Podemos dizer que a Internet é relativamente segura para fazermos alguns tipos de transações. No entanto, vez por outra nos deparamos com notícias como essa. Uma gravíssima falha de segurança foi encontrada no OpenSSL, um pacote de software que é aproveitado por diversos outros programas para criar conexões seguras, como a usada em sites com “cadeado” (HTTPS).
Muitos sites com o objetivo de conseguir os certificados TLS/SSL rapidamente, utilizam o pacote OpenSSL. Infelizmente, dados de dois em cada três sites seguros podem ter vazado. O problema se encontra em um recurso chamado heartbeat (batimento cardíaco). Esse recurso é utilizado para manter viva a conexão com alguns protocolos. Por isso a falha foi chamada de “heartbleed” (sangramento cardíaco).
Os dados que podem ser lidos chega até 64KB cada vez que a falha é explorada. No entanto, é possível fazer uso da brecha várias vezes. As informações obtidas com essa exploração da brecha são importantíssimas. Alguns podem ter obtido a “chave privada” de criptografia usada pelo site. Se essa chave for obtida, é possível ler dados interceptados, em uma rede Wi-Fi por exemplo, mesmo quando estes foram protegidos.
Mesmo que o hacker não possa interceptar o tráfego, ele pode ler os dados que estão na memória no momento em que a falha está sendo explorada. Isso inclui senhas e nomes de usuário que estão sendo protegidos pela criptografia. Ele não pode escolher qual usuário ele deseja saber o login e senha, mas se ele estava explorando a brecha no momento em que você estava fazendo alguma transação, ele pode ter pegado seus dados.
Por quanto tempo essa brecha ficou aberta? Por 2 anos. Imagine quantas informações podem ter sido obtidas! Ela foi identificada por pesquisadores na semana passada e uma correção foi disponibilizada pela equipe do OpenSSL nesta segunda-feira (7). A exploração da brecha não deixa vestígios, o que significa que é bastante difícil saber quais sites já foram ou estão sendo explorados.
O que fazer?
O que os sites e você mesmo, como usuário, podem fazer? Os sites que utilizam o OpenSSL devem o mais rápido possível atualiza-lo. Também devem revogar os certificados em uso e criar certificados novos. Já os usuários devem mudar suas senhas.
Diversos sites populares podem ter sido afetados, você deve se certificar de trocar suas senhas em todos os sites que utilizem essa tecnologia. Abaixo você confere alguns sites que foram afetados:
- yahoo.com
- imgur.com
- flickr.com
- Tumblr
- steamcommunity.com
