Semana passada, uma vulnerabilidade conhecida como “Heartbleed” foi encontrada na popular biblioteca de software criptográfico OpenSSL (http://heartbleed.com). O OpenSSL é amplamente usado, muitas vezes com aplicativos e servidores Web como Apache e Nginx. As versões do OpenSSL de 1.0.1 até 1.0.1f contêm essa vulnerabilidade, que pode ser explorada por invasores para ler a memória dos sistemas. O acesso à memória pode levar os invasores a obterem chaves secretas, permitindo que eles decifrem e interceptem comunicações criptografadas por SSL e se façam passar por provedores de serviços. Os dados na memória também podem conter informações confidenciais, inclusive nomes de usuário e senhas.
O Heartbleed não é uma vulnerabilidade do SSL/TLS, e sim um bug de software na implementação da extensão heartbeat do OpenSSL. O SSL/TLS não foi enfraquecido; ele ainda é o padrão ouro para criptografia de dados em trânsito na Internet. Porém, devido à popularidade do OpenSSL, aproximadamente 66% dos servidores da Internet ou dois terços dos servidores Web (segundo o relatório da Netcraft sobre servidores Web) podem estar utilizando esse software. Recomenda-se às empresas que usam o OpenSSL que o atualizem para a última versão corrigida do software (1.0.1g) ou recompilem o OpenSSL sem a extensão heartbeat o mais rápido possível.
Sendo a principal autoridade de certificação do mundo, a Symantec já tomou medidas para reforçar seus sistemas. Nossas raízes não correm risco; no entanto, estamos seguindo as melhores práticas e recriamos as chaves de todos os certificados nos servidores Web que contêm as versões afetadas do OpenSSL.
Depois que as empresas atualizarem ou recompilarem seus sistemas, a Symantec recomenda que os clientes substituam todos os seus certificados em servidores Web, seja qual for o emissor, para reduzir os riscos de violações à segurança. A Symantec oferecerá certificados substitutos gratuitos para todos os clientes.
Por fim, a Symantec solicita aos clientes que redefinam as senhas de seus consoles de gerenciamento SSL e com assinatura de código. Mais uma vez, trata-se da melhor prática; encorajamos as empresas a solicitarem que seus clientes finais façam o mesmo depois que os sistemas tiverem aplicado a correção. Continuaremos a trabalhar com nossos clientes a fim de minimizar o impacto dos riscos de segurança provenientes dessa vulnerabilidade.
Para sua conveniência, eis um resumo das etapas a serem seguidas:
Para empresas:
- Todos aqueles que usam o OpenSSL 1.0.1 até 1.0.1f devem atualizá-lo para a última versão corrigida do software (1.0.1g) ou recompilar o OpenSSL sem a extensão heartbeat.
- As empresas também devem substituir o certificado nos respectivos servidores Web após migrarem para uma versão corrigida do OpenSSL.
- Por fim, como melhor prática, também é recomendável que as empresas redefinam as senhas dos usuários finais que possam ter ficado visíveis na memória de um servidor comprometido.
Para os consumidores:
- Esteja ciente da possibilidade de seus dados terem sido vistos por um terceiro se você tiver usado um provedor de serviços vulnerável.
- Monitore as notificações enviadas pelos fornecedores que você usa. Se um fornecedor vulnerável comunicar aos clientes que devem alterar suas senhas, os usuários devem seguir essa instrução.
- Evite possíveis e-mails de phishing enviados por invasores solicitando a atualização de sua senha; para evitar acessar um site fraudulento, atenha-se ao domínio oficial do site.