Skip to content

OpenSSL Heartbleed: você está vulnerável?

Informações e recomendações sobre o que fazer

Com o uso generalizado do OpenSSL em diversas aplicações e servidores empresariais, a vulnerabilidade OpenSSL recém anunciada introduziu um nível de risco e vulnerabilidade que as empresas devem tratar com seriedade.

Como líder no mercado de segurança, a Trend Micro pode ajudá-lo a entender e enfrentar essa vulnerabilidade. A seguir, veja algumas recomendações sobre os problemas e o que os clientes podem fazer.

 

O que é o bug Heartbleed e você está vulnerável?

O bug Heartbleed é uma grave vulnerabilidade na popular biblioteca de software criptográfico OpenSSL. O OpenSSL é uma implementação do protocolo de criptografia SSL/TLS usada para proteger a privacidade das comunicações da Internet. O OpenSSL é usado por muitos sites e outras aplicações como email, mensagens instantâneas e VPNs.

A vulnerabilidade Heartbleed permite que um agressor leia os sistemas de memória utilizando certas versões do OpenSSL, com a possibilidade de acessarem nomes de usuários, senhas ou até mesmo as chaves criptográficas secretas do servidor usadas para o SSL. A obtenção dessas chaves permitiria que usuários maliciosos observassem todas as comunicações desse sistema, permitindo mais explorações.

Quem foi afetado pelo Heartbleed?

Segundo dados do Netcraft data: apesar de 66% dos sites usarem o OpenSSL, apenas 17% eram vulneráveis ao bug Heartbleed em 8 de abril de 2014.

Como essa vulnerabilidade já existe há pelo menos dois anos, uma empresa que tenha implementado servidores executando o OpenSSL (versões 1.01 a 1.01f) durante esse período está provavelmente vulnerável ao bug Heartbleed e deve tomar medidas imediatas para remediar.

Embora não tenha havido nenhum ataque bem sucedido documentado até esta data, não quer dizer que não tenham acontecido. Consequentemente, mesmo se sua empresa não está atualmente vulnerável, pode ter estado vulnerável no passado e deve se supor que uma remediação é necessária se você implementou as versões OpenSSL vulneráveis.

Apesar do amplo uso do OpenSSL, o impacto do Heartbleed é reduzido dependendo da configuração do sistema que o usa.

Você não está vulnerável se você:

  • não está usando o OpenSSL (existem alternativas e muitas empresas usam módulos de segurança de hardware ao invés da implementação do software SSL)
  • está usando o OpenSSL compilado, sem a função heartbeat ativada (isso impede que a função heartbeat seja explorada em um ataque)
  • está usando o OpenSSL 1.01 ou inferior (o bug foi introduzido depois dessa versão)

Como verificar se há a vulnerabilidade Heartbleed

Se você usa o OpenSSL e não tem certeza se foi afetado, uma ferramenta pública de teste está disponível para confirmar rapidamente se você tem a vulnerabilidade. Clientes do Deep Security for Web Apps da Trend Micro podem realizar uma verificação completa da vulnerabilidade em suas aplicações da web e descobrir a existência do bug Heartbleed.

Os produtos da Trend Micro foram afetados?

A Trend Micro está investigando minuciosamente para ver se algum de nossos produtos e serviços podem ter sido afetados pela vulnerabilidade OpenSSL Heartbleed. Confira aqui as atualizações de nossas investigações.

O que as empresas afetadas devem fazer?

Se o seu servidor atualmente usa o OpenSSL 1.01 ao 1.01f, então é provável que você esteja vulnerável. Siga esses passos agora:

  • As empresas devem fazer o upgrade de seus sistemas para o OpenSSL 1.0.1g ou superior. Se não é possível fazer a atualização, a atual biblioteca deve ser recompilada com a sinalização - DOPENSSL_NO_HEARTBEATS.
  • Os clientes do Deep Security da Trend Micro podem corrigir quaisquer servidores afetados e podem imediatamente ativar as regras de prevenção do CVE-2014-0160 (exige a última atualização DSRU 14-009) para proteger os servidores contra essa vulnerabilidade. Isso fornecerá um tempo para que sua empresa possa fazer o upgrade da biblioteca OpenSSL para o 1.0.1g ou superior e realizar o teste de regressão necessário.
  • Os clientes do Trend Micro Deep Discovery podem ativar novas regras de detecção do Heartbleed para ajudar a garantir que um ataque direcionado não está explorando essa vulnerabilidade recém divulgada.

Mesmo que um servidor não esteja atualmente vulnerável, se a qualquer momento o OpenSSL do 1.0.1 até o 1.0.1f foi implementado, esse bug pode ter sido explorado e há uma pequena chance de que a chave criptográfica privada usada para o protocolo SSL/TLS possa ter sido comprometida. Isso é significativo pois tem o potencial de permitir que um agressor escute as comunicações em todos os servidores, mesmo que a biblioteca OpenSSL tenha sido subsequentemente atualizada. Portanto, as empresas devem reemitir seus certificados SSL com as chaves recém geradas:

  • Se você é um cliente do Trend Micro Deep Security for Web Apps , você pode reemitir seus certificados SSL SSL com novas chaves no portal self-service em questão de minutos sem custos.
  • Outras empresas devem consultar suas instruções de Certification Authority para alterar suas chaves/reimitir seus certificados.

