Heartbleed hatası, popüler olarak kullanılan OpenSSL kriptografik yazılım kütüphanesinin 1.0.1 ve 1.0.2(beta) versiyonlarını etkilemektedir. OpenSSL’de bulunan bu açık sayesinde saldırganlar SSL/TLS tarafından korunan şifrelenmiş verileri çalabilmektedir. Bu açık, internete erişimi olan herkesin zafiyet bulunan makinenin bellek içeriğini okumasına olanak sağlamaktadır. Saldırganlar belleği okuyarak servis sağlayıcılarının gizli anahtarlarını, makinede bulunan hesapların kullanıcı adlarını ve parolalarını görebilmektedir. Saldırganlar tıpkı sisteminize bir böcek yerleştirmiş gibi internet üzerinden yaptığınız bütün şifreli iletişimleri dinleyebilir, veri çalabilir veya kendilerini servis sağlayıcı olarak gösterip zararlı aktivitelerde bulunabilirler.
Neden bu hatanın adı Heartbleed?
OpenSSL’in TLS implementasyonu olan heartbeat (kalp atışı) uzantısında bulunan hata nedeniyle veri sızması olmaktadır.
Neler dışarı sızmaktadır?
Zafiyetten faydalanılarak saldırı yapıldığı sırada sızan veriler herhangi bir veri olabilir. Bu hatayı bu kadar korkutucu yapan da budur. Şu ana kadar bu saldırının verdiği maddi zararı ölçmek mümkün değildir fakat eWEEK bu saldırının bilançosunu aşağı yukarı 500 milyon dolar olarak açıklamıştır.(1)
Bu açıktan ben etkilendim mi?
En çok sorulan ve gerçek bir cevap verilemeyen bir sorudur bu. Bu açık sömürülerek yapılan saldırılar sistemde anormal bir davranışa sebep olmayıp herhangi bir log üretilmesini sağlamıyor. Yani zamanında etkilendiyseniz bile hiçbir haberiniz olmayabilir.
Nasıl korunurum?
Eğer sisteminizde kullandığınız OpenSSL versiyonu güncel ise endişelenmenizi gerektirecek herhangi bir durum yoktur. Eğer OpenSSL versiyon 1.0.1 veya 1.0.2 betalarından birini kullanıyorsanız yapmanız gereken bu versiyonları güncellemektedir. Burada da gördüğümüz gibi sistemleri güncel tutmak kullanıcı tarafında yapabileceğimiz en sağlam defanstır.
Kaynakça:
https://www.eweek.com/security/heartbleed-ssl-flaw-s-true-cost-will-take-time-to-tally
