Falha Heartbleed pode nunca ser resolvida completamente

Por Redação | 10 de Abril de 2014 às 14h13

Se existisse um prêmio para maior falha de segurança do ano, pelo menos por enquanto, o Heartbleed seria o principal concorrente. O bug que afeta sistemas com OpenSSL apavorou a internet quando foi revelada nesta segunda-feira (07) e, desde então, tem sido foco de atenção por parte de usuários e especialistas. As soluções, no entanto, parecem estar longe de serem definitivas.

Por mais que grandes sites como Google, Twitter, Facebook e instituições bancárias já tenham resolvido o problema com a atualização de seus sistemas, um relatório indica que o Heartbleed pode nunca ser extinto totalmente. De acordo com estudo do MIT, os culpados por isso são os dispositivos domésticos conectados, como roteadores, set-top boxes e aparelhos do nicho da Internet das Coisas.

Com o tempo e a chegada de novos equipamentos ao mercado, a tendência é que o problema se torne cada vez menos comum. Mas, seja como for, aparelhos já em operação nos dias de hoje podem conter a brecha de segurança e, como não costumam ser atualizados por seus fabricantes e usuários, podem permanecer com portas abertas para hackers por anos e anos.

A situação, conforme o relatório publicado pelo site Business Insider, se torna ainda mais grave quando é levado em consideração que muitos desses dispositivos podem estar operando dentro de empresas ou grandes organizações. Assim, dados sigilosos e estratégicos podem acabar sendo interceptados nas redes por criminosos virtuais que saibam como fazer isso.

Para explicar de maneira clara o alcance da falha, Jonthan Sander, um dos pesquisadores que participaram do estudo do MIT, fez a seguinte analogia: “é como se um motor com problemas fosse usado em todas as marcas e modelos de carros, motos e carrinhos de golfe”. Agora, cabe a cada fabricante solucionar as falhas de seus próprios dispositivos e garantir um uso seguro para seus usuários.

O Heartbleed estaria presente há anos em sistemas que usam o OpenSSL e afeta a maneira como servidores remotos se comunicam com as máquinas dos usuários. Periodicamente, um pacote de dados chamado “heartbeat” é enviado para garantir que a conexão continua ativa, e é justamente esse aspecto que pode ser modificado para a obtenção de chaves de criptografia e, consequentemente, dos dados que trafegam pela rede.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.