Heartbleed-para-nao-tecnicos

De Area31 Hackerspace
ndice
1 Autores
2 Introduo
3 O que o Heartbleed?
4 O que o Heartbleed no ?
5 Qual a relevncia do Heartbleed?
6 Porqu o nome Heartbleed?
7 H quanto tempo o Heartbleed est ativo na natureza?
8 Como algum pode se aproveitar do Heartbleed?
9 Apenas servidores que oferecem endereos com https so afetados?
10 O que eu devo fazer?
11 Quem descobriu essa falha?
12 Questionamentos trazidos tona pelo Heartbleed
13 Concluso
Autores
O Heartbleed explicado para bons leitores no tcnicos. (21 de Abril de 2014)
Jos Ricardo de Oliveira Damico: [1] (mailto:damico@tix11.com)
Filipe Balestra: [2] (mailto:lipe@balestra.com.br)
Introduo
Este artigo tem por objetivo explicar o que o Heartbleed e responder as perguntas
mais comuns que decorrem de tal explicao. Este texto foi escrito para leitores no
tcnicos, mas deve ser til tambm a tcnicos que desejam obter rapidamente
informaes concisas sobre o assunto em questo. Uma premissa para a confeco
desse documento evitar o uso de jarges tcnicos. Outra premissa no assumir que
o leitor entende de criptograa e protocolos de comunicao entre computadores.
Contudo, mesmo com tais premissas, torna-se extremamente difcil evitar a citao de
certas palavras e conceitos. Nestes casos, a premissa nal detalhar com exemplos e
metforas aquilo que exigiu o uso de conhecimento mais avanado.
O que o Heartbleed?
Heartbleed-para-nao-tecnicos - Area31 Hackerspace http://www.area31.net.br/wiki/Heartbleed-para-nao-tecnicos
1 of 6 04/23/2014 07:01 PM
Um erro de programao (uma falha de segurana), encontrado em um programa de
criptograa (Verses do OpenSSL afetadas pelo Heartbleed: 1.0.1 at 1.0.1f e
1.0.2-beta) utilizado em aproximadamente 2/3[3] (http://lifehacker.com/what-
the-heartbleed-security-bug-means-for-you-1560801201) de todos os servidores de
internet do mundo. Este erro permite a um atacante roubar dados condenciais
transacionados em tais servidores. O Heartbleed foi registrado internacionalmente
como uma falha de segurana grave, no dia 7 de Abril de 2014[4]
(http://www.openssl.org/news/vulnerabilities.html). Os servidores afetados pelo
Heartbleed so em sua absoluta maioria derivados do sistema operacional UNIX, como
o Linux, MacOS, FreeBSD.
O que o Heartbleed no ?
O Heartbleed no um vrus de computador;
O Heartbleed no um malware;
O Heartbleed no uma falha de segurana comumente presente em
computadores pessoais, telefones mveis ou tablets.
Qual a relevncia do Heartbleed?
O Heartbleed de extrema relevncia pois ele est localizado em um programa que
um padro de mercado na criptograa e proteo de dados, utilizado em massa em
servidores que hospedam sites de internet, mas tambm encontrado em servidores de
e-mail e acesso remoto redes privadas. Basicamente, toda vez que uma pgina de
internet acessada atravs de um endereo https h uma enorme chance de que est
pgina esteja em um servidor com essa falha ativa (se a correo do problema no tiver
sido executada). No confunda com endereos com http, o problema ocorre em sua
grande parte em servidores que utilizam o programa OpenSSL para fornecer pginas
seguras atravs de https (note a ltima letra s de seguro). O https largamente
utilizado em sites que precisam oferecer transaes seguras, como sites de bancos,
webmail, e e-commerce.
O Heartbleed, por estar localizado no programa fundamental que serve para
embaralhar os dados transferidos entre um usurio e o site, em decorrncia disso o
Heartbleed permite a exposio de tais dados para um atacante. Esses dados podem ser
tudo que um usurio digitou em um site com endereo https, como dados de login,
senha, nmeros de token, e demais informaes condenciais.
A possvel exposio de dados condenciais de usurio, j seria alarmante por si s,
contudo os danos potenciais do Heartbleed vo alm. Entre os dados que podem ser
expostos, est um conjunto de dados do servidor, que o identica entre os demais.
Trata-se de um conjunto condencial de dados (conhecido como certicado digital) que
tem o objetivo de garantir que tal site realmente o site da instituio que ele diz ser.
Por exemplo, esse dado condencial serve como prova de que ao acessar o site de um
banco ou loja on-line, o usurio no est acessando um site falso. Esse conjunto
condencial de dados de propriedade nica e exclusiva da instituio que o requereu.
