Etiket arşivi: GÜVENLİK AÇIĞI

Dijital Güvenlik

ABD hackerlar için zafiyet paylaşım platformu açtı

Yorum yapın

ABD hackerlar için zafiyet paylaşım platformu açtıABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA), beyaz şapkalı hackerların güvenlik zafiyetlerini devlet kurumlarına bildirmelerine imkan sağlayan bir ihbar platformu başlattı.

Siber güvenlik şirketleri Bugcrowd ve Endyna iş birliğiyle hayata geçirilen platform, sivil federal kurumların daha geniş bir güvenlik topluluğundan güvenlik açıklarını öğrenmesine, sınıflandırmasına ve düzeltmesine izin verecek.

ÖZEL ŞİRKETLER BUG BOUNTY PROGRAMLARI DÜZENLİYOR

Platformu hayata geçirme hamlesi, CISA’nın, denetimi altındaki sivil federal ajansları kendi güvenlik açığı ifşa politikalarını geliştirmeye ve yayımlamaya sevk ettiği bir dönemde geldi. Bu politikalar, hangi çevrimiçi sistemlerin nasıl test edilebileceğini hangilerinin test edilemeyeceğini özetlemek suretiyle güvenlik araştırmacıları için angajman kurallarını belirlemek üzere tasarlanmıştı.

Özel şirketlerin, hackerların hataları ve güvenlik açıklarını bildirmelerine izin vermek için VDP programlarını çalıştırmaları nadir görülen bir durum değil. Bu, genellikle hackerlara zafiyetleri bulmaları karşılığında ödül verilen bug bounty programları aracılığıyla yapılmaktaydı.  

HACKERLAR İNTERNETİN BAĞIŞIKLIK SİSTEMİ İŞLEVİ GÖRÜYOR

İnternet sitelerinde ve yazılım programlarındaki güvenlik açıklarını yakalayarak milyonlarca dolar para kazanan Bugcrowd, platformun ajanslara aynı ticari teknolojilere, dünya standartlarında uzmanlığa ve şu anda kurumsal işletmeler için güvenlik boşluklarını belirlemekte kullanılan küresel “beyaz şapkalı hacker” topluluğuna erişim imkanı sağlayacağını belirtiyor.

Bug Bounty programı kalp hastası bebeğe umut oldu

Bugcrowd’un kurucusu Casey Ellis, girişimin “hackerların internetin bağışıklık sistemi olarak işlev görmesi noktasında bir başka dönüm noktası” olduğunu söylüyor ve ekliyor: “Bugcrowd ekibi, bu girişimi ABD hükümeti ile birlikte hayata geçiren  CISA/DHS ile ortaklık kurmaktan gurur duyuyor.”

SOLARWINDS VE EXCHANGE SALDIRILARI CISA’YI HAREKETE GEÇİRDİ

Platform ayrıca CISA’ya diğer kurumlar arasında zafiyetlere ilişkin bilgi paylaşması noktasında yardımcı olacak.

Platform, hükümetin Rus kaynaklı olduğundan şüphelenilen SolarWinds saldırısı ile federal hükümet de dahil binlerce Microsoft Exchange sunucusuna sızma yoluyla gerçekleşen Çin bağlantılı siber saldırıdan büyük yara almasının ardından hayata geçirildi.

Zafiyet

Tarayıcılarda zafiyet depremi: Edge, Chrome, Brave ve Opera etkilendi

Yorum yapın

Hindistanlı bir güvenlik araştırmacısı, dünyada yaygın olarak kullanılan Google Chrome ve Microsoft Edge tarayıcılarında kritik bir güvenlik açığı buldu. Açığın istismar edilmesiyle saldırganlar, tarayıcıda uzaktan kod yürütme imkanını elde ediyor. 

Rajvardhan Agarwal adlı güvenlik araştırmacısı, Twitter’da yayımladığı PoC ile Chromium tabanlı tarayıcıların V8 JavaScript motorunda uzaktan kod yürütme güvenlik zafiyetinin nasıl işlediğini ortaya koydu.

