İnternet en bilinen web şifreleme protokollerinden OpenSSL‘de ortaya çıkan güvenlik açığı son iki gündür teknoloji dünyasının gündeminde. “Heartbleed Bug” adlı bu güvenlik açığı e-posta servislerinden şirketlere, bireysel kullanıcılardan sıklıkla ziyaret edilen internet sitelerine kadar internetin büyük bir kısmını tehdit ediyor.
Google Security ekibinden Neel Mehta ve Codenomicon şirketi tarafından keşfedilen Heartbleed Bug’ın ortadan kaldırılması için büyük online servis sağlayıcıları harekete geçti. Peki yaklaşık olarak internetin %66’sını ilgilendiren bu güvenlik açığı tam olarak nedir? Bireysel kullanıcıları ne kadar etkileyebilir?
SSL ve OpenSSL nedir?
Bu önemli güvenlik açığını açıklarken öncelikle üzerinde bulunduğu SSL (Secure Socket Layer) protokolünden bahsetmek gerekiyor. 1994 yılında Netscape tarafından geliştirilen SSL Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi web tarayıcılarıyla sunucular arasındaki güvenliği sağlamayı amaçlıyor. Web tarayıcılarının genellikle adres çubuğunda bir kilit sembolüyle gösterdikleri bu protokol kullanıcı adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesine imkan tanıyor.
Günümüzde popüler bütün tarayıcılar SSL 3.0 sürümünü destekliyor ve Google, Yahoo ve Facebook gibi dev şirketler web sitelerinde ve online servislerinde SSL şifrelemesini kullanıyor.
OpenSSL ise kullanıcılara kendi sertifikalarını oluşturabilme fırsatı veren açık kaynak bir organizasyon. OpenSSL, tüm dünyada iletişim, plan ve araç geliştirme seviyesinde gönüllü internet kullanıcıları tarafından yönetiliyor. Oluşumun resmi internet sitesinden elde edebileceğiniz birkaç küçük program ile kendiniz sertifika sunucusu kurabiliyor ve işletebiliyorsunuz.
OpenSSL’in önemi de bu noktada devreye giriyor. Netcraft 2014 verilerine göre dünya üzerindeki web sunucuları arasında %66 gibi büyük bir paya sahip Apache ve Nginx’in hemen hepsinin OpenSSL motoru barındırması durumun vahametini açıkça ortaya koyuyor.
Heartbleed Bug nedir?
OpenSSL 1.0.1’den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed SSL/TLS ile şifrelenen her tür verinin, uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlayan bir güvenlik açığı. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lik bölümler halinde sızdırabiliyor.
Öyle ki Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı parola çiftleri, anlık iletiler, e-postalar, gizli belgeler ve secret key’ler gibi birçok özel verinin ifşası mümkün olabiliyor.
Ne kadar tehlikeli?
Heartbleed Bug birçok açıdan kritik öneme sahip. Zira bu açık ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanın önü açılıyor. Kötü niyetli hacker gruplar milyarca kişinin şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyor.
Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahini insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.
Hangi siteler tehlike altında?
OpenSSL’in güvenli sürümü, açığın duyurulmasının hemen ardından kullanıcılara sunuldu. Buna paralel olarak Heartbleed Bug’dan etkilenme olasılığı bulunan siteler konusunda da Github üzerinden bir liste yayınlandı. Güncellenmeye devam eden listede Alexa’daki ilk 10 bin siteden yaklaşık 1300’ünün risk altında olduğu ifade ediliyor.
Google yaptığı açıklamada hizmetlerinde güvenlik açığını gidermek için güncellemeler yaptığını açıklarken, Facebook ise halihazırda bu konu üzerinde çalışma yaptığını kullanıcılarına duyurdu. Son olarak Microsoft ise OpenSSL kütüphanelerini takip ettiklerini ancak kullanıcıların şirketin servislerinde olası bir sorunu bildirmelerini istediklerini açıkladı.
Bu amaçla Github üzerinde sitelerin zayıflık durumlarını gösteren bir liste yayımladı. Ancak bu zayıflıklar kısa sürede düzeltilebiliyor bu nedenle güncellemeleri takip etmekte fayda var. Heartbleed bug’ın siteleri etkileyip etkilemediği ya da açığın hala bir risk unsuru olup olmadığı buradan test edilebiliyor.
Ne yapmalısınız?
Site sahipleri için güvenlik açığından kurtulmak için yapılması gereken öncelikli eylem, eğer OpenSSL’in 1.0.1 – 1.0.1f arası sürümlerini kullanılıyorsa bir an önce yeni OpenSSL 1.0.1g sürümüne terfi etmek olmalı. Bu işlemi yapmak mümkün değilse bir diğer geçerli yol olan mevcut OpenSSL’in “-DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derlenerek heartbeat özelliğini devre dışı bırakmak olabilir.
Bireysel kullanıcıların ise risk altında bulunan servisleri kontrol ederek üyeliklerini güncellemesi gerekiyor. Günlük ziyaret edilen siteler ya da hizmet ve servislerin önce kontrol edilip sonra şifre ve kullanıcı adı değiştirme işlemleri gerçekleştirilebilir. Sunucunun ya da sistemin etkilenip etkilenmediğini buradan kontrol edebilirsiniz.