domingo, 20 de abril de 2014

O que é o Heartbleed bug ?

O que é o Heartbleed bug?

Pesquisadores do Google e da empresa finlandesa Codenomicon relataram a existência do chamado Heartbleed Bug. Trata-se de uma falha no OpenSSL, uma biblioteca de software que implementa o protocolo de segurança Secure Sockets Layer (SSL)/Transport Layer Security (TLS). O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.

O Heartbleed Bug permite que um hacker obtenha parte da memória de um servidor impactado. Essa memória é utilizada para armazenar e processar dados sensíveis, incluindo chaves privativas SSL/TLS, senhas de acesso de usuários, detalhes de cartões de crédito. Assim, o hacker pode usar o bug para acessar dados sensíveis de uma aplicação empresarial disponibilizada na Internet. Sob certas circunstâncias, o bug também permite a obtenção de dados sensíveis que tenham sido trocados no passado através de um servidor SSL/TLS vulnerável. Empregando a chave privada SSL/TLS de uma aplicação na Internet comprometida, o criminoso também pode dar vida a servidores falsos se apresentando graficamente como o original.

O bug circula pelo OpenSSL desde março de 2012 e, embora seja chamado de “Heartbleed”, seu nome formal é CVE-2014-0160.

O que as instituições financeiras devem fazer?

Elas devem cumprir três passos para assegurar que as suas aplicações na web não estão vulneráveis ao bug e que os seus consumidores estão protegidos.

Em primeiro lugar, devem verificar se as suas aplicações de e-banking empregam a versão com falha do OpenSSL. As versões Open SSL 1.0.1 até 1.0.1f estão afetadas. Nesse caso, elas devem imediatamente atualizar seus servidores com a versão mais recente.

Em segundo lugar, elas devem assumir que as suas chaves privadas SSL/TLS podem estar comprometida no caso de usaram versões afetadas do Open SSL.  Em razão da natureza do bug, é muito difícil determinar quando as chaves estão comprometidas. Além disso, as instituições financeiras devem ser cautelosas e substituir suas chaves existentes e os seus certificados por novos.

Por fim, devem verificar se dados sensíveis, como senhas de acesso, trocadas com os usuários do e-banking foram comprometidos. Em caso positivo, deve ser promovida a renovação dessas informações quando possível.

O que os usuários do e-banking devem fazer?
Eles podem ser sido afetados pelo bug Heartbleed fazendo com que dados sensíveis trocados com seus bancos via Internet possam ter sido comprometidos.

Usuários que acessam via senha devem trocá-las, uma vez que elas podem ter sido comprometidas. Todavia, isto só deve ser feito após o banco ter atualizado o seu software OpenSSL e expedido novas chaves privadas e novos certificados, pois de outro modo também as novas senhas podem ser acessadas indevidamente no futuro.

Por outro lado, os usuários que fazem seus acessos por senhas de uso único (one-time passwords - OTP) não precisam se preocupar com o comprometimento de suas informações. A natureza efêmera desse sistema assegura que a senha só pode ser utilizada por um curto período de tempo. Desta forma, as senhas não uso único não podem ser aproveitadas como resultado desse bug.

Nenhum comentário:

Postar um comentário