Este ano, o bug Heartbleed deu muita dor de cabeça aos pesquisadores de segurança na internet, já que permitia a hackers minar os dados de usuários para obter informações sigilosas. O mesmo foi usado pela NSA (Agência de Segurança Nacional dos EUA) para espionagem. Agora, foi descoberta uma nova falha que ameaça a segurança de vários servidores na web. O Shellshock permite que os hackers rodem qualquer código uma vez que um programa é aberto. 

O que é o Shellshock?

O bug é uma falha na shell, um terminal de comando que permite ao computador se comunicar com o usuário interpretando texto. A shell onde a falha se encontra é a Bash, que é usada em diversos aparelhos da "internet das coisas" e em sistemas operacionais baseados no Unix, o que inclui o Mac OS X e Linux (até então, usuários Windows parecem estar seguros). Uma vez que o shell é aberto, é possível inserir um código malicioso na máquina, desde que ela esteja conectada a uma rede, e com isso, invasores podem tomar total controle do aparelho. CentOS, Debian e Redhat - variantes do Linux - já receberam atualizações de segurança, mas elas são soluções parciais. A Apple afirmou que a grande maioria dos computadores com OS X estão seguros, pois os usuários só ficam vulneráveis se alterarem configurações avançadas do Unix.

O especialista em segurança Robert Graham afirmou que o Shellshock é tão grande quanto o Heartbleed, e que em teste encontrou 3 mil servidores vulneráveis conectados à internet. Graham afirmou também que o teste foi interrompido no meio, então provavelmente há ainda mais, e que o bug é perigoso, pois, apesar de ter sido identificado agora, já existe há anos. 

O que os invasores podem fazer através da falha?

Basicamente qualquer coisa. Ativar um malware, abrir a câmera e deletar arquivos são apenas algumas das possibilidades. Se houverem aparelhos conectados através de internet das coisas - como fechaduras inteligentes - o invasor também poderia abri-las. Com um servidor a situação é mais complicada, porque é estimado que 60% dos servidores em web estejam vulneráveis ao Shellsock, e como sua função é servir, eles devem ler ordens enviadas pelos usuários. Se um hacker ordenar qualquer tipo de dado, é possível infectar o servidor. 

Devo me preocupar?

Ainda não. Computadores equipados de firewalls são protegidos de malware pois não aceitam ordens feitas por softwares não autorizados. Quem usa Mac ou Linux pode abrir o terminal e rodar o seguinte código para ter certeza de que está protegido:

env x='() { :;}; echo vulnerável' bash -c "echo isto é um teste"

Se o "vulnerável" aparecer antes de "isto é um teste", significa que seu sistema está vulnerável. Para se proteger, basta fazer atualizações de segurança em seu firewall e - no caso dos Linux - no sistema operacional. A situação é mais complicada quando se trata de servidores ou internet das coisas. No primeiro caso, há muitos já abandonados e ainda presentes na internet, e no segundo, há uma enorme quantidade de aparelhos e não há garantia de que os fabricantes irão lançar atualizações. 

Passados dois meses da descoberta do bug Heartbleed, mais da metade dos 600 mil servidores atingidos pelo erro no OpenSSL ainda estão vulneráveis, afirma o pesquisador de segurança Robert David Graham. Ele não está otimista com os números e acredita que em uma década ainda haverão servidores expostos.

Graham identificou que cerca de 318,239 servidores ainda não haviam sido corrigidos um mês depois da exposição. Desses, apenas 9,042 foram corrigidos desde então, identificando que 309,197 ainda não receberam a atualização necessária para protegê-los da falha. Os grandes sites atingidos pelo Heartbleed já foram corrigidos.

O Heartbleed é um bug perigoso, que permite ao atacante puxar dados de informação de qualquer servidor não protegido. Podem ocorrer exposições que vão desde senhas até cartões de créditos.

Reparar a falha "Heartbleed", descoberta na semana passada, poderá perturbar e tornar mais lento o funcionamento da internet, informaram nesta terça-feira (15) especialistas americanos em segurança informática.

A boa notícia é que a maioria dos grandes sites na internet vulneráveis à falha, que afeta certas versões de OpenSSL, um programa livre usado para se conseguir conexões seguras na internet, já atualizou seus sistemas.

O problema agora é que navegadores como Chrome, Firefox e Internet Explorer podem ser iniciados com a renovação necessária dos certificados de segurança, o que poderia gerar a emissão de mensagens de erro e tornar lento o acesso a certos sites, explicou à AFP Johannes Ullrich, do SANS Internet Storm Center.

A solução da falha passa pela obtenção de novos certificados de segurança. Mas isso requer que os navegadores atualizem sua lista de senhas, ou de certificados não seguros, que desencadeiam um alerta quando um internauta pretende acessar esses sites.

Normalmente, os navegadores conseguem atualizar dezenas de senhas por dia, mas por causa do "Heartbleed" a lista pode aumentar para milhares. Se as verificações durarem muito tempo, os navegadores simplesmente podem declarar os sites inválidos, ou emitir mensagens de erro.

Veo Zhang, especialista em segurança informática na Trend Micro, explicou que os smartphones também são potencialmente vulneráveis porque se conectam a servidores afetados pela falha e porque esta também pode prejudicar certos aplicativos.

"Encontramos 273 (aplicativos) no Google Play" que são vulneráveis, escreveu Zhang em seu blog.

A falha "Heartbleed" que atingiu o protocolo do OpenSSL, ao que tudo indica, foi provocada pelo desenvolvedor de software alemão Robin Seggelmann, e uma revisão posterior do servidor não conseguiu pegar o erro da codificação. Em entrevista ao jornal Sydney Morning Herald, Seggelmann afirma que em um dos novos recursos do servidor ele perdeu a validação de uma variável.

Algumas pessoas acusaram Seggelmann de adicionar intencionalmente a falha de segurança, acusação que ele nega, alegando que a razão dele  estar trabalhando no OpenSSL naquele dia era contribuir na correção de bugs e melhorias para o projeto. "Foi um erro de programação simples em um novo recurso, que, infelizmente, ocorreu em uma área de segurança relevante", disse ele. Mas Seggelmann reconhece que o erro levou a consequências "graves".

Entenda o caso - Nesta última segunda-feira (7), o mundo de TI fez um alerta não muito agradável: um aviso temporário de segurança de emergência do projeto OpenSSL. O bug aberto ficou conhecido como "Heartbleed" e funcionou como uma fonte que puxava partes da mamória de trabalho a partir de qualquer servidor que estivesse executando o software. Houve um patch de emergência, mas até que foi instalado, milhões de servidores ficaram expostos.

Descoberto pelo pesquisador do Google, Neel Mehta, o bug permite que um atacante consiga puxar, por exemplo, 64k aleatoriamente de memória de trabalho de um determinado servidor. Os pesquisadores estão comparando-o como uma pesca, em que não se sabe quais os dados que serão coletados, mas visto que é possível ser executada repetidas vezes, há o potencial de que dados precisosos sejam expostos.

Os usuários que precisarem utilizar o Gtalk, Google Hangouts ou Google Docs na tarde desta segunda-feira (17) enfrentarão problemas de conectividade. É que os serviços estão apresentando erros e, segundo a companhia, estão com os serviços interrompidos.

As mensagens de erro aparecem das mais diversas formas aos usuários. Alguns recebem a informação de que as mensagens não são devidamente entregues aos destinatários, enquanto outros não conseguem nem ao menos vizualizar a lista de contatos dos serviços. Em comunicado, a empresa afirmou que irá divulgar informações em breve.

O modo online de Grand Theft Auto V recebe nesta quinta-feira (19) o modo de captura à bandeira. A atualização chegará para os gamers gratuitamente e ainda irá corrigir alguns erros, como a falha no sistema que permite os jogadores a entrar na cidade nevada de North Yankton.

O modo rouba-bandeira é dividido em quatro modalidades. Na primeira delas, a “RAID”, os players precisam invadir o território inimigo, roubar um pacote e trazê-lo até sua base. Já na segunda, chamada de “HOLD”, é necessário roubar a maior quantidade de itens do time rival ou encontrados no mapa. Já na “GTA”, o jogador precisará levar para sua base carros com um tempo limitado. Por fim, em “CONTEND”, será necessário buscar um pacote que irá surgir no meio do mapa. 

Em fóruns, muitos usuários estão reclamando do HDMI do PlayStation 4. O problema foi primeiramente relatado pela resenha do produto no site especializado Kotaku. E para quem está com o problema, que se trata de uma falha de montagem, a página já apresentou uma solução simples.

Acontece que um dos pinos da entrada, que deveria estar preso à parte central do plug, foi acidentalmente dobrado para cima. Para solucionar o problema, basta que o usuário utilize um objeto como um clipe de papel para colocar o metal na posição correta. Alguns usuários podem precisar comprar um novo cabo HDMI, já que relatos apontam que o erro de conexão pode danificar os acessórios utilizados. Para verificar se o problema foi solucionado, basta ligar o console. 

Confira a solução:

"Por motivos de segurança, sua conta está temporariamente bloqueada." Essa foi a frase que milhares de pessoas receberam na noite desta segunda-feira (28), quando tentaram acessar sua conta do Facebook. Para o desbloqueio, a rede social solicita que envie um documento com foto, data de nascimento e nome.  Ao que tudo indica isso é mais um bug sofrido pela rede social. No Twitter, existem várias reclamações, basta clicar no Search Twitter e ver que o problema não foi só com você.

Até o momento, o Facebook não se pronunciou sobre o problema.

Uma falha está impedindo os usuários do Facebook de publicarem e curtirem posts na manhã desta segunda-feira (21). Quando uma das ações é feita, uma mensagem aparece na tela afirmando que ocorreu um erro. A empresa ainda não se posicionou sobre o assunto.