SlideShare uma empresa Scribd logo

Heartbleed Nedir?

Transferir como PPTX, PDF
D
delicezeytin

Heartbleed nedir?

Educação
1 de 18
Heartbleed
Heartbleed Bug Nedir? • İnternet en bilinen web şifreleme protokollerinden OpenSSL‘de ortaya çıkan güvenlik açığı son iki gündür teknoloji dünyasının gündeminde. “Heartbleed Bug” adlı bu güvenlik açığı e-posta servislerinden şirketlere, bireysel kullanıcılardan sıklıkla ziyaret edilen internet sitelerine kadar internetin büyük bir kısmını tehdit ediyor. • Google Security ekibinden Neel Mehta ve Codenomicon şirketi tarafından keşfedilen Heartbleed Bug’ın ortadan kaldırılması için büyük online servis sağlayıcıları harekete geçti.
SSL ve OpenSSL nedir? Bu önemli güvenlik açığını açıklarken öncelikle üzerinde bulunduğu SSL (Secure Socket Layer) protokolünden bahsetmek gerekiyor. 1994 yılında Netscape tarafından geliştirilen SSL Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi web tarayıcılarıyla sunucular arasındaki güvenliği sağlamayı amaçlıyor. Web tarayıcılarının genellikle adres çubuğunda bir kilit sembolüyle gösterdikleri bu protokol kullanıcı adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesine imkan tanıyor.
OpenSSL • OpenSSL ise kullanıcılara kendi sertifikalarını oluşturabilme fırsatı veren açık kaynak bir organizasyon. Oluşumun resmi internet sitesinden elde edebileceğiniz birkaç küçük program ile kendiniz sertifika sunucusu kurabiliyor ve işletebiliyorsunuz. • OpenSSL’in önemi de bu noktada devreye giriyor. Netcraft 2014 verilerine göre dünya üzerindeki web sunucuları arasında %66 gibi büyük bir paya sahip Apache ve Nginx’in hemen hepsinin OpenSSL motoru barındırması durumun vahametini açıkça ortaya koyuyor.
Heartbleed Bug nedir? • OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lik bölümler halinde sızdırabiliyor. • Öyle ki Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve secret key’ler gibi birçok özel verinin ifşası mümkün olabiliyor.
Heartbleed Bug nedir? • İki server birbiri ile iletişime geçip şifrelenmiş el sıkışma meydana getirecekleri zaman (encrypted handshake), kalp atışı (heartbeat) denen bir olay yaparlar. Bu HeartBleed de adını bu HeartBeat olayından almaktadır. • HeartBeat birbirleri ile haberleşen iki bilgisayarın birbirlerinin varlığını kontrol etmeye yarar. Yani bir tarafın bağlantısı koptuğunda diğer taraf bunu hemen anlar ve bilgi göndermeyi keser. • Örneğin siz, bankanız ile online işlem yaparken sizin cihazınızdan bankaya bir kalp atışı gider ve bankanın bilgisayarı buna cevap verir. Böylece bir şey ters gittiğinde kalp atışı senkronizasyonu bozulur ve gerekli önlem alınır. Bu basit işlem her gün milyonlarca kez yapılmaktadır ve arızalı OpenSSL bir çuval inciri berbat etmektedir
Heartbleed BAGA* Uzak bir yerdeki arkada$inizla birbirinizin hayatta oldugunuzu teyid etmek icin surekli birbirinize kilitli kimsenin acamadigi paketler yolluyorsunuz ve paketin icindeki esya veya paranin geri geli$ine gore hayatta olup olmadiginiza karar veriyorsunuz, paketin kilidini acinca icinde ne oldugunu belirten bir yaziniz var. ornegin, bu kutuda 1 kuru$ var diyorsunuz ve icine 1 kuru$ koyuyorsunuz, arkada$iniz aynisini yollamak durumunda ya$adigini ispatlamak icin. heartbleed durumunda kilitli kutunun icine icine 1 kuru$ koyup kutunun icindeki nota bu kutuda 65536 kuru$ var yazip yolluyor ve arkada$iniz mal mi degil mi diye bakiyorsunuz. arkada$iniz (mal olan), icindeki 1 kuru$a bakip, notu gordukten sonra cebinden 65535 i kutunun icine ekleyip, icinde 65536 kuru$ var notu ile size yolluyor. ** *bilal’e anlatır gibi anlatmak **eksisozluk.com/show.asp?id=41931524
