Güvenlik sistemlerindeki açıkların, pek çok kişi için iyi sonuçlanmadığını biliyoruz. Ancak bu kez, yaşanan güvenlik sorunu, sıklıkla kullanılan OpenSSL şifreleme kitaplığındaki kötü amaçlı kullanım sebebi ile otoritelerin ilk defa açık bir şekilde tutuklama yapmaları ile sonuçlandı.

Royal Canadian Mounted Police tarafından tutuklanan 19 yaşındaki Stephen Arthuro Solis-Reyes, Heartbleed açığını kullanarak 900 Kanadalı vergi yükümlüsünün verilerini çalmakla suçlanıyor. London Free Press'in söylediğine göre, Solis-Reyes, bir bilgisayar bilimleri öğrencisi idi. Canada Revenue Agency yetkililerinin söylediğine göre, güvenlik açığı fark edildikten bir gün sonra internet üzerinden vergi ödeme hizmeti kapatılmıştı.

Ancak bu hareket ne yazık ki yeterince hızlı gerçekleşemedi. Heartbleed açığı, pek çok özel şifreleme anahtarının, şifrelerin ve diğer pek çok hassas verinin çalınması için yeterli zamanı çoktan tanımıştı. Gilles Michaud'un söylediğine göre, RCMP, bu güvenlik açığını yüksek öncelikli bir tehdit olarak görüp, sorunun çözülmesi için gerekli işlemleri mümkün olan en hızlı şekilde başlattı.

Heartbleed açığı ise, OpenSSL'in Transport Layer (TSL) heartbeat uzantısını düzenli bir şekilde kontrol etmekle görevli olan kodun düzgün bir şekilde çalışmamasından kaynaklanıyor. Heartbeat, bağlı olan bir web istemcisinin veya uygulamanın, veri transferi süresi boyunca bağlantıyı aktif tutmasını sağlayan mesajlar gönderilmesine izin veriyor. Netcraft'ın söylediğine göre, web sitelerinin üçte ikisi, HTTPS şifrelemesinin sağlanması için OpenSSL'e güveniyor. Tabii ki bu sitelerin tamamında Heartbeat aktif durumda değil.

Solis-Reyes davasından etkilenen kurbanlara ise kayıtlı bulunan e-posta adresleri üzerinden bir uyarı gönderileceği belirtilmiş durumda...

Resimlerle: FBI bu 10 siber suçlunun peşinde!

Kaynak: CHIP Online