Você já ouviu falar em Heartbleed?
Heartbleed, o filho ilegítimo da Internet, foi gerado na véspera do Ano Novo de 2011 como produto de um erro de cálculo de fim de noite. Seus pais são o Dr. Robin Seggelmann, um programador alemão, e o Dr. Stephen N. Henson, um criptógrafo veterano. Como muitas crianças não planejadas, ele era indesejado e ignorado que passou a causar muitos problemas.
Por mais de dois anos, esta ameaça silenciosa causou estragos nos cantos mais sensíveis da Internet, sem ser detectado por aqueles que poderiam facilmente ter acabado com sua maldade.
Recentemente ele chamou a atenção da empresa de segurança finlandesa Codenomicon. A empresa deu-lhe um nome atraente – Heartbleed – e o resto é infâmia da Internet.
Desde que a notícia veio à tona, uma grande falha de segurança deixou meio milhão de sites vulneráveis aos atacantes remotos, o bebê esquecido na véspera de Ano Novo tornou-se familiar.
Sem dúvida, você já viu o logotipo Heartbleed buscando os seus fluxos de gotejamento de sangue na tela do seu computador, como uma luz vermelha de advertência brilhante.
Mas a mecânica por trás do erro é realmente muito simples, diz Alex Balan, diretor de gerenciamento de produtos da empresa de segurança e antivírus BullGuard, que tem tentado transmitir aos leigos por que o Heartbleed é potencialmente grave.
Balan, ao International Business Times, disse que, apesar das caracterizações da mídia ao considerá-lo um arqui-inimigo por derrubar os muros de segurança na Internet, a realidade é muito mais mundana.
O Heartbleed não é um vírus, nem um código malicioso. É um erro de programação simples, escrito de forma não intencional por Seggelmann naquela fatídica noite de Ano Novo.
De acordo com uma entrevista que ao Sydney Morning Herald, Seggelmann , então um estudante de Ph.D., estava trabalhando tarde da noite em um projeto de pesquisa para a Universidade de Münster, na Alemanha. O projeto envolveu a codificação de correções de bugs e novos recursos para uma ferramenta de segurança amplamente utilizada chamada OpenSSL, um protocolo que qualquer pessoa pode atualizar.
Às 11h59 da noite, Seggelmann apresentou o código de falha de Stephen N. Henson, que o revisou, e também perdeu o erro. Depois disso, o código foi adotado numa versão de desenvolvimento do software. E no dia 14 de março de 2012, o código errôneamente foi lançado com uma atualização oficial do OpenSSL, e assim foi parar em milhares de sites populares.
Isso foi um mal entendido na melhor das hipóteses. Se o código de computador é uma linguagem, pense no Heartbleed como um erro de digitação, que foi atingido por vários editores e copyeditors até que, em última análise, pousou na primeira página de um jornal de grande circulação. É raro, mas acontece.
E, neste caso, a razão que faz o erro de digitação ser tão ameaçador é porque ele deixou um furo de segurança no OpenSSL, que é usado para proteger as comunicações entre servidores e computadores.
Cerca de dois terços da Internet dependem de OpenSSL, incluindo gigantes como o Facebook, Twitter, Google, Yahoo, Amazon e algumas instituições financeiras.
O protocolo permite que os servidores dessas empresas se comuniquem de forma segura com nossos computadores, laptops e dispositivos móveis. Quando você entrar no Amazon, por exemplo, o dispositivo solicita informações de servidores da Amazon, incluindo informações confidenciais, como seu nome de usuário, senha e dados do cartão de crédito.
É nesse exato momento – quando um servidor específico acessa seus dados privados – que o Heartbleed pode representar uma séria ameaça à segurança.
“Pense na memória do servidor como a sua mente “, diz Balan. “Tudo o que passa por sua mente agora, o que você vê, as minhas palavras a você, tudo aquilo que estiver pensando: toda essa informação pode ser excluída do servidor, através do Heartbleed “.
“Como nós nos esforçamos para desenvolver uma Internet mais perfeita, não vamos perder de vista o quanto ela já funciona bem, afinal é um sistema muito complexo”,conclui Jeremy Gillula, tecnólogo da equipe da Electronic Frontier Foundation.
© 2014, IBTimes.
