Falha grave descoberta no OpenSSL expõe todo mundo que usa a

Propaganda
Falha grave descoberta no OpenSSL expõe todo
mundo que usa a internet
Autor: Redação
Fonte: Informationweek BrasilPublicado em 08 de April de 2014 às 16h13
Vulnerabilidade foi descoberta pela equipe de segurança do
Google e alerta companhias – invasores podem chegar a
servidores e não deixar nenhum rastro
OpenSSL provavelmente é parte do uso da web de todas as pessoas. O servidor Apache,
responsável por quase metade de toda a web, usa OpenSSL. Grande parte de aplicativos
e sites também usam o sistema para criptografar dados enviados. E é nele onde foi
descoberto um grande bug chamado “Heartbleed” pelos responsáveis pelo achado, entre
eles, Neel Mehta da equipe de segurança do Google.
Aparentemente, conforme descreve o site criado para explorar a questão, é possível burlar
quase todo sistema rodando qualquer versão do OpenSSL dos últimos dois anos, a fim de
revelar blocos de dados de sua memória de sistema. A pior parte, conforme os
especialistas, é que dados muitos sensíveis estão nessa memória de sistema, incluindo
chaves para criptografar e decriptografar a comunicação – nomes de usuário, senhas,
dados de cartões de crédito, etc.
Em outras palavras, um cibercriminoso poderia chegar a sua chave de código e interceptar
com sucesso qualquer comunicação, como se não houvesse criptografia nenhuma. Com
essa chave, ele também poderia roubar credenciais em navegadores, servidores, e outras
medidas de segurança em navegadores.
Conforme testes realizados pela empresa de segurança Codenomicon, simulando
ataques, foi possível chegar aos servidores da empresa sem deixar qualquer rastro. “Sem
usar qualquer informação privilegiada ou credenciais, conseguimos roubar de nós mesmos
as chaves secretas usadas para nossos certificados X.509, nomes de usuários e senhas,
mensagens instantâneas, e-mails e documentos de negócio críticos”, descrevem os
especialistas envolvidos nos testes.
Parece que o bug está no OpenSSL por mais de dois anos, mas foi anunciado apenas
agora. E pior: quem tem usado ele para ataques não parece ter deixado qualquer rastro
nos logs do servidor.
Download