Translate

segunda-feira, 25 de maio de 2015

Heartbleed - A falha de Segurança que Assustou o Mundo

Olá queridos leitores! 

Quanto tempo sem postar aqui!  Acharam que eu tinha caído  no Triângulo das Bermudas? Nada, tempo corrido demais! Quando vejo já é sexta, já passou um mês acabou o ano. Deixando o "lero lero" de lado, hoje vim aqui para falar de um assunto que assustou o mundo da segurança da informação em 2014 a vulnerabilidade Heartbleed caso se interessem pelo assunto me acompanhem nessa. 


Nos dias atuais, somos levados a acreditar que podemos comprar soluções prontas para os nossos problemas, de preferência feitas sob medida e que atendam nossas necessidades. Na segurança da informação não é diferente, o mercado está abastecido de soluções para todos os tipos problemas. Mas, a essência do que se busca nem sempre pode ser encontrada na prateleira mais baixa de um armário, embrulhada em um pacote. É preciso ter cautela e analisar com paciência o que melhor nos atende, pois muitas dessas soluções prontas estão em processo de maturidade e apresentam falhas graves.    
Em Abril de 2014, foi oficialmente divulgada uma falha na biblioteca de criptografia  OpenSSL, falha essa que seus descobridores criativamente chamaram de Heartbleed em inglês, sangramento no coração. Teoricamente, não deveríamos nos preocupar, já que estamos trabalhando com uma biblioteca que utiliza protocolos de segurança SSL e TLS e até da para se questionar como um hacker vai conseguir encontrar os nossos “dados secretos”. Perceba que escrevi dados secretos entre aspas, exatamente porque eles não estão tão secretos assim. No caso Heartbleed nem foi  preciso ser um agente NSA da vida para saber tudo a nosso respeito. 
 Certo. Mas como isso é possível? A coisa toda não é criptografada? Acontece que os servidores de autenticação precisam manter os dados de login sempre na memória para que a conexão seja mantida.  Logo, os dados dos usuários vêm nesse roubo da memória e o hacker só precisa usar a senha de criptografia para descobrir os dados verdadeiros e assim acessar Yahoo, Facebook, Google, Amazon, Instagram e outros tantos sites operam com  OpenSSL. Detalhe importante,  era possível atacar sem deixar nenhum tipo de vestígio, mesmo fazendo acesso por fora dos servidores.
Muitas tecnologias inseguras ( o que não era o caso do OpenSSL)  ainda não foram quebradas porque estão no que podemos chamar carinhosamente de infância de software. À medida que se tornam mais conhecidos e utilizadas, infelizmente são alvos atraentes para criminosos. Concluindo esse discurso pessimista e simultaneamente realista, podemos afirmar que em futuro próximo, sobreviverão no mercado apenas as tecnologias robustas e evoluídas.

 SSL E TLS
Tanto o SSL quanto o TLS são protocolos desenvolvidos para elevar a segurança dos dados transmitidos pela internet. As diferenças entre eles são pequenas e técnicas, O TLS tem capacidade de trabalhar em portas diferentes e usa algoritmos mais fortes. O SSL pode ser usado em vários serviços, sendo que o mais comum é o acesso à páginas web.  
Ambos fazem uso de criptografia para garantir o sigilo das informações transferidas entre o navegador do usuário e o servidor web. Como consequência, mesmo que as informações sejam interceptadas elas não podem ser lidas sem que sejam descriptografadas.


Figura 01.  Funcionamento SSL: Fonte (SITE, tecmundo.com. br/seguranca/1896-o-que-e-ssl)

              NÃO DA PARA FALAR DE HEARTBLEED SEM FALAR DE  OPENSSL

O OpenSSL é uma biblioteca de software criptográfico que opera com os protocolos   SSL e TLS. Essa biblioteca é escrita na linguagem C e implementa as funções básicas de criptografia,  disponibilizando várias outras  funções utilitárias.
O OpenSSL está disponível para a maioria dos sistemas do tipo Unix, incluindo LinuxMac OS X, as quatro versões do BSD de código aberto e também para o Microsoft Windows, e é usado por muitos sites e outras aplicações como email, mensagens instantâneas e VPNs.

MAS AFINAL O QUE É HEARTBLEED? 
Heartbleed é o nome que os pesquisadores de segurança deram para um erro grave encontrado em um pedaço de software comum utilizado em vários sites. O software em questão é o OpenSSL .  Nem é preciso analisar profundamente a logo da falha para perceber que faz sentido: um coração sangrando consegue representar a perda progressiva de algo importante, uma metáfora que se encaixa bem no contexto do Heartbleed: na falha, os dados são capturados aos poucos, em vários acessos sequenciais.
A vulnerabilidade Heartbleed permite que um invasor  leia os sistemas de memória utilizando certas versões do OpenSSL, com a possibilidade de acessarem nomes de usuários, senhas ou até mesmo as chaves criptográficas secretas do servidor usadas para o SSL. A obtenção dessas chaves permite que usuários maliciosos observassem todas as comunicações desse sistema e mais explorações.



Figura 2.  : Gráfico servidores que suportam SSL : Fonte (SITE,  securityaffairs.com)

Os administradores de sistemas, podem verificar  e atualizar os seus servidores caso estejam com as versões do OpenSSL de 1.0.1 até o 1.0.1f que são são vulneráveis. Versões anteriores à 1.0.1, como a 1.0.0 e 0.9.8, não são vulneráveis. E que a versão 1.0.1g corrige o bug, portanto não é vulnerável.
Para verificar se os servidores estão vulneráveis, o comando abaixo pode ser utilizado:
$ echo -e “quit\n” | openssl s_client -connect seuhost:443 -tlsextdebug 2>&1| grep ‘TLS server extension “heartbeat” (id=15), len=1′

O QUE PENSO SOBRE ESSA SOBRE ESSA COISA TODA

O mundo moderno, tem se caracterizado pelo avanço da ciência e da tecnologia. Uma vez encontrada uma falha de segurança, pode-se consertá-la. Mas encontrar falhas pode ser extremamente difícil. Segurança é diferente de qualquer outro requisito de projeto, porque funcionalidade não é igual à qualidade. Nenhuma quantidade de testes beta revela todas as falhas de segurança de um sistema, e não haverá nenhum  teste possível que preveja  a ausência destas falhas.

Estudiosos do mundo inteiro têm se pronunciado sobre a forma como as questões de segurança e dados on-line devem ser resolvidas no futuro. Alguns sugerem que não se deve mais aceitar senhas como uma prática de segurança suficiente, mas sim substituí-las pela   identificação biométrica (Temos um post sobre sistema biométricos aqui). Essa estratégia pode ser potencialmente benéfica, mas, por outro lado, exige um esforço financeiro maior. Gastar dinheiro com computadores, laptops e dispositivos móveis relativamente mais caros. Além disso, alguns céticos presumem que   biometria está longe de ser um remédio, especialmente se o identificador, inserido em um smartphone por exemplo, não conseguir  reconhecer as   impressões digitais de seu dono.

A segurança dos dados deve ser considerada o assunto principal para cada negócio, logo, torna-se imprescindível tomar  todas as medidas necessárias para manter a  informação  segura. É difícil prever como essas falhas de segurança são susceptíveis, mas agora, vivendo na prática o caso Heartbleed esperamos tomar as decisões certas.













Nenhum comentário:

Postar um comentário