Fazia tempo que não se ouvia falar tanto de uma vulnerabilidade de segurança tão séria e de tão grande impacto na Internet.
O Projeto OpenSSL mantém o software livre que implementa os protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), incluindo biblioteca de criptografia forte, utilizado por aproximadamente dois terços de todos os sites seguros da Internet, aqueles com endereço iniciado por “https:” e com o famoso cadeado exibido nos navegadores web. Inclusive, em 2007 o OpenSSL foi homologado como padrão de segurança pelo governo dos Estados Unidos, FIPS PUB 140-2.
Um bug no recurso denominado Heartbeat (em português literal, Batimento Cardíaco) do protocolo TLS implementado no OpenSSL, apelidado “Heartbleed” Bug (Falha do “Sangramento no Coração”), pode revelar até 64 Kbytes da memória do servidor web para um cibercriminoso. A falha é muito grave porque, além de afetar boa parte dos sites seguros na internet rodando uma versão vulnerável do OpenSSL, é um bug fácil de explorar e não deixa rastros (ou seja, não há uma maneira garantida de saber se um servidor foi atacado através dessa falha nem que dados podem ter vazado).
O bug foi comunicado ao time de segurança da OpenSSL por Neel Mehta da Google Security, em 1º de abril (e não é mentira!). Afeta OpenSSL releases 1.0.1 até 1.0.1f e 1.0.2-beta1. Usuários (em geral, administradores de sites) da biblioteca OpenSSL afetados devem atualizar para a versão 1.0.1g, lançada em 7 de abril, ou recompilar OpenSSL com a opção -DOPENSSL_NO_HEARTBEATS
. A série 1.0.2 está sendo corrigida no release 1.0.2-beta2. A versão 1.0.1 foi lançada em março de 2012, o que significa que sites e produtos que tenham adotado OpenSSL 1.0.1 com a extensão Heartbeat ativada podem ter estado vulneráveis nos últimos dois anos.
Entre os grandes sites de serviço afetados está Yahoo (incluindo serviços populares como Yahoo Mail, Flickr e Tumblr). A recomendação a todo usuário do Yahoo é alterar a senha da sua conta.
Os mais desconfiados recomendam que os usuários alterem também a senha de sua conta em outros sites, como Google, Facebook e Dropbox. Em nota no seu blog oficial, a LastPass divulgou que embora seu site tenha estado afetado pelo bug, os dados nas contas de seus usuários estão seguros porque são criptografados no computador cliente, antes de transitar na rede via SSL/TLS, com uma chave secreta do usuário que os servidores da LastPass nunca recebem.
Como uma das informações que pode ter vazado pelo Bug Heartbleed é a chave secreta do próprio certificado digital SSL do site https afetado, a recomendação dos especialistas para os administradores destes sites é que revoguem o certificado utilizado no site até o dia em que corrigirem a vulnerabilidade, e emitam um novo certificado. De fato, um levantamento do SANS Institute no InfoSec Handlers Diary Blog mostra que entre os dias 7 e 12 de abril, houve um crescimento substancial de certificados SSL revogados em 16 grandes autoridades certificadoras (CAs / ACs).
Grandes empresas fornecedoras de produtos para Internet, como F5 Networks e Cisco, também divulgaram alertas de seguranças em seus produtos que utilizam OpenSSL.
O blog do fornecedor de antivírus e produtos de segurança Kaspersky indica uma ferramenta simples que testa on-line se um servidor web https tem a vulnerabilidade Heartbleed ou não, basta digitar o endereço do site:
https://filippo.io/Heartbleed/ – Test your server for Heartbleed (CVE-2014-0160).
A LastPass também lançou um serviço de verificação:
https://lastpass.com/heartbleed/ – LastPass Heartbleed checker
O blog Fox-it ainda indica uma extensão para o navegador Google Chrome que exibe uma alerta se você acessar um site afetado pelo bug Heartbleed:
Chrome Web Store – Chromebleed
Referências:
- Falha “Heartbleed” pode comprometer sua segurança em milhares de sites, por Brian Donohue, 2014-04-10, no Blog Oficial da Kaspersky Brasil. Contém um pequeno guia prático de como o usuário se proteger dessa falha. Tradução do artigo original Limiting the impact of Vulnerability in OpenSSL Heartbeat (em inglês), no Blog Oficial Kaspersky Lab Daily.
- A Semana na Imprensa: Heartbleed e Windows XP, por Brian DOnohue, 2014-04-11, no Blog Oficial da Kaspersky Brasil.
- Skipping a Heartbeat: The Analysis of the Heartbleed OpenSSL Vulnerability (em inglês), por Pawan Kinger (Vulnerability Research Manager), 2014-04-08, no Security Intelligence Blog da TrendLabs, Trend Micro.
- The Heartbleed Bug (em inglês), site especialmente criado sobre a falha Heartbleed.
- Verbete: Heartbleed (em inglês), em Wikipedia.
- Why the Web Needs Perfect Forward Secrecy More Than Ever (em inglês), por Yan Zhu, 2014-04-08, em Electronic Frontier Foundation (EFF) Deeplinks Blog.
- Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping; e Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style (em inglês); ambos por Dan Goodin, 2014-04-07 e -08, em Ars Technica.
- Heartbleed, por Bruce Schneier (um dos maiores autores e especialistas mundiais em segurança digital), 2014-04-09, no blog Schneier on Security.
- Heartbleed: Who Was Affected, What to Do Now (em inglês), por Paul Wagenseil, 2014-04-09, em Tom’s Guide.
- OpenSSL Security Advisory [07 Apr 2014] (em inglês), divulgação oficial no site OpenSSL.org, 2014-04-07. E CVE-2014-0160: 7th April 2014, na página de Vulnerabilidades do OpenSSL.
- CVE-2014-0160 (em inglês), referência oficial do bug, no Common Vulnerabilities and Exposures (CVE), base da dados padrão de cadastro de vulnerabilidades de segurança da informação conhecidas, mantida pelo MITRE.
- Vulnerability Summary for CVE-2014-0160 (em inglês), na Base de Dados Nacional de Vulnerabilidades (NVD) do Governo dos Estados Unidos.
- RFC 6520: TLS and DTLS Heartbeat Extension, fevereiro 2012, Internet Engineering Task Force (IETF).
Adolescentes devem ser monitorados, nunca sabemos o que fazem quando não estamos por perto. É por isso que utilizo o aplicativo https://brunoespiao.com.br/espiao-de-whatsapp , com esse ele no celular do meu filho eu consigo ver tudo o que ele faz quando não estou perto é muito bom recomendo.