Da redação, com agências
10/04/2014 – A equipe de segurança do Google descobriu uma falha na biblioteca de softwares de criptografia OpenSSL. A biblioteca é usada em servidores por sites de todo o mundo para garantir troca segura de dados entre usuários e data centers.
A falha da acesso às chaves criptográficas dos servidores e equipamentos pessoais, sem que seja preciso usar senhar ou ultrapassar firewalls. Cada acesso realizado a partir da falha permite a obtenção de 64 kbytes de dados, quantidade pequena, mas suficiente para obter nomes milhares de usuários e senhas de serviços que usam encriptação SSL/TLS.
Com as chaves em mãos é possível decodificar mensagens criptografadas, tornando inócua a proteção oferecida pelos protocolos de segurança. O bug também permite que interceptem comunicações entre usuários ou se passem por outras pessoas em programas de mensagem instantânea.
O problema aparece nas versões 1.0.1 e 1.0.2beta do OpenSSL. A versão 1.0.1g foi lançada pela comunidade OpenSSL, corrigindo o problema. Para os servidores que usam a versão 1.0.2, a correção deve ser lançada nos próximos dias. A estimativa é que o problema exista desde março de 2012, quando foi lançada a versão 1.0.1 do OpenSSL.
Desenvolvedores de aplicativos, como navegadores de internet, sistemas operacionais ou ferramentas que acessam a internet devem atualizar os códigos para impedir vazamentos de dados.
Os usuários também deve procurar atualizar seus softwares, segundo recomendação do site Heartbleed.com, criado pela empresa de segurança Codenomicon. Outras sugestões são limpar o cache de navegação, apagar as chaves de criptografia do computador e cookies que possam conter informações de acesso.
A Condemicon lista em seu site os sistemas operacionais que precisam ser atualizados, pois apresentam a falha: Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 10.0, NetBSD 5.0.2, OpenSUSE 12.2.
Serviços de grandes empresas já atualizaram suas bibliotecas para corrigir o erro. Embora alguns desses sites digam que não há necessidade, especialistas recomendam mudança de senhas. Confira a lista: Facebook, Instagram, Pinterest, Twitter, Gmail, Tumblr, Google, Yahoo e Yahoo Mail, Dropbox. A McFee, empresa de segurança, alerta, porém: troque suas senhas apenas em sites ou serviços que já corrigiram a falha, caso contrário, você precisará alterá-la novamente após a correção.
Se você tem um site ou quer descobrir facilmente se o que você acessa é vulnerável devido ao Heartbleed, acesse e faça o teste: http://filippo.io/Heartbleed.
