Video Screencast Help
Security Response

Bug Heartbleed envia ameaça grave para servidores

Created: 14 Apr 2014 18:02:09 GMT • Translations available: English, 日本語, 한국어, Español
Dick O'Brien's picture
0 0 Votes
Login to vote

A vulnerabilidade recém-descoberta no OpenSSL, uma das implementações mais usadas do SSL e TLS de protocolos criptográficos, apresenta um perigo grave e imediato para qualquer servidor sem correção. O bug, conhecido como Heartbleed, permite que criminosos virtuais para interceptem comunicações seguras e roubarem informações confidenciais, como login, dados pessoais e chaves de decodificação.

O Heartbleed ou OpenSSL TLS 'heartbeat' Extension Information Disclosure Vulnerability (CVE-2014-0160) afeta um componente do OpenSSL conhecido como Heartbeat. OpenSSL é uma das implementações mais utilizadas do SSL e protocolos TLS.

O bug é uma extensão para o protocolo TLS, que permite que uma sessão se mantenha ativa, mesmo que nenhuma comunicação real aconteça há algum tempo. Este artifício verifica que ambos os computadores ainda estão conectados e disponíveis para a comunicação. Ele também poupa o usuário do suposto incomodo de ter que digitar novamente suas credenciais para estabelecer outra conexão segura – isto é, se a conexão original é descartada.

Como  essa vulnerabilidade funciona? O Heartbleed envia uma mensagem para o servidor OpenSSL, que por sua vez retransmite essa mensagem de volta ao remetente, verificando a conexão. A mensagem contém dois componentes, um pacote de dados conhecido como payload, que pode ser de até 64 KB, e as informações sobre o seu tamanho.

No entanto, a vulnerabilidade Heartbleed em OpenSSL permite a um invasor falsificar a informação sobre o tamanho do payload útil. Por exemplo, eles poderiam enviar uma carga de apenas um kilobyte, mas com tamanho real de 64KB. O bug Heartbleed é o último de uma série de vulnerabilidades SSL / TLS descoberto este ano. TLS e seu antecessor mais velho SSL são ambos protocolos seguros de comunicação da Internet e do trabalho de criptografar o tráfego entre dois computadores.

Como o servidor do OpenSSL lida com a mensagem malformada de Heartbeat aí está a chave do perigo que esta vulnerabilidade pode traz, principalmente porque ele não tenta verificar se o tamanho do arquivo enviado é de fato o tamanho real, como afirma a mensagem. Ao invés disso, assume que a carga é a verdadeira e as tentativas para enviá-lo de volta para o computador estão corretas.

Os dados enviados de volta acontecem de forma aleatória e é possível que o atacante receba algumas informações incompletas ou inúteis. No entanto, a natureza da vulnerabilidade significa que o ataque pode ser executado novamente e significa que o criminoso virtual pode construir um quadro maior dos dados armazenados ao longo do tempo.

Em fevereiro, a Apple teve que corrigir duas vulnerabilidades críticas que afetavam o SSL em seu software. Pela primeira vez, foi emitido uma atualização para seu sistema operacional móvel iOS, que corrigiu uma falha. Dias depois, uma segunda atualização foi enviada e, desta vez, para o sistema operacional de Desktop OSX.

Em março, uma ameaça também foi encontrada na biblioteca de segurança GnuTLS, que é usado em um grande número de versões do Linux, incluindo Red Hat Desktop e produtos de servidor. Inclusive, sistemas operacionais Ubuntu e Debian demonstraram a mesma vulnerabilidade. O GnuTLS é uma implementação de software de código aberto de SSL/TLS e este fez com que a biblioteca não conseguisse lidar corretamente com alguns erros – que poderiam ocorrer na verificação de um certificado de segurança. Com isso, poderia permitir que um invasor pudesse usar um certificado especialmente criado para enganar GnuTLS, confiando em um site malicioso. A vulnerabilidade foi imediatamente corrigida pela GnuTLS .

Para se proteger desta vulnerabilidade, a Symantec oferece as seguintes dicas:

Para as empresas:

  • Qualquer usuário do OpenSSL 1.0.1 through 1.0.1f deve atualizar o software para a versão mais recente - 1.0.1g – ou recompilar a solução sem a extensão Heartbeat;
  • Se após esta instalação você acredita que o certificado do servidor de Internet possa estar corrompido, entre em contato com a autoridade responsável pela certificação e peça a troca;
  • Além disso, como uma boa prática, as empresas devem considerar a reconfiguração de senhas dos usuários finais – especialmente aquelas com indícios de violação.

Para os consumidores:

  • Esteja ciente de que seus dados podem ser vistos por terceiros, principalmente se utiliza provedores de serviço vulneráveis;
  • Monitore qualquer notícia dos fornecedores que você utiliza. Uma vez que a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas;
  • Evite acessar e-mail com links estranhos, pois eles podem conter o chamado phishing – as iscas, que buscam o seu clique;
  • Não acesse sites duvidosos. Opte por portais oficiais e com reputação;
  • Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil.

Atualização 10 de abril de 2014: As ferramentas da Symantec para checagem de certificação SSL irá vereficar quando um site é vulnerável. Você pode acessar o certificado a partir deste link: https://ssltools.websecurity.symantec.com/checker/

Para usar o seu certificado, clique em “Check your cerftificate installation” e, após isso, entre no website desejado.

heartbleed-explained_02.png