Como a severa falha Heartbleed afeta toda a Web

heartbleed

A Vulnerabilidade Heartbleed – Entenda e mantenha-se atualizado

Tradução livre e adaptada do heartbleed.com

A Vulnerabilidade Heartbleed é um bug severo na popular biblioteca de criptografia chamada OpenSSL. A falha permite roubo de informação protegida pelas criptografias nos protocolos SSL/TLS, esta que é de comum uso para segurança na internet. Os protocolos SSL/TLS fornecem comunicação segura e privacidade em conexões de internet, muito utilizados em aplicações web, email, mensageiros instantâneos (IM) e redes de comunicação privadas (VPNs).

Este bug permite que qualquer pessoa na internet seja capaz de ler uma parte da memória ram dos sistemas protegidos pelo OpenSSL. Assim comprometendo as chaves de identificação que os serviços utilizam para criptografar o tráfego, este que pode conter usuários, senhas e o conteúdo enviado pelo usuário. Isso permite que invasores que estão monitorando sua comunicação, sejam capazes de roubar suas informações que estariam criptografadas inicialmente.

Na prática, quais informações estão vulneráveis?

Nós testamos a falha em nossos serviços, nos comportando como invasores. Foi possível atacar sem deixar nenhum tipo de vestígio, mesmo fazendo um acesso por fora de nossos servidores. Fazendo um teste neutro sem utilizar informações privilegiadas ou credenciais de acesso, nós fomos capazes de obter as chaves de criptografia dos certificados X.509, assim como usuários e senhas, mensagens, emails e documentos da empresa.

Como parar a vulnerabilidade?

Enquanto as versões que apresentam a falha estiverem em uso, as aplicações poderão ser atacadas. Versão corrigida do OpenSSL foi liberada e agora deve ser aplicada. Fabricantes de sistema operacional, distribuidores, vendedores de solução, desenvolvedores independentes devem adotar a correção e notificar seus usuários. Provedores de serviços e seus usuários devem instalar a correção nos seus sistemas operacionais, serviços de rede e aplicações assim que suas versões forem liberadas.

Q&A – Perguntas frequentes

Como posso identificar sites vulneráveis?

Existe uma lista com os principais sites do mundo que estão sofrendo verificações periódicas, você pode ver esta lista aqui: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

Também é possível testar um site específico de sua preferência por uma ferramenta chamada Heartbleed Test

Além disso você pode instalar uma extensão para o Google Chrome que irá te avisar se o site navegado está vulnerável: ChromeBleed

Por quê esta falha é chamada de Heartbleed?

A falha está na implementação TLS/DTLS proveniente da extensão heartbeat (RFC6520) do OpenSSL. Quando explorada ela vaza informações da memória do servidor para o cliente, assim como do cliente para o servidor. Pelo fato do vazamento, bleed em inglês e o nome da extensão se chamar heartbeat, a falha foi apelidada de Heartbleed.

O que torna a falha Heartbleed única?

A falha está presente apenas em um software, este que já está corrigido nas versões mais novas, porém esta falha permitiu que uma enorme quantidade de chaves privadas de criptografia fossem expostas a internet, considerando esta exposição e a facilidade de ataque e exploração da falha de forma imperceptível, tornou esta falha extremamente séria e perigosa.

O quão a falha está difundida?

Software mais notável usando OpenSSL são os servidores web de código aberto como Apache e nginx. A combinação desses dois servidores detém aproximadamente 66% dos sites ativos na internet, veja Netcraft’s April 2014 Web Server Survey. Além disso o OpenSSL é utilizado para proteger por exemplo: servidores de e-mail (protocolos SMTP, POP e IMAP), servidores de bate-papo (protocolo XMPP ), rede virtual privada (SSL VPNs), soluções de rede e uma ampla variedade de aplicações ao lado do cliente. Felizmente grandes sites comerciais estão salvos pela escolha conservadora de seus equipamentos de terminais SSL/TLS e software. Ironicamente serviços menores e mais progressivos ou aqueles que atualizaram para a melhor e última criptação serão os mais afetados. Além disso o OpenSSL é muito popular em aplicações do lado do cliente e de alguma forma popular em soluções de rede que são mais atraídos em se atualizar.

Eu estou afetado pela vulnerabilidade?

É provável que você seja afetado direto ou indiretamente. A OpenSSL é a mais popular biblioteca de criptografica e implementação TLS (Segurança da camada de transporte) de código aberto utilizada em encriptação de tráfico na internet. Sua rede social, o site da sua empresa, os sites comerciais, sites que você utiliza para instalar softwares ou até os sites que seu governo utiliza estão vulneráveis com o OpenSSL. Muitos serviços online usam TLS para identificar eles mesmo para você e para proteger sua privacidade e suas transações. Você pode ter soluções em rede com logins protegidos pela implementação do TLS com a vulnerabilidade. Além disso você pode ter aplicações no seu computador que poderiam expor seus dados se você estiver conectado a serviços comprometidos.

Já houveram muitos ataques?

Nós não sabemos. A comunidade de segurança deve implantar TLS/DTLS honeypots que capturam invasores e alertam sobre a tentativa de invasão.

É possível detectar se alguém aproveitou a falha e usou contra mim?

O abuso desta falha não deixa qualquer tipo de vestígio ou informações incomuns nos logs.

Quem encontrou a vulnerabilidade Heartbleed?

Esta falha foi uma descoberta independente feita pelo time de engenheiros de segurança (Riku, Antti and Matti) no Codenomicon e Neel Mehta do Google Security, o qual foi o primeiro a reportar isso ao time da OpenSSL. O time da Codenomicon encontrou a vulnerabilidade heartbleed enquanto melhoravam o SafeGuard, recurso do Codenomicon’s Defensics, ferramenta de testes de segurança que reportou essa falha ao NCSC-FI para a coordenação de vulnerabilidade e reportou ao time OpenSSL.

Leia mais em: Heartbleed