Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Heartbleed, Taşıma Güvenliği Katmanı (TLS) protokolü gerçekleştiriminde geniş biçimde kullanılan, açık kaynak kodlu kriptografi kütüphanesi OpenSSL'de 2014 yılı Nisan ayında tespit edilen bir yazılım hatasıdır. Heartbleed bu TLS için kullanılan OpenSSL örneğinin, istemci ya da sunucu olduğu fark etmeden kötü niyetle kullanılabilir. Bu açık sayesinde bir saldırgan sunucu hafızasından veri okuyabildiği gibi, bir sunucunun SSL özel anahtarlarını da ele geçirebilir.
 Heartbleed'ı temsil eden logo. Güvenlik şirketi , Heartbleed'a hem bir isim hem de bir logo vererek konunun kamuoyunda bilinirliğine katkıda bulundu. | |
| CVE-2014-0160 | |
| Yayınlanma | 1 Şubat 2012) |
| Keşfedildiği tarih | 1 Nisan 2014) |
| Düzeltildiği tarih | 7 Nisan 2014) |
| Keşfeden | Neel Mehta |
| Etkilenen yazılım | OpenSSL (1.0.1) |
| Web sayfası | heartbleed.com |
OpenSSL in düzeltilmiş bir sürümü 7 Nisan 2014 te yayınlandı ve aynı gün Heartbleed hatası halka duyuruldu.
Heartbleed çalışması: SSL bağlantısı için ilk olarak sunucunun çalışıp çalışmadığını kontrol eden paket gönderilir. Cevap gelince SSL veri iletişimi başlar. Veri iletişiminde istenen bilgi ve boyutu gönderilmektedir. Bu açığın sebebi: veri boyutunun SSL sunucusu tarafından kontrol edilmemesi istenen kadar veriyi geri göndermesidir. Bu da sunucunun o anda hafızada (RAM'de) bulunan bilgileri göndermesi anlamına gelmektedir. Sunucu hafızasında o anda kullanıcıların şifreleri, sitenin sertifikası olabilir ve saldırgan bu bilgileri kolay bir şekilde alabilir.
Çözümü: OpenSSL istenen bilginin boyutunu kontrol etmeye başlamıştır.
Yapılan incelemeler sonucunda bazı saldırganların yazılım hatasının tespitinden çok önce bu açığı kullanmış olma ihtimalinin yüksek olduğunu göstermektedir. Bloomberg'e konuşan iki muhbirin ifadesine göre ABD Ulusal Güvenlik Dairesi (NSA) bu açıktan haberdardı fakat kamuoyuna açıklamadı. NSA bu iddiayı yalanladı.
Tarihçe
7 Nisan 2014'te, OpenSSL versiyonlarında TLS Heartbeat eklentisinin bellek kullanma ile ilgili ciddi bir yazılım hatası içerdiği duyuruldu. Bu açık ile uygulamanın belleğindeki 64kb veri her heartbeat adı verilen istekle ele geçirilebilir.
Keşfedilmesi
Google ın güvenlik ekibinden Neel Mehta 1 Nisan 2014 te OpenSSL e Heartbleed i bildirmiştir.
Davranışı
RFC 6520 Heartbeat Uzantısı, bağlantının bir ucundaki bilgisayarın Heartbeat istek mesajı göndermesini sağlayan TLS güvenli iletişim bağlantılarını test eder. Bu istek genel olarak karşıdaki bilgisayarın cevap verebiliyor durumda olduğunun kontrolünü gerçekleştirmek için yapılır. Bu Heartbeat isteği tipik olarak, bir metin ve dönecek cevap için 16-bit sayı uzunluğunda yük içerir. Bu isteği alan bilgisayar kesinlikle aynı yükte bilgiyi göndericiye geri göndermelidir.
Etkilenen OpenSSL versiyonlarında bu gelen isteğe karşılık, mesajın yükündeki uzunluğun tam miktarı kadar bilgi ara bellekten cevap olarak geri gönderilir. Bu hatadan dolayı göndericiye dönen mesaj, gelen istekteki metine ek olarak o an bellekte ne varsa içerir.
