web analytics

Foi notificada na última terça-feira por veículos de comunicação e sites especializados uma falha de segurança no OpenSSL chamada Heartbleed. E não foi à toa que o bug ganhou todo esse destaque, vide sua seriedade e como diversos usuários podem ser e/ou foram afetados por ele.

Pesquisadores da área da segurança na Internet afirmaram que a falha atinge sistemas com versões dos últimos dois anos. Vamos falar mais um pouco sobre ela e sobre todo o conceito em torno do OpenSSL a seguir.

.
Bug Heartbleed no OpenSSL: o que é, como resolver

O que é OpenSSL?

Sabemos que muitos usuários já estão cansados de saber a definição e a utilidade do OpenSSL. Já citamos, inclusive, o protocolo numa outra oportunidade como uma das garantias para uma hospedagem segura.

Para os mais leigos, entretanto, aqui vai: trata-se de conjunto de dois protocolos de segurança, o SSL (Secure Sockets Layer ) e o TSL (Transport Layer Security)  que protegem grande parte das informações que você acessa na web ou envia a partir de seu computador. O fato de você nunca ter ouvido falar no OpenSSL, uma biblioteca de código aberto, comprova sua efetividade: ele te protege sem que você sequer saiba de sua existência.

Com base nisso, é compreensível que uma falha de segurança no protocolo cause certo impacto. O OpenSSL é utilizado, afinal, por mais de 60% dos sites que usam certificados de segurança, inclusive as principais redes sociais e mecanismos de busca, como Facebook e Google. Por enquanto, nenhum comunicado oficial foi liberado por nenhuma das empresas, mas aparentemente os sites não foram afetados recentemente.

Para saber mais sobre quais sites foram afetados pelo Heartbleed, clique aqui. Trata-se de uma lista divulgada no GitHub com os principais sites que foram alvos potenciais desse bug.

 

Um pouco mais sobre o Heartbleed.

Nem todos os sites a seguir utilizam o OpenSSL, mas servirão como exemplo para ilustrar as consequências do Heartbleed.

Pois bem, pense que a sua senha no Facebook, a imagem que você hospeda no Instagram, a publicação feita no WordPress ou o número do cartão de crédito utilizado numa compra online, são dados privados. Apenas você tem acesso a eles primariamente, e pode compartilhá-los com o público se assim desejar – ainda que, obviamente, no caso da senha ou do número do cartão de crédito, isso não seja recomendado :P

Imagine, agora, que terceiros tivessem acesso a todas essas informações. Eles poderiam editar uma postagem feita por você no WordPress ou descobrir sua senha no Facebook e ler todas as conversas no chat e publicar conteúdos em seu nome – práticas semelhantes às que foram duramente criticadas e proibidas no Marco Civil. Teriam acesso também ao número do seu cartão de crédito e outras informações que podem causar um prejuízo financeiro considerável. A Internet seria um mundo caótico se usuários fossem afligidos por esses problemas, não?

O OpenSSL existe para evitar que isso aconteça, e o bug Heartbleed foi justamente a falha de segurança que fez com o que a biblioteca de dados criptografada perdesse essa característica. Sendo assim, nesse espaço de tempo de dois anos, muito foi acessado por hackers e, de acordo com as informações mais atuais referentes ao Heartbleed, tais dados não podem ser protegidos novamente pelos mesmos certificados de segurança, já que suas chaves privadas podem estar comprometidas.

Felizmente, ficou claro que tal ação não foi tão destrutiva, já que não foi divulgado até então nada referente a consumidores reclamando de cobranças indevidas em suas faturas de cartão de crédito ou invasões em suas contas nas redes sociais. Fica registrado, entretanto, o potencial que esse bug tinha e ainda tem para atrapalhar a vida das pessoas. O Heartbleed também deixa evidente que devemos ser cautelosos na Internet, independente das garantias de segurança dos sites que acessamos.

 

O que fazer para se proteger do Heartbleed?

