TÁ LIGADO?

Contra falha "grave" de segurança, especialistas recomendam trocar todas as senhas
10/04/2014

Um bug descoberto esta semana, batizado Heartbleed, expôs ao longo dos últimos dois anos dados pessoais de usuários da internet, tais como senhas, informações de cartão de crédito e e-mail. Especialistas consideram grave a brecha na segurança e recomendam que todas as senhas sejam alteradas imediatamente.

Heartbleed é uma falha no OpenSSL, uma tecnologia de criptografia de código aberto que é usada por cerca de dois terços de servidores web em todo o mundo. Essa tecnologia está por trás de muitos sites HTTPS, o protocolo de segurança de páginas que coletam dados dos usuários. Esses endereços são normalmente reconhecidos graças ao ícone de um cadeado exibido no navegador que informa ao visitante que as transações e envio de dados são seguras.

Segundo André Carraretto, estrategista de segurança da Symantec, fabricante americana de antivírus, trata-se de uma vulnerabilidade considerada grave pelo setor. "O OpenSSL é usado por companhias de todas as áreas, e o bug permite que criminosos interceptem comunicações entre usuários e serviços. Ao obter as chaves de criptografia, eles têm acesso a todas informações que trafegam pela rede", explica.

Na prática, os crackers podem aproveitar a falha para roubar dados aparentemente seguros. A vulnerabilidade foi descoberta por um pesquisador do Google que também trabalha em uma companhia de segurança da Finlândia chamada Codenomicon. Embora o Heartbleed seja resultado de um pequeno erro de código, suas consequências são graves e atingem a maioria dos usuários da internet em todo o mundo.

Os pesquisadores publicaram a descoberta no início desta semana, mas afirmam que o bug existe desde março de 2012. Todos os sites que utilizaram a tecnologia nos últimos dois anos podem ter sido vítimas de invasão e roubo de informações pessoais.

Um dos pontos críticos da falha é que ela não permite o registro de qualquer pegada, portanto é quase impossível para um serviço identificar uma invasão.

"Não dá sequer para ter ideia de quantas senhas foram capturadas nesse período", diz o professor do curso de engenharia da computação do Instituto Mauá de Tecnologia, João Carlos Lopes Fernandes.

De acordo com Fernando Mercês, pesquisador de ameaças da Trend Micro, companhia japonesa especializada em soluções de segurança em computação em nuvem, é importante que os sites façam a atualização para a versão corrigida do OpenSSL, lançada esta semana.

"Como qualquer informação pode ter vazado, é prudente que os usuários troquem todas as suas senhas", explica o consultor. Google, Facebook, Yahoo e Amazon afirmaram ter resolvido o problema. Entre os sites atingidos pela falha estão OKCupid, Eventbrite e até a página do FBI.

Como a falha atinge grandes e pequenas empresas, destaca Mercês, é interessante que o usuário entre em contato com o seu serviço para saber se atualização do OpenSSL foi realizada. Mesmo que o consumidor realize a troca de suas senhas, seus dados continuarão vulneráveis se a empresa não realizar o upgrade da tecnologia.

Esse é o terceiro bug relevante de criptografia descoberto neste ano. Em fevereiro, a Apple revelou que um erro de programação em todos os seus softwares causava uma falha de segurança quando o usuário se conectava a um site.

Semanas depois, um bug similar foi descoberto no protocolo criptográfico TLS, que garante a segurança na transmissão de dados on-line. A falha tornava vulnerável qualquer troca de informação realizada através de apps.

Fernandes ressalta que a troca de senhas deve ser feita mensalmente. "A minha recomendação é que esses dados de acesso sejam modificados uma vez por mês", explica o professor do Instituto Mauá de Tecnologia.

"Diante de falhas como Heartbleed, a modificação deve ser imediata. Eu mesmo já troquei todas as minhas senhas."

Renata Honorato - Veja.com

Compartilhe: