Olá queridos leitores!
Quanto tempo sem postar aqui! Acharam que eu tinha caído no Triângulo das Bermudas? Nada, tempo corrido demais! Quando vejo já é sexta, já passou um mês acabou o ano. Deixando o "lero lero" de lado, hoje vim aqui para falar de um assunto que assustou o mundo da segurança da informação em 2014 a vulnerabilidade Heartbleed caso se interessem pelo assunto me acompanhem nessa.
Nos dias atuais, somos levados a acreditar que
podemos comprar soluções prontas para os nossos problemas, de preferência
feitas sob medida e que atendam nossas necessidades. Na segurança
da informação não é diferente, o mercado está abastecido de soluções para
todos os tipos problemas. Mas, a essência do que se busca nem sempre pode ser
encontrada na prateleira mais baixa de um armário, embrulhada em um pacote. É
preciso ter cautela e analisar com paciência o que melhor nos atende, pois
muitas dessas soluções prontas estão em processo de maturidade e apresentam
falhas graves.
Em
Abril de 2014, foi oficialmente divulgada uma falha na biblioteca de
criptografia OpenSSL, falha essa que seus descobridores criativamente
chamaram de Heartbleed em inglês, sangramento no coração.
Teoricamente, não deveríamos nos preocupar, já que estamos trabalhando com uma
biblioteca que utiliza protocolos de segurança SSL e TLS e até da para se
questionar como um hacker vai conseguir encontrar os nossos “dados secretos”.
Perceba que escrevi dados secretos entre aspas, exatamente porque eles não
estão tão secretos assim. No caso Heartbleed nem foi preciso ser um
agente NSA da vida para saber tudo a nosso respeito.
Certo.
Mas como isso é possível? A coisa toda não é criptografada? Acontece
que os servidores de autenticação precisam manter os dados de login sempre na
memória para que a conexão seja mantida. Logo, os dados dos usuários vêm
nesse roubo da memória e o hacker só precisa usar a senha de criptografia para
descobrir os dados verdadeiros e assim acessar Yahoo, Facebook, Google, Amazon,
Instagram e outros tantos sites operam com OpenSSL. Detalhe importante,
era possível atacar sem deixar nenhum tipo de vestígio, mesmo fazendo
acesso por fora dos servidores.
Muitas tecnologias inseguras ( o que não era o caso
do OpenSSL) ainda não foram quebradas porque estão no que podemos chamar
carinhosamente de infância de software. À medida que se tornam mais conhecidos
e utilizadas, infelizmente são alvos atraentes para criminosos. Concluindo esse
discurso pessimista e simultaneamente realista, podemos afirmar que em futuro
próximo, sobreviverão no mercado apenas as tecnologias robustas e evoluídas.
Tanto o SSL quanto o TLS são protocolos
desenvolvidos para elevar a segurança dos dados transmitidos pela internet. As
diferenças entre eles são pequenas e técnicas, O TLS tem capacidade de
trabalhar em portas diferentes e usa algoritmos mais fortes. O SSL pode
ser usado em vários serviços, sendo que o mais comum é o acesso à páginas web.
Ambos
fazem uso de criptografia para garantir o sigilo das informações transferidas
entre o navegador do usuário e o servidor web. Como consequência, mesmo que as
informações sejam interceptadas elas não podem ser lidas sem que sejam
descriptografadas.
Figura 01. Funcionamento SSL: Fonte (SITE,
tecmundo.com. br/seguranca/1896-o-que-e-ssl)
NÃO DA PARA FALAR DE HEARTBLEED SEM FALAR DE OPENSSL
O OpenSSL é uma biblioteca de software
criptográfico que opera com os protocolos SSL e TLS. Essa biblioteca é
escrita na linguagem C e implementa as funções básicas de criptografia, disponibilizando
várias outras funções utilitárias.
O OpenSSL está disponível para a maioria dos
sistemas do tipo Unix,
incluindo Linux, Mac OS X,
as quatro versões do BSD de
código aberto e também para o Microsoft Windows,
e é usado por muitos sites e outras aplicações como email, mensagens
instantâneas e VPNs.
MAS AFINAL O QUE É HEARTBLEED?
Heartbleed é o nome que os pesquisadores de
segurança deram para um erro grave encontrado em um pedaço de software comum
utilizado em vários sites. O software em questão é o OpenSSL . Nem é preciso analisar
profundamente a logo da falha para perceber que faz sentido: um coração
sangrando consegue representar a perda progressiva de algo importante, uma
metáfora que se encaixa bem no contexto do Heartbleed: na falha, os dados são
capturados aos poucos, em vários acessos sequenciais.
A vulnerabilidade Heartbleed permite que um invasor
leia os sistemas de memória utilizando certas versões do OpenSSL, com a
possibilidade de acessarem nomes de usuários, senhas ou até mesmo as chaves
criptográficas secretas do servidor usadas para o SSL. A obtenção dessas chaves
permite que usuários maliciosos observassem todas as comunicações desse sistema
e mais explorações.
Figura 2. : Gráfico servidores que suportam SSL :
Fonte (SITE, securityaffairs.com)
Os
administradores de sistemas, podem verificar e atualizar os seus
servidores caso estejam com as versões do OpenSSL de 1.0.1 até o 1.0.1f que são
são vulneráveis. Versões anteriores à 1.0.1, como a 1.0.0 e 0.9.8, não são
vulneráveis. E que a versão 1.0.1g corrige o bug, portanto não é vulnerável.
Para
verificar se os servidores estão vulneráveis, o comando abaixo pode ser
utilizado:
$ echo -e “quit\n” | openssl s_client -connect
seuhost:443 -tlsextdebug 2>&1| grep ‘TLS server extension “heartbeat”
(id=15), len=1′
O QUE PENSO SOBRE ESSA SOBRE ESSA COISA TODA
O mundo moderno, tem se caracterizado pelo avanço
da ciência e da tecnologia. Uma vez encontrada uma falha de segurança, pode-se
consertá-la. Mas encontrar falhas pode ser extremamente difícil. Segurança é
diferente de qualquer outro requisito de projeto, porque funcionalidade não é
igual à qualidade. Nenhuma quantidade de testes beta revela todas as falhas de
segurança de um sistema, e não haverá nenhum teste possível que preveja
a ausência destas falhas.
Estudiosos do mundo inteiro têm
se pronunciado sobre a forma como as questões de segurança e dados on-line
devem ser resolvidas no futuro. Alguns sugerem que não se deve mais aceitar
senhas como uma prática de segurança suficiente, mas sim substituí-las
pela identificação biométrica (Temos um post sobre sistema
biométricos aqui). Essa estratégia pode ser potencialmente benéfica, mas, por
outro lado, exige um esforço financeiro maior. Gastar dinheiro com computadores,
laptops e dispositivos móveis relativamente mais caros. Além disso, alguns
céticos presumem que biometria está longe de ser um remédio,
especialmente se o identificador, inserido em um smartphone por exemplo, não
conseguir reconhecer as impressões
digitais de seu dono.
A segurança dos dados deve ser
considerada o assunto principal para cada negócio, logo, torna-se
imprescindível tomar todas as medidas necessárias para manter
a informação segura. É difícil prever como essas
falhas de segurança são susceptíveis, mas agora, vivendo na prática o caso
Heartbleed esperamos tomar as decisões certas.


Nenhum comentário:
Postar um comentário