OpenSSL‘de ortaya çıkan güvenlik açığı son günlerde teknoloji dünyasının dilinde. “Heartbleed Bug” adlı bu güvenlik açığı e-posta servislerinden şirketlere, bireysel kullanıcılardan sıklıkla ziyaret edilen internet sitelerine kadar internetin büyük bir kısmını tehdit ediyor.
Google Security ekibinden Neel Mehta ve Codenomicon şirketi tarafından keşfedilen Heartbleed Bug’ın ortadan kaldırılması için büyük online servis sağlayıcıları harekete geçti. Peki yaklaşık olarak internetin %66′sını ilgilendiren bu güvenlik açığı tam olarak nedir? Bireysel kullanıcıları ne kadar etkileyebilir?
Bu önemli güvenlik açığını açıklarken öncelikle üzerinde bulunduğu SSL (Secure Socket Layer) protokolünden bahsetmek gerekiyor. 1994 yılında Netscape tarafından geliştirilen SSL Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi web tarayıcılarıyla sunucular arasındaki güvenliği sağlamayı amaçlıyor. Web tarayıcılarının genellikle adres çubuğunda bir kilit sembolüyle gösterdikleri bu protokol kullanıcı adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesine imkan tanıyor.
Günümüzde popüler bütün tarayıcılar SSL 3.0 sürümünü destekliyor ve Google, Yahoo ve Facebook gibi dev şirketler web sitelerinde ve online servislerinde SSL şifrelemesini kullanıyor.
OpenSSL ise kullanıcılara kendi sertifikalarını oluşturabilme fırsatı veren açık kaynak bir organizasyon. OpenSSL, tüm dünyada iletişim, plan ve araç geliştirme seviyesinde gönüllü internet kullanıcıları tarafından yönetiliyor. Oluşumun resmi internet sitesinden elde edebileceğiniz birkaç küçük program ile kendiniz sertifika sunucusu kurabiliyor ve işletebiliyorsunuz.
OpenSSL’in önemi de bu noktada devreye giriyor. Netcraft 2014 verilerine göre dünya üzerindeki web sunucuları arasında %66 gibi büyük bir paya sahip Apache ve Nginx’in hemen hepsinin OpenSSL motoru barındırması durumun vahametini açıkça ortaya koyuyor.
Heartbleed Bug nedir?
OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lik bölümler halinde sızdırabiliyor.
Öyle ki Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve secret key’ler gibi birçok özel verinin ifşası mümkün olabiliyor.
Ne kadar tehlikeli?
Heartbleed Bug birçok açıdan kritik öneme sahip. Zira bu açık ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanın önü açılıyor. Kötü niyetli hacker gruplar milyarca kişinin şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyor.
Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahini insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.
Heartbleed Bug’ın Apache ve Nginx gibi popüler web sunucularında yer alması bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli listesine ekliyor. Nitekim son iki günde gelen haberler FBI, Tumblr ve Flickr gibi Yahoo servisleri, Eventbrite ve LastPass gibi web sitelerinin güvenlik açığından etkilendiğini gösteriyor.
OpenSSL’in güvenli sürümü, açığın duyurulmasının hemen ardından kullanıcılara sunuldu. Buna paralel olarak Heartbleed Bug’dan etkilenme olasılığı bulunan siteler konusunda da Github üzerinden bir liste yayınlandı. Güncellenmeye devam eden listede Alexa’daki ilk 10 bin siteden yaklaşık 1300′ünün risk altında olduğu ifade ediliyor.
Google yaptığı açıklamada hizmetlerinde güvenlik açığını gidermek için güncellemeler yaptığını açıklarken, Facebook ise halihazırda bu konu üzerinde çalışma yaptığını kullanıcılarına duyurdu. Son olarak Microsoft ise OpenSSL kütüphanelerini takip ettiklerini ancak kullanıcıların şirketin servislerinde olası bir sorunu bildirmelerini istediklerini açıkladı.
Bu amaçla Github üzerinde sitelerin zayıflık durumlarını gösteren bir liste yayımladı. Ancak bu zayıflıklar kısa sürede düzeltilebiliyor bu nedenle güncellemeleri takip etmekte fayda var.
sosyalmeyda.co
