22 Nisan 2014 Salı

A'dan Z'ye Güvenlik Açığı

IMG Ust

A'dan Z'ye Güvenlik Açığı


Tozu dumana katan büyük açık Heartbleed nedir; ondan nasıl korunabiliriz?

Heartbleed SSL açığı, çoğu kullanıcının kafasını karıştırmış durumda. Farklı kaynaklar, birbiriyle çelişkili bilgiler verirken, açığın bir "virüs" olduğunu söyleyenler bile var. Ancak Heartbleed açığı, adından da anlaşılacağı gibi bir virüs değil güvenlik açığıdır. Peki kişisel verilerinizin sızmadığından nasıl emin olabilirsiniz?

Heartbleed nedir?

Heartbleed, OpenSSL çalıştıran sunuculardaki bir güvenlik açığıdır. OpenSSL ise güvenli bağlantıların, yani https:// ile başlayan adreslerin kullandığı SSL ve TLS protokollerinin açık kaynak kodlu bir sürümüdür.

"Bug (hata)" olarak da adlandırılan açık, hacker'ların şifrelemeyi alt etmelerine izin veriyor. 7 Nisan 2014'te doğrulanan açık, OpenSSL 1.0.1g hariç tüm sürümlerde mevcuttu. Bununlar beraber tehdit, sadece OpenSSL ile çalışan siteleri etkiliyor. Ancak başka SSL ve TLS kitaplıkları olmasına rağmen, OpenSSL oldukça yaygın kullanılıyor.

Sorunun bir onarımı olsa da sıkça ziyaret ettiğiniz web siteleri, bu onarımı henüz uygulamamış olabilir. Açıktan etkilenen siteler, çevrimiçi mağazalar, sosyal ağlar ve fazlası olabilir. Dolayısıyla kişisel ve finansal bilgileriniz riskte olabilir. Heartbleed, internet tabanlı bir açık olduğundan sizin hangi işletim sistemini veya cihazı kullandığınızın bir önemi yok.

Gürültüye aldırmayın, paniğe kapılmayın

Yapmamanız gereken tek bir şey varsa o da paniklemek. Örneğin parolanızıa değiştirmeniz gerektiğini duymuş olabilirsiniz (ancak bu tam olarak doğru değil), peki olta saldırısı riskinden haberiniz var mı?

Olta saldırısı riski

Heartbleed'den etkilenen bankalar, sosyal ağlar gibi sorumlu web hizmetleri, açığı kapattıklarında size bu konuda bir e-posta atacak ve parolanızı değiştirmenizi isteyeceklerdir. Doğal olarak bunu yapmanız gerekir, ancak bu durumun dolandırıcılara iyi bir olta saldırısı fırsatı verdiğini de hatırda tutmakta fayda var. "Parolanızı değiştirin" türünden sahte e-postalara dikkat edin, bu tür e-postalardaki bağlantılara tıklamayın, web hizmetini adresi yazarak kendiniz açın.

Peki parolalarınızı değiştirmeli misiniz?

Tüm parolalarınızı değiştirmek çok iyi bir fikir olmayabilir. Bunu heartbleed açığını henüz kapatmamış bir web sitesinde yapmanız, parolanızı hacker'larla paylaşmak anlamına gelebilir. Bu yüzden açığı kapattığından emin olduğunuz web sitelerindeki parolanızı değiştirmenizde fayda var.

Hangi web siteleri açığı kapattı?

Bunu anlamanın birkaç yolu var. Mashable, Heartbleed'den etkilenen sitelerin güncel bir listesini sunuyor. Aynı zamanda her site için parola değiştirmenize gerek olup olmadığını da söylüyor. Daha küçük web siteleri için bu pratik arama aracını kullanabilirsiniz.

Bir başka alternatif ise Chrome için geliştirilen Chromebleed Checker eklentisi.

Sonuç

Heartbleed, çoğu kullanıcı için sıkıntı oluşturmayacaktır. Kullandığınız hizmetlerden gelen uyarılara kulak verin ve parolanızı değiştirmeniz istendiğinde bunu yapın. Bu sırada olta saldırılarına dikkat edin ve e-postaların içindeki "parola sıfırlama" bağlantılarını kullanmak yerine web sitesine kendiniz gidin. Heartbleed açığı çoğu web sitesinde henüz kapatılmadığından, açığa sahip web sitelerini kontrol edin ve onları bir süre kullanmayın.

Hiç yorum yok:

Yorum Gönder