Nas últimas semanas, foi amplamente divulgada a existência de uma falha de segurança que pode atingir boa parte dos usuários da internet. A falha é no sistema responsável pelas comunicações consideradas seguras (criptografadas) utilizado em boa parte dos serviços da internet, o OpenSSL, e pode permitir que informações sensíveis dos usuários da rede sejam enviadas a terceiros.
Neste contexto, a Secretaria Nacional do Consumidor do Ministério da Justiaça (Senacon/MJ) busca esclarecer algumas questões básicas de interesse do consumidor, bem como lhes fornecer recomendações sobre como se proteger.
O que é a falha de segurança Heartbleed?
Heartbleed é o nome que foi dado à falha de segurança que afeta a tecnologia utilizada para garantir conexões protegidas pela internet na sua implementação mais comum, a biblioteca OpenSSL. Ela incide, em especial, na execução do mecanismo conhecido como Heartbeat Extension dos protocolos TLS/DTLS (Transport Layer Security– Segurança da Camada de Transporte)
Esta vulnerabilidade permite a violação dos mecanismos de segurança de provedores de serviços e aplicações deserviços de Internet que se utilizem do OpenSSL, colocando em risco as informações dos usuários.
Como esta falha afeta as comunicações e a utilização da Internet?
A falha de segurança Heartbleed pode permitir o acesso não autorizado aos registros de sistemas que se protegem pela versão vulnerável do OpenSSL, permitindo, por exemplo (1) ter acesso a informações privadas do consumidor, como senhas e nomes de usuário; (2) acessar as chaves privadas usadas pelo servidor; (3) acesso ao conteúdo do tráfego criptografado.
Quem foi afetado? Todos os sites e aplicativos da internet?
Não foi toda a internet que foi afetada, embora esta falha tenha sido provavelmente a mais ampla e significativa até o momento. Foram afetados somente os provedores e sites que fazem uso das versões OpenSSL 1.0.1 a 1.0.1g.[1]. (Agências de Notícias)
