Tag Archives: tsl

Lenovo ve Superfish

Her geçen gün iletişim gizliliğinin nasıl da incecik bir çizgide olduğunu, özel hayatınıza konu olacak her şeye bir çırpıda üçüncü şahısları da ortak edebileceği yüzümüze çarpıyor. 2013 yılı sonuna doğru LG televizyonlarının USB bellek üzerindeki dosya isimlerini kendi sunucularında kayıt altına aldığı ortaya çıkmış, ardından LG yeni bir yama yayınlayarak bunu durduracaklarını ve özür dilediklerini duyurmuşlardı. Bu senenin başında ise Samsung SmartTV’lerin oda içerisindeki konuşmaları ses kayıt özelliği üzerinden topladığı ve üçüncü partilerle paylaştığı ortaya çıktı. Tabi ki sizin onayınızla. Herkes 233 sayfalık sözleşmeyi okuduğu için bundan haberdardı değil mi? Şimdi ise bunlara bir yenisi eklendi. Lenovo. Lenovo konusunu tam olarak anlayabilmek için kök sertifikanın ne olduğuna kısaca bir bakalım.

Kök sertifikalar, tarayıcılar ve diğer uygulamalar veya servisler tarafından kullanılır ve çeşitli türlerde olan şifreleme metodlarını doğrulamak için açık anahtar kriptografisinin temel parçalarından bir tanesidir. Örneğin, ne zaman bir https üzerinden bağlantı gerçekleştirseniz bu kök sertifikalar sizlerin gerçekten o websitesine bağlandığınızın doğrulamasını gerçekleştirir. Bununla birlikte, kök sertifikalara sahip olan kullanıcı, bu sertifikaların sahibine de güvendiğini kabul etmiş sayılır. Bir bankacılık işlemi için https ile müşterisi olduğunuz bankaya eriştiğinizi düşünün:

  • Tarayıcınız bankaya ait websitesine “hadi gizli konuşalım” diyecektir.
  • Websitesi ise tarayıcınıza “tamam gizli konuşalım, bu benim açık anahahtarım, böylece iletişimimizi şifreyebiliriz” diye yanıt verecektir.
  • Tarayıcınız açık anahtar ile iletişimin şifresini çözerek imza ile birlikte açık anahtarı da kontrol edecektir. İşte tam da bu noktada, kök sertifika ile imzanın şifresi çözülecektir. Böylece, doğrulama sağlanarak tarayıcınız imzanın güvenilir bir kaynaktan olduğunu, açık anahtarın bu websitesi üzerinden geldiğini ve gerçekten de banka ile iletişimde olduğuna karar verecektir.
  • Bundan sonra iletişime konu olacak her şey açık anahtar ile şifrelenerek devam edecektir.

Bilgisayarınızda belirli sayıda ve sadece güvenilir kaynaklardan elde edilmiş kök sertifikaların bulunmasının nedeni de budur. Öte yandan, Lenovo ürünlerinde yüklü olarak gelen ve müşterilerine alış-veriş yaparken muhtemel ilgili çekici ürünleri göstermesi amacıyla yüklenmiş VisualDiscovery / Superfish uygulaması beraberinde bir kök sertifika ile gelmektedir. Yukarıdaki bahsettiğimiz örneği ve süreci de dikkate alırsak, tarayıcınız bu kök sertifikayı güvenilir bir kaynak olarak yorumlayabilir, bu sertifika sahibi ise şifreli iletişime konu olan her şeyi man-in-the-middle yaklaşımıyla dinleyebilir ve manipüle edebilir.

Lenovo’nun yapmış olduğu açıklamaya göre Ocak ayında bu uygulamanın sunucu taraflı etkileşimleri kapatılmış ve artık Lenovo ürünlerinde bu uygulama aktif olmadığını belirtmişlerdir. Bir diğer şey de, Ocak ayından itibaren bu uygulama önyüklü olarak gelmesi durdurulmuştur. Son olarak, gelecekte bu uygulamaya yer vermeyi düşünmedikleriin söylemişlerdir. Bunlara ek olarak, SuperFish uygulamasının kullanıcıların davranışlarını profillemediğini, kullanıcılara ait özel bilgilerinin tutulmadığını, kullanıcıların takip edilmediğini, her oturumunun bağımsız olduğunu ve hatta kullanıcının ne olduğunu bilmediğini aktarmışlardır.

