Usuários recebem alerta após grave brecha de segurança no Open SSL ter sido descoberta
Diversas companhias de tecnologia estão pedindo que usuários troquem suas senhas, após a descoberta de um grave problema de segurança. A plataforma de blogs Tumblr divulgou a seguinte advertência: "mudem suas senhas em todo o lugar - especialmente em serviços de alta segurança, como e-mail, senhas de banco e serviços de armazenamento". Especialistas na área de segurança também têm oferecendo avisos semelhantes sobre o vírus conhecido como 'Heartbleed bug'. A recomendação se dá após notícias de que o OpenSSL, produto usado para garantir a segurança de dados, teria sido usado para permitir espionagem.
O OpenSSL é um popular acervo de criptografia usado para embaralhar informações sensíveis passadas de um computador para outro, de modo que só o provedor de serviço e os recipientes podem interpretar as informações passadas. Se uma organização emprega o OpenSSL, os usuários veem um ícone de cadeado no seu navegador - embora isso também possa ser usado por produtos rivais. Para se ter uma ideia da gravidade da brecha de segurança, entre os afetados está a Receita Federal do Canadá, que suspendeu seus serviços online "para salvaguardar a integridade das informações".
O Google e a Codenomicon - empresa de segurança finlandesa - revelaram na segunda-feira que uma falha existente no software há mais de dois anos poderia ser usada para expor chaves secretas que identificam prestadores de serviços que empregam o OpenSSL. Segundo eles, se os hackers fizeram cópias dessas chaves, eles poderão roubar os nomes e senhas de pessoas que utilizam os serviços, tirar cópias de seus dados e configurar sites falsos parecidos com os legítimos, já que usariam as credenciais roubadas. "Se as pessoas acessaram um serviço durante a janela de vulnerabilidade, há uma chance de que a senha já tenha sido recolhida", disse o diretor de tecnologia da Codenomicon, Ari Takanen. "Nesse caso, é uma boa ideia alterar as senhas em todos os portais atualizados." Outras empresas de segurança demonstraram surpresa com a revelação. "Catastrófico é a palavra certa. Numa escala de zero a 10, é 11", disse o blogueiro Bruce Schneier.
Segundo a imprensa internacional, o Google alertou um número seleto de organizações sobre o problema antes de torná-lo público, para que as empresas pudessem atualizar seus equipamentos com uma nova versão do OpenSSL liberado no início da semana. No entanto, o Yahoo aparentemente não foi incluído nesta lista e o site de tecnologia Cnet informou que algumas pessoas foram capazes de obter nomes de usuários e senhas antes que a empresa pudesse fazer a correção.
A NCC Group, uma empresa de segurança cibernética, descreveu a situação como "grave". "O nível de conhecimento atualmente necessário para explorar essa vulnerabilidade é substancialmente menor do que era há 36 horas", disse a empresa em comunidado. "Seria um passo prudente para o público atualizar suas senhas.", recomenda a empresa
Várias empresas de segurança e desenvolvedores independentes publicaram testes online para ajudar o público a descobrir se os serviços ainda estão expostos. No entanto, não há nenhuma maneira simples de descobrir se eles estiveram vulneráveis antes.
O Google e a Codenomicon - empresa de segurança finlandesa - revelaram na segunda-feira que uma falha existente no software há mais de dois anos poderia ser usada para expor chaves secretas que identificam prestadores de serviços que empregam o OpenSSL. Segundo eles, se os hackers fizeram cópias dessas chaves, eles poderão roubar os nomes e senhas de pessoas que utilizam os serviços, tirar cópias de seus dados e configurar sites falsos parecidos com os legítimos, já que usariam as credenciais roubadas. "Se as pessoas acessaram um serviço durante a janela de vulnerabilidade, há uma chance de que a senha já tenha sido recolhida", disse o diretor de tecnologia da Codenomicon, Ari Takanen. "Nesse caso, é uma boa ideia alterar as senhas em todos os portais atualizados." Outras empresas de segurança demonstraram surpresa com a revelação. "Catastrófico é a palavra certa. Numa escala de zero a 10, é 11", disse o blogueiro Bruce Schneier.
Segundo a imprensa internacional, o Google alertou um número seleto de organizações sobre o problema antes de torná-lo público, para que as empresas pudessem atualizar seus equipamentos com uma nova versão do OpenSSL liberado no início da semana. No entanto, o Yahoo aparentemente não foi incluído nesta lista e o site de tecnologia Cnet informou que algumas pessoas foram capazes de obter nomes de usuários e senhas antes que a empresa pudesse fazer a correção.
A NCC Group, uma empresa de segurança cibernética, descreveu a situação como "grave". "O nível de conhecimento atualmente necessário para explorar essa vulnerabilidade é substancialmente menor do que era há 36 horas", disse a empresa em comunidado. "Seria um passo prudente para o público atualizar suas senhas.", recomenda a empresa
Várias empresas de segurança e desenvolvedores independentes publicaram testes online para ajudar o público a descobrir se os serviços ainda estão expostos. No entanto, não há nenhuma maneira simples de descobrir se eles estiveram vulneráveis antes.
Dicas
- Não se deve buscar nenhuma senha que ofereça quaisquer ligações com a pessoa, uma vez que hackers poderiam recorrer às mídias sociais para obter dados do usuário. Nome de bicho e filhos nem pensar
- Prefira palavras que não estejam nos dicionários, recomenda ele. Os hackers conseguem fazer combinações usando formas criptografadas de todo um dicionário e podem, facilmente, acertar qual a sua senha.
- A recomendação é usar caracteres de múltiplos tipos. Você pode optar por palavras ou frases fácies de lembrar, mas acrescentar diferentes caracteres, como c@ch0rr3lev@2do.
- F Mantenha senhas diferentes para diferentes sites e sistemas. Se os hackers desvendarem uma das senhas, as outras estarão mais protegidas
- É importante misturar o maior número de caracteres minúsculos (a, r, t, z), maiúsculos (A, R, T, Z), números (34, 12, 0, 21) e símbolos (#, %, *, ()), pois isto aumenta o dicionário utilizado por algoritmos criptográficos e garantem uma robustez maior contra ataques de força bruta.
- Sites, como o https://howsecureismypassword.net/ testam a segurança da sua senha
- Ao mudar suas senhas diversas vezes ao ano, você diminui muito as chances de ser hackeado. Estabeleça um cronograma sempre para mudar as senhas
Como se blindar da crise do Open SLL
O que os administradores podem fazer?
A empresa de segurança Codenomicon colocou no ar o site http://heartbleed.com/ com diversas informações e detalhes sobre a falha no OpenSSL.
Os administradores também devem fazer o upgrade para a versão 1.0.1g do OpenSSL IMEDIATAMENTE e gerar novas chaves privadas. Se a atualização para a nova versão não for possível, os administradores devem recompilar o OpenSSL com a opção de tempo OPENSSL_NO_HEARTBEATS.
O que os administradores podem fazer?
A empresa de segurança Codenomicon colocou no ar o site http://heartbleed.com/ com diversas informações e detalhes sobre a falha no OpenSSL.
Os administradores também devem fazer o upgrade para a versão 1.0.1g do OpenSSL IMEDIATAMENTE e gerar novas chaves privadas. Se a atualização para a nova versão não for possível, os administradores devem recompilar o OpenSSL com a opção de tempo OPENSSL_NO_HEARTBEATS.
O que os usuários podem fazer?
1 – Mude suas senhas usadas em sites que você considera como importantes depois de ter a confirmação de que a correção foi implementada.
2 – Nunca use a mesma senha em mais de um site ou serviço de internet.
3 – Use um gerenciador de senhas capaz de criar um grande número de senhas complexas.
4 – Opte por usar login em dois passos caso os serviços ofereçam este recurso. O Gmail é um deles.
1 – Mude suas senhas usadas em sites que você considera como importantes depois de ter a confirmação de que a correção foi implementada.
2 – Nunca use a mesma senha em mais de um site ou serviço de internet.
3 – Use um gerenciador de senhas capaz de criar um grande número de senhas complexas.
4 – Opte por usar login em dois passos caso os serviços ofereçam este recurso. O Gmail é um deles.
