Menos Fios

Heartbleed – uma grave falha de segurança que atingiu quase toda a rede

Heartbleed

Nos últimos dias, empresas com sites/sistemas na Internet, têm trabalhado duro no sentido de actualizarem os seus servidores contra uma grave falha de segurança, detectada na biblioteca de criptografia OpenSSL. Falha esta que vem comprometendo desde 2012 (OpenSSL versão 1.0.1)  a segurança de dois terços das páginas web existente na Internet.

A grave falha, baptizada como “heartbleed“, foi detectada por engenheiros da Google e da empresa de segurança cibernética Codenomicon, e posteriormente pelos desenvolvedores da OpenSSL que imediatamente disponibilizaram uma actualização que soluciona o problema.

Segundo a página criada para explicar o incidente, heartbleed.com, a falha permite o roubo de informações protegidas pelas criptografias nos protocolos SSL/TLS, estas que são de uso comum para a criptografia na Internet. Os protocolos SSL/TLS fornecem comunicação segurança e privacidade nas ligações de Internet.

A sua rede social favorita, o site da sua empresa, a sua loja online, o seu site pessoal, sites governamentais, podem estar vulneráveis com o OpenSSL“, diz a heartbleed.com. A esta lista podemos acrescentar os serviços correio electrónico (email), mensagens instantâneas, VPNs, Internet Banking, etc.

Empresas como a Google, Facebook, Youtube, Twitter, Blogspot, Amazon, WordPress e Pinterest, que utilizam SSL, já aplicaram o devido patch que soluciona o problema.

Segundo especialistas, até agora não há registo de qualquer hacker ter tomado partido desta falha, embora um hacker possa ter acessado informações sem deixar rastro.

Como se proteger?

Desde a descoberta da falha, que várias ferramentas têm sido desenvolvidas de forma a detectar se determinado site está vulnerável ou não. Assim como sugerir a devida intervenção.

Dentre as ferramentas disponíveis, podemos destacar:

Uma outra medida de segurança que deve ser aplicada, não só por administradores de sistemas como também por utilizadores finais, é a actualização as suas senhas e/ou códigos de acesso. Assim como a actualização dos servidores e a revogação dos certificados instalados.

[Referência]: http://heartbleed.com/

Exit mobile version