Hearthbleed Bug Nedir?
Bunu açıklamadan önce SSL nedir? bunu kısaca anlatmak istiyorum. SSL (Secure Socket Layer), network üzerinde bilgi transferi esnasında gizlilik ve güvenliğin sağlanması amacı ile geliştirilmiş güvenlik protokolüdür. Anahtar kilit mantığı ile sadece doğru adreste şifresi çözülebilir. Yani her bi anahtar sadece kendisine uyan kilidi açar mantığıdır. Bu şekilde her iki tarafta da doğrulama yapılarak bilginin gizliliği korunmuş olur. Google, Facebook, alışveriş siteleri gibi online servislerde SSL şifreleme kullanılmaktadır. Özet olarak SSL hakkında kısaca bilgi sahibi olduktan sonra gelelim asıl konumuza.
Heartbleed, şifreleme protokollerinden OpenSSLde meydana gelen güvenlik açığına verilen isimdir. Google Secure ekibinden Neel MEHTA ve Codenomicon şirketi Heartbleed Bugın ortadan kaldırılması için büyük online servis sağlayıcıları ile birlikte çalışmaktadır. Bu güvenlik açığı internetin %65inden fazlasını ilgilendirmektedir ve bu oran gerçekten çok yüksek bir seviyedir. Çünkü Apache ve Nginxİn çok büyük çoğunluğu açık kaynak olduğu için OpenSSLi kullanmaktadır.
OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KBlik bölümler halinde sızdırabiliyor.
Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı/parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve gizli anahtarlar gibi birçok özel verinin açığa çıkması mümkün.
Kimler Risk Altında
10 Nisan 2014 tarihli Daily Mirror Gazetesinin ilk sayfa haberine göre; OpenSLLde oluşan Heartbleed hatasının Google, Yahoo, Amazon, Facebook ve bunlar gibi online devlerinin sitelerinde özel bilgileri hack saldırısına açık hale geldiğini duyurdu
Sitem Risk Altında Mı?
Bunu öğrenmek içi http://filippo.io/Heartbleed/ adresinden kontrollerinizi yapabilirsiniz.
Ne Yapabiliriz?
Site sahiplerinin ilk olarak yapması gereken şey OpenSLLin 1.0.1 1.0.1f sürümü kullanılıyorsa, OpenSSL 1.0.1g sürümüne yükseltmeleri gerekmektedir. Eğer bu yol mümkün değilse -DOPENSSL-NO-HEARTBEATS parametresi yardımı ile yeniden düzenlenerek heartbeat özelliğini devredışı bırakmak gerekmektedir.
Bunu açıklamadan önce SSL nedir? bunu kısaca anlatmak istiyorum. SSL (Secure Socket Layer), network üzerinde bilgi transferi esnasında gizlilik ve güvenliğin sağlanması amacı ile geliştirilmiş güvenlik protokolüdür. Anahtar kilit mantığı ile sadece doğru adreste şifresi çözülebilir. Yani her bi anahtar sadece kendisine uyan kilidi açar mantığıdır. Bu şekilde her iki tarafta da doğrulama yapılarak bilginin gizliliği korunmuş olur. Google, Facebook, alışveriş siteleri gibi online servislerde SSL şifreleme kullanılmaktadır. Özet olarak SSL hakkında kısaca bilgi sahibi olduktan sonra gelelim asıl konumuza.
Heartbleed, şifreleme protokollerinden OpenSSLde meydana gelen güvenlik açığına verilen isimdir. Google Secure ekibinden Neel MEHTA ve Codenomicon şirketi Heartbleed Bugın ortadan kaldırılması için büyük online servis sağlayıcıları ile birlikte çalışmaktadır. Bu güvenlik açığı internetin %65inden fazlasını ilgilendirmektedir ve bu oran gerçekten çok yüksek bir seviyedir. Çünkü Apache ve Nginxİn çok büyük çoğunluğu açık kaynak olduğu için OpenSSLi kullanmaktadır.
OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KBlik bölümler halinde sızdırabiliyor.
Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı/parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve gizli anahtarlar gibi birçok özel verinin açığa çıkması mümkün.
Kimler Risk Altında
10 Nisan 2014 tarihli Daily Mirror Gazetesinin ilk sayfa haberine göre; OpenSLLde oluşan Heartbleed hatasının Google, Yahoo, Amazon, Facebook ve bunlar gibi online devlerinin sitelerinde özel bilgileri hack saldırısına açık hale geldiğini duyurdu
Sitem Risk Altında Mı?
Bunu öğrenmek içi http://filippo.io/Heartbleed/ adresinden kontrollerinizi yapabilirsiniz.
Ne Yapabiliriz?
Site sahiplerinin ilk olarak yapması gereken şey OpenSLLin 1.0.1 1.0.1f sürümü kullanılıyorsa, OpenSSL 1.0.1g sürümüne yükseltmeleri gerekmektedir. Eğer bu yol mümkün değilse -DOPENSSL-NO-HEARTBEATS parametresi yardımı ile yeniden düzenlenerek heartbeat özelliğini devredışı bırakmak gerekmektedir.