Se existisse um prêmio para maior falha de segurança do ano, pelo menos por enquanto, o Heartbleed seria o principal concorrente. O bug que afeta sistemas com OpenSSL apavorou a internet quando foi revelada nesta segunda-feira (07) e, desde então, tem sido foco de atenção por parte de usuários e especialistas. As soluções, no entanto, parecem estar longe de serem definitivas.
Por mais que grandes sites como Google, Twitter, Facebook e instituições bancárias já tenham resolvido o problema com a atualização de seus sistemas, um relatório indica que o Heartbleed pode nunca ser extinto totalmente. De acordo com estudo do MIT, os culpados por isso são os dispositivos domésticos conectados, como roteadores, set-top boxes e aparelhos do nicho da Internet das Coisas.
Com o tempo e a chegada de novos equipamentos ao mercado, a tendência é que o problema se torne cada vez menos comum. Mas, seja como for, aparelhos já em operação nos dias de hoje podem conter a brecha de segurança e, como não costumam ser atualizados por seus fabricantes e usuários, podem permanecer com portas abertas para hackers por anos e anos.
A situação, conforme o relatório publicado pelo site Business Insider, se torna ainda mais grave quando é levado em consideração que muitos desses dispositivos podem estar operando dentro de empresas ou grandes organizações. Assim, dados sigilosos e estratégicos podem acabar sendo interceptados nas redes por criminosos virtuais que saibam como fazer isso.
Para explicar de maneira clara o alcance da falha, Jonthan Sander, um dos pesquisadores que participaram do estudo do MIT, fez a seguinte analogia: “é como se um motor com problemas fosse usado em todas as marcas e modelos de carros, motos e carrinhos de golfe”. Agora, cabe a cada fabricante solucionar as falhas de seus próprios dispositivos e garantir um uso seguro para seus usuários.
O Heartbleed estaria presente há anos em sistemas que usam o OpenSSL e afeta a maneira como servidores remotos se comunicam com as máquinas dos usuários. Periodicamente, um pacote de dados chamado “heartbeat” é enviado para garantir que a conexão continua ativa, e é justamente esse aspecto que pode ser modificado para a obtenção de chaves de criptografia e, consequentemente, dos dados que trafegam pela rede.
Fonte: http://canaltech.com.br
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.