regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quarta-feira, 9 de abril de 2014

Falha grave 'vaza' dados de dois em cada três sites seguros da web

Heartbleed OpenSSL 
zero-day vulnerability




Brecha permite ler dados criptografados














Problema já foi corrigido, mas certificados estão em risco.

Por Altieres Rohr 
Especial para o G1


Uma falha de segurança gravíssima foi encontrada no OpenSSL, um pacote de software que é aproveitado por diversos outros programas para criar conexões seguras, como a usada em sites com "cadeado" (HTTPS). Devido a não verificação do tamanho de uma variável no código de programação, um hacker é capaz de "ler" a memória do servidor do site, revelando dados como as senhas e até a chave criptográfica usada pelo servidor. O problema já foi corrigido, mas milhões de sites não aplicaram a atualização do software, deixando usuários vulneráveis.

O problema está em um recurso chamado "heartbeat" (batimento cardíaco), que é usado para manter "viva" uma conexão em alguns protocolos. Por esse motivo, a brecha foi apelidada de "heartbleed" (sangramento cardíaco).
saiba mais

Até 64 KB de dados podem ser lidos da memória cada vez que a falha for explorada, mas é possível fazer uso da brecha repetidamente até conseguir as informações desejadas. É possível que, entre essas informações, esteja a própria "chave privada" de criptografia usada pelo site. Se essa chave for obtida, é possível ler dados interceptados, em uma rede Wi-Fi por exemplo, mesmo quando estes foram protegidos.

Ainda que um hacker não possa interceptar o tráfego, a leitura da memória permite que os dados atualmente em processamento sejam revelados ao hacker. Isso inclui senhas e nomes de usuário que estão sendo protegidos pela criptografia. O hacker não tem controle absoluto para apontar qual usuário ou senha ele quer obter, mas ele pode conseguir quaisquer dados que estejam na memória no momento em que falha for explorada.

A brecha ficou aberta por dois anos. Ela foi identificada por pesquisadores na semana passada e uma correção foi disponibilizada pela equipe do OpenSSL nesta segunda-feira (7). A exploração da brecha não deixa vestígios, o que significa que é bastante difícil saber quais sites já foram ou estão sendo explorados.

Há uma recomendação para que administradores de sites não apenas apliquem a atualização do OpenSSL, mas também revoguem certificados em uso e criem certificados novos. Os usuários também devem receber uma orientação para trocar a senha, já que esta pode ser revelada em um vazamento da memória.

Diversos sites populares estão vulneráveis. O Tumblr publicou um comunicado recomendando que usuários troquem toda e qualquer senha (Veja aqui).

Leia Também
Summary: A new OpenSSL vulnerability has shown up and some companies are annoyed that the bug was revealed before patches could be delivered for it. Updated April 8.