Heartbleed OpenSSL
zero-day vulnerability
|
Brecha permite ler dados criptografados
Problema já foi corrigido, mas certificados estão em risco.
Por Altieres Rohr
Especial para o G1
Uma falha de segurança gravíssima foi encontrada no OpenSSL, um pacote de software que é aproveitado por diversos outros programas para criar conexões seguras, como a usada em sites com “cadeado” (HTTPS). Devido a não verificação do tamanho de uma variável no código de programação, um hacker é capaz de “ler” a memória do servidor do site, revelando dados como as senhas e até a chave criptográfica usada pelo servidor. O problema já foi corrigido, mas milhões de sites não aplicaram a atualização do software, deixando usuários vulneráveis.
O problema está em um recurso chamado “heartbeat” (batimento cardíaco), que é usado para manter “viva” uma conexão em alguns protocolos. Por esse motivo, a brecha foi apelidada de “heartbleed” (sangramento cardíaco).
saiba mais
Até 64 KB de dados podem ser lidos da memória cada vez que a falha for explorada, mas é possível fazer uso da brecha repetidamente até conseguir as informações desejadas. É possível que, entre essas informações, esteja a própria “chave privada” de criptografia usada pelo site. Se essa chave for obtida, é possível ler dados interceptados, em uma rede Wi-Fi por exemplo, mesmo quando estes foram protegidos.
Ainda que um hacker não possa interceptar o tráfego, a leitura da memória permite que os dados atualmente em processamento sejam revelados ao hacker. Isso inclui senhas e nomes de usuário que estão sendo protegidos pela criptografia. O hacker não tem controle absoluto para apontar qual usuário ou senha ele quer obter, mas ele pode conseguir quaisquer dados que estejam na memória no momento em que falha for explorada.
A brecha ficou aberta por dois anos. Ela foi identificada por pesquisadores na semana passada e uma correção foi disponibilizada pela equipe do OpenSSL nesta segunda-feira (7). A exploração da brecha não deixa vestígios, o que significa que é bastante difícil saber quais sites já foram ou estão sendo explorados.
Há uma recomendação para que administradores de sites não apenas apliquem a atualização do OpenSSL, mas também revoguem certificados em uso e criem certificados novos. Os usuários também devem receber uma orientação para trocar a senha, já que esta pode ser revelada em um vazamento da memória.
Diversos sites populares estão vulneráveis. O Tumblr publicou um comunicado recomendando que usuários troquem toda e qualquer senha (Veja aqui).
Leia Também
Heartbleed: Serious OpenSSL zero day vulnerability revealed
Summary: A new OpenSSL vulnerability has shown up and some companies are annoyed that the bug was revealed before patches could be delivered for it. Updated April 8.
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.