Saiba quais senhas você precisa mudar agora ...

A esta altura, você provavelmente já topou com a imagem aí de cima rodando pela internet. Se ainda não sabe o que ela representa, trata-se de uma das maiores falhas de segurança já vistas na internet: graças a um problema com o protocolo de criptografia OpenSSL – um dos mais usados – é possível interceptar dados que circulam pela rede.

Nós já divulgamos uma matéria sobre o assunto (leia logo abaixo), informando inclusive quais serviços corriam perigo por usar o OpenSSL. Esta lista que reproduzimos abaixo, compilada pelo Mashable, é focada em produtos que mais afetam o público em geral, então se atente a ela e troque as senhas necessárias para não correr riscos.

PRECISA MUDAR

Facebook, Tumblr, Google, Yahoo, Gmail, Yahoo Mail, Amazon Web Services, GoDaddy, Dropbox, LastPass, OKCupid, SoundCloud, Wunderlist.

NÃO PRECISA MUDAR

LinkedIn, Amazon, Microsoft, AOL, Hotmail/Outlook, PayPal, Target, Evernote, Spark Networks (JDate, Christian Mingle.

TALVEZ

(Não está claro se estas empresas usam ou não o OpenSSL em seus servidores. Por segurança, recomendamos a troca de senhas aqui também, mas os serviços podem não ter sido afetados.)

Twitter, Apple, eBay, Netflix.

http://olhardigital.uol.com.br/noticia/41337/41337

---

Foi revelada na última segunda-feira uma falha grave no protocolo de criptografia OpenSSL, usado para encriptar boa parte da web. O bug, conhecido entre os especialistas como Heartbleed, permite a interceptação de dados entre usuários e serviços, possibilitando o roubo de informações sensíveis.

O OpenSSL permite o uso da encriptação SSL (Secure Sockets Layer), responsável por botar o “S” em “HTTPS”, que indica um site seguro, e o TLS (Transporte Security Layer). Essas ferramentas são amplamente usadas na rede e por muitos sites grandes, incluindo o Yahoo!.

O bug em questão possibilita recuperar dados armazenados no servidor em que estão guardados registros importantes, como nomes de usuário, senhas e, principalmente, informações bancárias como cartões de crédito. Uma pessoa com más intenções também pode copiar as chaves digitais do servidor para falsificar o site ou quebrar a criptografia de comunicações do passado e, potencialmente, do futuro também, segundo a CNET.

Com o bug, o cibercriminoso pode recuperar blocos de 64 KB do servidor. Estes blocos são basicamente aleatórios, então não há como prever exatamente o que ele irá receber. O problema é que mal-intencionado pode repetir o ataque várias vezes, aumentando a chance de encontrar dados sensíveis e prejudiciais a usuários e empresas.

A organização OpenSSL Project lançou uma atualização da biblioteca, que agora está na versão 1.0.1g. Assim, a falha no protocolo foi corrigida, mas é necessário que as empresas apliquem as correções. Outro possível problema é que os sites afetados não notifiquem seus usuários de possíveis vazamentos, evitando que eles tomem medidas preventivas.

Yahoo, Kickass.to, Flickr, Redtube, XDA-Developers, Steam Community, Slate.com, HideMyAss e DuckDuckGo e 500px são alguns do sites famosos reconhecidamente vulneráveis. A lista completa, embora já desatualizada, pode ser conferida aqui. Se você é usuário de algum deles, é recomendável trocar de senha o mais rápido possível.

http://olhardigital.uol.com.br/pro/noticia/41310/41310

http://www.cnet.com/news/heartbleed-bug-undoes-web-encryption-reveals-user-passwords/

Desculpe se essa pergunta for idiota. O contrabaixobr corre risco?   

o github.com contradiz a primeira notícia, ao expor:
"Testing google.com... not vulnerable.
Testing facebook.com... not vulnerable.
Testing youtube.com... not vulnerable."

boss, mesmo com aqueles servidores já atualizados, é preciso q os usuários deles troquem as devidas senhas?

pedrohenrique.astronauta escreveu:Desculpe se essa pergunta for idiota. O contrabaixobr corre risco?   

