Subscrever RSS Subscrever RSS
Edição de 30-11-2024
  • Edição Actual
  • Jornal Online

    Arquivo: Edição de 16-05-2014

    SECÇÃO: Tecnologias


    Hartbleed, o bug que afeta toda a gente

    CLÁUDIO NOVAIS (*)

    O bug Heartbleed vem causando dores de cabeça em todos os que pensavam ter sites seguros. O chamado Heartbleed bug afeta o OpenSSL, e torna-se num vetor de risco preocupante que permite não só interceptar o conteúdo das comunicações “seguras” como as próprias chaves SSL.

    Já se sabe que é possível fazer-se uma comunicação segura utilizando canais potencialmente inseguros, e na grande maioria dos casos esse sistema usa o OpenSSL. O que se passa é que existe este bug “Heartbleed” que afeta as versões 1.0.1 e 1.0.2 beta do OpenSSL e que transforma essas ligações supostamente seguras em ligações altamente vulneráveis e que colocam utilizadores e os próprios servidores em risco.

    Esta falha permite que um atacante consiga descodificar as mensagens seguras enviadas entre utilizadores e servidores que usem estas versões do software, e também recuperar as chaves primárias e secundárias do SSL, algo que por si só até fará arrepiar qualquer administrador de sistemas.

    Dentro da gravidade do problema, a única boa notícia é a de que este bug se deve a uma falha na programação destas versões e não devido a uma falha implícita do sistema SSL – o que faz com que o problema seja de fácil resolução, passando-se a utilizar uma versão do OpenSSL corrigida.

    Por este motivo, principalmente para os administradores de sistemas, é importante que mantenham o sistema atualizado. Segundo alguns comentários pela internet, apesar da Canonical ter disponibilizado atualizações houve casos onde ela não foi realmente aplicada nos seus computadores. Se estiver preocupado com a segurança do seu servidor, veja este site:

    http://askubuntu.com/questions/445590/heartbleed-dist-upgrade-didnt-fix-it.

    Eu devo preocupar-me?

    Os administradores de servidores, se utilizam protocolos de segurança têm de urgentemente atualizar seus sistemas e devem avisar seus utilizadores que devem alterar as passwords.

    Por outro lado, utilizadores comuns devem alterar as passwords da maioria dos serviços públicos, nomeadamente da conta do Google, Facebook, entre outros serviços. Há uma tabela interessante no Mashable que mostra precisamente quais são os sites que temos de alterar as passwords [entre eles Amazon, Box, Dropbox, Evernote, Facebook, Gmail, Google, Instagram, Wikipedia, Yahoo, Yahoo Mail e You Tube].

    (*) Fonte: Ubuntued, excerto.

     

     

    este espaço pode ser seu Este espaço pode ser seu Este espaço pode ser seu
    © 2005 A Voz de Ermesinde - Produzido por ardina.com, um produto da Dom Digital.
    Comentários sobre o site: [email protected].