Poucos dias atrás publicamos uma matéria sobre o Heartbleed, uma falha de segurança no OpenSSL que deixou informações sensíveis em milhões de sites expostas. Robin Seggelmann, o programador que escreveu o código que levou a essa vulnerabilidade, contou ao Sydney Morning Herald que o resultado catastrófico foi um acidente.
Heartbleed é uma vulnerabilidade no OpenSSL (sistema de criptografia utilizado por muitos sites para prevenir a interceptação de suas comunicações). Uma pesquisa feita pela Netcraft esse mês indica que a fatia do mercado do Apache e do Nginx, (servidores afetados pela falha) combinados, é de aproximadamente 66% dos sites ativos na Internet; números que ilustram o alcance desse acontecimento.
O OpenSSL é um software grátis, fato que o torna atraente para muitas empresas. “Seria melhor se mais gente ajudasse a melhorá-lo”, disse Seggelmann ao site Mashable. “Não importa se a ajuda venha de empresas que se beneficiam com o seu uso, ou de pessoas que oferecem o seu tempo livre. De um jeito ou de outro, se todos usamos o software, pensando que alguém, algum dia se encarregará, não vai dar certo. Quanto mais gente estiver atenta, menores as probabilidades de erros como esses”, comentou.
Até o momento, grande parte dos sites afetados já aplicaram um patch para a falha, mas o tema Heartbleed reabre a discussão sobre certas responsabilidades relacionadas ao software de código aberto. O fato de que ferramentas como o OpenSSL são cada vez mais utilizadas pode levar a uma diferença numérica importante na relação entre serviços que o utiliza e os que contribuem para aperfeiçoá-lo.
Até onde chega o efeito Heartbleed?
O OpenSSL também é utilizado por outros serviços e hardware como routers e switches. Muitos fabricantes publicaram alertas de segurança, revelando que seus produtos poderiam ter sido afetados pelo Heartbleed ou prometendo investigar para poder oferecer as atualizações correspondentes.
Um exemplo é a empresa Cisco, que está investigando a sua linha de produtos para determinar se algum deles foi afetado, podendo assim lançar atualizações para solucionar eventuais falhas. A F5 Networks revelou que alguns dos seus servidores virtuais com perfis específicos de SSL são vulneráveis, assim como as interfaces de administração. Seus clientes podem efetuar atualizações as versões que foram comprovadas como não vulneráveis ao Heartbleed.
Por outro lado, a Juniper Networks publicou uma lista de produtos vulneráveis, não vulneráveis e “em investigação”. A empresa mencionada proverá versões com código corrigido para os seus produtos.
Em certos casos, ter hardware vulnerável pode ser tão perigoso como ter servidores vulneráveis, já que os cibercriminosos poderiam utilizar o Heartbleed para infiltrar-se em uma rede maior.
Autor Editor, ESET
Adaptação: Ilya Lopes, ESET