Heartbleed: o que você precisa saber (e FAZER) a respeito

O Heartbleed foi um dos assuntos mais quentes dos últimos dias no mundo da tecnologia. E quando se trata de segurança digital, muitas vezes ficamos sem saber se a falha pode nos afetar diretamente ou não. E, quando pode nos afetar, saber o que devemos fazer a respeito.

Neste post, vamos resumir o que você precisa saber sobre o Heartbleed e o que precisa fazer a respeito.

O que é o Heartbleed?

Resumidamente, o Heartbleed é uma vulnerabilidade que explora o OpenSSL, um projeto de código aberto utilizado para criptografia. Uma de suas extensões, chamada de Heartbeat (“Batida do Coração” em inglês) possui uma vulnerabilidade que é explorada pelo código Heartbleed, trocadilho com o nome da extensão que significa “Sangramento do Coração”.

Esta vulnerabilidade significa que, se explorada, muitos sites e aplicações web que usam o OpenSSL podem ser alvo de perda de dados – como a senha dos usuários. O OpenSSL é hoje um dos métodos de criptografia mais usados do mundo. Portanto, o Heartbleed é uma ameaça muito séria.

Há relatos que esta vulnerabilidade já está circulando há dois anos, mas ela só se tornou conhecida na última semana, com a notícia que o Yahoo! era uma das empresas vulneráveis ao Heartbleed.

Se sou um usuário, o que devo fazer?

A Trend Micro, parceira de segurança da 4Partner, sugere que você tome as seguintes medidas como um usuário de sites e serviços web:

• Ao visitar um site, descubra se ele ainda é vulnerável ao Heartbleed. Após a divulgação da vulnerabilidade, a maioria dos grandes sites já tomou medidas para proteger seus usuários. Para verificar se o site ainda é vulnerável, você pode usar esta ferramenta online grátis.
• Se ele NÃO É MAIS vulnerável, mude sua senha imediatamente. Use uma senha única para cada conta que você tem. Se você utilizar muitas contas, pode valer a pena usar um gerenciador de senha, como o LastPass.
• Se o site AINDA NÃO corrigiu o bug, NÃO MUDE SUA SENHA. Se você a alterar enquanto o site estiver vulnerável, a nova senha pode ser descoberta. Aguarde o site corrigir o site antes de alterar sua senha.

Sou o administrador de um site, o que devo fazer?

Se você cuida de um website, deve abrir um canal de comunicação com seus usuários imediatamente. Deixe-os atualizados de que você está ciente do Heartbleed e está buscando solucionar o problema o quanto antes.

Em seguida, verifique se seu site utiliza a versão afetada do OpenSSL (versão 1.0.1 ah 1.0.1f). Se este é o caso, tome as seguintes precauções:

• Aplique regras relacionadas ao Heartbleed (CVE–2014–0160) ao seu sistema de prevenção a intrusões (IPS);
• Atualize sua biblioteca OpenSSL para a versão 1.0.1g ou mais recente;
• Revogue seu certificado SSL atual;
• Emita um novo certificado usando uma chave privada.

Se seu site não foi afetado pelo Heartbleed, notifique seus usuários. Muitas pessoas já sabem do problema e estão preocupadas. Ao contar que seu site não foi afetado e os dados de seus clientes estão seguros é uma atitude que gera confiança.

Esse artigo te ajudou? Compartilhe e deixe um comentário!