Com informações da BBC - 10/04/2014
Usuários da internet de todo o mundo foram pegos de surpresa com um alerta de segurança ainda não totalmente explicado.
Diversas companhias de tecnologia estão pedindo que usuários troquem suas senhas, após a descoberta de um grave problema de segurança.
O problema parece afetar o OpenSSL, uma camada de software usada para garantir a segurança de dados em transações.
Em vez de proteger, o próprio programa teria sido usado para permitir espionagem.
OpenSSL
O OpenSSL é uma plataforma de criptografia usada para embaralhar informações sensíveis passadas de um computador para outro, de modo que só o provedor de serviço e os recipientes podem interpretar as informações trocadas.
Se uma organização emprega o OpenSSL, os usuários veem um ícone de cadeado no seu navegador.
Segundo o site do OpenSSL, "uma falha na verificação de limites na manipulação da extensão TLS Heartbeat pode ser usada para revelar até 64k de memória de um cliente ou servidor conectado".
Em uma referência à rotina Heartbeat (batimento cardíaco), o ataque foi batizado de Heartbleed, algo como hemorragia no coração.
A nota diz ainda que apenas as versões 1.0.1 e 1.0.2-beta do OpenSSL e suas variantes foram afetadas.
A instrução é que os administradores dos servidores atualizem o Open SSL para a versão 1.0.1g. A versão 1.0.2 foi corrigida e rebatizada de 1.0.2-beta2.
Segredos copiados
O Google e a Codenomicon - empresa de segurança finlandesa - revelaram que uma falha existente no OpenSSL há mais de dois anos poderia ser usada para expor chaves secretas que identificam prestadores de serviços que empregam a plataforma.
Segundo eles, se os hackers fizeram cópias dessas chaves, eles poderão roubar os nomes e senhas de pessoas que utilizam os serviços, tirar cópias de seus dados e configurar sites falsos parecidos com os legítimos, já que usariam as credenciais roubadas.
"Se as pessoas acessaram um serviço durante a janela de vulnerabilidade, há uma chance de que a senha já tenha sido recolhida," disse o diretor de tecnologia da Codenomicon, Ari Takanen. "Nesse caso, é uma boa ideia alterar as senhas em todos os portais atualizados."
Outras empresas de segurança demonstraram surpresa com a revelação.
Segundo a BBC, o Google alertou um número seleto de organizações sobre o problema antes de torná-lo público, para que as empresas pudessem atualizar seus equipamentos com uma nova versão do OpenSSL liberado no início da semana.
No entanto, o Yahoo aparentemente não foi incluído nesta lista e o site de tecnologia Cnet informou que algumas pessoas foram capazes de obter nomes de usuários e senhas antes que a empresa pudesse fazer a correção.
Várias empresas de segurança e desenvolvedores independentes publicaram testes online para ajudar o público a descobrir se os serviços ainda estão expostos.
No entanto, não há nenhuma maneira simples de descobrir se eles estiveram vulneráveis antes.
Sem exageros
Já um pesquisador do Laboratório de Informática da Universidade de Cambridge disse que seria exagerado dizer que todos deveriam parar com tudo para substituir suas senhas.
"Eu acho que há um risco baixo a médio de que qualquer senha tenha sido comprometida", disse Steven Murdoch.
"Não é igual às violações anteriores, onde foi confirmado que listas de senhas foram postadas na internet. Não é tão urgente assim. Mas a mudança de senhas é muito fácil. Portanto, não é uma má ideia, mas não é algo que as pessoas têm que sair correndo para fazer a não ser que o seu serviço recomende a fazê-lo," recomendou Murdoch.