Bu nedenle Heartbleed, saldırganın kısa yük ve daha uzun cevap uzunluğu içeren kusurlu Heartbeat isteği göndererek, kurbanın belleğinden 64 kilobayt veri okumasına olanak sağlayarak kötü niyetle kullanılabilir. Gerçek bir Heartbeat İsteğinde karşıdaki bilgisayarın cevap verebilir durumda olduğu kontrolü için gönderilen mesaj örnek olarak "bana dört harf 'elma' cevabını ver" şeklinde iken, Hearbleed İsteğinde "bana 100 harf 'elma' cevabını ver" olarak gönderilir. O an bellekteki 'elma' metninden sonra geriye kalan 96 karakter cevap olarak gönderilir. Bu sayede saldırgan bellekte o an var olan bilgileri okuyabildiği gibi sertifika bilgilerine de ulaşabilir. Dönen cevabın "elma. Kullanıcı A parolasını 'parola123' olarak değiştirdi. Sunucu anahtarı 43508012430167.." şeklinde olması mümkündür.
Etkilenen OpenSSL sürümleri
OpenSSL in 1.0.1 den 1.0.1f'e kadar tüm sürümleri bu hatadan etkilenmiştir. 1.0.1'den daha önceki ve 1.0.1g'den daha sonraki sürümler bu hataya karşı savunmasız değildir. Bu etkilenen OpenSSL sürümleri -DOPENSSL_NO_HEARTBEATS ile derlenmedikçe savunmasız durumdadırlar.
Kaynakça
- ^ McKenzie, Patrick (9 Nisan 2014). "What Heartbleed Can Teach The OSS Community About Marketing". Kalzumeus. 20 Aralık 2017 tarihinde kaynağından . Erişim tarihi: 8 Şubat 2018.
- ^ Biggs, John (9 Nisan 2014). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch (İngilizce). 11 Şubat 2018 tarihinde kaynağından . Erişim tarihi: 8 Şubat 2018.
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Heartbleed Tasima Guvenligi Katmani TLS protokolu gerceklestiriminde genis bicimde kullanilan acik kaynak kodlu kriptografi kutuphanesi OpenSSL de 2014 yili Nisan ayinda tespit edilen bir yazilim hatasidir Heartbleed bu TLS icin kullanilan OpenSSL orneginin istemci ya da sunucu oldugu fark etmeden kotu niyetle kullanilabilir Bu acik sayesinde bir saldirgan sunucu hafizasindan veri okuyabildigi gibi bir sunucunun SSL ozel anahtarlarini da ele gecirebilir HeartbleedHeartbleed i temsil eden logo Guvenlik sirketi Heartbleed a hem bir isim hem de bir logo vererek konunun kamuoyunda bilinirligine katkida bulundu CVE 2014 0160Yayinlanma1 Subat 2012 12 yil once 2012 02 01 Kesfedildigi tarih1 Nisan 2014 10 yil once 2014 04 01 Duzeltildigi tarih7 Nisan 2014 10 yil once 2014 04 07 KesfedenNeel MehtaEtkilenen yazilimOpenSSL 1 0 1 Web sayfasiheartbleed com OpenSSL in duzeltilmis bir surumu 7 Nisan 2014 te yayinlandi ve ayni gun Heartbleed hatasi halka duyuruldu Heartbleed calismasi SSL baglantisi icin ilk olarak sunucunun calisip calismadigini kontrol eden paket gonderilir Cevap gelince SSL veri iletisimi baslar Veri iletisiminde istenen bilgi ve boyutu gonderilmektedir Bu acigin sebebi veri boyutunun SSL sunucusu tarafindan kontrol edilmemesi istenen kadar veriyi geri gondermesidir Bu da sunucunun o anda hafizada RAM de bulunan bilgileri gondermesi anlamina gelmektedir Sunucu hafizasinda o anda kullanicilarin sifreleri sitenin