Brian FungThe Washington Post
Os esforços para consertar a famosa falha de segurança conhecida como Heartbleed ameaçam causar grandes perturbações na internet no decorrer das próximas semanas conforme as empresas correm para reparar sistemas de criptografia em centenas de milhares de sites da web ao mesmo tempo, dizem especialistas em segurança.
As estimativas da gravidade dos estragos provocados pela falha aumentaram quase diariamente desde quando pesquisadores anunciaram a descoberta do bug Heartbleed na semana passada. Aquilo que inicialmente pareceu ser apenas uma inconveniente questão de mudar senhas para garantir a proteção parece agora ser muito mais sério. Novas revelações indicam que hackers habilidosos podem usar o bug para criar sites falsos imitando serviços legítimos, enganando os usuários e fazendo com que cedam valiosas informações pessoais.
A mera dimensão do trabalho necessário para corrigir esse aspecto do bug – que torna possível o roubo dos “certificados de segurança” que verificam a autenticidade de uma página da internet – pode sobrecarregar os sistemas projetados para manter a web segura.
“Imagine se todos descobríssemos ao mesmo tempo que todas as portas usadas por todo mundo estão vulneráveis – todas elas podem ser invadidas”, disse Jason Healey, estudioso de segurança cibernética do Atlantic Council, em Washington. “O único limite para o tipo de prática maliciosa possibilitada pela falha é a imaginação dos malfeitores.”
A falha de segurança Heartbleed colocou em risco os nomes de usuário e senha de muitos consumidores. Sem ser detectado por dois anos, o bug sabotou discretamente a segurança elementar da internet ao deixar uma brecha no OpenSSL, tecnologia de criptografia usada amplamente pelas empresas para proteger dados sigilosos. De acordo com algumas estimativas, a falha afetou até dois terços da internet; a brecha levou milhares de usuários da web a mudarem suas senhas no Google, Yahoo, Facebook e outros serviços importantes.
Não surgiu nenhum exemplo de alguém que tenha explorado a vulnerabilidade. Mas, na sexta feira, a empresa de serviços da web CloudFare fez um desafio aberto aos hackers para ver se o Heartbleed poderia ser usado para realizar algo realmente perigoso – roubar os certificados de segurança que provam que o site do Google é realmente o site do Google, por exemplo.
Guia rápido para entender e se proteger do HeartbleedFalha de segurança afetou serviços como Google, Facebook, Twitter e Tumblr; saiba o que você precisa fazer para se defender
Desafio Os testes iniciais da CloudFare indicaram que seria provavelmente impossível que um hacker roubasse o certificado de segurança de um site para atrair os visitantes a uma duplicata de aparência e funcionamento idênticos aos da página original. (Ao detectar um certificado de segurança inválido, a maioria dos navegadores bloqueia o acesso à página, alertando o usuário para o problema. Mas, com um certificado roubado, um site falso seria carregado normalmente como se fosse o original.)
Para o desafio, a CloudFare pediu aos usuários da internet que rodassem seus próprios testes num servidor falso com o bug Heartbleed. Os hackers tinham que roubar o certificado de segurança do servidor e, em seguida, enviar à CloudFare uma mensagem “assinada” pelo certificado para provar que o tinham obtido. Nove horas após o desafio ser feito – e três horas depois de começar a trabalhar no problema -, um hacker chamado Fedor Indutny se tornou o primeiro a decifrar o código.
“Foi apenas uma maneira divertida de passar a noite de sexta feira, e uma boa oportunidade de testar minhas habilidades como hacker dentro da lei”, escreveu Indutny num e-mail ao Washington Post. “Depois de inicializar um script num servidor da nuvem, comecei a assistir a um filme e esqueci do assunto. Mas, ao verificar os logs em cerca de uma hora, fiquei surpreso ao me deparar com uma chave privada.”
A jogada de Indutny logo foi seguida por três outras tentativas bem-sucedidas de hackear a chave de segurança. Um dos hackers, Ben Murphy, disse ao Post que precisou de duas horas para obter a chave secreta do servidor da CloudFare. O roubo do certificado exige esforço. A tentativa de Indutny envolveu 2,5 milhões de solicitações ao servidor CloudFare antes de finalmente obter a chave. Mas aquilo que antes era considerado impossível é agora tido como factível. Os sites podem realmente ser enganados a entregar seus documentos, e esses documentos podem ser reutilizados por pessoas maliciosas.
Não adianta nada mudar as senhas e entregá-las desavisadamente a um hacker fingindo ser seu provedor de e-mail. Nos dias após a revelação da existência do Heartbleed, muitas páginas da web se apressaram para atualizar seus sistemas. Tais consertos taparam o buraco mais imediato, impedindo que hackers pudessem se aproveitar da vulnerabilidade. Mas, diante da descoberta mais recente, muitos sites parecem ainda estar vulneráveis; um invasor poderia se valer do Heartbleed para roubar as chaves de segurança válidas de um site em qualquer momento antes do reparo nos sistemas da página.
Consertando a casa De acordo com os especialistas, o passo seguinte envolve a revogação dos certificados de segurança atuais de todos os 500 mil sites afetados – páginas cujos donos vão desde pequenas empresas de varejo até grandes conglomerados. Mas, por mais necessário que seja este processo, as consequências para o uso diário da web podem ser dramáticas. Ao visitar um site seguro, o navegador confere se o certificado de segurança da página consta numa lista de certificados invalidados. Dependendo da sua programação, o navegador costuma baixar essa lista para o computador no qual está instalado. Como os sites raramente mudam seus certificados, a lista é relativamente curta.
Mas o bug Heartbleed exige agora que centenas de milhares de sites acrescentem seus certificados à lista, praticamente de uma hora para a outra. A lista de certificados revogados vai crescer rapidamente com novas informações. E, de acordo com Paul Mutton, consultor de segurança da empresa de serviços para a web Netcraft, os navegadores continuarão a baixar esses arquivos, agora imensos. A checagem da autenticidade de um site passará a demorar muito mais.
“Se uma autoridade de certificados tiver de revogar 10 mil certificados, o arquivo conterá 10 mil certificados”, disse Mutton. “E, se os navegadores tiverem de baixar isto… estamos falando em centenas de megabytes.” Trata-se do equivalente a baixar 30 minutos de vídeo em definição padrão simplesmente para acessar uma única página da web.
Embora tenhamos observado um modesto aumento no número de sites que revogaram e reemitiram seus certificados de segurança desde a demonstração da nova vulnerabilidade na sexta feira, este aumento não foi significativo, de acordo com Mutton – o que significa que muitos sites ainda não perceberam que precisam reemitir os certificados, ou estão demorando em fazê-lo.
A boa notícia é que muitos dos sites mais importantes da web – aqueles que pertencem a bancos e governos – nunca estiveram vulneráveis ao Heartbleed e, por isso, não terão de reemitir seus certificados. Outros serviços da web, como Facebook, Dropbox, OkCupid e Netflix, foram afetados pelo Heartbleed e estão cuidando da reemissão de seus certificados. Mas há centenas de milhares de outros sites que ainda podem estar expostos.
Healey, do Atlantic Council, disse que as empresas de segurança da web se veem diante de duas opções desagradáveis. A primeira é inundar a infraestrutura de segurança da web com dezenas de milhares de chaves revogadas por dia, correndo o risco de congestionar a rede em nome demelhorias na segurança. A segunda opção não é muito melhor.
“Qual é a outra solução? Pedir às pessoas que continuem vulneráveis por mais algum tempo? Isso não me parece algo especialmente sensato”, disse ele.
/ TRADUÇÃO DE AUGUSTO CALIL
