A simples medida de segurança para combater a assustadora falha Heartbleed
Ontem, todos descobrimos uma grave falha, apelidada de “Heartbleed”, que ameaça gravemente a segurança de alguns sites HTTPS desde 2011. Segundo estimativas, ela afeta 2 em cada 3 servidores web na internet.
O Heartbleed não é um bug no HTTPS em si, e sim um simples erro de programação no OpenSSL, um software bastante utilizado. Ele permite a um hacker se conectar a um servidor HTTPS para acessar até 64KB de espaço privado de memória.
Com um só ataque, ele pode facilmente fazer o servidor vazar cookies, e-mails e senhas. Mas, ao realizar o ataque repetidamente, o hacker pode obter chaves de criptografia inteiras, como as chaves SSL privadas utilizadas para proteger o tráfego HTTPS.
Se um invasor tiver acesso à chave privada SSL de um site, ele pode rodar uma versão falsa do site e/ou roubar qualquer informação que os usuários enviam – incluindo senhas, mensagens privadas e números de cartão de crédito. Nem os usuários, nem os proprietários dos sites podem detectar este ataque enquanto ele acontece.
É importante ressaltar que alguns serviços importantes – usados todo dia por milhões de pessoas – foram afetados pelo Heartbleed, como o Yahoo Mail e o Steam. Até mesmo o Tor, que permite navegar de forma anônima, pode ter sido comprometido.
Felizmente, há uma importante solução paliativa que protege alguns usuários deste pesadelo de segurança: o PFS, sigla em inglês para “sigilo persistente perfeito”. Se um servidor foi configurado com suporte a PFS, não há como usar sua chave privada para descriptografar comunicações passadas. Em outras palavras, se alguém vazar ou roubar uma cópia da chave privada SSL hoje, todo o tráfego enviado pelo site no passado estará seguro.
Infelizmente, a maioria dos sites HTTPS na internet ainda não suporta PFS, então boa parte das suas comunicações passadas com esses servidores está potencialmente vulnerável. Por exemplo, se alguém interceptar suas mensagens criptografadas por HTTPS no Yahoo Mail, e depois roubar uma cópia da chave privada do Yahoo usando o Heartbleed, essa pessoa poderia usá-la para descriptografar os e-mails antigos e futuros.
Neste momento, o PFS é mais crucial do que nunca. Agora que os detalhes do Heartbleed são públicos, qualquer pessoa pode usá-lo contra os servidores que ainda não corrigiram o bug do OpenSSL. Pode levar semanas ou até meses para os desenvolvedores implementarem novos certificados SSL, e mesmo assim, sistemas de revogação de certificados não são confiáveis nem adequados para a web moderna. Enquanto isso, todos os dados que você envia para os servidores afetados (e que não usam PFS) continuam vulneráveis.
Após a descoberta do Heartbleed, está claro que o PFS é necessário para se proteger contra ameaças: seja um bug de software existente ou futuro; uma pessoa que rouba a chave SSL; uma demanda secreta do governo para fazer vigilância; ou uma nova descoberta de criptografia. A beleza do PFS é manter a privacidade do passado sem depender do futuro.
A Qualys SSL Labs tem uma excelente ferramenta online para verificar se um site está vulnerável a ataques Heartbleed. A seção “Protocol Details” dos resultados também mostra o suporte a PFS.
Felizmente, a extensão HTTPS Everywhere para Firefox e Chrome não é afetada pelo Heartbleed. Isso porque, além de oferecer downloads via SSL/TLS, ela é atualizada com uma chave offline para garantir a autenticidade, mesmo se a segurança no servidor estiver comprometida.
Este post apareceu originalmente na Electronic Frontier Foundation, e é republicado aqui com alterações sob licença Creative Commons.