O Heartbleed é um bug que existe nas versões do OpenSSL anteriores à versão 1.0.1g. É um bug que permite que um utilizador externo obtenha a chave privada de SSL de um servidor.
“Heartbleed is a software bug in the open-source cryptography library OpenSSL, which allows an attacker to read the memory of a server or a client, allowing them to retrieve, for example, a server’s SSL private keys.”
Já atualizei os meus servidores que usam SSL. Mas uma vez que estiveram 4 dias vulneráveis (após a comunicação de segurança), decidi substituir as chaves privadas desses servidores.
Além disso, havia a possibilidade da NSA ter capturado as minhas chaves antes da comunicação, pois desconfia-se que o Big Brother americano sabia deste bug há mais de 2 anos e não comunicou o facto.
“A Agência de Segurança Nacional (NSA, na sigla inglesa) foi ontem notícia por, alegadamente, saber da vulnerabilidade “Heartbleed Bug” há cerca de dois anos e de a ter utilizado para conseguir dados confidenciais. A notícia foi avançada pelo Bloomberg e desmentida horas depois pela agência num comunicado.”
Deixe um comentário