Heartbleed ainda preocupa empresas

Heartbleed ainda preocupa empresas No início do mês passado, a Codenomicon, fornecedora de soluções e softwares de segurança, anunciou a descoberta da vulnerabilidade Heartbleed, um bug que permite roubo de informações mais sensíveis da popular biblioteca de criptografia OpenSSL. Essa vulnerabilidade, segundo Bob Booth, diretor regional de Vendas da Codenomicon para a América Latina, já expôs cerca de 66% da internet à possibilidade de ataque.

Até hoje, a falha está em evidência, pois a maioria das pessoas ainda estão suscetíveis a ataques diretos ou indiretos. “Considerando que o Heartbleed não deixa rastros, algumas empresas de rastreamento ainda não estão conscientes se foram ou não atacadas”, aponta Booth. Em entrevista à

Risk Report, o executivo fala como o laboratório descobriu a vulnerabilidade e o impacto dessa ameaça para as empresas e usuários.
Ris Report: Como a Codenomicon identificou o Heartbleed?
Bob Booth: O bug foi descoberto de maneira independente por uma equipe de engenheiros de segurança da Codenomicon que estava trabalhando no SafeGuard, um dos recursos de salvaguarda da suíte de ferramentas de teste de segurança Defensics. Ao descobrir a vulnerabilidade, nosso time relatou imediatamente à equipe OpenSSL e para o National Cyber Security Centre, na Finlândia, para a coordenação de vulnerabilidade.

O recurso SafeGuard testa automaticamente o sistema de destino contra deficiências que possam comprometer a integridade, a privacidade ou segurança. O SafeGuard é uma solução sistemática desenvolvida para expor falhas em certificados de criptografia, vazamentos de privacidade ou de autenticação, além de fraquezas de bypass que podem expor os usuários da internet ao ataque.

Nós testamos alguns dos nossos próprios serviços do ponto de vista do atacante. Atacamos a nós mesmos de fora, sem deixar rastros. Sem a utilização de qualquer informação privilegiada ou credenciais, conseguimos roubar nossas chaves secretas usadas para os nossos certificados X.509, nomes de usuário e senhas, mensagens instantâneas, e-mails e documentos críticos de negócios e de comunicação.

RR: Qual é o impacto dessa vulnerabilidade para as empresas?
BB: O bug Heartbleed é uma ameaça séria na biblioteca criptográfica de software. Essa falha permite que informações protegidas, sob condições normais, pela criptografia da SSL/TLS para proteger a internet, sejam roubadas. O bug Heartbleed permite que qualquer um na internet leia a memória de sistemas protegidos pelas versões vulneráveis no OpenSSL. Isso compromete as chaves secretas usadas para identificar os provedores de serviço e para criptografar o tráfego de dados, os nomes e as senhas dos usuários e o conteúdo.

Ou seja, traz enormes danos às empresas. A ameaça permite também que o invasor espione comunicações entre os colaboradores, roube dados diretamente dos serviços se passando pelos usuários. Esse acesso permite espionagem diretamente dos serviços web.

RR: A ameaça está sendo resolvida ou ela ainda está atrapalhando a vida dos usuários e empresas?
BB: O Heartbleed pode ser corrigido com a instalação de um patch modificado da biblioteca OpenSSL (v1.0.1g), desenvolvida especificamente para o bug. Além disso, empresas de software têm se movido rapidamente para implementar o patch de correção. O sistema deve rapidamente mediar a questão e eliminar os riscos futuros.

No entanto, considerando que a ameaça não deixa nenhum vestígio de atividade anormal, é impossível controlar todos os ataques reais. Os consumidores são aconselhados a seguir as orientações de provedores de serviços, uma vez que eles tenham atualizado seus sistemas para a nova versão, corrigida, do OpenSSL e suas chaves de criptografia. Em alguns casos, os prestadores de serviços podem exigir que os usuários finais alterarem sua senha especialmente de logins mais sensíveis, tais como instituições financeiras e sites de comércio eletrônico.

Enquanto a versão vulnerável do OpenSSL estiver em uso, ela pode ser atacada. Uma versão reparada do OpenSSL foi lançada e, agora, ela tem que ser implantada. Os fornecedores e distribuidores de sistemas operacionais de eletrodomésticos, de softwares independentes, precisam adotar a correção e notificar o seu usuários. 

Fonte: Risk Report