Hackers vencem desafio da CloudFlare e conseguem roubar dados via Heartbleed
Por Cadu Silva | 14 de Abril de 2014 às 17h47
Como visto anteriormente, a CloudFlare, empresa especializada em distribuição de conteúdo, acreditava que era impossível usar o bug Heartbleed para ter acesso às chaves privadas de um certificado SSL. Ela acreditava tanto nisso que lançou um desafio em que um site propositalmente vulnerável foi posto à disposição de hackers do mundo inteiro que tentaram ter acesso à chave privada se aproveitando da falha na biblioteca OpenSSL.
O resultado do desafio mostrou que a empresa estava errada. Segundo informações do ZDNet e do blog oficial do CloudFlare, ao menos quatro pessoas tiveram sucesso em obter as chaves privadas do site de teste, provando que o Heartbleed é realmente tão perigoso como se acreditava.
Ao ter acesso a estas chaves, criminosos podem se passar pelo site legítimo ou ser capazes de desfazer a criptografia que protege as informações. Os primeiros vencedores do desafio foram Fedor Indutny e Illkka Mattila.
Indutny é engenheiro de software e foi capaz de ter acesso à chave após enviar 2,5 milhões de requisições ao site de testes durante um dia inteiro. Mattila trabalha no Centro Nacional de Cibersegurança da Finlândia e venceu o desafio após pouco mais de 100 mil requisições.
Em seguida, Rubin Xu, um estudante de doutorado em segurança da Universidade de Cambridge, foi o terceiro a vencer o desafio. Por fim, Ben Murphy, um pesquisador de segurança, foi o último a enviar seu relatório indicando o sucesso na obtenção da chave.
Segundo o CloudFlare, todos os vencedores usaram apenas o bug Heartbleed para obter o conteúdo do arquivo com a chave, e um reinício do servidor pode ter colaborado com o sucesso deles. Sendo assim, a recomendação é que todos os administradores de servidores atualizem seus sistemas imediatamente.
Além de atualizar o OpenSSL para a versão 1.0.1g, também devem revogar certificados SSL em uso e trocar as chaves privadas por meio de uma nova emissão do certificado. Pedir que os usuários alterem suas senhas também é extremamente importante nesse momento.