{"id":477441,"date":"2023-08-09T09:15:09","date_gmt":"2023-08-09T09:15:09","guid":{"rendered":""},"modified":"2023-09-05T11:14:42","modified_gmt":"2023-09-05T11:14:42","slug":"heartbleed","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/pt\/wiki\/heartbleed\/","title":{"rendered":"Sangramento card\u00edaco"},"content":{"rendered":"<p>Heartbleed \u00e9 uma vulnerabilidade cr\u00edtica encontrada na biblioteca de software criptogr\u00e1fico OpenSSL, permitindo o roubo de informa\u00e7\u00f5es protegidas pela criptografia SSL\/TLS usada para proteger a Internet.<\/p>\n<h2>Uma Vis\u00e3o Geral Hist\u00f3rica: Desvendando Heartbleed<\/h2>\n<p>Heartbleed foi divulgado publicamente pela primeira vez em abril de 2014, descoberto de forma independente por engenheiros de seguran\u00e7a da Codenomicon e do Google. \u00c9 um bug de seguran\u00e7a na biblioteca de criptografia OpenSSL, uma das bibliotecas mais populares para prote\u00e7\u00e3o criptogr\u00e1fica na Internet. Recebeu esse nome porque foi encontrado na parte \u201cheartbeat\u201d da biblioteca OpenSSL, que \u00e9 um sistema usado para manter conex\u00f5es ativas mesmo quando os dados n\u00e3o est\u00e3o sendo compartilhados.<\/p>\n<h2>Expandindo o Heartbleed: uma an\u00e1lise mais aprofundada<\/h2>\n<p>Heartbleed impacta especificamente a extens\u00e3o \u201cheartbeat\u201d do OpenSSL. Este \u00e9 um recurso opcional na implementa\u00e7\u00e3o OpenSSL do protocolo Transport Layer Security (TLS), que \u00e9 usado para manter uma conex\u00e3o segura entre um cliente e um servidor.<\/p>\n<p>A vulnerabilidade existe na forma como a solicita\u00e7\u00e3o de pulsa\u00e7\u00e3o \u00e9 processada. Ao enviar uma solicita\u00e7\u00e3o de pulsa\u00e7\u00e3o criada com c\u00f3digos maliciosos, um invasor pode enganar um servidor ou cliente para que ele envie de volta uma grande quantidade de dados armazenados em sua mem\u00f3ria, muito al\u00e9m do escopo pretendido da pulsa\u00e7\u00e3o.<\/p>\n<h2>Mecanismo interno: como funciona o Heartbleed<\/h2>\n<p>O mecanismo de pulsa\u00e7\u00e3o no OpenSSL funciona enviando uma solicita\u00e7\u00e3o ao servidor (uma solicita\u00e7\u00e3o de \u201cpulsa\u00e7\u00e3o\u201d) com uma carga \u00fatil e um comprimento de carga \u00fatil. O servidor ent\u00e3o repete a carga para confirmar se ainda est\u00e1 online e ouvindo.<\/p>\n<p>No entanto, o bug Heartbleed surge porque o OpenSSL n\u00e3o verifica se o comprimento da carga enviada na solicita\u00e7\u00e3o corresponde \u00e0 carga real. Um invasor pode enviar uma solicita\u00e7\u00e3o de pulsa\u00e7\u00e3o com uma carga pequena, mas informar ao servidor que enviou uma carga muito maior, enganando o servidor e fazendo-o enviar de volta at\u00e9 64 kilobytes de sua mem\u00f3ria. Essa mem\u00f3ria pode conter qualquer coisa, desde nomes de usu\u00e1rios e senhas at\u00e9 chaves usadas para criptografia SSL.<\/p>\n<h2>Principais recursos do Heartbleed<\/h2>\n<ul>\n<li><strong>Vazamento de informa\u00e7\u00f5es:<\/strong> O Heartbleed pode expor uma quantidade substancial de dados da mem\u00f3ria do servidor, incluindo informa\u00e7\u00f5es confidenciais como chaves privadas, nomes de usu\u00e1rio e senhas.<\/li>\n<li><strong>Indetectabilidade:<\/strong> A explora\u00e7\u00e3o do bug Heartbleed n\u00e3o deixa rastros, dificultando a detec\u00e7\u00e3o e determina\u00e7\u00e3o se um sistema foi comprometido.<\/li>\n<li><strong>Amplo impacto:<\/strong> Dado o uso generalizado do OpenSSL, o alcance potencial da vulnerabilidade Heartbleed era enorme, afetando uma parte significativa dos servidores web na Internet.<\/li>\n<\/ul>\n<h2>Tipos de ataques Heartbleed<\/h2>\n<p>A vulnerabilidade Heartbleed pode se manifestar de v\u00e1rias maneiras, principalmente com base no tipo de constru\u00e7\u00e3o OpenSSL usada e nas fun\u00e7\u00f5es das entidades envolvidas.