Você pode ter pensado que um pequeno cadeado na barra de endereços do navegador significava que você estava seguro. Que sua conexão da Web foi criptografada e você pode fornecer com segurança nomes de usuário, senhas, números de cartão de crédito e muito mais.

Mas é hora de pensar novamente.

O bug Heartbleed recentemente descoberto pode permitir que invasores leiam a memória de um servidor da Web aparentemente protegido, potencialmente dando a eles acesso a nomes de usuário, senhas, detalhes de cartão de crédito e qualquer outra coisa que você possa ter feito naquele site..

E se você acha isso ruim, o Heartbleed deixa seus dados confidenciais abertos para ataques por mais de dois anos. O que isto significa? Aqui está tudo que você precisa saber.

1. O que é Heartbleed?

É uma vulnerabilidade séria no OpenSSL, uma biblioteca popular usada para criptografar e proteger várias conexões de e-mail, web e outras conexões..

Essencialmente, ao passar um valor incorreto para uma extensão OpenSSL, um invasor pode ler até 64 KB da memória do host. O processo pode ser repetido para ler mais RAM, expondo nomes, senhas, conteúdo e quaisquer outros dados: você não tem proteção alguma.

2. Quão difundida é?

A boa notícia: isso não é um problema fundamental com a tecnologia SSL / TLS principal. Está relacionado a um erro específico em uma implementação, a liberação OpenSSL 1.0.1, lançada em 14 de março de 2012, que foi corrigida no OpenSSL 1.0.1g em 7 de abril de 2014..

A má notícia: o OpenSSL é a biblioteca de criptografia padrão usada pelo Apache e o nginx, os dois servidores da Web mais utilizados, responsáveis ​​por proteger mais de 70% dos sites mais ocupados da web..

Não se trata apenas de uma questão em que você pode assumir que está seguro em um site de grande nome: a maioria das empresas estará vulnerável.

3. Alguém já usou Heartbleed em um ataque?

A exploração foi descoberta independentemente por pesquisadores do Google e pela firma de segurança finlandesa Codenomicon, não por monitorar atividades de hackers, então não há evidências de que ela tenha sido utilizada na vida real..

O problema é que o ataque não deixa pegada, no entanto, nenhum rastro nos logs, então não há como ter certeza. Você deve assumir que qualquer coisa que você acha que tenha comunicado com segurança, nos últimos dois anos, pode ter sido comprometida.

4. Os sites são seguros agora??

Talvez. O bug foi corrigido no OpenSSL 1.0.1g, lançado em 7 de abril. Mas isso não significa muito, porque os sites devem instalar a atualização primeiro e reiniciar (ou reiniciar vários serviços), o que significa que provavelmente não acontecerá automaticamente.

Grandes sites, ou quaisquer que sejam gerenciados ativamente, devem ser corrigidos agora. Mas outros podem permanecer vulneráveis ​​por muito mais tempo.

5. Posso verificar um site para o bug Heartbleed?

Sim. Há uma página de teste específica do Heartbleed e a Qualys adicionou a verificação do Heartbleed ao seu teste de servidor SSL. Em ambos os casos, basta digitar o nome do host de qualquer servidor que você está preocupado, clique no botão "Go" / "Enviar" e aguarde um veredicto.

Cuidado, porém, com o alarido atual ambas as páginas estão recebendo muito tráfego, e descobrimos que eles ocasionalmente nos recusaram o acesso. Se você tiver problemas, tente novamente mais tarde.

6. Como posso proteger meu próprio site??

Se você tem um site próprio e o teste mostra que é vulnerável, é necessário corrigi-lo. Agora.

Se você tem um servidor que você mesmo gerencia, então você deve atualizar para o OpenSSL versão 1.0.1g.

Isso pode não ser muito difícil. Por exemplo, com WHM / cPanel você pode usar a opção "Atualizar para a versão mais recente e escolher" Reiniciar serviços ">" Servidor HTTP (Apache) ", clicando em" Forçar uma reinstalação mesmo se o sistema estiver atualizado ". pronto, execute o teste Heartbleed no seu site depois para confirmar que há uma alteração.

Se o seu host da Web cuida desse tipo de coisa, você precisará contatá-los para obter orientação. Alguns hosts estão atualizando os servidores enquanto escrevemos (9 de abril), outros não estão começando até amanhã, outros podem deixá-los inteiramente para o cliente. Fale com eles e descubra.

7. O que devo fazer como usuário da internet??

Mude todas as suas senhas.

Sim, sabemos que é um aborrecimento. Mas o Heartbleed significa que todas as suas credenciais de login podem ter sido expostas ao mundo externo. Claro, você "pode" estar seguro, mas por que correr o risco? Mude-os agora.

Além disso, pense duas vezes antes de usar qualquer conexão aparentemente segura nos próximos dias, a menos que o teste mostre que a empresa não está mais vulnerável. Estamos atualmente em um momento muito perigoso, pois o Heartbleed já foi exposto a quem deseja explorá-lo antes que todas as correções estejam no lugar: é melhor ter muito cuidado.

  • Outra coisa para ficar paranóico: por que o PIN do smartphone não é tão seguro quanto você pensa