Grupo conserta falhas para evitar novo Heartbleed

heartbleedGrupo de especialistas, financiado por empresas de software, está passando um pente fino em projetos de código aberto à procura de brechas

Um grupo criado no ano passado para identificar projetos open source que necessitam de ajuda extra para corrigir falhas e vulnerabilidades está passando a limpo a lista de candidatos a receber ajuda para acelerar o trabalho. O grupo, chamado Core Infrastructure Initiative (CII), tem como objetivo principal evitar um novo Heartbleed e é coordenado pela Linux Foundation.

No ano passado, uma falha de segurança na biblioteca de software de criptografia OpenSSL, largamente usada na web, causou caos no mercado, exigindo que empresas de todos os tipos e áreas, incluindo grandes empresas de internet, corrigissem rapidamente as vulnerabilidades sob pena de ataques maliciosos.

Por conta do uso em larga escala do OpenSSL, a falha Heartbleed é considerada ainda um risco grande, já que é possível que muitos sites com código mais antigo ainda estejam sem a correção.

Ação contra falhas

Após o Heartbleed, o CII foi criado, com investimentos de várias empresas de software, para listar os projetos de código aberto no mercado e identificar os que mais urgentemente precisariam de correções e, portanto, receberiam ajuda tecnológica e recursos financeiros.

Segundo o diretor executivo da Linux Foundation, Jim Zemlin, o grupo agora está trabalhando numa lista mais enxuta para selecionar o que vai ser endereçado e otimizar os recursos.

As empresas estão “profundamente preocupadas” sobre onde um novo Heartbleed poderá aparecer, diz Zemlin, a ponto de “CEOs perderem seus empregos por causa disso”.

O CII vai gastar 2 milhões de dólares por ano, nos próximos três anos, suportando projetos open source que, por falta de recursos, poderiam continuar em atividade sem a verificação rigorosa da segurança do seu código.

500 mil linhas

O OpenSSL e suas 500 mil linhas de código foi o primeiro alvo do escrutínio do grupo, claro, mas o CII também ficou de olho em projetos como o SSH (Secure Shell), NTP (Network Time Protocol) e GNU Privacy Guard (GnuPG). Este último, usado para criptografia de pacotes de email e pacotes de assinatura digital, foi colocado sob holofotes na semana passada num artigo da ProPublica por ser considerado um projeto crítico de open source que carece de recursos.

Depois do artigo, seu desenvolvedor, o alemão Werner Koch recebeu cerca de 137 mil dólares em doações para continuar seu trabalho, além da promessa de receber 50 mil dólares por ano do Facebook e também da empresa de processamento de pagamentos eletrônicos Stripes. O CII também garantiu a doação de 60 mil dólares para os ajustes.

O desafio agora, segundo Zemlin, é identificar o novo lote de projetos. É uma tarefa complexa que avalia fatores como a dependência entre programas e como um componente pode afetar o outro. O CII também precisa distribuir cuidadosamente seus recursos financeiros, mesmo sabendo que ao gastar alguns milhares de dólares numa correção estará gerando uma economia gigantesca para o mercado, diz Zemlin.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Mais de 300 mil servidores ainda estão vulneráveis ao Heartbleed

heartbleedA falha de segurança Heartbleed foi revelada há mais de um mês e ainda há mais de 300 mil servidores vulneráveis ao bug, de acordo com o pesquisador de segurança Robert David Graham. Ele chegou a esse número depois de fazer uma varredura global na internet e encontrar 1,5 milhão de servidores que possuem a função de “heartbeat” do OpenSSL. Desse total, exatos 318.239 sistemas ainda estão vulneráveis.

O número conta somente casos confirmados e pode haver outros servidores que escaparam da pesquisa de Graham por causa de bloqueio de spam ou configurações OpenSSL “não ortodoxas”. A quantidade de sistemas preocupa, já que no último mês o bug tem ganhado grande evidência, incentivando hackers que desconheciam a falha a explorá-la. Caso tenham sucesso, eles podem roubar chaves privadas, espionar senhas em trânsito ou infiltrar-se em sessões inteiras do usuário.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Adrenaline e The Verge

Apenas 2 pessoas protegem a Internet contra o Heartbleed

heartbleed_equipeProtocolos de encriptação OpenSSL são gerenciados por apenas dois homens em todo o mundo

O método de encriptação de dados OpenSSL é um dos mais usados em todo o mundo, e isso significa que há muita gente querendo encontrar brechas nele. Recentemente, uma vulnerabilidade conhecida como Heartbleed foi descoberta e colocou pânico em milhões de internautas espalhados pelo mundo. Mas quem estaria trabalhando para corrigir esse problema?

A resposta não está em equipes grandiosas com centenas de programadores, mas em dois nomes que são pouco conhecidos pelo público. Estamos falando de Steve Marquess (ex-consultor de segurança digital do Departamento de Defesa dos Estados Unidos) e Steve Henson (pós-doutor em matemática da Grã-Bretanha). A equipe gerenciada por eles conta com apenas um programador de dedicação exclusiva. Pois é, trata-se de um número muito limitado de pessoas trabalhando em tempo integral.

Sozinhos, os dois Steves desenvolveram e conseguiram fundos para colocar o OpenSSL em funcionamento — graças ao instituto OpenSSL Software Foundation, que vem recebendo mais financiamento público desde o incidente do Heartbleed. São esses dois homens também que agora buscam a ajuda de um novo programador para atribuir mais segurança à internet mundial.

Mas eles escrevem tudo sozinhos?

A resposta é “não”, mas eles gerenciam tudo em apenas duas pessoas — com a ajuda do já mencionado desenvolvedor. O resto fica por conta de desenvolvedores voluntários, que trabalham por uma causa ligada ao desenvolvimento de software livre. Steve Marquess revelou ao BuzzFeed: “Projetos open source são um fenômeno fascinante, e o OpenSSL é quase um exemplo estereotipado”.

Ele vai além e diz que se trata de “uma mão cheia de pessoas que se unem para realizar um trabalho. Eles escrevem códigos porque isso os satisfaz, porque isso é código aberto e as pessoas se percebem úteis. Elas constroem uma comunidade colaborativa em que podem trocar ideias!”.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Brasil é o 3º país com mais sites vulneráveis ao Heartbleed

heartbleedDe acordo com uma pesquisa recente da Trend Micro, o Brasil é o terceiro país com mais sites vulneráveis ao Heartbleed. O primeiro lugar no ranking de países vulneráveis fica com a Rússia, seguida pela China.

No mundo todo, a taxa de sites com esta vulnerabilidade caiu em dois terços, chegando a uma taxa de 10%. Domínios que apresentam uma taxa extremamente baixa para a falha são os .gov, reservados para os sites governamentais dos Estados Unidos, além de domínios da Austrália (.au), Inglaterra (.uk), Alemanha (.de) e Índia (.in).

Este relatório foi realizado com a ajuda do Alexa, um site da Amazon que serve para medir o ranking de páginas na internet – como quanto ele vale e quantos usuários o acessam diariamente.

O Heartbleed é um bug que afeta o componente OpenSSL dos sites, e é estimado que esta vulnerabilidade tenha ao menos dois anos de existência. Este problema só afeta o protocolo OpenSSL, logo, sites que usam criptografia SSL não fora afetados com o problema.

A TrendMicro diz que a maioria dos sites e serviços online tem prestado atenção no problema para solucionar as falhas, mas 10% ainda é uma fatia grande de sites na internet com a vulnerabilidade.

Crackers também estão usando o fluxo de informações sobre o Heartbleed também para disseminar spam. Há inclusive e-mails falsos relatando o problema ocorrido com o Heartbleed, com conselhos e um link para uma matéria da CNN sobre o assunto – que se revela um golpe, pois leva o usuário a um link malicioso.