Não foram todas as versões do OpenSSL que foram afetadas. Se o seu site utiliza uma versão que foi de fato prejudicada pelo Heartbleed, basta procurar pela atualização do sistema operacional/Apache com a falha corrigida. Isso deve resolver parte do problema. O que os sites devem fazer, além disso, é revisar todos os mecanismos de segurança instalados. É como trocar a fechadura de todas as portas para se garantir. Falaremos disso mais adiante, com passos práticos.

Para o usuário doméstico, não resta muita escolha a não ser evitar acessar os sites que utilizam as versões do OpenSSL que foram afetadas pelo Heartbleed (a lista do link no começo do artigo ajuda). Assim que o problema for resolvido, lembre-se de modificar suas senhas para evitar possíveis invasões.

 

Você tem uma revenda de hospedagem ou administra seu próprio servidor (VPS ou dedicado)? Aqui vão alguns passos práticos para resolver o problema do OpenSSL

Esta parte é voltada para usuários que administram seus próprios servidores, como VPSs, dedicados e contas de revenda. É muito importante observar os passos a seguir para garantir que o problema com o OpenSSL seja mitigado e não cause danos para você e seus clientes.

O bug Heartbleed afeta servidores com CentOS 6.x e qualquer servidor que esteja usando o Litespeed com versão anterior à 4.2.9.

Os desenvolvedores do CentOS já liberaram uma correção na própria terça à noite, e também o Litespeed recebeu um patch para o problema na versão 4.2.9.

Se o seu servidor CentOS não usa repositórios yum de terceiros e está com a configuração de atualização automática do cPanel/WHM ligada, então os sistemas foram atualizados automaticamente a partir de ontem.

No caso do Litespeed, é preciso que você ou seu datacenter cuidem da atualização o mais rápido possível.

Feitas as atualizações, há alguns passos adicionais para garantir a segurança de suas contas que usam protocolos SSL. Devido à natureza dessa falha, terceiros podem há ter tido acesso à private key de certificados SSL em seu servidor, tornando-os virtualmente inutilizados.

O que fazer, então? Simples: você deve regerar as private key e CSR de todos os domínios que usam SSL, e solicitar que os certificados SSL sejam reemitidos pela empresa que os forneceu. A parte de reemitir (reissue) geralmente é automatizada e feita no painel da empresa que forneceu o SSL.

 

Passos para gerar nossas chaves SSL e CSR no seu servidor cPanel/WHM:

Primeiramente, faça login no WHM e acesse o menu SSL/TLS > SLL Storage Manager e remova os CSR, Public Key e Private Key de TODOS os domínios que os usam.

Depois, vá até o menu SSL/TLS > Generate an SSL Certificate and Signing Request e gere novas SSL CSR, Self Signed Public Key e Private Keys para cada um dos domínios que usavam SSL.

Com esses dados, vá ao painel da provedora de SSL e solicite o reissue dos certificados. Com certificados em mãos, vá até o menu SSL/TLS > Install an SSL Certificate on a Domain e repita a instalação para cada domínio.

Ufa… parece trabalhoso, mas são passos cruciais para a segurança! Ainda assim, faltam algumas coisinhas. Seu cPanel/WHM usa certificados auto-assinados para serviços como login, webmail, SSH, etc. Você precisa regerá-los também…

 

Passos para resetar os certificados SSL do WHM, cPanel, Exim, FTP e Webmail:

Faça login no WHM, e vá ao menu Service Configuration > Manage Service SSL Certificates. Clique em Reset Certificate para cada serviço e reemita um certificado auto-assinado para os serviços.

Isso contorna o potencial de exposição das chaves privadas dos certificados que já estavam instalados no seu servidor CentOS 6.

 

ATUALIZADO: o vídeo abaixo explica em detalhes o bug Heartbleed do OpenSSL (em inglês):

 

Você ainda tem alguma dúvida sobre o Heartbleed? Foi prejudicado pelo bug em algum momento? Qual sua opinião sobre a segurança na Internet na era da informação? Não deixe de compartilhar seus posicionamentos na seção de comentários!



Você também vai gostar de:

Share This