iPhone kamerasında güvenlik açığı!

Geçen hafta yayınlanan bir habere göre CIA, topluma açık bilgilerden istihbarat amacıyla yararlanmak için bir organizasyon kurmuş.

Open Source Center ismiyle anılacak olan bu merkez, Internet, ticari veritabanları, periyodik yayınlar, radyo, video, haritalar ve diğer basılı kaynaklar üzerinden bilgi edinip bunları ülke çıkarları doğrultusunda kullanacak.

Klasik kaynakları daha önce kullanmakta olan, dünya çapında dinleme operasyonlarına sahip organizasyonun, sokaktaki insanın erişebileceği bilgilerden ne gibi sonuçlar çıkartabileceği merakla bekleniyor.

Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.

Araştırmayı ben de Bruce Schneier blog'unda yayınlayınca farkettim. Araştırmacılar 2004 boyunca MSIE, Firefox ve Opera'daki "bilinen güvensiz" günleri saymışlar, yani bir güvenlik açığının var olup yamasının yayınlanmamış olduğu günleri. MSIE %98 güvensiz çıkmış, yani araştırma senesi boyunca sadece 7 gün bilinen güvenlik açıklarına karşı yamaları mevcut bir gezgin sunabilmişler kullanıcılarına. Firefox %15, Opera ise %17 güvensiz çıkmış. Toplam güvenlik açığı sayılarından daha tutarlı bir yaklaşım...

1-2 Mayıs 2010 tarihlerinde Snort - Saldırı Tespit ve Engelleme Sistemi eğitimi düzenlenecektir.

Snort(Ağ tabanlı saldırı tespit ve engelleme sistemi) eğitimi günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen Saldırı Engelleme Sistemleri(IPS)ni açık kaynak kodlu IPS yazılımı Snort kullanarak uygulamalı olarak öğreten bir eğitimdir.

Macromedia firmasının Flash yazılımının göstericisi olan Flash Player'da bir alan taşırma zaafiyetinin varlığı tespit edildi. Bu zaafiyet sayesinde bir flash animasyonu içeren masum görüntülü bir web sitesi aracılığı ile siteyi ziyaret eden kullanıcıların bilgisayar sistemlerinde istenen komutların işletilmesi mümkün olabiliyor.