Propaganda

A vulnerabilidade do Heartbleed SSL está ganhando manchetes em todo o mundo - e as declarações incorretas na imprensa e on-line estão causando confusão. Como você pode ficar seguro e garantir que seus dados pessoais não vazaram?

O que é Heartbleed? Bem, não é um vírus

Você provavelmente já ouviu o Heartbleed descrito como um vírus. Este não é o caso: na verdade, é uma fraqueza, uma vulnerabilidade em servidores executando o OpenSSL. Esta é a implementação de código aberto do SSL e TLS, os protocolos usados ​​para conexões seguras - aqueles que começam https: // ao invés do habitual http: //.

muo-heartbleed-help-https

Essa vulnerabilidade - mais comumente chamada de bug - cria essencialmente um buraco no qual os hackers podem burlar a criptografia. Confirmado em 7 de abrilº 2014, ocorre em todas as versões do OpenSSL, exceto na 1.0.1g. A ameaça é limitada aos sites que executam o OpenSSL - outras bibliotecas SSL e TLS estão disponíveis, mas o OpenSSL é amplamente empregado em servidores na web. Existe uma correção para o problema, mas isso pode não ter sido aplicado aos sites que você visita regularmente para atividades seguras. Podem ser compras on-line, jogos de azar e outros sites com temas para adultos ou até redes sociais.

Como resultado, todo tipo de informação pessoal e financeira pode estar em risco.

Para ter uma idéia de quão grande é o negócio Heartbleed (e por que é chamado), Ryan recentemente colocou esse bug na Internet em contexto Bug maciço no OpenSSL coloca grande parte da Internet em riscoSe você é uma daquelas pessoas que sempre acreditou que a criptografia de código aberto é a maneira mais segura de se comunicar on-line, você ficará surpreso. consulte Mais informação . Devemos enfatizar que o Heartbleed é uma vulnerabilidade baseada na Internet e, portanto, afeta os usuários de todos os sistemas operacionais, desktop e dispositivos móveis.

Então, é um grande negócio - mas o que você pode fazer sobre isso?

Ignore o hype e não entre em pânico

Bem, há uma coisa que você não deve fazer: entrar em pânico. Muito já foi escrito na Internet e na mídia impressa nos últimos dias e muito disso é hype, pornografia condenatória que colocaria os efeitos da famosa transmissão de rádio Guerra dos Mundos de Orson Welles para vergonha.

muo-heartbleed-help-dontpanic

Muito do que você já viu terá sido remendado de press releases e outros relatórios de jornalistas não familiarizados com a terminologia e com uma falta de entendimento claro riscos.

Por exemplo, você pode saber que deve alterar suas senhas imediatamente (não é inteiramente verdade, devemos adicionar - veja abaixo). Mas você sabia sobre o risco de phishing?

O risco de phishing

Serviços da web, bancos e redes sociais responsáveis ​​que foram afetados pelo Heartbleed oferecem a você uma e-mail para informar que eles corrigiram a vulnerabilidade e recomendar que você altere sua senha.

Naturalmente, você deve fazer isso - mas lembre-se de que essa situação apresenta uma oportunidade ideal para os phishers começarem a enviar e-mails falsos, completos com links incorporados para a página "alterar senha" - na realidade, um site projetado para coletar detalhes.

muo-heartbleed-help-pinterest

Nenhum dos serviços que você usa deve recomendar que você clique em um link de alteração de senha em um email enviado por email não solicitado. Infelizmente, o IFTTT fez, assim como o Pinterest (acima). Essa é uma prática ruim e dá a impressão de que esse link é aceitável e deve ser clicado.

A menos que você tenha solicitado o email, esse link não deve ser clicado.

Os emails de redefinição de senha do Heartbleed não devem incluir links de login. Se o fizerem, exclua-os e visite o site digitando o endereço no seu navegador (ou selecionando-o no histórico ou nos favoritos, dependendo de como você rola com esse recurso). A partir daí, redefina sua senha ...

... mas apenas se você realmente precisar nesta fase.

Infelizmente, a necessidade de empresas parecerem estar fazendo algo sobre ameaças como o Heartbleed pode ser tão prejudicial quanto a própria ameaça.

Então, você deve alterar suas senhas?

Uma das principais dicas de circulação da Heartbleed é que você deve alterar suas senhas imediatamente.

Todos eles.

Infelizmente, este é um exemplo da desinformação a que me referi na introdução. Digamos que você use a mesma senha para vários sites. Antes de tudo, essa é uma prática ruim e você deve reconsiderá-la no futuro (para não mencionar crie senhas mais seguras Senhas seguras: gere uma senha diferente para cada site consulte Mais informação ).

muo-heartbleed-help-password

Segundo, se você alterar indiscriminadamente todas as suas senhas, é provável que você o faça em um site que não está sendo executado em um servidor corrigido - no qual o Heartbleed ainda é um vulnerabilidade.

Inadvertidamente, você potencialmente compartilhou sua senha antiga e sua nova senha com aqueles que são capazes de explorar a vulnerabilidade pelas operações de fraude e spam de identidade.

Como tal, você só deve alterar sua senha site a site quando souber que elas foram corrigidas - ou seja, a correção foi aplicada e a vulnerabilidade encerrada.

Verifique quais sites foram corrigidos

Comece verificando quais sites estão livres da vulnerabilidade Heartbleed.

Existem duas maneiras de fazer isso. Primeiro, vá para Mashable, onde um pode ser encontrada uma lista atualizada de sites de grandes nomes afetados pelo Heartbleed, juntamente com conselhos sobre se você deve alterar sua senha ou não.

Para sites menores, esta excelente ferramenta de pesquisa informará instantaneamente se o site foi ou não corrigido.

Uma alternativa é a Chromebleed Checker extensão para o Google Chrome.

Se os sites que você usa foram afetados e ainda não corrigiram a vulnerabilidade do Heartbleed, evite fazer login até que a situação seja resolvida.

Conclusão: é um jogo de espera

Lidar com a tempestade Heartbleed não deve ser um problema para a maioria. Siga o curso recomendado acima e não altere senhas até que você seja instruído pelos sites e serviços correspondentes.

muo-heartbleed-help-heart

Você também pode usar novas ferramentas para verificar se o site que você planeja visitar (ou mesmo o que você executa) foi afetado e se uma correção foi aplicada.

Mais importante, mantenha-se seguro e seja paciente. O potencial do Heartbleed de causar grandes problemas ainda existe - evite sites que exijam correções até que você saiba que agora eles estão seguros.

Créditos da imagem: Coração de bala via Shutterstock, HTTPS via Shutterstock, Não entre em pânico via Shutterstock, Senha via Shutterstock

Christian Cawley é editor adjunto de segurança, Linux, bricolage, programação e tecnologia explicada. Ele também produz o Podcast Realmente Útil e tem uma vasta experiência em suporte a desktops e softwares. Um colaborador da revista Linux Format, Christian é um funileiro de Raspberry Pi, amante de Lego e fã de jogos retro.