7 Nisan Pazartesi günü, uygulamalar ve web sunucuları ile yaygın olarak kullanılan popüler OpenSSL şifreleme kitaplığında "Heartbleed" olarak bilinen büyük bir güvenlik açığı bulundu. İnternet'teki siteler ve hizmetler bu nedenle bu güvenlik açığını gidermek ve müşterilerini korumak için SSL sertifikalarını güncellemekle meşgul. Söylendiği gibi, OpenSSL v1.0.1 ila 1.0.1f (dahil) savunmasızdır ve 7 Nisan 2014'te yayınlanan OpenSSL 1.0.1g bu hatayı düzeltir.
Heartbleed.com'dan bir alıntı diyor ki,
Heartbleed Bug, popüler OpenSSL şifreleme yazılımı kitaplığındaki ciddi bir güvenlik açığıdır. Bu zayıflık, normal koşullar altında, İnternet'in güvenliğini sağlamak için kullanılan SSL/TLS şifrelemesi tarafından korunan bilgilerin çalınmasına izin verir. SSL/TLS, web, e-posta, anlık mesajlaşma (IM) ve bazı sanal özel ağlar (VPN'ler) gibi uygulamalar için İnternet üzerinden iletişim güvenliği ve gizliliği sağlar.
Heartbleed hatası, İnternet'teki herkesin OpenSSL yazılımının savunmasız sürümleri tarafından korunan sistemlerin belleğini okumasına izin verir. Bu, saldırganların iletişimleri gizlice dinlemesine, doğrudan hizmetlerden ve kullanıcılardan veri çalmasına ve hizmetleri ve kullanıcıları taklit etmesine olanak tanır.
Sitenizin veya Android Telefonunuzun Heartbleed hatasından etkilenip etkilenmediğini kontrol edin –
Bilgilerinizi emanet ettiğiniz sitenin savunmasız olup olmadığını ve sertifikasının ne zaman güncellendiğini size söyleyebilecek bazı hizmetler vardır.
Filippo Valsorda'nın Heartbleed testi – filippo.io/Heartbleed
Sunucunuzu Heartbleed için test etmek için bir URL veya ana bilgisayar adı girin (CVE-2014-0160). Bunun gibi bir bağlantı noktası belirtebilirsiniz örnek.com:4433. Varsayılan olarak 443.
LastPass Heartbleed denetleyicisi – lastpass.com/heartbleed
Bir sitenin Heartbleed'e karşı savunmasız olup olmadığına bakın. Sitenin sunucu yazılımını gösterir, güvenlik açığı olup olmadığını ve SSL sertifikasının şimdi güvenli olup olmadığını ve en son ne zaman oluşturulduğunu söyler.
Chromebleed (Google Chrome uzantısı)
Göz attığınız site Heartbleed hatasından etkileniyorsa bir uyarı görüntüler. Filippo'nun hizmetini kullanarak sayfanın URL'sini kontrol eder. Siteleri manuel olarak kontrol etmek istemiyorsanız kullanışlıdır.
Mashable, mevcut durumlarını, etkilenip etkilenmediklerini ve şifrenizi değiştirmeniz gerekip gerekmediğini belirten, iyi bilinen sitelerin ilginç bir listesini derledi.
Android için Heartbleed Dedektörü –
Android kullanıcıları, Lookout Mobile Security'nin "Heartbleed Detector" adlı ücretsiz uygulamasıyla Android cihazlarının HeartBleed hatasına karşı savunmasız olup olmadığını kolayca kontrol edebilir. Uygulama, cihazınızın hangi OpenSSL sürümünü kullandığını belirler. Cihazınız OpenSSL'nin etkilenen sürümlerinden birini çalıştırıyorsa, belirli güvenlik açığı bulunan davranışın etkinleştirilip etkinleştirilmediğini kontrol eder.
Ancak, cihazınız güvenlik açığına sahipse, Google veya cihaz üreticiniz tarafından bir yama yayınlanmadığı sürece yapabileceğiniz herhangi bir gerekli işlem yoktur.
Etiketler: AndroidGüvenlik