Heartbleed

Heartbleed Bug Nedir?

• İnternet en bilinen web şifreleme protokollerinden OpenSSL‘de ortaya çıkan güvenlik açığı son iki gündür teknoloji dünyasının gündeminde. “Heartbleed Bug” adlı bu güvenlik açığı e-posta servislerinden şirketlere, bireysel kullanıcılardan sıklıkla ziyaret edilen internet sitelerine kadar internetin büyük bir kısmını tehdit ediyor.

• Google Security ekibinden Neel Mehta ve Codenomicon şirketi tarafından keşfedilen Heartbleed Bug’ın ortadan kaldırılması için büyük online servis sağlayıcıları harekete geçti.

SSL ve OpenSSL nedir?

Bu önemli güvenlik açığını açıklarken öncelikle üzerinde bulunduğu SSL (Secure Socket Layer) protokolünden bahsetmek gerekiyor. 1994 yılında Netscape tarafından geliştirilen SSL Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi web tarayıcılarıyla sunucular arasındaki güvenliği sağlamayı amaçlıyor. Web tarayıcılarının genellikle adres çubuğunda bir kilit sembolüyle gösterdikleri bu protokol kullanıcı adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesine imkan tanıyor.

OpenSSL

• OpenSSL ise kullanıcılara kendi sertifikalarını oluşturabilme fırsatı veren açık kaynak bir organizasyon. Oluşumun resmi internet sitesinden elde edebileceğiniz birkaç küçük program ile kendiniz sertifika sunucusu kurabiliyor ve işletebiliyorsunuz.

• OpenSSL’in önemi de bu noktada devreye giriyor. Netcraft 2014 verilerine göre dünya üzerindeki web sunucuları arasında %66 gibi büyük bir paya sahip Apache ve Nginx’in hemen hepsinin OpenSSL motoru barındırması durumun vahametini açıkça ortaya koyuyor.

Heartbleed Bug nedir?

• OpenSSL 1.0.1 den 1.0.1f sürümüne kadar olan tüm ′versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lik bölümler halinde sızdırabiliyor.

• Öyle ki Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve secret key’ler gibi birçok özel verinin ifşası mümkün olabiliyor.

Heartbleed Bug nedir?• İki server birbiri ile iletişime geçip şifrelenmiş el sıkışma meydana

getirecekleri zaman (encrypted handshake), kalp atışı (heartbeat) denen bir olay yaparlar. Bu HeartBleed de adını bu HeartBeat olayından almaktadır.

• HeartBeat birbirleri ile haberleşen iki bilgisayarın birbirlerinin varlığını kontrol etmeye yarar. Yani bir tarafın bağlantısı koptuğunda diğer taraf bunu hemen anlar ve bilgi göndermeyi keser.

• Örneğin siz, bankanız ile online işlem yaparken sizin cihazınızdan bankaya bir kalp atışı gider ve bankanın bilgisayarı buna cevap verir. Böylece bir şey ters gittiğinde kalp atışı senkronizasyonu bozulur ve gerekli önlem alınır. Bu basit işlem her gün milyonlarca kez yapılmaktadır ve arızalı OpenSSL bir çuval inciri berbat etmektedir

Heartbleed BAGA*Uzak bir yerdeki arkada$inizla birbirinizin hayatta oldugunuzu teyid etmek icin surekli birbirinize kilitli kimsenin acamadigi paketler yolluyorsunuz ve paketin icindeki esya veya paranin geri geli$ine gore hayatta olup olmadiginiza karar veriyorsunuz, paketin kilidini acinca icinde ne oldugunu belirten bir yaziniz var.

ornegin, bu kutuda 1 kuru$ var diyorsunuz ve icine 1 kuru$ koyuyorsunuz, arkada$iniz aynisini yollamak durumunda ya$adigini ispatlamak icin.

heartbleed durumunda kilitli kutunun icine icine 1 kuru$ koyup kutunun icindeki nota bu kutuda 65536 kuru$ var yazip yolluyor ve arkada$iniz mal mi degil mi diye bakiyorsunuz. arkada$iniz (mal olan), icindeki 1 kuru$a bakip, notu gordukten sonra cebinden 65535 i kutunun icine ekleyip, icinde 65536 kuru$ var notu ile size yolluyor. **

*bilal’e anlatır gibi anlatmak**eksisozluk.com/show.asp?id=41931524

Ne kadar tehlikeli?

• Heartbleed Bug birçok açıdan kritik öneme sahip. Zira bu açık ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanın önü açılıyor. Kötü niyetli hacker gruplar milyarca kişinin şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyor.

• Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahini insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.

Hangi siteler tehlike altında?

• Heartbleed Bug’ın Apache ve Nginx gibi popüler web sunucularında yer alması bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli listesine ekliyor. Nitekim son iki günde gelen haberler FBI, Tumblr ve Flickr gibi Yahoo servisleri, Eventbrite ve LastPass gibi web sitelerinin güvenlik açığından etkilendiğini gösteriyor.

Hangi siteler tehlike altında?

Google yaptığı açıklamada hizmetlerinde güvenlik açığını gidermek için güncellemeler yaptığını açıklarken, Facebook ise halihazırda bu konu üzerinde çalışma yaptığını kullanıcılarına duyurdu. Son olarak Microsoft ise OpenSSL kütüphanelerini takip ettiklerini ancak kullanıcıların şirketin servislerinde olası bir sorunu bildirmelerini istediklerini açıkladı.

Ne yapmalısınız?

• Site sahipleri için güvenlik açığından kurtulmak için yapılması gereken öncelikli eylem, eğer OpenSSL’in 1.0.1 – 1.0.1f arası sürümlerini kullanılıyorsa bir an önce yeni OpenSSL 1.0.1g sürümüne terfi etmek olmalı. Bu işlemi yapmak mümkün değilse bir diğer geçerli yol olan mevcut OpenSSL’in “-DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derlenerek heartbeat özelliğini devre dışı bırakmak olabilir.

• Bireysel kullanıcıların ise risk altında bulunan servisleri kontrol ederek üyeliklerini güncellemesi gerekiyor.

Etkilendi

mi?

Yama

yayınlan

dı mı?

Şifre Değişimi Gerekiyor mu?

Facebook Unclear Yes YesYes

Instagram Yes Yes YesYes

LinkedIn No No No

Pinterest Yes Yes YesYes

Tumblr Yes Yes YesYes

Twitter No Yes Unclear

Apple No No No

Amazon No No No

Google Yes Yes YesYes*

Microsof

tNo No No

Yahoo Yes Yes YesYes

AOL No No No

Gmail Yes Yes YesYes*

Hotmail

/

Outlook

No No No

Yahoo

MailYes Yes YesYes

Amazon No No No

Amazon

WSYes Yes YesYes

eBay No No No

Etsy Yes* Yes YesYes

GoDadd

yYes Yes YesYes

Etkilendi

mi?

Yama

yayınlan

dı mı?

Şifre Değişimi Gerekiyor mu?

Flickr Yes Yes YesYes

Hulu No No No

Minecraf

tYes Yes YesYes

Pandora No No No

Netflix Yes Yes YesYes

SoundClo

udYes Yes YesYes

YouTube Yes Yes YesYes*

Box Yes Yes YesYes

Dropbox Yes Yes YesYes

Evernot

eNo No No

GitHub Yes Yes YesYes

IFTTT Yes Yes YesYes

OKCupid Yes Yes YesYes

Wikipedi

a Yes Yes YesYes

Wordpre

ssYes Yes YesYes

Wunderli

stYes Yes YesYes

1Passwo

rdNo No No

Dashlan

eYes Yes No

LastPas

sYes Yes No

Bağlantılar

• Sitelerin zayıflık durumları : • https://gist.github.com/dberkholz/10169691

• Heartbleed açığı olan siteleri kontrol– https://filippo.io/Heartbleed/

• Heartbleed riski olan sitelerin açıklamaları– http://mashable.com/2014/04/09/heartbleed-

bug-websites-affected/

Referanslar• http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/• http://antik.eksisozluk.com/show.asp?id=41931524• http://sosyalmedya.co/heartbleed-bug-nedir/• http://www.iphonedo.net/heartbleed-nedir/

Mahir Onur Yatkın100209009

Heartbleed Nedir ?