O servidor do contrabaixobr (Leia-se Forumeiros) não usa SSL para permitir logins seguros. A recomendação é usar o login via Facebook,

fheliojr escreveu:(...)
boss, mesmo com aqueles servidores já atualizados, é preciso q os usuários deles troquem as devidas senhas?

Independente de quaisquer riscos associados, a troca de senha deve ser um hábito regular.

Boss2K escreveu:O servidor do contrabaixobr (Leia-se Forumeiros) não usa SSL para permitir logins seguros. A recomendação é usar o login via Facebook, 

Eu utilizo o login comum

nas sábias palavras do povo em Battlestar Gallactica: "Frack!"

CARACA!
Falha gravíssima.

Ainda bem que a unica rede social que eu utilizo é o contabaixobr.

Fora isso apenas meu email, mais ninguem me manda nada hehe.

Eu vi uma matéria ontem na Band News onde dizia que esse problema já foi corrigido há quase 2 anos!

ClaudioBass escreveu:Eu vi uma matéria ontem na Band News onde dizia que esse problema já foi corrigido há quase 2 anos!

Leia aqui:

http://heartbleed.com/

Hj recebi um telefonema estranho de uma atendente que se identificou como do UOL e queria atualizar procedimento de segurança n internet.
Ela tinha meus dados como nome, endereço, email, e queria saber se eu realizava pagamento em debito automático da internet e em qual agencia... ai a conversa acabou pois lhe afirmei, depois dela insistir, que eu não forneceria tais dados.
Vai entender.
Alguém ouviu falar alguma coisa neste sentido?
Que eu tenho haver com a UOL? Não é meu provedor nem nada....

Achei até que pudesse ter alguma relação com o caso do tópico, mas parece que é rolo:
http://www.reclameaqui.com.br/4463090/uol/estranha-oferta-de-procedimento-de-seguranca/

Paulo Penna,

Por favor, dá uma lida nesse link aqui abaixo, OK?   

https://www.contrabaixobr.com/t28459-o-uso-do-botao-edit-todos-leiam

---

Heartbleed também afeta celulares e tablets

O bug batizado de Heartbleed, que chacoalhou a internet nesta semana por demonstrar que boa parte dos internautas passou dois anos vulnerável, também afeta quem usa a rede por dispositivos móveis.

De acordo com a Trend Micro, como as aplicações móveis precisam se conectar a servidores e serviços da web para completar funções – incluindo os apps de banco e lojas, que efetuam operações financeiras –, eles caem nos mesmos problemas de segurança.

Ao inspecionar alguns populares serviços da web que são utilizados em celulares e tablets, a Trend Micro digitalizou 390 mil aplicativos da Google Play e encontrou cerca de 1,3 mil app conectados a servidores vulneráveis. Dentre eles, 15 são de bancos, 39 de pagamentos e 10 de compras.

A empresa de segurança diz que não se pode fazer muita coisa para se proteger. "A recomendação, por ora, é deixar de lado as compras online e também as operações financeiras por um tempo, incluindo as atividades bancárias, até que os desenvolvedores de aplicativos liberem uma atualização que esteja livre dessa vulnerabilidade."

http://olhardigital.uol.com.br/noticia/heartbleed-tambem-afeta-celulares-e-tablets/41383

boss, o q vc acha deste artigo? sério ou sem respaldo?

http://adrenaline.uol.com.br/seguranca/noticias/21181/falha-de-seguranca-heartbleed-pode-nao-ser-tao-perigosa-quanto-imaginamos.html

http://time.com/#59390/heartbleed-internet-security-routers/

fheliojr escreveu:boss, o q vc acha deste artigo? sério ou sem respaldo?

http://adrenaline.uol.com.br/seguranca/noticias/21181/falha-de-seguranca-heartbleed-pode-nao-ser-tao-perigosa-quanto-imaginamos.html

E os caras da CloudFlare     ... pisando na bola feio ...

Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible

http://www.engadget.com/2014/04/11/heartbleed-openssl-cloudflare-challenge/

---

Aviso aos Navegantes:

According to several security experts, it is one of the most serious security flaws uncovered in many years.

“Heartbleed is like finding a faulty car part used in nearly every make and model, but you can’t recall the Internet and all the data you put out on it,” Jonathan Sander, vice president of research and technology for Stealthbits Technologies, a cybersecurity firm, told the Los Angeles Times.

http://time.com/55037/heartbleed-internet-security-encryption-risk/

Pode piorar ou estou equivocado?

xile escreveu:Pode piorar ou estou equivocado?

Levando em consideração que as ações efetivas pra conter o problema, não dependem de você ...

Só resta ficar atento às notícias, e adotar a troca de senhas, como um hábito bastante regular ...

Putz... Eu demoro uma eternidade pra estipular e decorar senhas novas... Isso quando não esqueço

^
O Boss2k ensinou um método bacana que eu ensino pra meus colegas de trampo. Criar uma metodologia ao invés de uma senha. Assim você alterna constantemente a senha e sempre se lembra dela pelo método utilizado.
Num exemplo prático, você colocaria as iniciais da rua de um endereço (R) que lhe é comum, depois a numeração de um imóvel (I) desse endereço, ficando algo como RRII. Depois acrescenta algumas letras  esparsas (L) ou iniciais (L) de algum nome que da mesma forma lhe é comum, ficando RRIILL. Se conhecer o aniversário (A), coloque também, ou então um número que lembre a pessoa, ficando RRIILLAA. Se tiver muitos serviços, coloque as iniciais do serviço (S), tipo GM pra Gmail, FB pra Facebook, ou mais letras caso tenha dificuldade, ficando RRIILLAASS. Tem gente que gosta de usar caracteres especiais, como pontos, vírgulas, acentos ou mesmo espaços (C) entre as letras ou antes e/ou depois gerando inúmeras combinações como essa CCRRIICCLLAASSCC. Se for muito metódico e quiser usar o método acrescentando um número pra identificar o login, talvez ajude, embora isso cause confusão com o passar do tempo. O método dele era diferente, mas a essência que peguei foi essa, que consiste em criar um método que seja fácil de assimilar e fácil de lembrar pra caso esqueça os caracteres da senha. Leva algum tempo pra assimilar, mas depois de decorado, fica fácil.

^É realmente um bom método! Pode parecer realmente difícil de assimilar, mais é só ligar aos exemplos corretos e fica fácil.

Vou passar a usa-lo daqui em diante. Valeu pela dica.

Agradeça ao Boss, gostei muito do sistema.   

Parece que uma tal de "NSA" queria nos espionar... Me senti vulnerável agora

http://tecnologia.br.msn.com/internet/a-nsa-usou-o-heartbleed-para-espionar-pessoas-durante-anos

Tudo especulação. A NSA faz o que faz, com ou sem o Heartbleed. Na verdade, nunca saberemos ... e, o que adianta saber?

Xeretas

xile escreveu:Parece que uma tal de "NSA" queria nos espionar... Me senti vulnerável agora

http://tecnologia.br.msn.com/internet/a-nsa-usou-o-heartbleed-para-espionar-pessoas-durante-anos

Eu já penso que tudo o que foi feito na internet por todos esses anos foi e é auditado por órgãos "competentes". Tem até notícia recente de uma nova unidade de armazenamento (um formato novo de disco HDD) cujo financiamento foi fomentado pelo Google e pela Nasa. Com ele seria possível armazenar todas as informações possíveis (processadas/armazenadas/postadas/etc. e tal) em todo mundo e com muito espaço de folga.

Heartbleed is causing heartache on hundreds of servers all over the internet, but security researchers have also warned that the bug could allow direct hacks of Android, too. Here's how to check if your device is at risk.

While researchers at security firm Symantec happily report that the major browsers don't rely on the OpenSSL cryptographic library to implement HTTPS—so are unaffected by Heartbleed—the same isn't true of the Android OS. Ars Technica how your Google-powered device could be compromised:

The most likely scenario for an attacker exploiting a vulnerable Android device is to lure the user to a booby-trapped website that contains a cross-site request forgery or similar exploit that loads banking sites or other sensitive online services in a separate tab. By injecting malicious traffic into one tab, the attacker could possibly extract sensitive memory contents corresponding to the sites loaded in other tabs, he said. A less sophisticated version of the attack—but also one that's easier to execute—might simply inject the malicious commands into a vulnerable Android browser and opportunistically fish for any sensitive memory contents that may be returned.

With so many tweaked and forked version of Android out there, though, it's tough to provide a conclusive list of exactly which devices are affected. But good news: Heartbleed Detector, a free app developed by Lookout Mobile, will tell you if your device is at risk.

