Heartbleed, a maior ameaça atual da internet

O mundo ficou preocupado com uma falha de segurança que pode afetar milhões de servidores (aproximadamente, dois terços dos servidores podem conter essa brecha na segurança) e deixar os dados de uma infinidade de usuários expostos.

Estamos falando do Heartbleed (o nome significa Sangramento no Coração), um bug que existe em diversos sites que operam com o software OpenSSL, projeto que atua com os protocolos de segurança SSL e TLS.

Falando assim, você talvez não fique muito preocupado, mas, se citarmos que grandes páginas como Yahoo!, Facebook, Google, Amazon, Instagram e outras tantas ficaram vulneráveis, você possivelmente ficará com a pulga atrás da orelha e começará a ficar um bocado preocupado.

Com o intuito de alertá-lo e dar uma real dimensão do problema, hoje vamos explicar o que é essa falha, quais sites podem estar com problemas (e quais estão livres do bug), como você pode se proteger e como é possível verificar se o seu website não é vulnerável.

Afinal, o que realmente é o Heartbleed?

O bug do OpenSSL não nasceu agora. Ele não é algo proveniente de uma atualização recente. Conforme informação oficial da desenvolvedora do software, essa falha já existe há mais de dois anos, mas ninguém sabia que ela estava lá (nem mesmo os próprios desenvolvedores, afinal, se alguém soubesse, ela já teria sido corrigida muito antes).

Quem acabou descobrindo esse erro de programação foi Neel Mehta, pesquisador da Google que verificou que a brecha poderia garantir acesso a dados privados. Hackers que saibam como explorar a falha podem interceptar o tráfego de dados, fingindo ser o servidor e dificultando que qualquer um saiba que existe algum problema no meio do caminho.

O criminoso que consegue se aproveitar do bug pode puxar até 64 k de informações da memória do servidor. O hacker normalmente não tem como saber o que virá nesses dados, mas de vez em quando é possível coletar alguns dados privados. É importante ressaltar que é possível repetir esse processo inúmeras vezes.

Quais sites estão desprotegidos?

A essa altura do campeonato, a maioria dos grandes sites que tinham algum problema já corrigiram as falhas. Quando a bomba explodiu, e ficamos sabendo do caso, quase todos eles continham a falha no OpenSSL.

Pode incluir na lista grandes nomes como Twitter, Google (e seus respectivos sites), Facebook (e quaisquer sites desenvolvidos pela empresa), Yahoo!, Amazon, Dropbox, SoundCloud, Flickr, Foursquare e outros tantos.

Claro, assim que a correção foi liberada, todos os sites corrigiram o defeito imediatamente, evitando que seus usuários fossem prejudicados. A dúvida que fica é se algum hacker já não havia descoberto a brecha e explorado dados privados anteriormente.

É importante notar que há muitos sites menores que ainda não corrigiram o problema, sendo que você ainda pode estar correndo perigo. Normalmente, as empresas e servidores que efetuaram a atualização do OpenSSL estão enviando emails comunicando seus usuários, mas você mesmo pode verificar se aquele site que só você acessa já está seguro.

Para testar sites que corrigiram a falha, acesse o site https://filippo.io/Heartbleed, coloque o link e mande testar.

Para uma lista dos principais sites de "peso" afetados, acesse este link da mashable.com.

E no celular?

A empresa de segurança Trend Micro lançou uma ferramenta capaz de detectar aplicativos instalados em dispositivos Android que estão vulneráveis à falha Heartbleed, que assustou a internet há duas semanas ao comprometer grandes sites. Chamada Heartbleed Detector, a solução está disponível gratuitamente para download na Google Play Store.

Ao acionar a ferramenta, se forem identificados aplicativos vulneráveis, o sistema oferece ao usuário a opção de desinstalá-los. O Heartbleed Detector examina a vulnerabilidade de outros aplicativos a partir da versão do OpenSSL utilizada na versão Android do aparelho; a partir das bibliotecas OpenSSL embutidas em aplicativos instalados pelo usuário; e também pela verificação da comunicação dos apps instalados com servidores ainda não corrigidos.

Em seu último monitoramento, a Trend Micro diz ter observado que cerca de 6 mil dos 7 mil aplicativos conectados a servidores vulneráveis ao Heartbleed ainda estão sendo afetados. A recomendação básica aos usuários é entrar em contato com as empresas que mantêm os apps vulneráveis para que sejam atualizados o mais rápido possível. Para aplicações que lidam com informações críticas, tais como as de mobile banking, é aconselhável que sejam desinstaladas do aparelho imediatamente.

Como posso me proteger?

Independente de qual site ou serviço você utiliza, é altamente recomendado que você modifique suas senhas para evitar que os hackers usem suas credenciais. Não há como saber se alguém conseguiu se apropriar de seus dados, portanto é bom tomar alguma atitude e evitar que eles sejam usados indevidamente.

Fonte: TecMundo