Heartbleed Nedir? Heartbleed'den Korunma
Heartbleed Nedir? Heartbleed'den Korunma
Son günlerde teknoloji aleminde en çok konuşulan konuların başında gelen ve web sitelerinden tutun da televizyon kanallarına kadar namı yayılmış olan Heartbleed'i duymuş olduğunuzu tahmin ediyorum. En kötü ihtimalle Facebook, Twitter veya farklı web siteleri üzerinde yer alan haber akışları arasında gözünüze kırmızı, içi boş ve üzerinden kan damlayan bir kalp sembolü gördüyseniz, interneti yerinden oynatan güvenlik açığından kısmen de olsa haberdarsınız diyebilirim.
Eminim ki kullanmakta olduğunuz birçok web servisi tarafından son günlerde şifrenizi değiştirmeniz yönünde uyarıldığınız e-posta, mesaj veya bildirimler almışsınızdır. Peki Yahoo, Facebook ve daha birçok dünya devinin web siteleri üzerinde yer alan kullanıcı hesaplarının güvenliğini bile tehlikeye sokan ve internet alemini bir anda tamamen kolları altına alan bir güvenlik açığı olan Heartbleed nedir? Heartbleed açığına mağruz kalıp kalmadığınızı nasıl öğrenirsiniz? Bu yazımda sizlere Heartbleed'in ne olduğundan ve bu konuda neler yapabileceğinizden bahsetmeye çalışacağım.
Heartbleed Nedir?
Heartbleed internet üzerinde yer alan tüm web sitelerinin neredeyse üçte ikisinden fazlası üzerinde yer alan verileri şifrelemek için kullanılan bir şifremele kütüphanesi olan OpenSSL hizmetini etkileyen bir hatadır. Eğer şimdiye kadar web tarayıcınız üzerinde asma bir kilit logosu gördüyseniz veya bir web sayfasını https: protokolünü kullanarak ziyaret ettiyseniz OpenSSL'e az da olsa aşina olduğunuzu söyleyebilirim.
Ortaya çıkan Heartbleed açığı, sunucuların RAM bellekleri üzerinde yer alan ve sözde şifrelenmiş olduğu söylenen verilerin tamamını açığa çıkarmaktadır ve herhangi bir kişi buraya kolayca ulaşarak tüm internet trafiğini kolayca izleme şansına sahip olabilmektedir.
Son zamanlarda Heartbleed açığından yararlanan herhangi biri, sunucular üzerine iletilen tüm şifrelenmiş veriyi deşifre edilmiş bir şekilde görüntüleyebileceği gibi, bahsedilen tüm veri trafiğini ele geçirme şansına da sahiptir.
Peki Heartbleed Açığı Büyük Bir Problem mi?
İnternet üzerinde yer alan sitelerin neredeyse üçte ikisinin OpenSSL protokolünü kullandığı düşünüldüğü zaman, Heartbleed'in oldukça büyük bir sorun teşkil edebileceği bir gerçektir. Ancak bu noktada bilinmesi gereken en önemli şey Heartbleed'in bir virüs veya zararlı yazılım olmadığıdır. Ayrıca Heartbleed tarafından etkilenmiş olan bir web sitesi üzerinden herhangi bir şekilde önemli bir veri çalınmamış da olabilir. Yaklaşık 2012 yılından beri OpenSSL protokolü üzerinde böyle bir açık olduğunu göz önüne alır ve şimdiye kadar kimsenin bu açığı farketmemiş olduğunu düşünürsek, sanırım içiniz biraz olsun rahatlayacaktır. Gerçi bu açık daha önce art niyetli biri tarafından keşfedildiyse, bundan yararlanıldıysa gerçekten büyük bir sıkıntı var demektir.
