Heartbleed explicado em quadrinhos por xkcd

Veja como funciona o bug do Heartbleed que proporcionou a coleta de informações de usuários sites como o Google, Yahoo, Facebook por dois an...

Veja como funciona o bug do Heartbleed que proporcionou a coleta de informações de usuários sites como o Google, Yahoo, Facebook por dois anos.

O Heartbleed (traduzindo, seria algo como "hemorragia cardíaca") foi descoberto pela empresa de segurança finlandesa Codenomicon. Trata-se de uma falha no OpenSSL, um software que permite ao seu computador e a um servidor saberem que são quem dizem que são pela rede.
Um projeto de código aberto como o OpenSSL permite que qualquer um possa olhar como foi programado; não há como esconder algo de propósito. Você pode até ver exatamente onde o Heartbleed nasceu e onde foi consertado, mesmo que não entenda muito de código (esse é quase um ponto turístico de segurança digital. Imagine um guia dizendo algo como: Neste local, você pode ver uma das maiores brechas de segurança da história da internet. Capaz de comprometer cerca de 12% dos sites mais populares da rede).

O Heartbleed não é um problema com as tecnologias TLS/SSL que criptografam a internet. Nem mesmo seria um problema com a forma como o OpenSSL funciona na teoria. É apenas um erro no código. Um bug.

Funciona assim: Quando dois computadores se preparam para fazer uma conexão segura, através de um aperto de mão criptografado, eles realizam o chamado “heartbeat” (batimento cardíaco), o que inspirou o nome do bug.

Heartbeats são uma forma de dois computadores que conversam entre si garantirem que o outro ainda está "vivo" (uma analogia à forma como os médicos verificam se alguém está vivo sentindo o "pulso"). Assim, se algo der errado durante o processo, ele é interrompido. Para tanto, eles enviam dados um para o outro, de forma constante.

Para exemplificar, imagine que você esteja acessando um site seguro. O cliente (você) envia o seu heartbeat para o servidor (um banco, por exemplo), e o servidor o entrega de volta. Dessa forma, se algo der errado durante a transação – por exemplo, se um computador parar – o outro vai saber, porque os batimentos cardíacos saem de sincronia.

O problema é que quando o o cliente pede para o servidor o batimento ele envia o dado que deve ser enviado de volta e também o tamanho desse dado (o número de bytes).

A falha é que nos servidores com OpenSSL o cliente poderia "mentir" o tamanho do dado. Por exemplo, o dado enviado poderia ter 0 KBytes  e o o cliente informar que tem 64 KBytes. Isso confundia o servidor que acabava enviando 64 KBytes de sua memória que poderia conter dados confidencias. Um desastre em termos de segurança.

O OpenSSL é bastante popular e por isso hacker podem ter tido acesso a senhas de contas de serviços como Google, Facebook, Yahoo!, IFTT, Wunderlist e até mesmo sites de empresas de segurança como a Kaspersky.

Na terça-feira, o hacker Mustafa Al-Bassam (de Londres, Inglaterra) testou os 10 mil sites de maior tráfego na web e descobriu que 1260 deles continham a falha.

O fato de ser público é um dos fatores que tentam garantir uma constante melhoria da segurança dos softwares de código aberto. Por isso, é surpreendente que uma falha como essa tenha ficado tanto tempo desconhecida.

De acordo com o site G1, essa foi uma tragédia anunciada. Em setembro de 2012, um perfil no Twitter apontava bizarrices do código do OpenSSL. Essas bizarrices nasceriam do legado presente no código, bem como dos limitados recursos com o qual o software é mantido. Poucas pessoas ou empresas realmente se importam com esses programas que constituem os bastidores da internet.

Atualização (17/04/2014)

O site Heartbleed.com.br está agregando as informações sobre essa vulnerabilidade (incluindo dicas de proteção para usuários em geral e administradores). Veja no vídeo a seguir orientações sobre como devemos proceder no momento.



Fonte: Exame, xkcd, Gizmodo, Olhar Digital, G1
[Via BBA]

