Heartbleed: Entenda a falha do OpenSSL que colocou a internet em alerta

 

Especialistas de segurança descobriram uma grande falha em um software usado por centenas de bancos, e-mails, redes sociais e lojas on-line de todo o mundo. O bug chamado de Heartbleed afeta o OpenSSL, uma biblioteca de código aberto, responsável por criptografar informações em servidores e manter seus dados seguros.  Só para ter ideia da dimensão, essa é a tecnologia responsável por implantar o S no HTTP, protegendo o seu login

.

O OpenSSL é adotado por aproximadamente 2 em cada 3 servidores no mundo e a brecha é capaz de revelar nomes de usuários, senhas e conteúdo das mensagens criptografadas.

Em um comparativo de fácil entendimento, podemos dizer que o bug é como uma porta com a fechadura ruim. A proteção ainda existe e é perceptível, no entanto, qualquer um que saiba do defeito pode adentrar a residência e ter acesso a todos os cômodos e objetos da casa.

A boa notícia é que a organização OpenSSL Project agiu rápido e liberou uma atualização para as versões mais recentes do software, garantido assim, segurança maior. Empresas internacionais como Amazon e Yahoo já emitiram notas a respeito de suas medidas contra a vulnerabilidade. Já empresas como Apple e Microsoft utilizam suas próprias ferramentas de segurança.

No entanto, nenhuma empresa nacional (como os grandes varejistas do comércio eletrônico) falou a respeito do assunto. Silêncio capaz de gerar prejuízo em ambos os lados. Abaixo você pode entender um pouco mais sobre o Heartbleed.

Como funciona o problema?

A vulnerabilidade do software descrita pelo pesquisado Neel Mehta, do Google, é identificada como CVE-2014-0160. Capaz de afetar o OpenSSL nas versões mais recentes, o problema foi localizado na extensão “Heartbeat”. A brecha permite que hackers possam “pescar” até 64kb de informações de dados hospedados em servidores. O número parece baixo, mas o processo pode ser repetido inúmeras vezes até formar uma informação relevante que pode até mesmo, conceder acesso a todo o tráfego de dados.

Já existe uma correção?

Sim. A correção já existe e está sendo implementada pelas empresas que empregam o sistema em seus servidores. Mas ainda não se sabe até que ponto essa exposição foi explorada por criminosos capazes de se aproveitar dos dados que já estão disponíveis dentro do servidor.

Preciso alterar minhas senhas ou algo do tipo?

Não, por enquanto. Até porque os dados já estavam lá em casa de invasão e mudar seu acesso ao sistema vulnerável não implica em mudança nenhuma, sem contar que o fluxo de muitos usuários desenvolvendo está mesma atividade pode agravar o problema.

Sou proprietário de um site/servidor que utiliza o OpenSSL, e agora?

Você pode usar esta ferramenta para conferir se os seus dados estão vulneráveis com o bug.  Lembrando que o bug afeta as versões 1.0.1 ou 1.0.2-versões beta do OpenSSL, que vem com muitas versões do Linux. E já existe  uma atualização para reparar o problema.

Onde posso obter mais informações?

No próprio site da organização e nesta página que descreve todo o processo de descoberta do bug, medidas necessárias e versões em risco.