İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

2023 48. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

48.Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim

Açıklama

DAC (Discretionary Access Control)

İsteğe bağlı erişim kontrolü, öznenin (kullanıcı veya kullanıcının ait olduğu grup) kimliğine göre nesnelere erişimi kısıtlama ilkesidir.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür

Platform

25-11-2023

CVE-2023-49103, CVE-2023-49104 ve CVE-2023-49105

Kimlik doğrulama ve alan adı doğrulama atalama

ownCloud

Kasım ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz. 

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür

Hedef

23-11-2023

WailingCrab

Kötü amaçlı yazılım yükleyicisi

C2 sunucuları

24-11-2023

Telekopye

Bot

Telegram

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Tür

Hedef

20-11-2023

BS Bizim Personel Danışmanlık Hiz. A.Ş.

Fidye yazılım saldırısı

Bilgi sistemleri

Yerel veri ihalelerine buradan ulaşabilirsiniz.

Haber Yazısı 1

Parmak İzi Sensörlerindeki Yeni Kusurlar

TARİH: 22 Kasım 2023

Yeni bir araştırma , Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X dizüstü bilgisayarlarda Windows Hello kimlik doğrulamasını atlamak için kullanılabilecek çok sayıda güvenlik açığını ortaya çıkardı.

Güvenlik açıklıkları, Goodix, Synaptics ve ELAN'ın cihazlara gömülü parmak izi sensörlerindeki zayıflıkları bulan Blackwing Intelligence'daki (donanım ve yazılım ürün güvenliği ve saldırı araştırma şirketi) araştırmacılar tarafından keşfedilmiştir.

Parmak izi okuyucunun istismar edilebilmesi için, hedeflenen dizüstü bilgisayar kullanıcılarının parmak izi kimlik doğrulamasının önceden ayarlanmış olmalıdır.

Üç parmak izi sensörünün tümü , eşleştirme ve diğer biyometrik yönetim işlevlerini doğrudan sensörün entegre devresine entegre eden "çip üzerinde eşleştirme" ( MoC ) adı verilen bir sensör türüdür .

Araştırmacı Jesse D'Aguanno ve Timo Teräs “MoC, saklanan parmak izi verilerinin eşleştirme için ana makineye yeniden oynatılmasını engellese de, kendi başına, kötü niyetli bir sensörün meşru bir sensörün ana bilgisayarla iletişimini taklit etmesini ve yetkili bir kullanıcının kimliğini başarıyla doğruladığını hatalı bir şekilde iddia etmesini engellemez.” Dedi.

Microsoft tarafından oluşturulan Güvenli Cihaz Bağlantı Protokolü (SDCP), uçtan uca güvenli bir kanal oluşturarak bu sorunların bir kısmını hafifletmeyi amaçlasa da, araştırmacılar, bu korumaları aşmak ve düşmanları devreye sokmak için kullanılabilecek yeni bir yöntemi (orta (AitM) saldırıları) ortaya çıkardılar.

MoC ayrıca ana bilgisayar ile sensör arasındaki önceden kaydedilmiş trafiğin yeniden oynatılmasını da engellemez.

Bu tür saldırıları azaltmak için orijinal ekipman üreticilerinin (OEM'ler) SDCP'yi etkinleştirmesi ve parmak izi sensörü uygulamasının bağımsız, kalifiye uzmanlar tarafından denetlenmesini sağlaması önerilir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

ABD, İngiltere ve Küresel Ortaklar Güvenli Yapay Zeka Sistemi Geliştirme Yönergelerini Yayınladı

TARİH: 27 Kasım 2023

İngiltere ve ABD, diğer 16 ülkeden uluslararası ortaklarla birlikte, güvenli yapay zeka (AI) sistemlerinin geliştirilmesine yönelik yeni yönergeler yayınladı.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), "Yaklaşım, müşteriler için güvenlik sonuçlarının sahiplenilmesini önceliklendiriyor, radikal şeffaflığı ve hesap verebilirliği benimsiyor ve güvenli tasarımın birinci öncelik olduğu organizasyonel yapılar kuruyor." Dedi .

Ulusal Siber Güvenlik Merkezi (NCSC) , amacın yapay zekanın siber güvenlik seviyelerini artırmak ve teknolojinin güvenli bir şekilde tasarlanmasını, geliştirilmesini ve konuşlandırılmasını sağlamaya yardımcı olmak olduğunu ekledi .

Yönergeler aynı zamanda ABD hükümetinin, yeni araçların kamuya açıklanmadan önce yeterince test edilmesini, önyargı ve ayrımcılık, mahremiyet endişeleri ve tüketicilerin yapay zeka tarafından oluşturulan materyalleri tanımlaması için sağlam yöntemler oluşturmak gibi yapay zekanın oluşturduğu riskleri yönetmeye yönelik devam eden çabalarına da dayanıyor.

NCSC, en son yönergelerin "geliştiricilerin siber güvenliğin hem yapay zekâ sistem güvenliğinin önemli bir önkoşulu olmasını hem de 'tasarım gereği güvenli' yaklaşımı olarak bilinen geliştirme sürecinin başından itibaren ayrılmaz bir parçası olmasını sağlamalarına yardımcı olduğunu" söyledi.

Bu, yapay zekâ sistemi geliştirme yaşam döngüsü içindeki tüm önemli alanları kapsayan, güvenli tasarım, güvenli geliştirme, güvenli dağıtım ve güvenli operasyon ve bakımı kapsar. Kuruluşların sistemlerine yönelik tehditleri modellemesinin yanı sıra tedarik zincirlerini ve altyapılarını korumasını gerektirir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Parmak izi sensörleri
  2. Güvenli yapay zekâ
  3. Zafiyetler
  4. Zararlı Yazılımlar
  5. Veri İhlali