Açık kaynaklı kriptografik yazılım kütüphanesi OpenSSL’de çok ciddi bir güvenlik açığı tespit edildi. Hearthbleed bug adı verilen güvenlik açığı, OpenSSL 1.0.1’in g versiyonuna dek olan tüm sürümleri kapsıyor ve saldırganların istedikleri bilgisayara ve networke rahatlıkla sızarak X.509 sertifikaları, kullanıcı adları, şifreler, anlık mesajlar, e-postalar, kritik iş belgelerini çalmasına olanak sağlıyor. Apache ve nginx web sunucularının OpenSSL kullanıyor olduğu düşünülürse tüm aktif internet sitelerinin %66’sından fazlası risk altında.
Codenomicon adlı güvenlik firması tarafından yapılan açıklamaya göre, OpenSSL’deki açık web, e-posta, anlık mesajlaşma ve bazı VPN uygulamalarının güvenli iletişimini sağlamakta kullanılan SSL/TLS sertifikalarını etkiliyor. SSL/TLS sertifika sorunu geçtiğimiz haftalarda Apple’ın da başına dert olmuştu [1], ancak bu sefer sorun çok daha ciddi zira web sitelerinin çok büyük bir bölümü, Yahoo gibi mail sağlayıcılar, IM (anlık mesajlaşma) platformları ve chat odalarının büyük bir kısmı OpenSSL açığından doğrudan etkileniyor. Üstelik, bu açık kullanılarak yapılan saldırılar ardında hiç iz bırakmadığı için tespit edilmeleri de neredeyse imkansız.
OpenSLL’den yapılan açıklamada bir yama yayınlandığı ve birçok işletim sistemi için farklı olarak yayınlanan yamaların kurulması ve paket güncellemesi yapılması gerektiği belirtiliyor. Bu açığın en önemli yanı, bazı kamu portalları ve hizmetleri dahil OpenSSL’in çok yaygın bir biçimde kullanılıyor olması. Güvenlik uzmanları, yama kurulduktan sonra bile, eğer sisteme daha önce sızma yapıldıysa geçmişe dönük mail ve iletişim loglarının takip edilebileceğini belirterek biran önce tuzaklama yapılarak saldırgan tespiti için bir şans yaratılması gerektiğini söylüyorlar.
OpenSSL’deki güvenlik açığının 2 yıldan uzun süredir kullanılan OpenSSL 1.0.1’ın g versiyonuna dek tüm sürümlerde etkili olduğunu bir kez daha hatırlatmamız gerekiyor. Açığı ilk olarak Google’ın güvenlik takımından Neel Mehta bulup OpenSSL’e bildirmiş. Daha detaylı bilgiye OpenSLL ve heartbleed.com sitesinden ulaşabilirsiniz.
[1]- Apple’ın Mac OS X 10.9.1 Sürümünü Etkileyen Önemli Bir Güvenlik Açığı Tespit Edildi