O que é a grave falha de segurança Heartbleed e por que você deveria se preocupar com ela

há 10 anos • Atualizado há 5 meses

Foi divulgada nesta semana uma falha de segurança grave no OpenSSL, uma implementação de código aberto muito usada para criar conexões seguras por meio dos protocolos SSL e TLS, como as disponíveis em páginas da web com o famoso cadeado de segurança. Ao ser explorada, a vulnerabilidade permite que um criminoso acesse a memória do servidor afetado e obtenha informações sensíveis, como senhas e dados bancários.

A brecha existe há mais de dois anos e está sendo chamada de Heartbleed, algo como “sangramento no coração”, porque está em uma extensão chamada heartbeat, que mantém ativa (ou “viva”) uma conexão segura. Por meio da falha, um hacker pode obter 64 KB de dados da memória do servidor a cada “batimento cardíaco”. Não parece muito, mas o processo pode ser repetido várias vezes até que o invasor esteja satisfeito com os dados obtidos.

Com o ataque, seria possível vazar emails, senhas, números de cartão de crédito e outras informações de sites HTTPS que, em teoria, mantêm os dados seguros transferindo-os de maneira criptografada entre o servidor e o usuário. Se o ataque for realizado repetidamente, chaves de criptografia dos serviços poderiam ser obtidas para enganar usuários com páginas que parecem confiáveis, mas que no fundo estão silenciosamente roubando dados.

Não é necessário se aproveitar de brechas no computador do usuário para explorar a falha; o hacker pode atacar diretamente um servidor afetado. Ou seja, os usuários não podem fazer muita coisa: só esperar que os administradores de servidores instalem a correção rapidamente para evitar vazamentos e revoguem certificados em uso. Distribuições Linux como Ubuntu 12.04 LTS, CentOS 6.5, Fedora 18 e Debian 7 já haviam distribuído pacotes potencialmente vulneráveis do OpenSSL no passado. A versão 1.0.1g do OpenSSL corrige o bug.

Trata-se de um erro do OpenSSL, não do protocolo, ou seja, serviços que usam outras implementações para prover conexão segura não devem ter sido afetados. O problema é que o OpenSSL é extremamente popular: entre os servidores web que usam OpenSSL estão o Apache e nginx, que respondem por cerca de dois terços (66%) de todos os sites ativos da web, de acordo com a Netcraft. Além disso, ele também é usado por VPNs e diversos servidores de email e chat. Logo, é bem provável que você tenha sido direta ou indiretamente afetado.

Felizmente, empresas como Google, Facebook e Amazon não foram afetadas, mas uma lista no GitHub mostra alguns sites bem conhecidos que, pelo menos até ontem, estavam potencialmente vulneráveis, como Yahoo, Flickr, 500px, Redtube (!), OkCupid, Steam, XDA Developers, WeTransfer e StackOverflow. Esta ferramenta, embora dê alguns erros e falsos positivos, é um bom ponto de partida para verificar se os sites que você acessa estão vulneráveis.

Como a falha estava presente no OpenSSL há dois anos e pode ser explorada sem deixar nenhum rastro, provavelmente nunca saberemos a quantidade de dados que foram obtidos com a vulnerabilidade. No entanto, é uma boa ideia trocar suas senhas em sites listados acima (o Tumblr já comunicou isso aos usuários) e acompanhar com mais atenção a fatura do cartão de crédito para detectar transações suspeitas.

Você pode obter mais informações sobre o Heartbleed, em inglês, neste site.