A Vulnerabilidade Heartbleed é um bug severo na popular biblioteca de criptografia chamada OpenSSL que algumas (poucas) empresas ainda não se atualizaram.
A falha permite roubo de informação protegida pelas criptografias nos protocolos SSL/TLS, esta que é de comum uso para segurança na internet.
Os protocolos SSL/TLS fornecem comunicação segura e privacidade em conexões de internet, muito utilizados em aplicações web, email, mensageiros instantâneos (IM) e redes de comunicação privadas (VPNs).
Este bug permite que qualquer pessoa na internet seja capaz de ler uma parte da memória ram dos sistemas protegidos pelo OpenSSL. Assim comprometendo as chaves de identificação que os serviços utilizam para criptografar o tráfego, este que pode conter usuários, senhas e o conteúdo enviado pelo usuário. Isso permite que invasores que estão monitorando sua comunicação, sejam capazes de roubar suas informações que estariam criptografadas inicialmente.
Fonte: http://www.heartbleed.com.br/
Seguem algumas perguntas sobre a vulnerabilidade de sites:
Desde quando existe esta vulnerabilidade?
Desde o ano de 2011 onde vazam informações de sites que utilizam HTTPS ou OpenSSL.
Preciso trocar as minhas senha dos sites?
Não de livre e espontânea vontade. Troque a sua senha se o site lhe pedir para trocar a sua senha. Muito provável quando você ler este artigo o seu site já deve ter atualizado seus protocolos de seguranças.
O que eu posso fazer para não ser vitima desta vulnerabilidade?
Se você for um administrador de sites ou utiliza o protocolo de segurança OpenSSL você deverá atualizar a biblioteca destes protocolos. Se você não for um administrador de rede ou responsáveis de sites, não tem o que fazer. Somente troque a sua senha se algum site solicitar.
Posso confiar nos sites de que vão me pedir para trocar a minha senha pois foram “hakeados”?
Sim… se o site possui compromisso com seus usuários. Não… se o site não quiser se expor ou criar pânico. Estamos correndo este risco.
Quem descobriu esta falha?
O google foi uma das empresa que descobriram a falha.
Será que alguém esta utilizando minhas informações?
Se o site que você utiliza pediu para trocar a senha, pode ser que alguém esteja com suas credencias. Não tem como saber se suas informações foram capturadas sem sua permissão.
Esta falha afeta somente a sites?
Além de mais de 66% dos sites da internet, afeta a vulnerabilidade em conexões de envio e recebimento de e-mails, vpn, mensageiros e todas as conexões que utilizam TLS/SSL.
Já tem solução?
Atualizar o OpenSSl, gerar novas chaves privadas e novos certificados. No momento é possível identificar o ataque e informar o administrador de rede se o site dele esta sendo atacado.
Sou administrador, tem como descobrir se meus sites estão vulneráveis?
Sim acesse http://filippo.io/Heartbleed/ para testar seus sites.
VEJA MAIS INFORMAÇÕES ATUALIZADAS EM:
http://www.heartbleed.com.br
http://www.openssl.org/news/secadv_20140407.txt (publicado 7 de abril de 2014, ~17:30 UTC) http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities (publicado 7 de abril de 2014, ~18:00 UTC)
http://www.ubuntu.com/usn/usn-2165-1/
http://www.freshports.org/security/openssl/
https://blog.torproject.org/blog/openssl-bug-cve-2014-0160
https://rhn.redhat.com/errata/RHSA-2014-0376.html
http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
https://lists.fedoraproject.org/pipermail/announce/2014-April/003205.html
http://www.kb.cert.org/vuls/id/720951
https://www.cert.fi/en/reports/2014/vulnerability788210.html
https://www.cert.at/warnings/all/20140408.html
http://www.circl.lu/pub/tr-21/
ServiceHelp.com.br – Soluções em serviços e gestões de TI.
Você, cuida de seus negócios. Nós, cuidamos de sua tecnologia.

[newsletters_subscribe list=”1″]

Twitter
Visit Us
Follow Me
YouTube
LinkedIn
Share
Instagram
%d blogueiros gostam disto: