Sıfırıncıgün zayıflıkları daha önce bilinmeyen, henüz bir yama üretilmemiş siber güvenlik zafiyetleri için kullanılan bir terim. Geçtiğimiz birkaç hafta bu kapsamda yine hareketli geçti.

Daha önce birkaç yazıda bahsettiğimiz ajan yazılım üreticisi NSO ile ilişkilendirilen bir zayıflık ile “tıklama dahi gerektirmeden” iPhone telefonların ele geçirilebildiği ortaya çıktı. Aslında bir resmi açtığınızı düşünüyorsunuz ama bu zayıflık nedeniyle resme gömülü zararlı kod sisteminize arka kapı açıyor. Citizen Lab tarafından keşfedilen bu zararlı yazılımın örneğinin de Suudi bir aktivistin telefonunda bulunduğunu söylemeden geçmeyelim. Bu açığın yalnızca iOS değil, MacOS bilgisayar ve WatchOS saatlerini de etkilediğini belirtelim.

Buna ek olarak Windows işletim sistemlerinde yalnızca bir ofis dosyasının açılması ile bilgisayara erişim sağlayan bir zayıflık da Microsoft tarafından yakın zamanda yamandı. Bu açık, devlet aktörü kaynaklı iOS açığından farklı şekilde hacker dünyasında yaygın şekilde erişilebiliyor. Dolayısıyla bu konulardan biraz anlayan birisi kolayca bu açığı kullanan zararlı yazılıma erişebilir, bunu kendi kullanımı için düzenleyip birilerini hedefleyen saldırılar düzenleyebilir.

Bunlara ek olarak oldukça yaygın kullanılan Chrome uygulaması da iki farklı açığı güncelleme ile kapattığını belirten bir duyuru yaptı.

Bir diğer güvenlik problemi ise Türkiye’de de kullanılan Fortinet markalı ürünlerin VPN kullanıcı isimlerinin bu ürünlerdeki bir sıfırıncı gün zayıflığı ile sızdığının, verilerin paylaşılması ile anlaşılması idi. Yeraltı sitelerinde paylaşılan veriye göre, sızan VPN uzak bağlantı kullanıcı ismi şifrelerinin yaklaşık %6’sı Türkiye’den muhtemelen kurumsal kullanıcılara ait.

Gördüğünüz gibi sıfırıncı gün saldırıları cihaz ne olursa olsun büyük sıkıntılar yaratabiliyor. Bu anlamda siber güvenliğiniz için dikkat edilebilecek bazı adımlar şunlar olabilir.

  • Lisanslı işletim sistemi kullanın ki güncellemeleri zamanında alabilin.
  • Otomatik güncellemeleri açın. Sadece işletim sisteminiz (Windows, Linux, Android, iOS vb) için değil bunlarda yüklü olan uygulamalar için de otomatik güncellemeleri açın, örneğin Office.
  • İnternet güvenliği özelliklerine sahip bir antivirüs yazılımını hem bilgisayar hem telefonunuz için kullanın.
  • Harici ortama yedek alın.
  • Artık güncelleme gelmeyen eski telefonlarınızı 2020-2021 çıkışlılar ile değiştirin, 2 yıl güncelleme imkânınız olsun.

 

Haydi, bugünü tüm cihazlarınızı güncellemek için bir gün olarak ayırın!