sexta-feira, 11 de abril de 2014

Falha Heartbleed: o que é e como se proteger

Cabe exclusivamente aos sites que estavam vulneráveis o envio de um recado para seus usuários informando quais passos devem ser seguidos, como a alteração da senha e informações sobre medidas de proteção adicional (como envio de código para celular). Não é dever dos internautas usar ferramentas para tentar determinar, com alta chance de erros, se um site está vulnerável ou não. E também de nada adianta trocar suas senhas em um site antes que ele tenha eliminado o problema.

Internet security researchers say people should not rush to change their passwords after the discovery of a widespread "catastrophic" software flaw that could expose website user details to hackers. But suggestions by Yahoo and the BBC that people should change their passwords at once – the typical reaction to a security breach – could make the problem worse if the web server hasn't been updated to fix the flaw, says Mark Schloesser, a security researcher with Rapid7, based in Amsterdam, Netherlands. Doing so "could even increase the chance of somebody getting the new password through the vulnerability," Schloesser said, because logging in to an insecure server to change a password could reveal both the old and new passwords to an attacker (Heartbleed: don't rush to update passwords, security experts warn - Alex Hern: The Guardian 9 April 2014)

Leia, sem alarme, mas fique alerta...

:: Heartbleed: conheça a maior falha da Internet e veja como se proteger - Redação: IDG Now! 10/04/2014
Ameaça recente permite que informações sigilosas de usuários e empresas sejam interceptadas por crackers.

:: The Heartbleed Hit List: The Passwords You Need to Change Right Now - By Mashable Team: Mashable 2014-04-10
An encryption flaw called the Heartbleed bug is already being called one of the biggest security threats the Internet has ever seen. The bug has affected many popular websites and services — ones you might use every day, like Gmail and Facebook — and could have quietly exposed your sensitive account information (such as passwords and credit card numbers) over the past two years. But it hasn't always been clear which sites have been affected.

:: Falha 'Heartbleed' é uma catástrofe - Altieres Rohr: G1  09/04/2014
A falha corrigida nesta segunda-feira (7), batizada de "Heartbleed", é coisa de cinema, um desastre de segurança na forma como chegou ao público e pela forma que comprometeu a segurança de, estima-se, 500 mil sites. Agora, a situação é a seguinte: nenhum dono de site tem como saber se alguma chave privada foi roubada. Nenhum usuário tem como saber se uma senha foi comprometida.

:: Heartbleed 'sangra' a Internet. O que você precisa saber para se proteger - Redação: Computerworld 11/04/2014
Uma recente ameaça foi descoberta em uma das implementações mais usadas do SSL (Secure Sockets Layer) e do TLS (Transport Layer Security), protocolos de segurança que são utilizados em inúmeros sites com o intuito de criptografar o tráfego entre dois computadores. Ou seja, manter a conexão segura. Chamada de Heartbleed, a falha de segurança apresenta um perigo grave e imediato para qualquer servidor de Internet que não tenha recebido uma correção, de acordo com a empresa de segurança Symantec. A empresa finlandesa Codenomicon foi a primeira companhia a identificar a Heartbleed em conjunto com Neel Mehta, um pesquisador da equipe de segurança da Google. O Heartbleed, ou OpenSSL TLS 'heartbeat' Extension Information Disclosure Vulnerability (CVE-2014-0160), afeta um componente do OpenSSL conhecido como "heartbeat", e estima-se que a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e publicamente anunciada nesta semana.

Nenhum comentário:

Postar um comentário