Lenovo’nun açıklamalarına rağmen bu durum o kadar da basite indirgenecek bir şey değildir. Her şeyden önce, bu uygulama güvenli bağlantıların (SSL/TSL) kurulması sırasında tarayıcı ve diğer uygulamalar (e-posta, voip vs.) için güvenilir bir kaynak ve imza olarak yorumlanabilir. Tarayıcı ile sunucu arasındaki iletişimin dinlenmesini engellemek yerine SuperFish uygulaması şifreli iletişime konu olan tüm verileri şifresiz bir veriymiş gibi toplayabilir. Veya SuperFish’ ait kök sertifikanın anahtar sahibi (sahipleri) man-in-the-middle ile sizlerin örneğimizdeki gibi bankacılık işleriminiz sırasındaki iletişimi dinleyebilir veya araya girerek mesajları manipüle edebilir.

original

Resimde de görüldüğü üzere (Kaynak: Lenovo Forums) Internet bankacılığı için giriş yapmak isteyen bir Lenovo kullanıcısı güvenli bağlantısında SuperFish’e kök sertfikasının kullanıldığını görmektedir. Aşağıdaki listede ise SuperFish içeren Lenovo ürünlerinin listesi bulunmaktadır.

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30

Açıkçası, ortada bir sorun olduğu gerçeğini kimse gözardı edemez. SuperFish uygulamasının neden bir kök sertifikaya ihtiyaç duyduğuna dair kafalardaki soru işaretlerini giderecek bir açıklama yok. Kullanıcılara göre uygulamanın sistemden kaldırılması ile sertifikanın ortadan kalkmadığına dair bildirimler mevcut. Lenovo’nun açıklamaları ilk okunduğunda sonuçta SuperFish’in aktif olmadığı, dolayısıyla şifreli iletişime ait verilerin alınmasının pek de mümkün olmayacağı düşüncesi yerleşiyor. Fakat, tarayıcı kök sertifikayı kullanıyor ve imzanın güvenilir bir kaynaktan geldiğini söylüyor. Ayrıca, Lenovo SuperFish’e böyle bir yetkiyi verirken de gayet bilinçliydi. Ortaya çıktığında ise bu bilinçten uzak açıklamar yapmaktadır.

Sonuç mu? Sonuç şu; gizliliğiniz sadece hükûmetlere, partilere, şirketlere ve örgütlere, satın aldığınız veya kullandığınız servislere emanet edilemez. Bizim adımıza konuşamazlar ve bizim yerimize karar veremezler. Elbette kimse size zorla Lenovo aldırmıyor. Ama Lenovo da ürünü satarken böyle bir şeyin varlığından bahsetmiyor. Bu kadar büyük ve kullanıcı güveni kazanmış şirket transparan olamıyor.

Amerika’nın Günümüz Kriptografi Standartları Üzerindeki Etkisi

Kriptografi’ye girişin ikinci bölümünde Amerika’nın günümüzde sık kullanılan kriptografi standartları üzerinde nasıl bir etkisi var bunu inceleyeceğiz.

NSA skandallarından sonra kriptografinin ne kadar önemli olduğu, bir insan hakkı olan gizliliği yıllarca ne kadar küçümsediğimiz ve tüm bu gözetim ve izlemelere ne kadar hazırlıksız olduğumuz ortaya çıktı. Bununla birlikte, mesaj içeriğinin şifrelenerek araya girmeler olsa dahi iletişimin sadece gönderen ve alıcı arasında anlaşılır olmasını sağlamak için yıllardır algoritmalar oluşturulmaktadır. Ayrıca, kriptografide sık kullanılan algoritmalar kimler tarafından oluşturuldu, bunların bir standartı var mıdır ve algoritmalar üzerinde kimlerin etkisi vardır görmek iletişimin gizliliği açısından son derece önemlidir. Bu yüzden ilk olarak belli başlı bazı terimlerin neler olduğunu inceleyeceğiz.

