7 Nisan 2014, tüm Dünya’da bilişim camiası ve özellikle bilişim güvenliğiyle ilgilenenler için oldukça tarihi bir gün olarak kayıtlara geçti. Maalesef bu günü özel yapan şey olumlu bir gelişme değil, belki de gelmiş geçmiş en büyük yazılım açıklarından bir tanesinin ortaya çıkmış olmasıydı.
Nedir? Kimleri etkiliyor?
Heartbleed adı verilen bu güvenlik açığı, tüm internet çapında kullanılan bir güvenlik methodu olan SSL/TLS şifreleme yöntemlerini kullanan açık kaynaklı bir kriptografik yazılım kütüphanesi olan OpenSSL’de bulundu. Bu açık sayesinde bir saldırgan herhangi bir kayıtta (log) iz bırakmadan, saldırıya açık olan bir sunucunun belleğinden bir miktar (64KB) veri okuyabiliyor.
OpenSSL’in tüm dünyada oldukça yaygın kullanılıyor olması ve kullanan sistemlerin neredeyse %66’sının bu güvenlik açığına sahip olan versiyonu kullanıyor olması, milyonlarca önemli web sitenin, uygulamanın ve sunucularının bundan etkilendiğini gösteriyor.
Çok fazla teknik detaya girmeden anlatmak gerekirse, bu 64KB’lik verinin içerisinde saldırılan sunucunun belleğinde mevcut olan her türlü veriye ulaşmak mümkün oluyor. Bu saldırıyı çok önemli yapan faktörlerden biri ise, bu verilerin arasında söz konusu tüm güvenlik protokolünün bel kemiğini oluşturan şifreleme anahtarları ve sertifikaları başta olmak üzere, kullanıcı adı/şifre gibi kullanıcı verileri ve saldırıya açık sunucular üzerinden geçen her türlü içerik olabileceği gerçeği.
Heartbleed’i çok tehlikeli bir açık haline getiren bir başka faktör ise, her ne kadar duyurulmasından çok kısa bir süre sonra çoğu OpenSSL kullanan çoğu kurum ve kuruluşun kendi sistemlerindeki bu açığı gidermiş olsa da, Heartbleed açığına sahip OpenSSL versiyonlarının neredeyse 2 yıldır kullanımda bulunuyor olduğu gerçeği.
Bütün bunların üzerine, bu güvenlik açığı istismar (exploit) edildiğinde sunucu kayıtlarına geçmiyor olduğundan, son 2 yıl içinde bu versiyonu kullanan sistem ve sunucuların ne kadarının, hangi miktarda saldırıya uğradığı ve eğer bir sızma gerçekleştiyse, hangi hassas bilgilerini dışarıya sızdırmış olduklarının bilinmediği ve muhtemelen asla bilinemeyeceği gerçeği eklenince, durum iyice korkutucu hale geliyor…
Güvenlik faciası olarak nitelendirebileceğimiz bu durumun bir uzantısı da, etkilenen sistemleri tekrar güvenli hale getirmenin sadece buglı OpenSSL versiyonunu güncellemekle mümkün olmadığı gerçeği. Etkilenen ve saldırıya uğramış olan bir sistemin gizli kriptografik anahtarları ele geçirildiği takdirde, bu anahtarlara sahip sertifikaların kullanılmaya devam edildiği sürece, tehlike devam edecektir.
Peki Bitcoin tüm bunların neresinde? Heartbleed Bitcoin’i etkiliyor mu?
Öncelikle şunu belirtmemiz gerekir ki, genel anlamda Bitcoin protkolünün çekirdeği olarak bilinen ve gerek transaksiyonları gerekse cüzdan (wallet) güvenliğini etkileyen protokolün Heartbleed tarafından etkilenmediğini söyleyebiliriz. (En azından standart kullanıcılar için.) Bazı özel şartlarda ve harici kullanımlarda Heartbleed bugının Bitcoin protokolü kullanan uygulamaları etkileyebilmesi mümkün olsa da, bu Bitcoin kullanıcılarının %99.99’unu ilgilendirmeyen ve endişelendirmemesi gereken bir durum.
Kullanıcıları bekleyen daha büyük tehlike, kullandıkları aracı şirketlerin vermiş oldukları hizmetlerin bu durumdan etkilenmiş olabileceği gerçeği. Borsalar, alım-satım yapılabilen aracı siteler, online cüzdanlar, bahis siteleri vb. aracı hizmetlerin hepsi, bu bugdan etkilenmiş olabilirler.
Kullanıcılar tarafından yapılması gereken şey, güvenliğinden şüphe duydukları servislere bir süre login olmamak, eğer hizmet sağlayıcılar/şirketler bu güvenlik açığını giderdiklerini kullanıcılarına duyurdularsa, mevcut kullanıcı şifrelerinin değiştirilmesi de tavsiye edilmektedir.
Ayrıca BitcoinQt istemcisini kullananların en son sürüm olan 0.9.1 ‘e güncellemeleri tavsiye olunur. Bu versiyonda söz konusu güvenlik açığından etkilenebilecek ender durumlara karşı bir yama yapılmış bulunmaktadır.
Not: Ülkemizde faaliyet gösteren BTCTurk ve Koinim.com gibi sitelerin şu an sistemlerinde bu güvenlik açığının kapatılmış olduğunu (ya da en azından böyle göründüğünü) belirtmekte de fayda var. İlerleyen günlerde gerekli açıklamaları yaparak kullanıcılarını bilgilendireceklerini tahmin ediyoruz.