Güvenlik açığı geçtiğimiz hafta düzenlenen Pwn2Own hacking yarışmasında araştırmacılar Bruno Keith and Niklas Baumstark’ın istismar ederek uzaktan kod çalıştırdığı güvenlik açığı olduğu düşünülüyor. İkili bu zafiyeti keşfettikleri için 100 bin dolar ödül kazanmıştı.

Zero Day Initiative’in düzenlediği Pwn2Own yarışmasında toplam 1.2 milyon dolarlık ödül hackerlar ile buluştu. 

SANDBOX’TAN KAÇAMIYOR

Agarwal, güvenlik zafiyetinin V8 JavaScript motorunun güncel sürümünde giderilmiş olduğunu belirtirken Google’ın Google Chrome için ne zaman güncelleme yapacağı henüz belli değil.

FBI, APT tehdidine karşı uyardı: Fortinet VPN zafiyetleri istismar ediliyor

Agarwal’ın yayımladığı sıfırıncı gün, tarayıcıların sandbox’ından kaçamıyor. Örneğin Chrome’un sandbox’ı uzaktan kod yürütme güvenlik zafiyetlerinin ana bilgisayarda program başlatmasını engelliyor. Diğer bir deyişle, zafiyeti istismar edilebilmek için Chromium sandboxından çıkış yapmasına izin verecek başka bir güvenlik açığıyla birlikte kullanmak gerekiyor.

Dijital Güvenlik

Görüntülü aramalarda kritik güvenlik açığı bulundu: Karşı taraf ne yazdığınızı öğrenebiliyor

Yorum yapın

Uzmanlar, bir video konferans görüşmesi ya da görüntülü arama sırasında karşı taraftaki hedef kullanıcı tarafından yazılan yazıyı, gözlemlenebilir vücut hareketlerini yazılan metinle ilişkilendirmek suretiyle çözme noktasında büyük ilerleme kaydetti. 

Araştırma, San Antonio’daki Texas Üniversitesi’nden Mohd Sabra ve Murtuza Jadliwala ve Oklahoma Üniversitesi’nden Anindya Maiti tarafından gerçekleştirildi. Araştırmacılar bir web kamerasının, görüş alanı hedef kullanıcının görünür üst vücut hareketlerini yakaladığı sürece saldırının canlı video yayınlarının ötesine geçerek YouTube ve Twitch’teki yayınlara kadar genişletilebileceğini belirtiyor.

ÜST VÜCUT HAREKETLERİ TAKİP EDİLİYOR

Araştırmacılar, akıllı telefonlar, tabletler ve dizüstü bilgisayarlar gibi birçok elektronik cihazda bulunan video yakalama donanımının son dönemde yaygınlaşmasıyla, görsel kanallardan bilgi sızıntısı tehdidinin arttığını düşünüyor. Araştırmacılara göre rakip tarafın amacı, hedef kullanıcı tarafından yazılan özel metnin ne olduğunu çıkarmak için “kaydedilen tüm karelerde” gözlemlenebilir üst vücut hareketlerini kullanmak.

Bunu başarmak için, kaydedilen video, üç aşamalı bir video tabanlı tuş vuruşu çıkarım çerçevesine ekleniyor. Bahsi geçen üç aşamanın ilki “arka planın kaldırıldığı” ön işleme aşaması. Burada video gri tonlamaya dönüştürülüyor, ardından sol ve sağ kol bölgeleri, kişinin FaceBoxes olarak adlandırılan bir modelle tespit edilen yüzüne göre bölümlere ayrılıyor. 

İkinci aşama ise tuş vuruşlarının algılandığı aşama. Burada sol ve sağ taraftaki video segmentlerinin her birinde ardışık kareler arasındaki vücut hareketlerini ölçmek ve tuş vuruşlarının meydana geldiği potansiyel kareleri belirlemek amacıyla Yapısal Benzerlik Endeksi ölçümünü (SSIM) hesaplamak için bölünmüş kol kareleri çıkarılıyor. 