1-NIST nedir?

Açılımı; National Institute of Standards and Technology. Adından da anlaşıldığı gibi bir standart kurumudur. Türkiye’de benzer (ne kadar benzer iş yapıyorlar, tartışılır) olarak TSE gösterilebilir. Bununla birlikte, 1901 yılında kurulmuş, Amerika’nın en eski fizik laboratuvarlarından da biridir. Genel olarak endüstriyel rekabetçiliğin olumsuzluğunu gidermek için ölçüm standartlarıyla ilgilenmektedirler. Nano düzeyde araçlardan insan yapımı olan en büyük ve karmaşık araçlara kadar ölçüm standartlarını desteklemektedirler.

2-FIPS (Federal Information Processing Standard) nedir?

FIPS; Türkçesi Federal Bilgi İşleme Standart’ı olan Amerika Birleşik Devletleri tarafından askeri olmayan devlet kurumları ve devletle iş yapan diğer kurumlar tarafından bilgisayar sistemlerinde kullanılması için geliştirilmiş bir standartlar bütünüdür. FIPS’in amacı tüm federal hükûmetler ve kurumların güvenlik ve iletişimde kullanacakları ortak bir standartın sağlanmasıdır.

3-Açık-Anahtar Algoritması (Public-key Algorithm) nedir?

Açık-anahtar algoritması daha çok asimetrik kriptografi olarak bilinen ve iki farklı anahtar olan açık ve gizli anahtarlardan oluştan bir algoritmadır. Anahtarlar farklı olmalarına rağmen matematiksel olarak birbirleriyle bağlantılıdırlar. Açık anahtar bir mesajın içeriğini şifrelemede veya dijital imzaları doğrulamada kullanılırken gizli anahtar ise şifreli mesajı açar veya dijital anahtarlar oluşturur. Günümüzde sık rastladığımız TSL, GPG, Diffie-Hellman, RSA ve PGP açık-anahtar algoritmasına örnek olarak gösterilebilirler.

Bu terimleri kavradıktan sonra ikinci olarak sık kullanılan algoritmaların neler olduğu, bunların kimler tarafından ne zaman oluşturuldukları ve üzerinde kimlerin veya hangi kurumların etkilerinin olduğuna bakalım.

AES – The Advanced Encryption Standart

Bilindiği üzere AES (Rijndael), simetrik şifre bloğu olup Joan Daemen ve Vincent Rijmen tarafından tasarlanmıştır. DES (Data Encryption Standart)‘in 56 bitlik küçük bir şifre bloğu olması ve giderek brute force saldırılarına karşı savunmasız kalması yeni bir standartın gerekli olduğunu gösteriyordu. AES ilk 1998 yılında duyrulup yayımlanmış, ardından 2001 yılıda (Rijndael) NIST tarafından Advanced Encryption Standart olarak seçilmiştir. Bu seçim süreci birçok farklı tasarımın elenmesinin ardından gerçekleşmiştir. NSA yarışmaya katılan tasarımların hepsini detaylı bir şekilde inceleyip NIST’e son seçimin en güvenli tasarım olması konusunda teknik destek verse de NIST NSA’den bağımsız olarak kendi kararını vermiş ve seçimini de AES’ten yana yapmıştır. Bu yüzden NSA’in AES’e ne bir katkısı ne de üzerinde bir etkisi mevcuttur denilebilir.

RSA – The Rivest, Shamil, Adleman Public Key Algorithm

RSA algoritması 1977 yılında MIT‘de kriptografi hocaları olan Ron Rivest, Adi Shamir ve Leonard Adleman tarafından tasarlanmıştır. Açık ve gizli anahtar şeklinde ikiye ayrılmatadır. Daha önceside, 1973 yılında bir matematikçi ve İngiliz istihbarat servisi GCHQ çalışanı olan Clifford Cocks, benzer bir algoritma tasarlamış ve belgelerinin yüksek derecede gizlilikleri yüzünden 1998 yılında keşfedilmiştir. Clifford Cocks uygulanması için dönemin pahalı bilgisayarlarına ihtiyacın olduğu, çoğunluk meraktan tasarladığı ve uygulanmadığını belirtmiştir. RSA hem akademik çevreler hem de NSA tarafından detaylı bir şekilde analiz edilmiştir. Bununla birlikte, NSA’in RSA’nın tasarlanmasında veya geliştirilmesinde herhangi bir katkısı yoktur.

