Konu hakkında yetkili bir ağızdan cevap almak adına ESET Türkiye Teknik Müdürü Erkan Tuğral ile görüştük. O da en samimi şekilde durumu bize açıkladı.
SSL/TLS Export Açığı
Biliyorsunuz SSL ve TLS, internet gibi açık bir ağ üzerinden her türlü güvenlik gerektiren bilgiyi özel şifreleme teknikleriyle aktarmaya yarayan birer protokol. Günümüzde bu protokollerin güvenliği mevcut teknolojilerle kırılması çok mümkün olmayan 1024 bit ve 2048 bit güçlü şifreleme algoritmaları içeriyor.
Ancak 90’lı yıllarda ABD nin SSL/TLS üzerinde uyguladığı ülke dışına çıkarma (export) sınırlamaları nedeniyle , ABD içinde çalışırken 1024 bit şifreleme kullanılabiliyorken , ABD dışı ülkeler için izin verilen en yüksek şifreleme 512 bit idi. Bu nedenle sunucular hem 512 bit hem de 1024 bit istemcilerin bağlantılarına izin vermek üzere Export Suite denilen ek özellikler içeriyordu. Artık sınırlama kalkmış olmasına rağmen bazı tasarım kısıtlamaları nedeniyle halen güncel SSL/TLS uygulamalarında mevcut durumda.
Bu ön bilgiyi verdikten sonra gelelim açığa; saldırganlar yukarıda anlatılan Export suite özelliklerini kullanarak, hedef sistem 1024/2048 bit şifreleme algoritmasını desteklemesine rağmen sunucuyla, açık içeren istemci arasına girip (Man in the middle saldırısı) trafiği 512 bite indirebiliyorlar. Ve geçen trafiği kaydedip, günümüz bulut bilişim olanaklarıyla kabaca 100 USD gibi bir harcamayla şifresini çözebiliyorlar.
Şu anda açığı taşıyan istemciler yaygın kullanılan Android varsayılan tarayıcısı ve Apple’ın Safari tarayıcısı olarak görünüyor.
Apple, açıkla ilgili yamanın hazır olduğunu vekısa süre içinde yayınlayacağını bildirmiş. Google açığı yamayıp ilgili yönergeleri telefon üreticilerine gönderdiğini açıklamış.(Buna göre ilgili güncellemeleri telefon üreticileri çıkaracak).
Web siteleri tarafında ise artık kullanılmayan Export sertifikası özelliğinin kapatılmasını şiddetle öneriyoruz.