Myanmar’da darbeciler sosyal medyaya da el koydu: Ülkede Facebook’a erişim engellendi

Kelime tahmini adı verilen son aşamada ise tuş vuruşu çerçeve segmentleri, tespit edilen her tuş vuruşundan önce ve sonraki hareket özelliklerini tespit etmek için kullanılıyor. Sözlük tabanlı bir tahmin algoritması vasıtasıyla da belirli kelimeler tahmin ediliyor. 

Başka bir deyişle, tespit edilen tuş vuruşları havuzundan, tuş vuruşlarının sayısının yanı sıra, birbiri ardına gelen tuş vuruşları arasında meydana gelen kol yer değiştirmesinin boyutu ve yönü kullanılarak kelime tahmini çıkarılıyor. 

Bu yer değiştirme, kronolojik tuş vuruşu çerçeveleri boyunca omuz ve kol hareketlerini izlemek için kullanılan Sparse optik akış adı verilen bir bilgisayarlı görüş takip tekniği kullanılarak ölçülüyor.

KOLSUZ KIYAFET GİYENLER VE İKİ PARMAK KULLANANLAR SALDIRIYA DAHA ELVERİŞLİ

Araştırmacılar, 20 katılımcı (9 kadın, 11 erkek) ile uygulamayı test ettiler. Katılımcılar arasında iki parmak daktilo yöntemini kullananların yanı sıra klavyeye bakmadan yazma yöntemini kullananlar da yer aldı. Ayrıca katılımcılar arasında farklı webcam modelleri ve kıyafetler (uzun kollu-kısa kollu), klavyeler hatta Zoom, Hangouts ve Skype gibi farklı yazılımlar kullanan katılımcılar olmasına dikkat edildi.

Çalışmadan çıkan sonuçlar, iki parmak daktilo kullananların ve kolsuz kıyafet giyenlerin, kelime çıkarım saldırılarına daha elverişli olduğunu ortaya koydu. Aynı şekilde Logitech web kamerası kullanıcılarının yazdıklarının Anivia marka harici web kamerası kullananlara göre daha kolay tespit edilebileceği de ortaya çıktı.  

GÖRÜNTÜYÜ BULANIKLAŞTIRMAK ETKİLİ BİR YOL

Araştırmacılar, görüntüyü bulanıklaştırma, pikselleştirme ve çerçeve atlamanın bu tür saldırılara karşı etkili bir savunma aracı olabileceğini belirtiyor.

Uzmanlar, dünyayı saran korona salgını dolayısıyla görüntülü aramaların hem kişisel hem de profesyonel anlamda yeni ve yaygın bir uzaktan iletişim metodu haline geldiğini belirterek uyarıyor:   “Bir video görüşmesine katılan bir katılımcı dikkatli değilse, özel bilgilerini görüntülü arama sırasında başkalarına ifşa edebilir.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik, Zafiyet

Clubhouse’da kritik güvenlik açığı: Konuşmalar başka bir sitede yayımlanabiliyor

Yorum yapın

Son günlerde popüler olan sesli sosyal medya uygulaması Clubhouse, platformdaki konuşmaların başka bir internet sitesinde yayımlanabilmesine izin veren bir zafiyetin varlığını kabul etti.

Kullanıcıların sohbet odalarına girerek dinlediği ve konuştuğu uygulama, görüşmelerin ses kaydı alınmıyor ve konuşulanların canlı bir şekilde dinlenmesi gerekiyor. Fakat ABD’li siber güvenlik araştırmacıları, bir kullanıcının sohbet odalarındaki konuşmaları başka bir sitede yayınlayabildiğini ortaya çıkardı. Bu açığı kabul eden Clubhouse ise söz konusu kullanıcının hesabını kapattıklarını ve bunun bir daha yaşanmaması için yeni önlemler aldıklarını açıkladı.

