HaywireMedia – Fotolia
No dia 8 de abril, o Centro de Respostas a Incidentes de Segurança (CERT.pt) e a Rede Nacional de CSIRT deu início a um processo de avaliação do impacto do Heartbleed em Portugal. O processo, que recorreu a ferramentas automáticas, «mas não intrusivas», já identificou mais mil números IP (números a que estão associados os endereços da Net) que estavam a ser usados por sistemas que têm famosa vulnerabilidade Heartbleed e que podem ficar comprometidos, se algum cibercriminoso tentar tirar partido da famosa falha do protocolo encriptação OpenSSL.
Tendo em conta que, em Portugal, são usados «milhões de números IP», a identificação de mil números vulneráveis poderá ser encarada como uma percentagem reduzida em termos quantitativos, mas Lino Santos, diretor do CERT.pt, recorda que estes números não chegam para apurar a real dimensão da ameaça: «Só apurando quais os sistemas que usaram estes números IP e qual a importância que estes sistemas têm se pode concluir qual o grau de perigosidade». A este fator junta-se outro: uma grande parte dos números IP é usada “de forma dinâmica”. O que significa que um mesmo número IP pode ser usado, de forma alternada, por mais de um site ou plataforma. E por isso, o total de sistemas com a vulnerabilidade do Heartbleed pode ser superior ao total de números IP que ostentaram a vulnerabilidade.
Nos tempos mais próximos, o CERT.pt, entidade pioneira na prevenção do cibercrime que tem como missão reagir às diferentes ameaças que pairam sobre a rede escolar nacional, deverá encaminhar os dados recolhidos através da análise de números IP para os membros da Rede Nacional de SCIRT, que agrega quase todos os operadores de telecomunicações e vários bancos e serviços de alojamento de sites. «Vamos encaminhar os dados para os operadores e serviços de alojamento de sites para que estas empresas possam tomar medidas que considerem adequadas ou avisem os clientes que estiverem vulneráveis», explica Lino Santos.
Apesar de não fornecer detalhes sobre os números IP vulneráveis, Lino Santos garante que «nada há de relevante em relação aos sites que dependem do Governo». O responsável do CERT.pt informa ainda que, até ao momento, a entidade especializada em cibersegurança não recebeu qualquer notificação, relatório ou queixa de empresas ou instituições portuguesas que receiem ter sido alvo de ataques que tiram partido da vulnerabilidade Heartbleed.
O CERT.pt aconselha os gestores de servidores, sites, plataformas e serviços online a usarem ferramentas que permitem confirmar a existência da vulnerabilidade que afeta o OpenSSL (entre as versões 1.0.1 e 1.0.1f). Caso seja detetada uma das versões antigas do OpenSSL, é recomendado o upgrade para uma versão mais recente. O CERT.pt aconselha ainda à substituição dos certificados digitais dos sistemas que usaram versões vulneráveis do OpenSSL.
Desde 2012, que têm sido usadas versões vulneráveis do OpenSSL. O OpenSSL é uma solução de encriptação que protege as comunicações estabelecidas entre os computadores de internautas e os servidores que operam na Web. A vulnerabilidade Heartbleed é especialmente gravosa por permitir que cibercriminosos acedam a dados confidenciais que se encontram na memória de servidores que suportam ou plataformas eletrónicas. A esta descrição, há que juntar mais uma característica: é possível explorar a vulnerabilidade Heartbleed sem deixar rasto.
