Heartbleed é um bug antigo (desde Março de 2012) do OpenSSL que foi descoberto recentemente. Este bug possibilitou aos atacantes que o conheciam ler os dados seguros, obter/roubar as chaves privadas de certificados digitais e outros problemas sérios. Veja mais sobre o que é e o que pode ser feito sobre este problema.
Aproximadamente no dia 01 de Abril (curiosamente) tornou-se pública uma vulnerabilidade séria na mais popular implementação de SSL do mundo, o OpenSSL. Essa vulnerabilidade permite que um atacante anônimo, sem privilégio nenhum, tenha acesso a dados descriptografados e, em alguns cenários, consiga roubar a chave privada utilizada na criptografia SSL. Manter esta chave secreta (daí o nome chave privada) é uma premissa básica do SSL, colocando em risco tanto a autenticação quanto a confidencialidade que ele garante. A vulnerabilidade aparece quando introduziram uma funcionalidade nova chamada HeartBeat. O trocadilho do nome do bug, que foi batizado de HeartBleed, vem daí – do fato de que esta feature “sangra”, ou vaza, informações.
O XKCD fez uma charge que eu achei que explica em termos bem simples como funciona. Veja aqui: http://xkcd.com/1354/
Essa deve ser um dos furos de segurança mais sérios dos últimos tempos. Saber que as versões de software vulneráveis estão no ar há mais de 2 anos e que o acesso a dados privilegiados não geram NENHUM registro em log de acesso é assustador. Como o software é livre e seu código fonte é aberto, é esperado que dezenas ou centenas de grupos independentes analisem as implementações e estudem suas vulnerabilidades, tanto para o bem quanto para o mal. De fato, quem encontrou o problema foi um grupo de pesquisas do Google (e logo depois um outro grupo de pesquisa da Finlândia).
Dito isto, fomos todos expostos em maior ou menor grau. Para quem é de TI, alguns de nossos próprios sites estiveram expostos, Mas para todos nós, algum site que hospeda informações nossas (webmail, fitbit.com, etc) sofreu problemas. A dica básica? Descubra se o site já resolveu o problema, e depois que já resolveu troque sua senha.
E fique esperto! Aguarde as dezenas de mensagens falsas de campanhas de phishing que virão à tona dizendo “sofremos o problema do HeartBleed – clique aqui e troque sua senha” e aí você cai no ataque de um terceiro.
Aqui na Agility a gente começou uma análise dos produtos que a gente representa e resolveu ver a posição de cada um. Em alguns casos não há problemas, em outros há pequenos problemas. De um modo geral, fiquei mais tranquilo ao saber que nós (e nossos clientes destes produtos) estão protegidos.
Mas vale a busca aqui no site pelos artigos específicos de cada fabricante. Vou atualizando este artigo com os links na medida em que os artigos forem publicados.
Se você desconfia que seu site está vulnerável, faça um teste usando o site:
https://filippo.io/Heartbleed/
De um modo geral, seu site está vulnerável se você usa OpenSSL (Linux/Unix) e se a versão do OpenSSL for da 1.0.1 até a 1.0.1f. A versão 1.0.1g resolve o problema.
E você? Teve algum site vulnerável? Conseguiu resolver rapidamente?
Links Interessantes:
Site oficial: http://heartbleed.com
Como resolver rapidamente (Fedora, CentOS, Ubuntu): https://www.digitalocean.com/community/articles/how-to-protect-your-server-against-the-heartbleed-openssl-vulnerability