Esse conjunto condencial de dados no pode ser emitido pela prpria instituio que o
detm, ao contrrio, uma outra instituio analisa o requerimento de tal conjunto
condencial de dados e se tudo estiver correto, esta outra instituio tem a autoridade
Heartbleed-para-nao-tecnicos - Area31 Hackerspace http://www.area31.net.br/wiki/Heartbleed-para-nao-tecnicos
2 of 6 04/23/2014 07:01 PM
internacional de fornecer este conjunto condencial de dados que atesta a
autenticidade do endereo de internet para a instituio requerente.
Portanto, se esse dado condencial for roubado, criminosos podem fazer outros sites
falsos, mas atest-los como pertencentes a instituies idneas. Assim, o usurio poder
tanto fornecer dados seus, inadvertidamente, ou baixar dados destes falsos endereos,
dados que podem ser programas maliciosos disfarados de programas verdadeiros.
J seria demais se os estragos do Heartbleed parassem por aqui, mas no param.
Quando um atacante se benecia da falha de segurana que representa o Heartbleed, a
atuao deste atacante no deixa rastros. De modo que, no h como saber se um
servidor com tal falha j teve dados roubados e quais dados foram copiados. Esta
carncia de rastreamento encadeia dois problemas: Primeiro, os responsveis por
servidores com o Heartbleed ativo, no tem como oferecer garantia alguma a seus
usurios de que eles no foram vtimas de roubo de informao. Segundo, os
responsveis por servidores com o Heartbleed ativo, tem a obrigao de revogar quele
conjunto condencial de dados que atesta a identidade de seus sites, essa revogao
deve ser feita diretamente com as instituies que uma vez alegaram a identidade
verdadeira dos servidores falhos. S depois da revogao que um novo requerimento de
autenticidade pode ser feito. Atualmente, dado a extenso e profundidade do impacto
do Heartbleed, est acontecendo uma corrida de revogao e novas requisies, que
afetam diretamente a conabilidade do oferecimento de servios e produtos via
internet. Estima-se que aproximadamente 500.000 sites atestados como conveis
foram afetados pelo Heartbleed[5] (http://news.netcraft.com/archives/2014/04/08/half-
a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html).
Porqu o nome Heartbleed?
O nome Heartbleed foi dado a tal falha em razo dela acontecer em uma funcionalidade
conhecida por Heartbeat, cuja o objetivo checar se um determinado servidor est
ativo. Essa funcionalidade mantm uma conversao simples com os servidores
envolvidos em uma determinada transao, essa conversao ocorre como se fossem
perguntas. Por exemplo, feita uma pergunta ao servidor:
Ei, voc est ativo?
E o servidor deveria responder:
Sim, estou ativo, obrigado!
Porm, com a falha ativa, a resposta do servidor enviada com fragmentos de dados
condenciais pertencentes a terceiros, mas ainda presentes na memria do servidor
consultado.
H quanto tempo o Heartbleed est ativo na
natureza?
H mais de 2 anos.
Heartbleed-para-nao-tecnicos - Area31 Hackerspace http://www.area31.net.br/wiki/Heartbleed-para-nao-tecnicos
3 of 6 04/23/2014 07:01 PM
Como algum pode se aproveitar do Heartbleed?
Para se aproveitar do Heartbleed, uma pessoa deve ter um determinado nvel de
conhecimento tcnico, ou se servir de quem o tenha.
Para um entendimento objetivo de como algum se benecia do Heartbleed, preciso
entender que um site transaciona informaes para diversas pessoas ao mesmo tempo.
Essas informaes so transacionadas por requisies, que so comumente disparadas
a todo o momento quando algum clica um boto em um site, aperta a tecla enter para
entrar em um endereo ou simplesmente navega com o mouse. Assim, a interface do
navegador, somada ao teclado, mouse ou tela do tablet e telefone mvel formam o
ferramental bsico para se fazer requisies em sites e transacionar informaes. Mas,
quem se aproveita do Heartbleed faz uso de outro ferramental, programas que tambm
fazem requisies, mas estas, maliciosas. Tais requisies maliciosas solicitam um tipo
de dado ao servidor atravs do site, mas quando essa solicitao atinge a falha de
segurana (que o Heartbleed), a resposta do servidor so dados de transaes que
esto sendo feitas por outros usurios. Quando essas informaes chegam pessoa que
est se aproveitando do Heartbleed, esta tenta peneirar o que recebeu em busca de
algo valioso. O processo de peneirar depende da inuncia direta de uma pessoa, mas o
processo de fazer requisies malignas normalmente robotizado, o que signica que
em pouco tempo inmeros dados de outros usurios podem ser coletados.
Em uma analogia simples, o Heartbleed poderia ser tambm explicado da seguinte
forma: Uma pessoa se aproxima de uma casa, aperta a campainha uma poro exata de
vezes, depois bate na porta de uma determinada forma, num determinado intervalo de
tempo, mas como resposta, em vez de algum de dentro da casa atender porta, um
envelope com diversos fragmentos de cartas condenciais de pessoas que esto dentro
da casa enviado por debaixo da porta, de dentro para fora. Ento, a pessoa que tocou
a campainha e bateu porta, foge com o envelope e depois tenta descobrir senhas,
nomes e dados valiosos na carta. Porm o envelope no muito grande, o processo
ento deve ser repetido diversas vezes, se o atacante quer informaes ou documentos
mais completos e longos, como por exemplo a escritura da casa.
