DATA DA PUBLICAÇÃO 17/04/2014 | Informática
Mais podem surgir, diz empresa que achou falha grave em sites seguros
Brecha 'Heartbleed' permitia que sites seguros 'vazassem' informação.
Dois terços dos sites foram afetados, mas muitos já solucionaram problema.
Usado por boa parte dos serviços na internet, o software OpenSSL possuía uma falha que permitia a cibercriminosos terem acesso a dados "vazados" por dois em cada três sites seguros na web. Apesar da gravidade, a brecha "Heartbleed" (sangramento cardíaco, em inglês) levou cerca de dois anos para ser descoberta.
Isso até que uma equipe formada por pesquisadores do Google e da empresa finlandesa Codenomicon revelassem o problema, que virou uma dor de cabeça tanto para companhias como o Facebook e o próprio Google quanto para usuários, que têm de trocar suas senhas.
No entanto, para Bob Booth, diretor de vendas da Codenomicon para a América Latina, há "100% de certeza" que a falha não será a primeira deste porte.
"Existem outras vulnerabilidades. É preciso lembrar que vulnerabilidades são erros em códigos, e códigos são softwares desenhados por humanos", afirma Booth ao G1. "Humanos cometem erros e nesse caso foi algo digno de nota, causando reações muito grandes".
O problema afetou dois terços dos sites seguros na web. "Quase todas as pessoas que usam a internet para se conectar à web já foram afetadas", diz Booth. Ou seja, já foram expostas a algum serviço suscetível à falha.
O OpenSSL é um software acionado por outros programas para criar conexões seguras. Dessa forma, um navegador de internet, por exemplo, pode recorrer a ele para acessar sites seguros (HTTPS).
O problema ocorria quando o software era associado ao recurso "heartbeat" (batimento cardíaco, em inglês), usado para manter uma conexão de internet permanente entre dois computadores, em alguns protocolos.
Para conferir se tudo vai bem, o "heartbeat" exige que o outro elo da conexão envie uma mensagem igual à recebida. O OpenSSL lê a mensagem e a retorna, mas apenas lê a memória do servidor de acordo com um campo da mensagem que informa o seu tamanho. O problema, porém, é que o software não conferia se a mensagem tinha realmente o tamanho que dizia ter.
O esquema para cibercriminosos usarem a falha funcionaria assim: enviam uma mensagem que simula ter um tamanho e recebem de volta um "vazamento" de informações com aquela quantidade de bytes. Toda essa movimentação é invisível aos olhos de quem acessa a rede, mas pode permitir que os dados enviados a um servidor possam ser vistos em tempo real por quem explorar a falha.
O Canadá admitiu ter sido alvo da falha "heartbleed". O saldo foram 900 números do seguro social roubados. Já a Agência Nacional de Segurança dos EUA (NSA, na sigla em inglês) foi acusada por uma reportagem da revista "Bloomberg" de ter explorado a brecha por pelo menos dois anos. Tanto a agência como o governo dos EUA negaram que isso ocorresse.
"O governo federal não tinha conhecimento da vulnerabilidade recentemente identificada no OpenSSL até que fosse divulgada em um relatório privado de cibersegurança", afirmou Caitlin Hayden, porta-voz do conselho da NSA.
"Essa vulnerabilidade especificamente não deixa nenhum rastro, então empresa nenhuma podia saber se já sofreu um ataque", afirma Booth. "Como só agora temos conhecimento dessa vulnerabilidade, se alguém usou essa vulnerabilidade, ninguém sabe".
Dois terços dos sites foram afetados, mas muitos já solucionaram problema.
Usado por boa parte dos serviços na internet, o software OpenSSL possuía uma falha que permitia a cibercriminosos terem acesso a dados "vazados" por dois em cada três sites seguros na web. Apesar da gravidade, a brecha "Heartbleed" (sangramento cardíaco, em inglês) levou cerca de dois anos para ser descoberta.
Isso até que uma equipe formada por pesquisadores do Google e da empresa finlandesa Codenomicon revelassem o problema, que virou uma dor de cabeça tanto para companhias como o Facebook e o próprio Google quanto para usuários, que têm de trocar suas senhas.
No entanto, para Bob Booth, diretor de vendas da Codenomicon para a América Latina, há "100% de certeza" que a falha não será a primeira deste porte.
"Existem outras vulnerabilidades. É preciso lembrar que vulnerabilidades são erros em códigos, e códigos são softwares desenhados por humanos", afirma Booth ao G1. "Humanos cometem erros e nesse caso foi algo digno de nota, causando reações muito grandes".
O problema afetou dois terços dos sites seguros na web. "Quase todas as pessoas que usam a internet para se conectar à web já foram afetadas", diz Booth. Ou seja, já foram expostas a algum serviço suscetível à falha.
O OpenSSL é um software acionado por outros programas para criar conexões seguras. Dessa forma, um navegador de internet, por exemplo, pode recorrer a ele para acessar sites seguros (HTTPS).
O problema ocorria quando o software era associado ao recurso "heartbeat" (batimento cardíaco, em inglês), usado para manter uma conexão de internet permanente entre dois computadores, em alguns protocolos.
Para conferir se tudo vai bem, o "heartbeat" exige que o outro elo da conexão envie uma mensagem igual à recebida. O OpenSSL lê a mensagem e a retorna, mas apenas lê a memória do servidor de acordo com um campo da mensagem que informa o seu tamanho. O problema, porém, é que o software não conferia se a mensagem tinha realmente o tamanho que dizia ter.
O esquema para cibercriminosos usarem a falha funcionaria assim: enviam uma mensagem que simula ter um tamanho e recebem de volta um "vazamento" de informações com aquela quantidade de bytes. Toda essa movimentação é invisível aos olhos de quem acessa a rede, mas pode permitir que os dados enviados a um servidor possam ser vistos em tempo real por quem explorar a falha.
O Canadá admitiu ter sido alvo da falha "heartbleed". O saldo foram 900 números do seguro social roubados. Já a Agência Nacional de Segurança dos EUA (NSA, na sigla em inglês) foi acusada por uma reportagem da revista "Bloomberg" de ter explorado a brecha por pelo menos dois anos. Tanto a agência como o governo dos EUA negaram que isso ocorresse.
"O governo federal não tinha conhecimento da vulnerabilidade recentemente identificada no OpenSSL até que fosse divulgada em um relatório privado de cibersegurança", afirmou Caitlin Hayden, porta-voz do conselho da NSA.
"Essa vulnerabilidade especificamente não deixa nenhum rastro, então empresa nenhuma podia saber se já sofreu um ataque", afirma Booth. "Como só agora temos conhecimento dessa vulnerabilidade, se alguém usou essa vulnerabilidade, ninguém sabe".
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda