BDDK : Basel II Uyumluluğu 2009 Başına Ertelendi
BDDK, Basel II uyumluluk çalışmalarını, AB uyumluluk süreçleri ve AB ülkelerinden birçoğunda ilgili süreçlerin tamamlanmaması nedeniyle 2009 başına erteledi.
BDDK : Basel II ile ilgili Basın Açıklaması
Devamı
Belge Sahteciliğine Karşı Floresan Yazi Teknolojisi - 19.07.2007 Hürriyet
Yeni gelistirilen ?floresan yazı? teknolojisi, banknotlar üzerinde kalpazanlara karşı alınan güvenlik önlemlerinin benzerlerinin, belge sahteciliğini önlemek üzere her türlü evrak ve doküman üzerinde kolayca uygulanabilmesini sağlayacak.Yapılan yazılı açıklamaya göre firma, belge ve doküman sahteciliğine karşı caydırıcı nitelikte yeni bir teknoloji geliştirdi.Firma, banknot, çek gibi değerli kağıtların baskısında ihtiyaç duyulan floresan mürekkebini kullanmadan, gene ultraviyole ışık altında görünebilecek gizli harf, rakam ve simgelerin basılmasını sağlayan ?floresan yazı? adı verilen bir buluş gerçekleştirdi.Bu buluşla artık diploma, rapor, banka çeki, kimlik kartları gibi belgeler, kağıt paralarda bulunan yüksek güvenlik standartlarıyla, dijital yazıcılarda basılabilecek.
GÖZLE GÖRÜLMEYEN GÜVENLİK KODLAMALARIFirmanin patentini aldığı teknoloji, firmanin Keşif ve Teknoloji Grubu'ndan Reiner Eschbach tarafından geliştirildi. ?Floresan yazı? teknolojisi, önemli belge ve dokümanların gözle görülemeyen yazı, işaret veya kodlamalarla basılmasını sağlarken, böylece, ultraviyole ışıkta görülebilen önceden belirlenen kişi veya kuruma özel simge ve kodlamalara bakılarak, o belgenin sahte olup olmadığı kolaylıkla tespit edilebildiği kaydedildi.Firmada calisan bilim adamları, mevcut tonerlerle kağıt üzerinde gözle görülemeyen kodlamalar yapılıp yapılamayacağını ortaya çıkarmak için bu araştırmaya başladı ve araştırmaları esnasında, kağıt üreticilerinin kağıdın daha beyaz görünmesi için üzerine parlatıcı floresan bileşikler yerleştirdiklerini öğrendiler.Reiner Eschbach ve çalışma arkadaşları, kağıt üzerinde bulunan floresan parçalarının içine gizli güvenlik simgeleri yerleştirebileceklerini düşünerek, ultraviyole ışığa tutulduğunda kağıdın floresan kısımlarının ortaya çıkmasını sağlayan kuru toner kombinasyonları keşfetti. Keşfedilen bu özel toner kombinasyonu ile, floresan harfler ve rakamlar yazmak için kontrastlığı kullanan ve sadece ultraviyole ışıkta görülebilen bir yazı teknolojisi geliştirilmiş oldu.Halihazırda para ve banka çeki gibi güvenlik önlemli kağıtlar, floresan mürekkep kullanılarak, pahalı ve mevcut baskının üzerine ekstra bir kaç işlem yapmayı gerektiren, zahmetli bir operasyonla basılabiliyor. Firmanin floresan yazı buluşu, özel bir mürekkep veya toner kullanmadan, ekstra işlemler yapmadan, önemli belge ve dokümanların gözle görülemeyen güvenlik kodlamalarıyla birlikte basılmasını sağlıyor.
