Heartbleed: O que é, como atingiu a internet e preciso mudar minhas senhas?

hearthbleedHá duas semanas, a descoberta de uma falha no OpenSSL, conhecida como HeartBleed, colocou a internet em polvorosa. Subitamente, parecia que toda sua privacidade foi perdida e suas senhas se tornar inúteis. Passado o turbilhão de desinformação e histeria inicial, o problema e sua correção já estão consolidados. Vamos recapitular os principais aspectos desta crise, para ajudar a compreender melhor o que foi este caso.

1. O que foi o HeartBleed?

Nem vírus, nem a arma final da NSA para vasculhar sua vida privada (que já está disponível no Facebook, de qualquer forma). O HeartBleed é uma falha no código do OpenSSL, um protocolo de código aberto usado para criptografia de dados que trafegam na internet.

2. Como funciona?

Uma parte do código do OpenSSL trouxe uma falha que possibilitava a quem acessava uma base de dados requisitar mais informações que o necessário. Isso significa que uma pessoa má intencionada conseguiria capturar muito mais dados que os precisos para realizar uma ação, e nestes dados podem estar desde coisas sem importância ou códigos sem sentido algum até chaves de senha dos usuários ou informações “sensíveis”, como dados bancários.

3. Por que eu devo me importar?

O padrão aberto OpenSSL é amplamente utilizado, algo em torno de 66% da internet. “Peixes grandes” como Google, Facebook, Yahoo, Dropbox, Tumblr e Amazon estão entre os principais sites a utilizarem o OpenSSL, o que nos dá uma noção do impacto da falha. O código falho foi introduzido em 2012, o que significa que por um período de dois anos a vulnerabilidade esteve presente, sem ser percebida.

 4. De quem foi a culpa? 

heartbleed2O responsável pela falha já tem nome: Robin Seggelmann (foto à esquerda). O engenheiro de software alemão introduziu o código falho no repositório do OpenSSL no último dia de 2011. Segundo Seggelmann, a falha foi acidental, e entre seus objetivos haviam correções de bugs e melhorias para o OpenSSL em seu código. Seu erro foi, em um dos processos, não delimitar a quantidade de dados que o cliente pode requerer ao servidor, abrindo espaço a vulnerabilidade.

Culpar simplesemente Seggelmann, porém, é um injusto. Todos os códigos inseridos no reposítório opensource passam por revisões, o que significa que outras pessoas tiveram acesso ao trecho implementado pelo alemão, antes dele entrar em ação.

5. Quem explorou ela?

NSA, os Illuminati, os nazistas que construíram uma base no lado escuro da Lua e que pretendem uma revanche no estilo “melhor de três”. As teorias conspiratórias estão a todo o vapor, e por um motivo: não dá para saber. A falha introduzida por Seggelmann não produzia nenhum log ou registro dos clientes do servidor e suas requisições, o que significa que não apenas a vulnerabilidade existe há dois anos, como também não fazemos nenhuma ideia de quem se aproveitou dela, no período.

 6. Então, mudo minhas senhas ou não?

Sim, mas calma lá. A correção foi feita em diversos servidores, mas não adianta sair mudando tudo antes de saber se a correção foi implementada. Dá para testar sites que corrigiram a falha através destes link, o Mashable levantou uma lista de sites populares que foram afetados pelo Heartbleed, e se os usuários devem mudar sua senha (em inglês).

Com duas semanas desde a descoberta da falha, a maioria dos serviços já se atualizaram para a nova versão do OpenSSL, o que significa que vale a pena mudar as senhas na maioria dos serviços. Como não há forma de confirmar se seus dados foram expostos ou não, o melhor caminho e evitar surpresas com a substituição das senhas.

 7. Que lição tiramos deste caso?

Só porque o código é aberto, disponível para todos e amplamente utilizado, não significa que ele esteja livre de falhas. O caso BleedHeart ganhou notoriedade por seu amplo impacto e a demora para ser descoberto. Mostrou também o descaso com um elemento tão importante da internet: o OpenSSL é utilizado amplamente por grandes empresas, porém é mantido apenas por (poucas) doações. Da mesma forma como outras empresas que criam software livre, como a Canonical, a OpenSSL vende assistência e cursos como forma de levantar fundos para operar, junto com o trabalho voluntário de colaboradores. Por mais que este modelo funcione muito bem, o caso levanta a polêmica sobre como deve ser gerido um padrão tão crucial para o funcionamento da internet.

 

fonte:  http://adrenaline.uol.com.br/seguranca/artigos/362/heartbleed-o-que-e-como-atingiu-a-internet-e-preciso-mudar-minhas-senhas.html

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *