CRYPTTECH BLOG

Bu yazımızda 2017'de yaşanan kritik siber güvenlik olaylarının genel değerlendirilmesi ve teknik analizi yapılacaktır. Sayıları giderek artan bilgi/siber güvenlik vakalarının hepsine değinmek mümkün olmayacağı için politik/askeri, mali (zarar), nicelik (cihaz/insan/sunucu sayısı) etkisi yüksek olanlar seçilmiştir.  Aynı anlamlarda kullanılıyor olsa da Bilgi Güvenliği ve Siber Güvenlik arasında küçük farklar bulunmaktadır. Bilgi Güvenliği verinin doğruluk, bütünlük ve gizliliğine odaklanır. Bunları sağlamak için her türlü süreç ve teknik konuları içerir. Siber Güvenlik kavramı, 2016-2019 Ulusal Siber Güvenlik Stratejisi dokümanında "Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilgi/verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında ise sistemlerin yaşanan siber güven...

1.     Giriş Şekil 1  - Sırasıyla Meltdown ve Spectre zafiyetlerinin logoları. 3 Ocak 2018 günü Google’ın Project Zero ekibinden Jann Horn bilgi güvenliğini derinden etkileyecek bir çalışma yayımladı. [1] Bu çalışmada işletim sisteminin en temel kurallarından olan kullanıcı ile çekirdek alanlarının veya süreç alanlarının birbirinden izolasyonunu, modern işlemci mimarisindeki optimizasyon yöntemlerinden biri olan spekülatif yürütmeyi suistimal ederek aşması yer alıyor ve toplamda 3 atak varyasyonu anlatılıyor. Bunlardan ikisine Spectre ve diğerine de Meltdown ismi verildi. Varyasyon 1: bounds check bypass (CVE-2017-5753) (Spectre) Varyasyon 2: branch target injection (CVE-2017-5715) (Spectre) Varyasyon 3: rogue data cache load (CVE-2017-5754) (Meltdown) Geçen yıl Haziran ayında bahsi geçen atak yöntemleri hakkında Intel, AMD, ve ARM firmaları bilgilendirildi. Kamu aydınlatılma için geri sayım bitmeden önce ise bir araştırma ekibi de ilgili zafi...

Organizations face unique compliance challenges depending on the field of expertise, location of its region or country itself.  The term “Law” is versatile. Just like culturally accepted actions vary from one culture to another, law varies from one country to another. In all these cases of culturally acceptation to complying laws of the country to even our personal relationships, what we try to do is to avoid trouble.   How to avoid trouble? Most people have always been aware of general security but then they had to learn the importance of cyber security. Now, they have to learn to comply with its regulations. Most organizations are not aware of compliance. Part of human nature, we take precautions only after a bad experience. We call it “Learning from mistakes”.  Again, what can you do to avoid mistakes? You have to address your loop holes to comply. You can do this by pre-configured compliance automation modules. These modules will ad...