10/04/2014

.



HOJE NO
"JORNAL DE NOTÍCIAS"

Internet: 
Saiba se deve mudar de password
 agora mesmo

Uma grave falha de segurança foi detetada numa ferramenta de encriptação utilizada por muitos dos sites que visita diariamente. Saiba que passwords deve mudar para proteger os seus dados pessoais. 

Que a Internet não é totalmente segura já não é novidade, mas esta semana descobrimos que talvez ainda seja menos segura do que imaginavamos. Um "bug" na ferramenta de encriptação Open SSL, utilizada por grande parte dos sites que visitamos todos os dias, comprometeu a segurança da informação que enviamos. 

É uma das maiores brechas de segurança online já alguma vez detetadas, por causa do tempo em que passou despercebida (dois anos) e da quantidade de sites potencialmente afetados (estima-se que dois terços das páginas de Internet conhecidas usem Open SSL, a ferramenta de encriptação "open source" mais popular na Net).

Uma atualização do Open SSL já foi providenciada para colmatar esta falha, mas não há maneira de saber que sites e utilizadores foram afetados, pois o "bug" permite o acesso a dados confidenciais sem deixar qualquer rasto. Por isso, e antes de começar a mudar todas as suas passwords, convém saber se o website onde está a operar já fez ou não a atualização.

Para ajudar os utilizadores nesta tarefa, foram criados diversos sites e ferramentas que permitem verificar se um determinado website já procedeu à atualização do Open SSL. Algumas listas de sites vulneráveis também estão a ser providenciadas e atualizadas à medida que os sites em questão resolvem o problema de segurança.

Se tem conta em sites como Facebook, Tumblr, Google (incluindo Gmail, Youtube, Play e Apps), Yahoo, Dropbox ou Soundcloud, convém mudar a sua password, pois estes websites estiveram vulneráveis e já procederam à atualização do Open SSL. Se está registado/a em sites como Linkedin, Baidu, Ebay, Amazon, Microsoft, Evernote, Foursquare ou Bing não se preocupe, que estas páginas não utilizam SSL ou não foram afetadas.

Se utiliza websites não mencionados, a melhor estratégia é esperar por um email, em caso de registo: os sites afetados deverão enviar um email assim que for seguro fazer a mudança de password (se utiliza o IFTTT, por exemplo, já recebeu um email a pedir para mudar o seu código pessoal).
Se não quer esperar, pode sempre consultar a vulnerabilidade de um site através de um "Heartbleed Test", copiando o URL do site em questão e verificando se foi afetado.
Os utilizadores do Google Chrome também podem optar por instalar uma aplicação chamada ChromeBleed, que verifica, em tempo real, a vulnerabilidade dos sites que visita.

Uma pesquisa rápida por alguns dos mais importantes sites portugueses parece indicar que é seguro navegar por cá, com o Sapo e o Google.pt a não apresentarem vulnerabilidades, neste momento. No entanto, nada melhor do que ter certezas, fazendo uma pesquisa rápida no "Heartbleed Test" ou "ChromeBleed". Se ainda não estiver satisfeito/a, contacte o site em questão para saber se é melhor mudar de password.

O bug "Heartbleed"
O problema, descoberto por uma empresa de segurança online e por engenheiros da Google, já existe desde 2012, mas só agora foi encontrado, não se sabendo que dados foram roubados no entretanto.
Sites como o da NASA, FBI, Tumblr, Pinterest, Facebook, Yahoo, Flickr, Youtube ou Twitter, por exemplo, estiveram vulneráveis a ataques durante todo este tempo e não há forma de saber que dados foram roubados ou sequer se isso chegou a acontecer.

O "Heartbleed" é um "bug" eficaz, que permite ultrapassar facilmente a encriptação utilizada para proteger a Internet e roubar dados. Através desta falha, qualquer pessoa pode ler a memória dos sistemas protegidos pela versão de OpenSSL que apresenta o "bug", o que inclui "as chaves secretas usadas para identificar quem providencia o serviço e encripta o tráfego, bem como os nomes e passwords dos utilizadores e conteúdo". "Isto permite aos atacantes ver comunicações privadas, roubar dados diretamente dos servidores e dos utilizadores e até fazerem-se passar por eles", explica o site "Heartbleed", criado por quem descobriu o "bug".

Enquanto a versão vulnerável desta ferramenta de encriptação estiver em utilização, o conteúdo em questão pode ser abusado. Uma versão sem bug do OpenSSL já foi lançada no entretanto e espera-se que os serviços afetados comecem a fazer a atualização progressivamente. 

Os principais websites em utilização no Mundo já o fizeram e começaram a notificar os seus utilizadores para que estes mudem a sua password rapidamente. Não há provas do que poderá ter sido levado por eventuais atacantes (pois não se sabe se esta brecha já tinha sido detetada anteriormente por hackers com más intenções), pelo que mais vale prevenir do que remediar.

* Todo o cuidado é pouco.



.

Sem comentários: