Heartbleed Bug: é melhor começar a mudar as suas passwords

@JayBe / Flickr

-

Várias empresas de tecnologia estão a pedir que os utilizadores troquem as suas palavras-passe, após a descoberta de um grave problema de segurança.

A plataforma de blogs Tumblr divulgou a advertência: “mudem as vossas passwords em todo o lado – especialmente em serviços de alta segurança, como e-mail, senhas de banco e serviços de armazenamento”. Especialistas na área de segurança também têm oferecido avisos semelhantes sobre o vírus conhecido como Heartbleed bug.

A recomendação está a ser difundida após as notícias de que o OpenSSL, produto usado para garantir a segurança de dados, teria sido usado para permitir espionagem.

O OpenSSL é um popular acervo de criptografia usado para criptografar informações sensíveis passadas de um computador para outro, de modo que só o provedor de serviço e os recipientes possam interpretar as informações passadas.

Se uma organização emprega o OpenSSL, os utilizadores veem um ícone de cadeado no seu navegador – embora isso também possa ser usado por produtos rivais.

Segredos copiados

O Google e a Codenomicon – empresa de segurança finlandesa – revelaram na segunda-feira que uma falha existente no software há mais de dois anos poderia ser usada para expor as chaves secretas que identificam prestadores de serviços que empregam o OpenSSL.

Segundo eles, se os hackers fizeram cópias dessas chaves, eles poderão roubar os nomes e passwords de pessoas que utilizam os serviços, tirar cópias dos seus dados e configurar sites falsos parecidos com os legítimos, usando as credenciais roubadas.

“Se as pessoas acederam a um serviço durante a janela de vulnerabilidade, existe uma hipótese de que a senha já tenha sido recolhida”, disse o diretor de tecnologia da Codenomicon, Ari Takanen. “Nesse caso, é uma boa ideia alterar as palavras-passe em todos os portais atualizados.”

Atualizar passwords

A BBC apurou que o Google alertou um número estrito de organizações sobre o problema antes de torná-lo público, para que as empresas pudessem atualizar seus equipamentos com uma nova versão do OpenSSL disponibilizado no início da semana.

No entanto, a Yahoo aparentemente não foi incluído nesta lista e o site de tecnologia Cnet informou que algumas pessoas foram capazes de obter nomes de utilizadores e palavras-passe antes que a empresa pudesse fazer a correção.

A NCC Group, uma empresa de segurança cibernética, descreveu a situação como “grave”. “Alguém com um nível moderado de habilidades técnicas e que execute seus próprios scripts – a geração Raspberry Pi – provavelmente seria capaz de lançar ataques com sucesso e obter informações confidenciais. Seria um passo prudente para o público atualizar suas senhas“, disse o diretor associado da empresa Ollie Whitehouse à BBC.

Várias empresas de segurança e desenvolvedores independentes publicaram testes online para ajudar o público a descobrir se os serviços ainda estão expostos. No entanto, não há nenhuma maneira simples de descobrir se eles estiveram vulneráveis antes.

“Sem pressa”

Um investigador do Laboratório de Informática da Universidade de Cambridge disse que seria exagerado dizer que todos deveriam parar com tudo para substituir suas senhas, mas que os interessados deveriam agir.

“Eu acho que há um risco baixo a médio de que qualquer palavra-passe tenha sido comprometida”, disse Steven Murdoch.

“Não é igual às violações anteriores, onde foi confirmado que listas de senhas foram publicadas na Internet. Não é tão urgente assim. Mas a mudança de senhas é muito fácil. Portanto, não é uma má ideia, mas não é algo que as pessoas tenham que fazer a correr a não ser que o seu serviço os recomende a fazê-lo.”

Dicas para passwords

Um dos especialistas que acreditam que todos os utilizadores devem modificar seus detalhes de login é o professor da Universidade de Surrey, Alan Woodward.

