Home > Artigos > Criptografia - OpenSSL - Heartbleed Bug

19-04-2022

Criptografia - OpenSSL - Heartbleed Bug

Criptografia - OpenSSL - Heartbleed - Bug


Já reparou que quando entra em alguns sites “seguros”, no canto superior esquerdo do seu browser vê um pequeno ícone de cadeado próximo do “https: //”. Este icon significa a utilização de uma forma especial de criptografia conhecida como “Secure Socket Layer” (SSL) ou “Transport Layer Security” (TLS). Para fornecer serviços com esta criptografia, precisa de um algoritmo que forneça a criptografia / descriptografia para os pacotes que troca com o servidor.


O que é OpenSSL?

OpenSSL é uma implementação de código aberto dos referidos protocolos SSL e TLS. Uma tecnologia de criptografia projetada para garantir um porto seguro para dados confidenciais que viajam pela web. A biblioteca implementa as funções básicas de criptografia e disponibiliza várias funções utilitárias.

O OpenSSL contém uma função conhecida como opção de pulsação - enquanto alguém está dentro de um site que criptografa dados usando OpenSSL, o computador envia e recebe mensagens (mensagens de pulsação) do servidor para verificar se está conectado.

 

O que é o “Heartbleed Bug”?

A vulnerabilidade Heartbleed significa que os hackers podem falsificar mensagens de pulsação. Quer dizer que os hackers contornam a criptografia.

A natureza do ataque é semelhante a um ataque de estouro de buffer, em que um atacante remoto explora um protocolo ao enviar uma solicitação de “pulsação” malformada com um tamanho de carga maior do que a solicitação real.

Em resposta, o servidor vulnerável retorna uma resposta de pulsação que contém um bloco de memória de até 64 KB na carga útil.

Este bloco de memória pode revelar informações confidenciais, incluindo chaves privadas SSL, passwords de utilizador e muito mais.

 

Como posso saber se fui afetado?

Visitar sites com verificação de Heartbleed: O verificador Heartbleed permite inserir o URL de qualquer site para verificar a sua vulnerabilidade. (https://filippo.io/Heartbleed/)

 

Se um dos meus servidores estiver vulnerável. O que devo fazer?

  • Atualizar imediatamente todos os seus servidores vulneráveis para a versão mais recente.
  • Depois de todos os sistemas serem atualizados e considerados não vulneráveis, deve emitir novamente todos os certificados que foram utilizados.
  • Alterar as passwords: Email, contas de redes sociais, serviços bancários. Atualize as informações de login de qualquer site que utiliza e que foi afetado.
  • Atenção ao Ecrã: Fique atento às atividades incomuns.

 

Artigos relacionados:


👉 Follow @niuGIS

Contacte-nos 214 213 262

Informações