Eğer bir güvenlik açığı sabah 8 haberlerine çıkıyorsa gerçekten ciddi bir durum var demektir. Tıpkı bu sabah, Internet üzerinde en yaygın kullanılan kriptolama kütüphanesi olan OpenSSL ile ilgili ortaya çıkan Heartbleed isimli güvenlik açığında olduğu gibi. Eğer bu konuda kafanız karıştıysa endişe etmeyin, bundan sonraki 500 kelime içinde tüm hikayeyi anlatacağız.
Google, Facebook veya bankanızın online sitesi gibi bir web sitesine kriptolu bağlantı kurduğunuzda verileriniz SSL/TLS protokolü ile şifrelenerek gönderilir. Pek çok popular web sunucusu bu işi yapması için OpenSSL kütüphanesini kullanır. Bu hafta başında OpenSSL ekibi “Heartbeat” isimli TLS özelliği için ciddi bir güvenlik açığı için yama yayınladı. Bu güvenlik açığı nedeniyle saldıganlar sunucu hafızasının 64kB’lık kısmına kadarını görebilirler.
Diğer bir deyişle, Internet üzerindeki herhangi biri bu kütüphanenin güvenlik açığı olan sürümünün çalıştığı bir makinanın hafızasını okuyabilir. En kötü senaryoda bu küçük hafıza bloku, kullanıcı adı, şifre hatta sunucunun kriptolu bağlantı kurmak için kullandığı özel anahtar gibi hassas verileri içeriyor olabilir. Bunlara ek olarak, Heartbleed güvenlik açığı arkasında hiç bir iz bırakmıyor. Yani sunucunun hack edilip edilmediğini, edildiyse ne tür verilerin çalındığını söylemek mümkün değil.
İyi haber OpenSSL bu güvenlik açığına yama yayınladı. Kötü haber, Heartbleed güvenlik açığına sahip olan sitelerin bu yamayı yüklediklerinin bir garantisi yok. Daha kötü haber, bu güvenlik açığını kullanmak çok kolay gözüküyor ve en az iki yıldır sunucular bu güvenlik açığı ile çalışıyordu. Yani pek çok popüler web sitesinin sertifikaları, hatta şifreleri de dahil hassas bilgileri çalınmış olabilir.
Kullanıcılar için eylem planı
- Favori web sitleriniz güvenlik açığına sahip mi kontrol edin. Güvenlik açığının varlığını kontrol edebileceğiniz online araçlar mevcut. Yama yapılmış olabileceği için daha önce güvenlik açığı olup olmadığını kontrol etmeyi unutmayın. Şanslıyız ki popüler web sitlerinin büyük bir kısmı bu güvenlik açığı konusunda kontrol edilmiş. İyi haber, Google ve Facebook bu durumdan etkilenmemiş. Kötü haber Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, Hidemyass, 500px daha pek çok site etkilenmiş. Eğer bu sitelerden birinde hesabınız var ise harekete geçmeye hazır olun.;
- Sitede şu anda güvenlik açığı olup olmadığını kontrol edin. Bunun için bu basit aracı kullanabilirsiniz.
- Site sahibi hatayı yamadığında sertifikaları da yeniden imzalamalıdır. Bu nedenle sunucu sertifikasını izlemeye hazır olun ve yeni bir tane kullanıldığından emin (8 Nisan ve sonrası bir tarih) olun. Bunun için tarayıcınızda sertifika iptal kontrolünü etkinleştirin. Google Chorme için örnek ayarlar şu şekilde:
- Bu sayede tarayıcınızın eski sertifikaları kullanmasını önlemiş olursunuz. Sertifikanın oluşturulma tarihini el ile kontrol etmek için adres çubuğundaki yeşil çubuğa tıklayıp “Bağlantı” sekmesindeki “bilgi” linkine basın:
- En önemli adım ise sunucu yaması yapılıp ve sertifika yenilendikten sonra hemen şifrenizi değiştirmektir. Bu durumu bir fırsat olarak değerlendirerek şifre politikanızı değiştirip kolay hatırlanabilen ama güçlü şifreler kullanmaya başlayabilirsiniz. Ayrıca yeni şifrelerinizin güçlü olup olmadığın Şifre Kontrol edici ile kontrol edebilirsiniz.