Novo
Agora IDGNow! é IT Midia.com
Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Testes mostram que bug Heartbleed pode expor chaves de servidores
Testes mostram que bug Heartbleed pode expor chaves de servidores
Home > Internet

Testes mostram que bug Heartbleed pode expor chaves de servidores

Em testes separados, quatro pesquisadores conseguiram obter informação que permite a criação de sites falsos que parecem legítimos e passam por verificações.

TechHive / EUA

14/04/2014 às 9h43

Foto:

Quatro pesquisadores trabalhando de forma separada demonstraram que uma chave privada de criptografia de um servidor pode ser obtida usando o bug Heartbleed, um ataque que se pensava ser possível, mas ainda não tinha sido confirmado.

A descoberta acontece pouco após um desafio criado pela empresa da segurança CloudFlare, que roda um serviço de segurança e redundância para operadoras de sites.

A companhia baseada em San Francisco, nos EUA, perguntou à comunidade de segurança se a falha na biblioteca Open SSL, tornada públicada na última semana, poderia ser usada para obter chaves privadas usadas para criar um canal criptografado entre usuários e sites, conhecidas como SSL/TLS (Secure Sockets Layer/Transport Security Layer).

A chave privada é parte de um certificado de segurança que verifica se o computador de um cliente está conectando com um site falso fingindo ser legítimo. Os navegadores indicam uma conexão segura com um cadeado e mostram um aviso se o certificado for inválido.

Especialistas em segurança pensavam que seria possível que essa chave fosse divulgada ao explorar a falha Hearbleed, que pode ter afetado dois terços da Internet.

“Esse resultado nos lembra de não subestimar o poder da multidão e enfatiza o perigo dessa vulnerabilidade”, afirmou o executivo da CloudFlare, Nick Sullivan, no blog da emrpesa.

Ao obter uma chave privada para um certificado SSL/TSL, um criminoso poderia configurar um site falso que passa por verificações de segurança, por exemplo.

 “Confirmamos que todos os indivíduos usaram apenas o exploit Heartbleed para obter a chave privada”, afirmou Sullivan.

Como cada um dos pesquisadores conseguiu obter a senha não foi revelado. “Fica a critério de discrição dos pesquisadores compartilharem mais detalhes das técnicas que usaram”, afirmou o executivo.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site