AKF

Yeni Siber Güvenlik Kabusu: Pegasus

Merhaba,

Uzun bir tatilden sonra tekrar birlikteyiz ve ne yazık ki gündemimiz tekrar Covid 19 illetiyle meşgul.

Delta varyantı tüm dünyada hızla yayılıyor. Hükümetler ve iş dünyası alarm halinde. Oysa tam da mRNA aşılarının sağladığı yüksek korumaya güvenilerek, hibrit çalışma alternatifleri ve hatta ofise tam geri dönüş planları konuşuluyordu.

Fakat görünen o ki, tehlike sandığımızdan büyük. Mesela Apple, ofise geri dönüş çağrısını en az 1 ay ertelediğini duyurdu.

Wall Street’in uzaktan çalışmaya en karşı, en sert tutumu takınan (Çalışanlarının uzaktan çalışmasına karşılar) kurumları, JP Morgan ve Goldman Sachs bile yeni durumu endişeyle izlediklerini belirttiler.

Eğer aşılanma hızlanmaz ve tedbirler sıkılaştırılmazsa, bir kaç haftaya kadar korkarım başa döneceğiz.

Aşılarımızı olalım ve mesafe kurallarına riayet edelim. Çünkü Delta varyantının, virüsün eski haline göre 1000 kat daha fazla bulaşıcı olduğu hesaplanmış.

Delta Varyantı ile ilgili Scientific American’da çıkan şu araştırmaya lütfen bir göz atın:

How the Delta Variant Spreads So Quickly | Scientific American

Pegasus Olayı

 

Bu haftanın diğer bir gündem başlığı da yine, yeni ve yeniden Siber Güvenlik.

Ülkemizde ilk defa Sayın Füsun Nebil’in 2018 yılında şu yazısıyla söz ettiği casus yazılım şirketi NSO Grup’un Pegasus yazılımı, şu günlerde tüm dünyanın gündeminde.

Çünkü, NSO Grup’un müşterileri için dünya çapında en az 180 gazeteciyi takip ettiği ve takip edilmek üzere 50000 kişinin telefon kaydına sahip olduğu ortaya çıktı.

Tahmin edilebileceği gibi, takibe alınması istenen isimler, gazeteciler, insan hakları savunucuları, siyasi muhalifler, iş insanları ve bazı hükümet yetkililerinden oluşuyor.

Pegasus, telefon içeriğinin tamamına erişim sağlayan ve hatta kamera ve mikrofona uzaktan erişebilen son derece gelişmiş bir casus yazılım aracı.

Telefonunuzdaki varlığını tespit edebilmeniz çok zor. Üstelik geçtim WhatsApp’i, güvenli olduğunu düşündüğümüz Telegram ve Signal gibi tüm mesajlaşma yazılarına dahi ulaşabiliyor!

Konuyla ilgili Uluslararası Af Örgütü genel sekreteri Agnes Callamard,

“Rakamlar, gazetecilerin, ailelerinin ve iş arkadaşlarının hayatlarını tehlikeye atarak, basın özgürlüğünü baltalayarak ve eleştirel medyayı kapatarak istismarın yaygın olduğunu canlı bir şekilde gösteriyor”

dedi.

Sonuna kadar katııyorum. Ve ne yazık ki, NSO Grup’un müşterileri arasında Türkiye de var…

Bitirirken, WhatsApp ile ilgili tartışmaların yaşandığı günlerde “Nasıl olsa izliyorlar” aymazlığına düşenleri, sosyal medya platformlarına hayatınının her ayrıntısını yükleyenleri tekrar uyarmak istiyorum.

Hayatınızı, çocuklarınızın fotoğraflarını, kendinize ve ailenize ait geçmişe ait fotoğrafları, önemli konuları, şifreleri; kısacası yoldan geçen herhangi birine göstermeyeceğiniz hiç bir şeyi web de paylaşmayın, iletmeyin!

Pegasus dosyası ile ilgili, en detaylı yazıya aşağıdaki ilk linkten ulaşabilirsiniz. Yazı oldukça detaylı çünkü, Pegasus konusunu ilk defa ortaya atan ve Dünya Af Örgütüyle birlikte çalışarak araştırma yapan Forbidden Stories’e ait.

PEGASUS: THE NEW GLOBAL WEAPON FOR SILENCING JOURNALISTS | Forbidden Stories

Telegram Kurucusu Pavel Durov’da Pegasus Listesinde | Türk İnternet

BİM KLÜP

Bim Klüp’te sayın Füsun Nebil ile geçtiğimiz Cuma günü “Uzaktan Çalışma Döneminde Fidye Saldırıları Yükseliyor. Türkiye Ne Yapmalı?” başlıklı bir söyleşi gerçekleştirdik.