Diffie/Hellman/Elliptic-Curve Diffie-Hellman/The Diffie-Hellman Key Exchange Algorithm

Diffie-Hellman algoritması 1976 yılında Stanford Üniversitesi’nde kriptografi hocaları olan Withfield Diffie ve Martin Hellman tarafından tasarlanmıştır. GCHQ çalışanları olan Malcolm Williamson, Clifford Cocks ve James Ellis tarafından birkaç yıl önce bulunmuş fakat yayımlanmamıştır. Diffie-Hellman’ın eliptik eğri sürümü ise bağımsız olarak 1985 yılında Amerikalı kriptologlar Victor Miller ve Neal Koblitz tarafından bulunmuştur. 2002 yılında Hellman, açık-anahtar kriptografisinin bulunmasında büyük katkısı olan Ralph Merkle‘nin de tanınması için algoritma adını Diffie-Hellman-Merkle olarak değiştirmiştir. NSA, potansiyel olarak zayıf olan eliptik eğri parametrelerinin NIST standartları içerisinde yer almamasını sağlamıştır.

DSA/ECDSA – The Digital Signature Algorithm/Elliptic Curve DSA

DSA algoritması dijital imzalar için bir FIPS standartıdır. 1991 yılında NIST tarafından dijital imza standarlarında (DSS) kullanılması için teklifte bulunulmuş ve 1993 yılında kullanılmaya başlanmıştır. Bununla birlikte, DSA 1991 yılında eski bir NSA çalışanı olan David Kravitz tarafından tasarlanmıştır. Ayrıca NSA, Eliptik Eğri DSA ya da ECDSA olarak bilinen diğer bir sürümünü de tasarlamıştır. DSA, akademik çevreler tarafından analiz edilmiştir.

SHA-1/The Secure Hash Algorithm 1

Ron Rivest tarafından tasarlanan MD5 algoritmasının uzun bir benzeri ve SHA-0 algoritmasının düzeltilmiş hali olan SHA-1, NSA tarafından tasarlanmıştır. SHA-0 ise 1993 yılında bir standart haline gelen NSA tasarımıdır. Fakat, 1994 yılında NSA kriptologları SHA-o tasarımında güvenliği azaltan bir sorunla karşılaştıklarında, bu açığı hızlıca kapatmak için bir NIST standartı olan SHA-1’le yer değiştirmişlerdir. Ayrıca, SHA-1 akademik çevreler tarafından analiz edilmiştir. Öte yandan, uzun yıllardır hem NIST hem de NSA SHA-2’nin kullanılmasını tavsiye etmektedir.

SHA-2/The Secure Hash Algorithm 2

NSA, dört farklı uzunluktan oluşan (224, 256, 384 ve 512 bit) hash algoritmarları içeren SHA-2‘yi tasarlamış ve NIST tarafından yayımlanmıştır. SHA-2 daha uzun hashlere sahip olduğu için SHA-1’e göre daha iyi bir güvenlik sağlamaktadır. Ayrıca, SHA-1’in tasarımdan kaynaklanan bazı algoritma açıklarına karşı daha iyi bir savunma oluşturur. Bu algoritmanın bir FIPS standart olması ise 2002 yılında gerçekleşmiştir. SHA-2 de akademik çevreler tarafından analiz edilmiştir.

Görüldüğü üzere, bizlerin kriptografide kullandığı bazı algoritmalar tasarlandıktan sonra yayımlanmış ve bilim adamları, matematikçiler, mühendisler vd. tarafından analiz edilmiştir. Ayrıca, bu algoritmalar için belirli standartlar oluşturulmuş ve güvenilirliği için onay verilmiştir. Öte yandan, günümüzde sık kullanılan bu algoritmalar üzerinde NSA ve GCHQ gibi istihbarat kurumlarının etkisi net olarak görülmekte,  bu algoritmalara benzer algoritmalar oluşturdukları ve yayımlamadıkları da bilinmektedir. Bilim etiği, planlı ve sistemli olarak toplanan verilerin analiz edilmesi, yorumlanması, değerlendirilmesi ve başkalarının da geliştirmesini içerse de gizliliğin istihbarat kurumlarının tekeline bırakılmaması gerektiğinin önemi bir kez daha gözler önüne sermektedir. Çünkü, iletişimin gizliliğini sağlamak amacıyla kullanılan birçok kriptografi algoritmasında istihbarat kurumlarının etkisi veya katkısından ziyade bireylerin daha açık ve daha özgür olarak tasarlanmış, analiz edilmiş ve geliştirilmiş algoritmalara ihtiyacı vardır. Bu, hem iletişimin gizliliğine olan güveni artıracak hem de asıl amacı gizliliği ortadan kaldırmak olan NSA ve GCHQ gibi kurumların küresel gözetim ve izlemesinden daha iyi bir şekilde korunmayı sağlayacaktır.

Heartbleed

SSL/TSL protokolü Internet üzerinde web sunucuları, tarayıcılar, e-posta, anlık mesajlaşma araçları ve VPN gibi uygulamaların şifreli bir şekilde haberleşmeleri için geliştirilmiştir. Temel amacı gizlilik ve güvenlik sağlamaktır. Açık ve gizli anahtara sahiptir. Açık anahtar ile şifrelenen veri gizli anahtar tarafından çözülür. Böylece iletilen verinin şifresinin doğru adreste ve doğru alıcı tarafından çözülmesi sağlanır. İşleyiş yapısına Wiki‘den (Türkçe) bakalabilirsiniz. Kısaca anlatacak olursak:

  • Ali -> Selam -> Ayşe diye bir mesaj yolladı. Bu mesaj desteklenen en yüksek TSL protokolü, rastgele bir sayı, doğrulama, şifreleme, mesaj doğrulama kodu (MAC) içeren şifreleme yöntemi ve bir sıkıştırma yöntemi ile yollandı.
  • Ayşe -> Selam -> Ali diye cevap verdi. Bu cevap da Ali tarafından seçilen TSL protokolü, rastgele sayı, doğrulama, şifreleme, mesaj doğrulama kodu (MAC) içeren şifreleme yöntemi ve sıkıştırma yöntemine uygun olarak verildi.
  • Ayşe -> Sertifika -> Ali mesajı yolladı. Bu mesaj şifreleme yöntemine uygun olarak şeçildi.
  • Ayşe -> SelamTamamlandı -> Ali diye bir mesaj daha yolladı.
  • Ali -> AnahtarDeğişimi -> Ayşe mesajı yolladı. Bu mesaj açık anahtarı (PreMasterSecret veya hiçbir anahtar) içermektedir. Bu değişimle artık üzerinden iletişim kurabilecekleri ortak bir sır belirleyebilecekler.
  • Ali ve Ayşe rastgele sayılar ve anahtar ile doğrulama ve şifrelemede kullanacakları ortak bir sır oluşturdular.
  • Ali -> ŞifrelemeYönteminiDeğiştir -> Ayşe mesajı gönderdi. Bu mesaj “Ayşe, bundan sonra sana göndereceğim her mesaj doğrulanacak ve şifrelenecek.” anlamına gelmektedir.
  • Ali -> Bitti -> Ayşe mesajı gönderdi. Bu mesaj  oluşturulan sır ile doğrulanmış ve şifrelenmiştir.
  • Ayşe Bitti mesajının şifresini çözmek isteyecektir. Eğer, oluşturdukları sıra uygun değilse el sıkışma gerçekleşmeyecektir.
  • Ayşe -> ŞifrelemeYönteminiDeğiştir -> Ali mesajı gönderdi. Bu mesaj da “Ali, bundan sonra sana göndereceğim her mesaj doğrulanacak ve şifrelenecek” anlamına gelmektedir.
  • Ayşe -> Bitti -> Ali mesajı gönderdi. Aynı şekilde oluşturulan sır ile doğrulandı ve şifrelendi.
  • Ali de Bitti mesajının şifresini çözecektir.
  • Son noktada, el sıkışma işlemi tamamlanmış olacaktır.

SSL/TSL’e kısa bir giriş yaptıktan sonra dün Heartbleed adıyla bir OpenSSL hatası keşfedildi. Heartbleed adı ise TSL/DTSL’de olan heartbeat (RFC6520) uzantısındaki hatadan geliyor. Bu hata normal şartlar altında şifreli bir şekilde korunun verinin çalınmasına sebep olabilmektedir. Bununla birlikte, gizli anahtar ile şifreli verinin çözülmesi, kullanıcıların sahip oldukları kullanıcı adı ve şifre gibi içeriklerin elde edilmesi, iletişimin dinlenebilmesi, verilerin servis veya kullanıcılardan hiçbir şekilde farkında olmadan çalınmasına olanak sağlamaktadır. Diğer yandan, yapılabilecek herhangi bir saldırının kolaylığı ve iz bırakmaması kullanıcıları büyük bir risk altına sokmaktadır. Yukarıdaki işleyiş örneğine de bakacak olursanız Ali ile Ayşe arasında geçen şifreli iletişim bu hata yüzünden saldırganların iletişimde kullanılan şifrelere sahip olmalarına ve mesaj içeriğini çok kolay bir şekilde elde edebilmelerine neden olmaktadır.

Nelerin sızmış olabileceğine dair olarak dört kategori oluşturulmuş. Bunlar; birinci anahtarlar, ikincil anahtarlar, şifreli veriler ve hafıza içerikleridir. Kısaca özetlersek; birincil anahtarlar şifreleme için kullanılan açık ve gizli anahtarları içermektedir. Saldırganın servisler tarafından şifrelenen trafiğin arasına girilebileceği, şifreyi çözebileceği, özellikle geçmiş trafiğin hatanın yamalansa bile şifresinin çözülebileceğidir. İkincil anahtarlar, servislerde kullanılan kullanıcı adı ve parola gibi kullanıcı içerikleridir. Şifreli veriler, servislerde tutulan verilerdir. Bunlar iletişime konu olan veriler, e-postalar, belgeler veya şifrelemeye konu olan herhangi bir içerik olabilmektedir.  Hafıza içerikleri de hafıza adreslerinde tutulan teknik detaylar olabildiği gibi çeşitli saldırılara karşı alınan güvenlik önemleri de olabilmektedir.

Ben de etkileniyor muyum?

Malesef etkileniyorsunuz. OpenSSL Internet üzerindeki trafiği şifrelemek üzere en çok kullanılan açık kaynak şifreleme kütüphanesi olduğu için en çok kullanılan sosyal medya siteleri, kurduğunuz SSL içerikli bir uygulama, ağ uygulamaları, hatta devlet siteleri bile gizlilik ve işlemleri (trafik, giriş vs.) korumak adına bu protokolü kullandığı için etkilenmektedir. Bu yüzden sizler de doğrudan veya dolaylı olarak etkilenmektesiniz. Ayrıca, ilk keşfedenlerin bu hatayı bulanlar olmadığını da unutmamalısınız. Hatayı duyuran Codenomicon ve Google‘dan Neel Mehta yaptıkları test saldırılarında durumun çok ciddi olduğunu ve bu açığın çoktan kullanılmış olabileceğini belirtmektedirler.

Hangi OpenSSL sürümleri etkilenmekte?

  • OpenSSL 1.0.1 ve 1.0.1f etkilenmekte,
  • OpenSSL 1.0.1g etkilenmiyor,
  • OpenSSL 1.0.0 etkilenmiyor,
  • OpenSSL 0.9.8 etkilenmiyor.

Hangi GNU/Linux dağıtımları etkilenmekte?

