heartbleedEssa última semana a internet entrou em pânico: foi revelado uma grande falha de segurança no OpenSSL, a encriptação de segurança mais popular do mundo, e isso fez, e ainda faz, com que centenas de milhares de websites afetados por essa falha corressem para tapar esse buraco na segurança.

Esse bug foi apelidado de “Heartbleed” (“Sangramento no Coração” em português).

O que é o Heartbleed?

Heartbleed é um bug que afeta o OpenSSL, mais especificamente da versão 1.0.1 até a 1.0.1f, e permite que pessoas não-autorizadas acessem a memória do servidor que está sendo utilizado sem restrição alguma e sem deixar nenhum rastro.

Por que ele é tão grave?

A memória de um servidor é uma janela para tudo que foi acessado recentemente naquela máquina: o acesso a essa memória quer dizer que você tem acesso a tudo que passou por ela. E-mails, mensagens instantâneas, dados cadastrais, documentos particulares, nomes de usuários, senhas, cartões de crédito; tudo que você utiliza na internet passa primeiro por um servidor.

Um dos fatores mais graves desse bug é o tempo que ele ficou escondido, a versão com o código defeituoso foi publicada em 14 de Março de 2012 e o bug só foi revelado no dia 7 de Abril de 2014; isso são mais de dois anos em que o formato de encriptação mais popular da internet ficou vulnerável, e é impossível dizer se ele já foi abusado por hacker antes ou não, já que o ataque não deixa rastros.

Aqui vai uma lista de alguns exemplos de grandes sites ou serviços da internet que já estiveram vulneráveis:

  • Google;
  • Gmail;
  • Facebook;
  • YouTube;
  • Google Play;
  • Yahoo;
  • Dropbox;
  • Instagram;
  • Tumblr;
  • Netflix;
  • Flickr;
  • Steam;

 

Minha hospedagem com vocês foi afetada?

Você pode ficar tranquilo, nós nunca utilizamos as versões do OpenSSL afetadas pelo bug, então seu domínio hospedado com a Blue Opera está completamente seguro contra o Heartbleed.

Eu não tenho um website ou um domínio na internet, posso ficar despreocupado?

Você utiliza os serviços ou frequenta algum domínio na internet que foi afetado? Seus dados podem sim estar em risco.

Eu não utilizo nenhum desses sites que você listou, estou seguro?

A severidade e escala desse bug são enormes, o OpenSSL é a encriptação mais utilizada por websites hospedados em servidores Apache e nginx, cuja fatia do mercado somada é mais de 66% dos sites da internet. É muito provável ser afetado, se não direta, então indiretamente por esse bug.

O que eu devo fazer então?

Os maiores e mais famosos websites já corrigiram a falha na segurança, mas é impossível dizer se seus usuários e senhas não estão comprometidos.

Seu objetivo nesse momento é trocar todas as suas senhas.

TODAS as senhas, mesmo as dos lugares que não foram comprometidos, principalmente se você tem o costume de utilizar a mesma combinação de usuário/senha em múltiplos lugares.

Digamos que o site X que você frequenta não foi comprometido, mas você utiliza a mesma combinação de usuário e senha no site Y, que foi. Alguém com o seu usuário e senha pegos do website Y, pode tentar aquela combinação no website X, e agora ele possui acesso a sua conta nos dois websites.

Descarte as suas senhas atuais e não as utilize nunca mais, crie uma combinação completamente nova (e única para cada lugar, de preferência).

Dê uma atenção especial para lugares que possam conter suas informações pessoais, como e-mails, mensageiros instantâneos, redes sociais e lojas virtuais.

Para sites menores, é melhor checar para ver se ele está vulnerável ao Heartbleed. Existem algumas ferramentas online que fazem essa verificação, como este aqui:

https://filippo.io/Heartbleed/

Se o website for seguro, mude a senha e continue com a sua vida normal. Se ele estiver vulnerável, evite utilizar o website até o problema ser corrigido.

 

Aos poucos, a internet vai se recuperando dessa crise, vamos esperar que no futuro nada dessa magnitude aconteça novamente.