FREAK Güvenlik Açığı: Bilmeniz Gerekenler.

Bu hafta başlarında, güvenli web bağlantılarını tehlikeye atan, hassas bilgileri ifşa etme riski bulunan FREAK adı verilen önemli bir güvenlik açığı, araştırmacılar tarafından keşfedildi. Her ne kadar LastPass, bu güvenlik açığından etkilenmemiş olsa da, LastPass kullanıcılarının da tarayıcılarını, hazır oldukları zaman gerekli eklemeleri (yamaları) içerecek şekilde güncellemeleri kritik önem taşıyor. İşte bilmeniz gereken tüm ayrıntılı bilgiler:

FREAK açığı nedir?

FREAK açığı, kullanıcı ile web sitesi arasında güvenli bir bağlantı oluşturan SSL/TLS protokolünü etkilemektedir. Bu güvenli bağlantı, HTTPS protokolü üzerinden bağlantı kurduğunuzda ve tarayıcınızın adres çubuğunda asma kilit simgesi bulunduğunda oluşturulmaktadır. Bu “kilit”, web sitesine gönderilen kişisel bilgilerinizin şifrelenmiş olduğunu ifade eder.

Ancak, FREAK açığı, aradaki adam saldırısı ile kötü amaçlar doğrultusunda kullanılabilmektedir. Örneğin, freakattack.com web sayfasına göre, “Bu güvenlik açığı; saldırganlara, savunmasız istemciler [cihazlar] ile sunucular arasında kurulan HTTPS bağlantılarını kesme, hassas verileri çalmak veya değiştirmek amacıyla çözebileceği daha zayıf bir şekilde şifrelemeye zorlama fırsatı sunar.”

FREAK güvenlik açığı, çoğunlukla önemli tarayıcıları etkisi altına almaktadır:

  • Internet Explorer
  • Chrome (Android ve Mac işletim sistemi) – Mac işletim sistemi için ekleme hazırdır
  • Safari (Mac işletim sistemi ve iOS) – Eklemenin gelecek hafta hazır olması bekleniyor
  • Stock Android Tarayıcı
  • BlackBerry Tarayıcı
  • Opera (Mac işletim sistemi, Linux)

Aynı siteyi ziyaret ederek, cihazınızda veya tarayıcınızda sistem açığı olup olmadığını öğrenebilirsiniz: https://freakattack.com. Ayrıca sitede, FREAK açığının etkilediği ve Alexa en popüler web siteleri listesinde bulunan sayfaları içeren bir liste de hazırlanmıştır.

Peki LastPass bu durumdan nasıl etkilenir?

LastPass kullanıcıları tamamen güvendedir. Sunucularınız, FREAK güvenlik açığından zarar görmemiştir. Her zaman olduğu gibi, LastPass güvenlik kasanız güvenli olup, ana sistem şifreniz asla başkalarına iletilmez. Ayrıca LastPass, güvenli senkronizasyon işleminde önce verileri, yerelde AES-256 kullanarak şifreler. Ana sistem şifrenizi hiç kimseye iletmememizin temel sebebi de, bu gibi sürekli meydana gelebilen sistem açıklarıdır.

LastPass mobil uygulamaları üzerinde yerleşik tarayıcıları kullananlar, söz konusu güvenlik açığından etkilendiği açıklanan,, platformlardaki varsayılan tarayıcıları kullanmaktadır. Yerleşik tarayıcılarımız, bu platformlarda herhangi bir düzeltme yayınlandığı zaman güncellenecektir. Bu esnada, Firefox mobil tarayıcı ile güvenli biçimde internette gezinebilirsiniz.

Mobil uygulamalarımızın kendi aralarındaki ve sunucularımızla aralarındaki iletişim kesinlikle saldırılara açık değildir; bu da, mobil cihazlar üzerindeki sunucularımızda alışverişi yapılan kasa verilerinin akışının kesilmesinin mümkün olmadığı anlamına gelir.

Şu önlemleri almanız önerilir:

Kullanıma hazır olan tüm eklemeleri içeren güncelleştirmeleri yapın. Microsoft, Apple, Google önümüzdeki birkaç gün içinde gerekli eklemeleri yayınlayacaktır; bu yüzden, söz konusu eklemeler hazır olduğunda sisteminizi güncellemeniz kritik önem taşır.

İnternette güvenli gezinim için Firefox kullanın. Yukarıdaki listedeki güvenlik açığına maruz kalan tarayıcılar için gerekli eklemeler hazır olana kadar, webte güvenli şekilde gezinmek ve çevrimiçi hesaplarınıza bağlanmak için iOS, Android, Mac işletim sistemi üzerinde Firefox tarayıcısını kullanmayı tercih edebilirsiniz.

Savunmasız şifreleri değiştirin. Saldırıya uğrama riskiniz neredeyse imkansız olsa da, bir takım cihazlarda ve web sitelerinde düzeltmeler yapıldığı için, saldırı riskine açık olduğu ifade edilen cihazları kullanarak erişim sağladığınız hesapların şifrelerini değiştirmeniz yerinde bir karar olacaktır. Ayrıca, LastPass Güvenlik Mücadelesi uygulayarak, kullandığınız şifrelerin ne derece güçlü olduğunu değerlendirebilirsiniz. Bizim Otomatik Şifre Değiştirme özelliği de, şifrelerinizi otomatik olarak değiştirmenize yardımcı olur. Her web sitesinde birbirinden farklı ve güçlü şifreler kullanmanız, bir sitede kullandığınız şifrenin ele geçirilmesi halinde, öteki hesaplarınıza başkaları tarafından giriş yapılmasına engel olduğu için oldukça önemlidir.

Her zaman olduğu gibi, son duruma ilişkin yeni gelişmeleri yakından takip edip, kullanıcı kitlemizi gerektiği şekilde güncel bilgilerden haberdar edeceğiz.