O bug do OpenSSL foi conhecido há quase dois meses. Este problema, um dos mais graves até agora conhecidos na Internet, mostrou ao mundo uma vulnerabilidade simples mas que permitia que os atacantes tivessem acesso a informações privadas e sensíveis dos servidores e dos utilizadores.
Mesmo depois deste tempo todo ainda existem ecos deste problema, sendo conhecidas novas implicações e formas de explorar o problema.
A mais recente forma de explorar o Heartbleed foi apresentada por um Português, Luis Grangeia, e mostra que o Android e os routers Wireless estão vulneráveis a este bug.
A nova forma de explorar o Heartbleed, que Luis Grangeia mostrou, afecta tanto routers como servidores Radius que providenciem a autenticação de uma rede sem fios como os equipamentos Android que têm presente este bug.
Este novo vector de ataque pode ser explorado da mesma forma que o faziam nos servidores Web e outros, mas desta vez através das redes sem fios ou cabladas, sempre assentes em mecanismos de autenticação empresarial.
O Cupid, o nome que Luis Grangeia deu a esta nova forma de explorar o Heartbleed, assenta no envio de pacotes específicos para conseguir receber de volta os dados que constem da memória dos servidores de autenticação.
Apesar de ser um problema das redes sem fios, o Cupid apenas afecta as que têm autenticação assente em username e password, através de autenticação baseada em EAP-PEAP, EAP-TTLS e EAP-TLS. Estas autenticações são afectadas pelo Heartbleed, pois todas assentam em túneis seguros, criados e mantidos pelo OpenSSL.
Ficam assim de fora as autenticações que usamos nos routers caseiros, tipicamente assente em chaves fixas e autenticação por uma frase conhecida e única.
A informação que pode ser retirada dos servidores é quase idêntica à que se podia obter nos servidores Web e outros, que tinham o bug Heartbleed. Não apenas o certificado do servidor podia ser retirado, mas também dados de autenticação dos utilizadores.
Mas para além desta forma de explorar o Heartbleed, Luis Grangeia mostrou outra forma de explorar o bug. Desta vez no sentido inverso e explorando a sua presença nos dispositivos Android.
Através da disponibilização de redes sem fios sem qualquer autenticação, um ataque especialmente criado pode explorar a falha nos dispositivos Android onde o bug Heartbleed está presente.
É apenas a versão 4.1.1 do Android, mas que está presente em muitos dispositivos ainda em funcionamento e que não vão ter tão cedo a necessária actualização.
A solução para este problema é exactamente a mesma que era aconselhada quando o Heartbleed surgiu. A actualização urgente e imediata de todos os intervenientes nos processos de autenticação, dando foco especial ao OpenSSL. Não apenas nos servidores de autenticação mas também nos pontos de acesso ou outros equipamentos envolvidos.
No caso dos dispositivos Android, a solução é a mesma, mas o problema é bem mais grave pois os utilizadores dependem dos fabricantes para a disponibilização dessas mesmas actualizações, que tardam a ser publicadas.
Já se sabia que haviam equipamentos de rede vulneráveis ao Heartbleed e também que o Android 4.1.1 estava comprometido, mas não havia ainda forma de se explorar esta falha.
Esta pequena e simples falha que o OpenSSL apresentava tem-se revelado bem mais complicada de estancar e de resolver do que inicialmente se previa. Não bastou actualizar os servidores pois com alguma frequência surgem novas formas de a explorar.