HeartBleed Açığı – Acaba Şifreleriniz Güvende mi ?

HeartBleed açığı Sadece OpenSSL kullanan sistemleri etkiledi ama!
Geçtiğimiz hafta başından buyana çeşitli servislerden gelen bilgilendirme mesajlarında Heartbleed açığından bahsedildi. Şifrelerinizi değiştirmeniz istendi. Konuyu araştırdık ve aklınıza takılan soruları cevapladık.

Heartbleed açığı nedir ?
7 Nisan 2014’de OpenSSL.org sitesinde OpenSSL 1.0.1 ve 1.0.2-beta sürümlerinde Heartbleed güvenlik açığının bulunduğunu ilan ederek, açığı bulan google güvenlik uzmanına ve açığın çözümünde emeği geçenlere teşekkür mesajı yayınladı.
etkilenen kullanıcıların ise yine aynı gün yayınlanan 1.0.1g ye terfi etmeleri gerektiğini bildirdi.
Bu açık (Heartbleed Bug) openssl kullanan sistemlerin hafızalarına internet üzerinden erişimi mümkün kılmakta, böylece sistemdeki kullanıcılara ait şifrelerin ele geçirilmesi ihtimalini doğurmaktadır.

Heartbleed açığı kimi nasıl etkiler ?
Dilerseniz hiçbir uyarı beklemeden tüm servislerdeki şifrelerinizi değiştirebilirsiniz.
Bu servisler internet üzerinden hizmet aldığınız, gmail hotmail gibi posta servisleri, hosting hizmetleri, toplu eposta kullanım servisleri, sosyal medya mecraları ve buna benzer her hizmeti kapsayabilir.
Tam olarak hangi sitelerdeki kullanıcı adı ve şifrenizi değiştireceğinizi bilemezsiniz, çünkü sunucularında openssl kullanan firmalar biz openssl kullanıyorduk şeklinde açıklama yapmayabilirler.
Kullanıcılarına karşı dürüst olan global kurumlar zaten email atarak güvenlik açığını anlatan ve neler yapmanız gerekiğini bildiren emailleri çoktan gönderdiler.

OpenSSL nedir ?
SSL Internet üzerinden güvenli iletişim protokolüdür. Daha çok sununucu ve kullanıcı arasında verinin korunması gerektiği işlemlerde kullanılır. (örneğin bankaların internet şubelerini kullanırken)
Çeşitli boyutlarda ve özelliklerde birçok türevi farklı fiyatlarda satılmaktadır. OpenSSL de tüm açık kaynak kodlu uygulamlarında olduğu gibi ücretsiz ya da düşük ücretli SSL sertifikası temini için kurulmuş ve gönüllüler tarafından desteklenen bir organizasyondur.

OpenSSL in hertbleed Bug i Bulunan Versiyonu ile Birlikte Paketlenen İşletim Sistemleri Hangileridir ?
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

HeartBleed OpenSSL açığı Anroid işletim sistemli telefonları etkiledi mi?
Google ın güvenlik bloğunda yaptığı açıklamaya göre android işletim sistemi bu açıktan etkilenmiyor, sadece Android 4.1.1 versiyonu için bir patch çıkarılıp dağıtılmaya başlanmış. Google ayrıca kendi servisleriyle ilgili güncellemeleri yaptığınıda belirtmiş.

Linux sisteminizde openssl i nasıl yükseltirsiniz ?
ilk önce sunucuya ssh ile login olup versiyonunuzu öğrenin ve aşağıdaki işlemleri sadece güvenlik açığı bulunan versiyona sahipseniz yapın.
openssl version  (1.0.1 ve 1.0.2-beta  değilse aşağıdaki işlemleri yapmanızı tavsiye etmiyoruz)

cd /usr/src
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
tar -xvzf openssl-1.0.1g.tar.gz
cd openssl-1.0.1g.tar.gz/
sistemdeki eski symlink leri silin.
rm /usr/lib/libssl.so.0
rm /usr/lib/libssl.so
rm /lib/libssl.so.2
rm /usr/lib/libcrypto.so.0
ve kurun
make
make test
make install
symlink leri tekrar oluşturun
ln -s /usr/lib/libssl.so.1.0.1 /lib/libssl.so.2
ln -s /usr/lib/libcrypto.so.1.0.1 /usr/lib/libcrypto.so.0
Not: Eğer SSH bilginiz yoksa bu işlemleri denemeyin.

Fortinet ürünleri kullananlar ise aşağıdaki linkten yapılması gerekenler konusunda bilgi alabilirler.
http://www.fortiguard.com/advisory/FG-IR-14-011/