O bug Heartbleed Heartbleed - O que você pode fazer para ficar seguro? Heartbleed - o que você pode fazer para ficar seguro? Leia mais tem sido objeto de muita preocupação e foi chamado de uma das mais graves violações de segurança de computadores de todos os tempos Bug maciço no OpenSSL Coloca grande parte da Internet em risco Bug massivo no OpenSSL coloca grande parte da Internet em risco Se você estiver Uma daquelas pessoas que sempre acreditaram que a criptografia de código aberto é a maneira mais segura de se comunicar on-line, você terá uma surpresa. Consulte Mais informação . Mas algumas pessoas não estão convencidas - afinal, quem Heartbleed realmente prejudicou? Bem, tem havido vários ataques relatados de Heartbleed sendo usados para causar danos reais. Se você acha que Heartbleed é todo o hype, pense novamente.
900 SINs roubados da Agência Canadense de Receitas
No Canadá, um invasor usou o bug Heartbleed contra a Canadian Revenue Agency, capturando cerca de 900 números de seguro social (SINs) pertencentes a pessoas que apresentaram seus impostos. Este é basicamente o equivalente canadense a um invasor que captura números de seguridade social (SSNs) do IRS nos EUA. Alguns dados relacionados a empresas canadenses também foram roubados.
O atacante foi preso por capturar esses números, mas não sabemos se o invasor vendeu os SINs ou os transmitiu para outra pessoa. Como os números de previdência social nos EUA, esses números geralmente não são modificáveis - eles só podem ser alterados se você provar que foi vítima de fraude. Os contribuintes afetados terão que assinar um serviço de monitoramento de crédito e acompanhar as pessoas que tentam abrir contas bancárias e cartões de crédito em seu nome. Roubo de identidade 6 Sinais de aviso de roubo de identidade digital que você não deve ignorar 6 Sinais de aviso de roubo de identidade digital que você não deve ignorar O roubo de identidade não é tão raro hoje em dia, mas muitas vezes caímos na armadilha de pensar que sempre acontecerá com "outra pessoa". Não ignore os sinais de aviso. Leia mais é uma preocupação séria aqui.
![heartbleed](img/security/790/digging-through-hype.jpg" "heartbleed")
Mumsnet e outros roubos de senha
Mumsnet anunciou recentemente que está forçando todos os usuários a mudarem suas senhas. Isso não era apenas uma medida preventiva - o Mumsnet tinha razões para acreditar que os invasores tinham acesso às senhas e mensagens privadas de até 1, 5 milhão de usuários.
Este provavelmente não é o único site que teve senhas confidenciais roubadas dele. Se as pessoas cometem o grande erro de reutilizar a mesma senha em vários sites, um invasor pode entrar em outras contas. Por exemplo, se alguém estiver usando a mesma senha para a conta do Mumsnet e a conta de e-mail vinculada à conta do Mumsnet, o invasor poderá entrar nessa conta de e-mail. A partir daí, o atacante pode redefinir outras senhas e entrar em outras contas
Se você recebeu um e-mail de um serviço aconselhando-o a alterar sua senha e garantir que você não esteja usando a mesma senha em outro lugar, é possível que o serviço tenha suas senhas roubadas - ou tenha suas senhas roubadas e não tenha certeza.
![mumsnet-heartbleed-password-reset](img/security/790/digging-through-hype.png" "mumsnet-heartbleed-password-reset")
Sequestro de VPN e roubo de chave privada
A empresa de segurança Mandiant anunciou que os atacantes usaram o Heartbleed para violar uma VPN corporativa interna, ou rede privada virtual, pertencente a um de seus clientes. A VPN estava usando autenticação multifator O que é autenticação de dois fatores e por que você deve usá-la O que é autenticação de dois fatores e por que você deve usá-la A autenticação de dois fatores (2FA) é um método de segurança que exige duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagar com um cartão de crédito não só requer o cartão, mas também não importa - o invasor conseguiu roubar chaves de criptografia privadas de um appliance VPN com o ataque Heartbleed e foi capaz de seqüestrar ativar sessões VPN.
