Esta fraqueza permite roubar as informações protegidas, em condições normais, pela criptografia SSL / TLS usada para proteger a Internet. SSL / TLS fornece a segurança e a privacidade de comunicação através da Internet para aplicações tais como web, e-mail, mensagens instantâneas (IM) e em algumas redes privadas virtuais (VPNs). O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.
A exploração da falha Heartbleed permite que atacantes contornem as proteções fornecidas pelo SSL. Isso significa que todas as informações que você enviou para um site que teve versões vulneráveis do OpenSSL podem já estar nas mãos dos bandidos. A exploração desta vulnerabilidade é silenciosa e não deixa nenhuma pista ou registro do acontecido. Não é possível determinar se você foi ou não afetado.
Os sites mais importantes já corrigiram a falha, entretanto as suas e as minhas informações pessoais e, principalmente, nossas senhas, podem ter vazado para as mãos de pessoas má intencionadas. Insisto: não é possível determinar se você foi ou não afetado.
Lista das diferentes versões afetadas pelo Bug:
- OpenSSL 1.0.1 através 1.0.1f (inclusive) são vulneráveis
- OpenSSL 1.0.1g não é vulnerável
- OpenSSL 1.0.0 ramo não é vulnerável
- OpenSSL 0.9.8 ramo não é vulnerável
Bug foi introduzido para OpenSSL em dezembro de 2011 e foi para fora desde o OpenSSL liberar 1.0.1 em 14 de marco de 2012. A versão OpenSSL 1.0.1g lançada em 07 abril de 2014 corrige o bug.
O que é o OpenSSL?
OpenSSL é mais que apenas SSL. Permite trechos de mensagem, criptografia e decriptografia de arquivos, certificados digitais, assinaturas digitais e números aleatórios. Há muito a se dizer sobre a biblioteca OpenSSL, muito mais do que pode ser colocado em um único artigo.OpenSSL é mais que apenas a API. É também uma ferramenta de linha de comando. Essa ferramenta pode fazer o mesmo que a API, mas vai além, permitindo testar servidores e clientes SSL. Também dá aos desenvolvedores uma ideia da capacidade do OpenSSL.
Apps Também foram afetados
Celulares e smartphones são tão vulneráveis ao bug Heartbleed quanto os sites. Isso porque os aplicativos se conectam a servidores e serviços web para completar várias funções, como o os apps de bancos e lojas online, que permitem fazer pagamentos via celular.A Trend Micro inspecionou alguns serviços web populares utilizados em dispositivos móveis populares e os resultados mostram que a vulnerabilidade ainda existe. Foram digitalizados cerca de 390 mil aplicativos do Google Play, e cerca de 1.300 aplicativos conectados a servidores vulneráveis foram encontrados. Entre eles estão 15 aplicativos relacionados a bancos, 39 a pagamentos online e 10 a compras online. Também foram identificados problemas em apps de uso diário como de mensagens instantâneas e de saúde.
Mude suas senhas
Há uma boa chance que você tenha utilizado sites vulneráveis. A reação impensada a esta notícia é mudar todas as suas senhas imediatamente. Mas, ainda que eu esteja realmente recomendando que você mude suas senhas, é importante entender que nem todos os sites já foram atualizados, para proteger contra essa vulnerabilidade.
O melhor conselho que tenho, no momento, é que você mude suas senhas dos sites mais importantes de imediato, incluindo seu e-mail, suas contas bancárias, suas redes sociais, e outros alvos de alto valor para você. Isto irá fornecer, insisto, no momento, a sua melhor defesa contra os ataques anteriores.
Depois de algumas semanas os sites terão sido atualizados com novos certificados SSL, e seremos capazes de confiar novamente no SSL. Então, neste ponto, você deverá mudar todas as suas senhas novamente, por precaução.
Crie senhas exclusivas e com uma dificuldade razoável. Assim evitamos que qualquer pessoa descubra tanto por dedução quanto por força bruta.
