Falha de segurança no OpenSSL
Uma falha de segurança no OpenSSL pode ter deixado centenas de milhares de servidores em situação crítica de segurança, veja todos os detalhes aqui.
[ad#texto]
Uma falha de segurança no OpenSSL pode ter deixado centenas de milhares de servidores em situação crítica de segurança, tudo porque através da falha de segurança permite que invasores “pesquem” até 64kb de informações aleatórias dos servidores, mesmo sendo pouco o método pode ser repetido diversas vezes e até mesmo uma chave de criptografia pode ser obtida comprometendo toda a estrutura de segurança de um servidor.
Falando em números a biblioteca de criptografia OpenSSL é adotada aproximadamente por 2 em cada 3 servidores, resumindo, é muita coisa e levando em conta a gravidade da falha de segurança é um caso sério.
A falha de segurança foi adicionada a partir da versão 1.0.0 e atinge até a versão 1.0.2Beta do OpenSSL e consiste na adição da extensão Heartbeat o que pode sinalizar que a falha está ativa há cerca de 2 anos, mesmo não tendo sido explorada até então.
Quem descobriu foi o pesquisador Neel Mehta do Google e isso significa que os servidores do Google já estavam protegidos mesmo desde antes da divulgação da falha pelo comando “-DOPENSSL_NO_HEARTBEATS”.
Quem mais está sofrendo para corrigir a falha de segurança no OpenSSL é o Yahoo e um script de testes conseguiu obter 200 endereços de email com suas respectivas senhas explorando a falha do OpenSSL o que demonstra na prática que o caso é grave.
Para os mais alarmados empresas como Microsoft, Apple e bancos não utilizam o OpenSSL e desenvolve seus próprios métodos de criptografia, porém sistemas livres como Fedora,Ubuntu e Debian e grandes serviços Web como os do Google e Yahoo utilizam o OpenSSL e algum deles ainda podem estar sofrendo com a falha de segurança.