So, go download the app and run it. It will tell you if your device contains the vulnerable version of OpenSSL that Heartbleed affects. It will also tell you if the Heartbeat extension that hosts the coding bug is enabled. If you don't have the vulnerable version, or you do but but the extension isn't enabled, you should be just fine. Otherwise, you better hold tight and act carefully until your OS is patched.

http://gizmodo.com/how-to-check-if-your-android-device-could-be-hacked-via-1563330617

Canadá prende primeiro hacker a explorar a falha Heartbleed

Depois de uma semana da descoberta do Heartbleed, uma das falhas mais graves já registradas na web, o primeiro hacker a se aproveitar da falha já foi preso no Canadá. Stephen Arthuro Solis-Reyes, de 19 anos, foi acusado de utilizar o bug para ter acesso a dados pessoais de 900 cidadãos canadenses.

Preso na cidade de London, na província de Ontario, ele está sendo acusado de “uso não-autorizado de um computador” e “prejuízos em relação a dados”.

Solis-Reyes teria utilizado a falha Heartbleed para ter acesso ao banco de dados da Canada Revenue Agency, órgão federal que administra as leis de arrecadação de impostos e, portanto, tem acesso aos dados de muitos cidadãos.

Ele teria atacado os sistemas da CRA na sexta-feira, depois que a falha foi descoberta e exposta. Entretanto, a organização ainda não havia tido tempo para corrigir a falha em seus servidores, o que permitiu o acesso a pedaços de dados, que incluem informações financeiras dos canadenses.

Depois de descoberto o vazamento, o serviço foi fechado. O governo local promete alertar todos os canadenses que tiveram seus dados afetados pela brecha.

http://www.theverge.com/2014/4/16/5621506/the-first-heartbleed-hacker-has-been-arrested

off-topic: estou gostando destes tópicos. embora eu não saiba muito sobre informática, me interesso por entendê-la (mais q saber usar um sistema operacional, etc.), e assuntos como bitcoins (q tem relação com economia, q é algo me atrai, tb) e estas questões de segurança têm me instigado bastante a estudar isso (mas não com o objetivo de me profissionalizar)!!

Eu não mudei nada. Está tudo do mesmo jeito.

Mas ontem, ao tentar acessar o hotmail (atual outlook) aparece-me a seguinte mensagem:
"Parece que outra pessoa está usando sua conta. Para ajudar você a retornar ao *********@hotmail.com, nós precisamos verificar se é sua."

Até agora tentando não consegui nada. Tentei de tudo. Já desisti da minha conta e estou desvinculando meu e-mail de todos os contatos e sites.

A matéria diz que o Hotmail/Outlook não foi afetado e nem precisa mudar as senhas. Mas uso minha conta há anos e, coincidentemente, só agora veio a dar este piripaque? Estranho.

Moshe Bar Elohim escreveu:(...) Mas ontem, ao tentar acessar o hotmail (atual outlook) aparece-me a seguinte mensagem:

Você acessou sua conta pelo celular?

Tentou a recuperação por aqui?

https://account.live.com/ResetPassword.aspx?wreply=https://login.live.com/login.srf%3fwa%3dwsignin1.0%26rpsnv%3d12%26ct%3d1398357051%26rver%3d6.1.6206.0%26wp%3dSAPI%26wreply%3dhttps:%252F%252Faccount.live.com%252Fsummarypage.aspx%26id%3d38936%26uaid%3df7eb9cf662d244539692f2a9417402ae%26vv%3d1550%26mkt%3dEN-US%26lc%3d1033&id=38936&uiflavor=web&uaid=f7eb9cf662d244539692f2a9417402ae&mkt=EN-US&lc=1033&bk=1398357052

---

Gigantes de tech doarão milhões para combater bug Heartbleed

Grandes empresas de tecnologia resolveram se unir para combater a falha Heartbleed, que compromete boa parte dos serviços da internet.

Amazon, Cisco, Facebook, Google, IBM, Intel e Microsoft são algumas das envolvidas com a recuperação e cada uma doará US$ 300 mil.

Segundo a Reuters, a iniciativa foi anunciada pela Linux Foundation e arrecadará milhões de dólares.

