É um bug, severo, na biblioteca de criptografia OpenSSL. Essa falha permite o roubo de informações em um tráfego de dados criptografado com SSL/TSL, que são protocolos de segurança de comunicação na internet, em serviços como SMTP (de e-mails), HTTPS (navegação em páginas) e até outras formas de transferência de dados.
A intenção desses protocolos, vamos assim dizer, é manter a confidencialidade e a privacidade dos dados trafegados nessas conexões. Como? Através da autenticação das partes envolvidas e da cifra dos dados transmitidos entre as partes. Esse protocolo ajuda a prevenir que intermediários entre as duas pontas da comunicação tenham acesso indevido ou falsifiquem os dados transmitidos.
Mas e o bug?
Este bug permite que qualquer pessoa na internet seja capaz de ler uma parte da memória ram dos sistemas protegidos pelo OpenSSL. Assim comprometendo as chaves de identificação que os serviços utilizam para criptografar o tráfego, este que pode conter usuários, senhas e o conteúdo enviado pelo usuário. Isso permite que invasores que estão monitorando sua comunicação, sejam capazes de roubar suas informações que estariam criptografadas inicialmente.
O pessoal do http://www.heartbleed.com.br/ fez um teste de ataque neutro, sem usar credenciais, e conseguiram obter as chaves de criptografia dos certificados X.509, acesso a usuários, senhas, e-mails e documentos da empresa.
Ok. Mas e como parar a vulnerabilidade?
Já há uma versão corrigida do OpenSSL. Já foi liberada e aos poucos está sendo aplicada por fabricantes e provedores de serviços. A comunidade de segurança também está trabalhando em SSL/TSL honeypots para a descoberta de novos ataques. Há também a possibilidade de fazer a verificação de um site aqui.
Mas como prevenir nunca é demais...
Vários sites que usamos diariamente foram afetados pelo bug. Desde as redes sociais, seu servidor de e-mail ou quem sabe até mesmo o site da sua empresa. Há vários sites que se pronunciaram sobre o assunto e que até mesmo corrigiram a falha antes dela ter sido anunciada publicamente. Por exemplo o Facebook e os serviços do Google (como Gmail, Youtube, entre outros). O Yahoo foi o principal servidor atacado, e se não me engano foi inclusive o primeiro divulgado e teve vários dados roubados. Até mesmo o servidor de Minecraft, serviços como Dropbox e Soundcloud e redes como o Tumblr foram vítimas do bug. Então o ideal é: Troque suas senhas, principalmente se você repete senhas (ou usa similares) para mais de um serviço. Não se esqueça que vários sites de e-commerce usam essa criptografia então estão vulneráveis ao bug, e geralmente esses sites guardam vários dados como os de cartões de crédito.
Pra que usa sistemas operacionais Open Source, há também cuidados a serem tomados. Essas distros abaixo, por exemplo, são consideradas potencialmente vulneráveis:
Você ficaria surpreso se eu te contasse que essa vulnerabilidade existe desde o fim de 2011?
É como eu disse no post sobre privacidade nas redes sociais, nenhum tipo de segurança é inquebrável, e como eu mencionei anteriormente, essa frase de Kevin Mitnick resume tudo: "O fator humano é o elo mais fraco da segurança".
Comentários
Postar um comentário