İnternet dünyasının şimdiye kadar karşılaştığı en tehlikeli güvenlik açığı olarak nitelendirilen Heartbleed Bug, internet kullanıcılarının güvenliği tehdit etmeye devam ederken Google, Yahoo, Microsoft gibi birçok internet devini de ekstra güvenlik önlemleri almaya ve kullanıcılara şifrelerini değiştirme konusunda uyarılar göndermeye itiyor.

Trend Micro, tüm interneti tehdit eden Heartbleed Bug’a karşı dünyada ve Türkiye’de kaç web sitesinin savunmasız olduğunu araştırarak ilginç verileri gözler önüne seriyor. Trend Micro’nun sunduğu veriler özellikle Türkiye’de bu tehlikenin aslında ne kadar büyük olduğunu da gösteriyor.

Türkiye merkezli .tr alan adlı toplam 3 bin 40 adet siteden 457 tanesinin SSL şifrelemesi kullandığı belirtilen rapora göre bunların 342 adedinin güvenliyken 115 adet web sitesi bu büyük güvenlik açığına karşı savunmasız. Bu da .tr uzantılı web sitelerinin %15’inin Heartbleed Bug’dan etkilenme tehlikesiyle karşı karşıya olduğunu gösteriyor.

Dünya çapında ise 1 milyon web sitesinin incelendiği araştırmada bunların %5’inin Heartbleed Bug’a karşı savunmasız olduğu sonucu ortaya çıkmış durumda. Diğer dikkat çeken bir veri de .gov uzantılı web sitelerinin %38’inin bu güvenlik açığından etkilenme tehlikesiyle karşı karşıya oluşu.

Trend Micro ayrıca Heartbleed Bug’ın mobilde de büyük tehlike oluşturduğu belirtiyor. Özellikle Android 4.1.1 sürümünün tehlikeye karşı açık olduğu söylenirken Google Play’de OpenSSL kütüphanesini kullanan 273 uygulamanın savunmasız olduğu sonucuna varılmış durumda. Toplamda 7 bin uygulamanın incelendiği araştırmada bunların 6 bininin Heartbleed Bug’a karşı savunmasız çıkması aslında mobilde bizi daha büyük tehlikelerin beklediğini ortaya koyuyor.

Ancak şifre değiştirmenin yanı sıra Heartbleed Bug ve diğer güvenlik açıklarından etkilenmemenin ve şifrenizi, hesabınızı korumanın bir yolu daha var. Bu da birçok online servisin sunduğu iki adımlı doğrulama sistemi.

İki adımlı doğrulama sistemini aktif ettiğiniz takdirde siber saldırganlar şifrenizi ele geçirseler bile hesabınıza giriş yapamıyorlar. Bu sistem çoğunlukla mobil cihazınıza bir aktivasyon kodu gönderdiği ve o kodu girdiğiniz takdirde hesabınıza ulaşabildiğiniz için sizden başka (eğer telefonunuzu da ele geçirmediyse) kimse ikinci aşamayı geçerek hesabınızı ele geçiremiyor.

Heartbleed Bug tehlikesinin hala devam ettiği bu günlerde hesabınızı korumanız için en öne çıkan servislerde iki adımlı doğrulama sistemini nasıl kullanmaya başlayacağınızı aşağıda listeledik.

Google

Google, Gmail, Google+, YouTube, Google Maps gibi servislerinin hepsini koruma altına almanız için tek işlemli bir iki adımlı doğrulama sistemi sunuyor. Tek yapmanız gereken google.com/landing/2step/ adresine gitmek ve sağ üst köşede yer alan “Başlayın” tuşuna tıklamak. Bu aşamadan sonra Google kullanıcı adı ve şifrenizi giriyorsunuz ve Google sizi yönlendirmeye başlıyor. Son olarak doğrulama kodunuzu sesli aramayla mı yoksa SMS ile mi almak istediğinize karar veriyorsunuz ve sistem bundan sonra işlemeye başlıyor.

Yahoo

Yahoo şifrelerinizi güvenlik altına almak için öncelikle Yahoo profilinize girerek Hesap Ayarları bölümünü seçin. Buradan Giriş ve Güvenlik kısmına giderek “İkinci giriş doğrulamasını ayarlayın” seçeneğine tıklayın. Bu aşamadan sonra Yahoo sizi yönlendirerek doğrulama kodunuzun SMS olarak telefonunuza gelmesini sağlayacak bir süreçten geçirecek. Eğer telefon numaranızı vermek istemezseniz bunun yerine gizli bir soru da belirleyebilirsiniz.

Apple

Üyesi olduğunuz Apple servislerini koruma altına almak için ise appleid.apple.com adresini ziyaret ederek “Manage Your Apple ID” seçeneğine tıklayın. Apple ID’nizle giriş yaptıktan sonra Şifreler ve Güvenlik adımına ilerleyin. Buradaki güvenlik sorularını geçtikten sonra güvenlik ayarlarınızdan iki adımlı doğrulama sistemi sayfasına gidin. Başla dedikten sonra Apple sizi yönlendirecek ve ikinci şifrenizin SMS olarak cihazınıza ileteceği sistemi kuracak. Ayrıca telefonunuzun yanınızda olmadığı zamanlar için de ayrı bir şifreyi de buradan oluşturabiliyorsunuz.

Microsoft

Microsoft hesaplarınızın hepsi için iki adımlı doğrulama sistemini aktive etmek için login.live.com adresine girerek Microsoft hesabınızla oturum açın. Buradan Güvenlik Bilgisi kısmına giderek “İki Adımlı Doğrulama Sistemini Aktive Et” bölümüne girin ve yönlendirmeleri izleyin.

Facebook

Facebook’ta sağ üst köşede yer alan Ayarlar kısmından Güvenlik sekmesine girin. Burada ikinci sırada “Giriş Onayları” bölümünü göreceksiniz. Bu bölümde “Başla” onayını verdikten sonra Facebook’un sizin yönlendirdiği adımları takip edin ve işlemi tamamlayın. Facebook’ta dikkat edilmesi gereken nokta sosyal ağın size bazen SMS ile kod gönderirken bazen de mobil uygulamadan bağlanmanızı ve code generator’dan kodu talep etmenizi istemesi.

Twitter

Twitter ayarlarınızda “Güvenlik ve Gizlilik” sekmesine gidin. Burada “Giriş Doğrulaması” bölümünü göreceksiniz. Twitter’ın burada size sunduğu iki seçenek var: Giriş doğrulaması isteklerini telefonuma gönder ve Giriş doğrulaması isteklerini Twitter uygulamasına gönder. Bunlardan size en uygununu seçerek iki adımlı doğrulama sistemini Twitter hesabınız için aktive edebilirsiniz.

LinkedIn

LinkedIn’de Hesap ve Ayarlar menüsünden Güvenlik Ayarları yazısına tıklayın. Burada “Oturum açma işlemi için iki aşamalı onay” kısmının varsayılan olarak kapalı olarak işaretlendiğini göreceksiniz. Aktive etmek için açık hale getirin. Telefon numaranızı sisteme kaydettirerek aktivasyon kodlarının SMS olarak telefonunuza gelmesini sağlayabilirsiniz.

Bloomberg‘in yakın kaynaklardan aldığı bilgilere göre OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilginin sızdırılabildiği bu güvenlik açığı NSA’in son iki senedir kullanıcıların veri ve şifrelerine ulaşmak için kullandığı bir yöntem. Zira söylenildiği üzere NSA 2012’de Heartbleed Bug’ı keşfetmiş ve “ulusal güvenlik” için bu tehlikeyi kamuoyundan saklamış. Üstelik bu ciddi tehlikeyi gizlemekle kalmayan NSA, bunu internet kullanıcılarını izlemek için kendi lehine kullanmış.

Günümüzde popüler bütün tarayıcıların SSL 3.0 sürümünü desteklediğini ve Google, Yahoo ve Facebook gibi teknoloji devlerinin web sitelerinde ve online servislerinde SSL şifrelemesini kullandığını düşünürsek NSA’in bu süre içinde bu açıktan faydalanarak web üzerindeki şifrelenmiş sunucuların üçte birine sızmayı başarmış olması muhtemel.

Kaynaklar NSA’in sadece Heartbleed Bug değil, birçok güvenlik açığından faydalanarak sunuculara sızdığını ve bu şekilde kullanıcı bilgilerine ulaştığını söylüyor. Geçtiğimiz Haziran’dan beri ABD hükümetinin NSA aracılığıyla kullanıcıların internet üzerinde yaptığı her hareketi izlediği, kişisel mesajlaşmaları, e-postaları ve tüm verilerine ulaştığına dair iddialar hala hararetle tartışılmaya devam ederken NSA’in bunun için gizli gizli bir güvenlik açığından faydalanıyor ve bir devlet kurumnun tıpkı bir hacker gibi davranıyor olması olayları yeniden alevlendireceğe benziyor.

Hatırlanacağı gibi Edward Snowden’ın ortaya çıkardığı NSA skandalının ilk zamanlarında Google, Facebook, Apple gibi birçok internet şirketi kullanıcı verilerini hükümete sızdırmakla suçlanmış ve teknoloji devleri kendileri savunmak için art arda şeffaflık raporları yayınlamıştı. Sonrasında NSA’in dolayısıyla ABD hükümetinin kendi sunucularına sızma ve onlardan izinsiz verileri çalma durumuna karşı bu şirketler ekstra güvenlik önlemleri almaya başlamışlardı.

Anlaşılan bugün bu şirketleri tehdit eden ve bu şirketlere kullanıcıların şifrelerini değiştirmek için uyarılar yapmaya iten son dönemlerin en büyük güvenlik açığı Heartbleed Bug, NSA’in bu verileri sızdırmak için kullandığı bir yasadışı yöntemmiş. Diğer bir deyişle Heartbleed Bug’dan yeni haberdar olan bizler şimdi harıl harıl tüm e-posta ve sosyal ağ şifrelerimizi değiştirmeye çalışalım, NSA bunları zaten çok önceden elde etmiş ve biz farkına varmadan tüm bilgilerimizi ele geçirmiş.

Teknoloji dünyasını sarsacak bu iddianın daha çok tartışılacağı ortada. Ancak Heartbleed Bug hakkında hala aklınızda kalan sorular varsa daha önce yayınladığımız kapsamlı Heartbleed Bug dosyasına göz gezdirebilirsiniz.