Conheça o Heartbleed, falha de segurança que está aterrorizando a internet

O OpenSSL é hoje um dos métodos de criptografia mais usados do mundo, presente em boa parte dos serviços online, e sua segurança seria o principal ponto para que isso aconteça. Mas todos sabemos que nada, nunca, é totalmente livre de falhas e é justamente isso que está assolando a internet no que pode ser considerada uma das brechas de segurança mais graves de todos os tempos. A coisa fica ainda pior quando se imagina que o trabalho é limpo e não deixa rastros. Ou seja, os administradores dos servidores não são capazes de saber quando a infraestrutura está comprometida.

Trata-se do Heartbleed, um protocolo que é usado pelo sistema para se certificar de que a conexão ainda está ativa, mas que vem sendo utilizado por hackers há mais de dois anos para obter acesso a servidores confidenciais e, claro, roubar dados. A primeira vítima foi o Yahoo!, que nesta terça-feira (08) teve sua base invadida e os dados de seus usuários potencialmente roubados.

O funcionamento de tudo parece simples e é justamente isso que torna a falha ainda mais grave. De código aberto, o OpenSSL é o método usado pelos serviços online para transmitir dados do servidor para o usuário e vice-versa de maneira confidencial e segura. A criptografia é aplicada de forma individual e, em teoria, apenas os envolvidos na comunicação deveriam ter acesso às chaves que revelam o conteúdo. Acessado por outros, ele se pareceria apenas com um monte de códigos aleatórios e indecifráveis.

É por esse método que se transmitem coisas como logins e senhas na hora de acessar uma rede social, dados de cartão de crédito em compras online ou conversas por meio de mensageiros instantâneos. Existem também mecanismos para garantir que a comunicação entre as partes continua ativa, caso contrário, ela é interrompida. E é justamente aí que se encontra a raiz do problema.

Periodicamente, os sistemas com OpenSSL enviam um pequeno pacote de dados chamado “heartbeat”, que serve apenas para obter uma resposta do receptor e garantir que tudo está funcionando normalmente. O problema da falha de segurança, convenientemente chamada de “sangramento no coração”, é que esse pequeno conjunto de informações pode ser modificado e causar comportamento inadequado no servidor, fazendo com que ele envie de volta uma série de informações confidenciais.

Pior do que isso, o Heartbleed permite que as próprias chaves de encriptação sejam roubadas do servidor. Sendo assim, o próprio meio que mantém toda a comunicação segura acaba caindo em mãos erradas e, caso a troca de dados seja interceptada, é possível conseguir facilmente todas as informações transmitidas. Um grave risco de segurança, principalmente em um mundo lotado de redes sem fio e conexões inseguras.

Trabalhando com o problema

A falha é bastante grave e, na opinião da firma de segurança Codenomicon, é bem possível que a maioria dos usuários de internet tenham sido afetados direta ou indiretamente pelo problema. Em uma pesquisa realizada por eles e publicada pelo site Business Insider, 959 milhões de sites espalhados pela rede foram avaliados e 66% deles faziam uso do OpenSSL. Ou seja, a maioria deles estava suscetível à falha descoberta nesta semana.

O lado bom disso tudo é que a descoberta do Heartbleed foi informada para os responsáveis pelo projeto duas semanas antes da publicação dos achados. O problema, localizado pelo pesquisador de segurança do Google, Neel Mehta, já teria sido resolvido por boa parte das empresas que utilizam o protocolo, enquanto outras ainda se encontram no processo de solucionar as falhas.

Não dá para saber ao certo a extensão dos problemas nem se sua conta de usuário foi afetada. É possível, porém, usar uma ferramenta online para verificar se seus sites preferidos estão sendo afetados pelo problema. O Canaltech lançou nomes conhecidos no Heartbleeed Test, como Facebook, Gmail e Twitter, além de sites de bancos nacionais. Com exceção do Outlook, nenhum deles apresentou falhas, enquanto outros recusaram a conexão com o teste.

As orientações para maior segurança, porém, continuam. Caso você se sinta inseguro, deve modificar suas senhas imediatamente, especialmente para serviços que lidam com cartão de crédito ou que realizam operações bancárias. Qualquer desconfiança, por menor que seja, deve ser atendida.

Já o Yahoo!, principal envolvido na revelação da falha de segurança, já informou a seus usuários que está tomando medidas em todos os seus serviços para garantir que o Heartbleed não seja mais uma ameaça. Seu serviço de e-mail, assim como o site, a busca, as páginas de notícias e serviços como o Flickr e o Tumblr já estariam protegidos do problema.