Ne kadar tehlikeli? • Heartbleed Bug birçok açıdan kritik öneme sahip. Zira bu açık ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanın önü açılıyor. Kötü niyetli hacker gruplar milyarca kişinin şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyor. • Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahini insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.
Hangi siteler tehlike altında? • Heartbleed Bug’ın Apache ve Nginx gibi popüler web sunucularında yer alması bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli listesine ekliyor. Nitekim son iki günde gelen haberler FBI, Tumblr ve Flickr gibi Yahoo servisleri, Eventbrite ve LastPass gibi web sitelerinin güvenlik açığından etkilendiğini gösteriyor.
Hangi siteler tehlike altında? Google yaptığı açıklamada hizmetlerinde güvenlik açığını gidermek için güncellemeler yaptığını açıklarken, Facebook ise halihazırda bu konu üzerinde çalışma yaptığını kullanıcılarına duyurdu. Son olarak Microsoft ise OpenSSL kütüphanelerini takip ettiklerini ancak kullanıcıların şirketin servislerinde olası bir sorunu bildirmelerini istediklerini açıkladı.
Ne yapmalısınız? • Site sahipleri için güvenlik açığından kurtulmak için yapılması gereken öncelikli eylem, eğer OpenSSL’in 1.0.1 – 1.0.1f arası sürümlerini kullanılıyorsa bir an önce yeni OpenSSL 1.0.1g sürümüne terfi etmek olmalı. Bu işlemi yapmak mümkün değilse bir diğer geçerli yol olan mevcut OpenSSL’in “- DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derlenerek heartbeat özelliğini devre dışı bırakmak olabilir. • Bireysel kullanıcıların ise risk altında bulunan servisleri kontrol ederek üyeliklerini güncellemesi gerekiyor.
Etkilendi mi? Yama yayınlan dı mı? Şifre Değişimi Gerekiyor mu? Facebook Unclear Yes YesYes Instagram Yes Yes YesYes LinkedIn No No No Pinterest Yes Yes YesYes Tumblr Yes Yes YesYes Twitter No Yes Unclear Apple No No No Amazon No No No Google Yes Yes YesYes* Microsoft No No No Yahoo Yes Yes YesYes AOL No No No Gmail Yes Yes YesYes* Hotmail / Outlook No No No Yahoo Mail Yes Yes YesYes Amazon No No No Amazon WS Yes Yes YesYes eBay No No No Etsy Yes* Yes YesYes Etkilendi mi? Yama yayınlan dı mı? Şifre Değişimi Gerekiyor mu? Flickr Yes Yes YesYes Hulu No No No Minecraft Yes Yes YesYes Pandora No No No Netflix Yes Yes YesYes SoundClou d Yes Yes YesYes YouTube Yes Yes YesYes* Box Yes Yes YesYes Dropbox Yes Yes YesYes Evernote No No No GitHub Yes Yes YesYes IFTTT Yes Yes YesYes OKCupid Yes Yes YesYes Wikipedia Yes Yes YesYes Wordpres s Yes Yes YesYes Wunderlist Yes Yes YesYes 1Passwor d No No No Dashlane Yes Yes No LastPass Yes Yes No
Bağlantılar • Sitelerin zayıflık durumları : • https://gist.github.com/dberkholz/10169691 • Heartbleed açığı olan siteleri kontrol – https://filippo.io/Heartbleed/ • Heartbleed riski olan sitelerin açıklamaları – http://mashable.com/2014/04/09/heartbleed- bug-websites-affected/
Referanslar • http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ • http://antik.eksisozluk.com/show.asp?id=41931524 • http://sosyalmedya.co/heartbleed-bug-nedir/ • http://www.iphonedo.net/heartbleed-nedir/ Mahir Onur Yatkın 100209009 Heartbleed Nedir ?