BULUŞ, SAHTE BELGELERİN BASILMASINI ZORLAŞTIRACAKAçıklamada, buluşu ile ilgili değerlendirmede bulunan Reiner Eschbach, ?Geliştirdiğimiz teknolojide insanları şaşkınlığa uğratan en önemli şeyin floresan mürekkep kullanmadan, dijital bir yazıcının floresan yazı basmasını gerçekleştirmek oldu. Bunun anlamı dört renkli dijital yazıcılarla, dokümanların kişiye ve kuruma özel floresan tanımlamalarla eş zamanlı basılabilecek olmasıdır? dedi. Firmanin bu buluşu, özellikle şirket rapor ve belgelerinin, finans kuruluşları, kamu kurumları, okullar ve üniversiteler tarafından verilen değerli kağıt ve belgelerin sahtelerinin basılmasını daha da zorlaştırması açısından önem taşıyor.Firmanin geliştirmiş olduğu floresan baskı teknolojisi, öncelikle kurumsal kullanıma yönelik yüksek kapasiteli renkli dijital baskı sistemleri üzerinde çalışacak ve teknoloji firmanin urettigi renkli baskı cihazlarında da kullanılabilecek.
Etiketler: Gazetelerden
Devamı
Bilgi Güvenliğinde Vizyon
Şüphesiz vizyon sahibi kişiler ve kurumların başalarıya ulaşma ihtimalleri diğerlerine göre daha yüksektir. Ancak vizyon tanımı farklı mecralarda farklı anlamlar taşıyabiliyor. Örneğin üniversitelerin işletme derslerinin çoğunda vizyonun bireysel bir görüş bütünü olduğu, şirketlerin ya da organizasyonların vizyonu olamayacağı söylenir. Oysa iş danışmanları Kurumsal Vizyon geliştirme hizmetleri vermektedir. Kurumsal danışmanlar vizyonu genelde ikiye ayırır: Şimdiki vizyon ve gelecek vizyonu.
Ben en iyisi vizyon sahibi kavramı üzerinde durayım, kavramın da Türk Dil Kurumu sözlüğünde nasıl geçtiğini yazayım.
Vizyon Sahibi: Geniş görüşlü, ileri görüşlü, ufku geniş kimse.
Vizyon ile bilgi güvenliği arasındaki bağlantıyı 3 temel adımda ortaya koyabiliriz.
........
Yazının tamamını pdf dosyasında bulabilirsiniz.
Beyaz Şapka dergisi, Şubat 2007 sayısından alıntıdır (
http://www.beyazsapka.org)
BilgiGuvenligindeVizyon.pdf
Devamı
Kariyer Noktası İnsan Kaynakları ve Danışmanlık - Network ve güvenlik Mühendisi(Ref:KN-NY-02)
www.kariyer.netİlan Tarihi: 10.07.2007
Şehir/Ülke: İstanbul
Personel Sayısı: 1
Genel Nitelikler:- Üniversitelerin ilgili bölümlerinden mezun,
- IP Networking konusunda minimum 2 yıl deneyimli, Firewall, IDS/IPS sistemlerinde konusunda minimum 2 yıl deneyimli,Switch, router ve load balancing sistemler konusunda minimum 2 yıl deneyimli,Linux, Windows 2000/2003 isletim sistemi üzerinde yönetici seviyesinde deneyimli, Tercihen bir Internet Servis Sağlayıcı'da çalışmış,
- Planlı çalışma ve analiz yeteneğine sahip, Kendini geliştirmeye ve yeniliklere açık,Erkek adaylar için askerliğini tamamlamış
İş Tanımı:
Danışmanlığını yapmakta olduğumuz İnternet Teknolojileri firması bünyesinde *Bilgi Güvenliği Uzmanı* olarak görevlendirilmek üzere
Etiketler: Kariyer
Devamı
Veripark - AĞ ve SİSTEM YÖNETİCİSİ (Ref:SY-01)
www.kariyer.net
İlan Tarihi: 13.07.2007
Şehir/Ülke: İstanbul
Personel Sayısı: 1
Genel Nitelikler:
