content top

:: Diffie-Hellman(DH) Zaafiyeti

:: Diffie-Hellman(DH) Zaafiyeti

Diffie Helman (DH) anahtar değişimi sık kullanılan kriptoloji metodudur. DH; TLS üzerinden HTTPS, SSH, IPsec, SMTPS protokollerinde yaygın olarak kullanılmaktadır. DH’de yeni çıkan zaafiyet, Logjam olarak tanımlanmakta; Ortadaki adam saldırısı ile TLS bağlantısı üzerindeki şifreleme seviyesi 512 bit’e indirilebilmekte. Güncel olarak Logjam zayıflığın durumu; HTTPS — Top 1 Million Domains 8.4% HTTPS — Browser Trusted Sites 3.4%...

Read More

:: Lenovo Superfish Uygulaması…

:: Lenovo Superfish Uygulaması…

   Lenovo bilgisayarlar ile kurulu gelen Superfish ( VisualDiscovery) uygulaması https trafiğinizin dinlenmesine neden olabilir… Yazılım bilgisayarınıza bir kök sertfikası yüklenmekte ve https sitelerinde araya girebilmektedir…   ÖNLEM: 2010 yılından itibaren alınan tüm Lenovo bilgisayarlarda kurulu olarak gelen bu uygulamadan dolayı sisteminizi kontrol ederek yazılımı silmenizi öneririz… Yazılımın atif olup...

Read More

:: Sunucunuzu POODLE SSLv3 Zaafiyetine karşı nasıl korursunuz?

:: Sunucunuzu POODLE SSLv3 Zaafiyetine karşı nasıl korursunuz?

14 Ekim 2014 tarihinde duyurulan SSL v3 zaafiyeti POODLE (Padding Oracle On Downgraded Legacy Encryption) açıklığı ile SSL üzerinden gerçekleştirilen trafiğe Ortadaki adam saldırısı (man-in-the-middle attack) ile erişilebilir duruma getiriyor. CVE-2014-3566 açıklık ID’si ile yayınlanan POODLE’a karşı sunucu ve istemci tarafında güvenlik önlemleri alınması gerekiyor. İSTEMCİ TARAFI POODLE’ın işlemesi için sunucu ve...

Read More

:: SSL 3.0 Poodle Açıklığı

:: SSL 3.0 Poodle Açıklığı

Dünya genelinde yaygın olarak kullanılan SSL 3.0 (Secure Socket Layer) web sunucuları ile istemciler arasındaki trafiğin şifrelenmesi amacı ile kullanılmaktadır. Google Güvenlik ekibinin Salı günü (14/10/2014) yayınladığı açık ile SSL 3.0 üzerinden veri çalınabileceğini gösterdi. Açıktan SSL 3.0 kullanan tüm tarayıcılar etkilenmekte. Araştırmacıların POODLE (Padding Oracle On Downgraded Legacy Encryption) olarak isimlendirdiği açık,...

Read More

:: SSL/TLS Zayıflık Testi…

:: SSL/TLS Zayıflık Testi…

  SSL/TLS tarafında bu yıl çok kritik iki açıklık yayınlandı (heartbleed, CVE-2014-0224 ). Bu açıklıkların özünde programlama hataları göze çarpsa da asıl zayıflık konfigürasyon tarafında… Açıklıklarınızı taramak için kullanabileceğiniz en hızlı metotlardan birisi  Qualys SSL Test… Test, Sisteme ilgili SSL sunucusunun domain bilgisini girdiğinizde Authentication sekansındaki zayıflıkları tarayarak bir rapor olarak...

Read More

Linkedin hesapları 60 saniyede çalınabilir…

Linkedin hesapları 60 saniyede çalınabilir…

Linkedin’in 2012 yılında yaşadığı güvenlik sorunu nedeniyle kullanıcı bilgilerinin tamamı çalındı. $500.000 – $1.000.000 arasında mali zarara neden olan olay sonrası Linkedin yeni güvenlik önlemlerini devreye aldı (İki adımlı doğrulama,vb.). Ancak güvenlik kontrollerine yenilerinin eklenmesi gerekiyor gibi… İsrail tabanlı Zimperium Mobile Threat Defence firması HTTPS/SSL trafiği arasına girerek şifreli olamayan trafik ile...

Read More
content top