Já se sabe que é possível fazer-se uma comunicação segura utilizando canais potencialmente inseguros, e na grande maioria dos casos esse sistema usa o OpenSSL. O que se passa é que existe este bug “Heartbleed” que afeta as versões 1.0.1 e 1.0.2 beta do OpenSSL e que transforma essas ligações supostamente seguras em ligações altamente vulneráveis e que colocam utilizadores e os próprios servidores em risco.
Esta falha permite que um atacante consiga descodificar as mensagens seguras enviadas entre usuários e servidores que usem estas versões do software, e também recuperar as chaves primárias e secundárias do SSL, algo que por si só até fará arrepiar qualquer administrador de sistemas.
Dentro da gravidade do problema, a única boa notícia é a de que este bug se deve a uma falha na programação destas versões e não devido a uma falha implícita do sistema SSL – o que faz com que o problema seja de fácil resolução, passando-se a utilizar uma versão do OpenSSL corrigida.
Por este motivo, principalmente para os administradores de sistemas, é importante que mantenham o sistema atualizado. Segundo alguns comentários pela internet, apesar da Canonical ter disponibilizado atualizações houve casos onde ela não foi realmente aplicada nos seus computadores. Se estiver preocupado com a segurança do seu servidor, veja este site.
Eu devo preocupar-me?
Os administradores de servidores, se utilizam protocolos de segurança têm de urgentemente atualizar seus sistemas e devem avisar seus utilizadores que devem alterar as passwords.
Por outro lado, utilizadores comuns devem alterar as passwords da maioria dos serviços públicos, nomeadamente da conta do Google, Facebook, entre outros serviços. Há uma tabela interessante no Mashable que mostra precisamente quais são os sites que temos de alterar as passwords:
| Serviço | Precisa de trocar senha? | Serviço | Precisa de trocar senha? | |
|---|---|---|---|---|
| 1Password | Não | _______ | Sim | |
| Amazon | Não | LastPass | Não | |
| Amazon | Não | Não | ||
| Amazon WebServices | Sim | Microsoft | Não | |
| American Express | Não | Minecraft | Sim | |
| American Funds | Sim | Netflix | Sim | |
| AOL | Não | Nordstrom | Não | |
| Apple | Não | OKCupid | Sim | |
| Box | Sim | Pandora | Não | |
| Dashlane | Não | PayPal | Não | |
| Dropbox | Sim | Sim | ||
| eBay | Não | SoundCloud____ | Sim | |
| Etsy | Sim | SpiderOak | Não | |
| Evernote | Não | Target | Não | |
| Sim | Tumblr | Sim | ||
| Flickr | Sim | Unclear | ||
| GitHub | Sim | Venmo | Sim | |
| Gmail | Sim | Walmart | Não | |
| GoDaddy | Sim | Wikipedia | Sim | |
| Sim | Wordpress | Sim | ||
| Groupon | Não | Wunderlist | Sim | |
| Hotmail / Outlook | Não | Yahoo Mail | Sim | |
| Hulu | Não | Yahoo | Sim | |
| IFTTT | Sim | YouTube | Sim |
Entretanto o OpenBSD já se destacou neste problema!
O OpenBSD, que já mantém o popular OpenSSH, e recentemente passou por problemas financeiros, acaba de iniciar uma nova empreitada que pode melhorar a segurança da Internet: criaram um fork próprio do OpenSSL, para reduzir a chance de que mais algum bug do porte do recente Heartbleed surja no mesmo projeto.
O OpenSSL não é conhecido como grande exemplo de qualidade de código, e os desenvolvedores do fork no âmbito do OpenBSD já começaram com mão pesada, removendo fontes de entropia questionáveis, removendo arquivos de suporte a sistemas operacionais clássicos (MacOS pré OS X, VMS, Netware, etc...), e principalmente removendo wrappers do OpenSSL para uma série de funções do sistema operacional – um desses wrappers, se não estivesse lá, tornaria impossível o bug Heartbleed deixar de ser percebido.
