Servidores ainda estão vulneráveis à falha Heartbleed no Brasil

29/04/2014

A falha Heartbleed - que há duas semanas expõe os dados de usuários no mundo todo, inclusive no Brasil, onde até o Serpro admitiu que detectou a vulnerabilidade e a reparou de forma imediata, sem consequências para os servidores da estatal - segue sendo um grave problema para os gestores de TI. A Trend Micro, especializada em segurança da Informação, sustentou na sexta-feira, 25/04, que 3 mil sites ainda estão vulneráveis à falha - que comprometeu 2/3 da web - dos quais 350 são brasileiros. Não há, porém, a lista com os nomes das páginas a serem evitadas.

O ranking divulgado pela companhia coloca o Brasil no terceiro lugar entre os mais problemáticos, atrás de Rússia e China. A pesquisa leva em consideração apenas os endereços que rodam sob o protocolo atacado: o OpenSSL, de código aberto. Proporcionalmente, 11% estão ameaçados. Desde que o bug foi reportado, uma nova versão do OpenSSL foi lançada para corrigir os problemas e boa parte da indústria se apressou em se atualizar para sanar a falha o mais rápido possível. Já os usuários foram orientados a trocar suas senhas, para evitar possíveis complicações.

Em entrevista ao portal Convergência Digital, Bob Booth, diretor de vendas da Codenomicon para a América Latina, primeira empresa a detectar o Heartbleed, admite que essa falha não será a primeira, mas diz que se for feita a correção para a versão mais recente - a 1.01.G, disponível desde o dia 09/04, a correção será automática. Mas adverte: "É preciso lembrar que vulnerabilidades são erros em códigos, e códigos são softwares desenhados por humanos".

O OpenSSL é um software acionado por outros programas para criar conexões seguras. Dessa forma, um navegador de internet, por exemplo, pode recorrer a ele para acessar sites seguros (HTTPS). O problema ocorria quando o software era associado ao recurso "heartbeat" (batimento cardíaco, em inglês), usado para manter uma conexão de internet permanente entre dois computadores, em alguns protocolos.

O Heartbleed também atingiu os dispositivos móveis. De acordo com o estudo do Google, cerca de 390 mil aplicativos do Google Play e cerca de 1,3 mil apps conectados a servidores vulneráveis foram encontrados. Entre eles estão 15 aplicativos relacionados a bancos, 39 a pagamentos online e 10 a compras online. Também foram identificados problemas em apps de uso diário como mensagens instantâneas e de saúde.

*Com informações de Luis Osvaldo Grossmann e agências internacionais

Site: Convergência Digital
Data: 28/04/2014
Hora: 13h05
Seção: Segurança
Autor: Ana Paula Lobo
Link: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=36597&sid=18#.U16on1WrrkU