3 medidas de segurança que você precisa adotar para tentar se proteger do Bug 'Heartbleed'

3 medidas de segurança que você precisa adotar para tentar se proteger do Bug 'Heartbleed'

A falha de segurança recém descoberta expôs milhões de senhas, números de cartões de crédito e outros dados confidenciais. Saiba como reforçar a segurança do tráfego de Internet na sua empresa.

De volta à 2012, uma nova versão do popular software de criptografia OpenSSL Internet, que protege cerca de 66% dos sites no mundo, apresentou uma falha de segurança.

O "Heartbleed" deixou senhas e nomes de usuários, dados financeiros, tráfego de e-mails, e muito mais, vulneráveis podendo ser roubados por hackers, de acordo com um pesquisador do Google e a empresa de
segurança finlandesa Codenomicon, que juntos descobriram e deram nome ao bug.

O lapso de segurança na Internet significa que, mesmo que o seu site tenha um ícone de cadeado ou um prefixo de URL "https://" no navegador - demonstrando ostensivamente que é seguro - ele pode não ser tão seguro assim mais.

Segundo os especialistas em segurança que descobriram o Heartbleed:

"O Heartbleed permite que qualquer pessoa na internet possa ler dados dos sistemas protegidos pelas versões vulneráveis do software OpenSSL. Isso compromete as chaves secretas usadas para identificar os prestadores de serviços e para criptografar o tráfego, os nomes e senhas dos usuários e o conteúdo real. Isso permite que criminosos possam espionar as comunicações, roubar dados diretamente dos serviços."

Para verificar se o site é vulnerável, digite a sua URL aqui.  

Giovanni Vigna, co-fundador da startup de segurança Lastline, diz que todas as empresas precisam fazer a atualização para a nova versão do OpenSSL, que inclui um novo certificado, e depois alertar todos os usuários para que alterem suas senhas.

O Heartbleed é um bug particularmente assustador por causa da amplitude potencial do seu impacto, diz Vigna.

"É difícil saber exatamente o quão grande este ataque foi, antes de ser descoberto, mas alguém pode estar tirando proveito disso agora mesmo e roubando cada bit de memória de seus servidores", diz Vigna.

"Eu acho que as empresas nunca saberão o tamanho real do estrago, e isso deixa um grande ponto de interrogação pairando sobre todos os usuários da internet no mundo todo."

Muitos relatórios têm sugerido que as pequenas empresas estão em maior risco, mas Vigna discorda. Ele diz que enquanto as pequenas empresas são geralmente alvos primários, porque elas normalmente não têm grandes recursos de segurança, na verdade o Heartbleed está operando em um nível bem mais alto, tornando empresas que usam o OpenSSL muito mais suscetíveis.


 

Ele acredita que os criminosos estão buscando grandes companhias aonde o estrago pode ser potencialmente maior.

"Haverá uma janela muito limitada para explorar essa vulnerabilidade, de modo que os criminosos vão se concentrar em sites e empresas que gerenciam grandes quantidades de informações sensíveis e que são lentos para atualizar sua infra-estrutura", diz Vigna.

A boa notícia, diz Jordan Edelson, um desenvolvedor de software e CEO da desenvolvedora de aplicativos 'Aperitivo Mobile', baseado em Nova York, é que o bug é fácil de corrigir.

Há um remendo para OpenSSL disponível on-line e qualquer um pode implementá-lo sem muito know-how técnico. 

Abaixo, confira as três coisas que sua empresa precisa fazer se o seu site está usando OpenSSL e é vulnerável ao Heartbleed:

1. Atualize sua versão do OpenSSL com essa correção. Ele vai corrigir a vulnerabilidade e tornar a sua aplicação segura novamente.

2. Alerte todos os seus usuários e empregados informando que seu site está agora em segurança e oriente todos a mudar seus nomes de usuário e senhas. Edelson diz que você deve orientar seus usuários a procederem com uma série de ciclos de alteração de senha. Mudá-la agora, em uma semana, e novamente em um mês a partir de agora.

3. Um ataque cibernético pode paralisar o seu negócio, custar milhares de reais, e causar danos irreparáveis à imagem da sua marca, por isso, se você não tiver investido pesadamente em segurança digital na sua empresa ainda, é hora de começar. "À medida que a Web evolui, mais vulnerabilidades vão surgir e as empresas precisam estar cientes e sempre atualizadas", diz Edelson. "Você não quer que seus servidores sejam comprometidos. Ataques cibernéticos podem prejudicar um negócio em grande escala. Invista o máximo de recursos em TI que você puder. Este não é um departamento que se possa ignorar.

Gostou desse artigo? Compartilhe!

Topo