2014 Yılının Dudak Uçuklatan Güvenlik Açıkları

2014 Yılının Dudak Uçuklatan Güvenlik Açıkları
Kaan Ezgimen
Kaan Ezgimen - | Güvenlik
YORUM YAZ

Teknolojik devrim türlü kolaylıkları hayatımıza taşırken, madalyonun öteki yüzü ürkütücü güvenlik açıkları hikayeleriyle dolu. 2014 yılında kurumsal şirketlerden tutun da, bireysel kullanıcılara kadar herkesin yüreğini ağzına getiren 7 olay yaşandı. Bitti mi? Bilmiyoruz!

Yürek Yarası (HeartBleed)

İnternet en bilinen web şifreleme protokollerinden biri olan OpenSS'de ortaya çıkan bu güvenlik açığı, 2014 yılının Nisan ayında teknoloji dünyasını çok fena dize getirdi. İnternet üzerindeki web sitelerinin neredeyse yüzde 60'na bulaştı. Heartbleed e-posta servislerinden şirketlere, bireysel kullanıcılardan sıklıkla ziyaret edilen internet sitelerine kadar çevrimiçi yaşantıyı tehdit altında bırakmayı başardı.

OpenSSL 1.0.1’den 1.0.1f sürümüne kadar olan tüm versiyonları etkileyen Heartbleed, SSL ya da TLS ile şifrelenen her tür verinin uzaktan ve herhangi bir iz bırakmadan okunabilmesini sağlıyordu. Bu durum webmasterları da dehşete sürüklüyordu. TLS içinde bulunan bir hatadan kaynaklanan bu açıktan faydalanan herhangi biri, söz konusu OpenSSL sürümünü kullanan bir sistemden şifreli tüm bilgiyi 64 KB'lik bölümler halinde sızdırabiliyordu.

Durum bununla da bitmiyordu, Heartbleed açığı ile internette, e-postalarda, anlık mesajlaşmalarda ve VPN uygulamalarında yer alan kullanıcı adı parola bilgilerini, anlık iletileri, e-postaları ve gizli belgeleri tamamen açığa çıkarılabiliyordu. Heartbleed Apache ve Nginx gibi popüler web sunucuları da tehdit etti. Bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli siteler listesine girdi.

Snapchat'te hüsran

Snapchat'te her ne olduysa 4 milyon kullanıcının tüm gizli verisi, kullanıcı adı ve şifresi birden internete açılıverdi. Ortaya saçılanlar sadece bunlarla kalmadı. Kullanıcılara ait 200 binin üzerinde video ve fotoğraf da paylaşılmaya başlandı. Özellikle fotoğrafların bazıları skandal niteliğindeydi ve kullanıcılar ne yapacaklarını bilemediler.

4Chan'da yayınlanan fotoğraf ve videolar bir süre sonra kaldırılsa da, pek çok kullanıcının başından aşağıya kaynar sular dökülmüştü bir kere. Kullanıcıları üçüncü parti Snapchat uygulamalarından uzak durmaları önerilse de atı alan Üsküdar'ı geçmişti.

iCloud Skandalı

Katniss Everdeen bile olayı fark etmedi ve onlarca Hollywood yıldızının iCloud hesapları hacklenerek tüm özel görüntüleri internette paylaşıldı. Rihanna, Jeniffer Lawrence ve daha nice ünlülerin özel hayatı tüm 'çıplaklığıyla' gözler önüne serildi. Apple dehşete düştü, Jennifer Lawrence hiç istifini bozmadı diğerleri avukatlarına koşarak iCloud'a dava açtılar.

iCloud saldırısı özellikli olarak ünlülere yönelik hazırlanmış bir saldırıydı.  iCloud'a bağlanmak için üçüncü parti kullanan herkes bu saldırıdan etkilendi. iCloud'un çift yönlü hesap kontrolü yapmıyor olması kendisine çok pahalıya mal oldu. Ünlüler iCloud'u dava ettiler, iCloud'da bulabilseydi eğer mutlaka hackerları dava ederdi herhalde. 

eBay çok ucuz atlattı

2014 Mayıs ayında eBay gizliğinin ihlal edildiğini açıkladı. eBay'de kayıtlı olan isim ve şifre bilgileriyle beraber, kullanıcının fiziksel adres, doğum tarihi ve eposta bilgilerini de çalan hackerler, Allahtan kredi kartı ve finansal bilgilere ulaşamadılar.

