Falha grave 'vaza' dados de dois em cada três sites seguros da web

Problema já foi corrigido, mas certificados estão em risco.
Brecha permite ler dados criptografados.

 

Uma falha de segurança gravíssima foi encontrada no OpenSSL, um pacote de software que é aproveitado por diversos outros programas para criar conexões seguras, como a usada em sites com 'cadeado' (HTTPS). Devido a não verificação do tamanho de uma variável no código de programação, um hacker é capaz de 'ler' a memória do servidor do site, revelando dados como as senhas e até a chave criptográfica usada pelo servidor. O problema já foi corrigido, mas milhões de sites não aplicaram a atualização do software, deixando usuários vulneráveis.

O problema está em um recurso chamado 'heartbeat' (batimento cardíaco), que é usado para manter 'viva' uma conexão em alguns protocolos.  Por esse motivo, a brecha foi apelidada de 'heartbleed' (sangramento cardíaco).

Até 64 KB de dados podem ser lidos da memória cada vez que a falha for explorada, mas é possível fazer uso da brecha repetidamente até conseguir as informações desejadas. É possível que, entre essas informações, esteja a própria 'chave privada' de criptografia usada pelo site. Se essa chave for obtida, é possível ler dados interceptados, em uma rede Wi-Fi por exemplo, mesmo quando estes foram protegidos.

Ainda que um hacker não possa interceptar o tráfego, a leitura da memória permite que os dados atualmente em processamento sejam revelados ao hacker. Isso inclui senhas e nomes de usuário que estão sendo protegidos pela criptografia. O hacker não tem controle absoluto para apontar qual usuário ou senha ele quer obter, mas ele pode conseguir quaisquer dados que estejam na memória no momento em que falha for explorada.

A brecha ficou aberta por dois anos. Ela foi identificada por pesquisadores na semana passada e uma correção foi disponibilizada pela equipe do OpenSSL nesta segunda-feira (7). A exploração da brecha não deixa vestígios, o que significa que é bastante difícil saber quais sites já foram ou estão sendo explorados.

Há uma recomendação para que administradores de sites não apenas apliquem a atualização do OpenSSL, mas também revoguem certificados em uso e criem certificados novos. Os usuários também devem receber uma orientação para trocar a senha, já que esta pode ser revelada em um vazamento da memória.

 

Para esse tipo de problema, falha no sistema cibernético das empresas, oferecemos o produto - 

Seguro de Proteção de Dados & Responsabilidade Cibernética (Seguro Cyber Edge)

 

Clique aqui e saiba mais sobre essa proteção - https://www.forsterseguros.com.br/seguros/?id=76


Categoria: Notícia

Publicado em:

© 1996-2018 Grupo Forster - Todos os direitos reservados! - Administradora e Corretora de Seguros - é mais SEGURO na FORSTER.

by Redbit