Heartbleed Virüsü: En basit açıklaması bilgisayarınızın kalbini söküyor! 🙂
Son günlerde neredeyse tüm sosyal medya firmalarının maillerinde, bloglarında bu virüs ile ilgili açıklamalar bulunuyor. Bununla birlikte haber siteleri, bloglar iyice bu virüsle ilgili haberleri genişlettiler. Son olarak 2012 yılı Nisan ayında OpenSSL açığı bulunmuştu aradan tam 2 sene geçti ve 2014 Nisan ayında tam 3 tane OpenSSL açığı bulundu. Bununla ilgili internette çok detay bulunmasada ben remote exploit’leri sürekli takip ettiğim için haberim oluyor. Çok içine girip araştırmak istemedim ancak, Heartbleed “Bu internet tarihinin büyük ihtimalle karşı karşıya kaldığı en büyük virüs” CloudFlare şirketinin CEO’su Matthew Prince bu sözleri geçen hafta kaydetmiş bende CloudFlare şirketini takip eden biri olarak bu uyarıyı ciddiye aldım ve araştırma yapmak istedim 🙂
OpenSSL Heartbleed Nedir? (İngilizce)
[youtube]http://www.youtube.com/watch?v=wxsNlnf8l8s[/youtube]
OpenSSL ile şifrelenmiş dosyayı okuma!
Video’da öncelikle bir .txt dosyası oluşturup içerisine biraz metin giriyor daha sonra bu .txt dosyasını OpenSSL ile şifreleyip sercrets.txt adında bir dosyaya kaydediyor sonra konsol’da bu dosyayı açıp içerisindeki şifrelenmiş veriyi gösteriyor. Hacker’lar işte bu şifrelenmiş verilere ulaşıyorlar video’nun devamındada bu dosyayı nasıl okunabilir hale getiriyorlar görebiliyorsunuz.
[youtube]http://www.youtube.com/watch?v=m4_pR7SJfh0[/youtube]
Heartbleed
Evet gerçekten büyük bir açık incelendiğinde milyonlarca şifrenin çalındığını görebiliyorsunuz ancak internet üzerinde bir çok haber sitesindede gördüğümüz üzere yoğunlaşılan kısım şu: Tüm şifrelerinizi değiştirin! Hani bütün bildiklerinizi unutun doğru olan bu gibi bir yazı aslında haber sitelerininki ama ben olaya bu şekilde bakmaktan yana değilim öncelikle açığı araştırmaktan yanayım.
Açık OpenSSL‘den kaynaklı, Neel Mehta ve Codenomicon şirketi tarafından bulunan bir açıktan bahsediyoruz. Açık OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonlarda mevcut. Son güncel sürüm 1.0.1g’de bu açık giderilmiş. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lık bölümler halinda sızdırabiliyor. Ama öncelikle bu SSL ve OpenSSL hakkında bilmemiz gereken şeyler var mesela bunlar nedir gibi? 🙂
SSL nedir?
SSL (Secure Socket Layer) 1994 yılında Netscape tarafından geliştirilen SSL Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi web tarayıcılarıyla sunucular arasındaki güvenliği sağlamayı amaçlıyor. Web tarayıcılarının genellikle adres çubuğunda bir kilit sembolüyle gösterdikleri bu protokol kullanıcı adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesine imkan tanıyor.
OpenSSL nedir?
Bilindiği gibi SSL sertifikaları büyük firmalar tarafından oldukça yüklü rakamlara üretiliyor. Büyük firmaların dışında bu sertifikaları üretmek mümkün, bunun için kendiniz sertifika sunucusu kurabilir ve işletebilirsiniz. OpenSSL organizasyonu burada devreye giriyor, ve bir kaç küçük program ile kendi sertifikalarınızı üretmenize olan veriyor.
Neden o zaman GlobalSign, VeriSign gibi kurumlara 100′lerce dolar ödeniyor?
Bunun başlıca sebeplerinden birisi güvenlik, diğeri ise firmaların anlaşmaları. Browserlar belirli kurumlar dışındaki (akredite kurumlar) üretilen sertifikaları güvenli bulmayıp kullanıcıya hata mesajı vereceklerdir.
SSL’i örneklendirirsek biraz daha rahat anlaşılabilir. Bir işiniz var halletirmek istiyorsunuz ve halledeceğiniz yere gittiğinizde karşınıza çıkan görevliye, ben filan patronun selamıyla ve imzasıyla geliyorum diyorsunuz. Eğer karşıdaki adam patronu biliyorsa imzaya bakıp tamam bu güvenilir bir adam ve selamda geçerlidir diyecek ve sizde böylelikle rahatlıkla işinizi yaptıabileceksiniz.
