İsrail-Hamas savaşı devam ederken, İsrail birlikleri Gazze Şeridi’ne girip Gazze Şehri’ni kuşatırken, bir teknoloji parçası, savaşı nasıl gördüğümüz ve anladığımız üzerinde büyük bir etkiye sahip. Geçmişte gevşek bir denetim geçmişi olan mesajlaşma uygulaması Telegram, Hamas tarafından korkunç görüntüler ve videolar paylaşmak için kullanılıyor. Bilgi daha sonra diğer sosyal ağlara ve milyonlarca göze daha yayıldı. Kaynaklar WIRED’e Telegram’ın korkunç propaganda yaymak için silah haline getirildiğini söylüyor.
Microsoft, Çin destekli bilgisayar korsanlarının kriptografik imzalama anahtarını çalması, Microsoft Exchange Sunucularıyla ilgili sorunların devam etmesi ve müşterilerinin başarısızlıklardan etkilenmesi nedeniyle şirketin kendi güvenliği konusunda zor bir kaç ay geçirdi. Şirket şimdi giderek büyüyen tehditlerle başa çıkmak için bir plan açıkladı. Bu, birçok unsurun yanı sıra yapay zeka destekli araçları kullanmayı, yazılım geliştirmeyi iyileştirmeyi ve güvenlik açıklarına yanıt verme süresini kısaltmayı planlayan Güvenli Gelecek Girişimidir.
Bu hafta ayrıca, eskiden Twitter olarak bilinen X’in patlamaya devam ettiği bir dünyada tüm sosyal medya platformları yer kapmaya çalışırken Bluesky, Mastodon ve Meta’s Threads’in gizlilik uygulamalarına baktık. Ve yeni nesil sosyal medyada işler pek de iyi değil. Kasım ayının gelmesiyle birlikte, artık güvenlik açıklarının ve geçen ay yayınlanan yamaların ayrıntılı bir dökümüne sahibiz. Microsoft, Google, Apple ve kurumsal firmalar Cisco, VMWare ve Citrix, Ekim ayında önemli güvenlik kusurlarını giderdiler.
Ve dahası da var. Her hafta derinlemesine ele almadığımız güvenlik ve gizlilik haberlerini özetliyoruz. Haberin tamamını okumak için başlıklara tıklayın ve güvende kalın.
Flipper Zero, güvenlik araştırmacıları için tasarlanmış çok yönlü bir hackleme aracıdır. Cep boyutundaki kalem test cihazı, NFC, kızılötesi, RFID, Bluetooth ve Wi-Fi dahil her türlü kablosuz sinyali yakalayabilir ve yeniden oynatabilir. Bu, mikroçipleri okumanın ve cihazlardan kabul edilen sinyalleri incelemenin mümkün olduğu anlamına gelir. Biraz daha hain bir şekilde, bina giriş kartlarını kolayca kopyalayabildiğini ve insanların kıyafetleri üzerinden kredi kartı bilgilerini okuyabildiğini gördük.
Fiyatı 170 dolar civarında olan Flipper Zero, son birkaç haftadır, özellikle onları hizmet reddi (DoS) döngülerine göndererek iPhone’ları bozma yeteneği nedeniyle ilgi görmeye başladı. Ars Technica’nın bu hafta bildirdiği gibi Flipper Zero, bazı özel donanım yazılımlarıyla iPhone’ların Apple TV veya AirPods gibi Bluetooth cihazları aracılığıyla bağlanmasını isteyen “sürekli bir mesaj akışı” gönderebiliyor. Yakındaki Flipper Zero tarafından gönderilen bildirim yağmuru, iPhone’u bunaltabilir ve onu neredeyse kullanılamaz hale getirebilir.
Güvenlik araştırmacısı Jeroen van der Ham, Ars’a Hollanda’da işe gidip gelirken karşılaştığı bir DoS saldırısını anlattı: “Telefonum birkaç dakikada bir bu açılır pencereleri alıyordu ve ardından telefonum yeniden başlatılıyordu.” Daha sonra saldırıyı laboratuvar ortamında tekrarladı; diğer güvenlik araştırmacıları da son haftalarda spam gönderme yeteneğini gösterdi. Van der Ham’in testlerinde saldırı yalnızca iOS 17 çalıştıran cihazlarda işe yaradı ve şu anda saldırıyı önlemenin tek yolu Bluetooth’u kapatmak.
2019’da Rusya’nın istihbarat servisiyle bağlantılı bilgisayar korsanları, yazılım şirketi SolarWinds’in ağına sızarak bir arka kapı yerleştirdi ve sonunda binlerce sisteme girmenin yolunu buldu. Bu hafta ABD Menkul Kıymetler ve Borsa Komisyonu, SolarWinds’in CISO’su Tim Brown’u ve şirketi dolandırıcılık ve “iç kontrol başarısızlıkları” ile suçladı. SEC, Brown ve şirketin SolarWinds’in siber güvenlik uygulamalarını abartırken “bilinen riskleri küçümsediğini veya açıklamadığını” iddia ediyor. SEC, SolarWinds’in şirketin güvenlik uygulamalarındaki “belirli eksiklikleri” bildiğini ve kendi iç değerlendirmelerine yansımayan kamuya açık iddialarda bulunduğunu iddia ediyor.
SEC’in Uygulama Bölümü direktörü Gurbir S. Grewal, “SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamı hakkında yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanya başlattılar” dedi. ifade. Buna yanıt olarak SolarWinds CEO’su Sudhakar Ramakrishna, bir blog yazısında iddiaların “yanlış yönlendirilmiş ve uygunsuz yaptırım eyleminin” parçası olduğunu söyledi.
Yıllardır araştırmacılar, milyonlarca insan fotoğrafı üzerinde eğitilen yüz tanıma sistemlerinin, kadınları ve farklı ırklardan insanları orantısız oranlarda yanlış tanımlayabildiğini gösterdi. Sistemler haksız tutuklamalara yol açtı. Politico’nun, New Orleans’ta polis tarafından yapılan bir yıllık yüz tanıma taleplerine odaklanan yeni bir araştırması, teknolojinin neredeyse yalnızca Siyah insanları tanımlamaya çalışmak için kullanıldığını ortaya çıkardı. Raporda ayrıca sistemin “çoğu zaman şüphelileri tespit edemediği” belirtiliyor. Yüz tanıma teknolojisinin kullanımına yönelik 15 talebin analizi, bunlardan yalnızca birinin beyaz bir şüpheliye yönelik olduğunu ve dokuz vakada teknolojinin bir eşleşme bulamadığını ortaya çıkardı. Altı maçın üçü de hatalıydı. “Veriler şunu hemen hemen kanıtladı: [anti-face-recognition] savunucuları çoğunlukla haklıydı” dedi bir belediye meclis üyesi.
Kimlik yönetimi şirketi Okta, sistemlerine yapılan bir saldırıyla ilgili daha fazla ayrıntıyı ilk kez 20 Ekim’de açıkladı. Şirket, müşteri destek sistemine erişen saldırganların 134 müşteriye ait dosyalara eriştiğini söyledi. (Bu durumlarda müşteriler Okta’nın hizmetlerine abone olan bireysel şirketlerdir). Şirket bir blog yazısında, “Bu dosyalardan bazıları, oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içeren HAR dosyalarıydı” dedi. Bu oturum tokenleri, beş ayrı şirketin Okta oturumlarını “ele geçirmek” için kullanıldı. 1Password, BeyondTrust ve Cloudflare daha önce şüpheli etkinlik tespit ettiklerini açıklamıştı ancak geri kalan iki şirketin kim olduğu belli değil.