En Ciddi Açık; Heartbleed

heartbleedİnternet dünyası, son günlerde şimdiye kadar çıkan en büyük güvenlik açığıyla karşılaşmış durumda.  Uzmanlar, OpenSSL’de ortaya çıkan “Heartbleed” güvenlik açığının çok ciddi sonuçlar doğurabileceğini söylüyorlar.

Heartbleed  ismi verilen bu yeni güvenlik tehdidi hızla bütün sistemlerde kapatılmaya çalışılıyor. İnternet üzerinde iletişim kurarken kullandığımız VPN yazılımlarından tutun da e-postalarımıza kadar hemen hemen her noktada Heartbleed açığını görebiliyoruz.

Bu güvenlik riski, OpenSSL adını verdiğimiz (Secure Socket Layer) protokolündeki teknik bir hatadan kaynaklanıyor. SSL, Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi kullanmış olduğumuz tarayıcılar ile ulaşmak istediğimiz web siteleri arasındaki bağlantıyı şifreleyerek koruma altına alan bir sistem.

Bu sayede kullanıcıların parolaları, kredi kartı bilgileri, kişisel verileri, e-postaları gibi bilgiler SSL ile şifrelenerek karşı tarafa iletiliyor veya karşı taraftan alınıyor.

Ör: Bir bankanın İnternet Şubesine veya Twitter gibi İnternet sayfalarına girdiğinizde adres tarayıcısına “yeşil bir bar” eklenmesi

OpenSSL ise tüm dünyada kullanıcıların kendi sertifikalarını üretme olanağı sağlayan açık kaynak bir organizasyondur. Bu organizasyon gönüllü İnternet kullanıcıları tarafından (Dmoz’da olduğu gibi) yönetilmektedir.

Araştırmalara göre dünya üzerindeki sunucuların %70’i OpenSSL kullanıyor! Bu da riskin ne kadar büyük olduğunu ortaya koymaktadır!

E-postalarınızdan tutun da, chat yazılımlarınıza hatta VPN uygulamalarına kadar birçok noktada Open SSL kullanılıyor. Sonuç olarak herkes büyük bir risk altındaydı!

Teknik olarak bir yazılım hatası

Trend Micro uzmanlarının belirttiğine göre hata, OpenSSL 1.0.1’deki SSLTLS protokollerinin OpenSSL 1.0.1f versiyonu üzerinden uygulanması sırasında ortaya çıkıyor. Trend Micro uzmanları bunun teknik olarak bir yazılım hatası olduğunu vurguluyorlar.

Heartbleed’in bir diğer özelliği ise güvenlik açığının kullanıcıların cihazları üzerinde gerçekleşmemesi. Yani aslında tarayıcınızda, akıllı telefonunuzda ya da bilgisayarınızda olan bir güvenlik zafiyeti değil!

Güvenlik tedbirlerini almak, site yöneticilerinin yani Wunderlist, Microsoft, Yahoo, Twitter, Facebook gibi platformların sorumluluğuna kalıyor.

Az da olsa kullanıcı tarafında bu açıklığa karşı kendinizi koruyabilirsiniz.

  • Trend Micro İnternet Security gibi bir yazılım kullanın ve tüm güncellemelerini alın
  • Banka hesapları, kredi kartı gibi hareketleri inceleyip şüpheli durum var mı? Kontrol edin!
  • Tüm platformlarda kullandığınız şifreleri değiştirin!
  • Mümkünse SMS doğrulaması olan sistemleri kullanın

Centos, Red hat ve türevi işletim sistemine sahip bir Server kullanıyorsanız, sisteminizdeki OpenSSL güncellemesini yapmanızı tavsiye ederim. Bunun için konsolda aşağıdaki komutu kullanabilirsiniz.

# yum upgrade openssl

Sistemler ve yazılımlar; açıklık piyasaya duyurulduktan sonra kapatılmaya başlandı. Yalnız dikkatimi çeken bir diğer hususta geçen gün İnternet’te yer alan bir haber… Meğer NSA 2 yıldır bu açığı biliyormuş… Açıklığın ülkemizdeki Youtube ve Twitter’ın kapatıldığı şu son dönemlerde herkesin VPN kullanmaya başladığı anda ortaya çıkması da enteresan… İnsan şimdi oturup komplo teorileri kurmaya başlıyor değil mi?

Zafiyet içeren OpenSSL ile gelen işletim sistemleri aşağıdaki gibidir…

  • Debian Wheezy, OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mayıs 2012) ve 5.4 (OpenSSL 1.0.1c 10 Mayıs 2012)
  • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Şubat 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Sonra akıllara şu soru geliyor? “Bu saldırıya maruz kaldığımı anlayabilir miyim?” işin diğer bir korkutucu boyutu da bu sorunun cevabında saklı! 

Maalesef ki, bu saldırı sonrasında iletişim SSL ile şifrelendiği için sistem loglarında herhangi bir bilgi ya da iz kalmıyor. Doğal olarak böyle bir saldırıya maruz kalıp kalmadığımızı bilemiyoruz!

Server tarafında kullanılan koruma donanımlarının bu tarz saldırıları algılayıp, yakalayabilme ihtimalleri var. Güvenlik uzmanları da bu konuda sistemleri korumaya ve özel güvenlik tedbirleri almaya başladılar.

Peki asıl soru?  

OpenSSL dünya genelinde yaygın kullanıma sahip bir sistem! 14 Mart 2012 yılından itibaren bugüne kadar çıkan tüm Open SSL sürümlerinde bu açıklık mevcut!

14 Mart’tan bugüne kadar hiç mi kimse bu açığı fark etmedi? İnsanın aklına kötü kötü komplo teorileri geliyor!

Saldırıya maruz kalmış sistemler için; http://filippo.io/Heartbleed

Saldırı hakkında daha fazla bilgi almak için; http://heartbleed.com

Geriye tek bir çözüm kalıyor! Sistemlerinizi ve yazılımlarınızı güncelleyin, şifrelerinizi değiştirin!

“En Ciddi Açık; Heartbleed” üzerine 2 yorum

  1. Şifre güncellemeye kalksam tekrar ssl bağlantısı üzerinden değiştiricem değil mi? Değiştirirken yeni şifre güvenliğimi nasıl sağlayacağım?

    Yanıtla
  2. Şimdiye kadar hangi bilgilerimiz nerelerde bu çok şüphe uyandırıcı. 100-150 tane hesap var bunların hepsinin şifresini değiştirmek nasıl olacak :/

    Yanıtla

Yorum yapın