Yayını izlemek isteyenler için linki aşağıya bırakıyorum:

“Uzaktan Çalışma Döneminde Fidye Saldırıları Yükseliyor. Türkiye Ne Yapmalı?” | Tekno Politik (You Tube)

SİBER GÜVENLİK

 

Cep Telefonunda Pegasus’u Tespit Etmek İçin program: MVT

Pegasus, yüzlerce başka casus uygulamadan sadece bir tanesi. Diğerleri sessizce çalışmaya ve kurbanlarını gözetlemeye devam ediyor.

Ancak unutulmamalı ki, her Pegasus lisansı yüz binlerce dolara mal oluyor. Bu nedenle seçilen kurbanlar esas olarak değerli bilgilere sahip olanlar; örneğin, politikacılar, iş dünyası liderleri veya büyük yayınların gazetecileri gibi kimselerden oluşuyor.

Yani rastgele cihazlara uygulanması pek mümkün değil.

Bu segmentte olan ve şüphelenen kişilerin cep telefonlarında yazılımın olup olmadığını kontrol etmelerini sağlayan bir araç var.

Uluslararası Af Örgütü, Pegasus’u tanımlamanıza olanak tanıyan bir yardımcı program geliştirdi. Adı: MVT (Mobil Doğrulama Araç Takımı) ve kaynak kodu GitHub‘da mevcut.

Program, akıllı telefondaki verilerin yedek bir kopyasını bilgisayara kaydedip, tüm verileri tarıyor ve Pegasus’un bulaşıp bulaşmadığını kontrol ediyor.

Ayrıca kullanıcıyı cihazındaki bilgilerin ele geçirilip üçüncü taraflara aktarılıp aktarılamayacağı hakkında da bilgilendiriyor.

MVT yazılımı, Android ve iOS ile uyumlu, fakat uygulamanın hızlı kurulumu için hazırlanmış çözümler henüz bulunmuyor. Yalnızca Linux veya macOS’lu bir bilgisayarda yapılabilecek belirli bir cihaz için derlenmeleri gerekir.

How To Check If Your Smartphone Is Infected With Pegasus Spyware | Forbes

MVT Aracı Kaynak Kodu | GitHub

Açık Kaynak Kodlu Cep Telefonu İşletim Sistemi:/e/

 

Evet var! Ve aslında tüm gözetlemelerden korunmak için tek seçeneğimiz.

/e/, deneyimli girişimciler, geliştiriciler ve tasarımcılardan oluşan uluslararası bir çekirdek ekip (e Foundation) ve dinamik olarak büyüyen bir katkıda bulunanlar topluluğu tarafından desteklenen ve kar amacı gütmeyen bir proje.

Tamamen Google’den arındırılmış (bu işleme deGoogle diyorlar) bir mobil işletim sisteminden (OS) ve özenle seçilmiş uygulamalardan oluşuyor ve bu şekilde cep telefonları için gizliliğe uygun bir dahili ortam sunuyor.

Google tarafından geliştirilen Android işletim sistemi, her üretici tarafından yeniden paketlenip imaj olarak telefonlarımıza yükleniyor. e-Foundation, base imaj dediğimiz hiç değiştirilmemiş imaj üzerine sadece gerekli yazılımları yüklüyor. 

Buna uygun cep telefonu satışları da mevcut, veya elinizde bulunan bir telefona buradaki imajları atabilirsiniz.

Bu proje dışında, benim yeterli bütçem var ve benim için güvenlik çok önemli diyorsanız Purism ürünlerine göz atabilirsiniz.

puri.sm | Purism web sitesi

/e/|eFoundation

Cep Telefonu Satışı |e Solutionshop

BULUT

Bulut ve Riskleri Raporu

Netskope, bir çeyrek yıl boyunca gördükleri bulut veri risklerini, tehditlerini ve eğilimlerini kapsayan Cloud and Thread Raporu’nun beşinci baskısını yayınladı.

Şirketin yeni raporu,

Bulut depolama uygulamalarının, kötü amaçlı yazılım dağıtımının %66’sından fazlasını oluşturduğunu buldu.

Saldırganların en kolay ulaşabildiği yerler popüler sohbet uygulamaları ve kod depoları. Buraları kötü amaçlı yazılımı dağıtmak için kötüye kullanıyorlar.