Ao trocar de palavra-chave não se deve escolher nenhuma que ofereça quaisquer ligações com a pessoa, uma vez que hackers poderiam recorrer às mídias sociais para obter dados do utilizador. Woodward desaconselha, por exemplo, que os utilizadores escolham como password o nome de seu animal de estimação.

Prefira, por exemplo, palavras que não estejam nos dicionários. Os hackers conseguem fazer combinações usando formas criptografadas de todo um dicionário e podem, facilmente, acertar qual é a sua chave.

A recomendação é usar caracteres de múltiplos tipos. Se optar por palavras ou frases fáceis de lembrar, acrescente diferentes caracteres, como [email protected]@[email protected]

Mantenha palavras-passe diferentes para diferentes sites e sistemas. Assim, se os hackers desvendarem uma das suas chaves, as outras estarão mais protegidas.

ZAP / BBC

PARTILHAR

RESPONDER

Adesão ao IVAucher quase duplicou no último mês - mas restauração quer mais medidas

No último mês, quase duplicou o número de contribuintes que se inscreveu no programa que permitirá rebater os descontos acumulados no âmbito da iniciativa IVAucher. De acordo com o Jornal de Notícias, a 23 de agosto, …

Tribunal Europeu dos Direitos Humanos culpa Rússia pelo assassinato de Alexander Litvinenko

Decisão remonta ao incidente de novembro de 2006, que ocorreu num hotel londrino, seis anos após o dissidente político se ter mudado para o Reino Unido, precisamente para fugir às ameaças do regime de Vladimir …

"Tratam-nos assim por causa da cor da nossa pele". Polícias nos EUA filmados a chicotear migrantes

Fotos e vídeos mostram polícias na fronteira a carregar contra migrantes e a usar objectos semelhantes a chicotes. A Casa Branca já condenou a situação e promete que vai investigar o sucedido. Pareciam imagens do tempo …

Benfica: a principal ameaça na Liga dos Campeões será Darwin

Pelo menos é a visão catalã. Benfica é o próximo adversário do Barcelona. Mais um jogo, mais uma vitória. O Benfica só sabe ganhar no campeonato português, para já, e na noite passada venceu em casa …

Estado vai financiar formação de funcionários públicos em universidades e politécnicos

Verbas destinadas ao projeto provêm do Orçamento do Estado e do Plano de Recuperação e Resiliência — cerca de 600 milhões. O Estado vai financiar, inteira ou parcialmente, as formações profissionais dos profissionais públicos, através do …

Sevilha rescinde com jogador por má forma física

O Sevilha anunciou a rescisão de contrato com o defesa-central Joris Gnagnon por falta de profissionalismo relativamente à sua forma física. De acordo com o jornal A Bola, o Sevilha rescindiu contrato com o defesa-central francês …

"O nosso Governo está pronto". Trudeau volta a ganhar as eleições - mas sem maioria absoluta

O líder do Partido Liberal do Canadá (LP) Justin Trudeau disse hoje, depois de ganhar as eleições gerais do país, que os eleitores canadianos escolheram "um plano progressivo" e que está pronto para formar um …

Travar margens nos combustíveis pode acabar por prejudicar os consumidores (e até fechar bombas)

A proposta de lei do Governo aprovada, na semana passada, para a limitação das margens das petrolíferas nos preços dos combustíveis pode acabar por travar a concorrência e até levar ao encerramento de bombas de …

"Nunca se pode tirar Messi" (mas há um gesto que pode explicar a sua substituição)

A substituição de Messi, e a forma como reagiu, no jogo entre o Paris Saint-Germain e o Lyon da Liga francesa, continua a dar que falar. E agora avança-se a possibilidade de o craque argentino …

Médicos querem que norma de isolamento tenha em conta a atual taxa de vacinação

Com o regresso às aulas, médicos de saúde pública defendem a revisão da norma referente ao isolamento de contactos de risco, para que esta tenha em consideração a elevada taxa de vacinação. O ano letivo arrancou …