Diversas companhias de tecnologia estão pedindo que usuários troquem suas senhas, após a descoberta de um grave problema de segurança.
A plataforma de blogs Tumblr divulgou a seguinte advertência: "mudem suas senhas em todo o lugar - especialmente em serviços de alta segurança, como e-mail, senhas de banco e serviços de armazenamento".
Especialistas na área de segurança também vêm oferecendo avisos semelhantes sobre o vírus conhecido como 'Heartbleed bug'.
A recomendação se dá após notícias de que o OpenSSL, produto usado para garantir a segurança de dados, teria sido usado para permitir espionagem.
O OpenSSL é um popular acervo de criptografia usado para embaralhar informações sensíveis passadas de um computador para outro, de modo que só o provedor de serviço e os recipientes podem interpretar as informações passadas.
Se uma organização emprega o OpenSSL, os usuários veem um ícone de cadeado no seu navegador - embora isso também possa ser usado por produtos rivais.
Entre os afetados está a Receita Federal do Canadá, que suspendeu seus serviços online "para salvaguardar a integridade das informações".
O Google e a Codenomicon - empresa de segurança finlandesa - revelaram na segunda-feira que uma falha existente no software há mais de dois anos poderia ser usada para expor chaves secretas que identificam prestadores de serviços que empregam o OpenSSL.
Segundo eles, se os hackers fizeram cópias dessas chaves, eles poderão roubar os nomes e senhas de pessoas que utilizam os serviços, tirar cópias de seus dados e configurar sites falsos parecidos com os legítimos, já que usariam as credenciais roubadas.
"Se as pessoas acessaram um serviço durante a janela de vulnerabilidade, há uma chance de que a senha já tenha sido recolhida", disse o diretor de tecnologia da Codenomicon, Ari Takanen. "Nesse caso, é uma boa ideia alterar as senhas em todos os portais atualizados."
Outras empresas de segurança demonstraram surpresa com a revelação.
"Catastrófico é a palavra certa. Numa escala de zero a 10, é 11", disse o blogueiro Bruce Schneier.
A BBC apurou que o Google alertou um número seleto de organizações sobre o problema antes de torná-lo público, para que as empresas pudessem atualizar seus equipamentos com uma nova versão do OpenSSL liberado no início da semana.
No entanto, o Yahoo aparentemente não foi incluído nesta lista e o site de tecnologia Cnet informou que algumas pessoas foram capazes de obter nomes de usuários e senhas antes que a empresa pudesse fazer a correção.
A NCC Group, uma empresa de segurança cibernética, descreveu a situação como "grave".
"O nível de conhecimento atualmente necessário para explorar essa vulnerabilidade é substancialmente menor do que era há 36 horas", disse o diretor associado da empresa Ollie Whitehouse à BBC.
"Alguém com um nível moderado de habilidades técnicas e que execute seus próprios scripts - a geração Raspberry Pi - provavelmente seria capaz de lançar ataques com sucesso e obter informações confidenciais."
"Seria um passo prudente para o público atualizar suas senhas."
Várias empresas de segurança e desenvolvedores independentes publicaram testes online para ajudar o público a descobrir se os serviços ainda estão expostos.
No entanto, não há nenhuma maneira simples de descobrir se eles estiveram vulneráveis antes.
Um pesquisador do Laboratório de Informática da Universidade de Cambridge disse que seria exagerado dizer que todos deveriam parar com tudo para substituir suas senhas, mas que os interessados deveriam agir.
"Eu acho que há um risco baixo a médio de que qualquer senha tenha sido comprometida", disse Steven Murdoch.
"Não é igual às violações anteriores, onde foi confirmado que listas de senhas foram postadas na internet. Não é tão urgente assim. Mas a mudança de senhas é muito fácil. Portanto, não é uma má ideia, mas não é algo que as pessoas têm que sair correndo para fazer a não ser que o seu serviço recomende a fazê-lo."
A única empresa que pediu abertamente a mudança imediata de senhas até o momento foi o Tumblr.
FONTE: BBC Brasil (via BOL).
________________________________________________________________________________
NÃO HÁ NADA QUE O USUÁRIO POSSA FAZER
Especialistas em segurança alertaram que há pouco que os internautas possam fazer para se proteger da recente ameaça "Heartbleed", que expõe dados de usuários a invasores, ao menos até que sites vulneráveis tomem medidas para garantir a segurança de suas comunicações.
