Vídeo: 19 - Access secure SSL RESTful service from Java client using SSLContext (Outubro 2024)
SSL, abreviação de Secure Sockets Layer, é o que coloca o S em HTTPS. Os usuários experientes sabem procurar HTTPS na barra de endereços antes de inserir qualquer informação confidencial em um site. Nossas postagens do SecurityWatch castigam frequentemente os aplicativos Android que transmitem dados pessoais sem usar SSL. Infelizmente, o bug "Heartbleed" descoberto recentemente permite que os invasores interceptem a comunicação protegida por SSL.
O bug é chamado Heartbleed, porque pega carona em um recurso chamado heartbeat, afeta versões específicas da biblioteca criptográfica OpenSSL amplamente usada. De acordo com o site criado para relatar sobre o Heartbleed, a participação de mercado combinada dos dois maiores servidores Web de código aberto que usam o OpenSSL é superior a 66%. O OpenSSL também é usado para proteger email, servidores de bate-papo, VPNs e "uma grande variedade de software cliente". Está em todo lugar.
É ruim, muito ruim
Um invasor que se aproveita desse bug obtém a capacidade de ler dados armazenados na memória do servidor afetado, incluindo as chaves de criptografia importantes. Os nomes e senhas dos usuários e a totalidade do conteúdo criptografado também podem ser capturados. Segundo o site, "Isso permite que os invasores espionem as comunicações, roubem dados diretamente dos serviços e usuários e personifiquem os serviços e usuários".
O site continua observando que a captura de chaves secretas "permite ao invasor descriptografar qualquer tráfego passado e futuro dos serviços protegidos". A única solução é atualizar para a versão mais recente do OpenSSL, revogar as chaves roubadas e emitir novas chaves. Mesmo assim, se o invasor interceptou e armazenou tráfego criptografado no passado, as chaves capturadas o descriptografarão.
O que pode ser feito
Esse bug foi descoberto de forma independente por dois grupos diferentes, um par de pesquisadores da Codenomicon e um pesquisador de segurança do Google. Sua forte sugestão é que o OpenSSL libere uma versão que desabilite completamente o recurso de pulsação. Com essa nova edição lançada, instalações vulneráveis podem ser detectadas porque somente elas respondem ao sinal de pulsação, permitindo que "uma resposta coordenada em larga escala atinja os proprietários de serviços vulneráveis".
A comunidade de segurança está levando esse problema a sério. Você encontrará notas sobre isso no site US-CERT (Equipe de Prontidão para Emergências em Computadores dos Estados Unidos), por exemplo. Você pode testar seus próprios servidores aqui para ver se eles estão vulneráveis.
Infelizmente, não há um final feliz para esta história. O ataque não deixa vestígios; portanto, mesmo depois que um site resolve o problema, não há como saber se os criminosos usaram dados privados. Segundo o site da Heartbleed, seria difícil para um IPS (Sistema de Prevenção de Intrusões) distinguir o ataque do tráfego criptografado regular. Não sei como essa história termina; Vou relatar quando houver mais para contar.
