O Bug Heartbleed é uma vulnerabilidade OpenSSL que permitiria que hackers roubassem informações de sites que normalmente seriam protegidos pela criptografia SSL / TLS. A biblioteca de criptografia OpenSSL de código aberto é usada para implementar o protocolo TLS (Transport Layer Security) da Internet.
Nomeado pelos pesquisadores que descobriram a falha de segurança, o Bug Heartbleed teoricamente permite que qualquer pessoa na Internet acesse um servidor Web seguro executando certas versões do OpenSSL para obter chaves de criptografia do site, senhas de usuário e conteúdo do site.
De acordo com site oficial do Heartbleed Bug, OpenSSL 1.0.1 a 1.0.1f (inclusive) são vulneráveis enquanto o OpenSSL versão 1.0.1g corrige a falha de segurança.
Criação de falha de Heartbleed e descoberta de bug
O bug Heartbleed foi descoberto inicialmente pelo engenheiro do Google Neel Mehta e pela empresa de segurança finlandesa Codenomicon. A falha de segurança foi introduzida no protocolo de criptografia OpenSSL de código aberto pelo desenvolvedor de software alemão Robin Seggelmann. Desde que a falha se tornou amplamente conhecida, Seggelmann disse que o bug foi inadvertidamente esquecido por ele e outro revisor de código e que o bug não foi inserido de forma maliciosa, apesar das teorias de conspiração online relacionadas ao Heartbleed, como a NSA usando o bug Heartbleed para espionar.
O bug Heartbleed nas notícias
Rumores de inseto Heartbleed
RCMP pediu à Receita do Canadá para atrasar notícias de roubos do SIN
Bug Heartbleed atinge milhões de telefones Android
Bug Heartbleed: o que foi afetado e quais senhas você precisa alterare
Os testes confirmam que o bug Heartbleed pode expor a chave privada do servidor
Ataques Heartbleed
Existem poucos casos documentados de ataques que exploram o bug Heartbleed, mas os especialistas em segurança alertam que o uso do bug não deixaria rastros e todos os sites que usam as versões afetadas do OpenSSL devem ser considerados comprometidos.
Enquanto muitos sites grandes, incluindo Google, Facebook e outros foram rápidos em notar que os serviços estavam "protegidos" do Heartbleed, o anúncio público em 8 de abril de 2014 parece ter gerado ataques. Agência de Receitas do Canadá (CRA) fechou seus serviços públicos online para corrigir a falha, mas antes que a correção fosse implementada, o CRA disse que 900 números de seguro social foram roubados dos computadores do CRA por pessoas que exploravam o bug Heartbleed.
Em outro ataque relatado, o site de pais baseado no Reino Unido, Mumsnet, também afirma ter experimentado uma violação em que o infiltrado afirmou ter usado o Heartbleed para acessar uma conta. O site forneceu alguns detalhes aos usuários, juntamente com instruções sobre como redefinir as senhas do site.
Heartbleed: Além da Internet
O bug Heartbleed se estende além da Internet. Por exemplo, dispositivos móveis executando o sistema operacional Android 4.1.1 (lançado em 2012) têm o bug de software Heartbleed. Todas as outras versões são imunes à falha, mas isso deixa milhões de smartphones e tablets vulneráveis. Além disso, os sistemas operacionais, incluindo Debian Wheezy (estável), Ubuntu 12.04.4 LTS, CentOS 6.5, OpenBSD 5.3 e OpenSUSE 12.2 são versões que foram enviadas com uma versão OpenSSL vulnerável (veja a lista completa).