Heatbleed – A falha de segurança que abalou a internet

O Heartbleed é uma bug que colocou em alvoroço a internet ao deixar mais de 66% dos websites sujeitos a falhas de segurança. Mas há novidades sobre a sua correcção! Sabe o que é esta bug e o (pouco) que podes fazer para te proteger.

heatbleed

Bem recentemente a internet tremeu quando foi descoberta uma bug de segurança na livraria de criptografia open source OpenSSL que implementa o protocolo TSL (Transport Layer Security) e que ficou conhecida como HeartBleed (hemorragia no coração).

Ora falhas de segurança infelizmente encontram-se muitas diariamente, mas o que tornou esta realmente preocupante foi o facto de esta bug de software existente na extensão denominada como heartbeat (batida de coração) do OpenSSL (daí o nome dado à falha) se tornar algo problemática uma vez que esta livraria é basicamente um standard usado em 66% dos servidores internet, conforme podem ver neste relatório da Netcraft sobre servidores Web, e que mostra que mais de meio milhão de websites seguros podem ser comprometidos.

O preocupante desta bug é que a mesma afecta o protocolo TLS (Transport Layer Security), permitindo assim que se possam interceptar e obter palavras passe de utilizadores, aceder a parte da memória do servidor afectado, e até desencriptar todo o tráfego entre o servidor e o cliente.

Publicidade

Retomando o nosso artigo

Isto quer dizer que a solução para o problema não se encontra no cliente, mas sim apenas nos servidores que terão de usar uma versão de remedeio (a 1.0.1g do OpenSSL), ou recompilar o mesmo sem a extensão Heartbeat.

O problema é que sendo uma questão de segurança de encriptação baseada numa livraria, a falha é extensível a todo o tipo de sistemas operativos e mesmo hardware, sejam eles PCs ou  Macs e mesmo iPhones ou Androids que utilizem no seu sistema operativo ou software/aplicações a livraria em causa para encriptação de dados.

No entanto, as boas notícias passam pelo facto que uma equipa está agora a examinar o código do OpenSSL, e a criar uma nova versão que promete virá a ser bastante segura.

Publicidade

Retomando o nosso artigo

E de acordo com o líder dessa equipa, Theo de Raadt, o antigo código era uma manta de retalhos, tendo já sido removido mais de metade do código antigo (90 mil linhas de código), sem afectar a funcionalidade, e estando a ser criada uma nova versão de raiz do protocolo que denominam de LibreSSL.

Curiosamente o Android 4.1.1 Jelly Bean usava uma versão vulnerável do OpenSSL, motivo pelo qual todos os smartphones Android com esta versão do OS são considerados como potencialmente perigosos devendo actualizar para novas versões . Eis uma lista de potenciais aparelhos afectados por possuírem essa versão do OS disponível.

Apesar de esta falha escapar um pouco ao controlo do utilizador que acima de tudo deverá possuir o máximo de informação sobre a mesma, actualizando todo o seu software para as últimas versões, há dicas que a PSafe, uma empresa Brasileira especialista em segurança, refere como sendo normas de boa conduta não só para este como para todos os casos: Acima de tudo variar as passwords o mais possível mantendo-as armazenadas fora do computador evitando-se a tentação de usar as opções de “lembrar login e password” que aumenta bastante a possibilidade de roubo de dados pessoais.

NOTA: Os utilizadores de Chrome podem utilizar esta extensão que permite verificar se o website aonde estão ao introduzir dados pessoais possui a bug em questão. Os possuidores Android podem igualmente usar este aplicativo para verificar a segurança dos seus aparelhos (recomendamos que não façam download do site do link, mas apenas da store oficial da Google).  A Apple refere que usa uma implementação própria do SSL/TLS, chamada Secure Transport e que se baseia numa versão antiga do OpenSSL que não possui a bug e que como tal os seus aparelhos estão seguros.

Publicidade

Posts Relacionados