Falha que afeta 33% dos servidores pode expor dados pessoais

drown_atackComo parte de uma atualização do OpenSSL liberada hoje, foi divulgada uma falha de segurança que afeta servidores que usam SSL e TLS, algumas principais ferramentas de criptografia da internet. Chamada de DROWN, a vulnerabilidade afeta 33% dos servidores, incluindo sites como Yahoo, Alibaba, BuzzFeed e Flickr.

A falha de segurança é semelhante ao Heartbleed, considerada a mais grave da história da internet, embora afete uma porcentagem menor dos servidores. Por meio dela, atacantes podem interceptar comunicações encriptadas de sites HTTPS, potencialmente roubando dados como senhas ou informações de cartões de crédito. A lista dos principais sites vulneráveis pode ser vista aqui.

Segundo o site, um ataque que explore essa vulnerabilidade pode ser realizado em menos de um minuto. Os detalhes técnicos da falha de segurança podem ser vistos por meio desse link (pdf). Para prevenir servidores contra esse ataque, é recomendável desativar o SSLv2 do servidor, e garantir que a chave criptográfica dele não seja compartilhada por outros servidores.

S é de Segurança

Tanto o DROWN quanto o Heartbleed são falhas no protocolo de criptografia OpenSSL, que é usado para garantir o sigilo de informações de boa parte da internet. Esse protocolo permite o uso da encriptação SSL (Secure Sockets Layer), que é responsável pelo “S” de HTTPS.

Comunicações enviadas de e para sites HTTPS são criptografadas. Por esse motivo, mesmo que elas sejam interceptadas, elas não serão inteligíveis ao usuário que as interceptou. As duas falhas, no entanto, permitem que os dados enviados dessa maneira sejam tento interceptados quanto decriptados, comprometendo a segurança da informação.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Mais de 300 mil servidores ainda estão vulneráveis ao Heartbleed

heartbleedA falha de segurança Heartbleed foi revelada há mais de um mês e ainda há mais de 300 mil servidores vulneráveis ao bug, de acordo com o pesquisador de segurança Robert David Graham. Ele chegou a esse número depois de fazer uma varredura global na internet e encontrar 1,5 milhão de servidores que possuem a função de “heartbeat” do OpenSSL. Desse total, exatos 318.239 sistemas ainda estão vulneráveis.

O número conta somente casos confirmados e pode haver outros servidores que escaparam da pesquisa de Graham por causa de bloqueio de spam ou configurações OpenSSL “não ortodoxas”. A quantidade de sistemas preocupa, já que no último mês o bug tem ganhado grande evidência, incentivando hackers que desconheciam a falha a explorá-la. Caso tenham sucesso, eles podem roubar chaves privadas, espionar senhas em trânsito ou infiltrar-se em sessões inteiras do usuário.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Adrenaline e The Verge