Falha no Webmail

Um bug no código do OpenSSL pode ter deixado boa parte dos servidores pela web vulnerável na virada desta segunda para terça-feira. Chamada de Heartbleed, a brecha permite que invasores ‘pesquem’ pedaços de quaisquer dados em diversos data centers que rodam alguma versão recente do software – mas já conta com uma solução.

A biblioteca open source de criptografia OpenSSL é adotada por aproximadamente 2 em cada 3 servidores de empresas para blindar comunicações, segundo uma estimativa da Lastpass. É ela a responsável por colocar o S no HTTPS e o cadeado na barra de endereços, por exemplo, conforme explicou o NakedSecurity. Yahoo!, Flickr, StackOverflow, XDA-Developers, Imgur, WeTransfer e Steam Community, além da própria Lastpass, são alguns dos sites e serviços protegidos pelo software e que acabaram afetados por essa nova vulnerabilidade – você pode conferir uma lista, ainda que desatualizada, neste link.

Os responsáveis pelas páginas, no entanto, já devem ter lidado com a parte superficial do problema e atualizado o programa para a versão ainda mais recente. Dos citados, o Yahoo! era o que parecia estar com mais problemas para isso, e ainda tentava tampar a brecha até o começo desta tarde. A falha fora corrigida pelo menos nas páginas principais logo cedo, segundo o Cnet.

De acordo com um comunicado da organização OpenSSL Project, a edição 1.0.1g da biblioteca corrige o bug, e o mesmo deve acontecer com a ainda não lançada 1.0.2-beta2. A quem não conseguir fazer o update de imediato, é recomendável ao menos recompilar o software com o comando “–DOPENSSL_NO_HEARTBEATS”, para desativar a funcionalidade problemática.

Vale mencionar que empresas como Apple e Microsoft, além de bancos e redes de e-commerce, deixam o OpenSSL e usam suas próprias ferramentas de segurança, o que significa que não devem ter sido afetadas pela brecha. O Google, por sua vez, foi quem descobriu o bug, e já deve ter corrigido o problema antes mesmo de ele chegar ao público.

Mas o que é o Heartbleed?

A vulnerabilidade no software foi encontrada pelo pesquisador Neel Mehta, do Google, e identificada como CVE-2014-0160. Ela afeta o OpenSSL nas versões 1.0.0 até a 1.0.2beta, incluindo aí a edição estável mais recente 1.0.1f. Isso significa que ela já estava presente – mesmo que inadvertidamente – há pelo menos dois anos em um software adotado massivamente por administradores de servidores pela web. Aliás, edições do Debian Wheezy, do Ubuntu, do Fedora, do OpenBSD e de alguns outros sistemas operacionais de código aberto também podem estar usando uma versão vulnerável do OpenSSL – vale checar aqui, em "How about operating systems?".

O problema está na extensão “Heartbeat” (RFC6520), adicionada à biblioteca justamente no OpenSSL 1.0.0. Pela brecha nela, invasores podem pescar até 64 Kb – um “heartbeat”, ou batida de coração – de dados aleatórios hospedados nas máquinas. Parece pouco, mas o processo pode ser repetido até que alguma informação relevante seja obtida.

Quais as consequências?

O grande risco está no caso de um cracker conseguir as chaves de criptografia (chamada aqui de “primary key material”) que protegem o tráfego do servidor.

Com elas em mãos, seria possível decodificar tudo que é transmitido pelo site ou serviço, incluindo aí nomes de usuários, senhas e outros dados sensíveis – chamados de “second key material” –, além de e-mails, agendas de contatos e mais – o “protected content”, ou “conteúdo protegido”. Em um teste, desenvolvedores conseguiram obter 200 nomes de usuários e senhas do Yahoo! Mail em cinco minutos rodando um script.

Caso isso aconteça, recuperar-se do estrago vai bem além de simplesmente corrigir a vulnerabilidade no OpenSSL. Como afirma a organização por trás do software em um comunicado, seria necessário que a empresa afetada “revogasse as chaves comprometidas e estabelecesse e distribuísse novas”. No entanto, mesmo após um processo que pode levar meses, o risco de o tráfego ser interceptado continuaria, o que apenas reforça a necessidade de uma chave de proteção forte. Apelar para o Perfect Forward Secrecy, que troca as combinações de segurança em diferentes sessões, pode ser uma boa solução – e sites que já faziam isso devem sofrer bem menos com essa "surpresa".

Problemas posteriores

Outra grande preocupação gerada por essa vulnerabilidade está na possível falta de ação por parte de companhias. Depois de corrigir a brecha no OpenSSL, empresas podem simplesmente acabar deixando tudo de lado, sem se dar conta de que alguém roubou as chaves para desencriptar todo e qualquer tráfego em seus servidores.

Por ora, não há relatos de crackers que tenham se aproveitado da brecha para obter dados sigilosos, mas o risco pode não ser imediato. Caso algo tenha sido roubado, consequências do Heartbleed podem muito bem aparecer nos próximos meses – então, se você administrar um servidor que roda o software, é bom agir o quanto antes. E caso você precise, por qualquer motivo, de anonimato total para navegar, os responsáveis pelo Tor Project recomendam que fique longe da web por alguns dias, até que a poeira seja assentada.

Para saber mais sobre o Heartbleed, vale conferir o comunicado da OpenSSL Project, mesmo que em inglês, aqui. O vídeo abaixo, também em inglês e bem técnico, é outro bem esclarecedor – foi feito pelo CTO da Elastica, empresa de segurança na nuvem. E se quiser saber se um site ou serviço foi afetado pela brecha, basta digitá-lo aqui.

Fonte: Info