Este bug explora uma falha que permite a um atacante receber blocos de memória do servidor, blocos esses que poderão conter dados "secretos", como as chaves utilizadas na encriptação e dados dos utilizadores. Mas empresas como a Cloudflare virem depois pôr em causa se essa vulnerabilidade permitiria realmente, na prática, obter esses dados... levantando a suspeita sobre este esta notícia não estaria a ser empolada para níveis mais elevados que a sua real ameaça. Segundo os seus próprios testes, não o conseguiram fazer. Mas não querendo garantir com toda a certeza que o bug não seria perigoso, desafiaram a comunidade a que o fizesse num seu servidor para testes; e não demorou para que o resultado saltasse à vista: já dois hackers conseguiram obter as chaves privadas do servidor usando o bug Heartbleed; demonstrando que o ataque é verdadeiramente real e possível de ser feito em circunstâncias reais.
Portanto, se têm recebido aqueles emails de várias empresas e serviços a alertar para que os seus servidores estavam vulneráveis, e se levam a sério a vossa segurança, é a altura ideal para trocarem de passwords - e caso ainda não o fizessem, desta vez optar por passwords seguras diferenciadas para todos os serviços. Mesmo no caso de não quererem usar um gestor de passwords, podem sempre usar passwords completamente aleatórias e absurdas, deixando que a mesma seja memorizada pelo browser... ou simplesmente recorrendo ao "recuperar password" sempre que a sessão já tiver expirado e tiverem que entrar novamente no serviço.
E quando digo passwords seguras, refiro-me a coisas tipo:
- kjedoSDKJLi54jjlkj%iojlk352!#jsfa198232bzhgeee
Entretanto, há também quem alerte para uma variante deste bug, a que chamam "Reverse Heartbleed" que permite que um servidor malicioso possa também recolher informação dos utilizadores que a ele se liguem. Um assunto a seguir, e cujas repercussões certamente irão dar que falar durante muito tempo...
Sem comentários:
Enviar um comentário (problemas a comentar?)