São Paulo - Um bug no código do OpenSSL pode ter deixado boa parte dos servidores pela web vulnerável na virada desta segunda para terça-feira. Chamada de Heartbleed, a brecha permite que invasores ‘pesquem’ pedaços de quaisquer dados em diversos data centers que rodam alguma versão recente do software – mas já conta com uma solução.

A biblioteca open source de criptografia OpenSSL é adotada por aproximadamente 2 em cada 3 servidores de empresas para blindar comunicações, segundo uma estimativa da Lastpass. É ela a responsável por colocar o S no HTTPS e o cadeado na barra de endereços, por exemplo, conforme explicou o NakedSecurity. Yahoo!, Flickr, StackOverflow, XDA-Developers, Imgur, WeTransfer e Steam Community, além da própria Lastpass, são alguns dos sites e serviços protegidos pelo software e que acabaram afetados por essa nova vulnerabilidade – você pode conferir uma lista, ainda que desatualizada, neste link.

Os responsáveis pelas páginas, no entanto, já devem ter lidado com a parte superficial do problema e atualizado o programa para a versão ainda mais recente. Dos citados, o Yahoo! era o que parecia estar com mais problemas para isso, e ainda tentava tampar a brecha até o começo desta tarde. A falha fora corrigida pelo menos nas páginas principais logo cedo, segundo o Cnet.

De acordo com um comunicado da organização OpenSSL Project, a edição 1.0.1g da biblioteca corrige o bug, e o mesmo deve acontecer com a ainda não lançada 1.0.2-beta2. A quem não conseguir fazer o update de imediato, é recomendável ao menos recompilar o software com o comando “–DOPENSSL_NO_HEARTBEATS”, para desativar a funcionalidade problemática.

Vale mencionar que empresas como Apple e Microsoft, além de bancos e redes de e-commerce, deixam o OpenSSL e usam suas próprias ferramentas de segurança, o que significa que não devem ter sido afetadas pela brecha. O Google, por sua vez, foi quem descobriu o bug, e já deve ter corrigido o problema antes mesmo de ele chegar ao público.

Mas o que é o Heartbleed?

A vulnerabilidade no software foi encontrada pelo pesquisador Neel Mehta, do Google, e identificada como CVE-2014-0160. Ela afeta o OpenSSL nas versões 1.0.0 até a 1.0.2beta, incluindo aí a edição estável mais recente 1.0.1f. Isso significa que ela já estava presente – mesmo que inadvertidamente – há pelo menos dois anos em um software adotado massivamente por administradores de servidores pela web. Aliás, edições do Debian Wheezy, do Ubuntu, do Fedora, do OpenBSD e de alguns outros sistemas operacionais de código aberto também podem estar usando uma versão vulnerável do OpenSSL – vale checar aqui, em "How about operating systems?".

---

O problema está na extensão “Heartbeat” (RFC6520), adicionada à biblioteca justamente no OpenSSL 1.0.0. Pela brecha nela, invasores podem pescar até 64 Kb – um “heartbeat”, ou batida de coração – de dados aleatórios hospedados nas máquinas. Parece pouco, mas o processo pode ser repetido até que alguma informação relevante seja obtida.

Quais as consequências? – O grande risco está no caso de um cracker conseguir as chaves de criptografia (chamada aqui de “primary key material”) que protegem o tráfego do servidor.

Com elas em mãos, seria possível decodificar tudo que é transmitido pelo site ou serviço, incluindo aí nomes de usuários, senhas e outros dados sensíveis – chamados de “second key material” –, além de e-mails, agendas de contatos e mais – o “protected content”, ou “conteúdo protegido”. Em um teste, desenvolvedores conseguiram obter 200 nomes de usuários e senhas do Yahoo! Mail em cinco minutos rodando um script.

Caso isso aconteça, recuperar-se do estrago vai bem além de simplesmente corrigir a vulnerabilidade no OpenSSL. Como afirma a organização por trás do software em um comunicado, seria necessário que a empresa afetada “revogasse as chaves comprometidas e estabelecesse e distribuísse novas”. No entanto, mesmo após um processo que pode levar meses, o risco de o tráfego ser interceptado continuaria, o que apenas reforça a necessidade de uma chave de proteção forte. Apelar para o Perfect Forward Secrecy, que troca as combinações de segurança em diferentes sessões, pode ser uma boa solução – e sites que já faziam isso devem sofrer bem menos com essa "surpresa".

Problemas posteriores – Outra grande preocupação gerada por essa vulnerabilidade está na possível falta de ação por parte de companhias. Depois de corrigir a brecha no OpenSSL, empresas podem simplesmente acabar deixando tudo de lado, sem se dar conta de que alguém roubou as chaves para desencriptar todo e qualquer tráfego em seus servidores.

---

Por ora, não há relatos de crackers que tenham se aproveitado da brecha para obter dados sigilosos, mas o risco pode não ser imediato. Caso algo tenha sido roubado, consequências do Heartbleed podem muito bem aparecer nos próximos meses – então, se você administrar um servidor que roda o software, é bom agir o quanto antes. E caso você precise, por qualquer motivo, de anonimato total para navegar, os responsáveis pelo Tor Project recomendam que fique longe da web por alguns dias, até que a poeira seja assentada.

Para saber mais sobre o Heartbleed, vale conferir o comunicado da OpenSSL Project, mesmo que em inglês, aqui. O vídeo abaixo, também em inglês e bem técnico, é outro bem esclarecedor – foi feito pelo CTO da Elastica, empresa de segurança na nuvem. E se quiser saber se um site ou serviço foi afetado pela brecha, basta digitá-lo aqui.

//player.vimeo.com/video/91425662