Entenda e se proteja do Heartbleed, a maior falha de segurança da Internet

Da Redação
10/04/2014 - 16h59 - Atualizada em 10/04/2014 - 17h24
Ameaça recente permite que informações sigilosas de usuários e empresas sejam interceptadas por crackers. É recomendável mudar senhas em sites afetados.

Uma recente ameaça foi descoberta em uma das implementações mais usadas do SSL (Secure Sockets Layer) e do TLS (Transport Layer Security), protocolos de segurança que são utilizados em inúmeros sites com o intuito de criptografar o tráfego entre dois computadores. Ou seja, manter a conexão segura.

Chamada de Heartbleed, a falha de segurança apresenta um perigo grave e imediato para qualquer servidor de Internet que não tenha recebido uma correção, de acordo com a empresa de segurança Symantec.

Leia também
Heartbleed pega grandes sites da web de "calças curtas"
Lastpass lança ferramenta para verificar se você está vulnerável ao Heartbleed

Quando explorada, a vulnerabilidade permite que informações sigilosas de usuários e empresas armazenadas de servidores web sejam interceptadas por crackers - o que pode incluir chaves SSL de sites, nomes de usuário e senhas, e até mesmo dados pessoais do usuário, como e-mail, mensagens instantâneas e arquivos, de acordo com a empresa finlandesa Codenomicon - a primeira companhia a identificar a Heartbleed em conjunto com Neel Mehta, um pesquisador da equipe de segurança da Google. 

O Heartbleed, ou OpenSSL TLS 'heartbeat' Extension Information Disclosure Vulnerability (CVE-2014-0160), afeta um componente do OpenSSL conhecido como "heartbeat", e estima-se que a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e publicamente anunciada nesta semana. Vale ressaltar que o Heartbleed afeta somente o OpenSSL e não o protocolo de segurança SSL em si.

Ainda assim, é bom ficar de olho. Devido à popularidade do OpenSSL com os administradores de sites, o número potencial de páginas afetadas é enorme. A empresa de segurança e pesquisa de Internet Netcraft estima que o Heartbleed afeta cerca de meio milhão de "sites amplamente confiáveis". "Na escala de 1 a 10, ele [Heartbleed] é 11", afirmou o respeitado especialista em segurança Bruce Schneier em seu blog.

Sim, este bug é muito sério e é muito provável que ele afete ao menos uma de suas contas online.

Como funciona

O Heartbleed explora uma falha no OpenSSL, que não verifica corretamente o tamanho de um pacote de dados, ou "payload", na resposta do servidor a um comando. Ao manipular a comunicação um atacante pode enganar um servidor, fazendo com que ele retorne um pedaço do conteúdo de sua memória (até 64KB) na resposta. Capturando múltiplos pedaços de 64 KB por vez, um atacante pode vasculhar essa cópia da memória em busca das chaves de segurança usadas para criptografar a comunicação entre o servidor e os usuários. De posse da chave, a comunicação se torna um "canal aberto", e o malfeitor pode capturar nomes de usuário, senhas e quaisquer dados que estejam trafegando no momento.

Como se proteger

Para as empresas:

·         Caso estejam usando o OpenSSL versão 1.0.1 até a versão 1.0.1f, deve atualizar o software para a versão mais recente (1.0.1g) ou recompilar a solução sem a extensão Heartbeat, usando a flag -DOPENSSL_NO_HEARTBEATS.

·         Após isto, se você acredita que o certificado do servidor de Internet possa ter sido corrompido, entre em contato com a autoridade responsável pela certificação e peça a troca;

·         Além disso, como uma boa prática, as empresas devem considerar a alteração das senhas dos usuários finais – especialmente aquelas com indícios de violação.

Já os usuários comuns de Internet podem:

·         Monitorar qualquer notícia dos fornecedores que você utiliza. Uma vez que a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas;

·         Evitar acessar e-mail com links estranhos, pois eles podem conter o chamado phishing – as iscas, que buscam o seu clique;

·         Não acesse sites duvidosos. Opte por portais oficiais e com reputação;

·         Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil;

·         Esteja ciente de que seus dados podem ser vistos por terceiros, principalmente se utiliza provedores de serviço vulneráveis.


Sites afetados

O site GitHub liberou uma lista com sites afetados e com sites não afetados pela falha. Alguns conhecidos estão na lista de páginas vulneráveis - como o Yahoo e seus serviços como o Flickr e o Tumblr, mas sites de outras gigantes da tecnologia como Facebook, Google e seus respectivos serviços (como Instagram e Blogger) estão livres de qualquer problema. 

Algumas empresas já estão tomando providências para evitar maiores estragos. O Tumblr, por exemplo, admitiu ter sido atingido pela falha e já está solicitando aos seus usuários a troca de senhas. O mesmo é recomendado para outros sites que você acessa e entrou na lista dos afetados.

Para ver a lista completa, você pode clicar aqui

Há também esta ferramenta online para testar se o site que você está acessando (ou irá acessar) está vulnerável. Basta digitar o endereço no local indicado e clicar no botão "Go!" para ter o resultado.

Assine a Newsletter. É rápido. É grátis.

White Papers

Como Empresas Líderes de Mercado Alcançam a Excelência em Customer Experience (CX)

Confira nesta pesquisa realizada com líderes do mercado uma análise de quais pressões e desafios levam à adoção de processos de experiência do cliente e as estratégias utilizadas para superar esses desafios

Conheça a Solução de Contact Center na Nuvem que Proporciona um ROI de % 571 em 3 anos

Confira no estudo da Forrester uma analise dos custos de implementação, benefícios, riscos associados e retorno sobre o investimento da plataforma PureCloud

Como a Inteligência Artificial 'Combinada' Melhora a Vida dos Clientes e dos Agentes

Neste relatório da Forrester confira três principais recomendações sobre o uso da IA para melhorar a satisfação de agentes e clientes

Reviews

Mais reviews

Belo design, capas coloridas permitem personalizar o aparelho
Tela grande e de ótima qualidade
Bom desempenho e autonomia de bateria
Tem slot para cartões microSD

Câmera traseira tem foco fixo
Não tem flash
Não tem câmera frontal
Só 4 GB de memória interna

Desempenho excepcional
Excelente autonomia de bateria

Tela tem péssima qualidade de imagem
Grande e desengonçado