50 milhões de usuários também estão afetados por causa de seu Android
O próprio Google já alertou que dispositivos rodando a versão 4.1.1 do sistema operacional móvel estavam vulneráveis a ataques relacionados ao Heartbleed capazes de roubar senhas, acessar o conteúdo de mensagens pessoais e outras informações privadas contidas na memória dos aparelhos.
Dados fornecidos por uma empresa de análise ao jornal britânico The Guardian indicam que cerca de 50 milhões de dispositivos Android estão vulneráveis – 4 milhões deles apenas nos Estados Unidos. O Google não confirma essa informação, embora tenha indicado que a quantidade é "inferior a 10%" de todos os dispositivos ativos em todo o mundo.
Já pesquisadores da empresa de segurança Lookout Mobile, que fornece software antivírus para smartphones com o sistema, disseram que algumas versões do Android 4.2.2 que foram personalizadas pelas operadoras ou fabricantes de hardware também podem estar suscetíveis à falha.
"Se você tem um dispositivo vulnerável e ainda não existe correção disponível para ele, você deve ser muito cauteloso em relação ao uso desse dispositivo para dados sensíveis", disse Marc Rogers, principal pesquisador da Lookout, ao site Arstechnica. "Eu tomaria cuidado ao usá-lo para serviços bancários ou envio de mensagens pessoais".
Não menos importante, o OpenVPN também foi afetado!
De uma tacada só, os atacantes usaram o Heartbleed para dar a volta tanto no sistema de autenticação de múltiplos fatores e no sistema de verificação que buscava garantir que os clientes da sua VPN pertenciam à empresa e estavam rodando determinados sistemas de segurança.
Embora só na quinta-feira tenha circulado amplamente a informação sobre a infame vulnerabilidade no OpenSSL também afetar o OpenVPN, o ataque bem-sucedido ao concentrador de VPNs de uma corporação de grande porte que foi divulgado ontem iniciou há quase 2 semanas, já no dia 8 – um dia depois da divulgação da existência do próprio bug Heartbleed, inicialmente associado a um risco contra servidores web (https).
Não foi divulgada qual a empresa afetada, só que ela é de grande porte e conta com meios avançados de detecção de ataques – mas eles não foram suficientes para evitar que este ataque em particular se consumasse. Seus logs indicam que apenas 17.000 tentativas de leitura de memória por meio do bug foram necessárias.
Ao contrário do que ocorre com servidores web, este ataque bem-sucedido a um servidor OpenVPN não tentou obter senhas ou outras informações pessoais dos usuários, mas sim ter acesso a tokens confirmando a autenticação bem-sucedida de sessões existentes – e aí os atacantes usaram esses tokens para sequestrar as conexões dos usuários legítimos, usando-as.
Como o primeiro caso conhecido ocorreu no dia 8, é possível que o seu procedimento de segurança exija que você faça revisão dos logs dos seus próprios servidores OpenVPN. Se for o caso, os responsáveis pela identificação da invasão acima sugerem que você pesquise por situações em que mais de um IP usou a mesma sessão VPN paralelamente – meras mudanças de IP ao longo da sessão são comum em casos legítimos, mas o uso simultâneo por 2 IPs é um forte indício de que havia algo estranho – como um sequestro de sessão – em andamento.
Referências:
- Revista Espírito Livre » Blog Archive » Heartbleed Bug no OpenSSL deixa inúmeros sites “seguros” em risco
- Não é mais teoria: já se conhece um caso de servidor OpenVPN comprometido via bug Heartbleed - BR-Linux.org
- OpenBSD "adota" o código do OpenSSL, na forma de um fork – e já começou a limpá-lo - BR-Linux.org
- Linux Magazine Online
- Heartbleed Bug
Tudo aquilo que o homem ignora,nao existe para ele.Porisso o universo de cada um se resume ao tamanho de seu saber.Albert Eistein
