Heartbleed: conheça a maior falha da Internet e veja como se proteger

Da Redação
10/04/2014 - 12h44
Ameaça recente permite que informações sigilosas de usuários e empresas sejam interceptadas por crackers. É recomendável mudar senhas em sites afetados.

Uma recente ameaça foi descoberta em uma das implementações mais usadas do SSL (Secure Sockets Layer) e do TLS (Transport Layer Security), protocolos de segurança que são utilizados em inúmeros sites com o intuito de criptografar o tráfego entre dois computadores. Ou seja, manter a conexão segura.

Chamada de Heartbleed, a falha de segurança apresenta um perigo grave e imediato para qualquer servidor de Internet que não tenha recebido uma correção, de acordo com a empresa de segurança Symantec.

Leia também
Heartbleed pega grandes sites da web de "calças curtas"
Lastpass lança ferramenta para verificar se você está vulnerável ao Heartbleed

Quando explorada, a vulnerabilidade permite que informações sigilosas de usuários e empresas armazenadas de servidores web sejam interceptadas por crackers - o que pode incluir chaves SSL de sites, nomes de usuário e senhas, e até mesmo dados pessoais do usuário, como e-mail, mensagens instantâneas e arquivos, de acordo com a empresa finlandesa Codenomicon - a primeira companhia a identificar a Heartbleed em conjunto com Neel Mehta, um pesquisador da equipe de segurança da Google. 

O Heartbleed, ou OpenSSL TLS 'heartbeat' Extension Information Disclosure Vulnerability (CVE-2014-0160), afeta um componente do OpenSSL conhecido como "heartbeat", e estima-se que a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e publicamente anunciada nesta semana. Vale ressaltar que o Heartbleed afeta somente o OpenSSL e não o protocolo de segurança SSL em si.

Ainda assim, é bom ficar de olho. Devido à popularidade do OpenSSL com os administradores de sites, o número potencial de páginas afetadas é enorme. A empresa de segurança e pesquisa de Internet Netcraft estima que o Heartbleed afeta cerca de meio milhão de "sites amplamente confiáveis". "Na escala de 1 a 10, ele [Heartbleed] é 11", afirmou o respeitado especialista em segurança Bruce Schneier em seu blog.

Sim, este bug é muito sério e é muito provável que ele afete ao menos uma de suas contas online.

Como funciona

O Heartbleed explora uma falha no OpenSSL, que não verifica corretamente o tamanho de um pacote de dados, ou "payload", na resposta do servidor a um comando. Ao manipular a comunicação um atacante pode enganar um servidor, fazendo com que ele retorne um pedaço do conteúdo de sua memória (até 64KB) na resposta. Capturando múltiplos pedaços de 64 KB por vez, um atacante pode vasculhar essa cópia da memória em busca das chaves de segurança usadas para criptografar a comunicação entre o servidor e os usuários. De posse da chave, a comunicação se torna um "canal aberto", e o malfeitor pode capturar nomes de usuário, senhas e quaisquer dados que estejam trafegando no momento.

Como se proteger

Para as empresas:

·         Caso estejam usando o OpenSSL versão 1.0.1 até a versão 1.0.1f, deve atualizar o software para a versão mais recente (1.0.1g) ou recompilar a solução sem a extensão Heartbeat, usando a flag -DOPENSSL_NO_HEARTBEATS.

·         Após isto, se você acredita que o certificado do servidor de Internet possa ter sido corrompido, entre em contato com a autoridade responsável pela certificação e peça a troca;

·         Além disso, como uma boa prática, as empresas devem considerar a alteração das senhas dos usuários finais – especialmente aquelas com indícios de violação.

Já os usuários comuns de Internet podem:

·         Monitorar qualquer notícia dos fornecedores que você utiliza. Uma vez que a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas;

·         Evitar acessar e-mail com links estranhos, pois eles podem conter o chamado phishing – as iscas, que buscam o seu clique;

·         Não acesse sites duvidosos. Opte por portais oficiais e com reputação;

·         Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil;

·         Esteja ciente de que seus dados podem ser vistos por terceiros, principalmente se utiliza provedores de serviço vulneráveis.


Sites afetados

O site GitHub liberou uma lista com sites afetados e com sites não afetados pela falha. Há também ferramentas online - a da Lastpass, da Qualys Lab e da de Filippo Valsorda - para testar se o site que você está acessando (ou irá acessar) está vulnerável. 

Algumas empresas já estão tomando providências para evitar maiores estragos. O Google, por exemplo, afirmou que já eliminou a vulnerabilidade dos seus servidores, e que serviços como YouTube, Gmail, Play, Apps e App Engine tinham sido afetados.

O Tumblr também admitiu ter sido atingido pela falha e já está solicitando aos seus usuários a troca de senhas. O mesmo é recomendado para outros sites que você acessa e entrou na lista dos afetados. Mas - vale lembrar - que a mudança de senha deve ser feita somente depois de o site ter corrigido o problema.

Já há uma correção disponível para a falha e ela deve ser implementada em breve por todos os serviços que você mais utiliza - ainda mais agora, que a vulnerabilidade foi publicamente revelada. Trocar a senha antes disso não irá ajudar em nada. Se você achar que um site que você usa com frequência ainda está com problemas, a Codenomicon aconselha a "tirar um dia de folga" e deixar para acessá-lo depois.

*Com informações da PCWorld e da Computerworld.