Falha Heartbleed pode ser menos perigosa do que se imaginava

Por Redação | 11 de Abril de 2014 às 15h26

Uma das maiores preocupações a respeito do tenebroso bug Heartbleed era se ele é realmente capaz de dar acesso às chaves privadas de um certificado SSL. Esta chave é importantíssima para que uma conexão segura e criptografada seja estabelecida.

Heartbleed

Caso um criminoso tenha acesso ao arquivo, ele pode usá-lo e se passar pelo site legítimo mesmo após o servidor ter corrigido a falha na biblioteca OpenSSL. Com isso, seria possível enganar usuários e obter informações sensíveis por tempo indeterminado.

Mas hoje a CloudFlare, uma empresa especializada em distribuição de conteúdo, afirmou que o bug Heartbleed pode não dar acesso às chaves privadas. Após duas semanas testando, a empresa não conseguiu acessar o arquivo se aproveitando do Heartbleed.

"Se for possível, é algo no mínimo dificílimo", escreveu o pesquisador Nick Sullivan no blog da empresa. "Temos motivos para acreditar que usar o Heartbleed desta forma é algo impossível", completou.

Se for mesmo verdade, o Heartbleed pode ser bem menos perigoso do que se acreditava inicialmente, permitindo que muitos administradores de servidores respirem um pouco mais aliviados. Sullivan, porém, destaca que algumas chaves privadas foram reveladas na primeira requisição para servidores Apache.

Mas ele associou isso ao reinício do servidor, o que limita drasticamente a exposição a fatores externos. Para ajudar a saber se um site está vulnerável ao Heartbleed, diversos sites surgiram para realizar a verificação, como o Filippo e o Possible.

"O Heartbleed ainda é extremamente perigoso, mas alguns dos maiores medos, como o uso da falha por organizações como a NSA para obter chaves privadas, se tornaram bastante improváveis de acordo com nossos testes", disse Matthew Prince, presidente da CloudFlare.

A Errata Security também chegou a uma conclusão similar essa semana, mas logo voltou atrás ao ser criticada pela comunidade de pesquisadores de segurança, que afirmaram que um falso negativo poderia causar uma falsa sensação de segurança.

Porém, após duas semanas de testes, o CloudFlare acredita que a probabilidade de usar o Heartbleed para obter chaves de segurança é extremamente remota. Tanto é que a empresa lançou um desafio disponibilizando um site intencionalmente vulnerável à falha.

Assim, hackers de todo o mundo poderão tentar usar o Heartbleed para puxar o arquivo da chave privada. Se a empresa estiver errada, a gafe será revelada rápida e publicamente. Caso esteja certa, vai significar que os danos do Heartbleed são bem mais limitados do que se esperava.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.