İşbirliği uygulamaları ve geliştirme araçları ise bir sonraki en büyük yüzdeyi oluşturuyor.

Siber suçlular “engellenenler” listelerini atlamak ve uygulamaya “özel izin verilen” listelerden yararlanmak için, bulut uygulamaları aracılığıyla kötü amaçlı yazılımlarını dağıtıyorlar.

Raporda bir çok ilginç bilgi mevcut. Bence en çarpıcı olanlardan bir tanesi de şu:

“500 ila 2000 çalışanı olan ortalama bir şirket, 805 farklı uygulama ve bulut hizmeti dağıtıyor ve bunların %97’si “yönetilmiyor ve genellikle iş birimleri ve kullanıcılar tarafından rastgele benimseniyor”

Tekrar ediyorum: Bulut kararı rastgele alınamaz ve Bulut teknolojisi el yordamıyla kullanıma bırakılamaz.

Raporu okuyun:

Cloud And Thread Report 2021 July Edition | Netscope

TEKNOLOJİDE ÖNE ÇIKAN

En Tehlikeli 25 Yazılım Zayıflığı: CWE Top 25

 

“25 En Tehlikeli Yazılım Zayıflığı (CWE İlk 25), önceki iki takvim yılında yaşanan en yaygın ve etkili sorunların açıklayıcı bir listesidir.

Bu zayıflıklar tehlikelidir çünkü genellikle bulunmaları, istismar edilmeleri kolaydır ve düşmanların bir sistemi tamamen ele geçirmesine, veri çalmasına veya bir uygulamanın çalışmasını engellemesine izin verebilir.

CWE Top 25, geliştiricilere, test uzmanlarına ve kullanıcıların yanı sıra proje yöneticilerine, güvenlik araştırmacılarına ve eğitimcilere en ciddi ve güncel güvenlik zayıflıkları hakkında fikir vermede yardımcı olabilecek değerli bir topluluk kaynağıdır”

2021 CWE Top 25 Most Dangerous Software Weaknesses | CWE

KURUMSAL ÇALIŞMA HAYATI

 

Hibrit Çalışma Konusunda Gerçekçi Bir Rapor

İşverenler, yüz yüze çalışmaya geri dönmek istiyor.

Ama çalışanlar öyle değil. Bağlantı kopukluğu çoğu işverenin inandığından daha derin. Bu sebeple işyerinde kopuşlar ve ayrılmalarda ani bir artış yaşanabilir.

Son anketler, küresel olarak çalışanların yüzde 40’ının mevcut işverenlerinden yıl sonuna kadar ayrılmayı düşündüğünü ortaya koydu.

Fakat Hibrit çalışma modeli kesin çözüm mü? Aslında Mc Kinsey’in raporuna göre, Hibrit Model’in ne olduğu hiç bir şekilde belli değil ve bu yeni modelin oluşturulması yıllar alacak.

Sonuçlarının neler olacağı uzun süre belirlenemeyecek.

Her ne kadar patronlar kısa vadede normale dönüş hayali kuruyorlarsa da, bu mümkün olmayacak.

Mc Kinsey’in çok gerçekçi raporu, yaklaşan hibrit çalışma dalgasına karşı yöneticilere önemli tavsiyeler sunuyor.

It’s time for leaders to get real about hybrid | Mc Kinsey

BAŞKA ŞEYLER

Harika Bir Yaz Dizisi: White Lotus

 

HBO’dan çıkan hiç bir yapım kötü olmuyor sanırım. Bu mini dizi de öyle…

Hawaideki bir otele gelen misafirlerin başından geçen olayları konu alan dizi, mizah ve kara mizah öğeleri taşıyor.

Müziği ve genel olarak oyuculukaları beğendim. Fakat o çöl efekti veren, sarı-turuncu filtre gerçekten çok itici.

Sıradışı olayları ve “Var böyle insanlar” dedirten harika karakterleriyle diziyi izlemenizi kesinlikle tavsiye ederim.

White Lotus | IMDB

Bu haftalık bu kadar.  

Bize iletmek istediğiniz fikir ve yorumlarınız varsa duymayı çok isteriz. Bunun için, bu maili cevaplayarak bize yazabilirsiniz.

Telegram’daki iletişim platformumuza gelmeyi unutmayın. Ve eğer yayınımız hoşunuza gittiyse, bu bülteni lütfen arkadaşlarınıza da önerin.

Çünkü tarafsız yorum, herkesin hakkı.

Görüşmek üzere

Şenol Çolak

Daha önce yayınladığımız bültenlere buradan erişebilirsiniz.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir