Yazılımda Bir Mükerrer "goto" İfadesi

-
Yazılımda Bir Mükerrer “goto” İfadesi Nelere Sebep Olabilir?, hiç düşündünüz mü?

Google, Android Güvenlik Takımı tarafından geliştirilen ve adını “Şubat 2014’de iOS ve Mac OS işletim sistemlerinde ortaya çıkan ve belirli koşullar altında bir saldırganın şifrelenmiş bağlantının arasına girerek tüm trafiği okuyabildiği korunmasızlığa” [1] [2] nispet edercesine ‘nogotofail‘ (yani, ‘go to’ hatasına hayır) olarak adlandırılan, açık kaynak kodlu araç ile “kullanılan cihaz ve uygulamaların bilinen TLS/SSL korunmasızlıklara ve hatalı yapılandırmalara karşı emniyette olup olmadığını kolay bir şekilde anlamanızın sağlanacağı” belirtilmektedir [3].

Google tarafından yapılan açıklamada; “Android, iOS, Linux, Windows, Chrome OS ve OS X işletim sistemlerinde çalışabilen nogotofail‘de, ayarlamaları yapılandırmanızı ve Android ve Linux’ten bildirimler almanızı sağlayacak kullanımı kolay bir istemci bulunduğu ve ayrıca saldırı motoronun kendisinin bir yönlendirici (router), VPN sunucu veya vekil (proxy) olarak konuşlandırılabildiği” ifade edilmektedir.

Aracın, açık kaynak kodu ve diğer malzemelere GitHub’dan erişilebiliniyor [5].

KAYNAKLAR

  1. Goto Fail, https://www.cs.columbia.edu/~smb/blog/2014-02/2014-02-23.html
  2. CVE-2014-1266, Korunmasılık Özeti, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1266
  3. Introducing nogotofail—a network traffic security testing tool, http://googleonlinesecurity.blogspot.com.tr/2014/11/introducing-nogotofaila-network-traffic.html
  4. google/nogotofail, https://github.com/google/nogotofail

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Siber Güvenlik Özelinde Savunma ve Bilişim Sektörleri

-
Resim
Savunma Sektörü ile Bilişim Sektörü Arasında Yerli Üretim İşbirliği Paneli (2012) ICT Summit Eurasia – Bilişim Zirvesi’12 etkinliği kapsamında düzenlenen Savunma Sektörü ile Bilişim Sektörü Arasında Yerli Üretim İşbirliği paneli yapıldı. Savunma Sanayi Müsteşarlığı (SSM) MEBS Daire Başkanı Mete Arslan‘ın başkanlığında gerçekleştirilen panelin katılımcıları: ASELSAN Kripto ve Bilgi Güvenliği Müdürü Ali Yazıcı, Yazılım Sanayicileri Derneği (YASAD) Yönetim Kurulu Başkanı Doğan Ufuk Güneş, HAVELSAN Bilgi Güvenliği Koordinatörü, Bilgisayar Yüksek Mühendisi Gürol Canbek ve STM Savunma Projeleri Direktörü Murat İkinci. Panel Videosu Birinci soru ve cevabım İkinci soru ve cevabım Panelde değimdiğim konular: Ulusal Siber Güvenlik Stratejisi Kritik Alt Yapıların Stratejik Önemi Ulusal Siber Güvenlik Stratejisi Çalıştayı Özel Sektörün Teşvik Talebi Gerçekleştirilen Siber Güvenlik Çalışmaları Bilişim (Yazılım) ve Savunma Sektörü İş Birliği Seçenekleri Milli Olmayan Güvenlik
Devamı

Derin Paket Teftişi

-
Bu yazıda Derin Paket Analizi ya da İngilizce karşılığı ile "Deep Packet Inspection" ifade edilen Derin Paket Teftişi konusu ele alınmaktadır. Bilgisayar ağı paketlerinin başlık ve yük kısımları dâhil tamamının çözümlenmesi ve paket ile ilgili uygulamanın belirlenmesi için birden çok paketin çaprazlama bilgilerinin ilintilendirilmesi olarak tanımlanabilecek Derin Paket Teftişi (İngilizce karşılığı ile Deep Packet Inspection) ile ilgili yaptığım özgün bir araştırmanın kısmi sunumuna aşağıdan erişebilirsiniz. Sunumda, Derin Paket Teftişi; Nedir? Neye benzetilebilir? Ağ görünürlüğünü nasıl artırır? Menfi ya da müspet ne maksatla kullanılabilir? Uygulanabilecek iş kolları nelerdir? Ağ koklayıcı ve içerik süzmeden farkı nedir? Artan protokoller ve uygulamaların etkisi nedir? Nasıl gerçekleştirilebilir? Başa çıkılması gereken noktalar nelerdir?, DPT milli bir gereksinim midir? sorularına cevap teşkil edecek açıklamalar bulabilirsiniz. Derin Paket Teftişi (
Devamı

Roller Tersine Çevrildi: Bilgi İşlem Müdürü, Bilgi Güvenliği Yöneticine Rapor Ediyor

-
Resim
Booz Allen Hamilton, önemli bir firma ve bilgi güvenliğinde örneğine ender rastlanan bir organizasyon değişikliğine gitti. BAH'da roller tersine çevrildi ve Bilgiişlem Yöneticisi ("CIO"), Bilgi Güvenliği Yöneticine ("CISO") rapor verir hâle geldi. Ülkemizdeki uygulamalara emsal teşkil etmesi düşüncesiyle hazırladığım çeviriyi sizlerle paylaşmak isterim. BT’nin Güvenliği, Onu Yönetmeden Daha Hayati Hâle Gelirse Eric Chabrow tarafından 7 Nisan 2014’de yayınlanan yazı ÇEVİREN: Gürol CANBEK, 18 Aralık 2014 Thad Allen Tamamı değilse de, şirketlerin çoğunda; Bilgi Güvenliği Müdürü (CISO, Chief Information Security Officer), Bilgi İşlem Müdürüne (CIO, Chief Information Officer) rapor verir. Nihayetinde şirketler, BT olmadan işlev göremez ve güvenlik, verinin ve sistemlerin korunmasına yönelik bir destek fonksiyonudur! Acaba gerçekten öyle midir? Günümüzde şayet siber tehditler oldukça yaygınsa; kritik bilgi varlıklarının güvenliğinin sağlanması, opera
Devamı