09 abr 2014

O que é o Heartbleed

por Ada

4 min. de leitura
O que é o Heartbleed
O tempo fechou, pessoal. Crédito: reprodução Giphy - http://giphy.com/gifs/HsP5b2vJrzm8

O tempo fechou, pessoal. Crédito: reprodução Giphy – http://giphy.com/gifs/HsP5b2vJrzm8

Por Eden Cardim*

Crédito: Reprodução heartbleed.com

Crédito: Reprodução heartbleed.com

Privacidade e segurança da informação foram sempre questões fundamentais nas nossas vidas, mesmo antes da era da informação. Uma coisa da qual me recordo bem no colegial era que as meninas guardavam seus diários com a vida.

Haviam as que não se contentavam apenas em escrever detalhes pessoais dentro dos diários, e escreviam também em público, através de uma forma rudimentar de criptografia. Elas criavam uma tabelinha com símbolos que mapeavam pras letras do alfabeto (algo como ♥ = a, ★ = b, ▲ = c, etc.), numa espécie de equivalente da pedra de roseta, e assim poderiam enviar recados secretos pra outras pessoas, sem correr o risco de um intermediário ler o conteúdo. Apenas as pessoas em posse da tabela entenderiam o significado, e essa tabela ficava guardada dentro do diário, que ficava trancado com uma chave. Por conta disso, toda a turma se interessava em roubar o diário (e a chave).

Hoje em dia, substituimos os diários por emails e aplicativos, e todos eles usam a mesma técnica de criptografia para proteger suas informações. A diferença é que as tabelas de conversão são gigantescas e um humano não conseguiria traduzir tudo em tempo hábil e até os computadores precisam de uma chave numérica equivalente à tranca do diário, chamada de “certificado digital”, para montar a tabela corretamente e traduzir o conteúdo.

Leia também:
O que é o Marco Civil da Internet

Sem o certificado, levaria alguns milhares de anos para um computador comum decifrar a informação. Todo esse processo é realizado por um software que segue um padrão de criptografia chamado “SSL”. Existem várias versões desse software, e uma delas é o “OpenSSL”, que é amplamente utilizado em serviços de hospedagem na internet.

Na terça-feira (8), foi descoberta uma falha grave no OpenSSL, introduzida acidentalmente há dois anos atrás, e foi chamada de Heartbleed. Essa falha afeta praticamente todos os sites na internet e é talvez a mais grave desde o bug do milênio, porque ela permite que qualquer pessoa na internet roube a chave dos sites que você usa, que é onde ficam as suas senhas e informações pessoais. Já existe uma solução para o problema e todos os sites respeitáveis estão correndo para atualizar o software e remover a ameaça. Infelizmente, não se sabe se alguém já havia descoberto a falha antes da data em que ela foi divulgada amplamente na internet. Por isso, é possível que alguém tenha observado o tráfego das suas informações durante os dois anos em que ela existe.

Uma forma de saber se os sites que você usa ainda está vulnerável, é acessar o http://filippo.io/Heartbleed/. Se ele for indicado como vulnerável, pare de usá-lo até o problema ser solucionado. Infelizmente, não basta o site atualizar o software dele, sua informação pode já estar exposta. Por via das dúvidas, troque todas as senhas de todos os serviços que você usa, lembrando sempre das dicas básicas de segurança e privacidade:

• Use sempre senhas com números e símbolos (como $ e #) intercalados com letras maiúsculas e minúsculas e pelo menos 8 caracteres. Isso dificulta o trabalho de quem tenta descobrir sua senha por tentativa e erro;

• Nunca compartilhe senhas entre aplicativos, alguém que descobrir a sua senha em um site vai tentar usar a mesma senha nos outros. Se você usa a mesma senha do banco no Facebook, pare tudo e vá trocar a senha do banco, agora!

• Desconfie sempre de modificações visuais nos sites que você usa com frequência e procure o cadeado na barra de navegação do site. É comum que invasores clonem seu site predileto na tentativa de te convencer a digitar sua senha no formulário deles;

• Proteja a senha do seu email primário como se fosse a chave do diário no colegial. Quase todos os sites oferecem a funcionalidade “esqueci minha senha” que dependem de confirmação por email. Alguém que obtiver acesso ao seu email poderá trocar as senhas de todos os aplicativos online que você usa;

• Troque suas senhas com frequência, existem aplicativos que te ajudam com isso, como o 1Password e o Lastpass (que já se adiantou e está avisando seus clientes sobre quais senhas devem ser alteradas);

• Procure encerrar as contas em sites que você não usa mais.

Essas práticas podem parecer exagero e você pode sentir vontade de não seguir alguma delas. É exatamente isso que os bisbilhoteiros de plantão procuram. Lembre-se também, que falhas de segurança são divulgadas todos os dias, desde que computadores existem, mas a maioria não é tão grave quanto o Heartbleed. Não vale a pena deixar de aproveitar a tecnologia por conta disso, mas vale a pena se precaver.

 eden cardim*Eden Cardim é formado em ciência da computação, especialista em engenharia de software, entusiasta de software livre, misturador de tecnologia com arte e criador de felinos. Foto: Arquivo pessoal.