Tozu dumana katan büyük açık Heartbleed

Son günlerde teknoloji aleminde en çok konuşulan konuların başında gelen ve web sitelerinden tutun da televizyon kanallarına kadar namı yayılmış olan Heartbleed’i duymuş olduğunuzu tahmin ediyorum.

Eminim ki kullanmakta olduğunuz birçok web servisi tarafından son günlerde şifrenizi değiştirmeniz yönünde uyarıldığınız e-posta, mesaj veya bildirimler almışsınızdır. Peki Yahoo, Facebook ve daha birçok dünya devinin web siteleri üzerinde yer alan kullanıcı hesaplarının güvenliğini bile tehlikeye sokan ve internet alemini bir anda tamamen kolları altına alan bir güvenlik açığı olan Heartbleed nedir? Heartbleed açığına mağruz kalıp kalmadığınızı nasıl öğrenirsiniz?

Heartbleed nedir?

Heartbleed, OpenSSL çalıştıran sunuculardaki bir güvenlik açığı. OpenSSL ise güvenli bağlantıların, yani https:// ile başlayan adreslerin kullandığı SSL veTLS protokollerinin açık kaynak kodlu bir sürümü.

Bug (hata)” olarak da adlandırılan açık, hacker’ların şifrelemeyi alt etmelerine izin veriyor. 7 Nisan 2014’te doğrulanan açık, OpenSSL 1.0.1g hariç tüm sürümlerde mevcuttu. Bununlar beraber tehdit, sadece OpenSSL ile çalışan siteleri etkiliyor. Ancak başka SSL ve TLS kitaplıkları olmasına rağmen, OpenSSL oldukça yaygın kullanılıyor.

Filippo Heartbleed Testi:

Bu Heartbleed testi yardımıyla, açıktan etkilenip etkilenmediğini merak ettiğiniz web siteleri üzerine yaklaşık 80 bayt boyutunda bir biçimlendirilmiş veri göndererek herhangi bir açık olup olmadığını test etmektedir. Başka bir deyişle, siteye saldıran sanal bir bilgisayar korsanı gibi davranarak, Heartbleed açığı olup olmadığını kontrol eder.

WHM/Cpanel için yapılan duyuru;

https://cpanel.net/heartbleed-vulnerability-information/

Plesk için yapılan duyuru:

http://spblog.parallels.com/serviceprovider/2014/4/8/update-on-openssl-vulnerability#.U0zt2Pl_tyI

http://kb.parallels.com/en/120984