{"id":2750,"date":"2014-04-10T16:07:11","date_gmt":"2014-04-10T16:07:11","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=2750"},"modified":"2020-02-26T13:15:59","modified_gmt":"2020-02-26T16:15:59","slug":"heartbleed-como-se-proteger","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/heartbleed-como-se-proteger\/2750\/","title":{"rendered":"Falha “Heartbleed” pode comprometer sua seguran\u00e7a em milhares de sites"},"content":{"rendered":"

Voc\u00ea sabe que uma vulnerabilidade de seguran\u00e7a \u00e9 grave quando um programa t\u00e3o importante como Morning Edition da r\u00e1dio americana NPR come\u00e7a sua sess\u00e3o das 8h da manh\u00e3 falando sobre ela. Tal foi o caso, esta manh\u00e3, com a hist\u00f3ria de uma grave falha de criptografia \u2013 apelidada Heartbleed \u2013 na OpenSSL, talvez a biblioteca de criptografia mais amplamente adotada na Internet. Se voc\u00ea est\u00e1 um pouco confuso sobre o que tudo isto significa, n\u00e3o se preocupe, vamos explicar toda a hist\u00f3ria nas pr\u00f3ximas 500 palavras.<\/span><\/p>\n

\n<\/p>

Quando voc\u00ea estabelece uma conex\u00e3o criptografada para um site, seja Google, Facebook ou seu banco, os dados s\u00e3o criptografados usando o protocolo SSL\/TLS. Muitos servidores web utilizam a biblioteca OpenSSL de c\u00f3digo aberto para fazer este trabalho. No in\u00edcio desta semana, os mantenedores do OpenSSL lan\u00e7aram uma corre\u00e7\u00e3o para um bug na implementa\u00e7\u00e3o do recurso de TLS chamado \u201cHeartbleed\u201d, que poderia revelar at\u00e9 64Kb de mem\u00f3ria do servidor para cibercriminoso.<\/p>\n

Em outras palavras, a falha pode ter permitido a qualquer um na Internet ler a mem\u00f3ria de uma m\u00e1quina usando uma vers\u00e3o vulner\u00e1vel da biblioteca. No pior dos casos, este pequeno bloco de mem\u00f3ria pode conter algo sens\u00edvel \u2013 nomes de usu\u00e1rio, senhas ou at\u00e9 mesmo uma chave privada (usada pelo servidor para manter sua conex\u00e3o criptografada). Al\u00e9m disso, a explora\u00e7\u00e3o da Heartbleed n\u00e3o deixa rastros, ent\u00e3o n\u00e3o h\u00e1 nenhuma maneira definitiva de saber se um servidor foi hackeado e que tipo de dados vazaram.<\/span><\/p>\n

A boa not\u00edcia: o OpenSSL corrigiu o bug. A m\u00e1 not\u00edcia: n\u00e3o h\u00e1 nenhuma maneira de garantir que esses sites e servi\u00e7os afetados pela Heartbleed est\u00e3o implementando o update que o conserta. E a outra m\u00e1 not\u00edcia: parece que o bug \u00e9 bastante f\u00e1cil de explorar e pode ter existido por dois anos. Isso significa que os certificados de muitos locais populares de seguran\u00e7a podem ter sido roubados, assim como muitos dados confidenciais do usu\u00e1rio, inclusive senhas.<\/span><\/p>\n

O plano de a\u00e7\u00e3o para o usu\u00e1rio<\/span><\/strong><\/p>\n