OpenSSL Zafiyeti Sayesinde Hacker’lar HTTPS Trafiğini Deşifre Ediyor!

OpenSSL Zafiyeti Sayesinde Hacker’lar HTTPS Trafiğini Deşifre Ediyor!
Mayıs 06 13:06 2016 Yazıyı Yazdır

OpenSSL yakın bir zamanda altı farklı zafiyete karşı bir seri yama yayınladı. Bunlardan bir tanesi de saldırganların bir web sunucusuna zararlı kod yerleştirerek, tüm HTTPS trafiğini deşifre etmesini önlemeye yönelik.

OpenSSL dünyanın pek çok farklı bölgesinde yüzbinlerce internet servisi tarafından kullanılan açık kaynak bir kriptografik kütüphane. Bu kütüphane sayesinde sunucular, web ve e-posta trafiğini SSL ve TSL protokollerini şifreleyebiliyor.

Tespit edilen zafiyetlerden en önemlisi CVE-2016-2107. Bu zafiyet sayesinde, bağlantıda AES-CBC şifreleme kullanılıyorsa ve sunucu AES-NI destekliyorsa, MITM (man-in-the-middle) saldırısı yapılarak, HTTPS trafiği deşifre edilebiliyor.

Padding Oracle saldırısı yaparak, saldırganlar şifreleme korumasını zayıflatıyor ve ardından şifrelenmiş veriyi düzmetin halinde görüntüleyebiliyor. Padding Oracle açığı ilk olarak Juraj Somorovsky tarafından, kendi geliştirdiği TLS-Attacker aracını kullanarak keşfedildi. 2013 yılından beri şifreleme kütüphanelerinde bulunan bu açık, daha önce de yamalanmıştı.

Bir diğer önemli hata da CVE-2016-2108 olan OpenSSL ASN.1 standardındaki bellek tüketim açığı. Bu açık sayesinde ise saldırganlar web sunucusuna zararlı kod yerleştirebiliyor, böylelikle de sistem üzerinden geçen şifreli veriler, deşifre edilebiliyor.

Bu açık, sadece OpenSSL’in Nisan 2015’e kadarki sürümlerini etkiliyor. Her ne kadar problem, Haziran 2015 yılında çıkarılan yamalarla çözülmüş görünse de yakın bir zamanda tekrar gün yüzüne çıktı.

OpenSSL tarafından yapılan açıklamaya göre açık, özellikle güvenilir bir sertifika otoritesi tarafından imzalanmış gibi gösterilen sahte dijital sertifika kullanılarak büyük ölçüde aktif hale getirilebiliyor.

daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

1983 yılında İstanbul’da doğmuştur. İstanbul Teknik Üniversitesi mezunudur. PC World Türkiye dergisinde Yazılım Editörü olarak görev yapmış, daha sonra sırasıyla BYTE Türkiye dergisinde Yazı İşleri Müdürü, T3 Türkiye dergisinde Yayın Yönetmeni görevlerinde bulunmuştur. Türkiye Bilişim Güvenliği Derneği’nde Yönetici Üye olarak, siber güvenlikle ilgili farkındalık çalışmalarına katılmıştır. Türkiye Bilişim Derneği İstanbul Şubesi’nde Açık Kaynak Çalışma Grubu Başkanlığı göreviyle, Linux ve LibreOffice gibi açık kaynak yazılımlar hakkında Türkiye’de önemli katkılarda bulunmuştur. Farklı kurumlarda Sistem Yöneticisi ve Yazılım Geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarı olan Keleştemur, Siber Güvenlik ile ilgili çalışmalarını sürdürmektedir.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.