Aynı şekilde, siz bir eticaret sitesi yapıp kullanıcıya güvenli hat gerektiren ödeme gibi bir hizmet vermek istiyorsunuz. SSL sertifikanızı GlobalSign, VeriSign gibi firmalardan aldığınızda, başkası bu sertifikayı taklit edemeyeceği için sisteminizi kullanan müşteri sertifika detaylarında hem siteniz kime aitmiş hemde yukarıda kimin tarafından akredite edilmiş bilgisine ulaşacak, hımm bu patron’un (Verisign) bilgisi ve imzası ile geldiyse bu güvenilir biridir diyecektir.
Kendi kendizine sertifika ürettiğinizde sorun burada başlıyor. Eğer OpenSSL gibi bir sistem ile ürettiyseniz sertifikanızı karşıdaki adama gösterdiğiniz, imza kendi imzanız olacaktır. Yani adama diyorsunuzki, ben kendi selamım ve imzam ile geldim, patron benim. Adam inanırsa artık!
Bu yüzden son kullanıcıya hizmet verecekseniz mutlak surette üst güvenlik kurumlarından imza (sertifika almalısınız). Eğer kendi kurum içinizde uygulama yapacaksanız sertifikayı kendiniz üretip kara geçebilirsiniz. Mesela kendiniz bir mesajlaşma sunucusu ve programı yazdığınızda, sunucuda programda aynı yapıda sertifikalar kullanıp ucuz ve güvenilir mesajlasma yapabilirsiniz.
Heartbleed ne kadar tehlikeli?
Heartbleed açığı ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanızı sağlıyor. Kötü niyetli hacker grupları tarafından milyarlarca kişinin, şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyorlar tabi SSL derken OpenSSL!
Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahini insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.
Hangi siteler tehlikede altında?
Heartbleed Apache ve Ngnix gibi populer web sunucularında yer alması bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli listesine ekliyor. Son günlerde neredeyse bütün büyük sosyal ağlar konu hakkında açıklama yaptı ve şifrelerin değişmesi yönünde açıklamada bulundular. Bunun üzerine Mashable ekibi bir yazı yayınladı ve zarar gören siteler hakkında geniş bilgi verdi. Görünen o ki Google, Facebook, Instagram, Pinterest, Tumblr, Yahoo, Ebay, GoDaddy, Dropbox gibi firmalar bu açıktan etkilenmiş. Buda açığın en büyük sitelerdede olduğunu gösteriyor.
Tabi bu açık çıktıktan sonra makaleler, videolar, siteler arttı ardından Filippo “Heartbleed testi” adında bir sayfa açtı. Mashable’deki listeye bakarak test sayfasını incelediğimizde tüm sitelerin bu açığı kapattığı görülüyor.
Ne yapmamız gerekiyor?
Burada 2 grupa ayrılmak gerekiyor, birincisi OpenSSL kullanan firmalar diğerleri ise kullanıcılar bu 2 grubada girmiş olabilirsiniz benim gibi sırayla anlatalım.
Site sahipleri
Yukarıdada söylediğim gibi OpenSSL’i güncellememiz gerekiyor. OpenSSL’in resmi sitesndende görebileceğiniz üzere son yayınlanan sürüm OpenSSL 1.0.1g’ye geçmek gerekiyor. Eğer böyle bir işlem yapmanız mümkün değil ise “-DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derleme yaparak Heartbleed özelliğini devre dışı bırakabilirsiniz.
Ubuntu kullanıcıları için OpenSSL güncelleme videosu;
[youtube]http://www.youtube.com/watch?v=sq7Eib02Rb8[/youtube]
Kullanıcılar
Yukarıda belki “Tüm şifrelerinizi değiştirin!” başlığına trip atmış olabilirim 🙂 Ama şifrelerinizi değiştirin demeden önce şunu söylemek istiyorum her siteye farklı ve zor şifreler girmenizi tavsiye ederim. Eğer siz Facebook’a girdiğiniz şifreleri diğer tüm sitelere girdiyseniz hacker o mail adresi ile diğer sosyal medya hesaplarınada bağlanmaya çalışacaktır önemli olan zaten burada sosyal medya değil banka hesap bilgilerinis vs. bunlarda çok önemli ebay hesabınıza girip siparişler yağdırabilirler. Şifrelerinizi değiştirin ama lütfen aynı olmasınlar!
- Şifre güvenliğinizi üst düzeye çıkarın
- Firefoxta Şifre Güvenliğinizi üst düzeye çıkarın.
- 2013 Yılı En Çok Kullanılan 25 Şifre Belli oldu
Kaynaklar;
- Milw0rm (root)
- Heartbleed Alexa top 10000
- Heartbleed test
- OpenSSL Security Advisory
- OpenSSL Severe Vulnerability in TLS Heartbeat Extension (CVE-2014-0160)
- İnternetteki tüm bilgiler tehlike altında
- Disqus – Heartbleed
- Heartbleed Bug
- Heartbleed – Wikipedia
- OpenSSL TLS Heartbeat Eklentisi Bilgi İfşası Zafiyeti
- The Heartbleed Hit List: The Passwords You Need to Change Right Now