- TCP/IP-DHCP,DNS, FTP, TELNET, SMTP, HTTP, PROXY ve benzeri protokoller hakkında bilgili,
- Windows ve Linux işletim sistemleri konusunda deneyimli,
Ağ Yönetim kavramları konusunda bilgili(Firewall, Antivirus, NAT, VPN, IDS, Certificate, Filtering vb), - Çeşitli veri tabanları (Oracle, SQL, DB2) kurulumu ve operasyonu konularında bilgili,
Uygulama sunucu (IBM Websphere, BEA, vb) kurulumları ve konfigürasyonları konusunda bilgili, - Konfigürasyon, yönetim, bakım, yazılım güncellemeleri, service pack/patch vb. güncellemelerinin yapılması konusunda 3 yılın üzerinde deneyim sahibi,
- Cluster, web teknolojileri ve entegrasyon teknolojileri ile daha önce çalışmış,
Ekip oluşturmuş ve en az 4 kişilik bir ekibi yönetmiş, - 3 yıllık yöneticilik deneyimi olan,
- ITIL ve COBIT standartları konusunda bilgili,
- Güvenlik politikaları ve standartları konusunda yönetmelikler hazırlamış ve uygulamış
- İyi derecede ingilizce bilen,
- Üniversitelerin Bilgisayar Mühendisliği, Elektronik ve diğer mühendislik fakültelerini Lisans veya Lisans üstü seviyesinde tamamlamış,
- Delegasyon ve organizasyon yeteneği kuvvetli,
- Askerlik ile ilgili sorunu bulunmayan (Erkek adaylar için)
İş Tanımı:
Hem VeriPark, hem de müşterileri için sistem projelerini ve ekibini yönetecek bir takım arkadaşı arıyoruz.
Etiketler: Kariyer
Devamı
Mynet - Network ve güvenlik Mühendisi(Ref:NET01)
www.kariyer.netİlan Tarihi: 16.07.2007
Şehir/Ülke: İstanbul
Personel Sayısı: 1
Genel Nitelikler:
IP Networking konusunda minimum 2 yıl deneyimli, Firewall, IDS/IPS sistemlerinde konusunda minimum 2 yıl deneyimli,Switch, router ve load balancing sistemler konusunda minimum 2 yıl deneyimli,Linux, Windows 2000/2003 isletim sistemi üzerinde yönetici seviyesinde deneyimli, Tercihen bir Internet Servis Sağlayıcı'da çalışmış,Erkek adaylar için askerliğini tamamlamış.
Etiketler: Kariyer
Devamı
Bilişim suçları yüzde 600 arttı - Milliyet
Avukat Vildan Yirmibeşoğlu, sadece İstanbul'da son 1.5 yılda bine yakın davalık bilişim suçu işlendiğini bildirdi. Yirmibeşoğlu, "İstanbul Valisi Güler de internet mağduru" dedi
GÜLAY FIRAT İstanbulİstanbul Valiliği İnsan Hakları Masası Başkanı Avukat Vildan Yirmibeşoğlu, bilişim suçlarıyla ilgili olarak "Asayiş Şube Müdürlüğü AR-GE Bilgi İşlem Büro Amirliği İnternet ve Bilişim Suçları" birimine yansıyan 2006 - 2007 yılı vakalarını araştırdı.Sadece İstanbul'da son 1.5 yılda bine yakın davalık bilişim suçu kaydına ulaşan Yirmibeşoğlu, "Bu buzdağının görünen kısmı. Durum ciddi. 2007'nin sadece ilk 5 ayında bile bir önceki yıla göre yüzde 600 artış var" dedi."İnternet ve Bilişim Suçları" birimine kurulduğu 2006'nın şubat ayından 2007 yılına kadar dava konusu da olan 341 vaka yansıdı. Yirmibeşoğlu şunları söyledi:"1 Ocak-25 Mayıs 2007 arasında ise 452 davalık bilişim suçu işlenmiş. Son 2 ayda 155 bilişim suçu daha yaşanmış. 2007'nin ilk yedi ayında 607 bilişim suçu işlenip davalık olmuş. Geçen yılın rakamlarıyla bu 948 bilişim suçu demek."