<\/p>\n<table>\n<thead>\n<tr>\n<th>Tipo de ataque<\/th>\n<th>Descri\u00e7\u00e3o<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Heartbleed do lado do servidor<\/td>\n<td>Um invasor envia solicita\u00e7\u00f5es maliciosas de pulsa\u00e7\u00e3o ao servidor, induzindo-o a responder com mais dados do que deveria.<\/td>\n<\/tr>\n<tr>\n<td>Heartbleed do lado do cliente<\/td>\n<td>Um invasor engana um cliente para que ele se conecte a um servidor malicioso, explorando a vulnerabilidade Heartbleed na biblioteca OpenSSL do cliente.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Lidando com Heartbleed: Problemas e Solu\u00e7\u00f5es<\/h2>\n<p>A explora\u00e7\u00e3o do Heartbleed apresenta graves problemas de seguran\u00e7a. Pode revelar informa\u00e7\u00f5es confidenciais, comprometer chaves criptogr\u00e1ficas e muito mais. No entanto, v\u00e1rias solu\u00e7\u00f5es foram implementadas:<\/p>\n<ul>\n<li><strong>Remendando:<\/strong> Atualizar o OpenSSL para uma vers\u00e3o que n\u00e3o cont\u00e9m a vulnerabilidade Heartbleed (OpenSSL 1.0.1g e posterior) \u00e9 a solu\u00e7\u00e3o mais direta.<\/li>\n<li><strong>Rota\u00e7\u00e3o de teclas:<\/strong> Ap\u00f3s a aplica\u00e7\u00e3o do patch, \u00e9 essencial alterar todas as chaves e certificados que possam ter sido revelados.<\/li>\n<li><strong>Altera\u00e7\u00f5es de senha:<\/strong> Os usu\u00e1rios devem alterar suas senhas depois que um servi\u00e7o vulner\u00e1vel corrigir seus servidores.<\/li>\n<\/ul>\n<h2>Compara\u00e7\u00f5es com vulnerabilidades semelhantes<\/h2>\n<p>Embora Heartbleed seja uma vulnerabilidade \u00fanica, houve outras que tamb\u00e9m afetaram a seguran\u00e7a da Internet, como Shellshock e POODLE. Essas vulnerabilidades variaram em termos de software afetado, impacto e capacidade de explora\u00e7\u00e3o.<\/p>\n<h2>Perspectivas e Tecnologias Futuras<\/h2>\n<p>Heartbleed influenciou o desenvolvimento de melhores protocolos e pr\u00e1ticas de seguran\u00e7a, levando a mecanismos aprimorados para encontrar e corrigir tais vulnerabilidades. O incidente destacou a import\u00e2ncia de auditorias de seguran\u00e7a regulares, testes automatizados e a necessidade de corre\u00e7\u00f5es e atualiza\u00e7\u00f5es imediatas.<\/p>\n<h2>Servidores proxy e Heartbleed<\/h2>\n<p>Um servidor proxy atua como intermedi\u00e1rio para solicita\u00e7\u00f5es de clientes que buscam recursos de outros servidores. Se o servidor proxy usar OpenSSL, ele poder\u00e1 ficar vulner\u00e1vel ao Heartbleed, potencialmente vazando informa\u00e7\u00f5es confidenciais do cliente e do servidor.<\/p>\n<p>No entanto, usar um servidor proxy seguro e atualizado tamb\u00e9m pode fazer parte de uma estrat\u00e9gia de prote\u00e7\u00e3o contra o Heartbleed. Ao garantir que todo o tr\u00e1fego seja direcionado atrav\u00e9s de um proxy seguro, as empresas podem adicionar uma camada adicional de prote\u00e7\u00e3o \u00e0 sua rede interna.<\/p>\n<h2>Links Relacionados<\/h2>\n<p>Para obter informa\u00e7\u00f5es mais detalhadas sobre Heartbleed, voc\u00ea pode verificar os seguintes recursos:<\/p>\n<ul>\n<li><a href=\"http:\/\/heartbleed.com\/\" target=\"_new\" rel=\"noopener nofollow\">Site oficial do Heartbleed<\/a><\/li>\n<li><a href=\"https:\/\/www.openssl.org\/\" target=\"_new\" rel=\"noopener nofollow\">Projeto OpenSSL<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-0160\" target=\"_new\" rel=\"noopener nofollow\">Banco de dados nacional de vulnerabilidades<\/a><\/li>\n<li><a href=\"https:\/\/xkcd.com\/1354\/\" target=\"_new\" rel=\"noopener nofollow\">Explica\u00e7\u00e3o do Heartbleed por xkcd<\/a><\/li>\n<li><a href=\"https:\/\/tools.ietf.org\/html\/rfc6520\" target=\"_new\" rel=\"noopener nofollow\">RFC 