Guia rápido para entender e se proteger do Heartbleed

Falha de segurança afetou serviços como Google, Facebook, Twitter e Tumblr; saiba o que você precisa fazer para se defender

PUBLICIDADE

Por Bruno Capelas
Atualização:
 

SÃO PAULO – Uma falha de segurança chamada Heartbleed foi descoberta na última semana em diversos sites, como Google, Twitter e Facebook, que utilizam o certificado de segurança Open SSL. O problema gerou pânico na rede, e não foram poucos os sites e empresas de cibersegurança que recomendaram a seus usuários a substituição de senhas para evitar invasões e vazamento de dados, embora analistas também tenham afirmado que mudar as palavras-passe não mudariam muita coisa. Além disso, há quem afirme que, por causa do Heartbleed, que existe desde 2012, a internet vai ficar mais lenta nos próximos meses.

PUBLICIDADE

Pensando nisso, o Link resolveu fazer um guia para te ajudar a entender o problema e saber o que fazer para evitar roubo de informações pessoais, ataques ao seu smartphone e/ou PC e outros danos maiores.

O que é o Heartbleed?O Heartbleed é o nome que se deu a um erro no sistema de criptografia Open SSL. O Open SSL é um sistema que ajuda sites que guardam os seus dados pessoais, profissionais e bancários a criptografá-los, decodificando-os de maneira que eles não possam ser simplesmente acessados.

Dois terços dos sites do mundo usam o Open SSL para fornecer mais segurança aos seus usuários. Toda vez que você entra em um site seguro, ele transforma o começo do endereço da página em HTTPS, para mostrar que a operação está sendo encriptada e os seus dados estão protegidos.

Com o Heartbleed, esse certificado de segurança não fica tão bem protegido assim, permitindo que hackers e criminosos possam tentar invadir os servidores dessas empresas para roubar os seus dados (uma vez que eles não estão tão bem criptografados) ou mudar sua aparência para fazer com que você mesmo permita a entrada de arquivos maliciosos no seu computador — em um esquema conhecido por phishing.

Ou, explicando de um jeito simples, “imagine se todas fechaduras de porta que a gente usa no mundo fossem quebradas de uma vez só”, como disse Jason Healey, um especialista em cibersegurança ao The Washington Post.

Quem foi afetado?A princípio, todos os sites que utilizam Open SSL no mundo foram afetados pelo problema. Isso envolve uma lista gigantesca de endereços, que inclui os já citados Google, Facebook e Twitter, Instagram, Flickr, Tumblr, Gmail, Dropbox, WordPress e Amazon Web Services e muitos outros. Além disso, apps como Netflix, Steam, Wikipedia, Box e os serviços do Yahoo também tiveram problemas. Na semana passada, foi revelado ainda que a) a NSA, agência de vigilância dos EUA, utilizou-se da falha para espionar pessoas e corporações; e b) que 900 contribuintes canadenses tiveram seus dados roubados por um erro de segurança. 

Publicidade

Quem não foi afetado?Apesar de ser bastante popular, o Open SSL não é usado por todos os sites do mundo. Redes sociais como o LinkedIn e serviços como o Slideshare não foram afetados — o mesmo vale para Hotmail e Outlook, os provedores de email da Microsoft que usam certificados de segurança diferentes. Quanto aos aplicativos, Evernote, serviços da Apple e da Amazon, PayPal e programas desenvolvidos pela Microsoft (como Bing e Skype) estão fora da lista. Além disso, os sites governamentais (Receita Federal, Polícia, ministérios) e os dos bancos mais importantes do País também não registraram problemas.

O que eu preciso fazer?Antes de tudo, vale a pena checar se os sites que você mais visita foram afetados ou não pela falha. Não precisa gastar seu tempo fazendo Ctrl+F numa lista gigante, leitor: se você usa Firefox ou Chrome, já existem extensões que podem ser instaladas no navegador e te mostram se o site que voce está visitando está vulnerável ao Heartbleed. Outra maneira é pesquisar pelos endereços no site a seguir, feito pelo desenvolvedor Filippo Valsorda: nele, é possível buscar os sites e saber se eles foram afetados. Se você usa Android, há um aplicativo específico para vasculhar o seu sistema que você pode instalar via PlayStore. 

O segundo passo é trocar suas senhas: só assim você poderá ter certeza que está seguro. Entretanto, é preciso verificar se o site/aplicativo que você usa já mudou seus certificados de segurança: caso contrário, o problema persistirá e um possível invasor continuará tendo acesso às suas informações. Uma semana depois da descoberta da falha, a maior parte dos sites afetados já mudou sua proteção. Ou seja: troque agora mesmo a sua senha de:

Facebook, Twitter, Instagram, Pinterest, Tumblr, contas do Google (incluindo serviços como Gmail, Blogger e Google+) , contas do Yahoo (incluindo serviços como o Flickr), o jogo Minecraft, Netflix, Soundcloud, Box, Dropbox, WordPress, Wikipedia (se você tiver uma conta nela, apenas), Steam, Hulu, e os serviços de jogos Wargaming, Sony Online Entertainment, Origin, PlayStation Store, Nintendo, League of Legends, Humble Bundle e CallofDuty.com

CONTiNUA APÓS PUBLICIDADE

Outra solução é começar a usar a partir de agora um gerenciador de senhas, como o LastPass: trata-se de um serviço que cria uma senha diferente para cada site e serviço que você usa (evitando um efeito dominó de que, se um invasor descobrir uma senha sua, ele fatalmente poderá entrar em outros serviços). Você pode demorar algum tempo recadastrando todas a suas senhas no serviço, mas caso você se preocupe realmente com sua segurança e privacidade na internet a dica serve até mesmo para o que não foi afetado pelo Heartbleed.

E o que vai acontecer com a internet?Com a falha de segurança do Open SSL, muitos são os sites que precisaram rever seus códigos para se tornarem mais seguros — de maneira que a internet pode parecer mais lenta nos últimos dias. Isso acontece porque cada vez que você entra em um site, ele carrega um certificado de segurança para o seu computador — da próxima vez que você entrar nele, isso não será necessário. Com a revisão causada pelo Heartbleed, será necessário que esse processo aconteça mais uma vez. Essa matéria do The Washington Post, traduzida pelo Link, dá mais detalhes do que pode acontecer.

Comentários

Os comentários são exclusivos para assinantes do Estadão.