Se um sistema está ou esteve vulnerável, as empresas devem avaliar o tipo de informação que pode ter sido comprometida. Em alguns casos, se informações sensíveis como senhas de contas e números de cartão de crédito tiverem sido comprometidas, as empresas podem escolher avisar seus clientes sobre esse risco e recomendar que eles atualizem suas credenciais.

Como você pode estar preparado para problemas como o bug Heartbleed?

Inúmeras empresas estão gastando dias não programados testando e corrigindo seus sistemas em resposta a essa vulnerabilidade generalizada. E você pode estar certo de que mais vulnerabilidades como essa estão por aí. A Trend Micro oferece uma grande gama de recursos de segurança para endpoints e data centers que podem ajudar tanto a detectar os problemas como protegê-los contra explorações.

Verificação contínua de vulnerabilidades. O primeiro passo na remediação de um bug como o Heartbleed é detectá-lo. As empresas devem testar continuamente suas aplicações web em busca das vulnerabilidades mais recentes. O Trend Micro Deep Security for Web Apps fornece verificação automatizada das aplicações e plataformas, maximizada por testes de lógica feitos por especialistas em segurança, para que você tenha visualizações acionáveis dentro das vulnerabilidades.

Reemissão imediata do certificado SSL. Em resposta ao Heatbleed, as empresas afetadas precisam alterar as chaves e reemitir seus certificados SSL, um processo bem demorado. O Deep Security for Web Apps permite que os clientes prontamente alterem seus certificados SSL e os reemitam em questão de minutos, minimizando o tempo que sistemas críticos podem ficar expostos à vulnerabilidade. Além disso, um licenciamento inovador permite que os clientes emitam certificados SSL de origem pública ilimitados para seus servidores e também atualizem certificados de alta segurança Extended Validation (EV) sem custos adicionais.

Virtual patching imediato. A atualização de bibliotecas OpenSSL precisa ser feita com cuidado para garantir que os outros recursos não sejam impactados, geralmente através do teste de regressão. Isso leva tempo e prolonga a exposição à vulnerabilidade. O Trend Micro Deep Security fornece detecção e prevenção de intrusão avançadas e possibilita que os clientes corrijam virtualmente os sistemas (PDF em inglês) . Isso permite bloqueio e proteção imediatos contra os ataques tentando explorar as vulnerabilidades, sem necessidade de uma atualização da configuração do servidor, diminuindo o risco e reduzindo imediatamente os impactos operacionais.

Detecção de ataques direcionados. O Trend Micro Deep Discovery permite que as empresas detectem quando ataques direcionados estão acontecendo dentro da rede. Com novas regras em vigor para o bug Heartbleed e uma taxa de detecção que lidera o setor (veja: o Trend Micro Deep Discovery ganha a Principal Pontuação na Taxa de Violações nos testes do NSS Labs), o Deep Discovery permite que os clientes se protejam dos ataques direcionados tanto hoje como no futuro.

O que você precisa saber sobre o heatbleed

Mark Nunnikhoven, engenheiro-chefe de tecnologias emergentes e de nuvem da Trend Micro, explica os desafios que as empresas enfrentam com o OpenSSL Heartbleed, o que você pode fazer agora e como a Trend Micro pode ajudar.

Assista ao vídeo (em inglês)


Siga os especialistas em defesas contra ameaças para receber as atualizações mais recentes

Os especialistas em defesa de ameaças da Trend Micro estão rastreando o bug Heartbleed e compartilhando suas descobertas nos seguintes blogs:

CounterMeasures Blog:

Security Intelligence Blog:

Verificadores de Heartbleed grátis

Para ajudá-lo a se proteger do bug Heartbleed, a Trend Micro lançou dois verificadores do Heartbleed para computadores e dispositivos móveis. Os verificadores foram feitos para identificar se você está se comunicando com servidores que foram comprometidos pelo bug Heartbleed.

Heartbleed Detector (Android Mobile App) (Android Mobile App)

O Heartbleed Detector Trend Micro Micro escaneia seu dispositivo móvel Android para descobrir possíveis riscos e o ajuda a ficar longe do bug Heartbleed.

O que o Heartbleed Detector Detector verifica no seu dispositivo móvel?

  • Se o seu dispositivo móvel foi afetado pelo bug Heartbleed
  • Se os aplicativos de seus dispositivos móveis foram afetados pelo bug Heartbleed
  • Se os aplicativos de seus dispositivos móveis acessam serviços em nuvem que foram afetados pelo bug Heartbleed

Baixe agora no Google Play.

Heartbleed Detector (plug-in do Navegador Chrome)

Disponível para usuários de computadores Windows e Mac, o Heartbleed Detector da Trend Micro é um plug-in multiplataforma para o Chrome que permite que você verifique se há URLs vulneráveis.

Verifique facilmente se algum site sofre da vulnerabilidade Heartbleed para evitar colocar sua segurança em risco.

Instale agora em um só clique!


Siga a Trend Micro