Nosso blog

Conheça a polêmica do bug Heartbleed

A falha já existe há mais de dois anos, mas ninguém sabia que ela estava lá, nem mesmo os próprios desenvolvedores.


Imagem mostra coração sangrando



O bug do OpenSSL, conhecido como Heartbleed, não era novidade. O OpenSSL é uma biblioteca open source de criptografia, adotada por aproximadamente dois em cada três servidores de empresas para blindar comunicações. É ela a responsável por colocar o S no HTTPS e o cadeado na barra de endereços dos sites seguros, por exemplo.

A falha já existe há mais de dois anos, mas ninguém sabia que ela estava lá, nem mesmo os próprios desenvolvedores. Quem descobriu o erro de programação foi Neel Mehta, pesquisador da Google que verificou que a brecha poderia garantir acesso a dados privados.

Hackers que sabiam como explorar a falha podiam interceptar o tráfego de dados, fingindo ser o servidor e dificultando que qualquer um soubesse que existia algum problema no meio do caminho.

Criminosos que conseguiam se aproveitar do bug podiam puxar até 64K de informações da memória do servidor. O hacker normalmente não tem como saber o que virá nesses dados, mas de vez em quando é possível coletar informações privadas e é aí que mora o perigo.

Desde que o bug foi reportado, uma nova versão do OpenSSL foi lançada para corrigir os problemas e boa parte da indústria de tecnologia se apressou em se atualizar para sanar a falha o mais rápido possível. Grandes empresas como Facebook, Google e Twitter foram as primeiras a garantir a segurança de seus usuários.

Mesmo assim, o problema ainda não foi totalmente solucionado. Segundo estudo da empresa de segurança, Trend Micro, três mil sites ainda estão vulneráveis à falha - que comprometeu 2/3 da web - dos quais 350 são brasileiros. O ranking divulgado coloca o Brasil no terceiro lugar entre os mais problemáticos, atrás de Rússia e China como mostra a tabela de países mais vulneráveis abaixo:


Tabela que mostra sites que ainda estão vulneráveis



A indústria se uniu para minimizar os estragos causados pelo bug. Amazon, Cisco, Facebook, Google, IBM, Intel e Microsoft são algumas das envolvidas com a recuperação dos serviços de internet afetados: cada uma doará US$ 300 mil pela a causa.

A ideia é dar suporte a desenvolvedores de softwares de código aberto envolvidos com partes críticas da infraestrutura tecnológica do mundo.
Como alguns sites menores ainda não corrigiram o problema, você mesmo pode verificar se aquele site que só você acessa já está seguro. É só jogar o endereço no Heartbleed Test (https://filippo.io/Heartbleed/) e clicar no botão "Go!" que em poucos segundos, você saberá se o bug já foi corrigido.

Independente de qual site ou serviço você utiliza, recomenda-se a troca de senhas para evitar que os hackers usem suas credenciais. Não há como saber se alguém conseguiu se apropriar de seus dados, portanto é bom tomar alguma atitude e evitar que sejam usados indevidamente.

comentários via Disqus