Protocolos SSL e TLS
A vulnerabilidade de segurança acontece em uma das implementações mais usadas do protocolo SSL (Secure Sockets Layer) e do protocolo TLS (Transport Layer Security). Como muitos sabem, esses são protocolos de segurança bastante utilizados em inúmeros sites, com o intuito de criptografar o tráfego entre dois computadores. Ou seja, manter a conexão segura. A falha, descoberta pela empresa finlandesa Codenomicon em conjunto com Neel Mehta, um pesquisador da equipe de segurança da Google, atingiu servidores de grandes empresas como foi o caso da Juniper, Cisco, Yahoo, Tumblr, Amazon e Netflix.
Falha Possibilita Acesso a Informações Confidenciais
O Heartbleed, ou OpenSSL TLS "heartbeat" Extension Information Disclosure Vulnerability (CVE-2014-0160), afeta um componente do OpenSSL conhecido como "heartbeat". Dessa forma, estima-se que a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e publicamente anunciada na semana passada. Importante lembrar que a falha Heartbleed afeta somente o OpenSSL e não o protocolo de segurança SSL em si. Quando explorada, a vulnerabilidade de programação do OpenSSL permite que atacantes externos leiam os conteúdos da memória dos servidores Web e, com isso, possibilita o acesso a informações críticas como chaves SSL de sites, nomes de usuário e senhas, e até mesmo dados pessoais do usuário, como e-mail, mensagens instantâneas e arquivos.
Instituições Financeiras e Outras Organizações em Alerta
Em uma publicação feita pela Agência Reuters, há a informação de que que o governo dos Estados Unidos, por exemplo, havia alertado bancos, operadores de infraestrutura e outras organizações nesta sexta-feira para que ficassem em alerta em relação a criminosos que podem tirar vantagem da falha "Heartbleed", para roubar dados de redes vulneráveis. Em um site para assessorar operadores de infraestruturas críticas sobre ameaças cibernéticas, o Departamento de Segurança Interna pediu que organizações informassem quaisquer ataques relacionados ao Heartbleed.
Descobrindo e Mitigando Potenciais Ameaças
Reguladores federais pediram que instituições financeiras identificassem quaisquer sistemas vulneráveis, consertassem as suas redes e depois realizassem testes para garantir sua segurança. De acordo com Larry Zelvin, diretor do centro de integração comunicacional do Departamento de Segurança Interna norte-americana, o Departamento de Segurança Interna está trabalhando com governos federais, estaduais e locais para descobrir e mitigar potenciais ameaças. A declaração foi feita em uma publicação em um blog da Casa Branca na sexta-feira passada, dia 12 de abril.
Cybercriminosos Sempre à Espreita
Além disso, Zelvin disse também que enquanto não forem reportados ataques ou incidentes maliciosos envolvendo essa vulnerabilidade em particular neste momento, ainda é possível que cybercriminosos possam explorar sistemas vulneráveis. O governo alemão lançou um alerta, que desencadeou outro comunicado emitido por Washington, descrevendo a falha como "crítica". Nesse cenário, um invasor pode, perfeitamente, se aproveitar da vulnerabilidade e ler o conteúdo de memória dos servidores OpenSSL. Essa afirmação consta no comunicado publicado pelo escritório federal alemão de segurança da informação.
Sistema Android Bastante Visado pela Falha Heartbleed
De acordo com uma publicação feita pelo Google em um de seus blogs oficiais, a falha Heartbleed pode afetar equipamentos que estejam executando Android. De acordo com a empresa, a brecha é percebida somente na versão 4.1.1 do Android, também conhecida como Jelly Bean e que foi lançada em julho de 2012. Conforme o Developer Android, site da empresa voltado para desenvolvedores, o Jelly Bean representa 34,4% de todos os dispositivos com o SO da companhia que estão ativos no mundo, os quais totalizam cerca de 900 milhões de smartphones e tablets.
Se esses dados todos forem levados em conta, chegaríamos ao cálculo de quase 309,6 milhões de gadgets vulneráveis. O porta-voz do Google, Christopher Katsaros, disse ao site Bloomberg que menos de 10% do total de dispositivos em funcionamento são suscetíveis à falha, mas ainda assim são mais de 90 milhões de dispositivos. De acordo com o estudo realizado pela Trend Micro, cerca de 390 mil aplicativos do Google Play e cerca de 1,3 mil apps conectados a servidores vulneráveis foram encontrados nesse cenário ameaçador. Entre eles, estão 15 aplicativos relacionados a bancos, 39 a pagamentos online e 10 a compras online.
Detenção de Jovem Canadense no Caso Heartbleed
A investigação relacionada ao caso da falha em software de segurança usado por milhares de serviços de Internet no mundo, o já mencionado Hertbleed, levou à primeira detenção nesta última quinta-feira, dia 17 de abril. Um rapaz de 19 anos, que seria originário do Canadá, é suspeito de ter entrado no site da Canadian Revenue Agency, uma agência de impostos do governo, e roubado 900 números da segurança social. A falha foi descoberta na semana passada pela Codenomicon e pelo Google, em um software de código aberto chamado OpenSSL, que como muitos sabem, serve para criar ligações criptografadas entre servidores de Internet e o browser do utilizador, para permitir que os dados possam trafegar de forma segura.
Através desta brecha na segurança, possíveis cybercriminosos podem ter acesso à memória dos servidores e obter a chave que é usada para encriptar os dados dos serviços afetados. Esta chave permite desencriptar a informação que circula naquelas ligações, e ao que tudo indica, os ataques não deixam rastro. Na última segunda-feira, a Canadian Revenue Agency confirmou, publicamente, que 900 números de segurança social tinham sido roubados do seu sistema por alguém que explorou a vulnerabilidade do Heartbleed.
Ontem, quinta-feira, a polícia do Canadá anunciou a detenção de Stephen Arthuro Solis-Reyes, residente em London, Ontário, um jovem suspeito de ter roubado a informação, o que levou a agência a suspender, temporariamente, os seus serviços, e que fosse adiada a entrega da declaração de impostos prevista para o final deste mês, sendo o prazo postergado para 5 de maio.
Jovem Será Levado ao Tribunal
As autoridades que investigam a falha de segurança na Canadian Revenue Agency, acusaram o jovem do uso não autorizado de um computador e de uso indevido de dados. Solis-Reyes vai ser levado ao tribunal no dia 17 de Julho, adiantou ainda a polícia, que admite que mais casos de ataques dessa natureza venham a ser revelados em breve.
Lentidão na Internet
Há possibilidades de que a Internet possa ficar mais lenta, até que os reparos necessários para corrigir a falha de segurança conhecida como Heartbleed sejam concluídos, de acordo com especialistas em segurança. A maioria dos sites vulneráveis ao bug já atualizou os sistemas, mas a renovação dos certificados de segurança deve reduzir a velocidade de alguns sites da Web nessas semanas, nas quais estão sendo feitos ajustes para normalizar os serviços comprometidos pela falha. Devido ao volume de dados que demandam atualização, navegadores como Google Chrome, Firefox e Internet Explorer podem exibir mensagens de erro ou carregar o conteúdo dos sites afetados de forma mais lenta.
Saiba Mais:
[1] Bloomberg http://www.bloomberg.com/news/2014-0...bleed-bug.html
[2] Público P - Tecnologia http://www.publico.pt/tecnologia/not...tbleed-1632625