(Fonte da imagem: Tecmundo/Baixaki)
Na última semana, o mundo ficou preocupado com uma falha de segurança que pode afetar milhões de servidores (aproximadamente, dois terços dos servidores podem conter essa brecha na segurança) e deixar os dados de uma infinidade de usuários expostos.
Estamos falando do Heartbleed (o nome significa Sangramento no Coração), um bug que existe em diversos sites que operam com o software OpenSSL, projeto que atua com os protocolos de segurança SSL e TLS.
Falando assim, você talvez não fique muito preocupado, mas, se citarmos que grandes páginas como Yahoo!, Facebook, Google, Amazon, Instagram e outras tantas ficaram vulneráveis, você possivelmente ficará com a pulga atrás da orelha e começará a ficar um bocado preocupado.
Com o intuito de alertá-lo e dar uma real dimensão do problema, hoje vamos explicar o que é essa falha, quais sites podem estar com problemas (e quais estão livres do bug), como você pode se proteger e como é possível verificar se o seu website não é vulnerável.
Afinal, o que realmente é o Heartbleed?
O bug do OpenSSL não nasceu agora. Ele não é algo proveniente de uma atualização recente. Conforme informação oficial da desenvolvedora do software, essa falha já existe há mais de dois anos, mas ninguém sabia que ela estava lá (nem mesmo os próprios desenvolvedores, afinal, se alguém soubesse, ela já teria sido corrigida muito antes).
Quem acabou descobrindo esse erro de programação foi Neel Mehta, pesquisador da Google que verificou que a brecha poderia garantir acesso a dados privados. Hackers que saibam como explorar a falha podem interceptar o tráfego de dados, fingindo ser o servidor e dificultando que qualquer um saiba que existe algum problema no meio do caminho.
O criminoso que consegue se aproveitar do bug pode puxar até 64 k de informações da memória do servidor. O hacker normalmente não tem como saber o que virá nesses dados, mas de vez em quando é possível coletar alguns dados privados. É importante ressaltar que é possível repetir esse processo inúmeras vezes.
(Fonte da imagem: Tecmundo/Baixaki)
Parece perigoso, mas você deve estar se questionando como o hacker vai conseguir encontrar dados secretos, sendo que eles normalmente estão criptografados. Bom, o que acontece é que os servidores de autenticação precisam manter os dados de login (usuário e senha) sempre na memória para que a conexão seja mantida.
Assim, muitas vezes os dados dos usuários vêm nesse roubo de memória e o hacker só precisa usar a senha de criptografia para descobrir os dados verdadeiros (já que normalmente tudo é criptografado e impossível de ler normalmente).
É realmente fácil explorar esse bug?
Na verdade, é preciso ter muito conhecimento para conseguir explorar esse tipo de falha. Mesmo os hackers mais habilidosos demoram um bocado para conseguir entrar no servidor e roubar algum dado importante.
Até algum tempo atrás, algumas empresas (como a Cloudflare) estavam dizendo que era tão difícil que dava para dizer que era impossível, de modo que a falha não representava uma ameaça real.
Pois bem, não demorou nem 24 horas para que alguns hackers conseguissem adquirir chaves SSL em servidores. Em algumas máquinas que rodavam Apache, foi possível conseguir os dados já na primeira requisição. Isso apenas deixa claro que o bug é fácil de ser explorado e pode ser utilizado em quase todos os servidores que ainda não aplicaram as correções.
(Fonte da imagem: Reprodução/Perfil da NSA no Twitter)
De acordo com a Bloomberg, a NSA já sabia dessa falha e vem explorando isso há muito tempo. A Agência, obviamente, negou qualquer envolvimento e conhecimento da questão. Diante de tantos problemas passados, não dá para confiar muito nas declarações da NSA.
Quais sites estão desprotegidos?
A essa altura do campeonato, a maioria dos grandes sites que tinham algum problema já corrigiram as falhas. Quando a bomba explodiu, e ficamos sabendo do caso, quase todos eles continham a falha no OpenSSL.
Pode incluir na lista grandes nomes como Twitter, Google (e seus respectivos sites), Facebook (e quaisquer sites desenvolvidos pela empresa), Yahoo!, Amazon, Dropbox, SoundCloud, Flickr, Foursquare e outros tantos.
Claro, assim que a correção foi liberada, todos os sites corrigiram o defeito imediatamente, evitando que seus usuários fossem prejudicados. A dúvida que fica é se algum hacker já não havia descoberto a brecha e explorado dados privados anteriormente.
É importante notar que há muitos sites menores que ainda não corrigiram o problema, sendo que você ainda pode estar correndo perigo. Normalmente, as empresas e servidores que efetuaram a atualização do OpenSSL estão enviando emails comunicando seus usuários, mas você mesmo pode verificar se aquele site que só você acessa já está seguro.
(Fonte da imagem: Reprodução/Heartbleed Test)
Para saber se os seus sites favoritos estão vulneráveis, você pode jogar o endereço no site “Heartbleed Test”, o qual vai verificar se o bug existe ou se já foi corrigido. Basta clicar aqui, colar o endereço e pressionar o botão “Go!”. Em poucos segundos, é possível obter uma resposta.
Como posso me proteger?
Independente de qual site ou serviço você utiliza, é altamente recomendado que você modifique suas senhas para evitar que os hackers usem suas credenciais. Não há como saber se alguém conseguiu se apropriar de seus dados, portanto é bom tomar alguma atitude e evitar que eles sejam usados indevidamente.
O Heartbleed também pode ter afetado os aparelhos com sistema Android. Nesse caso, você pode seguir as instruções de um artigo que divulgamos ontem para conferir se o seu smartphone está vulnerável. É importante salientar que aparelhos com falhas no protocolo SSL só podem ter o erro corrigido ao receber uma atualização do sistema.
Enfim, toda essa história de Heartbleed apenas deixa evidente que a web não é um lugar tão seguro. Essa é apenas uma falha que aconteceu com um tipo de protocolo, mas quem sabe se não existem outros tantos bugs em outros tipos de servidores? Esperamos que esses erros não existam, para o nosso próprio bem.