A Trend Micro lançou o aplicativo Heartbleed Detector para quem quiser testar os sites que estejam em risco. Basta acessar a página e inserir o endereço de um site para testá-lo. Há também um aplicativo para Google Chrome e Android.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Baboo e TrendMicro

Gigantes da Internet se unem para evitar o próximo Heartbleed

coreEmpresas tecnológicas resolveram se unir para evitar que falhas de segurança voltem a prejudicar a navegação na Internet, como aconteceu com o Heartbleed. As gigantes da web anunciaram nesta quinta-feira (24) a criação de um fundo para apoiar e financiar projetos de código aberto, que tem como objetivo fortalecer desenvolvedores OpenSource. A iniciativa chamada Core Infrastructure Initiative (CII) conta com companhias como Google, Facebook, Microsoft, IBM e Intel, lideradas pela Linux Foundation.

O HeartBleed é uma brecha no sistema de criptografia de sites que deixou pelo menos 500 mil servidores e dados confidenciais expostos a usuários mal-intencionados. Páginas HTTPS, indicadas por um cadeado na barra de endereço dos navegadores, ficaram desprotegidas e poderiam ser “visualizadas” por hackers devido a um erro de programação feito há dois anos atrás por um engenheiro alemão no código-fonte aberto OpenSSL. Após admitir que seus sistemas foram afetados, Facebook, Google e Yahoo recomendaram fortemente a alteração de senhas para todos os seus usuários.

O objetivo da iniciativa, Core Infrastructure Initiative (CII), anunciada pelas empresas de tecnologia, é de identificar projetos colaborativos que precisem de financiamento e reunir fundos para ajudar programadores a obter êxito. O apoio pode incluir bolsas de estudo para que os principais desenvolvedores possam trabalhar em tempo integral no projeto, auditorias de segurança, computação e teste de infraestrutura, além de viagens, reuniões presenciais e outras formas de suporte.

O primeiro projeto visado pela CII é o próprio OpenSSL, central para a segurança da web e responsável pelos protocolos de criptografia que os sites utilizam. Os desenvolvedores fazem parte de uma comunidade virtual de voluntários que usam a Internet para se comunicar, planejar e desenvolver ferramentas gratuitas para segurança. Porém, tal projeto recebe uma média de apenas US$ 2 mil em doações por ano.

“Softwares de código-aberto tornam a infraestrutura da computação possível hoje, e o Facebook está empenhado em apoiar tais projetos e os desenvolvedores que os mantêm. A iniciativa vai ajudar a garantir que estes componentes centrais da infraestrutura da Internet obtenham o apoio necessário para responder a novas ameaças e alcançar novas fronteiras”, disse o diretor do Facebook, Doug Beaver.

“A segurança é uma preocupação de toda a indústria e requer a colaboração de todos que fazem parte dela”, disse o sócio-diretor da Microsoft, Steve Lipner. “A Core Infrastructure Initiative se alinha com nossa participação em projetos opensource e com o avanço da segurança em todas as plataformas, dispositivos e serviços”, completou.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Techtudo e Linux Foundation

Heartbleed: sites em que a mudança de senha é recomendável

heartbleedAfetando algo em torno de dois terços dos servidores pela web, a falha de segurança Heartbleed deixou empresas, sites e usuários em alerta no começo desta semana. E mesmo que o OpenSSL já tenha recebido um patch que corrige a brecha, não podemos deixar de lado o fato de que ela esteve aberta por dois anos, pelo menos – e que pode ter sido explorada, segundo a EFF.

Existe, portanto, um risco de que as chaves de criptografia (e outros dados sigilosos transmitidos nas conexões, é claro) tenham ido parar em mãos erradas bem antes de todos tomarem conhecimento da falha no software. Companhias foram alertadas a trocar as combinações o quanto antes, mas o processo pode levar algum tempo.

Então, se ligarmos todos esses fatores, fica claro que você precisará trocar algumas senhas assim que as correções forem aplicadas pelas empresas, para evitar eventuais problemas. Facebook, Google, Yahoo!, Tumblr, Dropbox, por exemplo, usam o OpenSSL para encriptar seus dados e, portanto, acabaram afetados pela falha. Mas esses são só alguns dos serviços que vão precisar de um minuto de sua atenção. Confira outros a seguir, com informações vindas do Mashable, desta lista e dos canais de comunicação de diversas companhias.

Facebook – Corrigiu a falha antes que ela fosse amplamente divulgada, mas pode ainda ter corrido riscos por dois anos. Troque a senha.

Google, Gmail, YouTube e outros serviços – Descobriu a brecha, corrigindo-a no começo da semana. Mas o caso é similar ao do Facebook. Troque a senha.

Twitter – Afirmou em comunicado que seus servidores não foram afetados pela brecha, mas admitiu que utiliza a biblioteca do OpenSLL. Em resumo, não fica claro se os usuários devem ou não tomar alguma atitude – mas por via das dúvidas, troque.

Yahoo!, Yahoo! Mail e outros serviços – Um dos sites mais acessados nos EUA, usa o OpenSSL para criptografar as comunicações em quase todos os seus domínios. Também foi uma das empresas que mais se complicou na hora de corrigir a brecha. Troque a senha.

LinkedIn – Não depende do software para criptografar seus dados. Não é preciso trocar.

Pinterest– Usa OpenSSL para encriptar os dados transferidos, incluindo senhas. Já corrigiu a falha e alertou os usuários. Troque a senha.

Microsoft, Hotmail, Live e outros serviços – Segundo o LastPass, conta com uma biblioteca de criptografia própria, então é de se supor que nenhum de seus serviços tenha sido afetado. Não é preciso trocar.

Tumblr – Teve que lidar com a brecha, mas já a corrigiu. Ainda assim, o caso é similar aos de Facebook e Google. Troque a senha.

Apple – Não se manifestou em relação ao caso, mas especialistas dizem que segue a ideia da Microsoft e usa um sistema próprio. Ainda assim, não fica claro.

Netflix – Afirmou ao Mashable ter tomado as devidas providências em relação ao tema, mas não especificou se foi ou não afetado. Não fica claro, portanto.

Amazon – Em comunicado, afirmou que não usa OpenSSL nas lojas. Mas seus serviços de computação em nuvem podem ter sofrido consequências. Troque as senhas ou certificados nesses casos, ao menos.

PayPal – A segurança na página não depende da biblioteca de criptografia, o que significa que a empresa não foi afetada. Não é preciso trocar.

Dropbox – O suporte do Dropbox tuitou sobre a falha e afirmou que ela já foi corrigida. O caso, no entanto, é o mesmo do Tumblr. Troque a senha.

Evernote – “Não usa e nunca usou OpenSSL, então não ficou vulnerável”, escreveu a empresa em comunicado. Não é preciso trocar.

Soundcloud – A rede social de músicas foi afetada pela falha, e ao Mashable, afirmou que reiniciará as senhas de todos os usuários. Troque a senha.

Steam – A Valve não emitiu comunicados, mas o site da Steam Community usa a biblioteca para proteger os dados e ficou vulnerável segundo esta lista. O mesmo não aconteceu na Steam Powered, endereço da loja. Ainda assim, é bom trocar a senha.

IFTTT – O serviço de automatização de tarefas enviou um e-mail a todos os usuários avisando sobre a correção do bug e recomendando a troca da senha. Portanto, troque a senha.

UOL, Globo.com, Terra e IG – As páginas de e-mail dos provedores aparentemente não utilizam o software para criptografar comunicações, e esta lista mostra que elas não foram afetadas ou não tinham SSL. O suporte técnico do UOL, no entanto, não parecia saber do bug, mas recomendou que os usuários mantenham o hábito de trocar as senhas eventualmente – a cada três meses, como medida de segurança padrão.

Catho Online – A assessoria e a equipe de TI do serviço de vagas de emprego disse a INFO que os servidores usam outra ferramenta e que o site não foi afetado pela vulnerabilidade. Um teste feito aqui confirma. Não é preciso trocar a senha.

Bancos As instituições financeiras contam com diferentes camadas de proteção – tokens, autenticação em dois fatores, combinações extras, cartões, entre outras –, e não costumam usar outras ferramentas diferentes do OpenSSL para criptografar dados, como comprova esta lista (procure os endereços com CTRL+F). Portanto, suas informações devem estar seguras.

Outras medidas de segurança – Se estiver na dúvida em relação a outro serviço ou site, convém digitar o endereço completo nesta página aqui ou na ferramenta da LastPass. Elas informarão se o website já está com a brecha fechada e se ele foi afetado pela vulnerabilidade. Em caso afirmativo, o mais recomendado é mesmo trocar a senha.

Caso você tenha que usar muitas combinações novas e esteja com receio de esquecê-las, pode ser interessante adotar soluções como o mencionado LastPass ou o KeePass. Os programas armazenam todas as senhas em um só lugar, mantendo-as protegidas por uma chave-mestra e criptografando todas as informações.

Ambos também criam combinações fortes, de letras, números e símbolos, que, em teoria, dificultam a vida de quem tentar quebrá-las. Só vale lembrar que o primeiro citado foi um pouco afetado pela vulnerabilidade no OpenSSL, mas garantiu que os dados dos usuários e as chaves de criptografia ficaram a salvo – eles espertamente as armazenam em servidores aos quais o app não tem acesso, e não acreditam que seja necessário reiniciar as senhas-mestras.

Fora isso, também pode ser útil ativar a autenticação em dois passos em todos os sites onde ela está disponível. O sistema adiciona uma camada extra de proteção às contas: além da combinação que você escolher, será necessário informar na tela de login outra sequência que aparece no smartphone,

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Falha grave compromete importantes sites

heartbleedtestFoi revelada na última segunda-feira uma falha grave no protocolo de criptografia OpenSSL, usado para encriptar boa parte da web. O bug, conhecido entre os especialistas como Heartbleed, permite a interceptação de dados entre usuários e serviços, possibilitando o roubo de informações sensíveis.

O OpenSSL permite o uso da encriptação SSL (Secure Sockets Layer), responsável por botar o “S” em “HTTPS”, que indica um site seguro, e o TLS (Transporte Security Layer). Essas ferramentas são amplamente usadas na rede e por muitos sites grandes, incluindo o Yahoo!.

O bug em questão possibilita recuperar dados armazenados no servidor em que estão guardados registros importantes, como nomes de usuário, senhas e, principalmente, informações bancárias como cartões de crédito. Uma pessoa com más intenções também pode copiar as chaves digitais do servidor para falsificar o site ou quebrar a criptografia de comunicações do passado e, potencialmente, do futuro também, segundo a CNET.

Com o bug, o cibercriminoso pode recuperar blocos de 64 KB do servidor. Estes blocos são basicamente aleatórios, então não há como prever exatamente o que ele irá receber. O problema é que mal-intencionado pode repetir o ataque várias vezes, aumentando a chance de encontrar dados sensíveis e prejudiciais a usuários e empresas.

A organização OpenSSL Project lançou uma atualização da biblioteca, que agora está na versão 1.0.1g. Assim, a falha no protocolo foi corrigida, mas é necessário que as empresas apliquem as correções. Outro possível problema é que os sites afetados não notifiquem seus usuários de possíveis vazamentos, evitando que eles tomem medidas preventivas.

Yahoo, Kickass.to, Flickr, Redtube, XDA-Developers, Steam Community, Slate.com, HideMyAss e DuckDuckGo e 500px são alguns do sites famosos reconhecidamente vulneráveis. A lista completa, embora já desatualizada, pode ser conferida aqui. Se você é usuário de algum deles, é recomendável trocar de senha o mais rápido possível.

Opinião do seu micro seguro: o Yahoo já não se apresenta mais como vulnerável. No entanto, é altamente recomendável que todos os seus usuários alterem a senha de uso para evitar quaisquer problemas. Para testar os sites que você comumente acessa, basta conferir no seguinte endereço.

Agradeço ao Davi, Dih e Rafael, colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital e CNET