Um erro em um dos principais programas de conexão segura utilizado na internet deixou potencialmente expostos milhões de usuários há dois anos. Na segunda-feira [7/04], o Google difundiu uma brecha no sistema de criptografia que utiliza para suas conexões seguras, chamado OpenSSL, que também afetou gigantes como o Yahoo e a Amazon. Esta brecha, existente desde 2011 e descoberta em dezembro de 2013 por um técnico do Google, poderia ter permitido que hackers roubassem as senhas dos usuários.
O problema afeta as conexões seguras, as que começam com “https” e aparecem na barra do navegador quando o usuário introduz as senhas. A falha foi batizada em inglês de Heartbleed, ou “coração sangrento”, porque afeta um tipo de intercâmbio de informação no site, o Heartbeat (batida do coração).
A brecha da segurança está no código fonte (os blocos de construção que compõem um programa informático) das versões 1.0.1 a 1.0.1f do OpenSSL. Já existe uma nova versão pronta para descarregar que repara esse erro: a 1.0.1g. Os internautas das páginas que utilizam este código estariam potencialmente vulneráveis desde 2011. E se alguém acessa à essas informações confidenciais, não deixaria rastro. Mas especialistas dizem para que tenhamos calma, porque não há razões para supor que a segurança esteja sendo violada desde então.
O Open SSL é um sistema de segurança utilizado por algumas dos principais sites que existem. “Entre 50% e 70%” de servidores segundo Igor Unanue, técnico da empresa de segurança S21SEC. Ricardo Galli, fundador da Menéame, reduz os servidores afetados para cerca de 500.000. É gratuito e funciona como uma ferramenta que os sites utilizam para cifrar a informação que trocam com os usuários individuais, para que esta não possa ser roubada por terceiros.
O Yahoo, Google, Facebook e Amazon usam esse sistema, assim como a plataforma de jogos Steam e o software de conexão segura Tor. Potencialmente, poderia ter roubado a segurança de milhões de usuários que armazenam os dados de seus cartões bancários em páginas de pagamento, ou que utilizam e-mail ou mensagens instantâneas.
A brecha pode, inclusive, afetar quem acessa a sua conta bancária pela, caso se utilizem deste método de criptografia (existem outros), embora Unanue lembre que as entidades sempre utilizam sistemas de segurança complementares, independente da criptografia e da senha.
Localização complicada
Um porta-voz do Yahoo explicou nesta terça-feira que a empresa solucionou o problema em seus sites, que são a home do Yahoo, o Yahoo mail, Yahoo buscas, Yahoo Finanças, Yahoo Esportes, o Flickr e o Tumblr, e que estão trabalhando para reparar o erro no resto de seus sites. O Google publicou que a vulnerabilidade afetou os usuários do sistema de busca, do Gmail, YouTube, Wallet (que é utilizado para realizar pagamentos), Play (download de aplicativos para o Android), Apps, e App Engine (onde os desenvolvedores sobem suas aplicações), e também já reparou o bug.
Os maiores afetados estão parcheando (gíria para a reparação de código) o erro, mas ainda não se sabe o alcance. A reparação foi fabricada por Adam Langley, engenheiro no desenvolvimento do navegador Chrome, do Google, e Bodo Möller, especialista alemão em criptografia PGP, que trabalha para a ACM, uma sociedade informática dedicada à divulgação. A descoberta do problema foi realizada paralelamente por um técnico do Google chamado Neel Mehta e pela Codenomicon, uma empresa finlandesa.
A vulnerabilidade poderia ter afetado cerca de 600 das 10.000 páginas com maior acesso na rede, segundo um especialista da empresa Qualys citado pela agência de notícias Associated Press. Isso supõe “milhões” de usuários cuja informação tem estado potencialmente exposta, afirma Chema Alonso, especialista em segurança informática e consultor da Informática 64, uma empresa espanhola cuja segurança também foi afetada (e que já resolveu o problema).
Como funciona a falha? O Open SSL é um programa de código aberto. Isto é, supostamente qualquer programador pode participar da escritura de sua ADN, embora isso não queira dizer que possa alterar à vontade como os artigos da Wikipédia. Roberto Velasco, cofundador da empresa basca de software Arima e da de empresa de segurança Hdiv, explica o “procedimento habitual” na escritura de código aberto. “São utilizados repositórios de código fonte na internet. O que mais se usa se chama Github, e serve para armazenar projetos. Cada projeto tem seus administradores que controlam a qualidade do código. O usuário pode enviar pedaços do código para fazer mudanças, e se o administrador aceita esses pedaços, ele inclui no código fonte final.”
E uma falha no código pode criar uma vulnerabilidade. “Uma coisa é o bug, isto é, a falha no código, e outra é o exploit, a maneira de tirar proveito da falha”, detalha Alonso. Há sites onde se pode conseguir os exploits, programas que permitem tirar proveito das brechas de segurança. Mas “não se conhecem incidências ainda”, explica Unanue. Ou seja, ainda não se sabe de ninguém que tenha aproveitado da falha para obter informação de usuários.
Isto não quer dizer necessariamente que os programas abertos sejam mais propensos a essas falhas. Por sua natureza, existe um histórico detalhado das mudanças com o que pode ser feito quando se introduziu o erro; mas localizar o responsável é mais complicado, já que normalmente o programador não usa seu nome e seu IP (a “assinatura” eletrônica) pode não ser real. Seja quem for, a falha abriu uma brecha a segurança da internet.
******
L. Rivas Martínez e R. Jiménez Cano, do El País Brasil