ARLA/CLUSTER: Heartbleed é talvez a maior ameaça à seguança até hoje detectada na Internet-
João Costa > CT1FBF
ct1fbf gmail.com
Quarta-Feira, 16 de Abril de 2014 - 21:09:58 WEST
Para se ter uma ideia da ameaça, 2/3 dos servidores na Internet usam a
OpenSSL.O que você precisa saber para se proteger
Falha no OpenSSL permite que informações sigilosas de usuários e empresas
sejam interceptadas por crackers. Primeira medida é mudar senhas em sites
afetados.
Uma recente ameaça foi descoberta em uma das implementações mais usadas do
SSL (Secure Sockets Layer) e do TLS (Transport Layer Security), protocolos
de segurança que são utilizados em inúmeros sites com o intuito de
criptografar o tráfego entre dois computadores. Ou seja, manter a conexão
segura.
Chamada de Heartbleed <http://heartbleed.com/>, a falha de segurança
apresenta um perigo grave e imediato para qualquer servidor de Internet que
não tenha recebido uma correção, de acordo com a empresa de segurança
Symantec. A empresa finlandesa Codenomicon foi a primeira companhia a
identificar a Heartbleed em conjunto com Neel Mehta, um pesquisador da
equipe de segurança da Google.
O Heartbleed, ou *OpenSSL TLS 'heartbeat' Extension Information Disclosure
Vulnerability* (CVE-2014-0160<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160>),
afeta um componente do OpenSSL conhecido como "heartbeat", e estima-se que
a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e
publicamente anunciada nesta semana.
Vale ressaltar que o Heartbleed afeta somente o OpenSSL e não o protocolo
de segurança SSL em si. Quando explorada, a vulnerabilidade de programação
do OpenSSL permite a atacantes externos ler os conteúdos da memória dos
servidores web e, com isso, ter acesso a informações crÃticas como chaves
SSL de sites, nomes de usuário e senhas, e até mesmo dados pessoais do
usuário, como e-mail, mensagens instantâneas e arquivos.
*Leia também*
Grandes sites da web correm para estancar o problema do
Heartbleed<http://computerworld.com.br/seguranca/2014/04/11/grandes-sites-da-web-correm-para-estancar-o-problema-do-heartbleed//>
LastPass tem recurso para verificar riscos do Heartbleed nos
sites<http://computerworld.com.br/seguranca/2014/04/11/lastpass-tem-recurso-para-verificar-riscos-do-heartbleed-nos-sites/>
Ainda assim, é bom ficar de olho. Devido à popularidade do OpenSSL com os
administradores de sites, o número potencial de páginas afetadas é enorme.
A empresa de segurança e pesquisa de Internet Netcraft estima que o
Heartbleed afeta cerca de meio milhão de "sites amplamente
confiáveis<http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html>".
"Na escala de 1 a 10, ele [Heartbleed] é 11", afirmou o respeitado
especialista em segurança Bruce
Schneier<https://www.schneier.com/blog/archives/2014/04/heartbleed.html>em
seu blog.
Sim, este bug é muito sério e é muito provável que ele afete ao menos uma
de suas contas online.
*Como funciona*
O Heartbleed explora uma falha no OpenSSL, que não verifica corretamente o
tamanho de um pacote de dados, ou "payload", na resposta do servidor a um
comando. Ao manipular a comunicação um atacante pode enganar um servidor,
fazendo com que ele retorne um pedaço do conteúdo de sua memória (até 64KB)
na resposta. Capturando múltiplos pedaços de 64 KB por vez, um atacante
pode vasculhar essa cópia da memória em busca das chaves de segurança
usadas para criptografar a comunicação entre o servidor e os usuários. De
posse da chave, a comunicação se torna um "canal aberto", e o malfeitor
pode capturar nomes de usuário, senhas e quaisquer dados que estejam
trafegando no momento.
*Como se proteger*
Para as empresas:
· Caso estejam usando o OpenSSL versão 1.0.1 até a versão 1.0.1f, deve
atualizar o software para a versão mais recente (1.0.1g) ou recompilar a
solução sem a extensão Heartbeat, usando a flag -DOPENSSL_NO_HEARTBEATS.
· Após isto, se você acredita que o certificado do servidor de Internet
possa ter sido corrompido, entre em contato com a autoridade responsável
pela certificação e peça a troca;
· Além disso, como uma boa prática, as empresas devem considerar a
alteração das senhas dos usuários finais – especialmente aquelas com
indÃcios de violação.
Já os usuários comuns de Internet podem:
· Monitorar qualquer notÃcia dos fornecedores que você utiliza. Uma vez que
a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas;
· Evitar acessar e-mail com links estranhos, pois eles podem conter o
chamado phishing – as iscas, que buscam o seu clique;
· Não acesse sites duvidosos. Opte por portais oficiais e com reputação;
· Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie
de qualquer transação incomum ao seu perfil;
· Esteja ciente de que seus dados podem ser vistos por terceiros,
principalmente se utiliza provedores de serviço vulneráveis.
*Sites afetados*
O site GitHub liberou uma lista com sites afetados e com sites não afetados
pela falha. Alguns conhecidos estão na lista de páginas vulneráveis - como
o Yahoo e seus serviços como o Flickr e o Tumblr, mas sites de outras
gigantes da tecnologia como Facebook, Google e seus respectivos serviços
(como Instagram e Blogger) estão livres de qualquer problema.
Algumas empresas já estão tomando providências para evitar maiores
estragos. O Tumblr, por exemplo, admitiu ter sido atingido pela falha e já
está solicitando aos seus usuários a troca de
senhas<http://staff.tumblr.com/post/82113034874/urgent-security-update>.
O mesmo é recomendado para outros sites que você acessa e entrou na lista
dos afetados.
Para ver a lista completa, você pode clicar
aqui<https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt>.
Há também esta <http://filippo.io/Heartbleed/> ferramenta online para
testar se o site que você está acessando (ou irá acessar) está vulnerável.
Basta digitar o endereço no local indicado e clicar no botão "Go!" para ter
o resultado.
Fonte: COMPUTERWORD
-------------- próxima parte ----------
Um anexo em HTML foi limpo...
URL: http://radio-amador.net/pipermail/cluster/attachments/20140416/3fe223cc/attachment.html
Mais informações acerca da lista CLUSTER