Falhas de segurança são típicas na internet nos dias de hoje, mas um novo bug apelidado de “Heartbleed” é particularmente escroto e generalizado: especialistas afirmam que dois terços dos sites e, provavelmente, todo mundo que usou a internet nos últimos dois anos podem estar infectados.A ironia da situação é que os que mais se esforçaram para ter privacidade e segurança são os mais vulneráveis.O bug expõe o software de criptografia OpenSSL, uma das bases da criptografia da internet. O Heartbleed deixa qualquer um espionar sites criptografados e acessar dados importantes que esses sites deveriam estar protegendo, tudo isso sem deixar nenhum traço no servidor. Pior, o hacker pode recuperar chaves de criptografia e senhas, e usar isso para decifrar qualquer tráfego passado ou futuro naquele site.O bug foi introduzido na versão 1.01 do OpenSSL em 2012, o que significa que os hackers vêm explorando o bug há dois anos e podem ter exposto VPNs e serviços de anonimato, revelando e-mails de usuários, mensagens instantâneas e atividade de navegação. E não há como saber quem está comprometido.Os sites e usuários sob maior risco são aqueles que tomaram precauções para esconder seu rastro. A maior parte dos sites que usam protocolo de comunicações seguras HTTPS rodam OpenSSL, assim como muitos sites especificamente desenvolvidos para esconder a identidade dos usuários, incluindo a rede Tor.O Projeto Tor escreveu uma postagem em seu blog na segunda-feira dizendo que seus clientes, IRCs e serviços secretos estavam vulneráveis ao bug Heartbleed. Aparentemente, qualquer um que estivesse usando o Tor – seja para comprar drogas no mercado negro, se proteger de governos opressores ou qualquer coisa do tipo – pode ter tido suas atividades monitoradas e chaves de criptografia roubadas. “Se você precisa muito de anonimato e privacidade na rede, é melhor ficar totalmente fora da internet pelos próximos dias até as coisas se assentarem”, escreveu o Projeto Tor.Mas o alcance do bug vai muito além dos cantos clandestinos da internet. Uma pesquisa recente da empresa de segurança digital Netcraft mostrou que 66% dos sites rodam os servidores de código aberto Apache e Nginx, que usam OpenSSL por padrão. Assim como muitos outros sistemas operacionais e aplicações, como Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD e distribuições OpenSUSE do Linux, informou a Ars Technica.Os pesquisadores que descobriram o Heartbleed, do Google e da empresa de segurança Codenomicon, escreveram ontem que grandes sites de consumo com frequência usam versões mais antigas e não comprometidas do OpenSSL, e que, “ironicamente, serviços menores e mais progressivos, ou aqueles que atualizaram para a última, e melhor, criptografia, foram os mais afetados”.Assim, cerca de meio milhão de sites estão vulneráveis de acordo com a Netcraft, incluindo Yahoo, Flicker e OkCupid. Há uma lista longa deles no Github.Já é possível encontrar algumas ferramentas e dicas para testar se os sites que você usa estão vulneráveis ao Heartbleed (o nome técnico é CVE-2014-0160). Das gigantes da internet do Vale do Silício, Google, Microsoft, Twitter, Facebook e Dropbox estavam seguros, mas o Yahoo estava vulnerável – embora seja importante notar que não se sabe ao certo quão precisos esses dados são.Imagem: Filipio.io Heartbleed test.“Considerando a longa exposição, facilidade de exploração e de ataques sem deixar rastro, essa exposição deve ser levada a sério”, escreveram os pesquisadores.Uma versão supostamente corrigida do OpenSSL foi lançada anteontem e especialistas em segurança recomendam que todos os sites que estejam usando o software atualizem para a nova versão. Para ficar realmente seguro, eles também sugerem mudar todas as senha e chaves de criptografia usadas nos últimos dois anos e atualizar o certificado de segurança. Ou, quem estiver mesmo preocupado, pode aceitar o conselho do Projeto Tor e ficar longe da internet por um tempo. Pode ser uma boa hora para terminar aquele livro que você está lendo.
Publicidade
Publicidade