Informação sobre o HeartBleed

Versão para impressãoSend by emailVersão PDF

HeartBleed[atualizado em 12-abril-2014]

Há alguns dias foi identificada uma falha de segurança no código do sistema OpenSSL, usado amplamente para criptografar o tráfego das conexões entre os usuários e as páginas Web seguras. Estima-se que a quase totalidade dos serviços Internet no mundo que usam SSL para criptografar esse tráfego foi afetada. A falha é conhecida como HeartBleed.

Isso envolve tanto servidores baseados em software livre como em sistemas proprietários, e alcança sistemas bancários, sistemas de e-governo, serviços de e-mail e redes sociais (Google, Yahoo etc etc) e qualquer outro portal que utilize esse método de criptografia. É a mais grave falha de segurança já descoberta na Internet desde que tornou-se um serviço universalmente utilizado.

Os sistemas do projeto Tiwa não são exceção. A falha de segurança foi corrigida em todos nossos servidores que operam com SSL.

No entanto, para o caso dos portais Web aqui sediados que utilizam certificação SSL, as próprias chaves SSL podem ter sido comprometidas, além de senhas de sistemas que possam estar em uso nesses portais (por exemplo, senhas administrativas, senhas de email etc).

Portanto, além dos "patches" que já fizemos corrigindo a falha, recomendamos:

- Para os administradores de sítios Web que tenham contratado certificação SSL: solicitar de seu fornecedor de certificado outro conjunto de chaves de criptografia e trocar as senhas administrativas do sistema.

- Para os usuários desses serviços, usar o mecanismo de administração de sua conta de acesso para trocar a senha (seja a senha de acesso a uma intranet ou a senha de seu email).

Essas recomendações valem não só para alguns portais Web sediados no Tiwa como para qualquer outro portal da Internet que utilize OpenSSL. Por via das dúvidas, troque suas senhas nas redes sociais, serviços de email e outros.

Importante: se o seu certificado SSL foi ativado no Tiwa depois da correção da falha de segurança, não é preciso mudar as chaves.

Para mais informações sobre o HeartBleed:

https://www.schneier.com/blog/archives/2014/04/heartbleed.html -- página de Bruce Schneier, um dos principais cientistas de sistemas de segurança da Internet.

http://www.wired.com/2014/04/nsa-exploited-heartbleed-two-years -- texto da Wired mostrando que a falha pode estar sendo explorada há anos, especialmente pela NSA.