Olayı ilk olarak Stanford Üniversitesi İnternet Gözlemevi fark etmişti. Gözlemevinin açıklamasının ardından Clubhouse’un teknoloji biriminin başında bulunan David Thiel, bunun bir hackleme veya güvenlik açığı değil bir kullanıcının kullanıcı sözleşmesini ihlal etmesi olduğunu söylemişti.

Washington Post gazetesinin siber güvenlik operasyon merkezini kuran Avustralyalı siber güvenlik uzmanı Robert Potter da bu açıklamanın gerçeği yansıttığı görüşünde. Bunun nedeni ise söz konusu açığın bir saldırganın sisteme girerek bilgi çalmasıyla değil, bir bilginin yayılmasına izin verilmeyen bir yerde yayılmasıyla gerçekleşmesi.

Myanmar’da darbeciler sosyal medyaya da el koydu: Ülkede Facebook’a erişim engellendi

Bu açığı kullanan kişi, öncelikle aynı anda birden fazla sohbet odasına girmesinin mümkün olduğunu fark etti. Ardından bir internet sitesi kurdu ve kendi hesabını siteye giren herkese açtı. Böylece siteye girenler, uygulamayı kullanıyormuşçasına sohbet odalarına girip istedikleri konuları dinleyebildi. BBC’ye konuşan Potter “Uygulamanız popüler bir hale gelirse insanlar üçüncül uygulamalarla hizmetinizden veri kazımaya çalışırlar” dedi.

DAHA ÖNCE ZAFİYET UYARISI GELMİŞTİ

Facebook’un eski güvenlik yöneticisi Alex Stamos’un başında bulduğu Stanford Üniversitesi İnternet Gözlemevi Clubhouse’taki kullanıcı verilerinin siber suçlular veya devlet destekli hackerlar tarafından çalınabileceği uyarısında bulunmuş, şirket bunun üzerine gerekli önlemleri almıştı.

Stamos, kullanıcılara ve sohbet odalarına atanan numaraların şifrelenmemiş bir şekilde tutulduğunu ve bunları eşleştirmenin mümkün olabileceğini söylemişti. Araştırmacılar Çin devletinin de Clubhouse’un ses kayıtlarına ulaşma ihtimalinin bulunduğunu vurgulamıştı. Uygulamanın sunucularının altyapısının bir kısmını sağlayan Agora şirketinin San Fransisco ve Şangay’da ofisleri bulunuyor.

Haziran ayında New York Borsası’nda halka açılan şirket “Ulusal güvenliği koruma veya soruşturmalara yardımcı olma talebi sonucu Çin devletiyle bilgi paylaşımı yapmasının gerekebileceğini” duyurmuştu. Clubhouse uygulamasının veri güvenliğine dair endişelerin yanı sıra çok sayıda kullanıcı da telefonlarının ekran veya hoparlör kaydı özellikleri sayesinde girdikleri odalardaki görüşleri kaydedip sonradan yayınlayabiliyor.

Clubhouse’un teknoloji yöneticisi Thiel, kullanıcıların “yarı-kamusal bir alanda” konuştuğunu akıllarından çıkarmamalarını istiyor: “Hem Agora kaynaklı nedenler hem de herkesin elinde bir kayıt cihazı olabileceği için bunu göz ardı etmeyin.” Potter ise daha önce hızla popülerleşen Zoom ve TikTok gibi uygulamalarda da çeşitli güvenlik açıkları çıktığını, yeni uygulamaları ilk kullanan kişilerden olmanın bunun gibi riskleri barındırdığını söylüyor.

Kaynak: BBC Türkçe

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik

TikTok’ta kritik güvenlik açığı: İsteyen herkes veritabanına ulaşabilir mi?

Yorum yapın

Geçtiğimiz günlerde yayımlanan bir araştırma ile Çinli video paylaşım platformunda TikTok’ta önemli bir güvenlik açığını ortaya çıkardı. “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunu merak eden araştırmacılar kimlik hırsızlığıyla sonuçlanabilecek kritik bir zafiyeti keşfetti.