Recomendados

EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?ITpreneurs
 
CEHV9
CEHV9CEHV9
CEHV9Nityanand Thakur
 
CEH v9 cheat sheet notes Certified Ethical Hacker
CEH v9 cheat sheet notes Certified Ethical HackerCEH v9 cheat sheet notes Certified Ethical Hacker
CEH v9 cheat sheet notes Certified Ethical HackerDavid Sweigert
 
2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGD2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGDMustafa Kuğu
 
HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)BGA Cyber Security
 
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxmemrah2955
 
Oracle Database and Technologies Seminar
Oracle Database and Technologies SeminarOracle Database and Technologies Seminar
Oracle Database and Technologies SeminarOrhan ERIPEK
 
Bilgi Güvenliği Sunumu Nisan 2019
Bilgi Güvenliği Sunumu Nisan 2019Bilgi Güvenliği Sunumu Nisan 2019
Bilgi Güvenliği Sunumu Nisan 2019Şahabettin Akca
 

Recomendados

EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?ITpreneurs
 
CEHV9
CEHV9CEHV9
CEHV9Nityanand Thakur
 
CEH v9 cheat sheet notes Certified Ethical Hacker
CEH v9 cheat sheet notes Certified Ethical HackerCEH v9 cheat sheet notes Certified Ethical Hacker
CEH v9 cheat sheet notes Certified Ethical HackerDavid Sweigert
 
2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGD2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGDMustafa Kuğu
 
HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)BGA Cyber Security
 
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxmemrah2955
 
Oracle Database and Technologies Seminar
Oracle Database and Technologies SeminarOracle Database and Technologies Seminar
Oracle Database and Technologies SeminarOrhan ERIPEK
 
Bilgi Güvenliği Sunumu Nisan 2019
Bilgi Güvenliği Sunumu Nisan 2019Bilgi Güvenliği Sunumu Nisan 2019
Bilgi Güvenliği Sunumu Nisan 2019Şahabettin Akca
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiBGA Cyber Security
 
İnternette ki Riskler - Mehmet Kaan AKÇIL
İnternette ki Riskler - Mehmet Kaan AKÇILİnternette ki Riskler - Mehmet Kaan AKÇIL
İnternette ki Riskler - Mehmet Kaan AKÇILMehmet Kaan AKÇIL
 
29 iso27001 isms
29 iso27001 isms29 iso27001 isms
29 iso27001 ismsRECIPA
 
SMMMLER Siber Güvenlik.pptx
SMMMLER Siber Güvenlik.pptxSMMMLER Siber Güvenlik.pptx
SMMMLER Siber Güvenlik.pptxSelçuk Gülten
 
Smmm ler siber güvenlik
Smmm ler siber güvenlikSmmm ler siber güvenlik
Smmm ler siber güvenlikSelçuk Gülten
 
Network Hacking
Network HackingNetwork Hacking
Network HackingKale Siber Akademi
 
Hafta3_WebGüvenliği
Hafta3_WebGüvenliğiHafta3_WebGüvenliği
Hafta3_WebGüvenliğierince
 
Modül 5: GÜVENLİK
Modül 5: GÜVENLİKModül 5: GÜVENLİK
Modül 5: GÜVENLİKKarel Van Isacker
 
Okan dedeoğlu özet sunum
Okan dedeoğlu özet sunumOkan dedeoğlu özet sunum
Okan dedeoğlu özet sunumYeni Gelecek Medya
 
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizDavetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizilker kayar
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?Ertugrul Akbas
 
Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziGömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziIbrahim Baliç
 
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4Rahme Latif Gündoğan
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Bilgi Güvenliği
Bilgi GüvenliğiBilgi Güvenliği
Bilgi Güvenliğisemravural
 
bılgıgüvenlığı
bılgıgüvenlığıbılgıgüvenlığı
bılgıgüvenlığıfatma_ela
 
Bilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuBilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuUmut YILMAZ
 
Dijital Akademi Eposta Pazarlama 1
Dijital Akademi Eposta Pazarlama 1Dijital Akademi Eposta Pazarlama 1
Dijital Akademi Eposta Pazarlama 1Eren Yalçındağ
 
Sosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikSosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikUluslararası Sosyal Medya Derneği
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımlarıbilgisayarteknolojileri
 

Mais conteúdo relacionado

Semelhante a Heartbleed Nedir?