Não sabemos o que a corporação foi atacada aqui - a Mandiant acaba de anunciar que era uma “grande corporação”. Ataques como este poderiam ser usados para roubar dados corporativos confidenciais ou infectar redes corporativas internas. Se as corporações não garantirem que suas redes não sejam vulneráveis ao Heartbleed, sua segurança pode ser facilmente contornada.
A única razão pela qual estamos ouvindo sobre isso é porque a Mandiant quer incentivar as pessoas a proteger seus servidores VPN. Nós não sabemos o que a corporação foi atacada aqui porque as corporações não querem anunciar que foram comprometidas.
Este não é o único caso confirmado de Heartbleed sendo usado para roubar uma chave privada de criptografia da memória de um servidor em execução. A CloudFlare duvidou que o Heartbleed pudesse ser usado para roubar chaves de criptografia privadas e emitiu um desafio - tente obter a chave privada de criptografia do nosso servidor, se puder. Várias pessoas obtiveram a chave privada em um único dia.
![vpn router](img/security/790/digging-through-hype-2.jpg" "roteador vpn")
Agências de Vigilância Estadual
Controversamente, o bug Heartbleed poderia ter sido descoberto e explorado pelas agências de vigilância e inteligência do estado antes de se tornar de conhecimento público. A Bloomberg informou que a NSA explorou o Heartbleed por pelo menos dois anos. A NSA e a Casa Branca negaram isso, mas o diretor de inteligência nacional James Clapper disse que a NSA não coletou nenhum dado sobre milhões de americanos antes que as atividades de vigilância da NSA se tornassem conhecidas, algo que agora sabemos que não é verdade O que é PRISM? Tudo que você precisa saber O que é PRISM? Tudo que você precisa saber A Agência de Segurança Nacional dos EUA tem acesso a todos os dados que você armazena com provedores de serviços dos EUA, como Google Microsoft, Yahoo e Facebook. Eles também estão provavelmente monitorando a maior parte do tráfego que flui através do ... Leia Mais. Também sabemos que a NSA acumula vulnerabilidades de segurança para uso contra alvos de vigilância, em vez de relatá-las para que possam ser corrigidas.
A NSA de lado, existem outras agências de vigilância do estado no mundo. É possível que a agência de vigilância do estado de outro país tenha descoberto esse bug e o estivesse usando contra alvos de vigilância, possivelmente até mesmo corporações e agências governamentais baseadas nos EUA. Não podemos saber nada com certeza aqui, mas é muito possível que o Heartbleed tenha sido usado para atividades de espionagem antes de ser divulgado publicamente - certamente ele será usado para esses propósitos agora que é de conhecimento público!
Nós apenas não sabemos
Nós apenas não sabemos quanto dano Heartbleed fez ainda. As empresas que acabam com violações graças ao Heartbleed muitas vezes querem evitar fazer anúncios embaraçosos que possam prejudicar seus negócios ou prejudicar os preços das ações. Geralmente é mais fácil lidar com o problema internamente do que deixar o mundo saber.
Em muitos outros casos, os serviços não saberão que foram mordidos pelo Heartbleed. Graças ao tipo de solicitação usado pela vulnerabilidade do Heartbleed, os ataques do Heartbleed não serão exibidos em muitos registros do servidor. Ele ainda aparecerá nos registros de tráfego da rede se você souber o que procurar, mas nem toda organização sabe o que procurar.
Também é possível que o bug Heartbleed tenha sido explorado no passado, antes de se tornar de conhecimento público. É possível que os cibercriminosos ou, mais provavelmente, as agências de vigilância do estado tenham descoberto o bug e o estejam usando. Os exemplos aqui são apenas um instantâneo das poucas coisas que conhecemos.
O exagero é justificado - é importante mantermos os serviços e dispositivos atualizados o mais rápido possível para ajudar a reduzir os danos e evitar piores ataques no futuro.
Crédito de imagem: snoopsmas no Flickr, ChrisDag no Flickr