Na quarta-feira (3), um grupo de especialistas em segurança da computação revelou duas falhas que afetam quase todos os microprocessadores, os cérebros digitais dos computadores do planeta. As falhas, Meltdown e Spectre, podem permitir que hackers roubem senhas, fotos, documentos e outros dados de smartphones, computadores pessoais e dos serviços de computação em nuvem de que muitas empresas dependem.

Algumas das maiores companhias mundiais de tecnologia estão trabalhando para corrigir essas falhas. Mas os pesquisadores que as identificaram afirmaram que a falha Spectre não é reparável completamente. "É uma falha fundamental na maneira pela qual os processadores vêm sendo produzidos ao longo das décadas", disse Paul Kocher, um dos pesquisadores que descobriram o problema.

Abaixo, um guia sobre o que você precisa saber e deveria fazer a respeito.

Onde exatamente ficam essas falhas?
As duas são problemas na maneira pela qual chips de computador são projetados. A Meltdown afeta a maioria dos processadores produzidos pela Intel, a empresa que fornece chips para a maior parte dos computadores pessoais e para mais de 90% dos servidores em uso no planeta.

A Spectre é mais difícil de ser explorada por hackers, mas afeta número ainda maior de dispositivos, entre os quais chips da Intel e da fabricante rival de microprocessadores AMD e muitos chips baseados na arquitetura desenvolvida pela companhia britânica ARM. Quase todos os celulares contêm chips ARM.

Por que as falhas representam problema tão grave?
As duas falhas oferecem a hackers uma forma de roubar dados, entre os quais senhas e outras informações sensíveis. Se hackers conseguirem controlar software que opere em um desses chips, poderão roubar dados de outros softwares que operem na mesma máquina.

Isso representa um problema especialmente sério para os serviços de computação em nuvem.

Por que os serviços de computação em nuvem são tão importantes?
Operados por empresas como Amazon, Microsoft e Google, esses serviços permitem que qualquer empresa ou pessoa alugue acesso a recursos de computação via Web. Em um serviço de computação em nuvem, cada servidor tipicamente atende a muitos clientes distintos. Ao explorar a falha Meltdown, um hacker poderia subir software para um serviço em nuvem e capturar dados de qualquer outra pessoa ou empresa que tenha carregado software no mesmo servidor.

E quanto a smartphones e computadores pessoais?
Os celulares e os computadores pessoais são alvos mais difíceis. Para que possam explorar as falhas nos chips, hackers teriam de encontrar maneiras de instalar software deles nos aparelhos dos usuários. Podem fazê-lo convencendo o usuário a baixar um app de uma loja de aplicativos para smartphones, ou iludir o usuário para que ele visite um site que transferiria códigos para a máquina do visitante.

Mas as empresas estão corrigindo esses defeitos?
Estão tentando. O Meltdown pode ser corrigido por meio da instalação de um patch de software na máquina. A Microsoft lançou um patch para computadores que usam o sistema operacional Windows. A Apple anunciou ter lançado patches para o iOS, Mac e Apple TV que ajudam a mitigar o problema. A Intel também está trabalhando em atualizações para resolver o problema.

Cabe agora aos consumidores instalar as soluções em suas máquinas.

O que devo fazer, como consumidor?
Mantenha seu software atualizado. Isso inclui o sistema operacional e aplicativos como seu navegador e seu software antivírus. Microsoft, Mozilla e Google já lançaram patches para o Internet Explorer, Firefox e Chrome, a fim de ajudar a combater o problema.

Instalar um bloqueador de publicidade em seu navegador também é uma salvaguarda, de acordo com especialistas em segurança. Mesmo os maiores sites não têm controle firme sobre a publicidade veiculada neles - há ocasiões em que códigos nocivos podem aparecer dentro de suas redes de publicidade. Um bloqueador de publicidade popular entre os pesquisadores de segurança é o uBlock Origin.

