29/04/2014
O bug permite aos hackers interceptarem comunicações seguras e roubarem informações
A Symantec alerta para a recente vulnerabilidade descoberta em uma das implementações mais usadas do SSL (Secure Sockets Layer) e protocolos criptográficos TLS (Transport Layer Security), que apresenta um perigo grave e imediato para qualquer servidor de internet sem correção. O bug, conhecido como Heartbleed, permite aos hackers interceptarem comunicações seguras e roubarem informações confidenciais, como credenciais de login, senhas, dados pessoais e até mesmo chaves de decodificação.
Essa ameaça vem reforçar a nova mudança de comportamento dos criminosos digitais, que buscam grandes recompensas e trabalham durantes meses para atingir os seus objetivos. O novo relatório da Symantec sobre Ameças à Segurança da Informação aponta que este tipo de artifício passa a ser cada vez mais comum. Em 2013, já foi possível observar um aumento de 62% no número de vazamento de dados e informações sigilosas, além de mais de 552 milhões de identidades expostas por meio dos vazamentos.
O Heartbleed ou OpenSSL TLS 'heartbeat' Extension Information Disclosure Vulnerability (CVE-2014-0160) afeta um componente do OpenSSL conhecido como Heartbeat. OpenSSL é uma das implementações mais utilizadas do SSL e protocolos TLS.
Como essa vulnerabilidade funciona
O Heartbleed envia uma mensagem para o servidor OpenSSL, que por sua vez retransmite essa mensagem de volta ao remetente, verificando a conexão. A mensagem contém dois componentes, um pacote de dados conhecido como payload, que pode ser de até 64 KB, e as informações sobre o seu tamanho.
No entanto, a vulnerabilidade Heartbleed em OpenSSL permite a um invasor falsificar a informação sobre o tamanho do payload útil. Por exemplo, eles poderiam enviar uma carga de apenas um kilobyte, mas com tamanho real de 64KB. O bug Heartbleed é o último de uma série de vulnerabilidades SSL / TLS descoberto este ano. TLS e seu antecessor mais velho SSL são ambos protocolos seguros de comunicação da Internet e do trabalho de criptografar o tráfego entre dois computadores. Para mais informações sobre essa vulnerabilidade, clique aqui.
Para se proteger desta vulnerabilidade
Empresas:
• Qualquer usuário do OpenSSL 1.0.1 through 1.0.1f deve atualizar o software para a versão mais recente - 1.0.1g – ou recompilar a solução sem a extensão Heartbeat.
• Se após esta instalação você acreditar que o certificado do servidor de Internet possa estar corrompido, entre em contato com a autoridade responsável pela certificação e peça a troca;
• Além disso, como uma boa prática, as empresas devem considerar a reconfiguração de senhas dos usuários finais – especialmente aquelas com indícios de violação.
Consumidores:
• Esteja ciente de que seus dados podem ser vistos por terceiros, principalmente se utiliza provedores de serviço vulneráveis.
• Monitore qualquer notícia dos fornecedores que você utiliza. Uma vez que a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas.
• Evite acessar e-mail com links estranhos, pois eles podem conter o chamado phishing – as iscas, que buscam o seu clique.
• Não acesse sites duvidosos. Opte por portais oficiais e com reputação.
• Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil.