Güvenlik üzerine.. 4 4

[ResetButton 1.005]

Önemli güvenlik sorunmlarını burda paylaşalım. 

 

ilk haber.

Hola vpn eklentisini kullanlar risk altında. 

Hola kullanıcıların bant genişliğini satıyormuş. Veriler şifrelenmediğinde yapılan yasa dışı işlemlerden sorumlu tutulma riskinde bahsediliyor. 

 

Ultra-popular Hola VPN extension sold your bandwidth for use in a botnet attack

 

http://www.pcworld.com/article/2928340/ultra-popular-hola-vpn-extension-sold-your-bandwidth-for-use-in-a-botnet-attack.html

[MaverocK 103]

Bu tür ücretsiz vpn ürünlerine güvenmek zaten baştan hata. Beleş içki veriyorlar diye barın önünde atı bağlamadan bırakıyorsun. Kim kime ücretsiz birşey veriyormuş bu dünyada.

[ResetButton 1.005]

Öyle. Ama çoğumuzda Zenmate kullanıyordur. Pratik çünkü. VPN 'i açınca bütün bağlantı yönlendiriliyor, oysa bunlar sadece browser 'ı yönlendiriyor. Zenmate ile ilgili bir sorun çıkmadı henüz. Bir de premium ürünleri var, onu satarak para kazanıyorlar . 

 

Bir güvenlik uyarısı da , Android tarafından geldi geçen hafta. Satılan android telefonların çoğundan bilgilerin geri alınabildiği, özellikle uygulamaların login bilgilerinin alınabildiği yazıldı. Factory Reset yapmak işe yaramıyormuş. 

 

O zaman,eski android telefonu başkasına verirken , ne yapmak lazım? 

[ResetButton 1.005]

Lastpass hacklenmiş. Şifrenizi değiştirin diyorlar.

 

http://lifehacker.com/lastpass-hacked-time-to-change-your-master-password-1711463571?utm_campaign=socialflow_lifehacker_twitter&utm_source=lifehacker_twitter&utm_medium=socialflow

 

Google 'un yeni Smart lock servisi , lastpass 'a alternatifmiş.Kullanan var mı?

[SkyWarrior 794]

Password database kullanmak bana hala tehlikeli geliyor. Fiziksel olarak içine girilemeyecek silikon tabanlı sistem yok bu dünyada.

[OnLyTNT 381]

Password database kullanmak bana hala tehlikeli geliyor. Fiziksel olarak içine girilemeyecek silikon tabanlı sistem yok bu dünyada.

+1 hiç güvenmiyorum bu sistemlere. Kurda kuzu emanet etmekten farksız.

[ResetButton 1.005]

öyle ama lastpass olmasa interneti kullanamam. O kadar password u ne akılda tutabilirim , ne de bir yere kaydetsem, copy/paste ile uğraşılır. 

 

Security Now ! podcast te tartışıldı konu. Ciddi bir risk yok dediler. Sadece master password u değiştirmek yeterli. O da teorik bir risk.

[ResetButton 1.005]

Flash daki son güvenlik açığı nedeniyle Firefox ,flashi blackliste almış.  Disable edin tavsiye veriyorlar ama flash olmadan da sitelerin çoğu düzgün çalışmıyor.

[ResetButton 1.005]

An droid 'deki yeni açık cihazınızda var mı, şu uygulama ile tesbit edilebiliyor.

 

https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

[ResetButton 1.005]

Bu usb bellek görünümlü aleti hedef bilgisayara takıyorsunuz ve bilgisayar diğer tarafa gidiyor. Ne olduğunu bilmediğiniz Usb bellekleri takmamak lazım yani bilgisayara.

https://grahamcluley.com/2015/10/usb-killer/

[ResetButton 1.005]

password manager kullanmak istiyorsanız, ki istemeniz mantıklı olur. Populer olan Lastpass yerine şuna da bir bakabilirsiniz. Arkasında Intel  var. Biometrik yöntemlere destek veriyor. 

 

https://www.truekey.com/

[analog 35]

password manager olarak keepass kullanıyorum. db'yi cloud'da tutuyorum. bütün passwordlerim random generated ve birbirinden farklı. linux için de client'ı var. herhangi bir makinede create ettiğim yeni hesabı save eder etmez cloud'daki db'nin güncellenmesi ve farklı lokasyonlardan sorunsuzca ulaşabilmek büyük kolaylık. cloud'a filan güvenebilene tavsiyemdir. bence sıradan kullanıcı için yeterince güvenli. yani azmeden cloud hesabınızı ve oradan da db'yi ele geçirip encrpyiton'ı kırar tabii ama kim uğraşacak benim passwordlerim için. zaten bankacılık da artık gsm'e two-way bağlı olduğundan kafam rahat. bütün passwordler farklı olunca en azından bir yer hacklendiğinde sadece onu değiştiriyorum. bir de keepass'ın otomatik login olayı mükemmel işliyor. military veya espionage grade security arayan kullanmasın tabii 

[AranelSurion 110]

TrueKey, 15 paroladan fazlasına aylık para istiyor. Çok incelemedim ama bana cloud-tabanlı gibi geldi, lokal olarak tutmak isteyenler sevmeyecektir.

[ResetButton 1.005]

@@AranelSurion cloud tabanlı. Alternatifleri hep cloud zaten . Lastpass da öyle. Onda başka kısıtlama var. premium üyelik almazsanız, mobil cihazlarda çalışmıyor.

[AranelSurion 110]

Keepass lokal çalışıyor, kendiniz clouda yüklemez/ilgili pluginleri aktifleştirmezseniz database'i istediğiniz yere (mesela kriptolu bir partisyona) atıp, şifreyle açıyorsunuz. Mobilde nasıl bir desteği oluyordur onu bilmiyorum tabii.

[ResetButton 1.005]

@@AranelSurion Keepass ben de kullanıyorum, cloud da tutmak istemediğim veriler için . Bu durumda tabii senkronizsyon olmuyor. Telefona aktaracaksanız , kendin aktarıyorsun.  OneDrive , dropbox gibi servislerde tutulablir , o zaman aynı hesaba geliyor.  Otomatik login 'in düzgün çalıştığını bilmiyordum.

 

Android ve ios için uygulaması var. Hatta android uygulamsının biri parmakizi okuyucu destekliyor. 

 

Parmakizi okuyucu desteklemek konusunda isteksiz firmalar. Güvenilirliği yeterli bulunmuyor herhalde. Veya farklı markaların güvenilirliği aynı değil. 

Bankacılık uygulamaları da desteklemeyecekmiş. Türkiye'de yasal mevzuat izin vermiyormuş. 

[RFID 666]

Ben lastpass devam.

[ZvAnA 1.157]

valla ben 7 senedir falan norton 360 kullanıyorum. Lastpass falan daha bilinmiyorken antivirüs paketinin içindeki ek özellik olarak Norton identify safe de aynı şeyi yapıyordu zaten. Şu ana kadar da bir sıkıntısı olmadı.

[analog 35]

Keepass lokal çalışıyor, kendiniz clouda yüklemez/ilgili pluginleri aktifleştirmezseniz database'i istediğiniz yere (mesela kriptolu bir partisyona) atıp, şifreyle açıyorsunuz. Mobilde nasıl bir desteği oluyordur onu bilmiyorum tabii.

ikeepass var, official değil ama. cloud entegreasyonu yok bu arada, gene lokalde .kdbx dosyalarını açıyor sadece. her yerden sync isterseniz gene cloud'a atmanız gerekiyor. ben dropbox'ta tutuyorum. yalnız sadece trafik olarak değil storage olarak da encrypted bir servis bulmak niyetim var. üşeniyorum kaç zamandır. 

 

Otomatik login 'in düzgün çalıştığını bilmiyordum.

 

 otomatik login için ilgili entry'nin üzerine gelip ctrl-v yapmak gerekiyor. login formunu içeren sayfa arkada son fokuslu sayfa olacak. 

[ResetButton 1.005]

Ciddi olay bu. Linux Mint 'in ftp deki iso dosyası başka yere yönlendirilmiş.

http://www.neowin.net/news/linux-mint-website-hacked-malicious-iso-offered-on-saturday

 

Torrent ten indirmek en güvelinir herhalde bu durumda.Ya da en azından indirdikten sonra hash code u kontrol etmek gerek.

[analog 35]

linux'a repo eklerken kıllanıyorum ben de genelde. kontrolü kaybettiğimi hissedeceğim kadar derine iniyor o arada olaylar. 

[ResetButton 1.005]

Mantıklı bir öneri. 

Bazı bankalar, cep telefonu uygulaması ile girişe izin veriyor . O da  alternatif.

 

http://www.tknlj.com/kart-kopyalanmasini-engellemenin-en-kesin-yolu/

[RFID 666]

Mantıklı bir öneri. 

Bazı bankalar, cep telefonu uygulaması ile girişe izin veriyor . O da  alternatif.

 

http://www.tknlj.com/kart-kopyalanmasini-engellemenin-en-kesin-yolu/

Ben bu yöntemi kullanmaktayım çok da memnunum.

[pentaman 803]

Son dönemlerde finansbank atmlerinin hepsinde kart girişinde bir eklenti konulmuş durumda, başta kart kopyalama eklentisine benzettiğim bu plastik gördüğüm tüm finans atmlerinde olduğu için pek takmıyorum artık. Yalnız mevduat hesabı bulunan bankadan aynı anda vadesiz hesaba bağlı kartla işlem yapmak can sıkıcı bir durum. Birkaç gündür benim de aklımı kurcalıyordu bu durum, mobil imza bütün bankalarda var mı ?

[ResetButton 1.005]

Garanti'de anlık şifre üreten uygulama ile giriş yapılabiliyor  . İşbankasında parmakizi var . Onda da herhalde telefonla oluyor . 

 

Finansbank 'ı ben de kontrol edeceğim . Kart kullanan durumlar her zaman riskli aslında, alışverişte bile. Cihaz karşı tarafta olduğundan manipüle edilme şansı var. ApplePay gibi sistemler daha güvenli.