Artigos

Vulnerabilidade crítica em implementações SSL/TLS – Vulnerabilidade Heartbleed

Foi tornada pública ontem (7 de Abril) uma vulnerabilidade crítica na implementação da biblioteca open source OpenSSL, conhecida como Heartbleed attack. Esta vulnerabilidade permite a leitura de blocos de memória do processo em questão o que pode levar ao comprometimento de informação sensível tal como:

  • Chaves privadas de certificados SSL;
  • Credenciais (passwords) de utilizadores;
  • Outras chaves criptográficas

As seguintes versões do OpenSSL estão vulneráveis:

  • OpenSSL 1.0.1 a 1.0.1f – (inclusivé) estão vulneráveis
  • OpenSSL 1.0.1g – NÃO ESTÁ vulnerável
  • OpenSSL 1.0.0 branch – NÃO ESTÁ vulnerável
  • OpenSSL 0.9.8 branch – NÃO ESTÁ vulnerável

A maioria das implementações baseadas em OpenSSL (p. ex. VPN’s SSL) que suportem TLS 1.2 com a extensão “heartbeat” deverão ser afetadas.

Aconselhamos todos os clientes com sites que utilizem SSL/TLS a fazerem o despiste da vulnerabilidade. Este despiste pode ser realizado através do Qualys SSL Labs:

Em alternativa existe um script em Python que tem sido utilizado pela equipa da SysValue para testes internos e pode ser utilizada (sem garantias dadas sobre o funcionamento do mesmo):

Este ataque tem afetado grande percentagem da Internet, tendo sido já reportado, p. ex. o comprometimento de credenciais de utilizadores do site Yahoo, entre outros.

Para mais informações pode ser consultado o seguinte site (em desenvolvimento):

Para informação sobre o desenvolvimento deste ataque pode ser seguida a hashtag #heartbleed no Twitter.

Artigo por: Luis Grangeia