O que é o Heartbleed? Existe uma vulnerabilidade devastadora que foi descoberta recentemente em uma implementação do protocolo SSL/TLS da OpenSSL chamada de heartbleed . O protocolo
SSL/TLS é um método de criptografia utilizado para proteger dados em transações da web; um site que possuí suas transações entre cliente­servidor criptografadas por esse protocolo tem um “s” adicionado ao “http”, que significa que a conexão está sendo criptografada.
Quando você acessa um site através do protocolo “https”, isso quer dizer que todos os dados trocados entre você e o servidor do website devem estar seguros e protegidos dos olhos de pessoas que queiram checar seu tráfego na rede. No entanto, na versão 1.0.1 e nas fases beta da versão 1.0.2 do OpenSSL, existe uma falha simples, mas muito perigosa, que permite que quem a explore possa obter todos os seus dados confidenciais sem muita dificuldade. Embora o OpenSSL seja apenas uma das implementações do protocolo SSL/TLS, o grande problema é que a implementação do OpenSSL é a mais largamente utilizada por toda a internet. Especificamente, o bug do heartbleed é uma falha em uma das extensões do
OpenSSL, chamada de heartbeat. O que o heartbeat basicamente permite fazer, é deixar uma sessão do protocolo TLS executando mesmo que nenhum dado esteja sendo transmitido, através do simples envio de uma mensagem chamada de hearbeat request
. Isso é algo bom, pois um usuário não está o tempo todo transmitindo dados, e ter que reestabelecer uma sessão TLS toda vez que os dados começam a ser transmitidos novamente seria algo desgastante, e isso também serve para que o servidor saiba se o cliente está conectado ou não. Só que, quando o heartbeat request não é devidamente verificado, o servidor fica extremamente vulnerável, e a essa vulnerabilidade se deu o nome de heartbleed . A vulnerabilidade Então, basicamente, quando o cliente envia um heartbeat request, dentro da mensagem contida nele haverá