Android Geek
O maior site de Android em Português

Heartbleed FAQS , tira aqui as tuas dúvidas.

O bug Heartbleed , uma vulnerabilidade de segurança recém-descoberta que coloca as passwords dos utilizadores de vários sites populares  em risco , tem abalado a Web , uma vez que foi divulgado no início desta semana . É uma questão extremamente grave e, como tal , há uma grande confusão sobre o bug e as suas implicações.

Apresentamos esta lista de perguntas mais frequentes para ajudar os utilizadores a aprender mais sobre o erro e como se protegerem.

 

 

O que é o Heartbleed ?

Heartbleed é uma vulnerabilidade de segurança no software OpenSSL que permite um acesso de hackers á memória dos servidores de dados . De acordo com a Netcraft , uma empresa de pesquisa de Internet , 500.000 sites podem ser afetados. Isso significa que os dados sensíveis do utilizador pessoal – incluindo nomes de utilizadores , passwords e informações de cartão de crédito – estão potencialmente em risco de ser interceptados .

A vulnerabilidade também significa que um invasor pode roubar chaves digitais de um servidor que são usadas para criptografar as comunicações e tenha acesso aos documentos internos secretos da empresa.

O que é o OpenSSL ?

Vamos começar com SSL. Isso significa Secure Sockets Layer, mas também é conhecido pelo seu novo nome , Transport Layer Security , ou TLS. É o meio mais básico de criptografia de informações na Web , e atenua o potencial de alguém espiar  enquanto navegamos na Internet. ( Observe o ” https” na URL de sites de SSL habilitados como Gmail, em vez de simplesmente “http “).

OpenSSL é um software de código aberto para a implementação SSL em toda a web . As versões com a vulnerabilidade são 1.0.1 através 1.0.1f . OpenSSL também é usado como parte do sistema operacional Linux, e como um componente do Apache e Nginx , dois programas para a execução de sites amplamente  usados. Conclusão: A sua utilização em toda a Web é muito grande.

Quem descobriu o bug ?

O crédito é dado a empresa de segurança Codenomicon e ao  pesquisador da Google Neel Mehta,  ambos encontraram o erro de forma independente um do outro, mas no mesmo dia .

 

Por que é chamado Heartbleed ?

De acordo com Vocativ , o termo ” Heartbleed ” foi atribuído  por Ossi Herrala , um administrador de sistemas em Codenomicon . Este nome fica mais no ouvido do que o seu nome original , CVE- 2014-0160 , referindo-se á linha de código que continha o bug.

Heartbleed é um jogo de palavras que se referem a uma extensão no OpenSSL chamado de ” batimento cardíaco “. O protocolo é usado para manter conexões abertas , mesmo quando os dados não estão a ser partilhados entre essas conexões. Herrala ” pensei que era apropriado chamá-lo de Heartbleed porque estava sangrando as informações importantes da memória “, David Chartier, executivo-chefe da Codenomicon , disse á Vocativ .

Se o nome soa cativante demais para uma falha de segurança , este  é exatamente o ponto . A equipe da Codenomicon queria apresentar a questão de forma agradável e que se tornasse viral, para que se espalhe rapidamente, para avisar mais pessoas da falha . Logo depois atribuirem o nome ao bug, eles compraram o domínio Heartbleed.com para informar a  Web sobre a falha .

Por que alguns sites não são afetados por Heartbleed ?

Embora OpenSSL seja muito popular, existem outras opções SSL / TLS. Além disso, alguns sites usam uma versão anterior e não afetada , e alguns não ativaram o recurso de ” batimento cardíaco “, que foi fundamental para a vulnerabilidade.

Enquanto não se resolver o problema, o que reduz o alcance do dano potencial é a implementação de frente sigilo perfeito, ou PFS , uma prática que garante que as chaves de criptografia têm uma vida útil muito curta, e não são usadas ​​para sempre. Isso significa que se um atacante conseguiu obter uma chave de criptografia de memória de um servidor, o atacante não seria capaz de decodificar todo o tráfego seguro do servidor porque as chaves de uso são usadas por tempo limitado. Enquanto alguns gigantes da tecnologia , como Google e Facebook , começaram a apoiar PFS , nem toda empresa  o fez.

Como é que o bug funciona?

A vulnerabilidade permite um acesso de hackers até 64 kilobytes de memória do servidor . Isso significa que um invasor pode obter não apenas nomes de utilizadores e passwords , mas também dados de “cookies” que os servidores Web e navegadores usam para rastrear indivíduos e facilidade de log -in. De acordo com a Electronic Frontier Foundation , fazendo o ataque repetidamente poderia produzir informações mais sérias, como chave SSL privada de um site , usada para criptografar o tráfego . Com essa chave , alguém poderia correr uma versão falsa de um site e usá-lo para roubar todos os outros tipos de informações , como números de cartão de crédito ou mensagens privadas.

Devo mudar minhas passwords ?

Para muitos sites , sim. Mas espere até chegar a confirmação do operador de site que o bug foi corrigido . É uma reação natural de querer mudar todas as suas passwords imediatamente , mas se bug do site da Web não foi corrigido ainda ,  a mudança poderia ser inútil – estariamos  apenas potencialmente a dar a um atacante a sua nova senha .

Como faço para verificar se um site foi afetado ?

Algumas empresas e desenvolvedores criaram locais de teste para verificar quais sites são vulneráveis ​​ou seguros. Dois bons são por LastPass , uma empresa que faz software de gerenciamento de passwords , e Qualys , uma empresa de segurança . Embora esses sites de teste sejam uma boa verificação preliminar, continuem a proceder com cautela , mesmo que o site dê uma indicação totalmente segura.

O Android Geek PT vai manter-se a par deste assunto e voltaremos a aborda-lo sempre que se justifique.

Mas a coisa mais prudente a fazer agora é obter a confirmação dos sites através de um dos seus canais oficiais. Muitas empresas têm vindo a colocar posts e emitir declarações sobre a saúde dos seus sites. Ou podem ainda em caso de dúvida dirigir-vos por e-mail ás entidades das quais pretendem esclarecimentos.

MAIS SOBRE HEARTBLEED

Saiba se deve mudar a sua Password agora mesmo

Ajuda-nos a chegar mais longe, partilha com os teus amigos

Obrigado pela visita!

Este Website usa cookies para providenciar uma melhor experiência. Pode recusar se desejar. Aceitar Saber Mais

Ajuda-nos a chegar mais longe, partilha com os teus amigos

Obrigado pela visita!
close-link