LOS ANGELES – Empresas de internet se apressaram nesta terça-feira, 8, para reparar seus sistemas depois do alerta sobre um grave erro de software no método de criptografia OpenSSL. A falha teria comprometido seriamente, desde 2012, a segurança de dois terços dos sites existentes no mundo.
O sistema é amplamente utilizado para proteger informações de sites seguros e seus respectivos servidores. Com o OpenSSL, logins, senhas e dados bancários ficam criptografados e protegidos. Quando o usuário entra em sites com “https” no endereço, como os identificados com cadeado, está provavelmente sob a asa do OpenSSL.
Yahoo!, Google, Facebook, YouTube, Twitter, Blogspot, Amazon, WordPress e Pinterest, que utilizam o SSL, informaram que já repararam a falha, apelidada de HeartBleed.
Segundo a página Heartbleed.com o erro punha ao alcance de qualquer hacker o acesso a unidades de informação privada e protegida hospedadas em servidores que usassem o OpenSSL, uma codificação de segurança de uso frequente na internet.
O problema permite que invasores possam colher senhas, cookies de autenticação e outros dados sigilosos da memória dos servidores dos sites.
“Você provavelmente foi afetado, direta ou indiretamente”, indica o site Heartbleed.com. “Sua rede social, o site de sua empresa, a de comércio eletrônico, a página da qual instala um software e inclusive páginas governamentais podem ter ficado vulneráveis”.
A essa lista é preciso acrescentar e-mails, mensagem instantâneas e redes privadas de comunicação (VPN).
Alcance incerto
Ainda não se tem ideia da dimensão dos estragos feitos por cibercriminosos com acesso ao HeartBleed, e nem mesmo como anda o processo de atualização de uma série de servidores. Como os ataques não deixam rastros, é quase impossível descobrir se o usuário ou site foi vítima. Muito por conta disso, até agora não apareceu qualquer informação de uso criminoso que tenha se aproveitado da falha do sistema OpenSSL.
As recomendações de especialistas para lidar com problema variam. Alguns pedem que usuários evitem nesta semana a internet para operações com dados sigilosos, que exigem login e senha. Outros recomendam a mudança imediata de logins e senhas. Quanto a esse procedimento, não há unaniidade. Existem especialistas que consideram melhor não proceder com a alteração, pois insistir em usar um site vulnerável poderia aumentar o problema.
Uma medida sensata é aguardar instruções do site que se costuma utilizar. O Tumblr, por exemplo, orientou usuários a trocar de senha. O site Ars Technica “recomendou fortemente” a troca de senhas de pessoas cadastradas.
Foi criado um site especial para tratar do assunto, com explicações detalhadas sobre o problema e recomendações a usuários. Outro site especializado traz uma ferramenta que permite a checagem de endereços online, bastando inserir a URL em um campo apresentado.
Consultadas pelo Link, assessorias dos bancos Itaú e Bradesco e da Febraban disseram que não havia nenhuma orientação oficial a respeito de procedimentos que deveriam ser adotados pelos clientes de seus serviços de internet.
A falha foi localizada por engenheiros do Google e da empresa de segurança cibernética Codenomicon na semana passada e na segunda-feira pela noite os responsáveis do OpenSSL divulgaram o problema, ao mesmo tempo em que publicaram uma atualização que o soluciona.
A vulnerabilidade remonta à versão OpenSSL 1.0.1 lançada no dia 14 de março de 2012 e afeta também a versão 1.0.1f.
/ com EFE
