Veja como funciona o bug do Heartbleed que proporcionou a coleta de informações de usuários sites como o Google, Yahoo, Facebook por dois an...
Veja como funciona o bug do Heartbleed que proporcionou a coleta de informações de usuários sites como o Google, Yahoo, Facebook por dois anos.
O Heartbleed (traduzindo, seria algo como "hemorragia cardíaca") foi descoberto pela empresa de segurança finlandesa Codenomicon. Trata-se de uma falha no OpenSSL, um software que permite ao seu computador e a um servidor saberem que são quem dizem que são pela rede.
Um projeto de código aberto como o OpenSSL permite que qualquer um possa olhar como foi programado; não há como esconder algo de propósito. Você pode até ver exatamente onde o Heartbleed nasceu e onde foi consertado, mesmo que não entenda muito de código (esse é quase um ponto turístico de segurança digital. Imagine um guia dizendo algo como: Neste local, você pode ver uma das maiores brechas de segurança da história da internet. Capaz de comprometer cerca de 12% dos sites mais populares da rede).
O Heartbleed não é um problema com as tecnologias TLS/SSL que criptografam a internet. Nem mesmo seria um problema com a forma como o OpenSSL funciona na teoria. É apenas um erro no código. Um bug.
Funciona assim: Quando dois computadores se preparam para fazer uma conexão segura, através de um aperto de mão criptografado, eles realizam o chamado “heartbeat” (batimento cardíaco), o que inspirou o nome do bug.
Heartbeats são uma forma de dois computadores que conversam entre si garantirem que o outro ainda está "vivo" (uma analogia à forma como os médicos verificam se alguém está vivo sentindo o "pulso"). Assim, se algo der errado durante o processo, ele é interrompido. Para tanto, eles enviam dados um para o outro, de forma constante.
Para exemplificar, imagine que você esteja acessando um site seguro. O cliente (você) envia o seu heartbeat para o servidor (um banco, por exemplo), e o servidor o entrega de volta. Dessa forma, se algo der errado durante a transação – por exemplo, se um computador parar – o outro vai saber, porque os batimentos cardíacos saem de sincronia.
O problema é que quando o o cliente pede para o servidor o batimento ele envia o dado que deve ser enviado de volta e também o tamanho desse dado (o número de bytes).
A falha é que nos servidores com OpenSSL o cliente poderia "mentir" o tamanho do dado. Por exemplo, o dado enviado poderia ter 0 KBytes e o o cliente informar que tem 64 KBytes. Isso confundia o servidor que acabava enviando 64 KBytes de sua memória que poderia conter dados confidencias. Um desastre em termos de segurança.
O OpenSSL é bastante popular e por isso hacker podem ter tido acesso a senhas de contas de serviços como Google, Facebook, Yahoo!, IFTT, Wunderlist e até mesmo sites de empresas de segurança como a Kaspersky.
Na terça-feira, o hacker Mustafa Al-Bassam (de Londres, Inglaterra) testou os 10 mil sites de maior tráfego na web e descobriu que 1260 deles continham a falha.
O fato de ser público é um dos fatores que tentam garantir uma constante melhoria da segurança dos softwares de código aberto. Por isso, é surpreendente que uma falha como essa tenha ficado tanto tempo desconhecida.
De acordo com o site G1, essa foi uma tragédia anunciada. Em setembro de 2012, um perfil no Twitter apontava bizarrices do código do OpenSSL. Essas bizarrices nasceriam do legado presente no código, bem como dos limitados recursos com o qual o software é mantido. Poucas pessoas ou empresas realmente se importam com esses programas que constituem os bastidores da internet.
Atualização (17/04/2014)
O site Heartbleed.com.br está agregando as informações sobre essa vulnerabilidade (incluindo dicas de proteção para usuários em geral e administradores). Veja no vídeo a seguir orientações sobre como devemos proceder no momento.
Fonte: Exame, xkcd, Gizmodo, Olhar Digital, G1
[Via BBA]
O Heartbleed (traduzindo, seria algo como "hemorragia cardíaca") foi descoberto pela empresa de segurança finlandesa Codenomicon. Trata-se de uma falha no OpenSSL, um software que permite ao seu computador e a um servidor saberem que são quem dizem que são pela rede.
O Heartbleed não é um problema com as tecnologias TLS/SSL que criptografam a internet. Nem mesmo seria um problema com a forma como o OpenSSL funciona na teoria. É apenas um erro no código. Um bug.
Funciona assim: Quando dois computadores se preparam para fazer uma conexão segura, através de um aperto de mão criptografado, eles realizam o chamado “heartbeat” (batimento cardíaco), o que inspirou o nome do bug.
Heartbeats são uma forma de dois computadores que conversam entre si garantirem que o outro ainda está "vivo" (uma analogia à forma como os médicos verificam se alguém está vivo sentindo o "pulso"). Assim, se algo der errado durante o processo, ele é interrompido. Para tanto, eles enviam dados um para o outro, de forma constante.
Para exemplificar, imagine que você esteja acessando um site seguro. O cliente (você) envia o seu heartbeat para o servidor (um banco, por exemplo), e o servidor o entrega de volta. Dessa forma, se algo der errado durante a transação – por exemplo, se um computador parar – o outro vai saber, porque os batimentos cardíacos saem de sincronia.
O problema é que quando o o cliente pede para o servidor o batimento ele envia o dado que deve ser enviado de volta e também o tamanho desse dado (o número de bytes).
A falha é que nos servidores com OpenSSL o cliente poderia "mentir" o tamanho do dado. Por exemplo, o dado enviado poderia ter 0 KBytes e o o cliente informar que tem 64 KBytes. Isso confundia o servidor que acabava enviando 64 KBytes de sua memória que poderia conter dados confidencias. Um desastre em termos de segurança.
O OpenSSL é bastante popular e por isso hacker podem ter tido acesso a senhas de contas de serviços como Google, Facebook, Yahoo!, IFTT, Wunderlist e até mesmo sites de empresas de segurança como a Kaspersky.
Na terça-feira, o hacker Mustafa Al-Bassam (de Londres, Inglaterra) testou os 10 mil sites de maior tráfego na web e descobriu que 1260 deles continham a falha.
O fato de ser público é um dos fatores que tentam garantir uma constante melhoria da segurança dos softwares de código aberto. Por isso, é surpreendente que uma falha como essa tenha ficado tanto tempo desconhecida.
De acordo com o site G1, essa foi uma tragédia anunciada. Em setembro de 2012, um perfil no Twitter apontava bizarrices do código do OpenSSL. Essas bizarrices nasceriam do legado presente no código, bem como dos limitados recursos com o qual o software é mantido. Poucas pessoas ou empresas realmente se importam com esses programas que constituem os bastidores da internet.
Atualização (17/04/2014)
O site Heartbleed.com.br está agregando as informações sobre essa vulnerabilidade (incluindo dicas de proteção para usuários em geral e administradores). Veja no vídeo a seguir orientações sobre como devemos proceder no momento.
Fonte: Exame, xkcd, Gizmodo, Olhar Digital, G1
[Via BBA]
COMMENTS