Google DNS'leri çöktü! SSL 3.0'da açık çıktı!

Geçtiğimiz Pazartesi günü, Asya ve Avustralya'da, Google'ın ünlü Public DNS sisteminin çöktüğü ortaya çıktı.Chip online'ın haberine göer 8.8.8.8 ve 8.8.4.4 IP adresleri üzerinden ulaşılabilen Public DNS sistemi sayesinde kullanıcılar yerel kısıtlamaları geçerek Google üzerinden diledikleri web sitesine ulaşabiliyor. Google bu servisi tamamen ücretsiz veriyor ve bazı durumlarda, Google DNS üzerinden internete bağlanmak, hizmet alınan operatörün DNS'inden bağlanmaktan daha hızlı sonuç verebiliyor. Ancak Asya ve Avustralya'da ortaya çıkan saldırı girişiminin başarılı olduğu ve Public DNS sisteminin yarım saat için çöktüğü anlaşılınca şimdi bu sistemin güvenliği tartışılıyor. Ayrıca bu saldırının başarılı olması, başka saldırgan grupların da şanslarını bu yağlı kapı üzerinde denemeye başlayacağının işareti kabul ediliyor. Dolayısıyla yakın zamanda Google DNS'lerine yeni saldırıların yapılması tahmin ediliyor. SSL'lere de saldırı varBu arada Webde şifrelenmiş güvenli veri iletişimi sağlayan SSLin o kadar da güvenli olmadığı da ortaya çıktı. Webrazzi'nin haberine göre Googleın online güvenlik blogunda yayınladığı uyarıyla açığa çıkan güvenlik zaafı, SSL 3.0 protokolüyle sağlanan güvenli bağlantıların saldırılara açık hale getiriyor. Geçtiğimiz Eylül ayında güvenlik açığını keşfeden Google araştırmacıları, bu açığı kötüye kullanan saldırılara POODLE (Padding Oracle On Downgraded Legacy Encryption) adını vermişlerdi. (Poodle kelime anlamı fino köpeği). Tipik bir saldırıda, kullanıcılar bağlanmaya çalıştıkları sunucunun TLS (Transport Layer Security) protokolünü desteklemediği görüyor ve SSL 3.0 ile bağlanmaya zorlanıyor. Böylelikle saldırganlar bu açıktan faydalanarak, şifre, cookie gibi bilgileri ele geçirebiliyor. Yaklaşık 15 yıldır kullanılan SSL 3.0 webde yaygın olarak kullanılıyor. Mozilla ve University of Michiganın araştırmasına göre, Alexanın en popüler bir milyon domaininin yaklaşık yüzde 0,42si SSL 3.0 ile bir şekilde bağlı. Bundan daha da önemli sorunsa, SSL 3.0ın tüm nternet tarayıcıları tarafından desteklenmesi. Peki ne yapılmalı? Googleın açıklamasına SSL 3.0ın sunucu ve müşteriler tarafında devre dışı bırakılması tavsiye ediliyor ancak bunun ciddi uyum sorunları yaratma olasılığı olduğu belirtiliyor. Son kullanıcılarınsa internet tarayıcılarındaki SSL 3.0 desteğini kaldırması tavsiye ediliyor. Bir diğer alternatifse, downgrade attack olarak bilinen bu tip saldırıları önleyen TLS_FALLBACK_SCSV desteği kullanmak. Google, sunucularının ve kendi internet tarayıcısı Chromeun geçtiğimiz Şubat ayından bu yana TLS_FALLBACK_SCSV desteği olduğunu söylüyor. Ancak bugünden itibaren Google gerekli değişiklikleri yapmaya başlayacak ve bütün ürünlerinden SSL 3.0 desteğini çekecek. Bu internette bazı sitelerle bağlantının kesileceği anlamına da geliyor. Bu sitelerin bir an önce güncellenmesi gerekiyor. Konuyla ilgili bir diğer açıklama da Mozilladan geldi. İnternet tarayıcısı Firefoxun yeni versiyonu Firefox 34te SSL 3.0ın tamamen iptal edeceğini belirten Mozilla, bu versiyonu 24 Kasımda piyasaya sunacak. Mozilla Firefox kullanıcıları ne yapmaları gerektiğini buradan, Chrome ve Internet Explorer kullanıcıları da buradan okuyabilirsiniz. Firefoxta SSL versiyon kontrolü sağlayan add-onlar içinse buraya gitmeniz gerekiyor.