Heartbleed: tudo o que você precisa saber sobre a falha no OpenSSL
Muito se comentou nos últimos dias sobre a Heartbleed, uma vulnerabilidade no código OpenSSL que colocou em risco as informações pessoais de milhões de usuários da Internet e de apps móveis.
Segundo Gary Davis, vice-presidente global de Marketing da divisão Consumer da McAfee, é importante entender que o Heartbleed não é um vírus, mas sim um erro programado no código de criptografia OpenSSL – um padrão de segurança que criptografa as comunicações entre você e os servidores fornecidos pela maioria dos serviços online.
Embora o bug tenha sido anunciado apenas recentemente, ele tem estado presente nas versões OpenSSL liberadas desde 14 de Março de 2012, dando aos atacantes diversas oportunidades de roubarem certificados ou outras informações confidenciais.
O problema é sério
A biblioteca criptográfica OpenSSL protege nomes de usuários, senhas, números de cartões de crédito e de débito e outras informações confidenciais do usuário. Uma falha no código SSL pode permitir a um invasor obter acesso à memória do sistema, que potencialmente pode conter informações ou comunicações confidenciais.
O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.
Portanto, a falha permite que os atacantes extraiam informações de grandes bancos de dados os quais contêm nomes de usuários, senhas e outras informações confidenciais.
Segundo a companhia de segurança Vasco, além de permitir que um hacker obtenha parte da memória de um servidor impactado, sob certas circunstâncias, o bug também permite a obtenção de dados sensíveis que tenham sido trocados no passado através de um servidor SSL/TLS vulnerável. Empregando a chave privada SSL/TLS de uma aplicação na Internet comprometida, o criminoso também pode dar vida a servidores falsos se apresentando graficamente como o original.
Como a ameaça se aproveita de servidores, e não dos dispositivos de consumo, as empresas de serviços online precisam atualizar para a versão mais recente do OpenSSL, a 1.0.1g, a fim de mitigar e corrigir esta brecha na segurança.
A Trustwave, por sua vez, alerta que os servidores web não são os únicos alvos possíveis para um ataque; qualquer programa usando uma versão comprometida do OpenSSL e que esteja exposto à internet, é vulnerável. Isso inclui a rede virtual privada SSL de uma empresa, que permite aos colaboradores se conectarem à segurança da rede corporativa, bem como muitas outras ferramentas SSL que são utilizadas pelas empresas diariamente.
Ainda segundo a Trustwave, o OpenSLL é considerado também um dos pilares da modernização do e-commerce, que permitiu o envio seguro de informações, como dados de cartão de crédito e identificações pessoais. Estima-se que o OpenSSL é usado em 60% dos sites da web, com serviços habilitados para o SSL. Embora nem todos esses serviços estejam vulneráveis, os efeitos dessa falha são generalizados.
Apps móveis também foram afetados
Celulares e smartphones são tão vulneráveis ao bug Heartbleed quanto os sites. Isso porque os aplicativos se conectam a servidores e serviços web para completar várias funções, como o os apps de bancos e lojas online, que permitem fazer pagamentos via celular.
A Trend Micro inspecionou alguns serviços web populares utilizados em dispositivos móveis populares e os resultados mostram que a vulnerabilidade ainda existe. Foram digitalizados cerca de 390 mil aplicativos do Google Play, e cerca de 1.300 aplicativos conectados a servidores vulneráveis foram encontrados. Entre eles estão 15 aplicativos relacionados a bancos, 39 a pagamentos online e 10 a compras online. Também foram identificados problemas em apps de uso diário como de mensagens instantâneas e de saúde.
O que o internauta pode fazer?
A gravidade dessa ameaça é inimaginável. Grandes empresas regularmente empregam o OpenSSL, que tradicionalmente é conhecido como um dos meios mais seguros de transmitir dados. As empresas de segurança reiteram que a melhor forma de se proteger é determinar os sites que você usa que foram afetados (através das ferramentas indicadas anteriormente) e alterar as senhas dessas contas.
Ou seja, os usuários devem checar com os sites que abrigam suas informações sensíveis _ tais como o endereço eletrônico do seu banco, ou do seu provedor de e-mail, etc _ se eles foram afetados e, em caso afirmativo, questionar como será corrigida essa vulnerabilidade.
Caso o provedor confirme que o serviço foi normalizado, os usuários devem também trocar suas senhas. As empresas que hospedam seus próprios serviços SSL afetados devem considerar fortemente revogar seus atuais certificados, já que se este estiver comprometido pode levar a abuso dos usuários e danos à sua reputação. Proprietários do certificado SSL terão que trabalhar com Certificados Autorizados (CA) para reeditar suas certificações.
