Quase 70% do tráfego na Internet emprega OpenSSL para proteger as transferências de dados. Isso se traduz em quase todos os principais servidores (leia-se: websites) usando o OpenSSL para proteger seus dados, como credenciais de login. No entanto, alguém do Google encontrou um bug no OpenSSL - um pequeno erro de programação, mas grande o suficiente para fornecer seus dados aos hackers - pessoas dispostas a usar seus dados para seus propósitos. Este bug do OpenSSL é nomeado Heartbleed já que está intimamente relacionado a alguma camada HeartBeat do OpenSLL.
O que é Bug Heartbleed
O Bug Heartbleed é um caso de preocupação para quase todos os sites comerciais baseados na Internet e alguns outros tipos. Esse erro de programação permite que os hackers façam check-in em qualquer servidor que utilize o OpenSSL e leia / salve / use os dados não criptografados (dados descriptografados). Os hackers agora não têm apenas acesso aos seus dados, eles podem reproduzir o certificado do site tornando a Internet ainda mais perigosa. Com a cópia do certificado do site, os hackers podem criar sites semelhantes: sites semelhantes aos sites originais. Com isso, eles podem acessar seus dados, como detalhes do cartão de crédito, informações pessoais, etc.
Os sons são assustadores, não é? É - de fato - como ele pode acessar suas informações e essas informações podem ser usadas para qualquer fim.
Nota: Heartbleed também tem um nome de código CVE-2014-0160. CVE significa Common Vulnerabilities and Exposures (Vulnerabilidades e Exposições Comuns). Esses códigos relacionados a vulnerabilidades, etc., são fornecidos pelo MITRE, um órgão independente que mantém rastros de bugs e problemas semelhantes.
Devo atualizar meu antivírus ou algo assim?
O bug Heartbleed no OpenSSL não tem nada a ver com o seu antivírus ou firewall. Esta não é uma questão do lado do cliente, então você pode fazer pouco sobre isso. Por outro lado, os servidores precisam aplicar um patch ao sistema OpenSSL que estão usando. Feito isso, o site pode ser considerado mais seguro para interagir.
O que você pode fazer como usuário é reduzir o número de visitas ao comércio e sites semelhantes. Não é que o bug afeta apenas os sites de comércio. É igual para todos os tipos de sites que usam o OpenSSL. Eu digo evitar sites de comércio por um tempo, pois eles seriam o principal alvo para os hackers que querem os detalhes do seu cartão, etc. Isso significa que o principal alvo dos hackers seriam os sites de comércio eletrônico que usam o OpenSSL.
Depois de receber uma mensagem / relatório informando que o bug foi corrigido, você pode prosseguir como costumava fazer antes que o bug fosse descoberto. O OpenSSL criou um patch e o lançou para proprietários de sites para proteger os dados de seus usuários. Até lá, tente evitar sites nos quais você precisa fornecer seus dados de qualquer forma - até mesmo credenciais de login. Tenho certeza de que quase todos os webmasters precisam entrar no patch, mas ainda há um problema. Uma vez que você tenha certeza de que não há vulnerabilidades ou que tais vulnerabilidades tenham sido corrigidas, pode ser uma boa ideia mudar suas senhas.
Enquanto isso, use essas extensões de navegador para avisá-lo dos sites afetados do Heartbleed.
Certificados do site copiados via Heartbleed precisam ser endereçados
Há grandes chances de que os certificados de segurança de sites possam ter sido copiados para a criação de sites mal-intencionados. Como os certificados de segurança são cópias genéricas, seus navegadores podem não mostrar a diferença. É você quem deve permanecer cauteloso. Evite clicar em links e, em vez disso, digite o URL do site na barra de endereço para que você não seja redirecionado para algum site falso.
Esse problema pode ser resolvido de duas maneiras:
- Os navegadores disponíveis no mercado devem ser inteligentes o suficiente para identificar os certificados copiados e alertá-lo.
- Os webmasters alteram os certificados depois de aplicar o patch.
Em outras palavras, levará algum tempo para implementar acima, mesmo que os webmasters apliquem o patch. Gostaria de reiterar que não clique em links em e-mails ou sites não reputados. Simplesmente, digite o URL na barra de endereços ou se o site original estiver marcado, use o marcador.
A seção Referências no final deste artigo contém uma lista incompreensível de sites afetados. Incompleta porque pode haver mais sites afetados do que os listados aqui.
Referências:
- Coração Sangre: Site
- OpenSSL: Assessoria de Segurança Para Sangrar o Coração
- Git Hub: Lista de sites afetados.
