Embora possa soar como o título de um álbum da banda de thrash metal estadunidense Slayer, a Heartbleed realmente se refere a uma vulnerabilidade de segurança grave no OpenSSL. A OpenSSL é uma biblioteca de criptografia de código aberto usada por dois terços dos sites existentes na Internet. Os websites usam a tecnologia OpenSSL para implementar um SSL criptografado e TSL, protocolos criptográficos que garantem conexão da comunicação online.
Os ataques contra a vulnerabilidade Heartbleed – que, segundo as autoridades, foi muito fácil de fazer e difícil de detectar -, poderia ter um impacto direto sobre os usuários diários da internet. Isto é, porque qualquer exploração da Heartbleed poderia expor os certificados privados tais como nomes de usuário, senhas e uma grande quantidade de informações confidenciais do usuário.
A notícia da Heartbleed se tornou de conhecimento público no início desta semana, depois do OpenSSL ter anunciado o lançamento de um patch para corregir a vulnerabilidade. Desde então, a informação viralizou e este evento chegou aos ouvidos de todos. Se você considera tudo o que já se sabe sobre a Heartbleed, você provavelmente quer fazer uma limpeza digital profunda em breve, particularmente em relação a todas as suas senhas.
Por isso, é muito importante que você também dê uma olha no nosso pequeno guia, que publicamos ontem no nosso blog, sobre como se defender da Heartbleed. Neste artigo, explicamos, em termos simples, as implicações deste complexo problema. Além disso, ali há também detalhes dos sites que foram ou estão vulneráveis e o que você pode fazer para se manter seguro.
A verdade é que a lista de sites afetados pela vulnerabilidade da Heartbleed é longa e está em constante mudança. Se desejar, você pode usar esta ferramenta para verificar individualmente os locais que você freqüenta. Além disso, um grande número de jogos on-line (Nintendo, Call of Duty, League of Legends, entre outros) foram afetados pela Heartbleed e é por isso que eles alertaram os seus usuários para mudar suas senhas imediatamente. Você pode encontrar uma lista de tendências digitais aqui.
Se você está interessado em conhecer como funciona a criptografia, recomendamos a leitura do nosso artigo sobre as funções criptográficas de hash. Embora não esteja diretamente relacionado com o estado de OpenSSL, vai ajudar você a entender melhor o vocabulário usado em torno da criptografia.
O fim de uma era
Se você tivesse me perguntado na semana passada qual seria a maior novidade desses dias, eu teria dito que, sem dúvida, seria o fim do suporte do Windows XP. Já havia sido anunciado há algum tempo que 08 de abril de 2014 seria a data em que a Microsoft lançaria pela última vez um patch para corrigir os bugs presentes em seu sistema operacional mais famoso. Portanto, a edição deste mês do Patch Tuesday (evento em que a Microsoft apresenta as mais recentes correções para seus sistemas operacionais) foi a última na vida do XP.
No entanto, o problema é que o Windows XP ainda é, hoje, um sistema operacional dominante. Você vê isso nos computadores dos consultórios médicos, em terminais de ponto de venda e caixas eletrônicos. É também o sistema operacional subjacente em muitos dispositivos. Com tudo isso dito, as estimativas de várias fontes indicam que entre 18% e 28% dos PCs conectados à Internet ainda usam o Windows XP. Para ser franco, o Windows XP não vai a lugar nenhum. O fim do suporte significa apenas que novas vulnerabilidades encontradas no sistema operacional nunca será resolvidas.
Para uma visão completa de tudo que está envolvido nesta situação, você pode ler nosso artigo que conta a história e o futuro do Windows XP que foi, durante muito tempo, o sistema operacional mais usado no mundo.
Outras notícias
Foi um pouco despercebida, mas no meio da semana o Google realizou uma forte ação para a segurança dos utilizadores de Android. A empresa reforçou a segurança do seu sistema operacional móvel com uma ferramenta que monitora continuamente os aplicativos nos dispositivos de usuários, a fim de garantir que eles não estejam agindo de forma maliciosa ou abusando da exigência de permissões indesejadas.
Os sistemas existentes, conhecidos como Bouncer e Verificar Apps, do Google Play Store alertam aos usuários sobre a existência de um potencial risco no aplicativo que estava sendo instalado. Em alguns casos, até mesmo o Google bloqueia a instalação de aplicativos suspeitos. A nova ferramenta vai um passo além e monitora os aplicativos que já estavam instalados a fim de proteger os usuários de desenvolvedores que, em alguns casos, enviam atualizações com funções maliciosas ou indesejadas. Em suma, esta nova medida está destinada a acabar com o problema crescente de aplicativos maliciosos para Android na loja do Google.