OpenSSL Heart Bleed Zafiyeti ve BugFix

Heart Bleed Zafiyeti Nedir?

Heart bleed kelime anlamı ile kalp kanaması olarak türkçeleştirilebilir.

Heartbleed zafiyeti popüler kriptografik yazılım OpenSSL kütüphanesinde ciddi bir güvenlik zafiyeti olarak bugün duyuruldu.

Bu zafiyete sahip sistemlerin belleklerindeki bilgilere
erişilebildiği görüldü, bu erişim ile bellekteki kullanıcı adı, şifre ve
sertifikalara ait private keylerin elde edilebildiği görüldü.

Pratikte bu zafiyet kullanılarak neler yapılabiliyor?

Bu zafiyeti kullanarak gerçekleştirilen saldırıda X.509
sertifikaları, kullanıcı adları, şifreler, anlık mesajlar, e-postalar,
kritik iş belgeleri ve iletişim için kullanılan gizli anahtar keylerini
saldırgan ele geçirebiliyor.

OpenSSL kullanıyorsam ne yapabiliriz?

OpenSSL için fix yayınlandı ve birçok işletim sistemi için repoda fix
edilmiş paket mevcut, fix edilmiş paketi güncellemeniz gerekiyor.

HeartBleed zafiyetini önemli kılan nedir?

Heartbleed zafiyeti kullanılarak sistem belleğinin okunabilmesi, bu
saldırıya maruz kalındığının farkına varılamaması ve saldırı sonrasında
sistemde iz bırakmıyor olması zafiyeti önemli kılan bir kaç neden
diyebiliriz.

Bu Zafiyet SSL/TLS mimarisi ile ilgili bir zafiyet mi?

Kesinlikle hayır, bu zafiyet tamamane OpenSSL de kullanılan kütüphaneden kaynaklanan bir zafiyet ve mimari ile bir ilgisi yok.

Key in sızdırılması ne anlama gelir?

X.509 gibi keylerin sisteminizden sızdırılması sonucunda trafiğiniz
key sahibi kişilerce rahatlıkla dinlenebilir ve analiz edilebilir olduğu
anlamına gelir.

Örneğin mail servisi için bu yapıyı kullandığınızı düşünürsek,
networkte araya giren birisi sizin maillerinizi içeriklerini göremez
ancak bu keye sahip olduktan sonra sizin maillerinizin içeriğini
görebileceği anlamına gelir.

OpenSSL versiyonumu nasıl öğrenebilirim?

Komut satırında aşağıdaki komutu çalıştırarak OpenSSL versiyonunuzu öğrenebilirsiniz.

#openssl version

çıktı aşağıdaki gibi olur.

OpenSSL’de hangi sürümleri etkilenir?

OpenSSL 1.0.1e-fips savunmasız
OpenSSL 1.0.1 1.0.1f savunmasız
OpenSSL 1.0.1g savunmasız DEĞİLDİR
OpenSSL 1.0.0 şube savunmasız DEĞİLDİR
OpenSSL 0.9.8 şube savunmasız DEĞİLDİR

Bu zafiyetten etkilenecek olan OpenSSL uygulama sayısının yarım milyondan fazla olduğu bildirilmekte.

Default da zafiyet içeren OpenSSL ile gelen işletim sistemleri:

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Default da zafiyet İÇERMEYEN OpenSSL ile gelen işletim sistemleri:

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

İşletim sistemi için Fix edilmiş OpenSSL paketi yok ise?

Mevcut işletim sisteminiz için bugfix edilmiş paket mevcut değil ise,

-DOPENSSL_NO_HEARTBEATS

parametresi ile openssl yeniden derlemeniz tavsiye ediliyor.

Bu saldırıya maruz kaldığımı anlayabilir miyim?

Bu saldırı sonrasında malesef loglarda bir bilgi yer almamakta.

IPS/IDS cihazları bu saldırıyı algılayabilir mi?

Malesef normlar şartlarda bunu IPS/IDS cihazları algılayamamakta
ancak gelen isteğe karşılık dönecek olan yanıtın boyutundan
yakalanabilme ihtimali var.

Bu zafiyet için kullanılan exploit  ile atak yapılarak paket dumpı alınabilir ve IPS/IDS cihazlarına tanıtılabilir.

OpenSSL FIPS modu saldırının etkisini azaltır mı?

Hayır, OpenSSL Federal Bilgi İşleme Standardı (FIPS) modu savunmasız OpenSSL versiyonları için etkisizdir.

Heart Bleed zafiyetini kim buldu?

Bu zafiyeti ilk olarak Codenomicon şiketinin güvenlik mühendisleri
(Riku, Antti and Matti)  ve Google Security ekibinden Neel Mehta  buldu.
Bu zafiyet ilk olarak OpenSSL geliştiricilerine rapor edildi.

Referanslar

References

• CVE-2014-0160
• NCSC-FI case# 788210
• http://www.openssl.org/news/secadv_20140407.txt (published 7th of April 2014, ~17:30 UTC)
• http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities (published 7th of April 2014, ~18:00 UTC)
• http://heartbleed.com (published 7th of April 2014, ~19:00 UTC)
• http://www.ubuntu.com/usn/usn-2165-1/
• http://www.freshports.org/security/openssl/
• https://blog.torproject.org/blog/openssl-bug-cve-2014-0160
• https://rhn.redhat.com/errata/RHSA-2014-0376.html
• http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
• https://lists.fedoraproject.org/pipermail/announce/2014-April/003205.html
• http://www.kb.cert.org/vuls/id/720951
• https://www.cert.fi/en/reports/2014/vulnerability788210.html
• https://www.cert.at/warnings/all/20140408.html
• http://www.circl.lu/pub/tr-21/