Günümüzde pek çok bankacılık işlemi dahil olmak üzere online olarak yapılan kritik işlemlerin güvenliği SSL şifreleme metoduyla sağlanıyor. Bu yüzden de en yaygın kullanılan SSL paketlerinden biri olan OpenSSL‘de ortaya çıkan güvenlik açığı, Heartbleed, “neyse ne canım” diyerek sizi ıskalayacağını düşünebileceğiniz tehditlerden biri değil.
İnternet sunucularının yaklaşık olarak üçte ikisi tarafından kullanılan OpenSSL’in heartbeat işlevindeki birkaç baytlık kod içerisinde yer alan güvenlik açığı, bu hafta Yahoo‘dan Tumblr‘a ve Dropbox’a kadar birçok web servisini vurdu. İsim babası Google ve güvenlik şirketi Codenomicon olarak Heartbleed, hacker’ların web sitelerini barındıran sunuculardaki korumayı aşıp, hassas bilgilere erişebilmesini kolaylaştırıyor.
Ne Yapmanız Gerekiyor?
Öncelikle açığı kapatmak için her platformun kendi OpenSSL kütüphanesini güncellemesi gerekiyor. Kullanıcı tarafında ise kişisel giriş bilgilerinin (kullanıcı adı, ID, şifre vb.) ele geçirilme ihtimaline karşın, parolaların güncellenmesi faydalı görünüyor. Mashable tarafından düzenli olarak güncellenen listede, sosyal ağlardan bulut servislerine kadar birçok online oluşumun Heartbleed karşısındaki güncel durumu yer alıyor.
Listeye göre Heartbleed açığından etkilenen ve kullanıcılara parolalarını değiştirmelerini öneren servisler şu şekilde sıralanıyor: Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Gmail, Amazon Web Servisleri, GoDaddy, Dropbox, Minecraft ve SoundCloud.
Neyse ki bahsi geçen servislerin tamamı bir yama hazırlayıp açığı kapatmış durumda. Yani parolanızı güncelledikten sonra ekstra bir endişeye lüzum yok. Öte yandan WordPress ve Netflix gibi devasa ölçekli hizmetlerin etkilenip etkilenmediği henüz bilinmiyor.
Apple Heartbleed’den Etkilenmedi
Başta Apple servisleri olmak üzere, LinkedIn, Twitter, Amazon, Microsoft, AOL, Hotmail, eBay, PayPal ve Evernote ise listede yaygın kullanılan ve Heartbleed’den etkilenmemiş oluşumlar olarak dikkat çekiyor. Türkiye’de de bankaların birçoğu benzer şifreleme hizmetleri kullanıyor.
OpenSSL Heartbleed’in hemen ardından gerekli yamayı yayınladı, ancak bunun her kurum tarafından uygulanması birkaç gün sürebilir. Bu süre zarfında özellikle parolanızı güncellemeden kritik işlemler yapmaktan uzak durmanızda fayda var.
:: Parolalarınızı Heartbleed sonrası güncellediniz mi?
2-3 hafta önce beni de vurdu bu. sanırım ilk vuranların başında geliyorum. https uzantısı ile facebook’u açmıyor http ile girince ise sertifika’yı kabul et diye bir seçenek çıkıyordu. kabul edince http://www.facebook.com uzantısı adı altında seagame diye bir siteye yönlendiriyordu. daha önce hiç girmediğim bir site.
benim bilgisayarımdan sonra sırası ile kendi telefonum annemin telefonu babamın telefonu ablamın telefonu ve ablamın bilgisayarı etkilendi.
daha sonra dns ayarı değiştirerek kurtuldum. kullandığım dns ise şu:
“77.88.8.8 77.88.8.1”
Şifreleri güncelledik ama başka bir yerde de açıklar kapatılmadan şifre değiştirmenin bir anlamı olmadığı söyleniyordu.
Dünya üzerindeki OpenSSL kullanan sunucuların yalnızca ,5 u bu açıktan etkileniyor. Open SSL’in 1.0.1 ve birkaç beta sürümünde var bu açık. Ya OpenSSL paketleri güncellenecek yada yeniden derleip HeartBeat özelliği kapatılacak bu kadar basit. Bunuda biz son kullanıcılar değil hizmet sağlayıcılar yapacak zaten.
Google cüzdan kullananlar sakata gelmiş olabilir mi?
Bir bilginin internette yayılma hızını ölçüyorlardır belki de 😀
kim ne derse desin ios çok güvenli tabi sürekli güncel tutmanız lazım.