Bug "Heartbleed" deixou brecha aberta para roubo de dados
Bug "Heartbleed" deixou brecha aberta para roubo de dados

Bug "Heartbleed" deixou brecha aberta para roubo de dados

Falha em programa de criptografia permitia acesos externos a informações críticas; boa parte dos serviços da internet pode ter sido comprometida

Uma falha no software OpenSSL, que permite aos provedores de serviços da Web encriptar dados em SSL (Secure Sockets Layer) ou TLS (Transport Security Layer) pode ter comprometido os dados dos usuários de internet em escala global. Apelidado de Heartbleed, o bug existe desde 2012, mas só agora foi detectado. A falha se estende a cerca de 2/3 dos serviços da Web que usam o OpenCSSL.

Pesquisadores do laboratório finlandês Codenomicon, responsáveis pela descoberta, afirmam terem testado a falha em suas próprias bibliotecas de dados, e chegaram a um resultado impressionante: tiveram acesso a informações críticas guardadas nos servidores, como senhas, certificados, comunicações, nomes de usuários e documentos de negócios através das chaves de encriptação -- "as jóias da coroa", como definem os especialistas. Tudo isso sem deixar nenhum vestígio. Só era possível baixar 64 KB de dados em uma invasão, porém não havia limite para a quantidade de acessos.

Se você já fez uma transação online ou usa serviços baseados na internet em geral, é possível que as informações que você confiou ao website sejam acessadas por terceiros. Ao explorar o bug, o cracker pode inclusive decodificar dados obtidos no passado, o que torna ineficaz medidas como mudança de senhas ou apagar o número do cartão de crédito. O software é utilizado por serviços de e-mails, bancos, bate-papo e até redes privadas. Normalmente, sites que usam a solução exibem um cadeado verde no lado esquerdo da barra de url do browser.

"Considerando o longo tempo de exposição, facilidade de acesso e ataques que não deixam traços, essa exposição deve ser levada a sério", afirmam os pesquisadores. Jill Scharr, colunista da Tom's Guide, revela que "uma vez que o atacante tem acesso às chaves de encriptação [do servidor], vale tudo". O especialista Bruce Schneier descreve a falha como "catastrófica". "Em uma escala de 1 a 10, temos um 11", afirma.

Uma versão mais recente do OpenSSL já foi disponibilizada, mas deve ser implementada por cada administrador de sistemas. O usuário, por si só, não pode fazer muito: "Se um site não tiver atualizado sua biblioteca Open SSL e mudado os certificados, uma nova senha estará tão comprometida quanto a anterior", afirma Scharr.

Os pesquisadores da Codenomicon Defensics publicaram um site contendo todas as informações técnicas a respeito do bug. Lá é possível ter acesso a todas as dúvidas e respostas sobre o assunto. Também está disponível um serviço que aponta se um site pode estar comprometido.

Com informações da Galileu

ExibirMinimizar
CEO Outllok, A era da liderança resiliente. Confira os Resultados.