HeartBleed: Entenda o bug que aterrorizou a internet

Há algumas semanas, foi encontrado um erro na codificação de um dos protocolos de segurança mais utilizados na internet. De acordo com todas as empresas que sofreram com o bug, já está tudo consertado, mas será que o buraco realmente foi tapado ou este erro pode nos assombrar mais uma vez?

Nomeado HeartBleed, o erro deu um susto na internet inteira quando foi descoberto nestes últimos dias. Ele foi logo corrigido, mas o fato de ter sido encontrado dois anos após dois anos após sua verdadeira origem, trazendo problemas para todos que já utilizaram a internet em algum momento, tanto no presente quanto no passado, assustou muita gente.

Como Ele Funciona?

Tudo começa com a “batida do coração” no protocolo de segurança OpenSSL, quando um computador se comunica com um servidor. Em termos leigos e mais práticos para poder explicar, o usuário acessa o site ou serviço “X”, porém para fazer isso ele precisa de uma troca segura entre o ponto de origem e o ponto de destino.

Este simples “aperto de mão” entre as duas pontas da conexão é feito secretamente para que o usuário possa acessar sites, como o Facebook, Gmail e até a sua conta de Minecraft, Steam, Origin e por aí vai.

A tal “batida do coração” começa quando você está em conexão com um servidor e precisa confirmar que tudo está correto. Assim, o protocolo leva esta batida em forma de pacote de dados ao servidor e o servidor responde com a mesma moeda para o usuário, fazendo com que ambos os lados saibam que a conexão entre eles está estável.

A ideia do HeartBleed surge quando esta batida é feita de forma errada e a transição de dados leva informações importantes por engano ao servidor, como seu login e senha de acesso, por exemplo. O pior de tudo é que esta batida acontece milhões de vezes quando o usuário está acessando um servidor, e ainda por cima é totalmente possível de se acessar por qualquer um, já que toda esta informação fica armazenada.

Assim, qualquer hacker consegue ter acesso a estas informações que podem ter vários dados “inúteis” assim como dados extremamente importantes. E a maior ironia de todas é que o erro é mais comum em sites com acesso de segurança maior (que utilizam o endereço eletrônico HTTPS), ou seja: os sites que disponibilizam a maior segurança para os usuários foram as maiores vítima deste pequeno erro de codificação.

O Estrago

No momento que o erro foi descoberto, vários sites precisaram procurar alguma forma de fazer com que o protocolo fosse consertado, afinal, o OpenSSL é utilizado por quase todas as grandes empresas na internet. A estimativa é de que o erro afetou uma média de meio milhão de sites, incluindo Yahoo, Facebook, Google, Dropbox e vários outros.

Agora as coisas voltaram ao normal, já que o erro foi consertado. Foi criado um script através do qual o protocolo consegue identificar se a transmissão de dados está realmente enviando algum tipo de informação sensível durante a batida entre o servidor e ao usuário.

A maioria dos sites confirmaram o erro, mas asseguraram que não seria necessário uma mudança de senha, enquanto o Yahoo recebeu um patch para os seus serviços que estavam afetados. A Google também se mostrou segura diante do problema que estava em todos os seus serviços, incluindo Gmail, Youtube, Google Search, Google Wallet, Google Play, Google Apps, Chrome OS e Google App Engine.

Nos Videogames

Enquanto isso na nossa frente, a dos videogames, um acontecimento peculiar aconteceu na página do Steam: o título do jogo South Park: The Stick of Truth mudou para “Valve please reset all partners login because heartbleed”, ou “Valve, favor resetar todos os logins de parceiros por causa do Heartbleed”. O mesmo erro (e mensagem) também aconteceu com Call of Duty: Black Ops 2.

Esta mudança ocorreu com alguns usuários que rapidamente procuraram na internet para entender que alguém conseguiu acessar o login relacionado a Obsidian e/ou Ubisoft da Steam e mudaram o título como uma forma de avisar a Valve sobre o problema. A Ubisoft e a Obsidian não chegaram a comentar sobre o problema, enquanto a Valve anunciou que o erro estava resolvido, mas também deixou a sugestão para que os usuários mudassem suas senhas e reiniciassem o sistema Steam Guard como medida de segurança.

E Agora?

Como foi dito acima, tudo está consertado, porém o fato do erro ter ficado “em aberto” por dois anos cria mais preocupações do que alivio. Talvez nunca saberemos se durante este período de dois outras formas de entrar e prevenir o eventual conserto tenham sido criadas por alguém, além das próprias pessoas que decidiram não mudar a senha de acesso e podem acabar sofrendo futuramente.

Todo esta situação vale como um aprendizado, mostrando mais uma vez que a internet está com mais buracos de privacidade e seus usuários não ajudam de forma alguma ao tentar tampá-los.

Desta vez, o grande erro caiu em cima do protocolo de segurança e a falta de atenção de todas as empresas envolvidas, que demoraram dois anos para encontrar um “bug simples”. Um bug simples que afetou uma porcentagem impressionante da internet. Mas agora que aconteceu cabe ao usuário tomar um pouco mais de cuidado e trocar todas as suas senhas o mais rápido possível.

Lembre-se que sempre vale a pena olhar duas vezes para a rua antes de atravessá-la, afinal, nunca se sabe o que pode vir para te acertar e acabar com tudo, porém neste caso o carro passou por cima da calçada e nos acertou antes mesmo de esquivar, mas o aviso ainda vale.

(Via: Gizmodo, Vice, Ars Technica, Steam)