HeartBleed: Entenda o bug que aterrorizou a internet
Há algumas semanas, foi encontrado um erro na codificação de um dos protocolos de segurança mais utilizados na internet. De acordo com todas as empresas que sofreram com o bug, já está tudo consertado, mas será que o buraco realmente foi tapado ou este erro pode nos assombrar mais uma vez?
Nomeado HeartBleed, o erro deu um susto na internet inteira quando foi descoberto nestes últimos dias. Ele foi logo corrigido, mas o fato de ter sido encontrado dois anos após dois anos após sua verdadeira origem, trazendo problemas para todos que já utilizaram a internet em algum momento, tanto no presente quanto no passado, assustou muita gente.
Como Ele Funciona?
Tudo começa com a “batida do coração” no protocolo de segurança OpenSSL, quando um computador se comunica com um servidor. Em termos leigos e mais práticos para poder explicar, o usuário acessa o site ou serviço “X”, porém para fazer isso ele precisa de uma troca segura entre o ponto de origem e o ponto de destino.
Este simples “aperto de mão” entre as duas pontas da conexão é feito secretamente para que o usuário possa acessar sites, como o Facebook, Gmail e até a sua conta de Minecraft, Steam, Origin e por aí vai.
A tal “batida do coração” começa quando você está em conexão com um servidor e precisa confirmar que tudo está correto. Assim, o protocolo leva esta batida em forma de pacote de dados ao servidor e o servidor responde com a mesma moeda para o usuário, fazendo com que ambos os lados saibam que a conexão entre eles está estável.
A ideia do HeartBleed surge quando esta batida é feita de forma errada e a transição de dados leva informações importantes por engano ao servidor, como seu login e senha de acesso, por exemplo. O pior de tudo é que esta batida acontece milhões de vezes quando o usuário está acessando um servidor, e ainda por cima é totalmente possível de se acessar por qualquer um, já que toda esta informação fica armazenada.
Assim, qualquer hacker consegue ter acesso a estas informações que podem ter vários dados “inúteis” assim como dados extremamente importantes. E a maior ironia de todas é que o erro é mais comum em sites com acesso de segurança maior (que utilizam o endereço eletrônico HTTPS), ou seja: os sites que disponibilizam a maior segurança para os usuários foram as maiores vítima deste pequeno erro de codificação.
O Estrago
No momento que o erro foi descoberto, vários sites precisaram procurar alguma forma de fazer com que o protocolo fosse consertado, afinal, o OpenSSL é utilizado por quase todas as grandes empresas na internet. A estimativa é de que o erro afetou uma média de meio milhão de sites, incluindo Yahoo, Facebook, Google, Dropbox e vários outros.
Agora as coisas voltaram ao normal, já que o erro foi consertado. Foi criado um script através do qual o protocolo consegue identificar se a transmissão de dados está realmente enviando algum tipo de informação sensível durante a batida entre o servidor e ao usuário.
A maioria dos sites confirmaram o erro, mas asseguraram que não seria necessário uma mudança de senha, enquanto o Yahoo recebeu um patch para os seus serviços que estavam afetados. A Google também se mostrou segura diante do problema que estava em todos os seus serviços, incluindo Gmail, Youtube, Google Search, Google Wallet, Google Play, Google Apps, Chrome OS e Google App Engine.
Nos Videogames
Enquanto isso na nossa frente, a dos videogames, um acontecimento peculiar aconteceu na página do Steam: o título do jogo South Park: The Stick of Truth mudou para “Valve please reset all partners login because heartbleed”, ou “Valve, favor resetar todos os logins de parceiros por causa do Heartbleed”. O mesmo erro (e mensagem) também aconteceu com Call of Duty: Black Ops 2.
Esta mudança ocorreu com alguns usuários que rapidamente procuraram na internet para entender que alguém conseguiu acessar o login relacionado a Obsidian e/ou Ubisoft da Steam e mudaram o título como uma forma de avisar a Valve sobre o problema. A Ubisoft e a Obsidian não chegaram a comentar sobre o problema, enquanto a Valve anunciou que o erro estava resolvido, mas também deixou a sugestão para que os usuários mudassem suas senhas e reiniciassem o sistema Steam Guard como medida de segurança.
E Agora?
