Önceki yazımda son dönemde ortaya çıkan ciddi güvenlik açığı “Heartbleed Bug”dan bahsetmiştim. Zafiyet için son kullanıcı tarafında yazılımlarınızı güncellemek ve şifrelerinizi değiştirmek dışında yapılabilecek bir şey yok.
Şifrelerinizi değiştirin denildiğinde ise birçok kullanıcı maalesef ki umursamazlık yapabiliyor. Fakat işin ne kadar ciddi olduğunu kavramamız gerekli!
BBC televizyonu geçenlerde teknoloji firmalarına “Şifrelerinizi Acilen Değiştirin” şeklinde bir yazı yazdı. Daily Mirror gibi birçok haber sitesinde de benzer haberleri görmeye başladık. Durumun ne kadar ciddi olduğunu rahatlıkla görebilirsiniz.
Heartbleed güvenlik açığı sayesinde (bazı haber siteleri virüs diyor. Bu bir virüs değil! Teknik bir hata) Google, Yahoo, Amazon, Facebook gibi platformların hatta e-ticaret sitelerinin özel bilgileri hack saldırılarına karşı korunmasız bir halde olduğu ortaya çıktı! Neyse ki Gmail, Facebook, Amazon gibi sistemler hemen gerekli önlemleri aldılar.
Ancak bu açıklık sayesinde;
Sizi dinleyebilirler, şifrelerinizi görebilirler, özel mesajlarınızı okuyabilirler…
Kısacası OpenSSL kullanan sistemler bu saldırılara karşı savunmasız bir haldeydi! İşletim sistemlerinden tutun da VPN yazılımlarına kadar birçok noktada Open SSL kullanıldığını düşünürsek (yaklaşık olarak dünyadaki sunucuların %70’i) ne kadar büyük bir sorun oluşturduğunu görebiliriz.
İşin daha da vahim tarafı bu açıklık tam 2 yıldır var!
Peki ya saldırganlar? Bu saldırıyı daha önceden tespit eden saldırganlar varsa, (-ki muhtemelen vardır) saldırdıkları sistemlerde hiçbir iz bırakmadılar! Çünkü zafiyet SSL dediğimiz güvenli iletişim protokolü üzerinde olan bir zafiyet! Birçok sistemde SSL için güvenli iletişim protokolü olduğu için bir güvenlik denetimi de olmadığını söyleyebiliriz.
Open SSL üzerinde oluşan bir zafiyet olduğu için sistemlerde herhangi bir iz bırakılmadan kullanıcıların şifreleri rahatlıkla çalınabiliyor. Yani kredi kartı bilgilerinizden tutun da e-posta kayıtlarınıza ve özel mesajlarınıza kadar her şey okunabiliyordu! Sistemde salgırganlar herhangi bir iz de bırakmadıkları için bugüne kadar fark edilmemesi normal görülebilir .
Google’dan tutun da Yahoo”ya kadar birçok büyük dev bu konuda büyük şirketleri ve yüksek güvenlik kullanan kurumları uyardı!
“Bu şekilde hacklenebilir hatta dinlenebilirsiniz!”
Sistemlerde herhangi bir iz bırakılmadığı için kaç kişinin, ne kadar bilginin çalındığı hakkında bir veri ortaya koyulamıyor.
“Hacı merak etme biz dinlenmeye alıştık” Demeyin! Sistemlerinizi, yazılımlarınızı, varsa serverlarınızı güncellemeyi unutmayın! Ayrıca şifrelerinizi de kesinlikle değiştirin!
“İki yıldır hiç mi güvenlik uzmanları bunu fark etmedi?”
“İki yıl boyunca arkadaş neredeydiniz? Open SSL’i hiç mi kontrol etmediniz?”
Hani sonra insanın aklına kötü kötü paranoyak sorular ve komplo teorileri geliyor…