Valiye tehdit e-postasıTürk Ceza Kanunu'nda bilişim suçlarının 1-7.5 yıl arasında hapis cezası olduğunu hatırlatan Yirmibeşoğlu, "Her kesimden internet mağduru var. Mesela, bir albayın karısı, fotoğrafının izinsiz olarak arkadaşlık sitesine gönderildiğini, bunun hem kendisini hem de eşini zor duruma düşürdüğünü belirtmiş. Ya da 15 kadar kadınla chat yaparak güvenini kazandıktan sonra, buluşup içkisine ilaç atarak onları soyan bir hırsız var. İnternette kimi zaman valiliğimiz de hedef oluyor. Mesela bir futbol takımının taraftarlarından, Vali Muammer Güler'e İl Spor Kurulu'nun bazı kararları nedeniyle, 29 adet e-mail yoluyla hakaret geldi, dava açıldı" diye konuştu.
Etiketler: Gazetelerden
Devamı
Bir Yama Ne Kadar Sürede Geliştirilir ?
Daha önce bulmuş olduğumuz saldırı tespit ve önleme sistemlerinin atlatılmasına imkan veren
güvenlik açığı hakkında
"Bir Güvenlik Açığının Yayınlanması" başlıklı bir makale yazmıştım. Yama geliştirme sürecinin zorluklarına da biraz değinmiş ve halen açığımızın bazı ürünler için yamalanmamış olduğuna dikkat çekmiştim.
Bugün 3Com TippingPoint IPS üzerinde bulunan ve yamalanan 2 güvenlik açığı hakkında bir blog girdisi okudum. Securiteam blog'u üyelerinden
Juha-Matti tarafından yazılmış
"Patching an IPS - 16 months !" başlıklı yazıda, yayınlanan açıkların yama geliştirme bilgileri incelendiğinde 3Com TippingPoint IPS için bulunan açığın 16 ayda yamalandığına dikkat çekmiş. Yaklaşık 30 gün sonra açığın teknik detayları yayınlanacak bilgisini de eklemiş.
Bana yazmış olduğum birkaç yazıyı hatırlattı, sanırım söylediklerimde epeyce haksızlık ettiğim nokta varmış. Açığın teknik detaylarını gördüğümüzde, 3Com'un yavaşlığından dolayı mı, açığın türünden dolayı mı gecikme olduğu anlaşılacak. Tüm TCP/IP altyapısı ve paket normalleştirme motorunu değiştirmeyi gerektirebilecek açıklar bulunduğu zaman, üreticilerin ne kadar çaresiz duruma düşebileceğini gösteren güzel bir örnek oldu.
İlgili Şikayet ve Söylenme Yazılarım :
Sıfır Gün Açıkları Kimin Umrunda ? (
Bölüm 1 ,
Bölüm 2 )
Oracle ve Yama Geliştirme Süreci Hk.daFatih Özavcı
IT Security Consultant
Devamı
Zero-Day
Kaynak: Beyaz Şapka Dergisi Kasım 2006 Sayısı
BS-SA-zeroday.pdf
Devamı
Taşınabilir Bilgisayarda Parmak İzi Yaklaşımı
Geçen gün sevdiğimiz bir arkadaşımız taşınabilir bilgisayar değişimi yaptı ve önemli bilgileri o sistemde olacağı için sistemin güvenliği konusunda bazı soru işaretleri olduğundan bahsetti.
Beraber çözümlerden konuştuk, bireysel bir kullanım söz konusu olduğu için çözümlerde bireysel olacaktı. En önemli sorunlar sistemin açılışı ve içindeki bilgilerin kriptolanmasıydı. Sistem Mac OS X olunca bazı kolaylıklar sistemle beraber geldi, FileVault özelliği sayesinde kişisel dizini altındaki tüm dosyaları kriptolu olarak tutabiliyorduk. Ancak FileVault şifre olarak ilgili kullanıcının şifresini kullanıyordu ki sistem giriş sorununu çözdüğümüzde bu sorunda çözülecekti.
