KitapYurdu hacklendiği yönündeki iddialara yönelik açıklama yayınlamış. Kısaca söylenen şey: parolalarınızı MD5 algoritmasıyla tutuyoruz. Kart bilgileriniz veritabanımızda saklanmıyor. Hesabına girildiği söylenenlerin parolaları başka sitelerden çalınmış, birden fazla sitede aynı parola kullanmanın oluşturduğu bir sorun deniyor.

MD5 ile saklamak bence yetersiz bir güvenlik önlemi ama yine de açık saklamaktan iyidir.

Kaynak: https://twitter.com/kitapyurducom/status/1363798575533154307
Detaylı yazı: https://kitapdergisi.com/guvenlik-zafiyeti-iddialari-ile-ilgili-aciklama/

#HaftalıkGündemeMalzeme #KitapYurdu #Güvenlik #SiberGüvenlik

BeğenFavori PaylaşYorum yap
Önceki yorumları gör 9 / 19

TrendMicro uyarıyor: ShareIt Android uygulaması sahip olduğu geniş yetkiler sebebiyle tehlikeli. Uzaktan zararlı kod çalıştırmaya neden olan açıklar mevcutmuş. Lenovo'nun kendi telefonlarında yüklü gelen bu uygulama, daha sonra ayrı bir marka olarak hayatına devam etmiş.

Haber kaynağı: https://arstechnica.com/gadgets/2021/02/shareit-android-app-with-over-a-billion-downloads-is-a-security-nightmare/
TrendMicro'nun kendi araştırma yazısı: https://www.trendmicro.com/en_us/research/21/b/shareit-flaw-could-lead-to-remote-code-execution.html

#HaftalıkGündemeMalzeme #TrendMicro #ShareIt #Lenovo #Güvenlik #SiberGüvenlik

“ShareIt” Android app with over a billion downloads is a security nightmare

Trend Micro audited one of Android's most popular file-sharing apps. It's not good.
BeğenFavori PaylaşYorum yap

Barcode Scanner isimli popüler bir Android uygulamasının Aralık ayı güncellemesinden itibaren zararlı kod parçaları içerdiği ve kullanıcıların tarayıcılarında farklı reklamlar gösterttiği ortaya çıktı.
Uygulamanın popüler olmasından dolayı etkilenen sayısı da çok fazla. Uygulama Google Play’den silinmiş fakat yüklenmiş telefonlarda durmaya devam ediyor. Kurulu uygulamalarınızı kontrol etmekte fayda var.

Uygulamanın bilgileri:
Uygulamanın adı: Barcode Scanner
Paket ismi: com.qrcodescanner.barcodescanner
Uygulamanın içerdiği zararlı kod türü: Android/Trojan.HiddenAds.AdQR

Haber kaynağı: https://blog.malwarebytes.com/android/2021/02/barcode-scanner-app-on-google-play-infects-10-million-users-with-one-update/

#HaftalıkGündemeMalzeme #Android #Adware #GooglePlay #Güvenlik #SiberGüvenlik

Barcode Scanner app on Google Play infects 10 million users with one update

In a single update, a popular barcode scanner app that had been on Google Play for years turned into malware.
BeğenFavori PaylaşYorum yap

Bilgisayar Mühendisleri Odası, yarın (16 ocak cumartesi) 17:00'da odanın YouTube kanalı üzerinde canlı yayında "Özgür ve Güvenli İletişim Mümkün: WhatsApp Değilse Ne?" konulu bir sohbet gerçekleştirecekler.

Canlı yayın kaydı: https://www.youtube.com/watch?v=Vwm8d67mBCE

#BilgisayarMühendisleriOdası #ÖzgürYazılım #güvenlik #whatsapp

BeğenFavori PaylaşYorum yap
  • lterlemez @lterlemez

    Bu kadar büyük bir veri kaynağı var iken ve para edeceği aşikar olan bir ortamda güvenli iletişim mümkün değildir. Keşke bununla da yetinebilsek ama yetinemiyoruz, hükumetlerin ister genel güvenlik ister kendi güvenlikleri ister başka bir neden ile bu özgür ve güvenli iletişime müdahale etmek isteyeceği aşikardır. Burada tartışılması gereken şey, buna ne kadar izin verilmesi gerektiği ve izni kimin vermesi gerektiğidir (yani, son kullanıcı mı, devlet yöneticileri mi yoksa hizmet sağlayanlar mı)?

