Grande falha de segurança 'Heartbleed' coloca serviços críticos em risco

Mais da metade da internet pode ter sido comprometida por uma falha de segurança de dois anos que também pode afetar vários serviços de Bitcoin online, foi revelado hoje.

A vulnerabilidade, denominada 'Sangramento do coração’, afeta versões do OpenSSL, uma implementação de código aberto dos protocolos de segurança de internet SSL e TLS que criptografam e protegem o tráfego de internet, incluindo: senhas, mensagens, comércio eletrônico e serviços bancários, e outros dados sensíveis, incluindo Redes Privadas Virtuais (VPNs). OpenSSL é a biblioteca de software mais popular usada para esse propósito.

Dois anos de idade

A falha Heartbleed é supostamente conhecida por pesquisadores desde 2011, e até mesmo por hackers 'black hat' desde 2012, o que significa que dados críticos em uma grande parte da internet estão disponíveis abertamente há anos. Não houve relatos confirmados de explorações, embora os ataques não deixem rastros.

Administradores de segurança ao redor do mundo agora estão aplicando rapidamente uma correção e alterando certificados e chaves Secret na remota possibilidade de que eles possam ter sido comprometidos.

Como enfraquece qualquer site que use o protocolo https 'seguro', a ameaça T é especificamente para serviços de Bitcoin como carteiras e exchanges. Mas dada a tendência das autoridades de ignorar roubos de Bitcoin ou a incapacidade de investigá-los efetivamente, isso pode deixar os serviços de Bitcoin mais vulneráveis ​​do que os serviços financeiros online 'tradicionais' ou outros serviços críticos.

Teste os sites dos seus serviços

Especialista em segurança italianoFilippo Valsordaconstruiu umteste baseado na webque permite que qualquer um insira o nome do host de um servidor para ver se ele é afetado ou não. Ele também postou código de código aberto para o testeno GitHub.

No momento em que este artigo foi escrito, a inserção dos principais endereços de serviços de Bitcoin no site de Valsorda mostrou que Blockchain, Coinbase e BitPay eram seguros, mas que a exchange mais popular do mundo, Bitstamp, permaneceu vulnerável.

Valsorda também estava mais preocupado com os serviços de Bitcoin online do que com qualquer coisa inerente a outras implementações, dizendo que era "simples de explorar e não tão QUICK de corrigir".

"É fundamental dizer a todos para verificarem todos os seus servidores e atualizarem o mais rápido possível [...] Obviamente, T posso ter certeza sobre isso, mas softwares específicos para bitcoin (carteiras locais, ETC) não devem ser afetados, mesmo que usem OpenSSL, já que o bug só pode ser acionado em conexões TLS ativas."

"No entanto, quase tudo que é público no ecossistema Bitcoin é (corretamente) protegido com TLS (pense em todas as carteiras da web, exchanges, mas também APIs e servidores de e-mail) e potencialmente (provavelmente) afetado."

Correndo para corrigir software, rotacionar certificados

Estima-se que mais de 50% dos servidores de internet usam alguma forma de OpenSSL (e provavelmente muito mais). A ideia de que mais da metade dos dados sensíveis da internet poderiam ter sido expostos por dois anos deixou os departamentos de segurança suando.

Explorando o Heartbleed, um invasor pode acessar a RAM dos sistemas afetados, permitindo que eles vejam até 64 kilobytes de dados por vez – o suficiente para acumular conhecimento suficiente para acessar as chaves Secret de um sistema. Essas chaves são usadas para criptografar e descriptografar tráfego sensível e identificar provedores de serviço.

Depois que as chaves Secret são obtidas, os invasores podem ler qualquer tráfego de e para um servidor abertamente ou personificar serviços e usuários.

Ataques a um sistema vulnerável não exigem técnicas de intervenção humana e não deixam rastros, deixando os administradores de sistemas sem uma maneira segura de saber se seus sistemas foram comprometidos.

A extensão do dano potencial deixou alguns chocados:

Heartbleed é um bug RARE : uma falha em uma biblioteca de Cripto que vaza dados além do que ela está protegendo. Então é pior do que nenhuma Cripto .





