Tópicos | Heartbleed

Bug Shellshock pode ser tão perigoso quanto o Heatbleed

Este ano, o bug Heartbleed deu muita dor de cabeça aos pesquisadores de segurança na internet, já que permitia a hackers minar os dados de usuários para obter informações sigilosas. O mesmo foi usado pela NSA (Agência de Segurança Nacional dos EUA) para espionagem. Agora, foi descoberta uma nova falha que ameaça a segurança de vários servidores na web. O Shellshock permite que os hackers rodem qualquer código uma vez que um programa é aberto. 

O que é o Shellshock?

##RECOMENDA##

O bug é uma falha na shell, um terminal de comando que permite ao computador se comunicar com o usuário interpretando texto. A shell onde a falha se encontra é a Bash, que é usada em diversos aparelhos da "internet das coisas" e em sistemas operacionais baseados no Unix, o que inclui o Mac OS X e Linux (até então, usuários Windows parecem estar seguros). Uma vez que o shell é aberto, é possível inserir um código malicioso na máquina, desde que ela esteja conectada a uma rede, e com isso, invasores podem tomar total controle do aparelho. CentOS, Debian e Redhat - variantes do Linux - já receberam atualizações de segurança, mas elas são soluções parciais. A Apple afirmou que a grande maioria dos computadores com OS X estão seguros, pois os usuários só ficam vulneráveis se alterarem configurações avançadas do Unix.

O especialista em segurança Robert Graham afirmou que o Shellshock é tão grande quanto o Heartbleed, e que em teste encontrou 3 mil servidores vulneráveis conectados à internet. Graham afirmou também que o teste foi interrompido no meio, então provavelmente há ainda mais, e que o bug é perigoso, pois, apesar de ter sido identificado agora, já existe há anos. 

O que os invasores podem fazer através da falha?

Basicamente qualquer coisa. Ativar um malware, abrir a câmera e deletar arquivos são apenas algumas das possibilidades. Se houverem aparelhos conectados através de internet das coisas - como fechaduras inteligentes - o invasor também poderia abri-las. Com um servidor a situação é mais complicada, porque é estimado que 60% dos servidores em web estejam vulneráveis ao Shellsock, e como sua função é servir, eles devem ler ordens enviadas pelos usuários. Se um hacker ordenar qualquer tipo de dado, é possível infectar o servidor. 

Devo me preocupar?

Ainda não. Computadores equipados de firewalls são protegidos de malware pois não aceitam ordens feitas por softwares não autorizados. Quem usa Mac ou Linux pode abrir o terminal e rodar o seguinte código para ter certeza de que está protegido:

env x='() { :;}; echo vulnerável' bash -c "echo isto é um teste"

Se o "vulnerável" aparecer antes de "isto é um teste", significa que seu sistema está vulnerável. Para se proteger, basta fazer atualizações de segurança em seu firewall e - no caso dos Linux - no sistema operacional. A situação é mais complicada quando se trata de servidores ou internet das coisas. No primeiro caso, há muitos já abandonados e ainda presentes na internet, e no segundo, há uma enorme quantidade de aparelhos e não há garantia de que os fabricantes irão lançar atualizações. 

falha, Shellshock, Bash, bugs, bug, Heartbleed
Mais de 300 mil servidores estão vulneráveis ao Heartbleed

Passados dois meses da descoberta do bug Heartbleed, mais da metade dos 600 mil servidores atingidos pelo erro no OpenSSL ainda estão vulneráveis, afirma o pesquisador de segurança Robert David Graham. Ele não está otimista com os números e acredita que em uma década ainda haverão servidores expostos.

Graham identificou que cerca de 318,239 servidores ainda não haviam sido corrigidos um mês depois da exposição. Desses, apenas 9,042 foram corrigidos desde então, identificando que 309,197 ainda não receberam a atualização necessária para protegê-los da falha. Os grandes sites atingidos pelo Heartbleed já foram corrigidos.

##RECOMENDA##

O Heartbleed é um bug perigoso, que permite ao atacante puxar dados de informação de qualquer servidor não protegido. Podem ocorrer exposições que vão desde senhas até cartões de créditos.