İnternette ki Riskler - Mehmet Kaan AKÇIL
İnternette ki Riskler - Mehmet Kaan AKÇILİnternette ki Riskler - Mehmet Kaan AKÇIL
İnternette ki Riskler - Mehmet Kaan AKÇILMehmet Kaan AKÇIL
 
29 iso27001 isms
29 iso27001 isms29 iso27001 isms
29 iso27001 ismsRECIPA
 
SMMMLER Siber Güvenlik.pptx
SMMMLER Siber Güvenlik.pptxSMMMLER Siber Güvenlik.pptx
SMMMLER Siber Güvenlik.pptxSelçuk Gülten
 
Smmm ler siber güvenlik
Smmm ler siber güvenlikSmmm ler siber güvenlik
Smmm ler siber güvenlikSelçuk Gülten
 
Hafta3_WebGüvenliği
Hafta3_WebGüvenliğiHafta3_WebGüvenliği
Hafta3_WebGüvenliğierince
 
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizDavetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizilker kayar
 
Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziGömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziIbrahim Baliç
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Bilgi Güvenliği
Bilgi GüvenliğiBilgi Güvenliği
Bilgi Güvenliğisemravural
 
bılgıgüvenlığı
bılgıgüvenlığıbılgıgüvenlığı
bılgıgüvenlığıfatma_ela
 
Bilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuBilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuUmut YILMAZ
 
Dijital Akademi Eposta Pazarlama 1
Dijital Akademi Eposta Pazarlama 1Dijital Akademi Eposta Pazarlama 1
Dijital Akademi Eposta Pazarlama 1Eren Yalçındağ
 

Semelhante a Heartbleed Nedir? (20)

Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
 
İnternette ki Riskler - Mehmet Kaan AKÇIL
İnternette ki Riskler - Mehmet Kaan AKÇILİnternette ki Riskler - Mehmet Kaan AKÇIL
İnternette ki Riskler - Mehmet Kaan AKÇIL
 
29 iso27001 isms
29 iso27001 isms29 iso27001 isms
29 iso27001 isms
 
SMMMLER Siber Güvenlik.pptx
SMMMLER Siber Güvenlik.pptxSMMMLER Siber Güvenlik.pptx
SMMMLER Siber Güvenlik.pptx
 
Smmm ler siber güvenlik
Smmm ler siber güvenlikSmmm ler siber güvenlik
Smmm ler siber güvenlik
 
Network Hacking
Network HackingNetwork Hacking
Network Hacking
 
Hafta3_WebGüvenliği
Hafta3_WebGüvenliğiHafta3_WebGüvenliği
Hafta3_WebGüvenliği
 
Modül 5: GÜVENLİK
Modül 5: GÜVENLİKModül 5: GÜVENLİK
Modül 5: GÜVENLİK
 
Okan dedeoğlu özet sunum
Okan dedeoğlu özet sunumOkan dedeoğlu özet sunum
Okan dedeoğlu özet sunum
 
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizDavetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
 
Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziGömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi
 
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
 
Bilgi Güvenliği
Bilgi GüvenliğiBilgi Güvenliği
Bilgi Güvenliği
 
bılgıgüvenlığı
bılgıgüvenlığıbılgıgüvenlığı
bılgıgüvenlığı
 
Bilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuBilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumu
 
Dijital Akademi Eposta Pazarlama 1
Dijital Akademi Eposta Pazarlama 1Dijital Akademi Eposta Pazarlama 1
Dijital Akademi Eposta Pazarlama 1
 
Sosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikSosyal Medya ve Güvenlik
Sosyal Medya ve Güvenlik
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımları
 

Heartbleed Nedir?