– Matt Blaze (@mattblaze) 8 de abril de 2014

Mike ouvir

, desenvolvedor e presidente do Comitê de Leis e Política da Bitcoin Foundation, disse que esperava que o impacto nos serviços de Bitcoin fosse limitado, mas observou que os serviços de Bitcoin T sempre empregam as melhores práticas de segurança:

"Espero que o impacto seja limitado. Os principais sites terão que rotacionar suas chaves SSL após a atualização [...] A maioria dos sites deve ter as chaves privadas para suas carteiras em um processo de servidor diferente, onde os dados não podem ser extraídos dessa forma. No entanto, não me surpreenderia se alguns sites não estivessem funcionando dessa forma por qualquer motivo e pudessem sofrer roubos."

As empresas reagem

Após a notícia, muitas exchanges de Bitcoin e altcoins usaram o Twitter para emitir respostas oficiais e atualizar os usuários sobre o progresso no combate à falha.

#Carimbo de bitsdesliga suas funções de registro, login e todas as funções de retirada de moeda virtual como precaução após as notícias recentes do OpenSSL.

— Bitstamp (@Bitstamp)8 de abril de 2014

Em uma entrevista ao CoinDesk, o CEO da Bitstamp, Nejc Kodrič, revelou que, embora a empresa tenha corrigido seus servidores com sucesso, seu provedor de mitigação de DDoS, Incapsula, deve fazer o mesmo para garantir segurança total.

Portanto, a bolsa optou por permanecer “no lado seguro” edesativar temporariamenteregistros de contas, logins de contas e todas as funções de retirada de moeda virtual.

Outras bolsas emitiram declarações semelhantes por meio da plataforma, incluindo a Bitfinex – uma adição recente àBPI da CoinDesk.

Bug Heartbleed corrigido no Bitfinex, saques estão desabilitados por enquanto até termos certeza de que todos estão seguros

— Bitfinex.com (@bitfinex)8 de abril de 2014

Enquanto isso, plataformas como localbitcoins.com eBitcurexrelataram maior sucesso:

Estamos de volta, bug do heartbleed corrigido.<a href="http://t.co/OwP9Ft1dE7">T</a>

— LocalBitcoins.com (@LocalBitcoins)8 de abril de 2014

Blockchain.info também divulgou uma declaraçãoatravés do seu siteafirmando queserviços atualizados há uma semana. A empresa também enfatizou que as senhas da carteira nunca são enviadas para seu servidor.

Ele acrescentou: “Continuaremos investigando conforme necessário e forneceremos quaisquer atualizações necessárias”.

Comunicado de informação pública

A notícia da existência do Heartbleed foi divulgada pela consultoria finlandesa de segurança de TICódigo Econômico, que publicou a descrição após tentar o exploit por si mesmo. Um engenheiro de segurança do Google, Neel Mehta, relatou isso aoEquipe OpenSSLenquanto Adam Langley e Bodo Moeller preparavam uma solução.

O nome vem da existência do bug na extensão 'heartbeat' do OpenSSL e não representa nenhuma falha no protocolo SSL/TLS em si.

A Codenomicon disse que a exploração era "fácil" e que atacou com sucesso seus próprios serviços, obtendo acesso a chaves Secret para Certificados X.509, nomes de usuários e senhas e outras comunicações "críticas aos negócios".

OpenSSL'saviso de segurançadisse que o Heartbleed afetou as versões 1.0.1 e 1.0.2-beta da biblioteca de software, incluindo 1.0.1f e 1.0.2-beta1.

"Uma verificação de limites ausente no tratamento da extensão de heartbeat do TLS pode ser usada para revelar até 64k de memória para um cliente ou servidor conectado", dizia, aconselhando os usuários a atualizar imediatamente ou remover heartbeats de sua versão do OpenSSL, recompilando-a com -DOPENSSL_NO_HEARTBEATS."

Esta história foi coescrita por Grace Caffyn.

Coraçãoimagem via Shutterstock