    • Cem KOÇ @cemkoc

      Bu yoruma bu konu ve diğer yazılımlarda uymayan bir kısım var.

      Açık kaynak. Hem açık kaynak olup hem de herhangi bir sunucuyla iletişim kurmayan bir uygulamada satılacak bir veri elde edilemez.

      Bu tarz yorumlar diğer tüm uygulamalar için de yapılır. Ayrıca "ürün bedavaysa ürün sensindir" sözü de burada geçerli değildir. O yüzden destekçileri öncelikle bir felsefe olarak tanımlar.

    • lterlemez @lterlemez

      @cemkoc; Mutlaka suistimal eden çıkacaktır.

    • Cem KOÇ @cemkoc

      @lterlemez Elbet vardır. Ama kaynak açıksa ve çok kullanılan uygulama ise çok sürmez genelde ortaya çıkması. Ama birkaç bin kişinin kullandığı uygulamalardan bahsediyorsak haklısınız.

  • qubit @qubit

    Güzel de konuşmacılar konuya ne kadar hakim orasını buradan anlamak zor. Bitince YT'den bakarız.
    #haftalıkgündememalzeme

#güvenlik #doğrulamakodu
HİKAYE KISMI
Gece gece aklıma bir soru takıldı. Sorunun aklıma takılma nedeni olan hikayeyi de yazayım.
Geçen yaz telefonum suya düşünce geçici bir süre eski telefonumu kullandım. Bu eski telefonu kullandığım sırada eve giderken ablamı aramıştım ve ablamın kullanmadığı eski numarasını başka bir kadın almıştı. Hatta ekmek alayım mı falan demiştim ne ekmeği kimsiniz falan demişti. Bende trafikte o gürültüyle 2 tane alıp geliyorum başka bir şey lazım olursa söylersiniz deyip kapatmıştım. 😁
Şimdi mesele ekmek değil mesele şu.

ÖZ
Diyelim ki ablam gmail ya da herhangi bir platformda o eski numarasını kullanarak iki adımlı doğrulama açtı ve bir zaman sonra yeni bir hat alıp eskisini de böyle bir başkası aldı.
Yeni bir bilgisayardan oturum vs açtığında doğrulama kodu şu an başkasının kullandığı eski telefon numarasına mı gidiyor, gider mi?
Anlaşılır olmuştur inşallah.

BeğenFavori PaylaşYorum yap

GitHub'ın geçtiğimiz Mayıs ayındaki GitHub Satellite etkinliğinde beta olarak duyurduğu Code Scanning özelliği artık herkes tarafından erişilebilir durumda. GitHub'ın geçtiğimiz sene Semmle isimli şirketi satın almasının [1] ardından kendi sistemlerine entegre edilmesiyle ortaya çıkan bu özellik sayesinde artık GitHub üzerinde barındırdığımız kodların güvenlik kontrollerini otomatik olarak gerçek gerçekleştirebilecek ve hatta mümkün olan durumlarda gerekli düzeltmeyi otomatik olarak pull request şeklinde alabileceğiz.
Code Scanning özelliği gücünü CodeQL [2] isimli kodlar üzerinde çeşitli sorgular çalıştırabildiğimiz teknolojiden alıyor. GitHub ve topluluk tarafından oluşturulmuş 2.000'in üzerinde CodeQL sorgusu çalıştırabileceğiz ya da kendi CodeQL sorgularımızı çalıştırabileceğiz.

Daha fazla bilgi için blog yazısı: https://github.blog/2020-09-30-code-scanning-is-now-available/

[1]: https://github.blog/2019-09-18-github-welcomes-semmle/
[2]: https://securitylab.github.com/tools/codeql

#YazılımGündemi #Programlama #GitHub #Güvenlik #SiberGüvenlik #CodeQL

BeğenFavori PaylaşYorum yap
  • MrMetalHead @mrmetalhead

    Sanirim VS Online da Github'a tasiniyor veya tasindi CodeSpace adiyla. CLI da cikti, MS gelistirmeye devam ediyor Github'i, bence satin alip batirma olayi olmadi. Guzel ilerliyor gibi.

    • Eren Hatırnaz @erenhatirnaz

      Microsoft'un GitHub'a güzel şeyler kattığına katılıyorum. Bence GitHub gibi bir şirketin Microsoft'un maddi imkanlarıyla büyümesi güzel bir gelişme. 2 yıl önce satın alındığında da insanlar "Microsoft satın aldıysa batırır" demişlerdi ama ben Satya Nadella'nın şirketin kültürünü değiştirdiğini ve o Microsoft'un eskide kaldığını savunmuştum bayağı bir arkadaşa: https://teknoseyir.com/durum/890967.
      Benim GitHub'daki şu anki çekincem daha çok tekelleşme konusu hakkında. Geliştirme ekosisteminin hemen her noktasına dokunmaya başladı, elbette çoğu kişi için her şeyi tek platformda halletmek daha kolay ve verimli oluyordur ama o kadar çok teknolojinin ve bu kadar çok verinin tek bir firmada toplanması beni endişelendiriyor.

    • MrMetalHead @mrmetalhead

      @erenhatirnaz GitLab ta iyi, tekellesme konusunda benim pek endisem yok. Konu ozel bir repo vs acmaksa zaten Atlassian gibi sirketlerinde cozumu var. GitLab'i cok kullanmadim, eski sirketim ona gecmis, gayet guzel kullaniyorlardi Jira ile birlikte. Ote yandan MS'e on yargi duyanlar cok, bu arada tabi ki MS hayrina acik kaynaga destek olmuyor, Azure gibi urunlerde faydasini goruyorlar.

      Mesela yanlis hatirlamiyorsam onceden SublimeText 80$ di ve IntelliJ'nin de ucretsiz versiyonu yoktu. VS Community ve ardindan VS Code ciktiktan sonra cok rahatladi IDE ve TextEditor bulmak. IntelliJ'de de Community versiyonu var artik.

      Keske Windows Mobile cikarken basta olasydi Satya Nadella. Hele Open Source olarak yazilsaydi, firmalar tarafindan benimsenmesi daha kolay olabilirdi.

      Bu arada Azure DevOps sanki yavastan GitHub ile benzer ozelliklere sahip hale geliyor. Azura Github entegre edip keske, ayni hizmeti sunun urunleri kaldirsalar.

      Yalniz en onemlisi karanlik tema yok hala sanirim, eklenti ile cozuluyor ama nasil olmaz aklim almiyor 😀

    • Eren Hatırnaz @erenhatirnaz

      @mrmetalhead Tabii ki de firmaların çoğu hayrına açık kaynağa destek vermiyor. Hayır kurumu değiller zaten orası ayrı da; çoğu firma artık açık kaynağı kendi çıkarları doğrultusunda kullanmayı başardı. Bir nevi kapitalist sürecin içerisine entegre edildi diyebiliriz.
      Satya Nadella gerçekten şirketin bütün dokusunu değiştirdi. Güzel işlere imza atıyor.
      Yanlış hatırlamıyorsam Azure'da GitHub Enterprise sunucusu ayağa kaldırma seçeneği görmüştüm ama sizin dediğiniz daha farklı bir entegrasyon sanırım. Bence Azure ve GitHub'ın ayrı olması daha iyi ya.
      Karanlık tema olmaması gerçekten büyük saçmalık. Üstelik sadece GitHub'da değil, GitLab, BitBucket'da falan da yok. Geliştiriciler için hazırlanmış bir sitede nasıl karanlık tema olmaz aklım almıyor ya.

    • MrMetalHead @mrmetalhead

      @erenhatirnaz dogrudur, benim istedigim azure devops'un tum ozelliklerini Github'a eklesinler, Azure'da da Github diye ciksin. Maksat urunler dallanmasin. Ancak tabi onlarin bilecegi bir sey. Bu gece calisma olayi nedeniyle artik bilgisayar kriterlerim arasinda ekranin maksimum parlakligina ek olarak minimum parlaklikta eklendi. Beyaz tema olup birde ekran isini iyice kisamayinca gozler icin cok yorucu oluyor. Neyse bazi online kurslara ve not aldigim makalelere odaklanayim, sonrasinda bir kac kucuk proje yaparak pekistirmem lazim. Mallesef Github'i bosladim biraz, daha readme yazacam profil icin 🙂

