abril 13, 2014

[Segurança] O bug do Heartbleed for Dummies

O Adriano Cansian divulgou recentemente um texto que explica de uma forma bem simples e objetiva o que é o bug do Heartbleed e qual é o impacto dele. Para quem não o conhece, o Adriano é um profissional muito experiente e respeitado na área de segurança, professor da UNESP de São José do Rio Preto e coordenador de um grupo de pesquisas de segurança UNESP chamado ACME! Cybersecurity Research Labs.

Eu recebi o texto abaixo através de uma lista de discussão e acredito que ele merece ser compartilhado. Parabéns ao Adriano pela iniciativa :)

Observação: só para evitar mal entendidos, o título "for Dummies" deste post é porque o texto é bem simples e voltado para leigos. Não é minha intenção dar nenhuma conotação negativa.

* O QUE É O HEARTBLEED

Heartbleed é o nome que foi dado a um problema no sistema OpenSSL. O OpenSSL se trata de uma biblioteca de softwares que é usada pela maioria dos sites para garantir a sua comunicação utilizando um sistema de segurança chamado "SSL". Ele fornece  o "S" de "security"  nos endereços da Internet que começam com HTTPS, ou se você preferir, é ele o responsável pelo ícone de cadeado na barra de endereços do seu navegador enquanto você navega na web.

Normalmente, quando navegando em um site usando SSL, você pode confiar que a informação que você envia para o site só pode ser vista pelo próprio site. Isso mantém seguras as sua informações privadas, tais como cartões de crédito, nomes de usuário e senhas.

A exploração da falha Heartbleed permite que atacantes contornem as proteções fornecidas pelo SSL. Isso significa que todas as informações que você enviou para um site que teve versões vulneráveis do OpenSSL podem já estarem nas mãos dos bandidos. A exploração desta vulnerabilidade é silenciosa e não deixa nenhuma pista ou registro do acontecido. Não é possível determinar se você foi ou não afetado.

Os sites mais importantes já corrigiram a falha, entretanto as suas e as minhas informações pessoais e, principalmente, nossas senhas, podem ter vazado para as mãos de pessoas má intencionadas. Insisto: não é possível determinar se você foi ou não afetado.

* ATUALIZE SUAS SENHAS

Há uma boa chance que você tenha utilizado sites vulneráveis. A reação impensada a esta notícia é mudar todas as suas senhas imediatamente. Mas, ainda que eu esteja realmente recomendando que você mude suas senhas, é importante entender que nem todos os sites já foram atualizados, para proteger contra essa vulnerabilidade.

O melhor conselho que tenho, no momento, é que você  mude suas senhas dos sites mais importantes de imediato, incluindo seu e-mail, suas contas bancárias, suas redes sociais, e outros alvos de alto valor para você. Isto irá fornecer, insisto, no momento, a sua melhor defesa contra os ataques anteriores.

Depois de algumas semanas os sites terão sido atualizados com novos certificados SSL, e seremos capazes de confiar novamente no SSL. Então, neste ponto, você deverá mudar todas as suas senhas novamente, por precaução.

* COMO ESCOLHER UMA SENHA SEGURA

Pense numa frase que seja fácil de memorizar e que contenha números. Depois pegue as primeiras letras e números da frase, com letras maiúsculas e minúsculas, forme a senha com eles, e comece ou termine com um símbolo. Exemplo:

Minha mãe Olivia tinha 25 anos quando casou
Senha: %MmOt25aqc%

Eu tenho 13 albuns do Pink Floyd!!
Senha: =Et13adPF!!

Estas são senhas seguras, difíceis de serem quebradas ou adivinhadas. Qualquer coisa diferente disso é fácil de ser quebrada.

* DEDIQUE ALGUM TEMPO A ISSO, COM SERIEDADE

O Heartbleed é uma questão realmente muito séria para a Internet e para sua segurança. Trata-se de uma grave ameaça à infra-estrutura crítica da Internet. Então você deve dedicar algum tempo para atualizar suas senhas. Eu não estaria lhe dizendo isso se a questão não fosse realmente grave.

Idealmente você deve mudar todas as suas senhas, mas, no mínimo, por favor atualize aquelas dos sites mais importantes. Senhas novas, fortes e únicas são sua melhor defesa contra Heartbleed.

* COMPARTILHE O CONHECIMENTO

Por favor, compartilhe notícias de Heartbleed com seus amigos e família. Basta encaminhar este e-mail. Este será um grande primeiro passo para ajudá-los a saber que este é um problema muito, muito, sério. Nos últimos dias nossa equipe de analistas dedicou muito tempo para alertar pessoas, empresas e instituições e também para ajudar sanar o problema, compartilhando e informando sobre a sua gravidade.

Espero que você também seja capaz de transformar esta crise numa oportunidade para o bem, assim como estamos fazendo.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.