  • Debian Wheezy, (OpenSSL 1.0.1e-2+deb7u4) etkilenmekte,
  • Ubuntu 12.04.4 LTS, (OpenSSL 1.0.1-4ubuntu5.11) etkilenmekte,
  • CentOS 6.5, (OpenSSL 1.0.1e-15) etkilenmekte,
  • Fedora 18, (OpenSSL 1.0.1e-4) etkilenmekte,
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mayıs 2012) ve 5.4 (OpenSSL 1.0.1c 10 Mayıs 2012) etkilenmekte,
  • FreeBSD 8.4 (OpenSSL 1.0.1e) ve 9.1 (OpenSSL 1.0.1c) etkilenmekte,
  • NetBSD 5.0.2 (OpenSSL 1.0.1e) etkilenmekte,
  • OpenSUSE 12.2 (OpenSSL 1.0.1c) etkilenmekte.

Ne yapmalı?

Servis tarafını ilgilendiren duruma biz herhangi bir şey yapamıyoruz. Sadece, onların SSL sertifikalarını güncellemelerini bekleyeceğiz. Ardından, bir önlem olarak kullandığımız parolalarımızı değiştireceğiz. Bununla birlikte, bizi ilgilendiren tarafta ise ilk olarak dağıtımlarınızda kurulu olan OpenSSL paketinin sürümünü kontrol edin. Kontrol ettiğimde bende yüklü olan 1.0.1f olan sürümü 1.0.1g‘ye düşürüldü. Eğer, bu açıktan etkilenen bir sürüme sahipseniz ilk iş olarak etkilenmeyen sürümlere geçin. Muhtemelen, bir güncelleme çıkmıştır.

Online Kripto Araçları

Başlığa aldanıp nasıl kullanacağınızı anlatacağım bir rehber zannetmeyin. Snowden’in belgelerine dayanarak NSA tarafından bir şekilde kırıldığı söylenen bu araçların neler olduğundan bahsedelim.

Amerikan İç Savaşı muharebelerinden olan Bull Run ilk 21 Temmuz 1861 yılında gerçekleşti. Konfederasyon’un kazandığı bu muharebe aradan 152 yıl sonra NSA’in belirli ağ iletişim teknolojilerini kırmak için kullandığı kripto çözme programının kod adı oldu. İngiltere cephesinde ise 23 Ekim 1642 yılında ilk İngiliz İç Savaşı muhaberesi olan Edgehill, bu kripto çözme programına isim verdi.

Bullrun Projesi ortaya çıkarttığı üzere, NSA ve GCHQ’nun HTTPS, VoIP, SSL gibi geniş çapta kullanılan online protokollere karşı bunu kullanmakta ve bu protokolleri kırabilmektedir.

Bu protokoller, programlar nelerdir, bakacak olursak:

VPN (Virtual Private Network)
Özellikle şirketlerin çalışanlarının ofise uzaktan erişim sağlayabilmesi için kullandığı VPN‘ler.

Şifreli Chat
İletim esnasında kırılması mümkün olmayan (mesaj servisi tarafından bile), Adium ve AIM gibi noktadan noktaya şifreleme sağlayan programlar.

SSH (Secure Shell)
Güvensiz bir ağda, güvenlik kanalı üzerinden iki bilgisayar arasındaki veri aktarımının gerçekleştirilmesini sağlayan, kriptografik ağ protokolü. GNU/Linux ve Mac kullanıcıları için standart halinde gelmiş bir uygulamadır.

HTTPS (Hypertext Transfer Protocol Secure)
Özellikle kullanıcı ve sunucu arasındaki bilgilerin (şifre, finansal bilgiler vs.) başkaları tarafından erişmini engellemek için HTTP protokolüne SSL protokolü eklenerek oluşturulmuş ve standart haline gelmiş güvenli hiper metin aktarım iletişim kuralı. Son dönemde Facebook, Twitter, Gmail gibi servislerle daha da bilinir hale gelmiştir.

TSL/SSL (Transport Layer Security/Secure Sockets Layer)
İstemci-sunucu uygulamalarının (tarayıcı, e-posta vs.) ağ boyunca gizlice dinleme ya da yetki dışı erişimi engellemek için olan kriptografik protokollerdir.

Şifreli VoIP (Voice over Internet Protocol)
Microsoft’un Skype ya da Apple’ın FaceTime gibi servisleri kullanıcıların Internet üzerinden sesli ve görüntülü iletişim kurmalarını sağlayan uygulamalar.