Heartbleed a falha por trás do OpenSSL
Já faz um tempo desde que houve um erro de segurança em computadores para nos preocuparmos. Infelizmente, parece que todos nós estamos enfrentando uma falha de segurança enorme nos últimos dois anos e ninguém percebeu isso.
Ontem, pesquisadores de segurança anunciaram uma falha de segurança no OpenSSL, um popular padrão de criptografia de dados, que dá aos hackers que sabem sobre ele a capacidade de extrair grandes quantidades de dados dos serviços que usamos todos os dias e na sua maioria assumem ser seguros.
Este não é simplesmente um bug em algum aplicativo que pode rapidamente ser atualizado. A vulnerabilidade está nas máquinas que transmitem informações seguras, como o Facebook e o Gmail.
Fizemos um guia para você saber do que se trata o "Heartbleed":
O que é o bug Heartbleed?
Heartbleed é uma falha no OpenSSL, o padrão de criptografia de código aberto usado pela maioria dos sites que precisam transmitir os dados que os usuários querem manter seguros. É, basicamente, como uma linha segura(sim, como aquelas linhas seguras que o 007 usa em seus filmes), para quando você está enviando um e-mail ou bate-papo por mensagens instantâneas.
A criptografia trabalha fazendo com que dados sejam enviados fiquem embaralhados e que ninguém os entenda a não ser o software que faz a leitura desses dados para o usuário receptor.
Ocasionalmente, um computador pode querer verificar se ainda há um computador no final de sua conexão segura, e vai enviar para fora o que é conhecido como "heartbeat", um pequeno pacote de dados que pede por uma resposta.
Por causa de um erro de programação na implementação do OpenSSL, os pesquisadores descobriram que era possível enviar um pacote bem disfarçado de dados que se parecia com um desses "heartbeats" para enganar o computador do outro lado para o envio de dados armazenados em sua memória.
A falha foi relatada pela primeira vez para a equipe por trás do OpenSSL pelo pesquisador de segurança do Google Neel Mehta, e foi descoberta de forma independente pela empresa de segurança Codenomicon. De acordo com os pesquisadores que descobriram a falha, o código tem sido explorado em OpenSSL por cerca de dois anos, e essa exploração não deixa rastros.
Ok, e esta falha é muito grave?
Sim, é muito grave. Servidores Web podem manter uma grande quantidade de informação em sua memória ativa, inclusive nomes de usuário, senhas e até mesmo o conteúdo que os usuários estão enviado para um serviço. De acordo com Timothy Lee da Vox.com, até mesmo números de cartão de crédito pode ser puxados para fora dos dados se estiverem na memória dos servidores que alimentam alguns serviços.
Mas muito pior do que ter esses dados revelados, a falha tornou possível para os hackers roubarem as chaves de criptografia - códigos utilizados para transformar os dados criptografados em informações legíveis.
Com as chaves de criptografia, os hackers podem interceptar dados criptografados de servidores de um site e lê-los sem estabelecer uma conexão segura. Isso significa que, a menos que as empresas que executam os servidores vulneráveis mudem suas chaves, até mesmo o tráfego futuro será suscetível ao Heartbleed.
Serei ou estou sendo afetado por esta falha?
Você pode ser afetado, quer direta ou indiretamente. OpenSSL é a biblioteca de criptografia de código aberto mais popular e TLS (Transport Layer Security) é a implementação usada para criptografar o tráfego na Internet. Seu site de redes sociais, site da sua empresa, site comercial, site de entretenimento, e os sites que possuem aplicativos em nuvem que você ou a sua empresa usam, podem estar usando OpenSSL vulnerável.
O que posso fazer para me proteger?
Uma vez que a vulnerabilidade tem sido explorada em OpenSSL por cerca de dois anos, e não deixa rastros, você pode assumir que as suas contas pode estar comprometidas. Você deve alterar as senhas imediatamente, especialmente para os serviços onde a privacidade e segurança são as principais preocupações.
Os pesquisadores que descobriram a falha por trás do OpenSSL, já tinham passado essas informações para a equipe de desenvolvedores da tecnologia antes da noticia sair na mídia no dia 08/04/2014 e já tinham concluído a correção do bug. A maioria das empresas que trabalham com dados importantes já devem estar atualizando seus sites para acabar com o problema, mas, como tudo na era de tecnologia, logo os caçadores de falhas ou hackers descobrirão mais algumas falhas que deixam nós todos vulneráveis.
Fonte: businessinsider.com
Ontem, pesquisadores de segurança anunciaram uma falha de segurança no OpenSSL, um popular padrão de criptografia de dados, que dá aos hackers que sabem sobre ele a capacidade de extrair grandes quantidades de dados dos serviços que usamos todos os dias e na sua maioria assumem ser seguros.
Este não é simplesmente um bug em algum aplicativo que pode rapidamente ser atualizado. A vulnerabilidade está nas máquinas que transmitem informações seguras, como o Facebook e o Gmail.
Fizemos um guia para você saber do que se trata o "Heartbleed":
O que é o bug Heartbleed?
Heartbleed é uma falha no OpenSSL, o padrão de criptografia de código aberto usado pela maioria dos sites que precisam transmitir os dados que os usuários querem manter seguros. É, basicamente, como uma linha segura(sim, como aquelas linhas seguras que o 007 usa em seus filmes), para quando você está enviando um e-mail ou bate-papo por mensagens instantâneas.
A criptografia trabalha fazendo com que dados sejam enviados fiquem embaralhados e que ninguém os entenda a não ser o software que faz a leitura desses dados para o usuário receptor.
Ocasionalmente, um computador pode querer verificar se ainda há um computador no final de sua conexão segura, e vai enviar para fora o que é conhecido como "heartbeat", um pequeno pacote de dados que pede por uma resposta.
Por causa de um erro de programação na implementação do OpenSSL, os pesquisadores descobriram que era possível enviar um pacote bem disfarçado de dados que se parecia com um desses "heartbeats" para enganar o computador do outro lado para o envio de dados armazenados em sua memória.
A falha foi relatada pela primeira vez para a equipe por trás do OpenSSL pelo pesquisador de segurança do Google Neel Mehta, e foi descoberta de forma independente pela empresa de segurança Codenomicon. De acordo com os pesquisadores que descobriram a falha, o código tem sido explorado em OpenSSL por cerca de dois anos, e essa exploração não deixa rastros.
Ok, e esta falha é muito grave?
Sim, é muito grave. Servidores Web podem manter uma grande quantidade de informação em sua memória ativa, inclusive nomes de usuário, senhas e até mesmo o conteúdo que os usuários estão enviado para um serviço. De acordo com Timothy Lee da Vox.com, até mesmo números de cartão de crédito pode ser puxados para fora dos dados se estiverem na memória dos servidores que alimentam alguns serviços.
Mas muito pior do que ter esses dados revelados, a falha tornou possível para os hackers roubarem as chaves de criptografia - códigos utilizados para transformar os dados criptografados em informações legíveis.
Com as chaves de criptografia, os hackers podem interceptar dados criptografados de servidores de um site e lê-los sem estabelecer uma conexão segura. Isso significa que, a menos que as empresas que executam os servidores vulneráveis mudem suas chaves, até mesmo o tráfego futuro será suscetível ao Heartbleed.
Serei ou estou sendo afetado por esta falha?
Você pode ser afetado, quer direta ou indiretamente. OpenSSL é a biblioteca de criptografia de código aberto mais popular e TLS (Transport Layer Security) é a implementação usada para criptografar o tráfego na Internet. Seu site de redes sociais, site da sua empresa, site comercial, site de entretenimento, e os sites que possuem aplicativos em nuvem que você ou a sua empresa usam, podem estar usando OpenSSL vulnerável.
O que posso fazer para me proteger?
Uma vez que a vulnerabilidade tem sido explorada em OpenSSL por cerca de dois anos, e não deixa rastros, você pode assumir que as suas contas pode estar comprometidas. Você deve alterar as senhas imediatamente, especialmente para os serviços onde a privacidade e segurança são as principais preocupações.
Os pesquisadores que descobriram a falha por trás do OpenSSL, já tinham passado essas informações para a equipe de desenvolvedores da tecnologia antes da noticia sair na mídia no dia 08/04/2014 e já tinham concluído a correção do bug. A maioria das empresas que trabalham com dados importantes já devem estar atualizando seus sites para acabar com o problema, mas, como tudo na era de tecnologia, logo os caçadores de falhas ou hackers descobrirão mais algumas falhas que deixam nós todos vulneráveis.
Fonte: businessinsider.com
Nenhum comentário:
Postar um comentário