Heartbleed nedir?

Heartbleed, OpenSSL çalıştıran Server'lardaki bir güvenlik açığı.
OpenSSL nedir?
OpenSSL; Güvenli bağlantıların, diğer bir tanım ile https:// ile başlayan url adreslerinim kullandığı SSL ve TLS protokollerinin açık kaynak kodlu bir versiyonu.


Heartbleed virüs müdür, güvenlik açığı mıdır?
Çeşitli bilişim kaynakları, farklı bilgiler verirken, açığın bir "virüs" olduğunu belirtenler olsa da Heartbleed bir sunucu güvenlik açığı olup, virüs değildir.

Heartbleed açığı bulunan bir sunucu Kişisel verilerimi sızdırmış olabilir mi?

Hata (Bug) olarak da adlandırılan bu açık, hackerların güvenli şifrelemeyi geçmelerine izin veriyor. 7.4.2014 tarihinde doğrulanan açık, OpenSSL 1.0.1g hariç olmak üzere bütün sürümlerde bulunmakta. Ancak hearthbleed tehditi sadece OpenSSL ile çalışan web sitelerini etkiliyor. Fakat başka SSL ve TLS kitaplıkları olmasına rağmen, OpenSSL oldukça yaygın kullanılıyor.

Hearthbleed açığının onarımı olsa da sıkça ziyaret ettiğiniz siteler, bu düzeltmeyi henüz uygulamamış olabilir. Hearthbleed açığından etkilenen internet siteleri, online alışveriş mağazaları, sosyal ağlar vs. bulunabilir. Bu nedenle kişisel ve finansal bilgileriniz riskte olabilir. Heartbleed, web tabanlı bir açık olduğundan hangi işletim sistemini ya da cihazı kullandığınızın hiçbir önemi bulunmamakta. Yani windows, mac, iphone, ios, android vs. kullanmanızın hiçbir önemi yok. Sorun web kullanıcısıyla değil, site sahibi ve onun barındırıldığı serverin SSL açığı ile ilgili.


Web sitesi sahibi değilim, sadece internet kullanıcısıyım, hearthbleed açığına karşı ne yapmalıyım?

Belirttiğim gibi bu sadece web sunucu sahiplerini tedbir alması gereken bu durum. Sizin yapmanız gereken şey, aşağıda tavsiye edeceğim eklenti ve programları kullanarak bağlanmak istediğiniz sitenin heartbleed açığı olup olmadığını test etmeniz. Test sonucunda site Heartbleed furyasından etkilenmiş bir server ise şifrenizi değiştirmek olsa da bunu heartbleed açığını henüz kapatmamış bir web sitesinde yapmanız, şifreyi hackerlarla paylaşmak anlamına gelebilir. Bu nedenle açığı kapattığından emin olduğunuz internet sitelerindeki şifrelerini değiştirmenizde yarar var. Veya açık olan sitede daha sonra değiştirmek üzere bir şifre vermek, açık kapatıldıktan sonra yeni bir parola vermek de düşünülebilir.

Açıktan korunayım derken Phising riski ile karşı karşıya kalmayın :
Bu açık, aynı zamanda hackerlar için harika bir fırsat. Sahte linkler göndererek fake sitelerde şifrelerinizi çalmaya çalışabilirler.

"Şifreyi değiştirin" konulu sahte e-maillere dikkat edin, bu tür e-maillerdeki linklere tıklamayın, siz kendiniz URL adresi yazarak siteyi açın.




Hangi sitelerde Hearthbleed açığı var nasıl anlarım?



1.Seçenek: Twitter, linkedin, microsoft, google, instagram gibi çok bilinen ve sık kullanılan siteler açısından Mashable.com sitesi, Heartbleed SSL güvenlik açığından etkilenen sitelerin güncel bir listesini sunuyor. Aynı zamanda her site için şifre değiştirmenize gerek olup olmadığını da belirtiyor. Örneğin facebook şifrelerini değiştirmemiz öneriliyor.

2.Seçenek: Tek tek hangi sitede hearthbleed bug var diye araştırmak yerine chrome tarayıcısı için geliştirilen Chromebleed Checker eklentisi harika bir çözüm. Bu eklentiyi chrome tarayıcınıza yükleyerek hangi sitede hearthbleed açığı var öğrenebilir, daha sonra gerekli önlemleri alabilirsiniz. Eklentiyi kurduktan sonra chrome tarayıcının sağ üst köşesinde kırmızı bir kalp simgesi göreceksiniz. Sağ tık yapıp, tüm kutuları işaretlediğinizde size sitede Hearthbleed bug var mı yok mu söyleyecektir. Sonuç olarak site şayet açığa sahip ise onları bir süre kullanmayın.

Peki server sahipleri bu güvenlik açığını nasıl kapatabilir?
1. OpenSSL güncellemesini yükleyin.
2. Tüm SSL sertifikalarını yenileyin.
3. SSL anahtarlarını yeniden oluşturun.
4. SSL sağlayıcısından yeni sertifika isteyin.


Peki Hukuki.Net hearthbleed güvenlik açığından etkilendi mi? Kısaca HAYIR.