Heartbleed, o bug que está a assustar toda a Internet


Alguns já o consideram responsável por uma das maiores falha de segurança de sempre na Internet. Um bug descoberto esta terça – e apelidado informalmente de Heartbleed – expõe dados pessoais dos internautas que deveriam estar protegidos, como palavras-passe e informações bancárias.

A vulnerabilidade foi descoberta por investigadores em segurança informática da empresa Codenomico. O Heartbleed permite a atacantes aceder à memória dos servidores e obter a chave que é usada para encriptar os dados dos serviços. Esta chave permite desencriptar a informação que circula naquelas ligações. Os ataques não deixam rasto.

“O vírus Heartbleed é uma vulnerabilidade grave na biblioteca do popular software OpenSSL. Esta falha permite roubar informação que, em condições normais, estaria protegida pela encriptação SSL/TLS, usada para proteger a Internet.” (Heartbleed.com)

O problema está num software de código aberto chamado OpenSSL, que serve para criar ligações encriptadas entre servidores de Internet e o browser do utilizador, para permitir que os dados circulem de forma segura. Os internautas podem identificar este género de ligações pelos URLs https (em vez de simplesmente http), embora nem todas as ligações deste tipo estejam necessariamente vulneráveis. Dado o uso generalizado do software e o facto de a falha ter mais de dois anos, não é conhecida a dimensão do problema, nem a extensão de eventuais ataques.

“O Heartbleed permite que qualquer pessoa na Internet leia a memória de sistemas protegidos por versões vulneráveis do OpenSSL. Isto compromete as chaves secretas usadas para identificar os servidores e para encriptar o tráfego, bem como os nomes e passwords do utilizadores e o conteúdo das páginas. Isto faz com que os hackers consigam espiar as comunicações, roubar dados diretamente dos servidores e dos utilizadores e fazerem-se passar pelos próprios servidores e utilizadores”, lê-se em Heartbleed.com.

A resolução está do lado de quem gere os servidores. Nesta terça-feira à tarde, cerca de 24 horas após a divulgação da falha, várias empresas, entre as quais o Yahoo, a Amazon e o Google, actualizaram o software nos servidores de forma a combater a falha.

Quanto aos utilizadores, as opiniões dividem-se. A Google avança que não é preciso mudar a password; o Facebook e a Yahoo aconselha o contrário. Há quem diga que esta acção pode agravar o problema: por exemplo, mudar uma palavra-passe faria com que esta circulasse na Internet, havendo a possibilidade de ser obtida, se o serviço em causa ainda estiver vulnerável.

Ler mais: www.theverge.com/2014/4/8/5594266/how-heartbleed-broke-the-internet.