Por que a sua startup deve se preocupar com o Heartbleed

Apesar do foco do Startups Stars não ser técnico, recebi o convite da Talita para escrever sobre esse assunto que merece atenção especial dos startupeiros. Poucas vezes se viu um alvoroço tão grande na comunidade tech quanto desde a última segunda-feira, quando foi anunciada a descoberta de uma falha no OpenSSL, biblioteca que implementa os protocolos criptográficos SSL e TLS. Através da vulnerabilidade, batizada de Heartbleed, um atacante pode recuperar informações da memória de um servidor web e obter dados como senha, cartão de crédito e dados pessoais de usuários.

O SSL/TLS é a tecnologia que fornece a letra S de “Security” no HTTPS. O cadeado que aparece na barra de endereços atesta que a comunicação feita entre cliente e site é feita de maneira segura, privada e criptografada. É justamente essa informação que pode ser exposta pelo Heartbleed.

Se você ainda não está preocupado sobre como o Heartbleed pode afetar sua startup, pense duas vezes. Listamos algumas ações a serem tomadas para que a falha não afete a segurança do seu negócio online.

1 – Resete as senhas e tokens de API

Como primeira ação se você usa SSL no seu site, oriente seus usuários para trocarem suas senhas com urgência. O Heartbleed esteve presente por cerca de dois anos nas implementações do OpenSSL e dados podem ter sido afetados nesse período. Sites como Google, Yahoo! e Facebook estão orientando seus usuários a fazerem o mesmo. O Mashable fez uma lista dos serviços online que precisamos trocar nossas senhas, inclusive.

O mesmo vale para tokens de APIs de serviços que sua startup interage. Este tipo de acesso também é afetado pela vulnerabilidade.

2 – Faça o upgrade do OpenSSL (ou cheque se seu provedor já o fez)

Se você mantém seu próprio servidor web com OpenSSL, os cuidados devem ser ainda maiores. Foi liberado um patch que corrige a vulnerabilidade. Além da aplicação do patch é necessário gerar novamente os certificados de segurança e revogar os certificados antigos.

Se você não é responsável pela manutenção de seus servidores e apenas assina o seviço de um provedor, cheque se ele fez as atualizações necessárias. O Heroku, por exemplo, já corrigiu o bug.

Seja você ou não o responsável pela administração do servidor, cheque se as medidas para corrigir o Heartbleed foram efetivas. Há serviços online de verificação que checam se um serviço está ainda vulnerável.

3 – Considere utilizar um serviço externo de segurança

Uma medida altamente recomendada para refinar a segurança de uma startup ou serviço online é utilizar um serviço de proteção em nuvem como CloudProxy ou CloudFlare. Estes serviços barram ataques em suas próprias redes e repassam a seu site o tráfego já limpo.

Como eles tem times de resposta a incidentes altamente especializados e trabalhando o tempo todo a probabilidade que eles consigam proteger sua startup de vulnerabilidades é altíssima. Os clientes desses serviços não ficaram vulneráveis ao Heartbleed, por exemplo.

Vale lembrar que usar um serviço dessa natureza não tira a necessidade de manter sempre atualizado seu servidor.

4 – Estabeleça uma política de segurança

A ocorrência do Heartbleed traz a tona a preocupação que devemos ter com segurança de nossas aplicações. Se sua startup ainda não tem uma política definida para lidar com o assunto este é um ótimo momento para começar.

Ferramentas amplamente utilizadas como WordPress, PHP, Rails e jQuery são frequentes alvos de ataques e a principal proteção que podemos estabelecer é ter um ciclo contínuo de atualizações. Os updates dessas ferramentas são, em sua grande maioria, atualizações de segurança.

Tomando estas ações sua startup estará protegida contra a vulnerabilidade Heartbleed. Entretanto, a recomendação é que segurança seja uma preocupação diária, e não apenas em uma situação de falha como essa.

 

roberto braga

Roberto Braga

 

Sobre o Convidado

Roberto Braga é Engenheiro de Redes e fundador da IPe, empresa que desenvolve a ferramenta de segurança de aplicações web Vidya. Entusiasta do mundo de segurança, Roberto trabalha ajudando clientes da IPe a desenharem seus procedimentos de proteção e resposta a ataques.

 

http://www.startupsstars.com/