Vídeo: Palestra 1 - RDA | O que é? O que muda? Como ficamos? (Outubro 2024)
As notícias desta semana foram dominadas por discussões sobre o bug do Heartbleed, que permite que hackers coletem dados diretamente da memória dos servidores seguros afetados. Os dados capturados podem incluir chaves de criptografia, senhas e quaisquer dados enviados por um canal HTTPS supostamente seguro. O bug está presente há mais de dois anos e, como o ataque não deixa rastros, não temos idéia do quanto foi explorado.
Quem é vulnerável?
Os assistentes de senha no LastPass adicionaram uma nova ruga ao relatório de verificação de segurança do produto. Agora, além de sinalizar senhas fracas e duplicadas, lista todos os sites salvos que são ou estavam vulneráveis ao Heartbleed. Pedi a vários colegas usuários do LastPass que me enviassem os resultados desse relatório, apenas para ter uma ideia do que está por aí.
Eu tenho mais de 200 senhas armazenadas no LastPass. Apenas seis deles foram relatados como vulneráveis e dois já haviam sido consertados. Adicionando resultados de meus colegas, vi 50 sites vulneráveis, com 30 deles ainda não corrigidos.
O relatório LastPass recomenda que você altere sua senha para sites que foram corrigidos para corrigir o bug. Para os outros, isso sugere esperar até o site anunciar uma atualização, pois sua senha totalmente nova ainda estará vulnerável. Para mim, sugiro tomar o Heartbleed como uma chamada de ativação para alterar todas as suas senhas, certificando-se de que todas elas sejam fortes e que dois sites não usem a mesma senha. Você precisará alterar as senhas dos sites ainda vulneráveis novamente depois de corrigidas, mas a alteração de todas agora minimiza o potencial de exposição.
Top Lojas
Para outra visão, peguei os 20 principais sites de compras mais populares do Alexa e os executei através de alguns testes online. O pesquisador Filippo Valsorda criou um teste logo após a notícia da Heartbleed. O LastPass também está hospedando um teste sob demanda
Achei os resultados do teste de Valsorda um pouco confusos. O teste retornou uma mensagem de erro como "tubo quebrado" ou "tempo limite de E / S" para cinco dos 20 sites que tentei. Nove sites obtiveram um atestado de integridade, pois o teste relatou que eles eram "corrigidos ou não afetados". Os seis restantes retornaram uma mensagem de erro devido ao fato de a conexão ter sido transferida para uma rede de entrega de conteúdo e o certificado da CDN não corresponder ao domínio que eu inseri. Marcar a caixa para ignorar certificados obteve um resultado "fixo ou não afetado", mas a página de teste avisa que esse pode ser um resultado falso.
A página de teste fornecida pelo LastPass fornece muito mais informações. Ele relatou dez dos sites como possivelmente inseguros. Isso significa que o teste não conseguiu determinar se o site usa ou não o OpenSSL, a biblioteca de criptografia afetada pelo bug do Heartbleed. Quatro dos sites provavelmente estavam vulneráveis, porque usam o OpenSSL e dois agora estão seguros. Definitivamente, outros quatro sites não estavam vulneráveis, e um que estava definitivamente vulnerável agora está seguro. Isso deixa apenas um site que não pôde ser analisado devido a um erro de conexão.
O testador LastPass Heartbleed também relata quão recentemente o certificado SSL de cada site foi alterado. Um certificado que foi alterado logo após a divulgação das notícias sobre o Heartbleed é uma boa indicação de que o site foi afetado, mas agora é seguro.
Quanto a todos os sites cujo status não é claro, sua melhor aposta é aguardar um anúncio do próprio site. Seja cauteloso, no entanto. Não clique em nenhum link de redefinição de senha recebido em um e-mail, porque alguns deles são fraudes. Navegue diretamente para o site, altere sua senha e verifique se o seu gerenciador de senhas reconhece a alteração.
Acompanhe a cobertura contínua do PCMag sobre o bug do Heartbleed aqui.
