A revelação que o OpenSSL continha uma pequena falha no código desde maio de 2012 abanou todas as infraestruturas da internet. Afinal, trata-se do software de criptosegurança mais popular em todo o mundo e esta notícia implicava que a maior parte dos sites que temos utilizado nos últimos dois anos estiveram vulneráveis à extração de dados.

A falha foi detetada pelos serviços de segurança da Google, pelo que é expectável que estes tenham sido os primeiros serviços a ser ‘imunizados’, antes da revelação pública dos factos.

As dúvidas mais frequentes

Como sei se os sites que utilizo foram afetados? O número de websites expostos totaliza mais de meio milhão, por isso é provável que use alguns deles. Poderá testar a vulnerabilidade dos websites que utiliza aqui.
Devo mudar as minhas passwords? Apenas se o site em questão já tomou medidas para se proteger do Heartbleed, caso contrário a sua nova password estaria ainda vulnerável. A maior parte das grandes empresas que operam na net já tomaram medidas suficientes, no entanto.
Como posso saber se os meus dados foram acedidos? O uso da vulnerabilidade do Heartbleed não deixa qualquer tipo de rasto, é impossível apurar que dados foram acedidos. É, aliás, impossível saber se alguém chegou sequer a explorar esta vulnerabilidade nestes dois anos, ou se está a ser ativamente explorada desde 2012.

Sem entrar em demasiados tecnicismos, os Secure Socket Layers (SSL) são simplesmente uma troca de informação entre um servidor (website) e um cliente (utilizador), partilhando um código único. Após uma correcta identificação do cliente, já através de um canal seguro, estes passam a encetar um diálogo encriptado.

O Heartbleed permite, a quem o saiba aproveitar, ver uma pequena janela deste diálogo sem qualquer tipo de encriptação. Dentro desta janela poderá, ou não, haver informação sensível, tais como passwords e dados identificativos.

Numa altura de grande debate acerca da vigilância electrónica invasiva por parte de governos, é irónico que um aparente descuido na escrita de um programa de segurança tenha posto em questão a segurança de tantas plataformas durante um período tão longo. Também irónico é a questão da deepweb: a rede de websites de uso inteiramente anónimo, assim como o mais popular browser usado para o seu acesso, operava também com o software OpenSSL.

Nestas plataformas não há apenas a questão de privacidade em causa, uma vez que a anonimato, que se pensava assegurada, era aproveitada para todo o tipo de trocas ilícitas: armas, drogas ou serviços criminais.

Apesar de tudo, espera-se que a questão esteja completamente resolvida nos websites de acesso de massas em menos de uma semana e, na verdade, é pouco provável que agentes que visassem explorar esta fraqueza se tenham apercebido dela antes da população em geral.