Important note: How-To Geek is not affected by this bug.
O que é Heartbleed e por que é tão perigoso?
Em sua violação de segurança típica, os registros / senhas de usuários de uma única empresa são expostos. Isso é horrível quando isso acontece, mas é um caso isolado. A Empresa X tem uma violação de segurança, eles emitem um aviso para seus usuários, e as pessoas como nós lembram a todos que é hora de começar a praticar uma boa higiene de segurança e atualizar suas senhas. Infelizmente, essas violações típicas já são ruins o suficiente. O Bug Heartbleed é algo muito,Muito de, pior.
O Bug Heartbleed enfraquece o esquema de criptografia que nos protege enquanto enviamos emails, fazemos transações bancárias e interagem com websites que acreditamos estar seguros. Aqui está uma descrição em inglês simples da vulnerabilidade do Codenomicon, o grupo de segurança que descobriu e alertou o público sobre o bug:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Isso soa muito mal, sim? Parece ainda pior quando você percebe que cerca de dois terços de todos os sites usando SSL estão usando essa versão vulnerável do OpenSSL. Não estamos falando de sites de tempo limitado, como fóruns de hot rod ou sites de troca de jogos de cartas colecionáveis, estamos falando de bancos, empresas de cartão de crédito, grandes varejistas on-line e provedores de e-mail. Pior ainda, esta vulnerabilidade está em atividade há cerca de dois anos. São dois anos que alguém com o conhecimento e as habilidades apropriados pode ter acessado as credenciais de login e as comunicações particulares de um serviço que você usa (e, de acordo com os testes realizados pela Codenomicon, fazendo isso sem deixar vestígios).
Para uma ilustração ainda melhor de como o bug Heartbleed funciona. leia este quadrinho xkcd.
O que fazer Bug Post Heartbleed
Qualquer violação de segurança majoritária (e isso certamente se qualifica em grande escala) exige que você avalie suas práticas de gerenciamento de senhas. Dado o amplo alcance do Bug Heartbleed, esta é uma oportunidade perfeita para rever um sistema de gerenciamento de senhas que já funciona tranquilamente ou, se você estiver arrastando os pés, configurá-lo.
Antes de mergulhar na mudança imediata de suas senhas, lembre-se de que a vulnerabilidade só é corrigida se a empresa tiver atualizado para a nova versão do OpenSSL. A história foi divulgada na segunda-feira, e se você corresse para trocar suas senhas imediatamente em todos os sites, a maioria deles ainda estaria executando a versão vulnerável do OpenSSL.
Agora, no meio da semana, a maioria dos sites começou o processo de atualização e, no fim de semana, é razoável supor que a maioria dos sites de alto perfil tenha mudado.
Você pode usar o verificador de Bug Heartbleed aqui para ver se a vulnerabilidade ainda está aberta ou, mesmo que o site não esteja respondendo a solicitações do verificador mencionado, você pode usar o verificador de data SSL do LastPass para ver se o servidor em questão atualizou sua Certificado SSL recentemente (se eles foram atualizados após 07/04/2014, é um bom indicador de que eles corrigiram a vulnerabilidade). Nota: Se você executar o howtogeek.com por meio do verificador de erros, ele retornará um erro porque, em primeiro lugar, não usamos criptografia SSL, e também verificamos que nossos servidores não estão executando nenhum software afetado.
Dito isso, parece que este fim de semana está se preparando para ser um bom fim de semana para levar a sério a atualização de suas senhas. Primeiro, você precisa de um sistema de gerenciamento de senha. Confira nosso guia de introdução ao LastPass para configurar uma das opções de gerenciamento de senhas mais seguras e flexíveis possíveis. Você não precisa usar o LastPass, mas precisa de algum tipo de sistema que permita rastrear e gerenciar uma senha única e segura para cada website que visitar.
Em segundo lugar, você precisa começar a mudar suas senhas. O esboço de gerenciamento de crise em nosso guia, Como recuperar depois que a senha de e-mail é comprometida, é uma ótima maneira de garantir que você não perca nenhuma senha; Ele também destaca os conceitos básicos de boa higiene de senha, citada aqui:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Terceiro, sempre que possível, você deseja ativar a autenticação de dois fatores. Você pode ler mais sobre a autenticação de dois fatores aqui, mas em resumo ele permite que você adicione uma camada adicional de identificação ao seu login.
Com o Gmail, por exemplo, a autenticação de dois fatores exige que você tenha não apenas o seu login e senha, mas o acesso ao celular registrado na sua conta do Gmail para que você possa aceitar um código de mensagem de texto quando fizer login em um novo computador.
Com a autenticação de dois fatores ativada, torna-se muito difícil para alguém que obteve acesso ao seu login e senha (como poderia com o Bug Heartbleed) acessar sua conta.
Vulnerabilidades de segurança, especialmente aquelas com implicações tão amplas, nunca são divertidas, mas oferecem uma oportunidade para que possamos restringir nossas práticas de senha e garantir que senhas únicas e fortes mantenham o dano, quando ocorre, contido.
