Brecha afeta protocolo OpenSSL, usado em boa parte dos sites da internet

A falha de segurança Heartbleed, que afetou muitos sites da internet nos últimos dois anos, começou a ser corrigida nas últimas horas. Veja a seguir mais detalhes sobre a falha e saiba como proceder.

LEIA TAMBÉM:
Heartbleed foi "simples erro de programação", diz responsável pela falha

O que é o Heartbleed?

O Heartbleed é uma falha de segurança no protocolo OpenSSL, usado para em boa parte dos sites da internet. A brecha surgiu em uma atualização do OpenSSL de março de 2012, mas durante dois anos foi desconhecida. A falha foi descoberta apenas nessa semana, por pesquisadores do Google e da empresa de segurança Codenomicon.

Em tese, o Heartbleed permite que hackers possam acessar dados transmitidos pouco antes e durante o momento da invasão. Entre esses dados podem estar login e senha de usuários que estiverem usando o serviço atacado durante a ação dos hackers. Mas outras tecnologias usadas na comunicação de dados podem impedir o acesso aos dados. Tudo depende dos sistemas usados nos servidores e de sua configuração. 

É importante ressaltar que a falha só permite acesso a dados transmitidos poucos momentos antes ou durante a invasão dos hackers. Não é possível acessar dados armazenados, mas que não estejam sendo usados no momento da ação de hackers.

A boa notícia é que a correção tem sido rápida, o pesquisador Robert Graham, da empresa de segurança Errata, usou uma ferramenta de varredura em mais de 28 milhões de servidores para verificar se eles tinham a brecha Heartbleed. Segundo Graham, apenas 600 mil ainda eram vulneráveis, o que sugere que a correção do OpenSSL está sendo feita rapidamente. 

Antes de divulgar a brecha, os pesquisadores entraram em contato com o grupo que desenvolve o OpenSSL. Assim, uma correção para o problema foi preparada antes da divulgação da falha. Isso permitiu que a brecha fosse corrigida mais rapidamente.

O que posso fazer?

Como a falha ocorreu nos servidores das empresas de internet, não há muito o que o internauta possa fazer. Especialistas aconselham os internautas a mudarem senhas, mas para que essa medida funcione é necessário saber se as empresas que prestam os serviços já atualizaram seus sistemas e corrigiram a falha.

Você pode usar o serviço disponível no site http://filippo.io/Heartbleed/  para verificar se o site desejado já corrigiu a brecha. Em caso positivo, é recomendado alterar a senha usada. Caso o site ainda não tenha corrigido a brecha, o recomendando é aguardar até que isso ocorra para somente depois alterar os dados. Grandes empresas, como Google e Facebook, já corrigiram a falha.

A falha Heartbleed também afeta algumas versões do sistema Android. Se você tem esse sistema, é aconselhável baixar o aplicativo Heartbleed Detector , da Lookout, para saber se seu smartphone está vulnerável.

Há pouco o que fazer contra Heartbleed, dizem especialistas

Minhas informações foram obtidas devido à falha Heartbleed?

É difícil saber, mas, nos dois anos em que a falha esteve presente no OpenSSL, não houve notícia de nenhum grande vazamento de dados possibilitado por essa falha. Por isso, é possível que a exploração da falha tenha sido limitada a episódios isolados. Nos próximos dias, é provável que as empresas investiguem a fundo o assunto e publiquem mais detalhes.

Veja fotos dos data centers do Google pelo mundo


    Faça seus comentários sobre esta matéria mais abaixo.