6520: Extens\u00e3o de pulsa\u00e7\u00e3o do Transport Layer Security (TLS) e do Datagram Transport Layer Security (DTLS)<\/a><\/li>\n<\/ul>","protected":false},"featured_media":468533,"menu_order":0,"template":"","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"footnotes":""},"class_list":["post-477441","wiki","type-wiki","status-publish","has-post-thumbnail","hentry"],"acf":{"faq_title":"Frequently Asked Questions about <mark>Heartbleed: A Comprehensive Guide<\/mark>","faq_items":[{"question":"What is Heartbleed?","answer":"<p>Heartbleed is a significant vulnerability in the OpenSSL cryptographic software library that allows an attacker to steal information that's normally protected by SSL\/TLS encryption, which is used to secure the Internet.<\/p>"},{"question":"When was Heartbleed first discovered?","answer":"<p>Heartbleed was first publicly disclosed in April 2014, discovered independently by security engineers at Codenomicon and Google.<\/p>"},{"question":"How does the Heartbleed bug work?","answer":"<p>Heartbleed exploits a flaw in the \"heartbeat\" feature of OpenSSL. An attacker sends a malformed heartbeat request to a server, indicating a large payload size but only sending a small one. Since OpenSSL doesn't verify that the payload size matches the actual payload, the server ends up sending back up to 64 kilobytes of its memory.<\/p>"},{"question":"What types of attacks can occur due to Heartbleed?","answer":"<p>Heartbleed vulnerability can manifest in server-side and client-side attacks. In a server-side attack, an attacker sends malicious heartbeat requests to the server, while in a client-side attack, an attacker tricks a client into connecting to a malicious server, exploiting the Heartbleed vulnerability in the client's OpenSSL library.<\/p>"},{"question":"What steps can be taken to address the Heartbleed vulnerability?","answer":"<p>The primary steps to address the Heartbleed vulnerability involve patching the OpenSSL software to a version that doesn't contain the Heartbleed vulnerability, rotating all keys and certificates that could have been revealed, and changing user passwords after a vulnerable service has patched their servers.<\/p>"},{"question":"How does Heartbleed relate to proxy servers?","answer":"<p>If a proxy server uses OpenSSL, it could be vulnerable to Heartbleed, which can potentially leak sensitive client and server information. However, by directing all traffic through a secure, updated proxy server, it can add an additional layer of protection against Heartbleed.<\/p>"},{"question":"What impact has Heartbleed had on future technologies and security protocols?","answer":"<p>Heartbleed has prompted the development of improved security protocols and practices. It has highlighted the need for regular security audits, automated testing, and timely patching and updates.<\/p>"},{"question":"Where can I find more detailed information about Heartbleed?","answer":"<p>More detailed information on Heartbleed can be found on the official Heartbleed website, OpenSSL Project site, the National Vulnerability Database, and through other resources such as an explanation comic by xkcd and the official RFC document on the TLS and DTLS Heartbeat Extension.<\/p>"}]},"_links":{"self":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/wiki\/477441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/wiki"}],"about":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/types\/wiki"}],"version-history":[{"count":0,"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/wiki\/477441\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/media\/468533"}],"wp:attachment":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/media?parent=477441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}