Heartbleed zafiyeti popüler kriptografik yazılım OpenSSL kütüphanesinde ciddi bir güvenlik zafiyeti olarak duyuruldu ve Bu zafiyete sahip sistemlerin belleklerindeki bilgilere erişilebildiği görüldü, bu erişim ile bellekteki kullanıcı adı, şifre ve sertifikalara ait private keylerin elde edilebiliyor
Pratikte bu zafiyet kullanılarak neler yapılabiliyor?
Bu zafiyeti kullanarak gerçekleştirilen saldırıda X.509 sertifikaları, kullanıcı adları, şifreler, anlık mesajlar, e-postalar, kritik iş belgeleri ve iletişim için kullanılan gizli anahtar keylerini saldırgan ele geçirebiliyor.
HeartBleed zafiyetini önemli kılan nedir?
Heartbleed zafiyeti kullanılarak sistem belleğinin okunabilmesi, bu saldırıya maruz kalındığının farkına varılamaması ve saldırı sonrasında sistemde iz bırakmıyor olması zafiyeti önemli kılan bir kaç neden diyebiliriz.
OpenSSL’de hangi sürümleri etkilenir?
OpenSSL 1.0.1e-fips savunmasız
OpenSSL 1.0.1 1.0.1f savunmasız
OpenSSL 1.0.1g savunmasız DEĞİLDİR
OpenSSL 1.0.0 şube savunmasız DEĞİLDİR
OpenSSL 0.9.8 şube savunmasız DEĞİLDİR
Bu zafiyetten etkilenecek olan OpenSSL uygulama sayısının yarım milyondan fazla olduğu bildirilmekte.
Default da zafiyet içeren OpenSSL ile gelen işletim sistemleri:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Default da zafiyet İÇERMEYEN OpenSSL ile gelen işletim sistemleri:
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
Bu saldırıya maruz kaldığımı anlayabilir miyim?
Bu saldırı sonrasında malesef loglarda bir bilgi yer almamakta.
Heart Bleed zafiyetini kim buldu?
Bu zafiyeti ilk olarak Codenomicon şiketinin güvenlik mühendisleri (Riku, Antti and Matti) ve Google Security ekibinden Neel Mehta buldu. Bu zafiyet ilk olarak OpenSSL geliştiricilerine rapor edildi.
ALINTIDIR