"O verdadeiro problema é que os anúncios são perigosos", disse Jeremiah Grossman, diretor de estratégia de segurança da SentinelOne, uma empresa de segurança na computação. "São programas com funções plenas, e portam malware".

Como faço para atualizar meu software?
Seu sistema operacional e aplicativos tipicamente oferecem controles que você pode acionar para verificar se existem atualizações de software. Por exemplo, no navegador Google Chrome, versão para computador, clique nos três pontinhos no canto superior direito da tela e depois clique em atualizar Chrome. Para atualizar o Windows, clique o botão iniciar, e em seguida os botões preferências, atualizações e segurança, atualização do Windows e procurar atualizações. Para atualizar o sistema operacional de um Mac, abra o aplicativo da App Store e clique em atualizações para baixar o software mais recente.

Não enrole. No ano passado, o malware WannaCry infectou centenas de milhares de computadores equipados com o Windows em todo o mundo. A Microsoft havia lançado uma atualização antes do ataque, mas muitas máquinas estavam defasadas em suas atualizações de segurança.

E quanto aos serviços de computação em nuvem?
Amazon, Google e Microsoft afirmaram já ter instalado patches na maioria dos servidores que embasam seus serviços de computação em nuvem, e que isso resolve o problema, em geral. Mas Amazon e Google também informaram que os clientes poderão ter de realizar mudanças adicionais.

Para compartilhar recursos de computação com clientes, os serviços de computação em nuvem oferecem "máquinas virtuais", ou seja, computadores que existem apenas em forma digital. Os clientes instalam seu software nas máquinas virtuais. Depois que a Amazon, Google e Microsoft atualizarem suas máquinas, os clientes podem ter de atualizar os sistemas operacionais de suas máquinas virtuais, a fim de se protegerem contra vulnerabilidades específicas.

Se todo mundo atualizar seu software, as coisas estarão resolvidas?
Não. Os pesquisadores que descobriram o Meltdown afirmaram que os patches de sistema instalados para corrigir o problema reduziram a velocidade dos computadores em até 30%, em certas situações. Isso pode ser problema sério para grandes sistemas de computação em nuvem.

Desenvolvedores de software independentes realizaram testes em uma versão do sistema operacional aberto Linux, que hoje aciona mais de 30% dos servidores do planeta, e constataram desaceleração semelhante depois do patch.

"Há muitos casos em que o impacto sobre o desempenho é zero", disse Andres Frome, desenvolvedor de software que testou o novo código. "Mas se você opera algo como um sistema de pagamentos, no qual muitas mudanças pequenas sejam feitas nos dados, parece que o impacto sobre o desempenho será significativo".

É menos provável que consumidores sejam afetados, e Kocher disse que a perda de velocidade se reduziria, com o tempo, à medida que as empresas refinem seus patches.

E quanto à falha Spectre?
De acordo com os pesquisadores que descobriram as falhas, entre os quais especialistas em segurança do Google, da fabricante de chips de memória Rambus e de diversas instituições acadêmicas, não há como resolver completamente a falha Spectre. Mas patches podem resolver problemas em certas situações. Intel, Microsoft e outros afirmaram a mesma coisa.

Não há solução para a falha Spectre?
Não, de acordo com os pesquisadores. Mas a Spectre é muito mais difícil de ser explorada por hackers.

De forma semelhante à Meltdown, a Spectre pode permitir que informações sejam roubadas de um aplicativo e compartilhadas com outro. Por exemplo, um app baixado da Web pode roubar informações como senhas de outro aplicativo.

Na quarta-feira, o Departamento de Segurança Interna (DSI) dos Estados Unidos lançou um alerta informando que a única solução para as ameaças das falhas Spectre e Meltdown seria substituir os chips. Mas isso não parece factível, dado o número de máquinas envolvidas. "O Spectre estará conosco por muito tempo ainda", disse Kocher.

_{Tradução de PAULO MIGLIACCI}