 

OpenSSL, Heartbleed, bug, segurança, vazamento, dados
Proteja seu dispositivo Android da falha Heartbleed

A falha Heartbleed atingiu sites da web, bem como dispositivos Android. Segundo a Google, a versão 4.1.1 do sistema operacional é vulnerável a falha, o que deixou muitos usuários em alerta. Pensando nisso, a empresa de segurança Trend Micro lançou uma ferramenta capaz de detectar aplicativos instalados que estão vulneráveis ao bug.

Com o Heartbleed Detector em mãos, basta que o usuário clique no botão “Scan Now” e verifique se algum aplicativo do seu dispositivo Android foi afetado. Após a varredura, a ferramenta fornece a opção para desinstalá-los, caso encontre alguma falha.

##RECOMENDA##

Em seu último monitoramento, a Trend Micro diz ter observado que cerca de 6 mil, dos 7 mil aplicativos conectados a servidores vulneráveis ao Heartbleed, ainda estão sendo afetados. Para baixar o Heartbleed Detector, basta acessar a Google Play.

bug, Heartbleed, Heartbleed Detector, Google Play, android, google
Reparar falha 'Heartbleed' deixará internet mais lenta

Reparar a falha "Heartbleed", descoberta na semana passada, poderá perturbar e tornar mais lento o funcionamento da internet, informaram nesta terça-feira (15) especialistas americanos em segurança informática.

A boa notícia é que a maioria dos grandes sites na internet vulneráveis à falha, que afeta certas versões de OpenSSL, um programa livre usado para se conseguir conexões seguras na internet, já atualizou seus sistemas.

##RECOMENDA##

O problema agora é que navegadores como Chrome, Firefox e Internet Explorer podem ser iniciados com a renovação necessária dos certificados de segurança, o que poderia gerar a emissão de mensagens de erro e tornar lento o acesso a certos sites, explicou à AFP Johannes Ullrich, do SANS Internet Storm Center.

A solução da falha passa pela obtenção de novos certificados de segurança. Mas isso requer que os navegadores atualizem sua lista de senhas, ou de certificados não seguros, que desencadeiam um alerta quando um internauta pretende acessar esses sites.

Normalmente, os navegadores conseguem atualizar dezenas de senhas por dia, mas por causa do "Heartbleed" a lista pode aumentar para milhares. Se as verificações durarem muito tempo, os navegadores simplesmente podem declarar os sites inválidos, ou emitir mensagens de erro.

Veo Zhang, especialista em segurança informática na Trend Micro, explicou que os smartphones também são potencialmente vulneráveis porque se conectam a servidores afetados pela falha e porque esta também pode prejudicar certos aplicativos.

"Encontramos 273 (aplicativos) no Google Play" que são vulneráveis, escreveu Zhang em seu blog.

bug, Heartbleed, Internet, lenta
Dispositivos Androids estão vulneráveis ao bug Heartbleed

Não foram apenas os sites da internet que sofreram com o bug Heartbleed. De acordo com o site Bloomberg, milhões de smartphones e tablets que executam o Google Inc.do sistema operacional Android sofreram com o bug, em um sinal de quão amplamente a falha se estendeu para além da Internet e em dispositivos de consumo móveis.

Embora o Google afirme em um post no blog no dia 9 de abril que todas as versões do Android são imunes à falha, ele acrescentou que a existe uma "exceção limitada" da versão do Android 4.1.1, lançado em 2012.

##RECOMENDA##

Os pesquisadores de segurança afirmam que a versão do Android ainda é usada em milhões de smartphones e tablets, incluindo modelos populares feitos pela Samsung Electronics Co., HTC Corp e outros fabricantes. No entanto, essa versão do Android está instalada em menos de 10% do total de usuários ativos. Mesmo assim, tirando a base de usuários gigantesca de instalações do Android,  que supera 1 bilhão de downloads, aproximadamente 100 milhões de usuários podem ter seu smartphone hackeado.

Para saber se seu smartphone está vulnerável a falha, basta ir no menu do aparelho e seguir esse caminho: Configurações --> Sobre o telefone --> Versão do android. 

A Microsoft se pronunciou e disse que seus sistemas operacionais, tanto do Windows, quanto Windows Phone, não apresentam vulnerabilidade ao Heartbleed. A Apple ainda não falou sobre o caso.

 

bug, android, Heartbleed, hacker
Bug 'Heartbleed' foi provocado por erro trivial

A falha "Heartbleed" que atingiu o protocolo do OpenSSL, ao que tudo indica, foi provocada pelo desenvolvedor de software alemão Robin Seggelmann, e uma revisão posterior do servidor não conseguiu pegar o erro da codificação. Em entrevista ao jornal Sydney Morning Herald, Seggelmann afirma que em um dos novos recursos do servidor ele perdeu a validação de uma variável.

Algumas pessoas acusaram Seggelmann de adicionar intencionalmente a falha de segurança, acusação que ele nega, alegando que a razão dele  estar trabalhando no OpenSSL naquele dia era contribuir na correção de bugs e melhorias para o projeto. "Foi um erro de programação simples em um novo recurso, que, infelizmente, ocorreu em uma área de segurança relevante", disse ele. Mas Seggelmann reconhece que o erro levou a consequências "graves".

##RECOMENDA##

Entenda o caso - Nesta última segunda-feira (7), o mundo de TI fez um alerta não muito agradável: um aviso temporário de segurança de emergência do projeto OpenSSL. O bug aberto ficou conhecido como "Heartbleed" e funcionou como uma fonte que puxava partes da mamória de trabalho a partir de qualquer servidor que estivesse executando o software. Houve um patch de emergência, mas até que foi instalado, milhões de servidores ficaram expostos.

Descoberto pelo pesquisador do Google, Neel Mehta, o bug permite que um atacante consiga puxar, por exemplo, 64k aleatoriamente de memória de trabalho de um determinado servidor. Os pesquisadores estão comparando-o como uma pesca, em que não se sabe quais os dados que serão coletados, mas visto que é possível ser executada repetidas vezes, há o potencial de que dados precisosos sejam expostos.

Heartbleed, Código-Fonte, bug, Software
Bug no OpenSSL deixa milhares de usuários expostos

Nesta última segunda-feira (7), o mundo de TI fez um alerta não muito agradável: um aviso temporário de segurança de emergência do projeto OpenSSL. O bug aberto ficou conhecido como "Heartbleed" e funcionou como uma fonte que puxava partes da mamória de trabalho a partir de qualquer servidor que estivesse executando o software. Houve um patch de emergência, mas até que foi instalado, milhões de servidores ficaram expostos.

O OpenSSL não é muito conhecido fora do mundo de codificação, mas dois em cada três servidores na web dependem de seu software para funcionar. Ele é uma ferramenta muito usada para proteger senhas, números de cartões de crédito e outros dados transmitidos pela Internet. O Yahoo foi exposto pelo bug, e seus especialistas aconselharam os usuários que não atualizassem as suas contas até que a empresa tenha tempo de atualizar seus servidores. Dezenas de outras empresas menores também foram afetadas, incluindo o Imgur, Flickr e LastPass 

##RECOMENDA##

Descoberto pelo pesquisador do Google, Neel Mehta, o bug permite que um atacante consiga puxar, por exemplo, 64k aleatoriamente de memória de trabalho de um determinado servidor. Os pesquisadores estão comparando-o como uma pesca, em que não se sabe quais os dados que serão coletados, mas visto que é possível ser executada repetidas vezes, há o potencial de que dados precisosos sejam expostos.

Por enquanto, existem algumas formas de dizer se os serviços dos servidores estão seguros. Dois sites atualmente estão oferecento uma verificação automática para saber se foi ou não infectado, são eles: Flippo e SSLLABS. No entanto, eles não estão imunes a falsos negativos, por isso não devem ser tomados como definitivo. 

Heartbleed, hackers, bug, OpenSSL

Leianas redes sociaisAcompanhe-nos!

Facebook

LeiaJá é um parceiro do Portal iG - Copyright. 2024. Todos os direitos reservados.

Carregando