FYI.

This story is over 5 years old.

Entretenimento

Se Você Quiser Privacidade, Anonimato ou Segurança, Fique Longe da Internet Esta Semana

Falhas de segurança são típicas na internet hoje, mas um novo bug apelidado de Heartbleed é particularmente escroto: especialistas dizem que dois terços dos sites e provavelmente todo mundo que usou a internet nos últimos dois anos podem estar...

Falhas de segurança são típicas na internet nos dias de hoje, mas um novo bug apelidado de “Heartbleed” é particularmente escroto e generalizado: especialistas afirmam que dois terços dos sites e, provavelmente, todo mundo que usou a internet nos últimos dois anos podem estar infectados.

A ironia da situação é que os que mais se esforçaram para ter privacidade e segurança são os mais vulneráveis.

O bug expõe o software de criptografia OpenSSL, uma das bases da criptografia da internet. O Heartbleed deixa qualquer um espionar sites criptografados e acessar dados importantes que esses sites deveriam estar protegendo, tudo isso sem deixar nenhum traço no servidor. Pior, o hacker pode recuperar chaves de criptografia e senhas, e usar isso para decifrar qualquer tráfego passado ou futuro naquele site.

Publicidade

O bug foi introduzido na versão 1.01 do OpenSSL em 2012, o que significa que os hackers vêm explorando o bug há dois anos e podem ter exposto VPNs e serviços de anonimato, revelando e-mails de usuários, mensagens instantâneas e atividade de navegação. E não há como saber quem está comprometido.

Os sites e usuários sob maior risco são aqueles que tomaram precauções para esconder seu rastro. A maior parte dos sites que usam protocolo de comunicações seguras HTTPS rodam OpenSSL, assim como muitos sites especificamente desenvolvidos para esconder a identidade dos usuários, incluindo a rede Tor.

O Projeto Tor escreveu uma postagem em seu blog na segunda-feira dizendo que seus clientes, IRCs e serviços secretos estavam vulneráveis ao bug Heartbleed. Aparentemente, qualquer um que estivesse usando o Tor – seja para comprar drogas no mercado negro, se proteger de governos opressores ou qualquer coisa do tipo – pode ter tido suas atividades monitoradas e chaves de criptografia roubadas. “Se você precisa muito de anonimato e privacidade na rede, é melhor ficar totalmente fora da internet pelos próximos dias até as coisas se assentarem”, escreveu o Projeto Tor.

Mas o alcance do bug vai muito além dos cantos clandestinos da internet. Uma pesquisa recente da empresa de segurança digital Netcraft mostrou que 66% dos sites rodam os servidores de código aberto Apache e Nginx, que usam OpenSSL por padrão. Assim como muitos outros sistemas operacionais e aplicações, como Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD e distribuições OpenSUSE do Linux, informou a Ars Technica.

Publicidade

Os pesquisadores que descobriram o Heartbleed, do Google e da empresa de segurança Codenomicon, escreveram ontem que grandes sites de consumo com frequência usam versões mais antigas e não comprometidas do OpenSSL, e que, “ironicamente, serviços menores e mais progressivos, ou aqueles que atualizaram para a última, e melhor, criptografia, foram os mais afetados”.

Assim, cerca de meio milhão de sites estão vulneráveis de acordo com a Netcraft, incluindo Yahoo, Flicker e OkCupid. Há uma lista longa deles no Github.

Já é possível encontrar algumas ferramentas e dicas para testar se os sites que você usa estão vulneráveis ao Heartbleed (o nome técnico é CVE-2014-0160). Das gigantes da internet do Vale do Silício, Google, Microsoft, Twitter, Facebook e Dropbox estavam seguros, mas o Yahoo estava vulnerável – embora seja importante notar que não se sabe ao certo quão precisos esses dados são.

Imagem: Filipio.io Heartbleed test.

“Considerando a longa exposição, facilidade de exploração e de ataques sem deixar rastro, essa exposição deve ser levada a sério”, escreveram os pesquisadores.

Uma versão supostamente corrigida do OpenSSL foi lançada anteontem e especialistas em segurança recomendam que todos os sites que estejam usando o software atualizem para a nova versão. Para ficar realmente seguro, eles também sugerem mudar todas as senha e chaves de criptografia usadas nos últimos dois anos e atualizar o certificado de segurança. Ou, quem estiver mesmo preocupado, pode aceitar o conselho do Projeto Tor e ficar longe da internet por um tempo. Pode ser uma boa hora para terminar aquele livro que você está lendo.