2. Heartbleed Bug Nedir?
• İnternet en bilinen web şifreleme
protokollerinden OpenSSL‘de ortaya çıkan güvenlik açığı
son iki gündür teknoloji dünyasının gündeminde.
“Heartbleed Bug” adlı bu güvenlik açığı e-posta
servislerinden şirketlere, bireysel kullanıcılardan sıklıkla
ziyaret edilen internet sitelerine kadar internetin büyük
bir kısmını tehdit ediyor.
• Google Security ekibinden Neel
Mehta ve Codenomicon şirketi tarafından keşfedilen
Heartbleed Bug’ın ortadan kaldırılması için büyük
online servis sağlayıcıları harekete geçti.
3. SSL ve OpenSSL nedir?
Bu önemli güvenlik açığını açıklarken öncelikle üzerinde
bulunduğu SSL (Secure Socket Layer) protokolünden
bahsetmek gerekiyor. 1994 yılında Netscape tarafından
geliştirilen SSL Internet Explorer, Mozilla Firefox, Google
Chrome ve Opera gibi web tarayıcılarıyla sunucular
arasındaki güvenliği sağlamayı amaçlıyor.
Web tarayıcılarının genellikle adres çubuğunda bir kilit
sembolüyle gösterdikleri bu protokol kullanıcı
adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse
tüm oturum bilgilerinin şifrelenerek iletilmesine imkan
tanıyor.
4. OpenSSL
• OpenSSL ise kullanıcılara kendi sertifikalarını
oluşturabilme fırsatı veren açık kaynak bir
organizasyon. Oluşumun resmi internet sitesinden elde
edebileceğiniz birkaç küçük program ile kendiniz
sertifika sunucusu kurabiliyor ve işletebiliyorsunuz.
• OpenSSL’in önemi de bu noktada devreye giriyor.
Netcraft 2014 verilerine göre dünya üzerindeki web
sunucuları arasında %66 gibi büyük bir paya sahip
Apache ve Nginx’in hemen hepsinin OpenSSL motoru
barındırması durumun vahametini açıkça ortaya
koyuyor.
5. Heartbleed Bug nedir?
• OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm
versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her
tür verinin, uzaktan ve herhangi bir iz bırakmadan
okunabilmesini sağlayan bir güvenlik açığı. TLS içinde
bulunan bir hatadan kaynaklanan bu açık internet
üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü
kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lik
bölümler halinde sızdırabiliyor.
• Öyle ki Heartbleed açığı ile internette, e-postalarda, anlık
mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı
adı parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve
secret key’ler gibi birçok özel verinin ifşası mümkün
olabiliyor.
6. Heartbleed Bug nedir?
• İki server birbiri ile iletişime geçip şifrelenmiş el sıkışma
meydana getirecekleri zaman (encrypted handshake), kalp
atışı (heartbeat) denen bir olay yaparlar. Bu HeartBleed de
adını bu HeartBeat olayından almaktadır.
• HeartBeat birbirleri ile haberleşen iki bilgisayarın
birbirlerinin varlığını kontrol etmeye yarar. Yani bir tarafın
bağlantısı koptuğunda diğer taraf bunu hemen anlar ve bilgi
göndermeyi keser.
• Örneğin siz, bankanız ile online işlem yaparken sizin
cihazınızdan bankaya bir kalp atışı gider ve bankanın
bilgisayarı buna cevap verir. Böylece bir şey ters gittiğinde
kalp atışı senkronizasyonu bozulur ve gerekli önlem alınır.
Bu basit işlem her gün milyonlarca kez yapılmaktadır ve
arızalı OpenSSL bir çuval inciri berbat etmektedir
7.
8.
9.
10. Heartbleed BAGA*
Uzak bir yerdeki arkada$inizla birbirinizin hayatta oldugunuzu teyid
etmek icin surekli birbirinize kilitli kimsenin acamadigi paketler
yolluyorsunuz ve paketin icindeki esya veya paranin geri geli$ine gore
hayatta olup olmadiginiza karar veriyorsunuz, paketin kilidini acinca
icinde ne oldugunu belirten bir yaziniz var.
ornegin, bu kutuda 1 kuru$ var diyorsunuz ve icine 1 kuru$
koyuyorsunuz, arkada$iniz aynisini yollamak durumunda ya$adigini
ispatlamak icin.
heartbleed durumunda kilitli kutunun icine icine 1 kuru$ koyup
kutunun icindeki nota bu kutuda 65536 kuru$ var yazip yolluyor ve
arkada$iniz mal mi degil mi diye bakiyorsunuz. arkada$iniz (mal
olan), icindeki 1 kuru$a bakip, notu gordukten sonra cebinden 65535 i
kutunun icine ekleyip, icinde 65536 kuru$ var notu ile size yolluyor. **
*bilal’e anlatır gibi anlatmak
**eksisozluk.com/show.asp?id=41931524
11. Ne kadar tehlikeli?
• Heartbleed Bug birçok açıdan kritik öneme sahip. Zira
bu açık ile hiçbir iz bırakmadan şifrelenmiş önemli
bilgilere ulaşmanın önü açılıyor. Kötü niyetli hacker
gruplar milyarca kişinin şirketin ve kurumun verilerinin
yer aldığı SSL şifreleme sistemini bu yolla aşabiliyor.
