Propaganda
Se você é uma daquelas pessoas que sempre acreditou que a criptografia de código aberto é a maneira mais segura de se comunicar on-line, terá uma surpresa.
Nesta semana, Neel Mehta, membro da equipe de segurança do Google, informou a equipe de desenvolvimento em OpenSSL que existe uma exploração com o recurso de "pulsação" do OpenSSL. O Google descobriu o bug ao trabalhar com a empresa de segurança Codenomicon para tentar invadir seus próprios servidores. Após a notificação do Google, em 7 de abril, a equipe do OpenSSL lançou seu próprio Aviso de segurança junto com um patch de emergência para o bug.
O bug já recebeu o apelido de "Heartbleed" por analistas de segurança Bruce Schneier, especialista em segurança em senhas, privacidade e confiançaSaiba mais sobre segurança e privacidade em nossa entrevista com o especialista em segurança Bruce Schneier. consulte Mais informação , porque utiliza o recurso de "pulsação" do OpenSSL para induzir um sistema executando o OpenSSL a revelar informações confidenciais que podem ser armazenadas na memória do sistema. Embora muitas das informações armazenadas na memória possam não ter muito valor para os hackers, a gema capturaria as mesmas chaves que o sistema usa para
criptografar comunicações 5 maneiras de criptografar seus arquivos com segurança na nuvemSeus arquivos podem ser criptografados em trânsito e nos servidores do provedor de nuvem, mas a empresa de armazenamento em nuvem pode descriptografá-los - e qualquer pessoa que obtém acesso à sua conta pode visualizar os arquivos. Do lado do cliente ... consulte Mais informação .Depois que as chaves são obtidas, os hackers podem descriptografar as comunicações e capturar informações confidenciais como senhas, números de cartão de crédito e muito mais. O único requisito para obter essas chaves confidenciais é consumir os dados criptografados do servidor por tempo suficiente para capturar as chaves. O ataque é indetectável e não rastreável.
O bug do OpenSSL Heartbeat
As ramificações dessa falha de segurança são enormes. O OpenSSL foi criado pela primeira vez em dezembro de 2011 e rapidamente se tornou uma biblioteca criptográfica usada por empresas e organizações em toda a Internet para criptografar informações confidenciais e comunicações. É a criptografia utilizada pelo servidor da web Apache, na qual quase a metade de todos os sites na Internet é construída.
De acordo com a equipe do OpenSSL, a falha de segurança vem de uma falha de software.
“Uma verificação de limites ausentes no tratamento da extensão de pulsação TLS pode ser usada para revelar até 64k de memória para um cliente ou servidor conectado. Somente as versões 1.0.1 e 1.0.2-beta do OpenSSL são afetadas, incluindo 1.0.1f e 1.0.2-beta1. ”
Sem deixar rastros nos logs do servidor, os hackers poderiam explorar essa fraqueza para obter dados criptografados de algumas das servidores mais confidenciais da Internet, como servidores web de bancos, servidores de empresas de cartão de crédito, sites de pagamento de contas e Mais.
A probabilidade de hackers obterem as chaves secretas permanece em dúvida, porque Adam Langley, especialista em segurança do Google, postou no seu fluxo no Twitter que seu próprio teste não revelou nada tão sensível quanto as chaves de criptografia secretas.
Em seu Aviso de Segurança, em 7 de abril, a equipe do OpenSSL recomendou uma atualização imediata e uma correção alternativa para os administradores de servidor que não podem atualizar.
“Os usuários afetados devem atualizar para o OpenSSL 1.0.1g. Usuários incapazes de atualizar imediatamente podem alternativamente recompilar o OpenSSL com -DOPENSSL_NO_HEARTBEATS. 1.0.2 será corrigido em 1.0.2-beta2. ”
Devido à proliferação do OpenSSL na Internet nos últimos dois anos, a probabilidade de o anúncio do Google levar a ataques iminentes é bastante alta. No entanto, o impacto desses ataques pode ser mitigado pelo maior número de administradores de servidores e gerentes de segurança, atualizando os sistemas de suas empresas para o OpenSSL 1.0.1g o mais rápido possível.
Fonte: OpenSSL
Ryan é bacharel em Engenharia Elétrica. Ele trabalhou 13 anos em engenharia de automação, 5 anos em TI e agora é engenheiro de aplicativos. Um ex-editor-chefe do MakeUseOf, ele falou em conferências nacionais sobre visualização de dados e foi destaque na TV e rádio nacional.