Por Christiano Costa
Pereira
Se você é
um profissional de TI, blogueiro ou o nerd do seu círculo de amigos, é grande a
possibilidade de você ter sido perseguido implacavelmente, ao longo dos últimos
dois dias, sobre "essa tal coisa de Heartbleed".
"Eu
preciso atualizar meu antivírus?"
"Eu
posso logar na minha conta de banco agora?"
"Google
já arrumou isso, certo?"
Eu ouvi
tudo isso, mas as respostas não são tão claras ou simples. Na tentativa de
tirar a pressão - afinal é o fim de semana - montei uma cartilha que deve
responder a todas essas perguntas, e mais algumas. Da próxima vez que alguém
lhe perguntar sobre aquela "tal coisa de Heartbleed," simplesmente
aponte para este link.
COMO ISSO
FUNCIONA?
O
problema afeta um pedaço do software chamado Open SSL, usado em segurança de
servidores web, populares. Com Open SSL, os sites podem fornecer informações
criptografadas aos visitantes, de modo que os dados transferidos (incluindo
nomes de usuários, senhas e cookies) não podem ser vistos por outros enquanto
vai do seu computador para o site.
Open SSL
é um projeto open source, o que significa que foi desenvolvido por voluntários
realmente talentosos, gratuitamente, para ajudar a comunidade da internet.
Acontece que a versão 1.0.1 do Open SSL, lançado em 19 de abril de 2012, tem um
pequeno bug (um erro introduzido por um programador) que permite a uma pessoa
(incluindo um hacker mal-intencionado) recuperar informações da memória do
servidor web sem deixar vestígios. Este erro honesto foi introduzido com um
novo recurso implementado pelo Dr. Robin Seggelmann, um programador alemão, que
muitas vezes contribuiu com códigos de seguranças.
Heartbleed
explora um recurso interno do Open SSL chamado batimento cardíaco (heartbeat).
Quando o seu computador acessa um site, o site irá responder de volta para
deixar o seu computador saber que ele está ativo e ouvindo seus pedidos, este é
o coração. Esta chamada e resposta são feitas através da troca de dados.
Normalmente quando o computador faz uma solicitação, o coração só vai enviar de
volta a quantidade de dados enviados do computador. No entanto, este não é o
caso para os servidores atualmente afetados pelo bug. O hacker é capaz de fazer
um pedido para o servidor e solicitar dados da memória dos servidores além dos
dados totais do pedido inicial, até 65.536 bytes.
Os dados
que vivem além deste pedido "podem conter dados deixados para trás de
outras partes do Open SSL" de acordo com o CloudFlare. O que está
armazenado nesse espaço de memória extra é completamente dependente da
plataforma. À medida que mais computadores acessarem o servidor, a memória no
topo é reciclada. Isto significa que os pedidos anteriores ainda podem residir
no bloco de memória de volta aos pedidos dos hackers ao servidor. O que pode
estar nesses bits de dados? As credenciais de login, cookies e outros dados que
podem ser explorados por hackers.
O QUE EU
DEVO FAZER?
Como esse
recurso é tão específico, o número de servidores realmente afetados é
significativamente menos do que muitos pensavam originalmente. Na verdade,
embora haja estimativas que 60% de todos os servidores da Internet tiveram o
bug Heartbleed, Netcraft diz que o número deve ser muito menor, e abaixo dos
17,5% (bem, isso é ainda um monte de servidores, mas ainda menos do que 60%).
Após a
descoberta do erro, o software Open SSL foi rapidamente corrigido, e a partir
da versão 1.0.1.g o problema não existe mais. Mesmo antes disso, se o software
Open SSL foi instalado sem a extensão de batimentos cardíacos, o servidor nunca
teria sido vulnerável.
Agora, a
pergunta importante é se você deve se preocupar com este problema? A resposta
curta é: "sim, mas não entre em pânico". Você deve definitivamente
mudar suas senhas pelo menos para os serviços confirmados como vulneráveis e
que já foram corrigidos, como Google e Yahoo. Mas você deve mudar suas senhas
regularmente, não importa o quê ou usar autenticação em 2 etapas. Se você tem
dificuldade para lembrar suas senhas, você sempre pode usar um gerenciador de
senhas como o LastPass, Password Supervisor ou 1Password (lembre-se: nunca anote
suas senhas em uma nota ao lado do seu monitor, um bloco de notas ou um
documento dentro do computador).
Esta
recomendação de mudança de senha é nada mais que uma precaução, porque mesmo
que hackers sabiam sobre o problema (algo que ainda não foi confirmado - além
de por nossos amigos no NSA, aparentemente), as chances de eles obterem as suas
senhas, e serem capaz de identificar os dados com seu nome de usuário são
bastante reduzidas. Algumas pessoas afirmam que os certificados de criptografia
para servidores (uma tecnologia que nos permite confirmar que um site é na
verdade o que ele diz que é) poderiam ter sido roubados, mas a empresa
CloudFlare tem dito que é muito difícil de fazer. Ele publicou um desafio a
quem quer que possa roubar essa chave, e parece que alguém fez, durante uma
reinicialização do servidor. Independentemente da probabilidade, as empresas
estão mudando as chaves de criptografia para que os novos dados não sejam vulneráveis
se alguém foi capaz de obter as chaves antigas.
TL;DR
Se você
precisar do TL;DR, aqui está: não entre em pânico. Simplesmente, altere as
senhas dos serviços que você considera mais importante (e-mail, serviços
bancários, compras) e continue com sua vida. Ao fazê-lo, siga as boas práticas
de segurança: não use a mesma senha em todos os serviços, selecione senhas com
10 caracteres ou mais e sempre use, pelo menos, letras maiúsculas e minúsculas,
além de números.
A Internet com certeza é divertida!
A Internet com certeza é divertida!
Christiano Costa Pereira é profissional da área de TI.
