Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Heartbleed. Veja como é o problema e teste sua conexão

Share on linkedin
Share on twitter
Share on facebook

Heartbleed. Veja como é o problemaBig, big problema com as versões do Open SSL que têm o bug heartbleed (CVE-2014-0160) – ele está dentro da extensão heartbeat, por isso acabou tendo esse nome, que significa sangramento no coração. Não significa problema apenas entre duas máquinas, porque pode também ser uma conexão entre um cliente e um banco de dados dentro da mesma máquina. Exemplo, para abrir uma conexão no seu MySQL, no seu Oracle e assim por diante. Em outras palavras, não significa que consertar a segurança da conexão HTTP resolve tudo.

O problema é simples de entender e está nesta pequena linha de código, do OpenSSL 1.0.1 até a 1.0.1f (versões não afetadas: OpenSSL 1.0.1g,  0.9.8 e 1.0.0 segundo a TrusSign)

memcpy(bp, pl, payload);

Ela tem quatro partes: uma instrução de cópia, o destino da cópia, a origem da cópia e o tamanho da cópia. Digamos que a origem tem 64K e você declara 64K. Tudo dá certo, o servidor grava os seus 64K na memória dele e devolve os 64K a você.

Mas e se você não enviar nada e declarar 64K?

Bem, nesse caso o servidor não grava nada, mas envia a você 64K de dados que estavam na memória. Simples. Ridiculamente simples. E o que há nesses dados enviados? Pode haver de tudo, e sem criptografia. Imagine o que quiser.

Quem está estudando o assunto se preocupa com a quantidade de Open SSL furados que estão invisíveis nos servidores. É melhor que todos comecem a procurar.

Para teste de conexão já tem um endereço ativo:

http://filippo.io/Heartbleed/