12 Nisan 2014 Cumartesi

OpenSSL Heartbeats / HeartBleed Güvenlik Açığı

OpenSSL Heartbeats / Heartbleed Vulnerability

Yakın zamanda bilişim gündeminin en üst sırasına yerleşen bir güvenlik açığı tespit edildi.
Bu zafiyetin adı "HeartBleed"... Bu zafiyet, ismini; OpenSSL kütüphanelerinde bulunan Heartbeats (Kalp atışları) adındaki bir eklentinin isminin güvenlik açığını tespit eden kişilerce değiştirilerek Heartbleed (Kalp kanaması) olarak adlandırılmasından alıyor, açığın temel kaynaklanma sebebi de Heartbeats ismi verilen bu eklenti...
Bu güvenlik açığı, uluslararası standart güvenlik açıkları kategorisinde CVE-2014-0160 olarak adlandırılıyor.
OpenSSL ise SSL/TLS protokol hizmeti sağlayan açık kaynak kodlu bir uygulama.
Kısaca sizin https üzerinden gönderilen verilerinizin şifrelenmesini sağlayan ve çoğu sistemde kullanılan bir uygulama diyebiliriz.
Bu zafiyetten şu an için etkilenen sistemler OpenSSL 'in aşağıdaki sürümleri olarak gözüküyor.

OpenSSL 1.0.1 ve OpenSSL 1.0.2-beta sürümleri

Peki ne oldu da bu açık bu kadar çok dillendirildi ve neden bir anda popüler hale geldi ?