Kameranın ne kadar caydırıcı olduğuna bir kez daha şahit oldum.Eleman üst kata çıkarken kamerayı gördü mal mal baktı ve gitti.Alt katta bekleyen biri daha vardı gölgesi gözüküyor. #güvenlik

BeğenFavori PaylaşYorum yap

ya arkadaş benim en güvenli bulduğum yöntem belki sms yöntemidir. ben senin yöntemine güvenmiyorumdur belki. belki sırf canım istedi diye sms yöntemini kullanmak istiyorum. bu ekranın hukuki bir dayanağı var mı? aslında onaylamıyorum ama başka bir çare de bırakmıyor. başıma bir iş gelirse dava nasıl seyreder? aramızda bilişim hukukundan anlayan varsa yorumlarını bekliyorum.
#ziraat #banka #güvenlik

BeğenFavori PaylaşYorum yap
  • arandur @arandur

    Ziraat Onay sistemi iptal edilip sms şifresi ile girilebiliyor diye biliyorum ama çok yeni bir değişim olduysa bilemem.

    Not: Ziraat Bankası aktif müşterisiyim.

    Edit: Onay ekranından iptal edip sms ile giriliyor ama uğraştırıyor 🙁

  • My_Techno @my_techno

    Aynı sorundan bende muzdaribim, mecbur kılması çok saçma bende onaylıyorum demiştim ve sonra uğraşmadım belki ayarı vardır şimdi bir uygulamayı kurcalayayım tekrar sms ile giriş ayarı vardır elbet.

  • Daviance @daviance

    Lafa bak telefon calinirsa ben müşteri hizmetleri peşinde koşacağım sen istedin diye . Garantide yakın zamanda sifrematik uygulamasını bitirdi mesela, tutarsız hareketler var bankalarda, şüpheleniyorum.

Güvenlik araştırmacısı Utku Şen, bugün yayınlandığı video ile nasıl "Apple'ın açığını bulan genç" olabileceğinizi anlatıyor. Yeterli miktarda paranız varsa siz de Türkiye'nin en büyük haber sitelerinde kendinizi haber yaptırtabilirsiniz. Utku Şen de komik bir haber yazısı hazırlayıp, bunu ajans şirketleri aracılığıyla IHA'da yayınlatmış. Haber sitelerinin ne hale geldiğini zaten biliyordum ama bu seferki çok komik bi' durum ya. 😀

Video: https://www.youtube.com/watch?v=dzJslQa1LZs
Haber Bağlantısı: https://www.iha.com.tr/haber-applein-acigini-bulan-gorme-engelli-genc-10000-dolar-odul-kazandi-860733/
Silinirse diye arşiv bağlantısı: http://web.archive.org/web/20200811135331if_/https://www.iha.com.tr/haber-applein-acigini-bulan-gorme-engelli-genc-10000-dolar-odul-kazandi-860733/
Alternatif: http://teyit.link/EvppkCn

#Güvenlik #SiberGüvenlik #Apple

Sözde "Apple'ın Açığını Bulan Gençler" ve Sahte Haber Yayınlatma...

Bu videoda medyada sıkça yer alan "Apple'ın Açığını Bulan Genç" haberlerinin neden safsata olduğunu, açık bulma (bug bounty) sektörünün nasıl çalıştığını ele...
BeğenFavori PaylaşYorum yap
Önceki yorumları gör 7 / 14

Intel sızdırıyor. İçerisinde işlemcilerin tasarımlarından kaynak kodlarına, çeşitli araçlardan dokümanlara kadar hassas veriler bulunan 20 GB büyüklüğünde bir arşiv internete düştü. Intel yetkilisi de sızıntıyı kabul etmiş gözüküyor. Normalde sadece anakart üreticisi gibi firmalarla paylaşılmış olan bilgiler bu yılın başındaki bir saldırıyla ele geçirilmiş.

Haber kaynağı: https://www.theregister.com/2020/08/06/intel_nda_source_code_leak/

#HaftalıkGündemeMalzeme #Intel #Leak #Güvenlik #İşlemci #SiberGüvenlik #VeriSızıntısı

BeğenFavori PaylaşYorum yap