Birçok kullanıcıya ait kişisel bilgilerin ve şifrelerin, bu açık nedeniyle herhangi birinin eline geçebileceği ve geçmiş olduğu gerçeği söz konusuyken, Heartbleed'in önemsiz bir sorun olduğunu söylemek gerçekten zor. Sonuç olarak kullanıcılara ait şifreler, e-posta adresleri, kullanıcı adları, iletişim bilgileri, kredi kartı numaraları, banka hesap numaraları ve çok daha fazlası Heartbleed açığından yararlanarak OpenSSL protokolü içerisine sızmayı başarmış olan kişilerin elinde olabilir. Yani Heartbleed açığı gerçekten büyük bir problem yaratmaktadır.
Heartbleed Açığından Etkilenip Etkilenmediğinizi Nasıl Anlarsınız?
İnternet üzerinde yer alan her servisin bu açıktan etkilenmiş olduğunu söyleyemem ama daha sonra üzülmektense şimdiden güvenliği ele almanız çok daha mantıklı olacaktır. Bu nedenle Heartbleed açığından etkilenip etkilenmediğinizi öğrenebileceğiniz araçlardan yardım almanızda fayda vardır. Aşağıda yer alan servisler yardımıyla hangi web servislerinin veya sitelerinin Heartbleed açığından etkilendiğini görüntüleyebilirsiniz.
Filippo Heartbleed Testi:
Bu Heartbleed testi yardımıyla, açıktan etkilenip etkilenmediğini merak ettiğiniz web siteleri üzerine yaklaşık 80 bayt boyutunda bir biçimlendirilmiş veri göndererek herhangi bir açık olup olmadığını test etmektedir. Başka bir deyişle, siteye saldıran sanal bir bilgisayar korsanı gibi davranarak, Heartbleed açığı olup olmadığını kontrol eder.
LastPass Heartbleed Testi:
Popüler şifre/parola yönetim servisi olan LastPass ekibi tarafından hazırlanan Heartbleed testi sayesinde de bu açıktan etkilenmiş olduğunu düşündüğünüz web sitelerini ve servislerini kontrol edebilirsiniz. Yapmanız gereken tek şey açıktan etkilenip etkilenmediğini merak ettiğiniz web sitesinin adresini ilgili alana yazarak sorgulamak ve sonuçlara ulaşmaktır.
Google Chrome için Chrome Bleed Eklentisi:
Google Chrome kullanıcılarının Heartbleed açığından etkilenen web sitelerini ve web servislerini belirleyebilmeleri için geliştirilen bir eklenti olan ChromeBleed yardımıyla da ziyaret ettiğiniz siteler hakkında bilgi sahibi olabilirsiniz. Eğer bir Google Chrome kullanıcısıysanız ve çevrimiçi güvenliğinize önem veriyorsanız ChromeBleed'i denemenizi öneririm.
Heartbleed Açığından Etkilendiyseniz Neler Yapmalısınız?
Eğer az önce sizlere önermiş olduğum araçlar yardımıyla kontrol ettiğiniz siteler arasında Heartbleed açığından etkilenmiş olduğunu belirlediğiniz siteler yer alıyorsa, bir karar vermek zorunda olduğunuz bir gerçek. Bu noktada yapmanız gereken ilk şey, açıktan etkilenmiş olan web sitesi veya servisleri üzerinde kullanmakta olduğunuz kullanıcı hesabınıza ait şifreyi değiştirmek olmalı. Ama bu noktada şöyle de bir gerçek söz konusu; eğer Heartbleed açığından etkilenen web sitesi veya servis hala bu açığı kapatmak için bir şey yapmadıysa, şifrenizi değiştirseniz de tekrar ele geçirilebilir.
Heartbleed daha önce de belirttiğim gibi basit bir veritabanı sızıntısı değildir. Bu nedenle şifrenizi değiştirmek tek başına çözüm olmayacaktır. Şifrenizi değiştirmeden önce web sitesi veya servisi üzerindeki açığın kapatılmış olması gerekmektedir. Google gibi birçok büyük web sitesi veya web servisi bu açıktan etkilenmiş olsa da şu an her birinin bu açığa karşı önlem aldıklarını söyleyebilirim. İşte bu yüzden Google, Facebook, Yahoo ve daha birçok web sitesi veya servisi üzerinde kullanmakta olduğunuz şifreleri yenilemeniz, olası bir veri hırsızlığına karşı sizleri koruyacaktır.
Eğer şimdiye kadar hangi büyük sitelerin veya servislerin bu açıktan etkilendiklerini ve hangilerinin bu açığı kapattıklarını görmek isterseniz Github ve Mashable siteleri üzerinde yayınlanan listelere göz atabilirsiniz. Bu sayede kullanmakta olduğunuz hangi servisler veya web siteleri üzerinde yer alan kullanıcı hesaplarınıza ait şifreleri değiştirmeniz gerektiğini öğrenebilirsiniz.
Sizlere sunmuş olduğum iki liste üzerinde yer alan siteleri ve servisleri kontrol ederek, daha önceden bu açıktan etkilenmiş olduğu halde şu an Heartbleed açığını kapatmış olanları görebilir ve bu siteler üzerinde kullanmakta olduğunuz şifreleri değiştirmenin güvenli olduğunu bilebilirsiniz.
Güçlü Parolalar/Şifreler Kullanmaya Özen Gösterin:
Eğer Heartbleed açığını arkanızda bıraktığınızı düşünüyorsanız, bu noktada dikkat etmeniz gereken tek şey güçlü bir şifre/parola kullanmaya özen göstermek olmalıdır. Sonuç olarak çevrimiçi hesaplarınızı korumanın en iyi ve güvenilir yolu, kendi belirleyeceğiniz ve sadece sizin tarafınızdan bilinen şifreler/parolalar olacaktır. Bu yüzden belirli zaman aralıklarıyla farklı web siteleri ve servisler üzerinde kullanmakta olduğunuz şifreleri yenilemekte fayda vardır.
Ayrıca iki adımlı doğrulama sistemini kullanan web siteleri veya servisleri üzerinde yer alan bu özellikten yararlanıyorsanız, büyük bir ihtimalle Heartbleed açığı sizi etkilemeyecektir. İşte bu yüzden iki adımlı doğrulama sistemine sahip olan servisler ve web siteleri üzerinde bu özelliği aktif hale getirmeniz sizin yararınıza olacaktır. Güvenliği elden bırakmak istemiyorsanız, sahip olduğunuz tüm araçları en etkili şekilde kullanmanızı öneririm.
Tüm bunların dışında çevrimiçi güvenliğinize önem veriyorsanız, yapmanız gereken şeylerden bir tanesi de güçlü parolalar oluşturan ve farklı kullanıcı hesapları için bunları yönetmenize olanak sağlayan şifre/parola yönetim programlarından yararlanmak olmalıdır. Bahsetmiş olduğum programlar ve araçlar yardımıyla farklı kullanıcı hesaplarınız için güçlü şifreler oluşturabilir ve oluşturmuş olduğunuz şifreleri tek tek aklınızda tutmak zorunda kalmazsınız. Çünkü kullanmakta olduğunuz şifre yönetim uygulamaları tüm bu işlemleri sizin için güvenli bir şekilde gerçekleştirecektir.
Sonuç:
Heartbleed dünya üzerindeki tüm internet kullanıcılarını etkileyen ciddi bir güvenlik sorunu olmasına karşın, internet kullanıcıları olarak bu konuda yapabileceğimiz pek bir şey olmadığını söyleyebilirim. Bu güvenlik açığına karşı ilk adımı atacak olanlar ise bu açıktan etkilenen web sitelerinin ve servislerinin sunucu yöneticileri olacaktır. Ardından yazımda bahsetmiş olduğum adımları uygulayarak biz internet kullanıcıları da kendimizi güvende hissetmek adına kullanıcı hesaplarımıza ait şifrelerimizi değiştirme yoluna başvurabiliriz.
Heartbleed açığıyla birlikte ortaya çıkan en acı gerçek ise, internet ortamında yer alan kişisel bilgilerimizin veya verilerimizin güvenliğinin asla garanti olmadığı oldu.