Bu konuda kullanıcılarının rahat olmasını, kredi kartı ve finansal bilgilerin başka bir sunucuda güvenlik altında olduğunu belirten eBay, tüm kullanıcılarına acil olarak 'şifrenizi hemen değiştirin' mesajı gönderdi. Bu başka sunucunun da PayPal olduğunu herkes biliyordu. Ancak bu noktada eBay ve PayPal işbirliğiyle saldırı gerçekten ucuz atlatıldı. 

Internet Explorer her zamanki gibi sakardı

2014 Nisan ayının ortalarında Microsoft Internet Explorer'ın 6'dan 11'e kadar olan tüm sürümlerinde bir güvenlik açığı olduğunu duyurdu. Aslında bu açık XP’ye yapılan durdurulmasıyla beraber diğer sistemleri de bir şekilde etkilemiş olduğu için tamamen Microsoft'un sakarlığından kaynaklanıyordu. XP için desteği durduran sunucular diğer Windows sürümlerinde de bu açığı yamamayı unuttular. Açık çok önemli bir şey değildi demeyi isterdik ama maalesef çok önemliydi her hangi bir kimsenin tüm bilgisayarınızda sizmişsiniz gibi cirit atmasına izin verebiliyordu. 

Adobe Flash uyanık davrandı

Tarayıcılara yüklenen bir çerezin kötü amaçlarla kullanılabileceğini anlayan Adobe, hemen acil bir Flash güncelleme yayınladı. Adobe, bu güvenlik sorununun yazılımda bulunan açık bir çerez vasıtasıyla tüm kullanıcıların bilgisayarlarını büyük bir tehlikeye attığını çok çabuk fark etti. Söz konusu çerez yardımıyla hackerler ele geçirdikleri PC'lerde kullanıcıları farkında bile olmadan istedikleri internet sitelerini açabiliyor, kullanıcıların gizli bilgilerine erişebiliyorlardı. Çok geç olmadan fark edilen bu açık hemen yeni bir güncelleme ile kapatıldı. 

Shelshock Bash

2014 Ekim ayında Facebook'da bir güvenlik uzmanı, çok etkili olduğunu düşündüğü bir Linux açığı tespit ettiğini açıkladı.

Shellshock denilen bu açık Linux ve OS X kullanan makinelerde etkili oluyor ve etkilenmiş makinelerde Bash Shell komutlarına izin veriyordu. Bilgisayar korsanları bu açık sayesinde birçok cihaza erişebiliyordu. Bildiğiniz gibi Linux denilince birçok web sunucusu, OS X denilince de birçok Macintosh sistem ve iPhone’lar akla geliyor hemen. Belki de hayatları boyunca ilk defa Microsoft tabanlı sistem kullananlar bir açıktan etkilenmediler. Bu arada söz konusu olan sistemler Apple ürün ailesinden olunca, ABD Ulusal Siber Güvenlik Birimi de bu açıkla ilgili tehdit seviyesini 10 üzerinden 10 olarak duyurmaktan geri kalmadı. 

Çok da korkmamak lazım

Görüldüğü üzere sistemler ne olursa olsun, hatalardan kaynaklanan açıklar pek çok dezavantajı da beraberinde getiriyor. Zaten aslında güvenlik açıkları olmasa hackerler de olmayacakmış gibi bir durum söz konusu. Yine de biz, biz olalım tüm güvenlik haberlerini ve güncellemeleri takip etmekten vaz geçmeyelim.  

Skype'ta Güvenlik Açığı

WhatsApp'ta Güvenlik Açığı

Facebook Korsanlara Karşı Savaş Başlattı

Dikkat: WhatsApp Üzerinde Gözetleniyorsunuz

YORUMLAR