Heartbleed Bug, kötü niyetli bilgisayar korsanlarının normalde SSL / TLS şifrelemesiyle korunan web sitelerinden bilgi çalmasına izin veren bir OpenSSL güvenlik açığıdır. Açık kaynak OpenSSL şifreleme kitaplığı, İnternet'in Taşıma Katmanı Güvenliği (TLS) protokolünü uygulamak için kullanılır.
Güvenlik açığını keşfeden araştırmacılar tarafından adlandırılan Heartbleed Bug, teorik olarak internetteki herkesin site şifreleme anahtarlarını, kullanıcı şifrelerini ve site içeriğini elde etmek için OpenSSL'nin belirli sürümlerini çalıştıran güvenli bir Web sunucusuna erişmesine izin veriyor.
Göre resmi Heartbleed Bug web sitesiOpenSSL 1.0.1'den 1.0.1f'ye (dahil) savunmasızken, OpenSSL 1.0.1g sürümü güvenlik açığını yamalıyor.
Heartbleed Kusur Oluşturma ve Hata Keşfi
Heartbleed hatası başlangıçta Google mühendisi Neel Mehta ve Fin güvenlik firması Codenomicon tarafından keşfedildi. Güvenlik açığı, Alman yazılım geliştiricisi Robin Seggelmann tarafından açık kaynaklı OpenSSL şifreleme protokolünde tanıtıldı. Kusur yaygın olarak bilindiğinden, Seggelmann, hatanın kendisi ve başka bir kod gözden geçiren kişi tarafından yanlışlıkla gözden kaçırıldığını ve NSA'nın Heartbleed hatasını casusluk yapmak için kullanması gibi Heartbleed ile ilgili çevrimiçi komplo teorilerine rağmen hatanın kötü niyetle eklenmediğini söyledi.
Haberlerde Kalbi Açılan Hata
Heartbleed Bug Söylentileri
RCMP, Revenue Canada'dan SIN hırsızlık haberlerini ertelemesini istedi
Kalp kanaması hatası milyonlarca Android telefonu ısırdı
Kalp kanaması hatası: Neler etkilenir ve hangi şifreleri değiştirmeniz gerekir?e
Testler, Heartbleed hatasının sunucunun özel anahtarını açığa çıkarabileceğini doğruladı
Heartbleed Saldırılar
Heartbleed hatasını istismar eden birkaç belgelenmiş saldırı vakası vardır, ancak güvenlik uzmanları, bu hatayı kullanmanın iz bırakmayacağı ve etkilenen OpenSSL sürümlerini kullanan tüm web sitelerinin tehlikeye atılmış sayılması gerektiği konusunda uyarıyorlar.
Google, Facebook ve diğerleri dahil olmak üzere birçok büyük site, hizmetlerin Heartbleed tarafından "güvenli" olduğunu hemen fark etse de, 8 Nisan 2014'te yapılan kamuoyu duyurusu saldırılara yol açmış gibi görünüyor. Kanada Gelir Kurumu (CRA), hatayı düzeltmek için kamuya açık çevrimiçi hizmetleri kapattı, ancak düzeltme uygulanmadan önce, CRA, Heartbleed hatasını kullanan kişiler tarafından CRA bilgisayarlarından 900 sosyal sigorta numarasının çalındığını söyledi.
Bildirilen başka bir saldırıda, İngiltere merkezli ebeveynlik web sitesinde, Mumsnet, ayrıca casusun bir hesaba erişmek için Heartbleed kullandığını iddia ettiği bir ihlal yaşadığını iddia ediyor. Site, kullanıcılarına site şifrelerinin nasıl sıfırlanacağına dair talimatlarla birlikte bazı ayrıntılar sağladı.
Heartbleed: İnternetin Ötesinde
Heartbleed hatası İnternet'in ötesine uzanır. Örneğin, 4.1.1 Android işletim sistemini çalıştıran (2012'de piyasaya sürülen) mobil cihazlarda Heartbleed yazılım hatası vardır. Diğer tüm sürümler kusurdan muaftır, ancak bu milyonlarca akıllı telefon ve tableti savunmasız bırakır. Ek olarak, Debian Wheezy (kararlı), Ubuntu 12.04.4 LTS, CentOS 6.5, OpenBSD 5.3 ve OpenSUSE 12.2 dahil olmak üzere işletim sistemleri, savunmasız bir OpenSSL sürümüyle (tam listeyi gör).