A Agência de Segurança Nacional dos EUA (NSA) está ciente da falha conhecida como “Heartbleed” há pelo menos dois anos, afirmam fontes não oficiais ao site Bloomberg. De acordo com “duas pessoas familiarizadas com o assunto”, a NSA, apesar de supostamente conhecer a vulnerabilidade que afetou 66% de toda a internet há algum tempo, não alertou entidade alguma ou sequer tomou providências para resolver o problema.
Em resposta ao portal responsável por veicular estas informações, a NSA é firme em declarar que tomou conhecimento sobre Heartbleed somente neste ano. “Relatórios que dizem que a NSA ou qualquer outra parte do governo estavam cientes da assim chamada ‘vulnerabilidade Heartbleed’ antes de abril de 2014 estão errados”, pode-se ler na página do escritório do diretor de Inteligência Nacional dos EUA. Ainda segundo o documento oficial, quando falhas assim são encontradas, a agência tem por dever revelá-las ao público.
Naturalmente, uma onda de ceticismo acabou por se instalar sobre todo o assunto. A NSA e o Serviço Secreto norte-americanos têm sido acusados de espionagem de dados em escala global. “Se você combinar dois órgãos em apenas uma agência, qual missão irá vencer?”, pergunta em tom provocador John Pescatore, diretor de segurança do Instituto SANS que trabalhou também durante anos junto à NSA e ao Serviço Secreto dos EUA. “Invariavelmente, quando isso acontece, a missão ofensiva é que sai vencedora”, diz o especialista.
A vulnerabilidade Heartbleed
Grosso modo, pode-se dizer que a vulnerabilidade Heartbleed ataca as “chaves” de todo o tráfego feito através da implementação OpenSSL dos protocolos SSL e TLS. Acontece que a comunicação entre dados privados de internautas e servidores é feita por meio das tecnologias Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Para fazer com que esses certificados de segurança sejam adquiridos de forma mais rápida, grande parte dos sites usa o pacote de código aberto OpenSSL.
O que fazer
Mais de dois terços dos sites parecem ter sido expostos à Heartbleed. Então como proteger senhas e dados privados trocados através de “sites seguros”? Até o momento, a medida mais adequada a ser tomada é aguardar por comunicados oficiais das companhias, o que não deve tardar a acontecer – a Google, por exemplo, já está agindo no sentido de eliminar a falha de todos os seus pacotes de serviços. A mesma atitude deverá ser tomada pelos sites afetados pela vulnerabilidade.
Com informações de IContheRecord, Bloomberg e Tecmundo.
0sem comentários ainda
Por favor digite as duas palavras abaixo