Tag Archives: Heartbleed

Vulnerabilidade Heartbleed permite roubo de informações confidenciais

A alguns dias as notícias sobre a vulnerabilidade Heartbleed sobre SSL vem sendo divulgadas, nesta data muitos dos provedores de serviços online já corrigiram a vulnerabilidade, mas isso ainda não é o suficiente para garantir a segurança da sua informação, que pode ter sido comprometida antes desta correção.

O que é o Heartbleed?

 A biblioteca criptográfica OpenSSL protege nomes de usuários, senhas, números de cartões de crédito e de débito e outras informações confidenciais do usuário. Uma falha no código SSL pode permitir a um invasor obter acesso à memória do sistema, que potencialmente pode conter informações ou comunicações confidenciais.

 O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.

Portanto, a falha permite que os atacantes extraiam informações de grandes bancos de dados os quais contêm nomes de usuários, senhas e outras informações confidenciais.

 As principais medidas neste momento são:

 1)      Verificar se a vulnerabilidade já foi corrida nos sites que você utiliza, a McAfee desenvolveu uma ferramenta para esta finalidade (ainda em teste): http://www.mcafee.com/heartbleed

2)      Caso a Vulnerabilidade não seja detectada ou já tenha sido corrigida, altere sua senha, senhas com dupla autenticação são altamente recomendáveis, sempre que possível, segue abaixo as recomendações para senhas:

 Cuidados ao alterar as senhas

 Um grande número de gigantes da Internet admitiram que tinham a falha e liberaram correções para o problema, tomando medidas como fazer um sign-out automático de todos os seus usuários e solicitando que mudem suas senhas. Ao fazer isso, é preciso tomar alguns cuidados. Entre eles, segundo a McAfee, estão:

 1 – Criar senhas exclusivas para cada site que você usa. Cada senha usada deve ter no mínimo oito caracteres e conter letras, números e símbolos. Cada site deve ter sua própria senha exclusiva. Procure não usar a mesma senha em vários sites. Isso é essencial.

 2 – Usar um gerenciador de senhas. Cada vez mais, o uso de gerenciadores de senhas está deixando de ser uma questão de praticidade e mais uma questão de segurança. Lembrar-se de senhas diferentes para cada site é muito difícil. Os gerenciadores de senhas podem fazer isso por você. Além disso, eles podem protegê-lo contra softwares mal-intencionados que registram as teclas que você pressiona e, consequentemente, sua senha.

 3 – Ativar a autenticação de dois fatores. A autenticação de dois fatores é uma técnica de segurança que exige algo que você sabe, como sua senha, e algo que você possui, como seu telefone. Nem todos os sites aplicam essa técnica de segurança, mas, quando disponível, você deve ativá-la. Ela pode ser uma maneira eficaz de se proteger contra ataques de hackers.

 Cuidado com mensagens falsas solicitando alteração de senhas

 Cuidado com phishing, Muitos serviços online estão enviando  e-mails informando que foram afetados pelo Heartbleed e que já atualizaram seus servidores. Após receber esses e-mails, você deve atualizar sua senha. Mas, atenção: a McAfee alerta que este também é um ótimo momento para  ataques de phishing (ataques disfarçados de serviços para roubar seus dados e senhas).  Então, é preciso tomar ainda mais cuidado que o de costume quando receber mensagens desse tipo.

 De acordo com a McAfee, o internauta pode detectar um ataque de phishing observando erros de gramática, imagens  suspeitas que não parecem ser de empresa idônea e e-mails que solicitam que você informe  seu nome de usuário e sua senha. Alguns serviços afetados pelo Heartbleed terão feito  logout da sua conta automaticamente. Alguns poderão ter fornecido links para alteração de senha.

Para se proteger contra ataques de phishing, não clique nesses links. Em vez disso, acesse o site manualmente, faça login e depois altere sua senha.

 A vulnerabilidade também foi identificada e corrigida no site www.registro.br

 O Registro.br é o departamento do NIC.br responsável pelas atividades de registro e manutenção dos nomes de domínios que usam o .br. Também executamos o serviço de distribuição de endereços IPv4 e IPv6 e de números de Sistemas Autônomos (ASN) no país.

 Segue a orientação oferecida pelo Registro.br

http://registro.br/ajuda.html?secao=GerenciamentoConta

 A matéria completa divulgada pela McAfee se encontra em:

 http://blogs.mcafee.com/consumer/what-is-heartbleed

 http://blogs.mcafee.com/consumer/what-is-heartbleed (traduzido automaticamente para Português)

 
www.poloti.com.br
www.linkedin.com/company/PoloTI
www.facebook.com.br/PoloTI
19 4042 0733 - 19 9 8440 8784