Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5
OpenSSL Heartbeats / HeartBleed Güvenlik Açığı
#1
Arkadaşlar Birçok Makale Bu Güvenlik Açığı Hakkında Yazıldı Bende Kendi Fikirlerimi Ve Açığı Kendi Bakış Açımdan Anlatmaya Karar Verdim Buyrun :
Yakın zamanda bilişim gündeminin en üst sırasına yerleşen bir güvenlik açığı tespit edildi.
Bu zafiyetin adı "HeartBleed"... Bu zafiyet, ismini; OpenSSL kütüphanelerinde bulunan Heartbeats (Kalp atışları) adındaki bir eklentinin isminin güvenlik açığını tespit eden kişilerce değiştirilerek Heartbleed (Kalp kanaması) olarak adlandırılmasından alıyor, açığın temel kaynaklanma sebebi de Heartbeats ismi verilen bu eklenti...
Bu güvenlik açığı, uluslararası standart güvenlik açıkları kategorisinde CVE-2014-0160 olarak adlandırılıyor.
OpenSSL ise SSL/TLS protokol hizmeti sağlayan açık kaynak kodlu bir uygulama.
Kısaca sizin https üzerinden gönderilen verilerinizin şifrelenmesini sağlayan ve çoğu sistemde kullanılan bir uygulama diyebiliriz.
Bu zafiyetten şu an için etkilenen sistemler OpenSSL 'in aşağıdaki sürümleri olarak gözüküyor.

OpenSSL 1.0.1 ve OpenSSL 1.0.2-beta sürümleri

Peki ne oldu da bu açık bu kadar çok dillendirildi ve neden bir anda popüler hale geldi ?

Bu güvenlik zafiyeti gerçekten çok can yakan bir açık. Öyleki, düşünün sistemlerde https aktarımında şifreleme için kullanılan Openssl kurulu sistem kendi belleğinde belirli kullanıcılara iletilen cevapları tutuyor. Dışarıdan herhangi birisi https protokülüne küçük boyutlu bir istek yolladığı zaman random olarak belleğinde tuttuğu 64 kb 'a kadar veriyi dışarıdan sıradan istek yapan ve verinin gerçek sahibi olmayan o kişiye sunuyor.
Belleğinde tuttuğu verilerde ise cookieler (web sitelerinin sizin bilgilerinizi hatırlamasına yarayan çerez) , kullanıcı adları & şifreler, mail yazışmaları, get veya post istekleri (Sizin websitesi ile bilgi alışverişi yaptığınızda aktarımı gerçekleşen veriler), X-509 sertifika anahtarları gibi kritik veriler olabiliyor.
Bu verilerle saldırganlar sizin hesaplarınıza giriş yapabilir, şifrelerinizi açık bir şekilde görüntüleyebilir, kullandığınız ağlarda kriptolu tutulan verilerin çoğu elde edilen keyler ile decrypt edilebilir, eğer alışveriş yaptığınız siteler bu açıktan etkileniyor ise siteye alışveriş yaparken gönderdiğiniz kredi kartı bilgileriniz dahi bu açık ile elde edilebilir.
Üstelik bu açık kullanıldığında, sunucularınızdan verilerin bu açık üzerinden çekilip çekilmediğini anlamak çok çok zor.
Bu güvenlik açığının tam olarak ne zamandan beri kullanıldığı belli olmadığı için uzmanlar önemli websitelerinde kullandığınız şifrelerinizin değiştirilmesini öneriyor. Aslına bakarsanız bu güvenlik açığı ilk yayınlandığında panik haliyle birçok haberler yayınlandı ve birçok eksik bilgi yer alan haberlerlerle bilgi kirliliği yapılarak kullanıcılar daha da riske atıldı. Örneğin bu güvenlik açığı Yahoo gibi büyük bir mail sağlayıcı da halen devam ederken bazı websiteleri tüm sitelerdeki şifrelerin değiştirilmesini önerdi. Fakat bu durum birçok kullanıcıyı riske atan bir şeydir. Çünkü sizin güvenlik açığı barındıran bir siteye girerek şifrenizi değiştirmeniz bir önlem olamaz aksine sizin mağdur edilme riskinizi arttırır. Büyük sistemler eğer bu açıktan etkilendiler ise şifre değiştirme ve cookieleri sıfırlama işlemlerini kendileri yerine getirmeleri gerekiyor. Sizler eğer örneğin Yahoo veya Tumblr sistemine şifre değiştirmek maksadıyla girdi iseniz, sizin değişiklik için gönderdiğiniz bilgiler de risk altında olacak ve sizin cookie bilgilerinizin de ele geçirilme ihtimali artacaktır.
Hatta siz sıklıkla kullanmadığınız bir websitesine şifre değiştirme maksadı ile girdiğinizde tehlike altında olacaksınız.
Bu güvenlik açığından ilk haberdar olan şirketlerden Domaintools sistemini güncelleyerek, kullanıcılarının şifrelerini sıfırladı ve bilgilendirme maili yolladı. Google, Twitter vb. sosyal medya platformlarının bir çoğu bu açıktan direkt olarak açıktan etkilenmedikleriyle ilgili açıklamalar yayınladılar.
Bu konu hakkında sistemlerinin etkilenip etkilenmediğine dair açıklama yapan dünya devi şirketlerin duyurularını bu adresten öğrenebilirsiniz.
Fakat tehlike onlar için tam olarak geçmiş değil. Sonuçta bu sistemlerin birçoğu dolaylı olarak bu güvenlik açığını barındıran sistemlerle entegre çalışabiliyor ve bu güvenlik açığı birçok sunucuda giderilmez ise çok büyük sorunlara neden olacak gibi...
Daha önceden elde edilen verilerin decrypt edilerek bilgilerin ortaya çıkmayacağını şuan için birçok sosyal ağ garanti edemiyor.
Şuan için OpenSSL'i internet dünyasında %66 gibi sistemin kullandığı söyleniyor, bu da açığın büyüklüğünü görmemiz ve anlamamız açısından önemli bir nokta.
Ve şuanda birçok websitesi/sunucu bu güvenlik açığını halen gidermemiş durumda. Yani sizler site sahipleri veya kullanıcılar olarak https protokülünü kullanarak gönderdiğiniz maillerinizin, şifrelerinizin elde edilme riskiyle karşı karşıyasınız. Bu sistemi kullanıp kullanmadığını bile bilmediğiniz birçok websitesinde bilgileriniz başka tarafta loglanıyor ve izleniyor olabilir. Bu güvenlik açığının etkilerini uzun süre göreceğiz gibi gözüküyor.
Açığın giderilmesi için sunucu sahiplerinin OpenSSL sürümünü bir an önce güncellemeleri (openssl 1.0.1g) , güncelleme durumu şimdilik olmayanların ise -DOPENSSL_NO_HEARTBEATS parametresi ile openssl 'i sunucularında yeniden derleyerek açığın kaynaklandığı heartbeats eklentisini devre dışı bırakmaları gerekmekte.

Bu açık bulunan eklentinin default olarak yüklü geldiği işletim sistemleri aşağıdaki gibidir:

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
CentOS 6.5, OpenSSL 1.0.1e-15
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Fedora 18, OpenSSL 1.0.1e-4
OpenSUSE 12.2 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
Beğenenler: '[D3F@C4R]
#2
Eline SAĞLIK Kardeşim exciting
Beğenenler:
#3
Mantığı çözmene sevindim

eline sağlık
Beğenenler:
#4
Teşekkürler Beyler exciting
Beğenenler:
#5
bu açıgın vıdoesun ucekıp yayımladım kanka. heartbleed artık fazla kalmadı.
Beğenenler:
#6
eline saglik guzel anlatmissin : )
Beğenenler:
#7
Teşekkür Ederim
Beğenenler:

Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  Log Açığı İle Site Hackleyin! B3lirsiz 298 14,256 01-12-2016, Saat: 14:56
Son Yorum: GoldenArrow
  WordPress RSlider R-Plugin Güvenlik Açığı R3D 85 2,900 01-12-2016, Saat: 09:11
Son Yorum: the_zizil
  14 En İyi Açık Kaynak Web Uygulama Güvenlik Açığı Tarayıcılar archavin 36 2,835 18-11-2016, Saat: 13:57
Son Yorum: cihanmehmet
  Hedef sitede sql açığı manuel + program ile bulma Dark-Capar 3 67 02-11-2016, Saat: 20:13
Son Yorum: Dark-Capar
  Güvenlik kamerası izleme dorkları... ERMİŞ 306 14,098 21-10-2016, Saat: 22:15
Son Yorum: RestInPeace
Anahtar Kelimeler

OpenSSL Heartbeats / HeartBleed Güvenlik Açığı indir, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Videosu, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Online izle, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Bedava indir, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Yükle, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Hakkında, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Nedir, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Free indir, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Oyunu, OpenSSL Heartbeats / HeartBleed Güvenlik Açığı Download


1 Ziyaretçi