What is the Heartbleed bug?
Índice:
Quase 70% do tráfego na Internet emprega OpenSSL para proteger as transferências de dados. Isso se traduz em quase todos os principais servidores (leia-se: websites) usando o OpenSSL para proteger seus dados, como credenciais de login. No entanto, alguém do Google encontrou um bug no OpenSSL - um pequeno erro de programação, mas grande o suficiente para fornecer seus dados aos hackers - pessoas dispostas a usar seus dados para seus propósitos. Este bug do OpenSSL é chamado Heartbleed pois está intimamente relacionado a alguma camada HeartBeat do OpenSLL.
O que é o Heartbleed Bug
A maioria dos servidores aceita dados criptografados, decodifica-os usando as chaves de criptografia e encaminha para processamento. Como a maioria dos servidores emprega o método FIFO (First in First Out) para atender usuários finais, muitas vezes, os dados (após a descriptografia) permanecem na memória do servidor por algum tempo antes de serem processados pelo servidor.
O Heartbleed Bug é um caso de preocupação para quase todos os sites comerciais baseados na Internet e alguns outros tipos. Esse erro de programação permite que os hackers façam check-in em qualquer servidor que utilize o OpenSSL e leia / salve / use os dados não criptografados (dados descriptografados). Os hackers agora não têm apenas acesso aos seus dados, eles podem reproduzir o certificado do site tornando a Internet ainda mais perigosa. Com a cópia do certificado do site, os hackers podem criar sites semelhantes: sites semelhantes aos sites originais. Com isso, eles podem acessar seus dados como detalhes de cartão de crédito, informações pessoais, etc.
Os sons são assustadores, não é? É - na verdade - como ele pode acessar suas informações e essa informação pode ser usada para qualquer fim
Nota : O Heartbleed também tem um nome de código CVE-2014-0160. CVE significa Common Vulnerabilities and Exposures (Vulnerabilidades e Exposições Comuns). Esses códigos relacionados a vulnerabilidades, etc., são fornecidos pelo MITRE, um órgão independente que mantém rastros de bugs e problemas semelhantes.
Devo atualizar meu antivírus ou algo assim
O bug Heartbleed no OpenSSL não tem nada a ver com o seu antivírus ou firewall. Esta não é uma questão do lado do cliente, então você pode fazer pouco sobre isso. Por outro lado, os servidores precisam aplicar um patch ao sistema OpenSSL que estão usando. Feito isso, o site pode ser considerado mais seguro para interagir.
O que você pode fazer como usuário é reduzir o número de visitas ao comércio e sites semelhantes. Não é que o bug afeta apenas os sites de comércio. É igual para todos os tipos de sites que usam o OpenSSL. Eu digo evitar sites de comércio por um tempo, pois seria o principal alvo de hackers que gostariam de detalhes do seu cartão, etc. Isso significa que o principal alvo dos hackers seria sites de comércio eletrônico usando o OpenSSL.
Depois de receber uma mensagem / Relate que o bug foi corrigido, você pode prosseguir como costumava fazer antes que o bug fosse descoberto. O OpenSSL criou um patch e o liberou para os proprietários de sites para proteger os dados de seus usuários. Até lá, tente evitar sites nos quais você precisa fornecer seus dados de qualquer forma - até mesmo credenciais de login. Tenho certeza de que quase todos os webmasters precisam entrar no patch, mas ainda há um problema. Quando tiver certeza de que não há vulnerabilidades ou que tais vulnerabilidades foram corrigidas, talvez seja uma boa ideia alterar suas senhas.
Enquanto isso, use essas extensões de navegador para avisá-lo sobre sites afetados do Heartbleed.
Certificados do site copiados via Heartbleed precisa ser endereçado
Há grandes chances de que os certificados de segurança de sites possam ter sido copiados para a criação de sites maliciosos. Como os certificados de segurança são cópias genéricas, seus navegadores podem não mostrar a diferença. É você quem deve permanecer cauteloso. Evite clicar em links e, em vez disso, digite o URL do site na barra de endereço para que você não seja redirecionado para um site falso.
Este problema pode ser resolvido de duas maneiras:
- Os navegadores disponíveis no mercado devem ser inteligentes o suficiente para identificar os certificados copiados e alertá-lo.
- Os webmasters mudam os certificados depois de aplicar o patch
Em outras palavras, levará algum tempo para implementar acima, mesmo que os webmasters apliquem o patch. Gostaria de reiterar que não clique em links em e-mails ou sites não reputados. Simplesmente, digite o URL na barra de endereços ou se tiver o site original marcado, use o indicador
A seção Referências no final deste artigo contém uma lista incompreensível de sites afetados. Incompleto porque pode haver mais sites afetados do que os listados aqui
Referências:
- Heart Bleed: Site
- OpenSSL: Aviso de Segurança para o Heart Bleed
- Git Hub: Lista de sites afetados
A CEO do Yahoo, Carol Bartz, disse que o Yahoo pode adquirir empresas de Internet "angustiadas" A CEO do Yahoo, Carol Bartz, disse terça-feira que prefere o Google Maps ao Yahoo Maps e revelou que disse a Steve Ballmer que quaisquer futuras negociações entre Yahoo e Microsoft devem permanecer estritamente confidenciais.
Bartz também disse que é um "acéfalo" para o Yahoo considerar a aquisição de empresas de Internet "aflitas" cujas tecnologias podem incorporar em seu portfólio, dada sua posição de caixa, e que ela instituiu um "muro de vergonha" por produtos de baixo desempenho.
O que é Email Spoofing e como se proteger e permanecer seguro
Email Spoofing é uma forma de Phishing. Os remetentes usam os endereços dos outros como isca. Aprenda sobre a prevenção de falsificação de emails, como pará-lo, proteja-se e mantenha-se seguro.
Como proteger melhor a privacidade na Internet - Estou seguro on-line?
Guia para proteger melhor sua privacidade na Internet. A preocupação com a privacidade on-line aumentou recentemente. Fique invisível, mantenha-se seguro on-line, ignore o NSA, etc. snooping