Comentários

Nome

A divulgar Abelha acessibilidade acessório Acidente Acidentes Acústica Adágios Adestramento Administração adulto Aerodinâmica Aeronáutica África Agência Brasil Agropecuária AIDS Alcoolismo Alemanha Alerta Algoritmo Alimento Alzheimer Amazon Amazônia Análise Combinatória Anatomia Android Animação Animais de Estimação Animal Antropologia apagão Apicultura Apobec App Apple Apresentação aquário Argentina Arqueologia arquitetura Arte Astrobiologia Astronomia Ativismo Áudio Audio FX Áustria Autismo Auto-ajuda Automobilismo Automóvel aventura Aviação Aviônica Bahia Balonismo Banco de Dados Beber e Dirigir biblioteconomia Bicicleta Biografia Biologia Biologia Marinha bioquímica Biotecnologia Blog Blogger Boato Bomba borderô de desconto Botânica Brasil Brasília BRIC Browser Bugs CAD Calor Câmera lenta Campanha câncer cardiologia carreira Casemods Caso Isabella Nardoni Caso Snowden Celebridades celular Células-Tronco Cérebro Charge China Cibercultura Ciclovia Cidadania Ciência Cinema Clip Cliparts Cloud computing Comédia competência Complemento de dois Comportamento Computação Computação em grade Computação forense Computação Gráfica Computação Móvel Comunicação e Marketing Concurso Concurso Cultural de Natal Concursos Público Concursos Públicos Conectômica Conspiração Consumidor Consumismo contabilidade Contos Copa do Mundo Cordel Coreia do Norte Coreia do Sul Corpo Coruja cosmética cosmologia Criança Crime Crime Digital crise crise econômica crônica crônicas Cronologia CSS Cuba Culinária Cultura Curiosidades custos fixo custos variáveis Dança DAO Darwin Decoração demência Demografia Denúncia Dermatologia Desastre Natural Descoberta desconto duplicatas Desenho instrucional Desenvolvimento de jogos Design Dia das Mães Dia do professor diabetes Dica Dicas Didática Dieta diplomacia Direito Direito Eleitoral Direito Internacional Direito Tributário Direitos Humanos Disney Distrito Federal Documentário Doutorado download Drogas e-Book e-governo Ecologia economia Editoração Eletrônica Educação Educação a Distância educação física Educação sexual Efeitos Sonoros Egiptologia Eleições Eleições 2014 Eletricidade eletrônica empreendedorismo enciclopédia endocrinologia Enem Energia Energia Alternativa Energia Nuclear Engenharia Engenharia Civil Engenharia de materiais Engenharia de Software Engenharia Genética Engenharia Mecânica Enretenimento Ensino a Distância Ensino Superior Entomologia Entretenimento Entrevista Epidemiologia Equador Escândalo Escritório Espaço Espanha Espanhol Espeleologia Espetáculo Espionagem Esporte Estação Estágio Estatísticas estrutura de dados Ética EUA Evento Evolução Exercícios físicos Exobiologia experiência fábulas Facebook Farmacologia Favo featured Feminismo Férias Ferramentas FIFA Filantropia Filmes Filosofia Firefox Física Física Quântica Fisiologia Fisioterapia Flagrante Flamengo Folclore Fome Fonoaudiologia Fotografia Fotos em 360 graus França Francês frases Fraude Freeware Futebol Futurologia gadget Gafe Gastroenterologia Gastronomia Geek Genética Geofísica Geografia Geologia Geometria geopolítica Geriatria Gestão de Configuração Gestão de Projetos Gestão do conhecimento Ginecologia Glass Google Governo GPS Gradiente gramática Gravidez Grécia Grécia Antiga Guerra Guinness H2 Haiti hardware História HIV homenagem Horologia HPV HTML Humor Humor Negro IBM ICIJ Idioma IHC ilo ilusão ilusão de óptica ilusão de ótica ilusionismo Imagem 3D Imagens Imagine Cup Império Romano Imprensa Impressora 3D Incêndio Inclusão digital Índia Índios Infectologia Infográfico Informática Inglaterra Inglês Inovação Inteligência Artificial interativo Interface Interface Homem-Computador Interfaces Hápticas Internacional Internacionalização da Amazônia Internet Inundação Invenção Inventos iPad IPEA iphone Irã Iraque Israel Japão Java Java. jogos Jogos educativos Jogos Olímpicos Jornalismo Justiça Kinect Le Monde Diplomatique Brasil Letras Lexicografia Liderança Life Hacking Linguística Literatura Livro Lógica Logística Lua Maçonaria Malásia Malvinas Malware Mapa Mapas Marte Mastologia Matemática Matemática Financeira maternidade Mecânica Mecânica dos Fluidos Mecatrônica Medicina Medicina Esportiva Medicina Veterinária Meio Ambiente Mel melanoma Memória memorização Mente Mercado de Trabalho mercosul Mestrado meteorologia Metodologia Científica México Microbiologia Microsoft Mídia Social Militar Mineralogia Mistério MIT Mitologia Mobilidade Mobilidade Urbana MonaVie Montanhismo Moodle Mossad Motivação MSF Mudança Climática Mulher Multimídia museu Música MVC Nanotecnologia Nasa Natação Natal Natureza Negócios Neurociência Neurologia Nordeste Noruega notícias Novidades Novo Enem Números Nutrição Obama Obesidade Observatório da Imprensa Obstetrícia Oceanografia odontologia Offshore Leaks oftalmologia Olimpíadas oncologia ONU Opinião Óptica Oracle Oriente Médio Orkut Ornitologia ortografia Ortopedia ótica Otorrinolaringologia Paginadores paleontologia Paquistão Pará Paraguai parkinson Passeio virtual Patinação Pediatria Pensamentos performance Periférico Pesca Pesquisa Petição Petrobrás Petróleo Photoshop Pirataria planilha de custo Playstation 3 Plebiscito Pneumologia Podcast Poesia Poítica Política Portugal português Pós-graduação prazo médio Pré-sal Prêmio Nobel primatologia privacidade produtividade professor Hamilton Alves Programa Gratuito Programação Projeto Truco Promoção Propaganda Psicanálise Psicologia Psicologia Animal Psiquiatria Pública publicidade Publieditorial Quadrinhos Quads Qualidade Qualidade de Vida quimica química realidade aumentada realidade diminuída Realidade Virtual Reconhecimento de imagem Reconhecimento de voz Recorde Redação redes Referência Referendo Reforma Política Relacionamento Relações Internacionais Religião Responsabilidade Social Retrospectiva Rio 2016 Rio Grande do Norte Rio Grande do Sul robótica Roda Viva Roma roteiro RSA Rússia Samsung Sanitarismo Santa Catarina São Paulo saúde Savant Segunda Guerra Mundial Segurança Segurança da Informação Seleção Natural serviço Serviço Online Sexologia sexualidade Show SIGGRAPH Simulação Sismologia Sistema operacional Sistemas de Numeração Sites de Busca Sociedade Sociologia Software Software Livre Sol Sono Sony SOPA Suécia Sugestão de presentes Sun supercomputadores Sustentabilidade Tabagismo Talento precoce taxa de juros efetiva taxa de juros nominal Taxas Equivalentes Taxidermia Teatro Técnicas de Estudo Tecnologia Tecnologia da Informação TED TedMed TEDx Rio+20 TEDxAmazônia TEDxAsaSul Telefonia Televisão Temas Tempo Tendências Teologia teoria das supercordas Terremoto Terrorismo Testes Tipologia Tomada de Decisão tradução Trânsito transporte tributo Trigonometria Tubarão Turismo Tutorial Twitter UFG ufologia UFRJ universidade Urbanismo Urologia USP Utilidade Pública Utilitário Vale Vaticano Ventriloquismo Verão vestibular Vestimenta Vida Digital Vida Moderna Vida Selvagem Vídeo Videogame Vídeos Vídeos 360 Violência Vírus Visão Computacional Vôlei Vulcanologia Watergate Política Web 2.0 Web Application Web Semântica Web Seminar webdesign Webinar widget WikiLeaks Wikipedia Windows Xadrez YouTube Zoologia
false
ltr
item
Brasil Acadêmico Draft: Heartbleed explicado em quadrinhos por xkcd
Heartbleed explicado em quadrinhos por xkcd
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7rW7oKsT4BuP8Mf7zykN83WVZvoPvHet0ZOQuue3rUwmP9nuXVRd4ujTtW9tNHop15_ALDBBSnRq1FvcNg8iUSAog01iqohyphenhyphenBauDj8Mf19r3Y0dOmKe2PqU8N6Z57b6JXhQCnft_0N5w/s400/heartbleedXkcd00.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7rW7oKsT4BuP8Mf7zykN83WVZvoPvHet0ZOQuue3rUwmP9nuXVRd4ujTtW9tNHop15_ALDBBSnRq1FvcNg8iUSAog01iqohyphenhyphenBauDj8Mf19r3Y0dOmKe2PqU8N6Z57b6JXhQCnft_0N5w/s72-c/heartbleedXkcd00.jpg
Brasil Acadêmico Draft
http://draftbracad.blogspot.com/2014/04/heartbleed-explicado-em-quadrinhos-por.html
http://draftbracad.blogspot.com/
http://draftbracad.blogspot.com/
http://draftbracad.blogspot.com/2014/04/heartbleed-explicado-em-quadrinhos-por.html
true
7742307559183522523
UTF-8
Nenhuma artigo encontrado. VER TODOS Leia mais Responder Cancelar resposta Apagar Por Início PÁGINAS POSTS Ver Todos Indicado para você CATEGORIA ARQUIVO BUSCA TODOS ARTIGOS Nenhum artigo corresponde ao critério procurado Ir para Início Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sáb Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez agora 1 minuto atrás $$1$$ minutes ago 1 hora atrás $$1$$ hours ago Ontem $$1$$ days ago $$1$$ weeks ago mais de 5 semanas atrás Seguidores Seguir Este conteúdo é PREMIUM Por favor, compartilhe para liberar Copiar todo o código Selecionar todo o código Todos os códigos foram copiados para o clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy