segunda-feira, 14 de abril de 2014

Heartbleed: conheça e se proteja da maior falha da internet


Você certamente já ouviu falar de uma recente ameaça descoberta em uma das 
implementações mais usadas do SSL (Secure Sockets Layer) e do TLS (Transport Layer Security), protocolos de segurança que são utilizados em inúmeros sites com o intuito de criptografar o tráfego entre dois computadores. Ou seja, manter a conexão segura.

A falha chamada de Heartbleed, é um grave perigo para qualquer servidor de Internet que não tenha recebido uma correção.

Pois esta vulnerabilidade permite que informações sigilosas de usuários e emrpesas armazenadas de servidores web sejam interceptadas por crackers – o que pode incluir chaves SSL de site, nomes de usuário e senhas, e até mesmo dados pessoais do usuário, como e-mail, mensagens instantâneas e arquivos, de acordo com a empresa Codenomicon, primeira companhia a identificar a falha.

Estima-se que esta vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e anunciada nas últimas semanas. E devido à popularidade do OpenSSL o número potencial de páginas afetadas é enorme.

A empresa de segurança e pesquisa de Internet Netcraft estima que o Heartbleed, afeta cerca de meio milhão de sites confiáveis. "Na escala de 1 a 10, ele [Heartbleed] é 11", afirmou o respeitado especialista em segurança Bruce Schneier em seu blog.
Sim, este bug é muito sério e é muito provável que ele afete ao menos uma de suas contas online.

Como se proteger
Para as empresas:
- Caso estejam usando o OpenSSL versão 1.0.1 até a versão 1.0.1f, deve atualizar o software para a versão mais recente (1.0.1g) ou recompilar a solução sem a extensão Heartbeat, usando a flag -DOPENSSL_NO_HEARTBEATS.
- Após isto, se você acredita que o certificado do servidor de Internet possa ter sido corrompido, entre em contato com a autoridade responsável pela certificação e peça a troca;
- Além disso, como uma boa prática, as empresas devem considerar a alteração das senhas dos usuários finais – especialmente aquelas com indícios de violação.
Já os usuários comuns de Internet podem:
·         Monitorar qualquer notícia dos fornecedores que você utiliza. Uma vez que a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas;
·         Evitar acessar e-mail com links estranhos, pois eles podem conter o chamado phishing – as iscas, que buscam o seu clique;
·         Não acesse sites duvidosos. Opte por portais oficiais e com reputação;
·         Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil;
·         Esteja ciente de que seus dados podem ser vistos por terceiros, principalmente se utiliza provedores de serviço vulneráveis.



Mais informações: http://idgnow.com.br/internet/2014/04/10/heartbleed-conheca-ameaca-que-atingiu-a-internet-e-veja-como-se-proteger/

Pesquisar neste blog