Heartbleed completa dez anos sob a sombra do perigo futuro

Da Redação
03/04/2024

Uma das maiores vulnerabilidades da história da rede mundial de computadores, o Heartbleed (sangramento no coração, em tradução livre), completou dez anos em 1º de abril. Especialistas em segurança cibernética têm feito questão de lembrar alegando que se não for feito nada agora, o problema acontecerá novamente. Eles dizem que o problema futuro é que a descriptografia quântica tornará todos os certificados e tudo o mais que usa criptografia RSA vulneráveis, assim como aconteceu há dez anos.

O bug Heartbleed no OpenSSL foi descoberto pela Codenomicon e pelo Google em março de 2014. O Google relatou isso ao OpenSSL em 1º de abril de 2014. O OpenSSL aparentemente desejava adiar a divulgação completa para dar tempo para que as correções fossem desenvolvidas, mas com duas equipes de pesquisa separadas tendo descoberto a falha, não foi possível esconder o problema.

O problema foi um pequeno erro na implementação OpenSSL dos protocolos TLS/DTLS nas versões 1.0.1 a 1.0.1f, mas o efeito foi enorme. Atacantes remotos puderam roubar chaves secretas, nomes de usuário e senhas, comunicações e documentos do certificado X.509.  O problema básico era que o Heartbleed tornava a maioria dos certificados vulneráveis. O problema futuro, ressaltam agora os especialistas, é que a descriptografia quântica tornará todos os certificados e tudo o mais que usa criptografia RSA vulneráveis a todos. Isto vai acontecer. A única questão, segundo eles, é  saber quando?

Durante uma apresentação em março, na Intelligence and National Security Alliance (INSA), organização sem fins lucrativos que reúne profissionais dos setores público e privado da comunidade de inteligência dos Estados Unidos, Gil Herrera, diretor de pesquisa da Agência de Segurança Nacional (NSA), descreveu a chegada da computação quântica e sua capacidade de descriptografia como catastrófica. “Se esse evento do cisne negro acontecer, então estamos realmente ferrados”. Ele demonstrou preocupação com a possibilidade de a economia mundial, em especial a economia dos EUA, sofrer uma ruptura, uma vez que a maioria das transacções financeiras mundiais são garantidas pela criptografia RSA.

Especialistas dizem que é importante observar a diferença entre a descriptografia RSA quântica e o cracking RSA não quântico. Segundo eles, este último poderia, tecnicamente, já ter ocorrido. As agências nacionais de inteligência poderiam ter conseguido isso, mas manteriam isso em segredo e apenas para seu próprio uso. Alcançar a computação quântica completa seria algo grande demais para ser escondido. O conhecimento escaparia, afirmam alguns, sob a condição de anonimato.

Veja isso
Heartbleed. Veja como é o problema e teste sua conexão
Heartbleed: entenda com os quadrinhos

A computação quântica em nuvem já existe em escala limitada, dizem eles. Isto se expandiria até que todos, tanto agências de inteligência quanto criminosos, tivessem acesso e fossem capazes de descriptografar certificados. Este é o raciocínio fundamental por trás do esforço do Instituto Nacional de Padrões e Tecnologia (NIST), ligado ao Departamento de Comércio dos EUA, para produzir algoritmos de criptografia de prova quântica para substituir o RSA – para transformar o “evento do cisne negro” em um “evento do cisne branco”.

O problema é que o desenvolvimento desses algoritmos e a transição do comércio para seu uso levarão tempo e não se sabe em quanto tempo estará disponível. As previsões dos especialistas para a chegada de computadores quânticos com capacidade de descriptografia RSA (dia Q) variam entre cinco e vinte anos. Com agências de notícias internacionais.

Compartilhar: