Sem categoria

O que você precisa saber sobre o Heartbleed e a alteração de suas senhas

O que você precisa saber sobre o Heartbleed e a alteração de suas senhas

[Fonte da imagem:Heartbleed]

Então você pode ter ouvido falar sobre Heartbleed recentemente e todos os seus amigos podem estar dizendo para você alterar todas as suas senhas. No entanto, antes de alterar suas senhas, você precisa saber se o site em questão tudo as etapas necessárias para se proteger do Heartbleed, caso contrário, sua nova senha permanecerá vulnerável. Algumas listas flutuando informando que os sites estão prontos para alterações de senha, porém, não verificaram todas as etapas de segurança necessárias. Continue a ler para saber mais:

P.S. Vamos (tentar) explicar exatamente o que é a violação de segurança do Heartbleed de uma forma que todos podem entender e também informá-lo sobre os pontos importantes de onde e quando você deve alterar sua senha.

O que é o bug Heartbleed?

Web comic xkcd esboçou um pequeno desenho animado que explica o Heartbleed da maneira mais simples que já vimos:

Em primeiro lugar, você precisa saber que a segurança da web é fornecida por um software conhecido como OpenSSL (secure sockets layer), que criptografa (embaralha) os dados enviados de e para o computador de um usuário e o servidor do site (onde o site está hospedado / armazenado). Tão importante, pense em coisas como nomes de usuário, senhas e até mesmo detalhes de cartão de crédito e endereço que você enviaria para formulários online, que viajariam de seu computador para o servidor de sites.

Heartbleed tira proveito de algo conhecido como o "batimento cardiaco" entre o computador do usuário e o servidor do site - basicamente, quando você acessa um site, o site responde para informar ao seu computador que está ativo e aguardando suas solicitações com um piscar de olhos. Supõe-se que a pulsação seja uma resposta igual à quantidade de dados que seu computador enviou ao fazer a solicitação. No entanto, um bug no software permite que os hackers solicitem mais dados da memória do servidor além do total de dados da solicitação inicial de até 65.536 bytes. Essas informações extras recebidas na solicitação podem conter qualquer coisa, desde senhas a detalhes de cartão de crédito que outras pessoas enviaram (veja o desenho animado acima).

O bug Heartbleed é considerado um erro honesto cometido pelo programador Robin Seggelmann, que adicionou ao software de código aberto OpenSSL na véspera de Ano Novo de 2011. Isso significa que a falha de segurança já existe há mais de 2 anos e o pior parte é que não há como saber se um hacker fez uma solicitação de informações extras da pulsação. Em outras palavras, não há como saber se alguém já roubou senhas ou outras informações confidenciais de um site.

Quando devo alterar minha senha?

Muitos sites oferecem listas que oferecem conselhos sobre quais sites você deve alterar e se ainda deve alterar sua senha. No entanto, muitos especialistas em segurança (como Bruce Schneier, Troy Hunt e o pessoal da AgileBits) dizem que você precisa verificar três coisas:

  1. O site (ou hardware / aplicativo, pois o Heartbleed afeta mais do que sites) estava usando uma versão do OpenSSL que era realmente vulnerável ao Heartbleed (versões 1.0.1 de março de 2012 a 1.0.1f). A versão que contém a correção é 1.0.1g, lançada em 7 de abril de 2014.
  2. O site corrigiu o bug do OpenSSL.
  3. O site renovou as chaves de segurança e emitiu um novo certificado de segurança (SSL).

Se tudo isso é um pouco mumbo jumbo para você, está sendo relatado que o verificador Heartbleed do LastPass é atualmente o método de verificação mais confiável se você não puder verificar a si mesmo manualmente. Para uma análise mais aprofundada sobre como garantir que um site está pronto para alterações de senha, vá para ITWorld.

Algumas listas na Internet de sites para os quais você precisa alterar sua senha, apenas verificaram se os sites corrigiram o bug do OpenSSL, por exemplo, e não verificaram se novos certificados de segurança (SSL) foram emitidos. Como é impossível dizer se um servidor foi vítima de um ataque Heartbleed, não está claro se um hacker pode ter baixado as chaves de segurança, o que ainda deixaria o site vulnerável se as três etapas acima não fossem concluídas.

Acabei de quebrar o desafio de @CloudFlare: https://t.co/8ZPSxyKF4D. Eu me pergunto quando eles vão atualizar a página.

- Fedor Indutny (@indutny) 11 de nisã de 2014

Recentemente, a rede de distribuição de conteúdo Cloudflare investigou a gravidade do bug, fazendo com que seus pesquisadores tentassem e utilizassem o Heartbleed para obter chaves de segurança SSL e falhando. No entanto, quando eles colocaram o desafio para o público, um hacker da equipe Node.js conhecido como Fedor conseguiu recuperar as chaves SSL privadas.

Esperamos que isso ajude a sua compreensão do Heartbleed e que você faça as alterações de senha necessárias e cronometradas para garantir sua segurança online. Por fim, gostaríamos de lembrar você não usar a mesma senha para todos os sites, pois isso pode ser desastroso. Se você não consegue controlar tantas senhas diferentes, recomendamos o uso de um programa como o LastPass.

Além disso, confira a campanha Logme Once Kickstarter, que oferece um gerenciador de senha, segurança digital, bem como um dispositivo de armazenamento USB seguro e carregador de bateria móvel em um pacote:

LogmeOnce atende a uma necessidade diária. Quem não está preocupado atualmente em ser hackeado, esquecer suas senhas ou apenas ser vulnerável por ter senhas fracas? LogmeOnce oferece uma alternativa segura e fácil de usar para essas preocupações e senhas escritas às pressas em pedaços de papel


Assista o vídeo: Heartbleed: What is it (Julho 2021).