Tudo sobre Heartbleed, Estou vulnerável? Como devo me proteger?

Se você é um profissional de TI, blogueiro ou geek, provavelmente você ouviu falar em todos os lugares sobre essa coisa chamada “Heartbleed”.

  • “Será que eu preciso atualizar meu antivírus?”
  • “Posso entrar na minha conta bancária agora?”
  • “O Google já consertou, certo?”

Já ouvimos todas essas perguntas, mas as respostas nunca são tão claras ou simples. Na tentativa de tirar a pressão – é o fim de semana depois de tudo – nós criamos esta postagem que deve responder a todas essas perguntas e mais algumas. Da próxima vez que alguém lhe perguntar sobre aquela coisa, “Heartbleed,” simplesmente o envie o link deste artigo.

Como o Heartbleed funciona

Heartbleed (1)

O problema afeta uma parte de um software chamado OpenSSL, usado para a segurança em servidores populares da web. Com o OpenSSL, os sites podem fornecer informações criptografadas aos visitantes, de modo que os dados transferidos (incluindo nomes de usuários, senhas e cookies) não podem ser vistos por outros enquanto a é realizada a comunicação entre o computador e o site.

O OpenSSL é um projeto Open Source, o que significa que foi desenvolvido por voluntários realmente talentosos, gratuitamente, para ajudar a comunidade da internet. Acontece que a versão 1.0.1 do OpenSSL, lançado em 19 de abril de 2012, tem um pequeno bug (um erro introduzido por um programador) que permite a uma pessoa (incluindo um hacker mal-intencionado) recuperar informações sobre a memória do servidor web sem deixar vestígios. Este erro honesto, foi introduzido com um novo recurso implementado pelo Dr. Robin Seggelmann, um programador alemão, que muitas vezes já contribuiu com códigos de segurança.

O Heartbleed explora um recurso interno do OpenSSL chamado “Heartbeat”. Quando o seu computador acessa um site, o site irá responder de volta para deixar o seu computador saber que ele está ativo e ouvindo seus pedidos, este é o Heart. Esta chamada e resposta, é feita através da troca de dados. Normalmente quando o computador faz uma solicitação, o Heart só vai enviar de volta a quantidade de dados solicitadas pelo computador. No entanto, este não é o caso para os servidores atualmente afetados pelo bug. Um hacker é capaz de fazer um pedido de dados para o servidor, que estão gravados na memória, além dos dados totais do pedido inicial, de até 65.536 bytes.

Publicidade

heartbleed-data-center

Os dados que permanecem ativos para próximos pedidos “podem ​​conter dados deixados para trás de outras partes do OpenSSL” de acordo com CloudFlare. O que está armazenado nesse espaço de memória extra é completamente dependente da plataforma. À medida que mais computadores acessam o servidor, a memória mais antiga é limpa. Isto significa que os pedidos anteriores ainda podem residir no bloco de memória do servidor. E o que podem estar nesses bits de dados? As credenciais de login, cookies e outros dados que podem ser explorados por hackers.

O que eu devo fazer?

heartbleed-smartphone

Como esse recurso é tão específico, o número de servidores realmente afetados é significativamente menor do que muitos pensavam originalmente. Na verdade, embora algumas estimativas mencionem que 60% ​​de todos os servidores da Internet possuiam o bug Heartbleed, a Netcraft diz que o número deve ser muito menor, algo em torno de 17,5% (bem, isso ainda é um monte de servidores, mas menos que 60%).

Após a descoberta do erro, o software OpenSSL foi rapidamente corrigido, e a partir da versão 1.0.1.g o problema não existe mais. Mesmo antes do problema ter sido corrigido, se o software OpenSSL tivesse sido instalado sem a extensão Heartbeat, o servidor nunca teria sido vulnerável.

Devo me preocupar?

Heartbleed_mulher

Agora, a pergunta importante é se você deve se preocupar com este problema? A resposta curta é: “sim, mas não entre em pânico”. Você deve definitivamente mudar suas senhas pelo menos para os serviços confirmados como vulneráveis ​​e que até agora já foram corrigidos, como Google e Yahoo. Mas você deve mudar suas senhas regularmente, não importa o lugar. Se você tem dificuldade para lembrar suas senhas, você sempre pode usar um gerenciador de senhas como o LastPass ou 1Password (lembre-se: não nunca anote suas senhas em uma nota ao lado do seu monitor, um bloco de notas ou um documento dentro do computador).

Esta recomendação para mudança de senhas não é nada mais que uma precaução, porque mesmo que hackers sabiam sobre o problema (além de por nossos amigos do NSA, aparentemente), as chances de eles obterem a sua senha, de modo que em que os dados sejam capaz de bater com seu nome de usuário são bastante pequenas.

Algumas pessoas afirmam que os certificados de criptografia para servidores (uma tecnologia que nos permite confirmar é autentico e realmente é quem diz ser) poderia ter sido roubada, mas a empresa CloudFlare tem dito que é muito difícil de fazer. Eles lançaram um desafio, disponibilizando uma chave para todos e desafiaram os hackers a explorar a falha. E parece que alguém conseguiu, durante uma reinicialização do servidor. Independentemente das probabilidades, as empresas estão mudando suas chaves de criptografia para que novos dados não fiquem vulneráveis, se alguém foi capaz de obter as chaves antigas.

Recomendações finais sobre o Heartbleed

heartbleed-recomendacoes

Simplesmente, altere as senhas dos serviços que você considera mais importantes (e-mail, serviços bancários, compras) e continue com sua vida. Ao altera-las, siga as boas práticas de segurança: não use a mesma senha em todos os serviços, selecione senhas com 10 caracteres ou mais e use letras maiúsculas e números.

Publicidade

Fonte: Engadget

ZUTI