  • 2. Heartbleed Bug Nedir? • İnternet en bilinen web şifreleme protokollerinden OpenSSL‘de ortaya çıkan güvenlik açığı son iki gündür teknoloji dünyasının gündeminde. “Heartbleed Bug” adlı bu güvenlik açığı e-posta servislerinden şirketlere, bireysel kullanıcılardan sıklıkla ziyaret edilen internet sitelerine kadar internetin büyük bir kısmını tehdit ediyor. • Google Security ekibinden Neel Mehta ve Codenomicon şirketi tarafından keşfedilen Heartbleed Bug’ın ortadan kaldırılması için büyük online servis sağlayıcıları harekete geçti.
  • 3. SSL ve OpenSSL nedir? Bu önemli güvenlik açığını açıklarken öncelikle üzerinde bulunduğu SSL (Secure Socket Layer) protokolünden bahsetmek gerekiyor. 1994 yılında Netscape tarafından geliştirilen SSL Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi web tarayıcılarıyla sunucular arasındaki güvenliği sağlamayı amaçlıyor. Web tarayıcılarının genellikle adres çubuğunda bir kilit sembolüyle gösterdikleri bu protokol kullanıcı adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesine imkan tanıyor.
  • 4. OpenSSL • OpenSSL ise kullanıcılara kendi sertifikalarını oluşturabilme fırsatı veren açık kaynak bir organizasyon. Oluşumun resmi internet sitesinden elde edebileceğiniz birkaç küçük program ile kendiniz sertifika sunucusu kurabiliyor ve işletebiliyorsunuz. • OpenSSL’in önemi de bu noktada devreye giriyor. Netcraft 2014 verilerine göre dünya üzerindeki web sunucuları arasında %66 gibi büyük bir paya sahip Apache ve Nginx’in hemen hepsinin OpenSSL motoru barındırması durumun vahametini açıkça ortaya koyuyor.
  • 5. Heartbleed Bug nedir? • OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lik bölümler halinde sızdırabiliyor. • Öyle ki Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve secret key’ler gibi birçok özel verinin ifşası mümkün olabiliyor.
  • 6. Heartbleed Bug nedir? • İki server birbiri ile iletişime geçip şifrelenmiş el sıkışma meydana getirecekleri zaman (encrypted handshake), kalp atışı (heartbeat) denen bir olay yaparlar. Bu HeartBleed de adını bu HeartBeat olayından almaktadır. • HeartBeat birbirleri ile haberleşen iki bilgisayarın birbirlerinin varlığını kontrol etmeye yarar. Yani bir tarafın bağlantısı koptuğunda diğer taraf bunu hemen anlar ve bilgi göndermeyi keser. • Örneğin siz, bankanız ile online işlem yaparken sizin cihazınızdan bankaya bir kalp atışı gider ve bankanın bilgisayarı buna cevap verir. Böylece bir şey ters gittiğinde kalp atışı senkronizasyonu bozulur ve gerekli önlem alınır. Bu basit işlem her gün milyonlarca kez yapılmaktadır ve arızalı OpenSSL bir çuval inciri berbat etmektedir
  • 7.
  • 8.
  • 9.
  • 10. Heartbleed BAGA* Uzak bir yerdeki arkada$inizla birbirinizin hayatta oldugunuzu teyid etmek icin surekli birbirinize kilitli kimsenin acamadigi paketler yolluyorsunuz ve paketin icindeki esya veya paranin geri geli$ine gore hayatta olup olmadiginiza karar veriyorsunuz, paketin kilidini acinca icinde ne oldugunu belirten bir yaziniz var. ornegin, bu kutuda 1 kuru$ var diyorsunuz ve icine 1 kuru$ koyuyorsunuz, arkada$iniz aynisini yollamak durumunda ya$adigini ispatlamak icin. heartbleed durumunda kilitli kutunun icine icine 1 kuru$ koyup kutunun icindeki nota bu kutuda 65536 kuru$ var yazip yolluyor ve arkada$iniz mal mi degil mi diye bakiyorsunuz. arkada$iniz (mal olan), icindeki 1 kuru$a bakip, notu gordukten sonra cebinden 65535 i kutunun icine ekleyip, icinde 65536 kuru$ var notu ile size yolluyor. ** *bilal’e anlatır gibi anlatmak **eksisozluk.com/show.asp?id=41931524
  • 11. Ne kadar tehlikeli? • Heartbleed Bug birçok açıdan kritik öneme sahip. Zira bu açık ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanın önü açılıyor. Kötü niyetli hacker gruplar milyarca kişinin şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyor. • Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahini insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.
  • 12. Hangi siteler tehlike altında? • Heartbleed Bug’ın Apache ve Nginx gibi popüler web sunucularında yer alması bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli listesine ekliyor. Nitekim son iki günde gelen haberler FBI, Tumblr ve Flickr gibi Yahoo servisleri, Eventbrite ve LastPass gibi web sitelerinin güvenlik açığından etkilendiğini gösteriyor.
  • 13. Hangi siteler tehlike altında? Google yaptığı açıklamada hizmetlerinde güvenlik açığını gidermek için güncellemeler yaptığını açıklarken, Facebook ise halihazırda bu konu üzerinde çalışma yaptığını kullanıcılarına duyurdu. Son olarak Microsoft ise OpenSSL kütüphanelerini takip ettiklerini ancak kullanıcıların şirketin servislerinde olası bir sorunu bildirmelerini istediklerini açıkladı.
  • 14. Ne yapmalısınız? • Site sahipleri için güvenlik açığından kurtulmak için yapılması gereken öncelikli eylem, eğer OpenSSL’in 1.0.1 – 1.0.1f arası sürümlerini kullanılıyorsa bir an önce yeni OpenSSL 1.0.1g sürümüne terfi etmek olmalı. Bu işlemi yapmak mümkün değilse bir diğer geçerli yol olan mevcut OpenSSL’in “- DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derlenerek heartbeat özelliğini devre dışı bırakmak olabilir. • Bireysel kullanıcıların ise risk altında bulunan servisleri kontrol ederek üyeliklerini güncellemesi gerekiyor.
  • 15. Etkilendi mi? Yama yayınlan dı mı? Şifre Değişimi Gerekiyor mu? Facebook Unclear Yes YesYes Instagram Yes Yes YesYes LinkedIn No No No Pinterest Yes Yes YesYes Tumblr Yes Yes YesYes Twitter No Yes Unclear Apple No No No Amazon No No No Google Yes Yes YesYes* Microsoft No No No Yahoo Yes Yes YesYes AOL No No No Gmail Yes Yes YesYes* Hotmail / Outlook No No No Yahoo Mail Yes Yes YesYes Amazon No No No Amazon WS Yes Yes YesYes eBay No No No Etsy Yes* Yes YesYes Etkilendi mi? Yama yayınlan dı mı? Şifre Değişimi Gerekiyor mu? Flickr Yes Yes YesYes Hulu No No No Minecraft Yes Yes YesYes Pandora No No No Netflix Yes Yes YesYes SoundClou d Yes Yes YesYes YouTube Yes Yes YesYes* Box Yes Yes YesYes Dropbox Yes Yes YesYes Evernote No No No GitHub Yes Yes YesYes IFTTT Yes Yes YesYes OKCupid Yes Yes YesYes Wikipedia Yes Yes YesYes Wordpres s Yes Yes YesYes Wunderlist Yes Yes YesYes 1Passwor d No No No Dashlane Yes Yes No LastPass Yes Yes No
  • 16.
  • 17. Bağlantılar • Sitelerin zayıflık durumları : • https://gist.github.com/dberkholz/10169691 • Heartbleed açığı olan siteleri kontrol – https://filippo.io/Heartbleed/ • Heartbleed riski olan sitelerin açıklamaları – http://mashable.com/2014/04/09/heartbleed- bug-websites-affected/
  • 18. Referanslar • http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ • http://antik.eksisozluk.com/show.asp?id=41931524 • http://sosyalmedya.co/heartbleed-bug-nedir/ • http://www.iphonedo.net/heartbleed-nedir/ Mahir Onur Yatkın 100209009 Heartbleed Nedir ?