OpenSSL’deki büyük güvenlik açığı internetin büyük bir kısmını tehdit ediyor
İnternet trafiğinin önemli bir kısmının güvenliğini sağlayan kriptografik yazılım kütüphanesi OpenSSL’de çok ciddi bir güvenlik açığı tespit edildi. Heartbleed Bug adı verilen bu açık güvenlik şirketi Codenomicun tarafından dün kamuoyuyla paylaşıldı ve büyük endişe kaynağı olmaya devam ediyor.
OpenSSL’in ne olduğunu bilmiyor olabilirsiniz ancak çok büyük ihtimalle onu kullanan çoğunluktan birisiniz. Kullandığınız uygulamalar ve ziyaret ettiğiniz internet sitelerinde, verileri gönderim ve alımı sırasında şifreleniyorsa OpenSSL kullanılıyor olma ihtimalleri oldukça yüksek. Örneğin, internetin yaklaşık yüzde 66′sını çalıştıran Apache web sunucusu OpenSSL kullanıyor… Sorun gerçekten ciddi.
Yapılan açıklamaya göre, OpenSSL’deki açık, normal koşullarda SSL/TLS şifreleriyle korunan bilgilerin çalınmasına izin veriyor. SSL/TLS web, e-posta, anlık mesajlaşma ve bazı VPN’lerin iletişiminin güvenlik ve gizliliğini sağlıyor.
Hearthbleed bug’ı OpenSSL yazılımının kırılgan versiyonları tarafında korunun sistemlerin internetteki herhangi biri tarafından okunmasına da izin veriyor. Bu servis sağlayıcıları tanımlamaya ve trafiği şifrelemeye yarayan gizli şifreleri ve kullanıcıların isim ve şifrelerini de güvensiz hale getiriyor. Açık, saldırganların iletişime kulak misafiri olması, doğrudan kullanıcı ve servis bilgilerinin çalınmasına neden olabilir. Bunun anlamı, kullanıcı adları, şifreler, kredi kartı bilgileri vs. gibi hassas bilgilerin tehlike altında olduğu.
Duyuruda, bir suçlu gözüyle kendi kendilerine tamamen dışardan, iz bırakmadan saldırdıkları da söyleniyor. Hiçbir özel bilginin kullanılmadığı bu deneyde, kendi kullanıcı adları, şifreleri, anlık mesajları, e-postalar, kritik iş dökümanları ve iletişimi, gizli şifreleri ve X-509 sertifikalarını çalabilmişler.
OpenSSL’deki güvenlik açığının 2 yıldan uzun süredir kullanılan 1.0.1 ve 1.0.1f versiyonlarında olduğu belirtiliyor. Daha da kötüsü, bu açıkları kötüye kullanılması sonucunda sunucu log’larında hiçbir iz de kalmıyor. Yani sistem yöneticilerinin sunucularına saldırılıp saldırılmadığını anlamaları gerçekten zor.
Açığı, Google’ın güvenlik takımından Neel Mehta bulup OpenSSL’e bildirmiş. OpenSSL bunun ardından güvenlik tavsiyesi ile birlikte bir de acil durum yaması (patch) yayınladı.