Heartbleed: uma assustadora falha de segurança que atinge diversos sites na internet
Nos últimos 15 anos, talvez um pouco mais, aprendemos a nos sentir bem seguros na internet. Aquele site certamente cuida muito bem do número do seu cartão de crédito – tão bem como qualquer loja física. Mas talvez seja melhor não ter tanta certeza; um bug por aí afeta uma das mais importantes medidas de segurança há anos, e dá a hackers acesso à chave do paraíso. Conheça o Heartbleed.
Aperto de mãos secreto
O coração das transações seguras na internet depende de um par de tecnologias chamada Secure Sockets Layer (SSL), e também do seu irmão mais novo Transport Layer Security (TLS). Para a maior parte das coisas, ambos são a mesma coisa. Você pode agradecer ao TLS/SSL pelo pequeno cadeado que aparece ao lado de endereços de sites seguros, e o https:// com o qual alguns endereços começam. Enquanto isso, nos bastidores, o TSL/SSL é o que comanda a troca de chaves criptográficas que permite a navegadores e servidores saberem se eles são quem dizem ser. Os protocolos são os guardiões do aperto de mão digital secreto que mantém a informação privada entre apenas você e o site que você quer acessar.
TSL/SSL é uma parte muito grande do que é a internet que conhecemos hoje, e felizmente ainda funciona muito bem. O que está causando a brecha perigosa é uma biblioteca de software chamada OpenSSL. É basicamente um pacote de código aberto que pessoas podem usar para conseguir a proteção de criptografia TSL/SSL com rapidez e facilidade. O problema? Conta com um buraco há anos. Um buraco chamado “Heartbleed”.
Observando de perto
O OpenSSL funciona muito bem em teoria, mas graças a um pequeno erro de códigos e uma falha resultada dele, pessoas maliciosas podem abusar de certas versões populares do OpenSSL para pegar fatias de dados privados que deveriam ser protegidos pelo código TSL/SSL que mantém eles seguros. Os hackers podem observar o aperto de mãos secreto de perto para ver como ele é feito.
Isso é um problema por alguns motivos. Em primeiro lugar, se os hackers observarem o aperto de mãos secreto que está sendo feito quando você faz login na sua conta de email do Yahoo, eles conseguem ver suas informações. Nome de usuário, senha, talvez até número de cartão de crédito, dependendo do que você está fazendo.
Mas isso é pouco perto do perigo real. Os hackers podem ver como o site faz para pegar os seus dados. Como o site se identifica para você para fazer isso. Eles podem, depois, usar a chave criptográfica para enganar pessoas fazendo elas pensarem que estão diante de um lugar confiável, enquanto ao fundo realizam um ataque para roubar dados, e eles também conseguem ver transações que já foram feitas. E, como eles estão com a chave em mãos, e não entraram pela janela, conseguem sair sem deixar rastros.
Então como isso me afeta?
Felizmente, não são todas as versões do OpenSSL que são vulneráveis a essa falha, e já existe uma versão corrigida disponível. Mas considerando o tempo que demorou para a falha ser descoberta, ainda é cedo para achar que estamos totalmente seguros novamente.
A lista de sites que usam o pacote defeituoso é longa, e, como o ataque não deixa rastros, é difícil saber se você foi vítima. Você precisa pensar que deve ter sido. E, se você é usuário de algum desses sites, pode considerar que suas credenciais foram roubadas:
- yahoo.com
- imgur.com
- flickr.com
- redtube.com
- kickass.to
- okcupid.com
- steamcommunity.com
- hidemyass.com
- wettransfer.com
- usmagazine.com
- 500px.com
E mesmo que esses sites já tenham corrigido o OpenSSL problemático, a questão está longe de ser solucionada. Os sites também precisam fazer o equivalente tecnológio a trocar os cadeados criptográficos. E, ainda assim, qualquer dado já roubado antes ainda estará vulnerável, e assim continuará para sempre.
Felizmente, não há nenhum gigante de comércio online envolvido nisso. Nada de Amazon, Google, Microsoft. Nem LastPass, nem 1Password. Mas ainda é uma brecha sem precedentes e provavelmente nunca saberemos quantos sites foram atacados através dela.
Enquanto isso, não há muito o que fazer. Evite os sites afetados e mude suas senhas depois que eles corrigirem a falha. Você não pode usar um chapéu de papel alumínio, mas às vezes a melhor solução é apenas fechar os olhos quando receber a próxima fatura do seu cartão de crédito.