12 Nisan 2014 Cumartesi

İnternetteki gelmiş geçmiş en büyük güvenlik açığı


İnternet trafiğinin önemli bir kısmının güvenliğini sağlayan kriptografik yazılım kütüphanesi OpenSSL’de çok ciddi bir güvenlik açığı tespit edildi.

"Heartbleed Bug" adı verilen bu açık güvenlik şirketi Codenomicun tarafından dün kamuoyuyla paylaşıldı ve  endişe kaynağı olmaya devam ediyor.
Mashable özellikle popüler sitelerin bug'dan etkilenip etkilenmediğini takip edip güncelliyor ve şifre değiştirmenin faydalı olup olmayacağı konusunda bilgi veriyor.
Mashable'ın listesine göre Facebook, Tumblr, LastPass, SoundCloud, Dropbox gibi sitelerin şifresini değiştirmekte fayda var. Google'da açıktan etkilendi ancak Mashable'a göre Google şifre değiştirmeye gerek olmadığını açıkladı.
Birçok yabancı basın yayın organı da kullanıcıları şifreleri konusunda uyardı.
İşte popüler sitelerin açıktan etkilenip etkilenmediğiyle ilgili liste:

Mashable'ın listesi:

Facebook: Etkilenip etkilenmediği bilinmiyor, şifresini değiştirmekte fayda var.

LinkedIn: Etkilenmedi

Tumblr: Etkilendi, şifrenizi değiştirmenizde fayda var.

Twitter: Henüz kesin bilgi yok.

Apple: Henüz kesin bilgi yok.

Amazon: Etkilenmedi

Google: Etkilendi (Gmail, YouTube, Wallet, Play, Apps ve App Engine etkilendi, Google Chrome ve Chrome OS etkilenmedi). Google kullanıcıların şifrelerini değiştirmeye gerek olmadığını açıkladı.  Ancak uzmanlar yine de şifrelerin değiştirilmesinin daha güvenli olacağını söylüyor.
Microsoft: Etkilenmedi

Yahoo: Etkilendi. Yahoo anasayfası, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr ve Tumbler patch'lendi, diğerleri için de Yahoo çalışıyor.
Gmail: Etkilendi. Google şifreleri değiştirmeye gerek yok dedi. 

Hotmail/Outlook: Etkilenmedi

Dropbox: Etkilendi, şifreyi değiştirmekte fayda var.

Evernote: Henüz belirlenemedi.

LastPass: Etkilendi

SoundCloud: Etkilendi. Kullanıcıların sign out yapması istendi.
NOT: Bu sitelerdeki zayıflıklar kısa sürede düzeltilebiliyor bu nedenle güncellemeleri takip etmek gerekiyor. Mashable'ın güncellemelerini buradan takip edebilirsiniz.
İngiliz basını uyardı
BBC televizyonu “Teknoloji firmaları şifrelerin acilen değiştirilmesini önerdi “ başlıklı haberinde OpenSSL kullananan servis vericilerin web sitelerine girilerek bilgilere ulaşılabildiğini bildirdi.
Google’un bazı kuruluşları uyardığı ve kullandıkları OpenSSL’lerini güncelleştirmelerini istediği öğrenildi. Şifreler değiştirilmeden internet servisi verenlere danışılması tavsiye edildi.
Yahoo, şifrelerini değiştirmeleri için e-maille, dosyalama , bankacılık işlemleri yapan yüksek güvenlik kurumlarına uyarı gönderdi.

Daily Mirror bugünkü birinci sayfadan verdiği “Tüm şifrelerinizi değiştirin” manşetli haberinde bilgisayar kullanıcılarının internet güvenliğinin sarsıldığını yazdı ve Heartbleed virüsünün, Google, Yahoo, Amazon, Facebook gibi online devlerinin sitelerinde özel bilgileri hack saldırılarına açık hale getirdiğini yazdı.

Web uzmanı Tony McDowell, “Herkes bu şekilde hacklenebilir ve dinlenebilir” dedi. Bu internet güvenlik sorununun iki yıldır olduğu ve Heartbleed virüsü yüzünden internet sitelerinin yüzde 66’sının hacklendiği ileri sürüldü. Saldırılarganlar geride iz bırakmadıkları için ne kadar bilginin bugüne kadar çalındığı öğrenilemedi.

Kanada gibi birçok yerde bazı online faaliyetlerin durdurulduğu anlaşıldı. Daily Mirror, yarım milyon e-ticaret firmasının riskte olduğunu ileri sürdü.
OpenSSL nedir?
OpenSSL’in ne olduğunu bilmeseniz de büyük ihtimalle onu kullanıyorsunuz. Kullandığınız uygulamalar ve ziyaret ettiğiniz internet sitelerinde, verileri gönderim ve alımı sırasında şifreleniyorsa OpenSSL kullanılıyor olma ihtimalleri oldukça yüksek. Örneğin, internetin yaklaşık yüzde 66′sını çalıştıran Apache web sunucusu OpenSSL kullanıyor.
Yapılan açıklamaya göre, OpenSSL’deki açık, normal koşullarda SSL/TLS şifreleriyle korunan bilgilerin çalınmasına izin veriyor. SSL/TLS web, e-posta, anlık mesajlaşma ve bazı VPN’lerin iletişiminin güvenlik ve gizliliğini sağlıyor.
Hearthbleed bug’ı OpenSSL yazılımının kırılgan versiyonları tarafında korunun sistemlerin internetteki herhangi biri tarafından okunmasına da izin veriyor. Bu servis sağlayıcıları tanımlamaya ve trafiği şifrelemeye yarayan gizli şifreleri ve kullanıcıların isim ve şifrelerini de güvensiz hale getiriyor. Açık, saldırganların iletişime kulak misafiri olması, doğrudan kullanıcı ve servis bilgilerinin çalınmasına neden olabilir. Bunun anlamı, kullanıcı adları, şifreler, kredi kartı bilgileri vs. gibi hassas bilgilerin tehlike altında olduğu.
OpenSSL’deki güvenlik açığının 2 yıldan uzun süredir kullanılan 1.0.1 ve 1.0.1f versiyonlarında olduğu belirtiliyor. Daha da kötüsü, bu açıkları kötüye kullanılması sonucunda sunucu log’larında hiçbir iz de kalmıyor. Yani sistem yöneticilerinin sunucularına saldırılıp saldırılmadığını anlamaları zor.
Açığı kim buldu?
Açığı, Google’ın güvenlik takımından Neel Mehta bulup OpenSSL’e bildirdi.
Heartbleed bug’ın siteleri etkileyip etkilemediği ya da açığın hala bir risk unsuru olup olmadığını buradan test edebilirsiniz.
İnternette şu ana kadar görülmüş en büyük güvenlik açığı denilen "Heartbleed bug"ın kaç web sitesini etkilediği tam olarak bilinmiyor
.

Hiç yorum yok: