quinta-feira, 10 de abril de 2014

Falha de segurança no OpenSSL

Falha de segurança no OpenSSL deixa

 dados sigilosos vulneráveis

O problema permite que hackers tenham acesso a senhas e chave criptográfica


Uma falha de segurança foi encontrada no OpenSSL, um pacote de software que é aproveitado por diversos outros programas para criar conexões seguras, como a usada em sites com "cadeado" (HTTPS) na parte superior da tela onde é digitado o endereço do site.

Um hacker é capaz de ler a memória do servidor do site, revelando dados como as senhas e até a chave criptográfica usada pelo servidor. O problema devido a não verificação do tamanho de uma variável no código de programação já foi corrigido, Entretanto, milhões de sites não aplicaram a atualização do software, deixando usuários vulneráveis.

Heartbleed (Divulgação)
Esta chance de entrada ficou aberta por dois anos, e foi identificada por pesquisadores na semana passada e uma correção foi disponibilizada pela equipe do OpenSSL na segunda-feira (7). A exploração não deixa vestígios, o que se torna difícil saber quais sites já foram ou estão sendo explorados.

É possível que, entre essas informações, esteja à própria chave privada de criptografia usada pelo site. Se essa chave for obtida, o hacker consegue ler dados interceptados, em uma rede Wi-Fi, por exemplo, mesmo quando estes foram protegidos. Ainda que um hacker não possa interceptar o tráfego, a leitura da memória permite que os dados atualmente em processamento sejam revelados ao hacker. Isso inclui senhas e nomes de usuário que estão sendo protegidos pela criptografia.

O hacker não tem controle absoluto para apontar qual usuário ou senha ele quer obter, mas ele pode conseguir quaisquer dados que estejam na memória no momento em que falha for explorada. Especialistas recomendam aos administradores de sites que não apenas apliquem a atualização do OpenSSL, mas também revoguem certificados em uso e criem certificados novos. Da parte dos usuários a recomendação é para trocar a senha, já que esta pode ser revelada em um vazamento da memória.

Saiba Mais
Teste a vulnerabilidade dos sites
Listasdos sites vulneráveis
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)