POODLE: una nueva vulnerabilidad afecta a SSL

vulnerability

Hace un tiempo Heartbleed nos tuvo a maltraer, y es que se trató de una vulnerabilidad que afectaba un protocolo como SSL (Secure Sockets Layer), quitándole ese halo de seguro que siempre ha tenido, y dejándonos con la sensación de que es difícil estar a salvo. Ahora hay una nueva razón para preocuparse, y es que hace unas pocas horas se ha descubierto una nueva vulnerabilidad en SSL, que han dado en llamar POODLE (Padding Oracle On Downgraded Legacy Encryption).

Básicamente, se trata de un ataque que explota una vulnerabilidad en la implementación de SSL y que permite a un intermediario (que puede ser un router o hasta un ISP si este ha sido comprometido) extraer información y datos a partir de las conexiones HTTP. Y como bien sabemos, a partir de allí se puede lograr el acceso a datos de cuentas bancarias o tarjetas de crédito.

El ataque ha sido descubierto por un grupo de investigadores que en el pasado ya encontró las denominadas BEAS y Crime, que ya hicieron de las suyas allá por 2011 y 2012 respectivamente. Básicamente podemos decir que POODLE se produce puesto que la mayoría de los servidores y los navegadores permiten el uso de SSL versión 3, que ya es bastante antigua y ha sido reemplazada por TLS (Transport Layer Security); este protocolo si tiene solución para la vulnerabilidad mientras que SSL v3 no. Como medida de seguridad se recomienda desactivar SSL v3 y muchos como Google ya lo han hecho, pero el problema es que se mantiene en uso para ofrecer compatibilidad con Internet Explorer 6.

Una situación que desde luego contribuye a exponer a una gran cantidad de usuarios, aunque hay quién quienes decidieron que todo esto ya ha sido suficiente y están desactivando el soporte para este protocolo: entre ellos podemos mencionar a CloudFare, sin dejar de lado que Firefox 34 tampoco lo ofrecerá activado por defecto como ha sucedido hasta ahora. Mientras tanto, en este enlace podemos ver cómo desactivar SSL en Firefox, y aquí cómo hacerlo en Chrome e IE.


Categorías

General

Willy Klew

Ingeniero en Informática, soy un fanático de Linux, Android, la programación, redes y todo lo que tenga que ver con las nuevas tecnologías. Ex atleta, y usuario de Linux desde 1997. Ah, y un total enfermo del fútbol.

Escribe un comentario