OpenSSL provavelmente é parte do uso da web de todas as pessoas. O servidor Apache, responsável por quase metade de toda a web, usa OpenSSL. Grande parte de aplicativos e sites também usam o sistema para criptografar dados enviados. E é nele onde foi descoberto um grande bug chamado “Heartbleed” pelos responsáveis pelo achado, entre eles, Neel Mehta da equipe de segurança do Google.
Aparentemente, conforme descreve o site criado para explorar a questão, é possível burlar quase todo sistema rodando qualquer versão do OpenSSL dos últimos dois anos, a fim de revelar blocos de dados de sua memória de sistema. A pior parte, conforme os especialistas, é que dados muitos sensíveis estão nessa memória de sistema, incluindo chaves para criptografar e decriptografar a comunicação – nomes de usuário, senhas, dados de cartões de crédito, etc.
Em outras palavras, um cibercriminoso poderia chegar a sua chave de código e interceptar com sucesso qualquer comunicação, como se não houvesse criptografia nenhuma. Com essa chave, ele também poderia roubar credenciais em navegadores, servidores, e outras medidas de segurança em navegadores.
Conforme testes realizados pela empresa de segurança Codenomicon, simulando ataques, foi possível chegar aos servidores da empresa sem deixar qualquer rastro. “Sem usar qualquer informação privilegiada ou credenciais, conseguimos roubar de nós mesmos as chaves secretas usadas para nossos certificados X.509, nomes de usuários e senhas, mensagens instantâneas, e-mails e documentos de negócio críticos”, descrevem os especialistas envolvidos nos testes.
Parece que o bug está no OpenSSL por mais de dois anos, mas foi anunciado apenas agora. E pior: quem tem usado ele para ataques não parece ter deixado qualquer rastro nos logs do servidor.
