OpenSSL’de ortaya çıkan ‘Heartbleed Bug’, internet ortamının bugüne kadarki en büyük güvenlik açığı olabilir. Bu açık bireysel kullanıcıları etkileyecek olsa da şirketlerin kaybedecekleri çok şey var.
İnternet en bilinen web şifreleme protokollerinden OpenSSL‘de ortaya çıkan güvenlik açığı geçtiğimiz ay tüm dünyanın gündemine damga vurdu. “Heartbleed Bug” adlı bu güvenlik açığı bireysel kullanıcılardan tutun da sıklıkla ziyaret edilen internet sitelerine hatta şirketlere kadar internetin girdiği hemen hemen her yeri tehdit ediyor. Google Security ekibinden Neel Mehta ve Codenomicon şirketi tarafından keşfedilen Heartbleed Bug’ın ortadan kaldırılması için internet üzerinden faaliyetlerini yürüten büyük firmalar çalışmalara başladı. Yaklaşık olarak internetin %66′sını ilgilendirildiği düşünülen bu yeni güvenlik açığının tam olarak ne olduğunu çoğu kullanıcı bilmiyor. Bu makalemizde sizlere Heartbleed Bug’ın ne olduğu ve nasıl korutulacağıyla ilgili bilgiler aktaracağız.
Heartbleed Bug adı verilen yeni tehdit, internet üzerinde alınan ve gönderilen bilgilerin korunmasını sağlayan SSL şifreleme teknolojisini etkileyen bir problem. SSL şifrelemesi çoğunlukla online alışveriş yaparken veya bir siteye hassas bilgiler girerken uygulanıyor. Bu işlem sırasında bilgileri girdiğiniz ekranda ve internet tarayıcısının adres çubuğunda bir kilit sembolü beliriyor. Heartbleed güvenlik açığı bu kilit sembolünün bulunduğu ekrana girilen bilgilerin ve internet trafiğinin kötü amaçlı kişiler tarafından çözülmesini sağlıyor. Heartbleed güvenlik açığı OpenSSL şifreleme teknolojisinin korunmasız versiyonlarında ortaya çıkıyor.
Teknik Olarak Bir Yazılım Hatası
Hata, OpenSSL 1.0.1’deki SSL\TLS protokollerinin OpenSSL 1.0.1f versiyonu üzerinden uygulanması sırasında ortaya çıkıyor. Aslında bu durum teknik olarak bir yazılım hatası. Birçok organizasyon web sitelerinde OpenSSL ile işlem yapılıyor. 2012 Mart ayında yayınlanan bu OpenSSL versiyonunu kullanan bütün organizasyonların bu güvenlik açığından etkilenmiş olabilir. Aynı zamanda mobil platformlar üzerindeki veri alış verişini de etkileyen bu güvenlik açığı yeni yeni güvenlik yazılımları tarafından da fark edilmeye başladı. Heartbleed’in bir diğer özelliği ise güvenlik açığının kullanıcıların cihazları üzerinde gerçekleşmemesi. Bu güvenlik açığı kullanıcıların girdikleri site üzerinde gerçekleştiği için kullanıcıların doğrudan yapabileceği bir müdahale mümkün olmuyor. Güvenlik tedbirlerini almak site yöneticilerinin sorumluluğuna kalıyor. Buna rağmen kullanıcılar bazı küçük önlemlerle Heartbleed saldırılarına doğrudan hedef olmaktan sakınabilirler.
Ne Kadar tehlikeli?
Heartbleed Bug ne taraftan bakarsanız bakın kritik öneme sahip bir açık. Zira bu açık ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanın önü açılıyor. Kötü niyetli kişiler gruplar milyarca kişinin şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyor. Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahibi insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.
Etkilenen Siteler Oldu mu?
Heartbleed Bug’ın Apache ve Nginx gibi popüler web sunucularında yer alması bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli listesine ekliyor. Geçtiğimiz ay içerisinde ajanslara düşen haberlere göre FBI, Tumblr ve Flickr gibi sitelerin hatta Yahoo servislerinin güvenlik açığından etkilendiği söyleniyor.
OpenSSL’in güvenli sürümü, bu yeni tehlikeli açığın duyurulmasının hemen ardından kullanıcılara sunulmuş olsa da hala güncelleme yapmamış kişiler ve kurumlar mevcut. Buna paralel olarak Heartbleed Bug’dan etkilenme olasılığı bulunan siteler konusunda da Github üzerinden bir liste yayınlandı. Güncellenmeye devam eden listede Alexa’daki ilk 10 bin siteden yaklaşık 1300′ünün risk altında olduğu ifade ediliyor.
Google yaptığı açıklamada hizmetlerinde güvenlik açığını gidermek için güncellemeler yaptığını açıklarken, Facebook ise hâlihazırda bu konu üzerinde çalışma yaptığını kullanıcılarına duyurdu. Son olarak Microsoft ise OpenSSL kütüphanelerini takip ettiklerini ancak kullanıcıların şirketin servislerinde olası bir sorunu bildirmelerini istediklerini açıkladı.
Bu amaçla Github üzerinde sitelerin zayıflık durumlarını gösteren bir liste yayımladı. Ancak bu zayıflıklar kısa sürede düzeltilebiliyor bu nedenle güncellemeleri takip etmekte fayda var.
Korunmak İçin Ne Yapmalı?
Bu yeni güvenlik açığından kurtulmak için yapılması gereken öncelikli iş eğer OpenSSL’in 1.0.1 – 1.0.1f arası sürümleri kullanılıyorsa bir an önce yeni OpenSSL 1.0.1g sürümüne geçmek olmalı. Bu işlemi yapmak mümkün değilse bir diğer geçerli yol olan mevcut OpenSSL’in “-DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derlenerek heartbeat özelliğini devre dışı bırakmak da işinizi görebilir. Bireysel kullanıcıların ise risk altında bulunan servisleri kontrol ederek üyeliklerini güncellemeleri gerekiyor. Günlük ziyaret edilen siteler ya da hizmet ve servislerin önce kontrol edilip sonra şifre ve kullanıcı adı değiştirme işlemleri gerçekleştirilebilir. Bunun yanı sıra güvenlik yazılımlarını sürekli güncel tutmayı unutmamalısınız. Özellikle internet security yazılımlarının veri trafiğini denetleme ayarlarını iyi kontrol etmenizde fayda var. Sizden habersiz veri gönderimlerini engellemeyi unutmayın.