A última vez que alertamos você sobre uma grande violação de segurança foi quando o banco de dados de senhas da Adobe foi comprometido, colocando milhões de usuários (especialmente aqueles com senhas fracas e frequentemente reutilizadas) em risco. Hoje estamos avisando sobre um problema de segurança muito maior, o Bug Heartbleed, que comprometeu potencialmente 2/3 dos sites seguros na Internet. Você precisa mudar suas senhas e precisa começar a fazer isso agora.
Nota importante: How-To Geek não é afetado por este bug.
O que é Heartbleed e por que é tão perigoso?
In your typical security breach, a single company’s user records/passwords are exposed. That’s awful when it happens, but it’s an isolated affair. Company X has a security breach, they issue a warning to their users, and the people like us remind everyone it’s time to start practicing good security hygiene and update their passwords. Those, unfortunately, typical breaches are bad enough as it is. The Heartbleed Bug is something much, much, worse.
The Heartbleed Bug undermines the very encryption scheme that protects us while we email, bank, and otherwise interact with websites we believe to be secure. Here is a plain-English description of the vulnerability from Codenomicon, the security group that discovered and alerted the public to the bug:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
That sounds pretty bad, yes? It sounds even worse when you realize roughly two-thirds of all websites using SSL are using this vulnerable version of OpenSSL. We’re not talking small time sites like hot rod forums or collectible card game swap sites, we’re talking banks, credit card companies, major e-retailers and e-mail providers. Worse yet, this vulnerability has been in the wild for around two years. That’s two years someone with the appropriate knowledge and skills could have been tapping into the login credentials and private communications of a service you use (and, according to the testing conducted by Codenomicon, doing it without a trace).
For an even better illustration of how the Heartbleed bug works. read this xkcd comic.
Embora nenhum grupo tenha se apresentado para exibir todas as credenciais e informações que eles sugaram com o exploit, neste ponto do jogo você deve assumir que as credenciais de login para os sites que você frequenta foram comprometidas.
O que fazer após o bug Heartbleed
Qualquer violação de segurança majoritária (e isso certamente se qualifica em grande escala) requer que você avalie suas práticas de gerenciamento de senha. Dado o amplo alcance do Bug Heartbleed, esta é uma oportunidade perfeita para revisar um sistema de gerenciamento de senhas que já está funcionando perfeitamente ou, se você estiver se arrastando, para configurar um.
Antes de começar a alterar imediatamente suas senhas, esteja ciente de que a vulnerabilidade só será corrigida se a empresa tiver atualizado para a nova versão do OpenSSL. A história estourou na segunda-feira, e se você corresse para mudar imediatamente suas senhas em todos os sites, a maioria deles ainda estaria executando a versão vulnerável do OpenSSL.
Agora, no meio da semana, a maioria dos sites começou o processo de atualização e no fim de semana é razoável supor que a maioria dos sites de alto perfil terá mudado.
Você pode usar o verificador de bug Heartbleed aqui para ver se a vulnerabilidade ainda está aberta ou, mesmo se o site não estiver respondendo às solicitações do verificador acima mencionado, você pode usar o verificador de data SSL do LastPass para ver se o servidor em questão atualizou seu Certificado SSL recentemente (se eles o atualizaram depois de 07/04/2014 é um bom indicador de que corrigiram a vulnerabilidade). Observação: se você executar howtogeek.com por meio do verificador de bug, ele retornará um erro porque não usamos Em primeiro lugar, a criptografia SSL, e também verificamos que nossos servidores não estão executando nenhum software afetado.
Dito isso, parece que este fim de semana está se preparando para ser um bom fim de semana para levar a sério a atualização de suas senhas. Primeiro, você precisa de um sistema de gerenciamento de senha. Confira nosso guia de introdução ao LastPass para configurar uma das opções de gerenciamento de senha mais seguras e flexíveis. Você não precisa usar o LastPass, mas precisa de algum tipo de sistema que lhe permita rastrear e gerenciar uma senha única e forte para cada site que você visitar.
Em segundo lugar, você precisa começar a alterar suas senhas. O esboço de gerenciamento de crise em nosso guia, Como recuperar depois que sua senha de e-mail está comprometida , é uma ótima maneira de garantir que você não perca nenhuma senha; ele também destaca os princípios básicos de uma boa higiene de senha, citados aqui:
- As senhas devem sempre ser mais longas do que o mínimo permitido pelo serviço . Se o serviço em questão permitir senhas de 6 a 20 caracteres, escolha a senha mais longa que você conseguir lembrar.
- Não use palavras do dicionário como parte de sua senha . Sua senha nunca deve ser tão simples que uma verificação superficial com um arquivo de dicionário a revelaria. Nunca inclua seu nome, parte do login ou e-mail, ou outros itens facilmente identificáveis, como o nome da sua empresa ou nome da rua. Além disso, evite usar combinações comuns de teclado como “qwerty” ou “asdf” como parte de sua senha.
- Use senhas em vez de senhas . Se você não estiver usando um gerenciador de senhas para lembrar senhas realmente aleatórias (sim, percebemos que estamos realmente pensando na ideia de usar um gerenciador de senhas), então você pode lembrar de senhas mais fortes transformando-as em frases secretas. Para sua conta da Amazon, por exemplo, você pode criar a frase secreta de fácil memorização “Adoro ler livros” e, em seguida, transformá-la em uma senha como “! Luv2ReadBkz”. É fácil de lembrar e bastante forte.
Terceiro, sempre que possível, você deseja habilitar a autenticação de dois fatores. Você pode ler mais sobre a autenticação de dois fatores aqui , mas em resumo, ela permite que você adicione uma camada adicional de identificação ao seu login.
Com o Gmail, por exemplo, a autenticação de dois fatores exige que você não tenha apenas seu login e senha, mas também acesso ao celular registrado em sua conta do Gmail para que possa aceitar um código de mensagem de texto a ser inserido ao fazer login em um novo computador.
Com a autenticação de dois fatores ativada, torna-se muito difícil para alguém que obteve acesso ao seu login e senha (como poderia com o Bug Heartbleed) realmente acessar sua conta.
Vulnerabilidades de segurança, especialmente aquelas com implicações de longo alcance, nunca são divertidas, mas oferecem uma oportunidade para apertarmos nossas práticas de senha e garantir que senhas únicas e fortes mantenham o dano, quando ocorrer, contido.