Apenas servidores que oferecem endereos com
https so afetados?
No. Virtualmente todo servidor que faz uso do OpenSSL em uma determinada verso,
pode estar exposto falha. Sabe-se que servidores que oferecem servios de um
determinado tipo de rede privada tambm esto expostos ataques.
O que importa como algum pode se beneciar do Heartbleed. Quando um servidor
fornece um endereo https na internet e utiliza uma determinada verso do OpenSSL,
basta possuir um computador e conexo a web para ser um atacante. Por outro lado, se
um servidor oferece um servio baseado em OpenSSL mas esse servio no aberto ao
pblico, mesmo com a falha presente, a chance de ataque torna-se menor.
O que eu devo fazer?
Heartbleed-para-nao-tecnicos - Area31 Hackerspace http://www.area31.net.br/wiki/Heartbleed-para-nao-tecnicos
4 of 6 04/23/2014 07:01 PM
Um usurio comum, que faz ampla utilizao da internet para compras, pagamentos e
troca de informaes por sites, deve checar suas contas de acesso, alterar suas senhas
e no caso de uso de formas de pagamento online, especialmente com cartes de crdito,
deve checar possveis cobranas indevidas.
Quem descobriu essa falha?
Pesquisadores da empresa americana Google e da empresa nlandesa Codenomicon.
Questionamentos trazidos tona pelo Heartbleed
O Heartbleed chamou ateno para ao menos trs importantes questionamentos:
Primeiro: O Heartbleed poderia ser uma falha proposital com ns de espionagem?
Segundo: O Heartbleed est presente no programa OpenSSL, este programa
gratuito, feito por pessoas que contribuem abertamente para o seu desenvolvimento.
Este tipo de iniciativa comum e atualmente a base dos programas fundamentais
para o funcionamento da internet, este tipo de iniciativa e as pessoas que contribuem
para ela, formam o que conhecido como Open Source, Cdigo Aberto ou Software
Livre. Uma das premissas desse tipo de iniciativa que um programa feito abertamente
por todo e qualquer tipo de colaborador, pode ser auditado, revisto e testado por
qualquer um em quaisquer situaes sem o risco de infraes referentes propriedade
intelectual. Essa premissa intrinsecamente traz consigo um fator positivo para
segurana, se comparado com programas proprietrios. Todavia, esse fator de
segurana tem sido posto em discusso dado a existncia do Heartbleed por tanto
tempo, sem a percepo da comunidade responsvel pelo OpenSSL;
Terceiro: Sites e informaes condenciais disponibilizados em redes privadas de
empresas sem a possibilidade de acesso direto por https pela internet, poderiam estar
mais protegidos de tal falha, quando comparados ao mesmo tipo de sites e informaes
disponibilizados em cloud?
Concluso
As instituies que tiveram seus servidores afetados pelo Heartbleed devem entend-lo
como um grave incidente de segurana e portanto precisam se apressar em corrigir o
problema, revogar seus certicados digitais, solicitar novos e orientar seus usurios a
trocar suas senhas, bem como explicar como uma pessoa possivelmente lesada por este
incidente deve proceder. Todo o processo de correo deve ocorrer de forma
transparente a todos os envolvidos direta ou indiretamente com a falha.
A extenso dos danos causados pelo Heartbleed e o tempo pelo qual tantos sistemas
caram expostos a esta falha, demostraram a tamanha fragilidade dos mtodos de
certicao da identidade de sites de internet e colocaram em cheque os limites da
responsabilidade das instituies detentoras de sites e portais, pelos dados de usurios
que esto armazenados em seus servidores.
As discusses em torno dos questionamentos levantados pelo Heartbleed, sero
Heartbleed-para-nao-tecnicos - Area31 Hackerspace http://www.area31.net.br/wiki/Heartbleed-para-nao-tecnicos
5 of 6 04/23/2014 07:01 PM
fundamentais para um entendimento mais amplo e acessvel aos usurios de internet,
sobre a efetividade da proteo de dados na web.
Disponvel em "http://www.area31.net.br/wiki/index.php?title=Heartbleed-para-nao-
tecnicos&oldid=2264"
Esta pgina foi modicada pela ltima vez (s) 16h15min de 23 de abril de 2014.
Esta pgina foi acessada 64 vezes.
Contedo disponvel sob Creative Commons - Atribuio - Partilha nos Mesmos
Termos, salvo indicao em contrrio.
Heartbleed-para-nao-tecnicos - Area31 Hackerspace http://www.area31.net.br/wiki/Heartbleed-para-nao-tecnicos
6 of 6 04/23/2014 07:01 PM