Pesquisadores do Google divulgaram ontem uma falha gravíssima no OpenSSL, identificada como CVE-2014-0160, o bug, também conhecido como Heartbleed, permite que criminosos compreendam as informações encriptadas por meio do OpenSSL. Outro problema é que, explorar essa falha não deixa rastros, de acordo com testes realizados, foi possível roubar as informações sem que a origem do atacante pudesse ser identificada.

A informação que trafega na internet percorre um longo caminho entre o emissor e o receptor, a função do OpenSSL é encriptar essa informação de forma que, se ela for interceptada no meio do trajeto, ela não pode ser compreendida, como se estivesse trafegando dentro de um cofre seguro. O bug Heartbleed, uma falha grave no algorítimo do OpenSSL, permite que o criminoso consiga compreender a informação caso a intercepte. Em uma analogia, é como se o OpenSSL fosse um conjunto de vários cadeados seguros, e a falha, uma chave-mestra que consegue abrir qualquer um desses cadeados.

A descoberta de uma falha dessa magnitude mostra mais uma vez que, em segurança da informação, não existe segurança 100%. Precisamos estar atentos e trabalhar sempre no sentido de minimizar os riscos e incorporar um comportamento que tenha a segurança como pilar.

Para se entender a dimensão do problema é interessante saber que 2 em cada 3 servidores baseiam suas criptografias no OpenSSL, e tudo isso está agora vulnerável. A recomendação da Open SSL Project é que todo mundo troque imediatamente as senhas e que os servidores façam o update da nova versão da biblioteca e mais rápido possível, através do site http://openssl.org/

A Qualys, empresa parceira da Real Protect, possui um teste rápido para saber se o site está vulnerável ou não à falha recém-encontrada: https://www.ssllabs.com/ssltest/