Bu güvenlik zafiyeti gerçekten çok can yakan bir açık. Öyleki, düşünün sistemlerde https aktarımında şifreleme için kullanılan Openssl kurulu sistem kendi belleğinde belirli kullanıcılara iletilen cevapları tutuyor. Dışarıdan herhangi birisi https protokülüne küçük boyutlu bir istek yolladığı zaman random olarak belleğinde tuttuğu 64 kb 'a kadar veriyi dışarıdan sıradan istek yapan ve verinin gerçek sahibi olmayan o kişiye sunuyor.
Belleğinde tuttuğu verilerde ise cookieler (web sitelerinin sizin bilgilerinizi hatırlamasına yarayan çerez) , kullanıcı adları & şifreler, mail yazışmaları, get veya post istekleri (Sizin websitesi ile bilgi alışverişi yaptığınızda aktarımı gerçekleşen veriler), X-509 sertifika anahtarları gibi kritik veriler olabiliyor.
Bu verilerle saldırganlar sizin hesaplarınıza giriş yapabilir, şifrelerinizi açık bir şekilde görüntüleyebilir, kullandığınız ağlarda kriptolu tutulan verilerin çoğu elde edilen keyler ile decrypt edilebilir, eğer alışveriş yaptığınız siteler bu açıktan etkileniyor ise siteye alışveriş yaparken gönderdiğiniz kredi kartı bilgileriniz dahi bu açık ile elde edilebilir.
Üstelik bu açık kullanıldığında, sunucularınızdan verilerin bu açık üzerinden çekilip çekilmediğini anlamak çok çok zor.
Bu güvenlik açığının tam olarak ne zamandan beri kullanıldığı belli olmadığı için uzmanlar önemli websitelerinde kullandığınız şifrelerinizin değiştirilmesini öneriyor. Aslına bakarsanız bu güvenlik açığı ilk yayınlandığında panik haliyle birçok haberler yayınlandı ve birçok eksik bilgi yer alan haberlerlerle bilgi kirliliği yapılarak kullanıcılar daha da riske atıldı. Örneğin bu güvenlik açığı Yahoo gibi büyük bir mail sağlayıcı da halen devam ederken bazı websiteleri tüm sitelerdeki şifrelerin değiştirilmesini önerdi. Fakat bu durum birçok kullanıcıyı riske atan bir şeydir. Çünkü sizin güvenlik açığı barındıran bir siteye girerek şifrenizi değiştirmeniz bir önlem olamaz aksine sizin mağdur edilme riskinizi arttırır. Büyük sistemler eğer bu açıktan etkilendiler ise şifre değiştirme ve cookieleri sıfırlama işlemlerini kendileri yerine getirmeleri gerekiyor. Sizler eğer örneğin Yahoo veya Tumblr sistemine şifre değiştirmek maksadıyla girdi iseniz, sizin değişiklik için gönderdiğiniz bilgiler de risk altında olacak ve sizin cookie bilgilerinizin de ele geçirilme ihtimali artacaktır.
Hatta siz sıklıkla kullanmadığınız bir websitesine şifre değiştirme maksadı ile girdiğinizde tehlike altında olacaksınız.
Bu güvenlik açığından ilk haberdar olan şirketlerden Domaintools sistemini güncelleyerek, kullanıcılarının şifrelerini sıfırladı ve bilgilendirme maili yolladı. Google, Twitter vb. sosyal medya platformlarının bir çoğu bu açıktan direkt olarak açıktan etkilenmedikleriyle ilgili açıklamalar yayınladılar.
Bu konu hakkında sistemlerinin etkilenip etkilenmediğine dair açıklama yapan dünya devi şirketlerin duyurularını bu adresten öğrenebilirsiniz.
Fakat tehlike onlar için tam olarak geçmiş değil. Sonuçta bu sistemlerin birçoğu dolaylı olarak bu güvenlik açığını barındıran sistemlerle entegre çalışabiliyor ve bu güvenlik açığı birçok sunucuda giderilmez ise çok büyük sorunlara neden olacak gibi...
Daha önceden elde edilen verilerin decrypt edilerek bilgilerin ortaya çıkmayacağını şuan için birçok sosyal ağ garanti edemiyor.
Şuan için OpenSSL'i internet dünyasında %66 gibi sistemin kullandığı söyleniyor, bu da açığın büyüklüğünü görmemiz ve anlamamız açısından önemli bir nokta.
Ve şuanda birçok websitesi/sunucu bu güvenlik açığını halen gidermemiş durumda. Yani sizler site sahipleri veya kullanıcılar olarak https protokülünü kullanarak gönderdiğiniz maillerinizin, şifrelerinizin elde edilme riskiyle karşı karşıyasınız. Bu sistemi kullanıp kullanmadığını bile bilmediğiniz birçok websitesinde bilgileriniz başka tarafta loglanıyor ve izleniyor olabilir. Bu güvenlik açığının etkilerini uzun süre göreceğiz gibi gözüküyor.
Açığın giderilmesi için sunucu sahiplerinin OpenSSL sürümünü bir an önce güncellemeleri (openssl 1.0.1g) , güncelleme durumu şimdilik olmayanların ise -DOPENSSL_NO_HEARTBEATS parametresi ile openssl 'i sunucularında yeniden derleyerek açığın kaynaklandığı heartbeats eklentisini devre dışı bırakmaları gerekmekte.

Bu açık bulunan eklentinin default olarak yüklü geldiği işletim sistemleri aşağıdaki gibidir:

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
CentOS 6.5, OpenSSL 1.0.1e-15
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Fedora 18, OpenSSL 1.0.1e-4
OpenSUSE 12.2 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)

Açığın keşfedilmesi ve giderilmesinde emeği geçen isimler ise şunlar:

Neel Mehta (Google Security Team)
Adam Langley
Bodo Moeller

Eğer siz bir internet kullanıcısı iseniz ve kullandığınız web sitelerinde bu güvenlik açığı var mı yok mu test etmek istiyorsanız bu websitesinden testini gerçekleştirebilirsiniz. Şu aralar internette dolaşırken çok dikkatli olsanız iyi edersiniz çünkü şuan çok popüler olan bu güvenlik zafiyetini kullanan hackerlardan birinin random kurbanı olabilirsiniz. Malesef sistem kaynaklı güvenlik zafiyetlerine karşı kullanıcıların ilk etapta yapabilecekleri çok fazla birşey olmuyor.

Emrullah Akdemir ~ 11.04.2014

3 yorum:

  1. Bu adamın makalelerini hiç sıkılmadan okuyorum helal olsun Emrullah abi

    YanıtlaSil
  2. İyi bir yazı tebrik ederim

    YanıtlaSil
  3. Güzel paylaşım olmuş elinize sağlık, blogunuzu takibe devam ediyorum.

    YanıtlaSil