Siber güvenlik firması Check Point Research araştırmacıları, popüler sosyal medya platformu TikTok kullanıcılarının kişisel verilerini çalmasına izin veren güvenlik açığı tespit etti. Tespit edilen güvenlik açığı TikTok’un “Arkadaş Bul” seçeneğinde bulundu.

Sıklıkla güvenlik açıklarıyla gündeme gelen ve Çin merkezli ByteDance firmasına ait olan TikTok uygulaması, gizlilik ihlallerini önlemek, kullanıcıların verilerini saklı tutabilmek adına bir süredir hata-ödül programı olan HackerOne ile birlikte çalışarak tehdit aktörlerinden önce güvenlik açıklarını bulmak için çalışma başlatmıştı. Yapılan çalışmalarla birlikte birçok açığını yamayan TikTok üzerinde yapılan çalışma ise “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusuna ‘evet’ yanıtını verdi.

AÇIK “ARKADAŞ BUL” SEÇENEĞİNDE

Chech Point Research araştırmacıları Eran Vaknin, Alon Boxiner tarafından yapılan araştırma TikTok’un gizliliğini inceledi. Böylelikle kullanıcı verileriyle ilişkili tüm eylemlere odaklanan araştırmacılar gizlilik açığını TikTok kullanıcılarının tanıyor olabilecekleri kişileri kolayca bulmasını sağlayan “Arkadaş Bul” seçeneğinde buldu.

TikTok uygulamasında “Arkadaş Bul” seçeneğine tıkladığınızda rehberinizdeki kişiler, hash fonksiyonuyla dizilenmiş kişi adları ve telefon numaralarından oluşan bir liste şeklinde HTTP isteği aracılığıyla uygulamaya yükleniyor.

Mavi Balina tehlikesinden çocukları korumanın 7 yolu

Bir sonraki adımda, önceki istekte gönderilen telefon numaralarına bağlı TikTok profillerini alan ikinci bir HTTP isteği gönderiyor. Alınan bu cevapta profil adları, telefon numaraları, fotoğraflar ve profillerle ilgili bilgiler yer alıyor.

Check Point araştırmacıları, elektronik olarak kısıtlanmış bir kaynağa erişmek için kullanılan “X-Tt-Token” belirteci kullanarak “Arkadaş Bul” seçeneğinin diğer bir adımı olan senkronizasyonla isteğinin günlük 500 kişi limitinden kurtulmak için cihaz tanımlayıcısını ele geçirdi. Daha sonra istekler üzerinde oynama yapabildiklerini keşfeden araştırmacılar “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunun yanıtını buldu.

TEHDİT AKTÖRLERİ VERİTABANI OLUŞTURABİLİRDİ

Bulunan güvenlik açığıyla tehdit aktörlerinin, HTTP isteklerini manipüle ederek kullanıcıların karşıya yüklemelerine ve kişilerini senkronize etmelerine olanak tanıyan “Arkadaş Bul” seçeneğiyle kimlik hırsızlığı gibi saldırılarda kullanılabilecek kullanıcı ve telefon numaralarından oluşan bir veritabanı oluşturabilecekleri ortaya çıkarıldı.

GÜVENLİK AÇIĞI GİDERİLDİ

Konuyla ilgili açıklama yapan Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, “Birincil motivasyonumuz TikTok’un gizliliğini keşfetmekti. TikTok platformunun özel kullanıcı verilerine erişim için kullanılıp kullanılamayacağını merak ettik. TikTok’un gizlilik ihlaline neden olan birden fazla koruma mekanizmasını atlatmayı başardık. Güvenlik açığı, bir saldırganın kullanıcı ayrıntıları ve ilgili telefon numaralarından oluşan bir veritabanı oluşturmasına olanak verebilirdi. Bu derecede hassas bilgilere sahip bir saldırgan, hedefli kimlik avı veya diğer suç eylemleri gibi bir dizi kötü amaçlı etkinlik gerçekleştirebilir” ifadelerini kullandı.

Güvenlik açığı, bir yama ile düzeltilse de uygulama ile ilgili soru işaretleri devam ediyor.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz