Bir süredir çeşitli ortamlarda Heartbleed açığı konuşuluyor. Konuyu uzatmadan şöyle bir özet yapalım. Bilene bilmeyene durumu anlatalım istedik…
İnternet üzerindeki trafiğin bir kısmı dışarıdan bakıldığında görülmeyecek biçimde şifreli olarak akıyor. Bu şifrelemeyi sağlayan şey ise teknolojinin her tarafında gördüğümüz iletişim protokollerinden birisi olan TLS.
TLS açılım olarak transport layer security, Türkçe’siyle taşıma katmanı güvenliği anlamına geliyor. Bu ağ katmanları konusuna şimdilik girmiyoruz zira o ağ iletişiminde tamamen farklı bir konu.
TLS protokolü, kullanıcıların verilerini paketleyerek araya girilse bile anlamsız veri yığınından başka bir şeye erişilmemesini teminat altına alıyor. Bunun için kullanılan birçok farklı platform için uyarlanmış TLS sistem hizmeti var. Bu hizmetler elbette belirli standartlara göre bu işi yapıyor ve birbirleriyle uyumlular. Bu sistem hizmetleri arasında özgür yazılım olma özelliğiyle öne çıkan ve Linux sunucularda kullanılan OpenSSL’in son sürümlerinden bir tanesinde önemli bir güvenlik zaafiyeti barındırdığı keşfedildi.
Yaygın ve ciddi bir sorun
Codenomicon isimli Finlandiyalı bir firmanın Heartbleed ismini taktığı bu açık, sunuculara kurulu OpenSSL’in uzaktan “yoklanması” (heartbeat check) sırasında sistem belleğinden de bir dilim ikram edilmesine sebep oluyor. Yeterince yoklama yapıldığında ise sistem belleğinin teorik olarak tamamına erişmek mümkün oluyor. Bu sayede normal şartlarda bellekte kendi özel ve gizli bölgesinde çalışan uygulamaların da işlediği veriler dışarı sızabiliyor. Örneğin müşterilerin gizli şekilde ilettiği kredi kartı numaraları bile açığa çıkartılabilir, veri tabanından gelen sorguların sonuçları gayet net şekilde okunabilir. Artık o sorgularda o anda neler belleğe düştüyse hepsi elde edilebilir.
Heartbleed denmesinin sebebi ise basit: Bu soruna 2012 sonunda OpenSSL’e entegre edilen heartbeat kontrolü ekindeki açık sebep oluyor. Her bir yoklamada bellekteki 64 kilobyte’lık veri de sorgulama yapılan tarafa aktarılmış oluyor. Bu açığın bu kadar uzun süre fark edilmemesi ise çok büyük bir sorun.
Çözümü basit
Birçok GNU/Linux dağıtımında bu sorunla ilgili yama yayınlandı ve sorunlar çözüldü. Eğer eski bir sürüm kullanmanız gerekiyorsa, OpenSSL’i elle derlerken heartbeat uzantısını devre dışı bırakmanız yeterli. Eğer gömülü sistemlerde TLS üzerinden çalışan hizmetler kullanıyorsanız, cihaz üreticilerinin firmware güncelleştirmelerini de takip etmeniz gerekiyor. Tabii ki şimdiye kadar sizin haberiniz olmadan sızdırılmış olabilecek veriyle ilgili de risk analizi yapmanız doğru olacaktır.
Bu arada, eğer Karel iletişim sistemlerini kullanıyorsanız “Heartbleed” açığını dert etmenize gerek yok.
Bu yazıyı okuyan bunları da okudu:
IP Santralı Hackerlardan Korumak
Kurumsal İşletmeler için İletişim Sistemi Satın Almak: 8 İpucu
Güvenlik Kamera Sistemlerinde İdeal Çözünürlük Nedir?
