Novo erro no OpenSSL pode ser mais perigoso do que o Heartbleed

Novo erro no OpenSSL pode ser mais perigoso do que o HeartbleedRecentemente, uma vulnerabilidade chamada Heartbleed foi encontrada no sistema de encriptação OpenSSL e deixou usuários dos mais diversos serviços online com a pulga atrás da orelha. Mas se você achava que a resolução daquele problema ia permitir uma navegação mais tranquila, estava enganado. Pelo menos é o que Tatsuya Hayashi — um especialista em segurança de dados — contou ao The Guardian.

Ele encontrou uma nova vulnerabilidade no OpenSSL e afirma que ela pode ser mais perigosa do que a Heartbleed de meses atrás. Isso acontece justamente pelas permissões que a falha pode dar aos usuários mal intencionados. Segundo Hayashi, o novo bug pode permitir que hackers tenham acesso direto às comunicações de outros usuários — o que pode garantir bastante facilidade para espionagens, por exemplo.

O mais curioso é que essa vulnerabilidade já existe no OpenSSL há algum tempo. Hayashi afirma que ela faz parte de um código presente no sistema desde 1998, o que significa que já são 16 anos de bug sem que voluntários, programadores e outros membros da comunidade opensource percebessem o probema. Mas como isso tudo pode interferir em nossa vida, exatamente?

As permissões do novo bug

Hayashi disse ao The Guardian que os problemas acarretados pela vulnerabilidade são bem complexos. Os hackers que estiverem nas mesmas redes que a vítima — como em uma conexão Wi-FI pública — podem ter acesso aos sistemas alheios por meio de chaves de encriptação fracas, que podem atingir computadores e também servidores online. Depois de forçar essas chaves, tudo fica mais fácil.

Controlando um sistema verificado pelo computador atingido, o hacker pode interceptar dados e até mesmo modificar o que está sendo trocado de informações — sendo um típico caso que pode ser chamado de “Man-in-the-Middle Attack”. Todos os sistemas que utilizam o OpenSSL 1.0.1 ou o OpenSSL 1.0.2 beta estão sujeitos aos ataques. É válido dizer que até o momento não houve nenhum caso de ataque, mas a sugestão dos especialistas é de que todos devem atualizar seus equipamentos.

Fonte: TecMundo