• Üstelik güvenlik uzmanlarına göre bu açığı kullanmak
konu hakkında bilgi sahini insanlar için pek de zor değil.
Zira güvenlik açığını kullanmaya yarayan yazılım
internette kolayca bulunabiliyor ve temel programlama
becerileriyle herkese hizmet edebiliyor. Dolayısıyla
açığın bulunmasının hemen ardından yeni bir sürüm
yayınlansa da risk hala büyük.
12. Hangi siteler tehlike altında?
• Heartbleed Bug’ın Apache ve Nginx gibi popüler
web sunucularında yer alması bu sistemlerde
yer alan sitelerin ciddi bir bölümünü tehlikeli
listesine ekliyor. Nitekim son iki günde gelen
haberler FBI, Tumblr ve Flickr gibi Yahoo
servisleri, Eventbrite ve LastPass gibi web
sitelerinin güvenlik açığından etkilendiğini
gösteriyor.
13. Hangi siteler tehlike altında?
Google yaptığı açıklamada hizmetlerinde
güvenlik açığını gidermek için güncellemeler
yaptığını açıklarken, Facebook ise halihazırda bu
konu üzerinde çalışma yaptığını kullanıcılarına
duyurdu. Son olarak Microsoft ise OpenSSL
kütüphanelerini takip ettiklerini ancak
kullanıcıların şirketin servislerinde olası bir
sorunu bildirmelerini istediklerini açıkladı.
14. Ne yapmalısınız?
• Site sahipleri için güvenlik açığından kurtulmak için
yapılması gereken öncelikli eylem, eğer OpenSSL’in
1.0.1 – 1.0.1f arası sürümlerini kullanılıyorsa bir an
önce yeni OpenSSL 1.0.1g sürümüne terfi etmek olmalı.
Bu işlemi yapmak mümkün değilse bir diğer geçerli yol
olan mevcut OpenSSL’in “-
DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden
derlenerek heartbeat özelliğini devre dışı bırakmak
olabilir.
• Bireysel kullanıcıların ise risk altında bulunan servisleri
kontrol ederek üyeliklerini güncellemesi gerekiyor.
15. Etkilendi
mi?
Yama
yayınlan
dı mı?
Şifre Değişimi
Gerekiyor mu?
Facebook Unclear Yes YesYes
Instagram Yes Yes YesYes
LinkedIn No No No
Pinterest Yes Yes YesYes
Tumblr Yes Yes YesYes
Twitter No Yes Unclear
Apple No No No
Amazon No No No
Google Yes Yes YesYes*
Microsoft No No No
Yahoo Yes Yes YesYes
AOL No No No
Gmail Yes Yes YesYes*
Hotmail /
Outlook
No No No
Yahoo
Mail
Yes Yes YesYes
Amazon No No No
Amazon
WS
Yes Yes YesYes
eBay No No No
Etsy Yes* Yes YesYes
Etkilendi
mi?
Yama
yayınlan
dı mı?
Şifre Değişimi
Gerekiyor mu?
Flickr Yes Yes YesYes
Hulu No No No
Minecraft Yes Yes YesYes
Pandora No No No
Netflix Yes Yes YesYes
SoundClou
d
Yes Yes YesYes
YouTube Yes Yes YesYes*
Box Yes Yes YesYes
Dropbox Yes Yes YesYes
Evernote No No No
GitHub Yes Yes YesYes
IFTTT Yes Yes YesYes
OKCupid Yes Yes YesYes
Wikipedia
Yes Yes YesYes
Wordpres
s
Yes Yes YesYes
Wunderlist Yes Yes YesYes
1Passwor
d
No No No
Dashlane Yes Yes No
LastPass Yes Yes No
16.
17. Bağlantılar
• Sitelerin zayıflık durumları :
• https://gist.github.com/dberkholz/10169691
• Heartbleed açığı olan siteleri kontrol
– https://filippo.io/Heartbleed/
• Heartbleed riski olan sitelerin açıklamaları
– http://mashable.com/2014/04/09/heartbleed-
bug-websites-affected/