Em 7 de abril de 2014, o mundo tomou conhecimento daquele que é possivelmente o bug de segurança mais grave da história da Internet. Chama-se Heartbleed.
Descoberto simultaneamente por Neel Mehta, pesquisador de segurança do Google, e por uma empresa de segurança finlandesa Codenomicon, o bug compromete um protocolo de segurança comumente usado por dispositivos e sites mundialmente. Heartbleed permite que um hacker extraia dados da memória – incluindo senhas, números de contas bancárias e qualquer outra coisa que esteja dentro dele.
Vídeos recomendados
A gravidade do bug deixou muitos se perguntando como isso poderia acontecer. OpenSSL, o protocolo de segurança no qual o bug foi encontrado, é usado em todo o mundo. É usado não apenas em servidores, mas também em roteadores e até em alguns smartphones Android. Você pode pensar que alguma parte responsável tem uma equipe de pesquisadores de segurança verificando e verificando novamente o código, mas, na verdade, o OpenSSL é gerenciado por um pequeno grupo composto principalmente de voluntários.
Relacionado
- Um novo bug do WordPress pode ter deixado 2 milhões de sites vulneráveis
- A autenticação de dois fatores por SMS do Twitter está apresentando problemas. Veja como mudar de método
- HiveNightmare é um novo bug desagradável do Windows. Veja como se proteger
Abrindo para OpenSSL
OpenSSL ostenta sua origem de código aberto em seu nome. Fundado em 1998, o projeto foi criado para fornecer um conjunto de ferramentas gratuitas de criptografia para servidores de Internet. Este foi um objetivo importante; a criptografia é crítica e comum. Era necessário um padrão gratuito para garantir que seria adotado o mais rápido possível. O projeto foi um grande sucesso e rapidamente se tornou uma das ferramentas de segurança mais importantes da Internet.
No entanto, o sucesso não resultou em expansão ou lucros. O OpenSSL gera receita apenas por meio de contratos de suporte, que fornecem acesso à solução de problemas e consultoria da própria organização.
Um total de apenas 11 pessoas, a maioria delas voluntárias, são responsáveis por um padrão crítico de criptografia.
Isso resulta em uma equipe previsivelmente pequena. A “equipe principal” é composta por apenas quatro indivíduos, e a equipe de desenvolvimento adiciona mais sete nomes à lista. Isso representa um total de apenas 11 pessoas, a maioria delas voluntárias, responsáveis por um padrão crítico de criptografia. Apenas um deles, Dr. Stephen Hanson, concentra-se inteiramente no OpenSSL. Todos os outros têm outro emprego em tempo integral.
Steve Marquess, que administra o dinheiro da organização, disse isso melhor. “O mistério não é que alguns voluntários sobrecarregados não tenham percebido o problema; o mistério é por que isso não aconteceu com mais frequência.”
Erros foram cometidos
É nisso que toda a crise se resume – um erro. O erro foi introduzido por Robin Seggelmann, um voluntário alemão que trabalha em uma extensão OpenSSL chamada Heartbeat. Ele enviou o código na véspera de Ano Novo de 2011 e, posteriormente, ele passou pelo processo de revisão. Heartbleed existe, desconhecido do público, há mais de dois anos.
Outros membros do projeto verificam o código enviado durante a revisão, mas erros acontecem, então não é nenhuma surpresa que um bug eventualmente tenha escapado. Até mesmo empresas multibilionárias como a Microsoft e a Cisco são atingidas por seu quinhão de explorações embaraçosas.
O problema decorre da alocação de memória de acordo com um valor que pode ser definido por uma solicitação. Se o usuário fornecer uma entrada válida, a função funcionará conforme o esperado. No entanto, se for feita uma solicitação inválida, o código despeja parte do que está na memória, incluindo informações que deveriam ser seguras e criptografadas. Este quadrinho da web também explica Heartbleed, caso você considere uma visualização útil.
Alguns engenheiros de software acreditam que a existência do bug levanta questões sobre a segurança do C, o código no qual a extensão Heartbeat foi escrita. Embora popular, C é uma linguagem complexa que oferece muitas oportunidades para erros no gerenciamento de memória e no tratamento de valores. Um bug em outra implementação SSL de código aberto, GnuTLS, surgiu um mês antes de Heartbleed e também foi escrito em C. Esse bug era ainda mais antigo; o código responsável por ele foi adicionado em 2005.
Qual é o próximo passo?
Em última análise, o erro humano é o culpado pelo Heartbleed, mas a culpa não recai apenas sobre os ombros de um único programador. OpenSSL é um software gratuito usado por empresas da Fortune 500, governos e até organizações militares, mas essas empresas quase nunca contribuem com financiamento ou mão de obra para o projeto.
As empresas e os governos parecem muito preocupados, mas as promessas de apoio real estão ameaçadoramente ausentes.
O mundo também deve aprender com este erro. Utilizar um projeto de código aberto sem contribuir para ele é, a longo prazo, uma receita para o desastre – especialmente quando o projeto é uma parte crítica da infraestrutura de rede. A segurança da Internet não deveria ser mantida por um punhado de voluntários que só encontram os seus nomes nas notícias quando algo corre mal.
Recomendações dos Editores
- Os ataques de ransomware aumentaram enormemente. Veja como se manter seguro
- Reddit foi hackeado – veja como configurar 2FA para proteger sua conta
- SpaceX atinge 100 mil clientes Starlink. Veja como se inscrever
- Seu laptop Dell pode ter uma vulnerabilidade de segurança. Veja como consertar isso.
- O que é um servidor DNS? Veja como a Internet oferece seus favoritos
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
