A Vulnerabilidade Heartbleed

A Vulnerabilidade A Vulnerabilidade HeartbleedHeartbleed é um bug severo na popular biblioteca de criptografia chamada OpenSSL. A falha permite roubo de informação protegida pelas criptografias nos protocolos SSL/TLS, esta que é de comum uso para segurança na internet. Os protocolos SSL/TLS fornecem comunicação segura e privacidade em conexões de internet, muito utilizados em aplicações web, email, mensageiros instantâneos (IM) e redes de comunicação privadas (VPNs).

Este bug permite que qualquer pessoa na internet seja capaz de ler uma parte da memória ram dos sistemas protegidos pelo OpenSSL. Assim comprometendo as chaves de identificação que os serviços utilizam para criptografar o tráfego, este que pode conter usuários, senhas e o conteúdo enviado pelo usuário. Isso permite que invasores que estão monitorando sua comunicação, sejam capazes de roubar suas informações que estariam criptografadas inicialmente.

Na prática, quais informações estão vulneráveis?

Nós testamos a falha em nossos serviços, nos comportando como invasores. Foi possível atacar sem deixar nenhum tipo de vestígio, mesmo fazendo um acesso por fora de nossos servidores. Fazendo um teste neutro sem utilizar informações privilegiadas ou credenciais de acesso, nós fomos capazes de obter as chaves de criptografia dos certificados X.509, assim como usuários e senhas, mensagens, emails e documentos da empresa.

Como parar a vulnerabilidade?

Enquanto as versões que apresentam a falha estiverem em uso, as aplicações poderão ser atacadas. Versão corrigida do OpenSSL foi liberada e agora deve ser aplicada. Fabricantes de sistema operacional, distribuidores, vendedores de solução, desenvolvedores independentes devem adotar a correção e notificar seus usuários. Provedores de serviços e seus usuários devem instalar a correção nos seus sistemas operacionais, serviços de rede e aplicações assim que suas versões forem liberadas.

 

Fonte

  • http://heartbleed.com (texto original, publicado 7 de abril de 2014, ~19:00 UTC)
  • Renato Mendes Figueiredo | Renatomefi IT Solutions
  • Samuel Mendes
  • Ajude-nos a traduzir ou acrescentar mais informações em https://github.com/renatomefidf/heartbleed