KitapYurdu hacklendiği yönündeki iddialara yönelik açıklama yayınlamış. Kısaca söylenen şey: parolalarınızı MD5 algoritmasıyla tutuyoruz. Kart bilgileriniz veritabanımızda saklanmıyor. Hesabına girildiği söylenenlerin parolaları başka sitelerden çalınmış, birden fazla sitede aynı parola kullanmanın oluşturduğu bir sorun deniyor.
MD5 ile saklamak bence yetersiz bir güvenlik önlemi ama yine de açık saklamaktan iyidir.
Kaynak: https://twitter.com/kitapyurducom/status/1363798575533154307
Detaylı yazı: https://kitapdergisi.com/guvenlik-zafiyeti-iddialari-ile-ilgili-aciklama/
#HaftalıkGündemeMalzeme #KitapYurdu #Güvenlik #SiberGüvenlik
TrendMicro uyarıyor: ShareIt Android uygulaması sahip olduğu geniş yetkiler sebebiyle tehlikeli. Uzaktan zararlı kod çalıştırmaya neden olan açıklar mevcutmuş. Lenovo'nun kendi telefonlarında yüklü gelen bu uygulama, daha sonra ayrı bir marka olarak hayatına devam etmiş.
Haber kaynağı: https://arstechnica.com/gadgets/2021/02/shareit-android-app-with-over-a-billion-downloads-is-a-security-nightmare/
TrendMicro'nun kendi araştırma yazısı: https://www.trendmicro.com/en_us/research/21/b/shareit-flaw-could-lead-to-remote-code-execution.html
#HaftalıkGündemeMalzeme #TrendMicro #ShareIt #Lenovo #Güvenlik #SiberGüvenlik
Trend Micro audited one of Android's most popular file-sharing apps. It's not good.
Barcode Scanner isimli popüler bir Android uygulamasının Aralık ayı güncellemesinden itibaren zararlı kod parçaları içerdiği ve kullanıcıların tarayıcılarında farklı reklamlar gösterttiği ortaya çıktı.
Uygulamanın popüler olmasından dolayı etkilenen sayısı da çok fazla. Uygulama Google Play’den silinmiş fakat yüklenmiş telefonlarda durmaya devam ediyor. Kurulu uygulamalarınızı kontrol etmekte fayda var.
Uygulamanın bilgileri:
Uygulamanın adı: Barcode Scanner
Paket ismi: com.qrcodescanner.barcodescanner
Uygulamanın içerdiği zararlı kod türü: Android/Trojan.HiddenAds.AdQR
Haber kaynağı: https://blog.malwarebytes.com/android/2021/02/barcode-scanner-app-on-google-play-infects-10-million-users-with-one-update/
#HaftalıkGündemeMalzeme #Android #Adware #GooglePlay #Güvenlik #SiberGüvenlik
In a single update, a popular barcode scanner app that had been on Google Play for years turned into malware.
Bilgisayar Mühendisleri Odası, yarın (16 ocak cumartesi) 17:00'da odanın YouTube kanalı üzerinde canlı yayında "Özgür ve Güvenli İletişim Mümkün: WhatsApp Değilse Ne?" konulu bir sohbet gerçekleştirecekler.
Canlı yayın kaydı: https://www.youtube.com/watch?v=Vwm8d67mBCE
#BilgisayarMühendisleriOdası #ÖzgürYazılım #güvenlik #whatsapp
#güvenlik #doğrulamakodu
HİKAYE KISMI
Gece gece aklıma bir soru takıldı. Sorunun aklıma takılma nedeni olan hikayeyi de yazayım.
Geçen yaz telefonum suya düşünce geçici bir süre eski telefonumu kullandım. Bu eski telefonu kullandığım sırada eve giderken ablamı aramıştım ve ablamın kullanmadığı eski numarasını başka bir kadın almıştı. Hatta ekmek alayım mı falan demiştim ne ekmeği kimsiniz falan demişti. Bende trafikte o gürültüyle 2 tane alıp geliyorum başka bir şey lazım olursa söylersiniz deyip kapatmıştım. 😁
Şimdi mesele ekmek değil mesele şu.
ÖZ
Diyelim ki ablam gmail ya da herhangi bir platformda o eski numarasını kullanarak iki adımlı doğrulama açtı ve bir zaman sonra yeni bir hat alıp eskisini de böyle bir başkası aldı.
Yeni bir bilgisayardan oturum vs açtığında doğrulama kodu şu an başkasının kullandığı eski telefon numarasına mı gidiyor, gider mi?
Anlaşılır olmuştur inşallah.
GitHub'ın geçtiğimiz Mayıs ayındaki GitHub Satellite etkinliğinde beta olarak duyurduğu Code Scanning özelliği artık herkes tarafından erişilebilir durumda. GitHub'ın geçtiğimiz sene Semmle isimli şirketi satın almasının [1] ardından kendi sistemlerine entegre edilmesiyle ortaya çıkan bu özellik sayesinde artık GitHub üzerinde barındırdığımız kodların güvenlik kontrollerini otomatik olarak gerçek gerçekleştirebilecek ve hatta mümkün olan durumlarda gerekli düzeltmeyi otomatik olarak pull request şeklinde alabileceğiz.
Code Scanning özelliği gücünü CodeQL [2] isimli kodlar üzerinde çeşitli sorgular çalıştırabildiğimiz teknolojiden alıyor. GitHub ve topluluk tarafından oluşturulmuş 2.000'in üzerinde CodeQL sorgusu çalıştırabileceğiz ya da kendi CodeQL sorgularımızı çalıştırabileceğiz.
Daha fazla bilgi için blog yazısı: https://github.blog/2020-09-30-code-scanning-is-now-available/
[1]: https://github.blog/2019-09-18-github-welcomes-semmle/
[2]: https://securitylab.github.com/tools/codeql
#YazılımGündemi #Programlama #GitHub #Güvenlik #SiberGüvenlik #CodeQL

Kameranın ne kadar caydırıcı olduğuna bir kez daha şahit oldum.Eleman üst kata çıkarken kamerayı gördü mal mal baktı ve gitti.Alt katta bekleyen biri daha vardı gölgesi gözüküyor. #güvenlik
ya arkadaş benim en güvenli bulduğum yöntem belki sms yöntemidir. ben senin yöntemine güvenmiyorumdur belki. belki sırf canım istedi diye sms yöntemini kullanmak istiyorum. bu ekranın hukuki bir dayanağı var mı? aslında onaylamıyorum ama başka bir çare de bırakmıyor. başıma bir iş gelirse dava nasıl seyreder? aramızda bilişim hukukundan anlayan varsa yorumlarını bekliyorum.
#ziraat #banka #güvenlik
Güvenlik araştırmacısı Utku Şen, bugün yayınlandığı video ile nasıl "Apple'ın açığını bulan genç" olabileceğinizi anlatıyor. Yeterli miktarda paranız varsa siz de Türkiye'nin en büyük haber sitelerinde kendinizi haber yaptırtabilirsiniz. Utku Şen de komik bir haber yazısı hazırlayıp, bunu ajans şirketleri aracılığıyla IHA'da yayınlatmış. Haber sitelerinin ne hale geldiğini zaten biliyordum ama bu seferki çok komik bi' durum ya. 😀
Video: https://www.youtube.com/watch?v=dzJslQa1LZs
Haber Bağlantısı: https://www.iha.com.tr/haber-applein-acigini-bulan-gorme-engelli-genc-10000-dolar-odul-kazandi-860733/
Silinirse diye arşiv bağlantısı: http://web.archive.org/web/20200811135331if_/https://www.iha.com.tr/haber-applein-acigini-bulan-gorme-engelli-genc-10000-dolar-odul-kazandi-860733/
Alternatif: http://teyit.link/EvppkCn
#Güvenlik #SiberGüvenlik #Apple
Bu videoda medyada sıkça yer alan "Apple'ın Açığını Bulan Genç" haberlerinin neden safsata olduğunu, açık bulma (bug bounty) sektörünün nasıl çalıştığını ele...
Intel sızdırıyor. İçerisinde işlemcilerin tasarımlarından kaynak kodlarına, çeşitli araçlardan dokümanlara kadar hassas veriler bulunan 20 GB büyüklüğünde bir arşiv internete düştü. Intel yetkilisi de sızıntıyı kabul etmiş gözüküyor. Normalde sadece anakart üreticisi gibi firmalarla paylaşılmış olan bilgiler bu yılın başındaki bir saldırıyla ele geçirilmiş.
Haber kaynağı: https://www.theregister.com/2020/08/06/intel_nda_source_code_leak/
#HaftalıkGündemeMalzeme #Intel #Leak #Güvenlik #İşlemci #SiberGüvenlik #VeriSızıntısı
=md5(md5(md5(md5(md5(md5(md5($password))))))) 🙂
Keske MD5 tutanlarin bir listesi olsa da hic bosuna uye olmasak. Hayret verici.
teknoseyir parolam: cba2438911d2729b2d21d9a67be87174 😀
Md5 tutmanın ne gibi bir dezavantajı var? En iyi şifre saklama yöntemi nedir?
Kandırdın beni. 🙁
@eminentia MD5 normalde geri çevirilebilir bir şifreleme algoritması değil. Yani bir kere şifrelediğiniz bir ifadeyi, tekrar eski haline getiremiyorsunuz ama internette yüzlerce MB'lık çeşitli kombinasyonlardan oluşmuş, içerisinde açık şekilde yazılmış parola ve MD5 karşılığı olan veritabanları var. Hacker, bir siteden MD5'li şifreleri ele geçirdiği zaman bu tarz veritabanları ile karşılaştırıyor. Sonuç çıkarsa zaten diğer veritabanında o MD5'in neye tekabül ettiği yazıyor.
En iyi şifre saklama yöntemi bence kullanım senaryosuna göre değişir ama normal bir web sitesi için konuşacak olursak. Parolaların içerisine normalde kullanıcının yazmadığı fakat o kullanıcı için oluşturulmuş rastgele bir ifade ekleniyor. "Password salting" deniyor bu işleme. O oluşturulmuş "salting" değeri de ayrı şekilde şifrelenip saklanıyor. Kullanıcı giriş yapmak istediğinde, sistem parolayı alıp veritabanındaki "salting" değeri ile birleştirip, o şekilde veritabanındaki kullanıcının şifresi ile karşılaştırıyor. Bu sayede parolaları aynı olduğu halde şifrelenmiş ifadeleri farklı gözüküyor. Bu şekilde de internette bulunan veritabanlarındakiler ile karşılaştırma yapılarak parola bulunamıyor. Elbette bunu md5 ile de yaparsın orası ayrı.
Daha guvenlisi:
https://tr.wikipedia.org/wiki/Bcrypt
https://github.com/codahale/bcrypt-ruby#salts
şifreleri text olarak saklamayan siteye site mi denir ya?
+
mdin dezavantajı yok ki geri de dönüştürelemez istediği kadar çalsınlar