"Não há nada que os usuários possam fazer para consertar seus computadores. Eles têm que recorrer aos administradores dos sites que utilizam", disse Mikko Hypponen, vice-presidente de pesquisas da fabricante de software F-Secure, de Helsinki, na Finlândia.
O bug tem o potencial de afetar usuários de alguns dos maiores sites do mundo, já que a OpenSSL é usada em cerca de dois terços de todos os servidores de internet e o bug permaneceu sem ser notado por cerca de dois anos. Ele pode levar ao roubo de senhas, comunicações confidenciais, número de cartão de crédito e outros dados privados.
Hypponen encorajou as empresas de internet a emitirem novos certificados e chaves usados para a criptografia de tráfego da web com navegadores, incluindo o Firefox, Internet Explorer, da Microsoft e Google Chrome, do Google.
Representantes do Google, Yahoo e Facebook disseram à Reuters que usam OpenSSL e que já tomaram medidas para mitigar quaisquer impactos para os usuários.
A descoberta da vulnerabilidade Heartbleed levou o Departamento de Segurança Interna americano a alertar empresários a revisar seus servidores para verificar se estes utilizam versões vulneráveis do OpenSSL.
MILHÕES DE DADOS JÁ FORAM ROUBADOS
Segundo o OpenSSL, a falha foi encontrada pelo analista do Google, Neel Mehta. Dois analistas do OpenSSL, Bodo Moeller e Adam Langley, estão trabalhando na correção do bug. Bruce Schneier ainda afirma que a falha pode ter sido criada de modo acidental.
A falha não atinge apenas sites de empresas e governos. Os usuários podem estar expostos aos hackers com o roubo. Uma recente pesquisa da Symantec aponta que apenas em 2013, 500 milhões de identidades foram roubadas na rede no mundo todo. O Brasil ficou em oitavo lugar na pesquisa.
De acordo com o analista de segurança da Kaspersky, Fabio Assolini, inicialmente o Heartbleed não afeta o usuário doméstico, devido a correção estar inicialmente ligada a servidores e não aos computadores caseiros. No entanto, os usuários devem ficar atentos aos problemas.
Assolini indica que as senhas devem ser trocadas, mas não agora. É necessário aguardar que o sites atualizem atualizem os certificados SSL e revoguem os antigos. "Primeiro os serviços online precisam instalar o patch para corrigir a falha, aí sim é recomendado que o usuário troque as senhas", explica o especialista.
Um site criado pelo consultor italiano Fillipo Valsorda permite testar se um servidor da internet está atualizado para combater a falha do Heartbleed. "Se apenas um site onde o usuário tiver cadastro for 'hackeado' e as senhas exfiltradas, o prejuizo para o usuário será grande", completa Assolini.
FONTE: Terra (matéria 1) , Terra (matéria 2)
_________________________________________________________________________________
É PRECISO MANTER A CALMA E PESQUISAR
A vida de muitas pessoas pode ser drasticamente afetada se suas senhas forem roubadas e expostas na internet. Mesmo assim, precisamos ter alguns cuidados antes de correr e mudar suas senhas, uma vez que tal ação pode facilitar um golpe governamental para espionar os usuários.
Não precisamos ir longe para lembrar que isso já ocorreu. Em 2011, o governo dos EUA usou a mentira da ameaça de um vírus - extinto em 2007 - para invadir mais de 5 milhões de computadores em todo o mundo, inclusive no Brasil. Destes, mais de 5 mil foram inutilizados pela NSA por conterem, ao ver deles, pirataria ou discurso de ódio contra os EUA.
Se seu e-mail, rede social, plataforma de blog ou site, pedir a mudança da senha, primeiro certifique-se de que o pedido realmente partiu da empresa usada. É fácil entrar em contato com ela usando os e-mails ou formulários fornecidos nos sites.
Só mude sua senha se a empresa confirmar que pediu isso.
Caso contrário, você poderá estar se expondo a hackers muito mais perigosos do que os que roubam senhas. Os hackers governamentais que querem calar sua boca
Há 2 horas
Nenhum comentário:
Postar um comentário