Mito ou verdade: investigamos os 3 maiores medos sobre o Heartbleed

Matéria tirada do site IDG NOW:
http://idgnow.com.br/internet/2014/04/18/mito-ou-verdade-investigamos-os-3-maiores-medos-sobre-o-heartbleed/

O Heartbleed dominou as manchetes de publicações tecnológicas na última semana. Agências de notícias, bloggers e até mesmo os âncoras de programas televisivos entraram na história - cada um alardeando um pouco mais que o dito anteriormente pelo veículo concorrente.
Mas, embora o Heartbleed seja sim uma falha crítica com implicações grandes, diversos especialistas em segurança têm afirmado que o teor das reportagens tem sido um pouco melodramático.
"Embora isso seja tecnicamente uma 'grande coisa', a exposição que a falha tem recebido pela imprensa é exagerada", disse Greg Foss, engenheiro sênior em pesquisa de segurança da LogRhythm. "Especialmente quando comparada a outras vulnerabilidades sérias divulgadas de forma responsável todos os dias e que pouquíssimos fora da comunidade de segurança nunca ouviram falar."
Então, com o que você deve se preocupar? Veja a seguir "o hype" e "a realidade" por trás dos três maiores problemas levantados pela histeria do Heartbleed.
Hype #1: a Internet inteira foi comprometida e está aberta a temporada dos crackers.
A realidade: você provavelmente não é o alvo. O Heartbleed é uma vulnerabilidade existente no OpenSSL, uma implementação comum do protocolo SSL usado para proteger as comunicações na Internet. Não importa qual o browser ou dispositivo que você estiver usando - se estiver conectado ou interagindo com sites e serviços que utilizam a versão OpenSSL vulnerável, qualquer dado transmitido poderá ser comprometido.
Certamente é algo sério, mas uma correção para o Heartbleed está disponível desde que a vulnerabilidade foi publicamente divulgada, e a maior parte dos sites e aplicações afetados já foram corrigidos. Os sites que ainda restam e dispositivos baseados em Internet das Coisas que utilizam o OpenSSL estão em risco agora que a falha se tornou pública, mas os atacantes normalmente focam em alvos fáceis e de alto valor. Aquele roteador que você tem em casa provavelmente não vale o tempo e esforço.
Hype #2: você corre um grande risco de ser hackeado.
A realidade: o risco é mínimo, se você estiver usando medidas básicas de segurança. Testes realizados pela empresa de segurança CloudFlare confirmaram que é possível usar a vulnerabilidade Heartbleed para roubar chaves privadas de criptografia de um servidor. Isso dá a possibilidade de um cracker falsificar uma conexão, criar um site malicioso que pareça legítimo ou mesmo decodificar comunicações que ele coletou. Sites e serviços precisam estar cientes disso.
Mas há duas ressalvas importantes que devem ser consideradas. Em primeiro lugar, para obter a chave privada é preciso realizar um certo número de solicitações que qualquer IDS/IPS (sistema de detecção de intrusão/sistema de prevenção de intrusão) pode detectar.
Teoricamente, um cracker não deveria conseguir roubar as chaves, porque os administradores de TI seriam informados sobre a tentativa de roubo e bloqueariam a ação.
Segundo, o vazamento de uma chave privada não necessariamente acarreta riscos ao consumidor médio. "Se você é um usuário regular de Wi-Fi público, então o risco é muito maior", disse Tyler Reguly, gerente de pesquisa de segurança da Tripwire. "[Mas] se você estiver usando o seu computador, na sua casa, com a sua própria conexão ou plano de dados do seu telefone, o risco é um pouco menor. As chances de que cibercriminosos tenham armazenado pacotes de suas interações as quais eles possam descriptografar posteriormente são praticamente nulas."
Hype #3: você deve trocar todas as suas senhas
A realidade: você deve mesmo, mas não agora. É verdade que o Heartbleed existe há alguns anos e tem uma boa chance de as suas senhas terem sido expostas ou comprometidas. No entanto, não vai ajudar em nada você trocar a combinação em sites vulneráveis antes deles confirmarem que o serviço foi corrigido.
Tom Cross, diretor de pesquisa de segurança da Lancope, diz ser provável que as senhas foram expostas somente se os usuários acessaram um site vulnerável depois de a falha ter sido publicamente divulgada. E as chances disso ter acontecido são menores do que parecem, porque estima-se que apenas 11% a 17% dos sites estariam vulneráveis - e a maioria deles já foi corrigida.
O problema aqui é saber quando uma página vulnerável foi atualizada. Nem todas as empresas estão sendo francas sobre a correção.
"A menos que o seu fornecedor anunciou claramente que o problema foi resolvido e que emitiu um novo certificado, não seria uma má ideia mudar a sua senha agora e, depois de um mês, mudar a combinação novamente", recomendou Andrew Storms, diretor da DevOps para a CloudPassage. "Todos deveriam se lembrar de duas importantes boas práticas: use uma única senha para cada site e troque-a regularmente."
O real risco
Até onde esses especialistas afirmam, mais perigoso do que a vulnerabilidade Heartbleed em si são as expectativas distorcidas que a mídia criou sobre o assunto.
"Todo mundo fala sobre educar os usuários, mas essa suposição coloca o ônus sobre o setor de segurança", disse Reguly. "Se ficarmos alarmando toda a vulnerabilidade que aparece, estaríamos fazendo um deserviço aos usuários."
Outras questões de segurança merecem tanto ou mais interesse, Reguly acrescentou. "Esse é um problema crítico que deve ser corrigido, mas, para o usuário final médio, as últimas atualizações do Flash e Internet Explorer para exploits 0-day ainda representam um risco muito maior que o Heartbleed."
Mito ou verdade: investigamos os 3 maiores medos sobre o Heartbleed Mito ou verdade: investigamos os 3 maiores medos sobre o Heartbleed Reviewed by Marcos Garcia on abril 22, 2014 Rating: 5

Nenhum comentário:

Tecnologia do Blogger.