A ideia é dar suporte a desenvolvedores de softwares de código aberto envolvidos com partes críticas da infraestrutura tecnológica do mundo.

Boss2K escreveu:

Moshe Bar Elohim escreveu:(...) Mas ontem, ao tentar acessar o hotmail (atual outlook) aparece-me a seguinte mensagem:

Você acessou sua conta pelo celular?

Tentou a recuperação por aqui?

https://account.live.com/ResetPassword.aspx?wreply=https://server16.kproxy.com/servlet/redirect.srv/sruj/shhzdcy/s61jxpmap/p2/servlet/redirect.srv/sruj/shhzdcy/s1iwolzo/p2/servlet/redirect.srv/sruj/shhzdcy/s1iwolzo/p2/servlet/redirect.srv/sruj/shhzdcy/s1iwolzo/p2/servlet/redirect.srv/sruj/snftx/sbxwfd/p2/login.srf%3fwa%3dwsignin1.0%26rpsnv%3d12%26ct%3d1398357051%26rver%3d6.1.6206.0%26wp%3dSAPI%26wreply%3dhttps:%252F%252Faccount.live.com%252Fsummarypage.aspx%26id%3d38936%26uaid%3df7eb9cf662d244539692f2a9417402ae%26vv%3d1550%26mkt%3dEN-US%26lc%3d1033&id=38936&uiflavor=web&uaid=f7eb9cf662d244539692f2a9417402ae&mkt=EN-US&lc=1033&bk=1398357052

Já tentei.

Vai para outra que pedem entre tantas coisas dados do cartão de crédito (que não possuo) etc. Já era perdi.

Ou alguém invadiou (tentou) ou eles (microsoft) acharam alguma atitude suspeita no uso do meu e-mail.
Já usei várias vezes pelo celular, mas ultimamente estava usando apenas pelo pc.

Ja havia tentado esta página antes em português. Em inglês foi a mesma coisa.

Ultimamente havia cadastrado esse e-mail para receber avisos de interessados de anúncios do OLX e do BomNegócio mas de maneira oculta, sem o interessado saber o e-mail. Como o usava esporadicamente e devido aos anúncios, começaram a aparecer e-mails de interessados eles acharam incomum o uso. Só pode ser isto.

Obrigado pela ajuda Boss. Já redirecionei tudo para outro estadunidense esquecido. Lembra da Améria On Line? Ainda existe. E ainda por cima ".com.br" (Y)

Brasil tem 350 sites vulneráveis à falha Heartbleed, diz pesquisa

A internet ainda não se livrou dos males causados pela vulnerabilidade Heartbleed - que há duas semanas expõe os dados de usuários no mundo todo. Segundo estudo da empresa de segurança Trend Micro, 3 mil sites ainda estão vulneráveis à falha - que comprometeu 2/3 da web - dos quais 350 são brasileiros. Não há, porém, a lista com os nomes das páginas a serem evitadas.

O ranking divulgado hoje coloca o Brasil no terceiro lugar entre os mais problemáticos, atrás de Rússia e China. A pesquisa leva em consideração apenas os endereços que rodam sob o protocolo atacado: o OpenSSL, de código aberto. Proporcionalmente, 11% estão ameaçados.

Apesar do alerta, o pior já passou. Desde que o bug foi reportado, uma nova versão do OpenSSL foi lançada para corrigir os problemas e boa parte da indústria se apressou em se atualizar para sanar a falha o mais rápido possível. Já os usuários foram orientados a trocar suas senhas, para evitar possíveis complicações.

Confira a tabela dos países mais vulneráveis:



Combate

A indústria de tecnologia se uniu para minimizar os estragos causados pela Heartbleed. Amazon, Cisco, Facebook, Google, IBM, Intel e Microsoft são algumas das envolvidas com a recuperação dos serviços de internet afetados: cada uma doará US$ 300 mil.

Segundo a Reuters, a iniciativa foi anunciada esta semana pela Linux Foundation e arrecadará milhões de dólares. A ideia é dar suporte a desenvolvedores de softwares de código aberto envolvidos com partes críticas da infraestrutura tecnológica do mundo.

http://olhardigital.uol.com.br/noticia/brasil-tem-350-sites-vulneraveis-a-falha-heartbleed-diz-pesquisa/41648