Falha HeartBleed - Sites web concernés et conseils pour se protéger Websites afetados e conselhos para se proteger

Novembro 2016

Revelada em abril de 2014, a falha crítica HeartBleed é uma das mais sérias ameaças que afetaram a segurança de trocas na internet.

Este vulnerabilidade maior afetou, durante dois anos, certas versões do kit de ferramentas de código aberto OpenSSL, que é usado por muitos sites, para proteger a troca de dados confidenciais.

O impacto desta vulnerabilidade ainda é desconhecido, mas pode levar ao roubo de dados sensíveis em muitos sites. Que serviços são potencialmente afetados por esta falha? Para os usuários, que decisões tomar para se proteger das possíveis consequências do HeartBleed?

O que é a falha HeartBleed ?


HeartBleed é uma vulnerabilidade de software importante que afeta a biblioteca open source de criptografia OpenSSL, que é usada para gerenciar a troca de dados entre um computador cliente (PC) e um servidor. A extensão para o protocolo de segurança das trocas SSL/TSL chamada "Heartbeat", que é particularmente afetada por esta falha é implementada quando dois servidores estão prestes a fazer uma troca segura (criptografada).

O termo "HeartBleed" ("coração sangrando") foi escolhido para designar essa falha.

A falha HeartBleed afeta todos os websites, aplicativos móveis e dispositivos de rede que utilizam o OpenSSL em sua versão 1.0.1 e 1.0.1f.

O que não é HeartBleed


HeartBleed é um erro de codificação e não um vírus ou malware.

Quando a falha foi descoberta ?


A falha HeartBleed foi destacada em abril de 2014 pela empresa de segurança Codenomicon Defensics. O bug está presente nas versões de softwares OpenSSL lançadas desde março de 2012.

Quais são os riscos ligados ao HeartBleed para os internautas ?


De acordo com especialistas em segurança de computadores que a destacaram, a falha permite que hackers de computador recuperem ou interceptem, sem deixar rastro:
  • O conteúdo da memória de um servidor, incluindo mensagens seguras, transações bancárias, o acesso às informações do cliente (login e senha) ou documentos confidenciais.
  • As chaves secretas dos certificados eletrônicos de segurança usadas para criptografar o tráfego na internet.

Antes que os patches sejam trazidos pelos fabricantes de servidores web ou sites afetados (veja abaixo), os hackers puderam, potencialmente, recuperar várias informações confidenciais, por cerca de dois anos.

O âmbito da falha


A biblioteca OpenSSL é muito usada na Internet para permitir trocas seguras, principalmente pelos servidores web Apache e Nginx, que representam a maioria dos servidores Web do mercado.
No entanto, nem todos são afetados por esta vulnerabilidade.

Alguns especialistas em segurança de computador acreditam que 17% dos servidores Web tidos como seguros no mundo, ou seja, cerca de meio milhão de servidores SSL, foram afetados pela falha no momento da descoberta do bug.

Patches


Desde a descoberta da falha, os fabricantes de servidores entregam as últimas atualizações materiais e de softwares para os servidores afetados pela falha de segurança HeartBleed.
Muitos sites afetados pela falha também dizem ter feito um patch (veja abaixo).

Principais sites e serviços afetados pelo HeartBleed


Entre os principais sites afetados pela falha HeartBleed que disseram ter aplicado um patch de segurança:
15 de abril de 2014:
  • Facebook
  • Google: Gmail, YouTube, Wallet, Google Play, Apps, e App Engine
  • Yahoo: Yahoo Mail, Flickr e Tumblr
  • Airbnb
  • Netflix
  • Dropbox
  • Instagram
  • Twitter
  • Pinterest
  • Amazon Web Services
  • SoundCloud
  • LastPass

Vários sites de comércio eletrônico (e-commerce) também podem ser afetados pela falha HeartBleed.
No dia 15 de abril de 2014, o BlackBerry anunciou que um patch está sendo implantado pelo seu serviço Secure Work Space para iOS e Android, solução usada para separar conteúdos profissionais e pessoais no celular e proteger uma frota de smartphones na empresa.

Sites que não são afetados por esta falha


Certos sites não usavam a versão do OpenSSL em questão, ou simplesmente não usavam a biblioteca de software afetada pela falha.

Entre esses sites/prestadores de serviços on-line estão:
  • LinkedIn
  • Apple
  • Amazon
  • Microsoft, Hotmail/Outlook,
  • eBay
  • Groupon
  • PayPal
  • Evernote
  • 1Password.

Algumas recomendações para os usuários

Testar a vulnerabilidade de um website na falha HeartBleed

  • Uma página dedicada para testar a vulnerabilidade de um site contra a falha HeartBleed digitando o seu URL: Filippo.io. Um outro site para verificar se um site está em causa.
  • As extensões do Chrome e do Firefox também ajudam a saber se um site em particular foi afetado por esta falha de segurança.

Suivre attentivement ses relevés bancaires


Alguns sites de e-commerce podem ter sido vítimas de ataques que levaram ao roubo de dados sensíveis, permitindo que hackers recuperem dados de cartões de crédito.

Assim sendo, alguns especialistas em segurança de computador recomendam o acompanhamento dos extratos bancários e das transações efetuadas anteriormente para compras on-line.

Desconfie de ataques de phishing, no rastro do HeartBleed


A falha HeartBleed poderia aumentar os ataques de phishing realizados por e-mail: os piratas convidam os usuários a redefinir a sua senha em determinados serviços on-line (redes sociais, serviços bancários, etc), direcionando-os para páginas falsas, a fim de roubar seus dados de identificação para estes serviços.

Trocar as senhas


É recomendado que os usuários alterem as suas senhas: esta operação deve ser realizada assim que os sites afetados trouxerem as correções necessárias.
Na medida em que a falha HeartBleed foi explorada durante um período de, pelo menos, dois anos, um grande número de serviços pode ter sido afetado.

Outros conselhos de segurança


Saiba mais



Tradução feita por Lucia Maurity y Nouira

Veja também :
Este documento, intitulado « Falha HeartBleed - Sites web concernés et conseils pour se protéger Websites afetados e conselhos para se proteger »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.