A notícia mais alarmante da semana no que se refere à internet foi a descoberta do Heartbleed, brecha de segurança que permite o roubo de senhas dos usuários em muitos sites da web e aplicativos móveis. A falha, que existe desde 2012 mas só foi descoberta na última terça-feira (08/04), permite que qualquer servidor que utilize OpenSSL (o método default de criptografia HTTPS utilizado por 66% da internet) envie senhas, logins, cookies de sessão e chaves privadas de certificados X.509 para um atacante externo.

Como os ataques não deixam registros nos logs dos servidores, não há como saber se a falha foi ativamente explorada. Mesmo assim, os riscos são enormes, dada a habilidade dos atacantes de revelar chaves, senhas e outras credenciais que podem ser utilizadas futuramente. Como o OpenSSL é amplamente usado, o bug afetou milhares de serviços online. A lista dos sites vulneráveis inclui desde serviços populares como Yahoo! e Flickr, até sites de empresas de segurança, como a Kaspersky.

Preocupados com o alcance do problema, reuniram-se, emergencialmente, por videoconferência, na tarde desta quinta-feira (10/04), os membros da Comissão de Resposta a Incidentes da Justiça Federal, que congrega servidores da área de segurança da informação do Conselho da Justiça Federal (CJF) e de cada um dos tribunais regionais federais. O objetivo foi tratar das recomendações que minimizem os riscos causados pela falha.

Como providências iniciais, a Comissão decidiu recomendar:

· a publicação nos sites dos TRFs e das Seções Judiciárias de informativos a respeito da vulnerabilidade, dizendo o quanto foram afetados e fazendo as devidas recomendações aos usuários dos serviços;

· a substituição imediata, em todos os servidores afetados, do software OpenSSL pela última versão publicada;

· a troca de todos os certificados HTTPS/TLS dos servidores afetados;

· a substituição do firmware dos appliances afetados, de acordo com as instruções de seus respectivos fabricantes; e

· a troca da senha de acesso de usuários de serviços oferecidos pela organização, tanto os internos, quanto os externos.

A necessidade da troca de senhas se justifica também porque, mesmo após as organizações instalarem novas versões do software afetado, as mesmas permanecem vulneráveis a ataques já que existe a possibilidade de atacantes já terem explorado a vulnerabilidade no passado para recuperar a chave privada do certificado digital dos servidores da organização, senhas de administração ou credenciais similares utilizadas para validar usuários a partes restritas dos sítios das organizações envolvidas, como por exemplo webmail ou aplicações administrativas.

Vale destacar, no entanto, que aplicações que utilizam certificados digitais - emitidos de acordo com as regras da ICP-Brasil, como método de autenticação dos usuários - não se incluem neste risco, já que os métodos envolvidos no processo de autenticação impossibilitam a passagem dos dados de autenticação do certificado digital para atacantes externos.

Dicas para uma senha segura:

§ Não utilize a mesma senha em todos os sites que você acessa.

§ Não utilize uma palavra que conste em dicionários.

§ Selecione senhas seguras que não possam ser adivinhadas com facilidade e que contenham no mínimo dez caracteres.

§ Pense em uma frase, música ou citação relevante para você e transforme-a em uma senha complexa, alterando a posição, as palavras e usando letras maiúsculas e minúsculas.

§ Utilize aleatoriamente letras maiúsculas, pontuação ou símbolos.

§ Insira números na sua senha, em qualquer posição.

§ Jamais forneça a sua senha para terceiros e nunca anote a sua senha.

Sua senha deve ser difícil de quebrar para uma máquina, mas não é necessário que seja difícil de lembrar. Uma senha como, por exemplo, "banANA27emflor" não é difícil de lembrar, mas é muito difícil de ser quebrada.

CONSELHO DA JUSTIÇA FEDERAL