Esta semana, a McAfee lançou uma ferramenta gratuita para ajudar os consumidores a avaliarem facilmente a sua suscetibilidade aos efeitos do Heartbleed. Ao inserir nomes de domínios de sites na ferramenta verificadora da McAfee, os consumidores podem determinar imediatamente se os sites que frequentam foram afetados por esta ameaça verificando se os sites foram atualizados para a versão do OpenSSL que não é suscetível à vulnerabilidade.
O que as instituições financeiras devem fazer?
De acordo com a Vasco, elas devem cumprir três passos para assegurar que as suas aplicações na web não estão vulneráveis ao bug e que os seus consumidores estão protegidos.
Em primeiro lugar, devem verificar se as suas aplicações de e-banking empregam a versão com falha do OpenSSL. As versões Open SSL 1.0.1 até 1.0.1f estão afetadas. Nesse caso, elas devem imediatamente atualizar seus servidores com a versão mais recente.
Em segundo lugar, elas devem assumir que as suas chaves privadas SSL/TLS podem estar comprometida no caso de usaram versões afetadas do Open SSL. Em razão da natureza do bug, é muito difícil determinar quando as chaves estão comprometidas. Além disso, as instituições financeiras devem ser cautelosas e substituir suas chaves existentes e os seus certificados por novos.
Por fim, devem verificar se dados sensíveis, como senhas de acesso, trocadas com os usuários do e-banking foram comprometidos. Em caso positivo, deve ser promovida a renovação dessas informações quando possível.
O que os usuários do e-banking devem fazer?
Também segundo a Vasco, eles podem ser sido afetados pelo bug Heartbleed fazendo com que dados sensíveis trocados com seus bancos via Internet possam ter sido comprometidos.
Usuários que acessam via senha devem trocá-las, uma vez que elas podem ter sido comprometidas. Todavia, isto só deve ser feito após o banco ter atualizado o seu software OpenSSL e expedido novas chaves privadas e novos certificados, pois de outro modo também as novas senhas podem ser acessadas indevidamente no futuro.
Por outro lado, os usuários que fazem seus acessos por senhas de uso único (one-time passwords – OTP) não precisam se preocupar com o comprometimento de suas informações. A natureza efêmera desse sistema assegura que a senha só pode ser utilizada por um curto período de tempo. Desta forma, as senhas não uso único não podem ser aproveitadas como resultado desse bug.
“Recomendamos também que todos acompanhem as suas movimentações bancárias e cuidem da segurança de suas informações”, disse Claudio Conceição, consultor de Finanças e especialista em crédito na Crivo TransUnion, empresa responsável pelo desenvolvimento de softwares e soluções para automação de análise de crédito, risco e fraude.
Cuidado com phishing
Muitos serviços online estão enviando e-mails informando que foram afetados pelo Heartbleed e que já atualizaram seus servidores. Após receber esses e-mails,
você deve atualizar sua senha. Mas, atenção: a McAfee alerta que este também é um ótimo momento para ataques de phishing (ataques disfarçados de serviços para roubar seus dados e senhas). Então, é preciso tomar ainda mais cuidado que o de costume quando receber mensagens desse tipo.
De acordo com a McAfee, o internauta pode detectar um ataque de phishing observando erros de gramática, imagens suspeitas que não parecem ser de empresa idônea e e-mails que solicitam que você informe seu nome de usuário e sua senha. Alguns serviços afetados pelo Heartbleed terão feito logout da sua conta automaticamente. Alguns poderão ter fornecido links para alteração de senha.
Para se proteger contra ataques de phishing, não clique nesses links. Em vez disso, acesse o site manualmente, faça login e depois altere sua senha.
Cuidados ao alterar as senhas
Um grande número de gigantes da Internet admitiram que tinham a falha e liberaram correções para o problema, tomando medidas como fazer um sign-out automático de todos os seus usuários e solicitando que mudem suas senhas. Ao fazer isso, é preciso tomar alguns cuidados. Entre eles, segundo a McAfee, estão:
1 – Criar senhas exclusivas para cada site que você usa. Cada senha usada deve ter no mínimo oito caracteres e conter letras, números e símbolos. Cada site deve ter sua própria senha exclusiva. Procure não usar a mesma senha em vários sites. Isso é essencial.
2 – Usar um gerenciador de senhas. Cada vez mais, o uso de gerenciadores de senhas está deixando de ser uma questão de praticidade e mais uma questão de segurança. Lembrar-se de senhas diferentes para cada site é muito difícil. Os gerenciadores de
senhas podem fazer isso por você. Além disso, eles podem protegê-lo contra softwares mal-intencionados que registram as teclas que você pressiona e, consequentemente, sua senha.
3 – Ativar a autenticação de dois fatores. A autenticação de dois fatores é uma técnica de segurança que exige algo que você sabe, como sua senha, e algo que você possui, como seu telefone. Nem todos os sites aplicam essa técnica de segurança, mas, quando disponível, você deve ativá-la. Ela pode ser uma maneira eficaz de se proteger contra ataques de hackers.