2014/04/12

Hackers confirmam seriedade do Heartbleed

O bug Heartbleed que tem deixado a internet (e os utilizadores) em alvoroço continua a dar que falar, e depois de se ter posto em causa se seria realmente tão perigoso como se anunciava, parece agora ficar definitivamente demonstrado que sim... é mesmo para levar a sério.

Este bug explora uma falha que permite a um atacante receber blocos de memória do servidor, blocos esses que poderão conter dados "secretos", como as chaves utilizadas na encriptação e dados dos utilizadores. Mas empresas como a Cloudflare virem depois pôr em causa se essa vulnerabilidade permitiria realmente, na prática, obter esses dados... levantando a suspeita sobre este esta notícia não estaria a ser empolada para níveis mais elevados que a sua real ameaça. Segundo os seus próprios testes, não o conseguiram fazer. Mas não querendo garantir com toda a certeza que o bug não seria perigoso, desafiaram a comunidade a que o fizesse num seu servidor para testes; e não demorou para que o resultado saltasse à vista: já dois hackers conseguiram obter as chaves privadas do servidor usando o bug Heartbleed; demonstrando que o ataque é verdadeiramente real e possível de ser feito em circunstâncias reais.

Portanto, se têm recebido aqueles emails de várias empresas e serviços a alertar para que os seus servidores estavam vulneráveis, e se levam a sério a vossa segurança, é a altura ideal para trocarem de passwords - e caso ainda não o fizessem, desta vez optar por passwords seguras diferenciadas para todos os serviços. Mesmo no caso de não quererem usar um gestor de passwords, podem sempre usar passwords completamente aleatórias e absurdas, deixando que a mesma seja memorizada pelo browser... ou simplesmente recorrendo ao "recuperar password" sempre que a sessão já tiver expirado e tiverem que entrar novamente no serviço.

E quando digo passwords seguras, refiro-me a coisas tipo:
  • kjedoSDKJLi54jjlkj%iojlk352!#jsfa198232bzhgeee

Entretanto, há também quem alerte para uma variante deste bug, a que chamam "Reverse Heartbleed" que permite que um servidor malicioso possa também recolher informação dos utilizadores que a ele se liguem. Um assunto a seguir, e cujas repercussões certamente irão dar que falar durante muito tempo...

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]