Son günlerin en sıcak konularından birisi, OpenSSL sistemine keşfedilen ve Heartbleed adını alan güvenlik açığı. Biz de yazdığımız haberlerde okuyucularımızı bu son derece önemli açıkla ilgili bilgilendirmeye çalışmıştık [1], [2]. Cisco, Juniper ve Apple bu açıkla ilgili kullanıcılarına ve müşterilerine kamuoyu açıklamalarıyla bilgilendirme notu geçen firmalar arasında. Şimdiyse açığın NSA tarafından 2 yıl önceden beri bilindiği ve aktif bir biçimde istismar edildiği ileri sürülmekte. NSA, bu iddiaları yalanlıyor ancak kurumun daha önce sıfırıncı gün açıklarını bazen özellikle bildirmeyip istihbarat faaliyetlerinde kullandığını kabul etmiş olması [3] düşündürücü.
Açık kaynaklı kriptografik yazılım kütüphanesi OpenSSL’de çok ciddi bir güvenlik açığı tespit edildi. Hearthbleed bug adı verilen güvenlik açığı, OpenSSL 1.0.1 sürümünün g versiyonuna dek olan sürümleri kapsıyor ve saldırganların istedikleri bilgisayara ve networke rahatlıkla sızarak X.509 sertifikaları, kullanıcı adları, şifreler, anlık mesajlar, e-postalar, kritik iş belgelerini çalmasına olanak sağlıyordu. Bu açığın yayınlanan yamalar sayesinde giderildiği söylense de, açığın 2 yıldır var olması ve olası saldırıların arkasında iz bırakmıyor oluşu ciddi tartışmalara neden oldu.
Öncelikle, bu açığın nasıl keşfedildiğini inceleyelim. Güvenlik araştırmaları yapan Finlandiya merkezli Codenomicon firması analistleri, yeni bir güvenlik ürünü testi yaparken biraz da tesadüf eseri OpenSSL 1.0.1 versiyonunda bir açık tespit etmişler. Firmanın CEO’su David Chartier derhal durumdan haberdar edilmiş ve Chartier, bulunan açığın ciddiyetini fark ederek önce gerekli saha testlerini yapmaya karar vermiş. Tüm açıklar arasında 1’den 10’a kadar bir değer vermesi istense bu açığa 11 değerini vereceğini söyleyen Chartier, önce söz konusu açığın doğasını anlamaya çalışmış sonrasında da ekibiyle birlikte bu açığın aktif bir biçimde istismar edilip edilemeyeceğini test etmiş. Sonuçlar pozitif çıkınca da bunu önce OpenSSL’e sonra da tüm kamuoyuna açıklamaya karar vermiş.
Heartbleed.com adında bir domain açan Codenomicon, bu açığı tüm dünyaya duyurunca OpenSSL’deki bu önemli açıkla ilgili pek çok senaryo da tartışılmaya açıldı. Neticede açığın sadece web sunucularını etkilemediği ve Cisco ve Juniper gibi firmaların ürün ve servislerini de etkilediği, bu firmalardan yapılan güvenlik açıklamaları ve yayınlanan bültenlerle ortaya çıktı [4]. Bunun üzerine komplo teorileri de havada uçuşmaya başladı ve OpenSSL sistemine bu güvenlik açığının kasıtlı olarak yerleştirildiği ileri sürüldü.
Açığın izi sürüldüğünde OpenSSL üstünde çalışan Alman yazılım geliştirici Robin Seggelmann tarafından sisteme yüklendiği saptandı. Seggelmann bir açıklama yayınlayarak kendisinin OpenSSL’deki bazı açıkları giderdiğini, bu açıkları giderirken bir doğrulamayı atladığını ve Heartbleed’in bu şekilde ortaya çıktığını söyledi. Seggelmann, güvenlik açığına yol açan zafiyeti fark edemediğini ve kesinlikle bu durumu bilerek yapması gibi bir şeyin söz konusu olamayacağını açıkladı.
Derken hafta sonunda NSA de bu komplo teorilerinden nasibini aldı. Bloomberg dahil olmak üzere pek çok yayında NSA’e yakın kaynaklardan edinilen bilgilere göre kurumun bu açığın farkında olmakla kalmayıp, 2 yıl boyunca açığı aktif bir biçimde istismar ettiği yazıldı. Bu konuda bir açıklama yayınlayan NSA, söz konusu açığı ilk defa kamuoyuna duyurulduğu anda öğrendiklerini söylüyor. Ancak kurumun daha önce sıfırıncı gün açıklarını bazen özellikle bildirmeyip istihbarat faaliyetlerinde kullandığını kabul etmiş olması.
Sonuç olarak, Heartbleed açığı OpenSSL tarafından yamanmış durumda. Açığın nasıl oluştuğu hakkında da net bilgiler ortaya konmuş durumda. Ancak açığın ne ölçüde istismar edildiği, kimler tarafından hangi operasyonlarda ne süreyle kullanıldığı hala belirsiz. Bu konuda önümüzdeki günlerde daha detaylı bilgilerin gün ışığına çıkabileceği söyleniyor.
[1]-İnternet’te Ciddi Sorun ; OpenSSL Açığı Keşfedildi
[3]-Cisco, 13 Farklı Ürün ve Servisinin Heartbleed Açığından Etkilenebileceğini Duyurdu
[4]-NSA, Bazı Sıfırıncı Gün Açıklarını Özellikle Bildirmediğini ve İstihbaratta Kullandığını Kabul Etti