Estamos falando do Heartbleed...


Na última semana, o mundo ficou preocupado com uma falha de segurança que pode afetar milhões de servidores (aproximadamente, dois terços dos servidores podem conter essa brecha na segurança) e deixar os dados de uma infinidade de usuários expostos.

Estamos falando do Heartbleed (o nome significa Sangramento no Coração), um bug que existe em diversos sites que operam com o software OpenSSL, projeto que atua com os protocolos de segurança SSL e TLS.


Falando assim, você talvez não fique muito preocupado, mas, se citarmos que grandes páginas como Yahoo!, Facebook, Google, Amazon, Instagram e outras tantas ficaram vulneráveis, você possivelmente ficará com a pulga atrás da orelha e começará a ficar um bocado preocupado.
Com o intuito de alertá-lo e dar uma real dimensão do problema, hoje vamos explicar o que é essa falha, quais sites podem estar com problemas (e quais estão livres do bug), como você pode se proteger e como é possível verificar se o seu website não é vulnerável.

 

Afinal, o que realmente é o Heartbleed?


O bug do OpenSSL não nasceu agora. Ele não é algo proveniente de uma atualização recente. Conforme informação oficial da desenvolvedora do software, essa falha já existe há mais de dois anos, mas ninguém sabia que ela estava lá (nem mesmo os próprios desenvolvedores, afinal, se alguém soubesse, ela já teria sido corrigida muito antes).

Quem acabou descobrindo esse erro de programação foi Neel Mehta, pesquisador da Google que verificou que a brecha poderia garantir acesso a dados privados. Hackers que saibam como explorar a falha podem interceptar o tráfego de dados, fingindo ser o servidor e dificultando que qualquer um saiba que existe algum problema no meio do caminho.


O criminoso que consegue se aproveitar do bug pode puxar até 64 k de informações da memória do servidor. O hacker normalmente não tem como saber o que virá nesses dados, mas de vez em quando é possível coletar alguns dados privados. É importante ressaltar que é possível repetir esse processo inúmeras vezes.
Como funciona o Heartbleed, a maior ameaça atual da internet (Fonte da imagem: Tecmundo/Baixaki)

Parece perigoso, mas você deve estar se questionando como o hacker vai conseguir encontrar dados secretos, sendo que eles normalmente estão criptografados. Bom, o que acontece é que os servidores de autenticação precisam manter os dados de login (usuário e senha) sempre na memória para que a conexão seja mantida.

Assim, muitas vezes os dados dos usuários vêm nesse roubo de memória e o hacker só precisa usar a senha de criptografia para descobrir os dados verdadeiros (já que normalmente tudo é criptografado e impossível de ler normalmente).

 

É realmente fácil explorar esse bug?


Na verdade, é preciso ter muito conhecimento para conseguir explorar esse tipo de falha. Mesmo os hackers mais habilidosos demoram um bocado para conseguir entrar no servidor e roubar algum dado importante.

Até algum tempo atrás, algumas empresas (como a Cloudflare) estavam dizendo que era tão difícil que dava para dizer que era impossível, de modo que a falha não representava uma ameaça real.

Pois bem, não demorou nem 24 horas para que alguns hackers conseguissem adquirir chaves SSL em servidores. Em algumas máquinas que rodavam Apache, foi possível conseguir os dados já na primeira requisição. Isso apenas deixa claro que o bug é fácil de ser explorado e pode ser utilizado em quase todos os servidores que ainda não aplicaram as correções.


De acordo com a Bloomberg, a NSA já sabia dessa falha e vem explorando isso há muito tempo. A Agência, obviamente, negou qualquer envolvimento e conhecimento da questão. Diante de tantos problemas passados, não dá para confiar muito nas declarações da NSA.

 


A Agência de Segurança Nacional dos EUA (NSA) está ciente da falha conhecida como “Heartbleed” há pelo menos dois anos, afirmam fontes não oficiais ao site Bloomberg. De acordo com “duas pessoas familiarizadas com o assunto”, a NSA, apesar de supostamente conhecer a vulnerabilidade que afetou 66% de toda a internet há algum tempo, não alertou entidade alguma ou sequer tomou providências para resolver o problema.

Em resposta ao portal responsável por veicular estas informações, a NSA é firme em declarar que tomou conhecimento sobre Heartbleed somente neste ano. “Relatórios que dizem que a NSA ou qualquer outra parte do governo estavam cientes da assim chamada ‘vulnerabilidade Heartbleed’ antes de abril de 2014 estão errados”, pode-se ler na página do escritório do diretor de Inteligência Nacional dos EUA. Ainda segundo o documento oficial, quando falhas assim são encontradas, a agência tem por dever revelá-las ao público.

Naturalmente, uma onda de ceticismo acabou por se instalar sobre todo o assunto. A NSA e o Serviço Secreto norte-americanos têm sido acusados de espionagem de dados em escala global. “Se você combinar dois órgãos em apenas uma agência, qual missão irá vencer?”, pergunta em tom provocador John Pescatore, diretor de segurança do Instituto SANS que trabalhou também durante anos junto à NSA e ao Serviço Secreto dos EUA. “Invariavelmente, quando isso acontece, a missão ofensiva é que sai vencedora”, diz o especialista.

 

Quais sites estão desprotegidos?

A essa altura do campeonato, a maioria dos grandes sites que tinham algum problema já corrigiram as falhas. Quando a bomba explodiu, e ficamos sabendo do caso, quase todos eles continham a falha no OpenSSL.

Pode incluir na lista grandes nomes como Twitter, Google (e seus respectivos sites), Facebook (e quaisquer sites desenvolvidos pela empresa), Yahoo!, Amazon, Dropbox, SoundCloud, Flickr, Foursquare e outros tantos.

Claro, assim que a correção foi liberada, todos os sites corrigiram o defeito imediatamente, evitando que seus usuários fossem prejudicados. A dúvida que fica é se algum hacker já não havia descoberto a brecha e explorado dados privados anteriormente.

É importante notar que há muitos sites menores que ainda não corrigiram o problema, sendo que você ainda pode estar correndo perigo. Normalmente, as empresas e servidores que efetuaram a atualização do OpenSSL estão enviando emails comunicando seus usuários, mas você mesmo pode verificar se aquele site que só você acessa já está seguro.
Como funciona o Heartbleed, a maior ameaça atual da internet (Fonte da imagem: Reprodução/Heartbleed Test)

Para saber se os seus sites favoritos estão vulneráveis, você pode jogar o endereço no site “Heartbleed Test”, o qual vai verificar se o bug existe ou se já foi corrigido. Basta clicar aqui, colar o endereço e pressionar o botão “Go!”. Em poucos segundos, é possível obter uma resposta.

Como posso me proteger?

Independente de qual site ou serviço você utiliza, é altamente recomendado que você modifique suas senhas para evitar que os hackers usem suas credenciais. Não há como saber se alguém conseguiu se apropriar de seus dados, portanto é bom tomar alguma atitude e evitar que eles sejam usados indevidamente.

O Heartbleed também pode ter afetado os aparelhos com sistema Android. Nesse caso, você pode seguir as instruções de um artigo que divulgamos ontem para conferir se o seu smartphone está vulnerável. É importante salientar que aparelhos com falhas no protocolo SSL só podem ter o erro corrigido ao receber uma atualização do sistema.

Enfim, toda essa história de Heartbleed apenas deixa evidente que a web não é um lugar tão seguro. Essa é apenas uma falha que aconteceu com um tipo de protocolo, mas quem sabe se não existem outros tantos bugs em outros tipos de servidores? Esperamos que esses erros não existam, para o nosso próprio bem.


Comentários