Arkadaşım parmak izi cihazları ile doğrulama yapmamızı, parmak izi ve şifre ile bir güvenlik sağlamayı önerdi. Bizde sistem ile uyumlu bir donanım araştırırken aniden kafamda bazı soru işaretleri oluştu. Parmak izi bir özel giriş ortamında, sistem odası veya korunmalı bir alana girerken verimli olabilirdi; ancak taşınabilir bilgisayardaki durum pek o kadar mantıklı görünmedi. Malum, birçok film izlemişsinizdir bu konu ile alakalı, bir yapışkan cihaz ile bir yüzeyden parmak izi almak ve kullanmak oldukça kolaydır. Arkadaşımız neticede taşınabilir bilgisayarı açarken, kapatırken ve klavyeyi kullanırken bolca parmak izi bırakıyor. Art niyetli biri bu parmak izini rahatça kopyalayıp parmak izi cihazının ilk talebini atlatabilir, geriye şifre kalır. Aynı durum sistem odası veya diğer korumalı alanlarda yer alan cam kapı, plastik yüzey ve benzer zeminler içinde geçerlidir; tek farkı daha korumalı bir alanda bu işin yapılması gerekir. Oysa bir taşınabilir cihazı alan kişi istediği yerde ve istediği sürede bu denemeleri gerçekleştirebilir. Parmak izi okuyucusunu dahili olarak barındıran taşınabilir bilgisayarlar bu konuda daha yardımcı, okuyucu ve parmak izi sürekli yan yana bulunduruyor.
Biz zaten şifre güvensiz olmasın diye bu yöntemi seçmiştik, bu nedenle sağlanan güvenliğin yeterli olmaması ve maliyeti göz önünde bulundurarak çözümden vazgeçtik. Sonuçta akıllı kart ve sertifika kullanımının daha mantıklı olduğuna kanaat getirdik. Parmak izi cihazı gibi taşınması zor ve genelde sistemin bulunduğu çantada yerini alacak bir cihaz yerine daha taşınabilir akıllı kart çözümleri kullanmaya karar verdik. İki etmenli doğrulamanın zorluklarından birini de anlattığım şekilde yaşamış olduk.
Genelde bu konuda en sık yapılan hata, "bildiğin şey", "sahip olduğun şey" ve "kişisel özellik" bileşenlerinden ikisinin kullanımı söz konusu olduğu için kullanıcıda bir rahatlama oluşmasıdır. Nasıl olsa ile başlayan "bu cihazdaki numarayı bulamazlar", "cihazı bulamazlar" veya "bu özelliğimi taklit edemezler" ifadeleri şifrelerin seçim kalitesini düşürmektedir. Bazı durumlarda söz konusu cihazlar da şifreyi belirli bir karakter uzunluğunda sınırlamakta ve kaliteyi iyice düşürmektedir. İki etmenli doğrulamada dikkat edilecek en önemli husus genelde gözden kaçmaktadır, hatırlatmakta fayda görüyorum. Geçilecek yeni doğrulama sistemi, yatırım maliyeti ve sağladığı ek güvenlik seviyesi dikkate alınarak değerlendirilmeli, karar bu değerlendirme sonucuna bağlı olarak verilmelidir.
Bonus :
http://www.google.com.tr/search?q=biometric+authentication+vulnerabilities
Fatih Özavcı
IT Security Consultant
Devamı
ISO 27001 Bilgi Güvenliği Sertifikasyonları
Beraber çözümlerden konuştuk, bireysel bir kullanım söz konusu olduğu için çözümlerde bireysel olacaktı. En önemli sorunlar sistemin açılışı ve içindeki bilgilerin kriptolanmasıydı. Sistem Mac OS X olunca bazı kolaylıklar sistemle beraber geldi, FileVault özelliği sayesinde kişisel dizini altındaki tüm dosyaları kriptolu olarak tutabiliyorduk. Ancak FileVault şifre olarak ilgili kullanıcının şifresini kullanıyordu ki sistem giriş sorununu çözdüğümüzde bu sorunda çözülecekti.
