Por que as empresas ainda não deram conta do Heartbleed?
Há dois anos as equipes de TI estão lutando contra o Heartbleed, um erro na biblioteca de criptografia OpenSSL, implementação de código usada para criar conexões seguras por meio dos protocolos Secure Sockets Layer (SSL) e Transport Layer Security (TLS) – SSL/TLS -, que controlam a troca de chaves criptografadas entre o usuário e as páginas web que têm um cadeado de segurança. A vulnerabilidade permite que um hacker acesse informações sensíveis como senhas, números de cartão de crédito, entre outras.
A brecha, localizada em uma extensão chamada heartbeat, mantém ativa a conexão segura e através dela o hacker pode roubar 64k de dados a cada “batimento cardíaco”, processo que pode ser repetido quantas vezes ele achar necessário para capturar os dados que deseja.
Segundo dados divulgados pela Shodan, mais de 220 mil dispositivos conectados à Internet ainda estão vulneráveis ao Heartbleed, principalmente appliances e dispositivos que não tiveram patches instalados ou mesmo que não dispõem de patches. Estados Unidos, Alemanha, China, França e Reino Unido concentram o maior número de dispositivos vulneráveis.
E o Brasil também é afetado pelo bug. Segundo um estudo realizado pela iBLISS em 2015, 5% das vulnerabilidades de desatualização de alta criticidade correspondem a falhas de OpenSSL que permitem o acesso a informações sensíveis por meio de bugs diretamente ligados ao Heartbleed, que ainda não foi solucionado em muitas organizações.
Mas por que após dois anos de sua descoberta o Heartbleed continua a provocar estragos? Porque os sistemas não são atualizados. Além de atualizar o OpenSSL, especialistas em segurança orientam que o administrador altere as chaves e apague sessões de cookies.
E, para minimizar o problema, existem diversas ferramentas disponíveis que permitem detectar se servidores e dispositivos ainda estão infectados pelo Heartbleed, como testes de segurança gerenciados que vão, entre outras funcionalidades, rastrear vulnerabilidades em bibliotecas de terceiros e realizar testes de invasão de rede externo. Por meios de simulações controladas de ataques reais, são encontradas vulnerabilidades que possam permitir a obtenção de acesso não-autorizado. Os resultados dos testes são entregues no GAT, plataforma de gestão de ameaças e vulnerabilidades desenvolvida pela iBLISS.
Baixe o Relatório de Ameaças 2016 e confira as informações do estudo completo conduzido pela iBLISS em 70 empresas brasileiras para revelar quais são as maiores falhas de segurança de 2016.