Güvenlik seminerleri dizisinin ilk semineri olan “Windows Server 2008′de Güvenlik” başlıklı semineri 10 Kasım Cuma günü Microsoft ofisinde verdim. Katılımın yoğun olduğu seminerde Windows Server 2008 ile birlikte gelen güvenlik özelliklerini ele alıp detaylarıyla değindim. Seminerin sunum dosyasını buradan indirebilirsiniz. Kasım ayında “Günümüzdeki Güvenlik Tehditlerine İlişkin Genel Bakış ve Türkiye’nin Durumu” başlıklı seminer, Aralık ayında da “Adli Bilişim’e Giriş ve Microsoft Sistemlerde Adli Bilişim Temelleri ” başlıklı seminerleri Microsoft Türkiye ofisinde veriyor olacağım.
Bir hacking aktivitesinin servis olarak sanki legal bir iş koluymuş gibi sunulması olaylarına son zamanlarda sıklıkla rastlar olduk. Bu tür servislere örnek olarak gösterebileceğimiz web tabanlı mail hesaplarının şifrelerini (Hotmail,Yahoo,Gmail gibi) belirli bir ücret karşılığında kırdığını iddaa eden web sitelerinin sayıları hızlı şekilde artmaya başladı. Slogan olarak “eşinizin, çocuğunuzun, kız yada erkek arkadaşınızın web tabanlı e-posta hesaplarının şifrelerine mi ihtiyacınız var. %100 garantili şifre kırılır” gibi bir söylemi benimsemiş bu servislerin ilerde daha hangi servisleri sunacağını şimdiden tahmin etmek zor olmasa gerek.
Aşağıda bu sitelerden birinden alınmış bir ekran görüntüsünü bulabilirsiniz.
Kasım ayında Amerika’da gerçekleştirilecek seçimde Cumhuriyetçi aday McCain’in yardımcı olarak açıkladığı
Sarah Palin
Alaska valisi Sarah Palin’in Yahoo’daki kişisel mail hesabının nasıl ele geçirildiği netlik kazanmaya başladı. Saldırganın Yahoo’daki mail hesabını ele geçirirken kullandığı yöntem, “şifremi unuttum” olarak hepimizin bildiği adımları izlemekten başka birşey değil ve Palin gibi birisinin mail hesabının şifresinin hatırlatma sorusu da kişisel bir bilgiye dayanınca saldırganın bu bilgilere Google üzerinden bir kaç arama işleminden sonra ulaşması içten bile değil.
Güvenlik konusunda bilinçlendirmeye sağlamak adına düzenlediğimiz eğitimlerin tamamında şifre olarak seçilecek ifadelerin yada değerlerin kesinlikle kişesel bir özelliğiniz ile bağdaşmaması gerektiği üzerine duruyoruz ve Palin örneği bundan sonraki eğitimlerde oldukça işime yarayacak bir örnek olarak duruyor karşımda. Bunun yanında Palin örneğinde yer alan ilginç bir detay ise kişisel mail hesabını iş için kullanıyor olması. Bu durum da yine üzerinde çok fazla durulması gereken bir konu başlığı.
Sarah Palin’in ele geçirilen Yahoo hesabına ilişkin detaylı bilgiye ve mail hesabından hangi bilgilere ulaşıldığına dair detaylara buradan ulaşabilirsiniz.
PCI DSS’in 1.2 versiyonu 1 Ekim 2008 itibariyle yayınlandı. Yayınlanan yeni veriyon standart bir önceki versiyon olan 1.1′deki bir çok konu başlığına açıklık getiriyor. Bunun yanında gereksinimler açısından bakıldığında iki versiyon arasında herhangi bir değişiklik yok. Eski versiyon 31 Aralık 2008 tarihine kadar geçerli olacak. Yeni versiyon standartda nelerin değiştiğini görmek için “PCI DSS Summary of Changes” dökümanına gözatabilirsiniz. Standardın yeni halini buradan indirebilirsiniz.
