Hearthbleed Bug Nedir? Hearthbleed Hakkında Bilmemiz Gerekenler

Hearthbleed Bug Nedir? Hearthbleed Hakkında Bilmemiz Gerekenler

Hearthbleed Bug Nedir?

Bunu açıklamadan önce “SSL nedir?” bunu kısaca anlatmak istiyorum. SSL (Secure Socket Layer), network üzerinde bilgi transferi esnasında gizlilik ve güvenliğin sağlanması amacı ile geliştirilmiş güvenlik protokolüdür. Anahtar kilit mantığı ile sadece doğru adreste şifresi çözülebilir. Yani her bi anahtar sadece kendisine uyan kilidi açar mantığıdır. Bu şekilde her iki tarafta da doğrulama yapılarak bilginin gizliliği korunmuş olur. Google, Facebook, alışveriş siteleri gibi online servislerde SSL şifreleme kullanılmaktadır. Özet olarak SSL hakkında kısaca bilgi sahibi olduktan sonra gelelim asıl konumuza.

Heartbleed, şifreleme protokollerinden OpenSSL’de meydana gelen güvenlik açığına verilen isimdir. Google Secure ekibinden Neel MEHTA ve Codenomicon şirketi Heartbleed Bug’ın ortadan kaldırılması için büyük online servis sağlayıcıları ile birlikte çalışmaktadır. Bu güvenlik açığı internetin %65’inden fazlasını ilgilendirmektedir ve bu oran gerçekten çok yüksek bir seviyedir. Çünkü Apache ve Nginx’İn çok büyük çoğunluğu açık kaynak olduğu için OpenSSL’i kullanmaktadır.

OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lik bölümler halinde sızdırabiliyor.

Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı/parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve gizli anahtarlar gibi birçok özel verinin açığa çıkması mümkün.

Kimler Risk Altında

10 Nisan 2014 tarihli Daily Mirror Gazetesi’nin ilk sayfa haberine göre; OpenSLL’de oluşan Heartbleed hatasının Google, Yahoo, Amazon, Facebook ve bunlar gibi online devlerinin sitelerinde özel bilgileri hack saldırısına açık hale geldiğini duyurdu

Sitem Risk Altında Mı?

Bunu öğrenmek içi http://filippo.io/Heartbleed/ adresinden kontrollerinizi yapabilirsiniz.

Ne Yapabiliriz?

Site sahiplerinin ilk olarak yapması gereken şey OpenSLL’in 1.0.1 – 1.0.1f sürümü kullanılıyorsa, OpenSSL 1.0.1g sürümüne yükseltmeleri gerekmektedir. Eğer bu yol mümkün değilse “-DOPENSSL-NO-HEARTBEATS” parametresi yardımı ile yeniden düzenlenerek heartbeat özelliğini devredışı bırakmak gerekmektedir.

Paylaş