Categorias: Cibersegurança

Heartbleed: Entenda a falha do OpenSSL que colocou a internet em alerta

 

Especialistas de segurança descobriram uma grande falha em um software usado por centenas de bancos, e-mails, redes sociais e lojas on-line de todo o mundo. O bug chamado de Heartbleed afeta o OpenSSL, uma biblioteca de código aberto, responsável por criptografar informações em servidores e manter seus dados seguros.  Só para ter ideia da dimensão, essa é a tecnologia responsável por implantar o S no HTTP, protegendo o seu login

.

O OpenSSL é adotado por aproximadamente 2 em cada 3 servidores no mundo e a brecha é capaz de revelar nomes de usuários, senhas e conteúdo das mensagens criptografadas.

Em um comparativo de fácil entendimento, podemos dizer que o bug é como uma porta com a fechadura ruim. A proteção ainda existe e é perceptível, no entanto, qualquer um que saiba do defeito pode adentrar a residência e ter acesso a todos os cômodos e objetos da casa.

A boa notícia é que a organização OpenSSL Project agiu rápido e liberou uma atualização para as versões mais recentes do software, garantido assim, segurança maior. Empresas internacionais como Amazon e Yahoo já emitiram notas a respeito de suas medidas contra a vulnerabilidade. Já empresas como Apple e Microsoft utilizam suas próprias ferramentas de segurança.

No entanto, nenhuma empresa nacional (como os grandes varejistas do comércio eletrônico) falou a respeito do assunto. Silêncio capaz de gerar prejuízo em ambos os lados. Abaixo você pode entender um pouco mais sobre o Heartbleed.

Como funciona o problema?

A vulnerabilidade do software descrita pelo pesquisado Neel Mehta, do Google, é identificada como CVE-2014-0160. Capaz de afetar o OpenSSL nas versões mais recentes, o problema foi localizado na extensão “Heartbeat”. A brecha permite que hackers possam “pescar” até 64kb de informações de dados hospedados em servidores. O número parece baixo, mas o processo pode ser repetido inúmeras vezes até formar uma informação relevante que pode até mesmo, conceder acesso a todo o tráfego de dados.

Já existe uma correção?

Sim. A correção já existe e está sendo implementada pelas empresas que empregam o sistema em seus servidores. Mas ainda não se sabe até que ponto essa exposição foi explorada por criminosos capazes de se aproveitar dos dados que já estão disponíveis dentro do servidor.

Preciso alterar minhas senhas ou algo do tipo?

Não, por enquanto. Até porque os dados já estavam lá em casa de invasão e mudar seu acesso ao sistema vulnerável não implica em mudança nenhuma, sem contar que o fluxo de muitos usuários desenvolvendo está mesma atividade pode agravar o problema.

Sou proprietário de um site/servidor que utiliza o OpenSSL, e agora?

Você pode usar esta ferramenta para conferir se os seus dados estão vulneráveis com o bug.  Lembrando que o bug afeta as versões 1.0.1 ou 1.0.2-versões beta do OpenSSL, que vem com muitas versões do Linux. E já existe  uma atualização para reparar o problema.

Onde posso obter mais informações?

No próprio site da organização e nesta página que descreve todo o processo de descoberta do bug, medidas necessárias e versões em risco.

Redação PSafe

O dfndr blog é um canal de caráter informativo que apresenta conteúdos exclusivos sobre segurança e privacidade no mundo mobile e empresarial, com dicas para manter a população protegida. Formado por uma equipe de repórteres especializados, o canal conta com a parceria dos especialistas em segurança do dfndr lab para trazer, em primeira mão, notícias sobre ataques, golpes, vulnerabilidades na internet, malwares e suas variações.

Posts Recentes

Novo golpe descoberto com o dfndr security já tem mais de 2 milhões em bloqueios

"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…

1 ano atrás

Futuro da Inteligência Artificial: CyberLabs participa de relatório do Google sobre futuro da inteligência artificial

Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…

1 ano atrás

Golpes da Copa: mais de 120 mil detecções em Novembro, aponta dfndr security

Conheça o novo golpe que se aproveita do maior evento esportivo do mundo

1 ano atrás

Golpes financeiros: mais de mil tentativas por hora, neste ano

Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…

2 anos atrás

‘Golpe do Auxílio Brasil’: mais de 140 mil tentativas em uma semana

Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…

2 anos atrás

Robô do PIX: perfis golpistas ‘dando dinheiro’ têm mais de 600 mil seguidores, aponta PSafe

Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…

2 anos atrás