Se você é um profissional de TI, blogueiro ou o nerd do seu círculo de amigos, as chances são, que você foi perseguido implacavelmente ao longo dos últimos dois dias sobre "essa tal coisa de Heartbleed".
"Eu preciso atualizar meu antivirus?"
"Eu posso logar na minha conta de banco agora?"
"Google já arrumou isso, certo?"
Eu ouvi tudo isso, mas as respostas não são tão claras ou simples. Na tentativa de tirar a pressão - afinal é o fim de semana - montei uma cartilha que deve responder a todas essas perguntas e mais algumas. Da próxima vez que alguém lhe perguntar sobre aquela "tal coisa de Heartbleed," simplesmente aponte para este link.
COMO ISSO FUNCIONA?
O problema afeta um pedaço de software chamado OpenSSL, usado para a segurança em servidores web populares. Com OpenSSL, os sites podem fornecer informações criptografadas aos visitantes, de modo que os dados transferidos (incluindo nomes de usuários, senhas e cookies) não podem ser vistos por outros enquanto vai do seu computador para o site.
OpenSSL é um projeto open source, o que significa que foi desenvolvido por voluntários realmente talentosos, gratuitamente, para ajudar a comunidade da internet. Acontece que a versão 1.0.1 do OpenSSL, lançado em 19 de abril de 2012, tem um pequeno bug (um erro introduzido por um programador) que permite a uma pessoa (incluindo um hacker mal-intencionado) recuperar informações da memória do servidor web sem deixar vestígios. Este erro honesto foi introduzido com um novo recurso implementado pelo Dr. Robin Seggelmann, um programador alemão, que muitas vezes contribuiu com códigos de seguranças.
Heartbleed explora um recurso interno do OpenSSL chamado batimento cardíaco (heartbeat). Quando o seu computador acessa um site, o site irá responder de volta para deixar o seu computador saber que ele está ativo e ouvindo seus pedidos, este é o coração. Esta chamada e resposta, é feito através da troca de dados. Normalmente quando o computador faz uma solicitação, o coração só vai enviar de volta a quantidade de dados enviados do computador. No entanto, este não é o caso para os servidores atualmente afetados pelo bug. O hacker é capaz de fazer um pedido para o servidor e solicitar dados da memória dos servidores além dos dados totais do pedido inicial, até 65.536 bytes.
Os dados que vivem além deste pedido "podem conter dados deixados para trás de outras partes do OpenSSL" de acordo com o CloudFlare. O que está armazenado nesse espaço de memória extra é completamente dependente da plataforma. À medida que mais computadores acessarem o servidor, a memória no topo é reciclada. Isto significa que os pedidos anteriores ainda podem residir no bloco de memória de volta aos pedidos dos hackers ao servidor. O que pode estar nesses bits de dados? As credenciais de login, cookies e outros dados que podem ser explorados por hackers.
O QUE EU DEVO FAZER?
Como esse recurso é tão específico, o número de servidores realmente afetados é significativamente menos do que muitos pensavam originalmente. Na verdade, embora algumas estimativas mencionaram que 60% de todos os servidores da Internet teve o bug Heartbleed, Netcraft diz que o número deve ser muito menor, e abaixo dos 17,5% (bem, isso é ainda um monte de servidores, mas ainda menos do que 60%).
Após a descoberta do erro, o software OpenSSL foi rapidamente corrigido, e a partir da versão 1.0.1.g o problema não existe mais. Mesmo antes disso, se o software OpenSSL foi instalado sem a extensão de batimentos cardíacos, o servidor nunca teria sido vulnerável.
Agora, a pergunta importante é se você deve se preocupar com este problema? A resposta curta é: "sim, mas não entre em pânico". Você deve definitivamente mudar suas senhas pelo menos para os serviços confirmados como vulneráveis e que já foram corrigidos, como Google e Yahoo. Mas você deve mudar suas senhas regularmente, não importa o quê ou usar autenticação em 2 etapas. Se você tem dificuldade para lembrar suas senhas, você sempre pode usar um gerenciador de senhas como o LastPass, Password Supervisor ou 1Password (lembre-se: nunca anote suas senhas em uma nota ao lado do seu monitor, um bloco de notas ou um documento dentro do computador).
Esta recomendação de mudança de senha é nada mais que uma precaução, porque mesmo que hackers sabiam sobre o problema (algo que ainda não foi confirmado - além de por nossos amigos no NSA, aparentemente), as chances deles obterem as suas senhas, e serem capaz de identificarem os dados com seu nome de usuário são bastante reduzidas. Algumas pessoas afirmam que os certificados de criptografia para servidores (uma tecnologia que nos permite confirmar que um site é na verdade o que ele diz que é) poderia ter sido roubado, mas a empresa CloudFlare tem dito que é muito difícil de fazer. Ele publicou um desafio a quem quer que poderia roubar essa chave, e parece que alguém fez, durante uma reinicialização do servidor. Independentemente da probabilidade, as empresas estão mudando as chaves de criptografia para que os novos dados não sejam vulnerável se alguém foi capaz de obter as chaves antigas.
TL;DR
Se você precisar do TL;DR, aqui está: não entre em pânico. Simplesmente, altere as senhas dos serviços que você considera mais importante (e-mail, serviços bancários, compras) e continue com sua vida. Ao fazê-lo, siga as boas práticas de segurança: não use a mesma senha em todos os serviços, selecione senhas com 10 caracteres ou mais e sempre use, pelo menos, letras maiúsculas e minusculas, além de números.
A Internet com certeza é divertida!
A Internet com certeza é divertida!
Nenhum comentário:
Postar um comentário