacağını vurgulayan sözcü, “Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz. Buna bağlı olarak iyileştirici tedbirler uygulayacağız.” dedi.

Kötü niyetli aktörlerin veya siber suçluların söz konusu depoyu kullandığına dair kesin bir kanıt bulunmuyor.

Sektörel

Türk siber güvenlik firması Brandefense, 2,75 milyon dolar yatırım aldı

Yorum yapın

Yerli siber güvenlik şirketi Brandefense, seri A öncesi yatırım turunda 2,75 milyon dolar yatırım aldı.   

Dijital risk koruma platformu olarak hizmet veren Brandefense, Sabancı Ventures’ın liderliğinde gerçekleşenseri A öncesi turda 2,75 milyon dolar yatırım aldığını duyurdu.

Yatırım turuna, Sabancı Ventures haricinde Vestel Ventures ortaklığıyla yönetilen Tacirler Portföy Gelecek Etki Fonu, Teknoloji Yatırım A.Ş. (TTGV), Ak Portföy, TechOne VC ve Finberg katıldı.

Son yatırımla Brandefense girişiminin bugüne kadar aldığı toplam yatırım ise 3,4 milyon dolara ulaştı. 600 bin dolarlık ilk yatırımın ardından ABD’de şirketleşerek yurt dışına açılan Brandefense, aldığı yeni yatırımı ise siber güvenlik sektöründeki yerini pekiştirerek, şirketin küresel ölçekte daha fazla projeye imza atması ve siber güvenlik çözümlerini daha geniş bir kullanıcı kitlesine ulaştırması için kullanacak.

İş hayatında siber risklere karşı erken önlemler muhtemel kayıpları önleyebilir!

Dijital ortamı sürekli tarayarak marka itibarının korunması için hassas bilgileri, ağları, web sitelerini ve sosyal medya hesaplarını koruma odaklı çözümler sunan Brandefense, dijital risk koruma servisleri (DRPS), harici saldırı yüzeyi yönetimi (EASM), tedarik zinciri güvenliği ve tehdit istihbaratı (TI) gibi çözümleriyle, kurum ve kuruluşlara yönelik potansiyel riskleri en aza indirmeyi hedefliyor.