O QUE É HEARTBLEED, AFINAL?

Por Christiano Costa Pereira

Se você é um profissional de TI, blogueiro ou o nerd do seu círculo de amigos, é grande a possibilidade de você ter sido perseguido implacavelmente, ao longo dos últimos dois dias, sobre "essa tal coisa de Heartbleed".

"Eu preciso atualizar meu antivírus?"

"Eu posso logar na minha conta de banco agora?"

"Google já arrumou isso, certo?"

Eu ouvi tudo isso, mas as respostas não são tão claras ou simples. Na tentativa de tirar a pressão - afinal é o fim de semana - montei uma cartilha que deve responder a todas essas perguntas, e mais algumas. Da próxima vez que alguém lhe perguntar sobre aquela "tal coisa de Heartbleed," simplesmente aponte para este link.

COMO ISSO FUNCIONA?

O problema afeta um pedaço do software chamado Open SSL, usado em segurança de servidores web, populares. Com Open SSL, os sites podem fornecer informações criptografadas aos visitantes, de modo que os dados transferidos (incluindo nomes de usuários, senhas e cookies) não podem ser vistos por outros enquanto vai do seu computador para o site.

Open SSL é um projeto open source, o que significa que foi desenvolvido por voluntários realmente talentosos, gratuitamente, para ajudar a comunidade da internet. Acontece que a versão 1.0.1 do Open SSL, lançado em 19 de abril de 2012, tem um pequeno bug (um erro introduzido por um programador) que permite a uma pessoa (incluindo um hacker mal-intencionado) recuperar informações da memória do servidor web sem deixar vestígios. Este erro honesto foi introduzido com um novo recurso implementado pelo Dr. Robin Seggelmann, um programador alemão, que muitas vezes contribuiu com códigos de seguranças.

Heartbleed explora um recurso interno do Open SSL chamado batimento cardíaco (heartbeat). Quando o seu computador acessa um site, o site irá responder de volta para deixar o seu computador saber que ele está ativo e ouvindo seus pedidos, este é o coração. Esta chamada e resposta são feitas através da troca de dados. Normalmente quando o computador faz uma solicitação, o coração só vai enviar de volta a quantidade de dados enviados do computador. No entanto, este não é o caso para os servidores atualmente afetados pelo bug. O hacker é capaz de fazer um pedido para o servidor e solicitar dados da memória dos servidores além dos dados totais do pedido inicial, até 65.536 bytes.

Os dados que vivem além deste pedido "podem ​​conter dados deixados para trás de outras partes do Open SSL" de acordo com o CloudFlare. O que está armazenado nesse espaço de memória extra é completamente dependente da plataforma. À medida que mais computadores acessarem o servidor, a memória no topo é reciclada. Isto significa que os pedidos anteriores ainda podem residir no bloco de memória de volta aos pedidos dos hackers ao servidor. O que pode estar nesses bits de dados? As credenciais de login, cookies e outros dados que podem ser explorados por hackers.

O QUE EU DEVO FAZER?

Como esse recurso é tão específico, o número de servidores realmente afetados é significativamente menos do que muitos pensavam originalmente. Na verdade, embora haja estimativas que 60% ​​de todos os servidores da Internet tiveram o bug Heartbleed, Netcraft diz que o número deve ser muito menor, e abaixo dos 17,5% (bem, isso é ainda um monte de servidores, mas ainda menos do que 60%).

Após a descoberta do erro, o software Open SSL foi rapidamente corrigido, e a partir da versão 1.0.1.g o problema não existe mais. Mesmo antes disso, se o software Open SSL foi instalado sem a extensão de batimentos cardíacos, o servidor nunca teria sido vulnerável.

Agora, a pergunta importante é se você deve se preocupar com este problema? A resposta curta é: "sim, mas não entre em pânico". Você deve definitivamente mudar suas senhas pelo menos para os serviços confirmados como vulneráveis ​​e que já foram corrigidos, como Google e Yahoo. Mas você deve mudar suas senhas regularmente, não importa o quê ou usar autenticação em 2 etapas. Se você tem dificuldade para lembrar suas senhas, você sempre pode usar um gerenciador de senhas como o LastPass, Password Supervisor ou 1Password (lembre-se: nunca anote suas senhas em uma nota ao lado do seu monitor, um bloco de notas ou um documento dentro do computador).

Esta recomendação de mudança de senha é nada mais que uma precaução, porque mesmo que hackers sabiam sobre o problema (algo que ainda não foi confirmado - além de por nossos amigos no NSA, aparentemente), as chances de eles obterem as suas senhas, e serem capaz de identificar os dados com seu nome de usuário são bastante reduzidas. Algumas pessoas afirmam que os certificados de criptografia para servidores (uma tecnologia que nos permite confirmar que um site é na verdade o que ele diz que é) poderiam ter sido roubados, mas a empresa CloudFlare tem dito que é muito difícil de fazer. Ele publicou um desafio a quem quer que possa roubar essa chave, e parece que alguém fez, durante uma reinicialização do servidor. Independentemente da probabilidade, as empresas estão mudando as chaves de criptografia para que os novos dados não sejam vulneráveis se alguém foi capaz de obter as chaves antigas.

TL;DR

Se você precisar do TL;DR, aqui está: não entre em pânico. Simplesmente, altere as senhas dos serviços que você considera mais importante (e-mail, serviços bancários, compras) e continue com sua vida. Ao fazê-lo, siga as boas práticas de segurança: não use a mesma senha em todos os serviços, selecione senhas com 10 caracteres ou mais e sempre use, pelo menos, letras maiúsculas e minúsculas, além de números.

A Internet com certeza é divertida!

Christiano Costa Pereira é profissional da área de TI.