terça-feira, 15 de abril de 2014

Heartbleed Bug

Heartbleed Bug, como ficou conhecida, é uma falha existente no software de criptografia de código aberto OpenSSL, largamente utilizada para transmissão de dados (de forma segura) pela Internet, através do protocolo TLS - Transport Layer Security.

Esta falha foi publicamente anunciada dia 7 de abril de 2014, na mesma data em que disponibilizada uma correção para o software OpenSSL, sendo que a maioria dos servidores vulneráveis já implementaram a correção.

Estima-se que esse erro de implementação no OpenSSL deixou 17% dos servidores da Internet (aproximadamente meio milhão de computadores) vulneráveis a ataques, pelos quais um usuário conseguiria "ler" parte da memória RAM nestes servidores, obtendo as chaves privadas do servidor, assim como dados e senhas de usuários.

O xkcd explica, em linguagem simplificada, como essa falha poderia ser aproveitada de forma maliciosa:



A recomendação: troque suas senhas da Internet.

Minha sugestão: passe a usar (se ainda não faz) um gerenciador de senhas.  Na prática, em duas palavras, minhas recomendações específicas de aplicativos: se você busca praticidade (e não se incomoda que suas senhas estejam em um servidor de terceiro, ainda que criptografadas), use LastPass; se você busca uma solução de código aberto e quer que suas senhas fiquem apenas no seu computador, use KeePass ou KeePassX.