sertifikasi olabilir ve saldirgan bu bilgileri kolay bir sekilde alabilir Cozumu OpenSSL istenen bilginin boyutunu kontrol etmeye baslamistir Yapilan incelemeler sonucunda bazi saldirganlarin yazilim hatasinin tespitinden cok once bu acigi kullanmis olma ihtimalinin yuksek oldugunu gostermektedir Bloomberg e konusan iki muhbirin ifadesine gore ABD Ulusal Guvenlik Dairesi NSA bu aciktan haberdardi fakat kamuoyuna aciklamadi NSA bu iddiayi yalanladi Tarihce7 Nisan 2014 te OpenSSL versiyonlarinda TLS Heartbeat eklentisinin bellek kullanma ile ilgili ciddi bir yazilim hatasi icerdigi duyuruldu Bu acik ile uygulamanin bellegindeki 64kb veri her heartbeat adi verilen istekle ele gecirilebilir Kesfedilmesi Google in guvenlik ekibinden Neel Mehta 1 Nisan 2014 te OpenSSL e Heartbleed i bildirmistir DavranisiHeartbleed in tarifi RFC 6520 Heartbeat Uzantisi baglantinin bir ucundaki bilgisayarin Heartbeat istek mesaji gondermesini saglayan TLS guvenli iletisim baglantilarini test eder Bu istek genel olarak karsidaki bilgisayarin cevap verebiliyor durumda oldugunun kontrolunu gerceklestirmek icin yapilir Bu Heartbeat istegi tipik olarak bir metin ve donecek cevap icin 16 bit sayi uzunlugunda yuk icerir Bu istegi alan bilgisayar kesinlikle ayni yukte bilgiyi gondericiye geri gondermelidir Etkilenen OpenSSL versiyonlarinda bu gelen istege karsilik mesajin yukundeki uzunlugun tam miktari kadar bilgi ara bellekten cevap olarak geri gonderilir Bu hatadan dolayi gondericiye donen mesaj gelen istekteki metine ek olarak o an bellekte ne varsa icerir Bu nedenle Heartbleed saldirganin kisa yuk ve daha uzun cevap uzunlugu iceren kusurlu Heartbeat istegi gondererek kurbanin belleginden 64 kilobayt veri okumasina olanak saglayarak kotu niyetle kullanilabilir Gercek bir Heartbeat Isteginde karsidaki bilgisayarin cevap verebilir durumda oldugu kontrolu icin gonderilen mesaj ornek olarak bana dort harf elma cevabini ver seklinde iken Hearbleed Isteginde bana 100 harf elma cevabini ver olarak gonderilir O an bellekteki elma metninden sonra geriye kalan 96 karakter cevap olarak gonderilir Bu sayede saldirgan bellekte o an var olan bilgileri okuyabildigi gibi sertifika bilgilerine de ulasabilir Donen cevabin elma Kullanici A parolasini parola123 olarak degistirdi Sunucu anahtari 43508012430167 seklinde olmasi mumkundur Etkilenen OpenSSL surumleri OpenSSL in 1 0 1 den 1 0 1f e kadar tum surumleri bu hatadan etkilenmistir 1 0 1 den daha onceki ve 1 0 1g den daha sonraki surumler bu hataya karsi savunmasiz degildir Bu etkilenen OpenSSL surumleri DOPENSSL NO HEARTBEATS ile derlenmedikce savunmasiz durumdadirlar Kaynakca McKenzie Patrick 9 Nisan 2014 What Heartbleed Can Teach The OSS Community About Marketing Kalzumeus 20 Aralik 2017 tarihinde kaynagindan Erisim tarihi 8 Subat 2018 Biggs John 9 Nisan 2014 Heartbleed The First Security Bug With A Cool Logo TechCrunch Ingilizce 11 Subat 2018 tarihinde kaynagindan Erisim tarihi 8 Subat 2018