Foi no passado dia 8 de Abril que o mundo da tecnologia foi abalado por um bug grave, que dá pelo nome Heartbleed e que afectou a popular biblioteca criptográfica OpenSSL. Uma vez que a maioria da segurança da Internet assenta no SSL é importantíssimo que se actualize o OpenSSL, uma vez que, caso esta falha seja explorada, é possível obter informação sensível, como por exemplo as passwords dos utilizadores.
A par do anuncio deste bug, e sem perder tempo, a comunidade OpenBSD criou um fork do OpenSSL ao qual deu o nome de LibreSSL.
O SSL é um protocolo criptográfico baseado em cifras assimétricas (chave privada + chave publica) que tem como principal objectivo providenciar segurança e integridade dos dados transmitidos em redes inseguras como é o caso da Internet. Quando um utilizador acede a um site que recorre ao SSL, o servidor envia ao cliente a chave publica para que esta possa cifrar a informação que vai ser passada ao servidor. Quando o servidor recebe essa informação, usa a sua chave privada para decifrar a informação transmitida pelo cliente.
Existem várias aplicações para este protocolo, como por exemplo o comércio electrónico, servidores Web, servidores FTP, VPNs, etc. Para identificar facilmente se estão a visualizar um site seguro basta verificar no URL que em vez de estar o normal http:// se encontra https://. Saber mais aqui.
Bug Heartbleed
O Bug Heartbleed é uma vulnerabilidade grave que afecta a popular biblioteca criptográfica OpenSSL. Explorando este bug, é possível ler até 64 KB de informação de informação numa sessão SSL/TLS. No entanto, os 64 KB não é o limite de informação que pode ser lida já que o atacante pode restabelecer a ligação, várias vezes, durante uma sessão TLS activa, obtendo assim vários “pedaços” de 64 KB de informação, comprometendo a chave privada, usada para decifrar toda a informação (ex.passwords). Pode saber mais sobre o Heartbleed aqui. Saiba também se o seu Android está protegido – ver aqui.
LibreSSL – O “novo” OpenSSL
O bug “Heartbleed“ tem sido um dos temas mais polémicos que tem ocupado todos os espaços de discussão da Internet.Theo de Raadt lider do projecto OpenBSD tem sido uma das vozes mais fortes contra este bug. Raadt acusou mesmo os programadores da OpenSSL de irresponsáveis e aproveitou para anunciar uma alternativa…o LibreSSL.
Como seria de esperar, o LibreSSL tem como principal premissa a segurança, prometendo ser mais seguro que o actual OpenSSL. Segundo a equipa de desenvolvimento, a API não vai mudar, mas a maioria do código vai sofrer alterações já que este poder ser bastante melhorado.
No site do projecto é já possível encontrar muita informação e os responsáveis referem mesmo que neste momento estão ocupados em apagar e rescrever código, e só posteriormente criarão uma web page decente.