Como foi dito acima, tudo está consertado, porém o fato do erro ter ficado “em aberto” por dois anos cria mais preocupações do que alivio. Talvez nunca saberemos se durante este período de dois outras formas de entrar e prevenir o eventual conserto tenham sido criadas por alguém, além das próprias pessoas que decidiram não mudar a senha de acesso e podem acabar sofrendo futuramente.
Todo esta situação vale como um aprendizado, mostrando mais uma vez que a internet está com mais buracos de privacidade e seus usuários não ajudam de forma alguma ao tentar tampá-los.
Desta vez, o grande erro caiu em cima do protocolo de segurança e a falta de atenção de todas as empresas envolvidas, que demoraram dois anos para encontrar um “bug simples”. Um bug simples que afetou uma porcentagem impressionante da internet. Mas agora que aconteceu cabe ao usuário tomar um pouco mais de cuidado e trocar todas as suas senhas o mais rápido possível.
Lembre-se que sempre vale a pena olhar duas vezes para a rua antes de atravessá-la, afinal, nunca se sabe o que pode vir para te acertar e acabar com tudo, porém neste caso o carro passou por cima da calçada e nos acertou antes mesmo de esquivar, mas o aviso ainda vale.
(Via: Gizmodo, Vice, Ars Technica, Steam)
Joguinhos e entretenimento.
Guilherme Sampaio
Hoje no Globo repórter…
Renan do Prado
Nem tava sabendo disso!!!!!!! Vou dar uma melhorada nas minhas senhas por precaução!!!!!
Átila
é vey, morr tenso
Lucy Kou
:) https://www.facebook.com/pages/Games/258576167647937?ref=hl
Roney Colella De Souza
Se eu entendi bem o conceito da questão, então:
1- Ao enviar uma informação para algum site da internet a informação percorre um caminho até chegar no site.
2- O HeartBleed intercepta a informação transmitida pelo computador antes dela chegar no site.
3- A informação é copiada pelo HeartBleed e a cópia é enviada para um ou mais locais que até o momento continuam desconhecidos.
4- Depois de ter sido copiada a informação original segue para o seu destino normalmente.
5- Se o HeartBleed realmente foi criado acidentalmente (Algo improvável) então possivelmente as informações copiadas por ele estão sendo enviadas para locais aleatórios.
6- Considerando as capacidades do HeartBleed, mudar senhas é uma atitude inútil. Antes mesmo das novas senhas chegarem nos sites em questão o HeartBleed vai intercepta-las, copia-las e enviará as cópias para sabe-se lá onde.
7- A internet é muito grande e diariamente cresce exponencialmente. Mesmo com a tecnologia da atualidade é altamente improvável terem feito uma triagem completa da internet em apenas 2 anos.
8- Implementar um sistema de defesa grande, funcional e complexo o suficiente para proteger a internet inteira possivelmente demorará mais do que o tempo para realizar a sua triagem.
Observação: Provavelmente as empresas responsáveis por encontrar uma solução para o problema não estão nem sequer perto de resolve-lo. Eu suponho que a noticia de que o problema já foi resolvido é só para acalmar as massas.
Henrique Gonçalves
Exatamente Roney! a unica “correção” que poderia dar para a sua explicação (se eu estiver entendendo corretamente) é que o HeartBleed foi um erro de codificação, então tudo que estava acontecendo (de um dado importante do usuário ser transportado para o servidor) era realmente acidental, o problema mesmo é quando os dados (tanto uteis quanto inúteis) ficam armazenados e qualquer um pode chegar lá e achar informações importantes, como seu login e senha.
Muita da explicação que peguei foi na versão gringa da Gizmodo ( http://gizmodo.com/how-heartbleed-works-the-code-behind-the-internets-se-1561341209 ), lá chega explicar até os termos técnicos, como a linha de código que originou o erro, como funcionava e como foi resolvido, além de uma metáfora bem útil para o pessoal entender. Eu não cheguei a entrar em muitos detalhes no meu texto pelo medo de sair técnico demais, e também para não explicar coisas que não tenho 100% de maestria em cima, assim acabei ficando em termos mais sucintos mesmo. Espero que tenha gostado!
Gabriel Silva
As crianças de hoje em dia não larga o celular para nada, por isso instalei o aplicativo Bruno Espião no celular dos meus filhos, estou muito mais calma. Sei tudo que estão fazendo e com quem estão conversando. https://brunoespiao.com.br/espiao-de-sms