Google revela una vulnerabilidad en el cifrado SSL: POODLE

Parece ser que el cifrado SSL en el que todos confiabamos para comunicarnos de forma segura en Internet tiene una vulnerabilidad, Google la ha bautizado como POODLE.

Los investigadores de Google han anunciado que han encontrado una vulnerabilidad en el protocolo SSL 3.0. EL protocolo SSL fue introducido en 1996 y su función es la de permitir la comunicación segura mediante un cifrado de la infromación. SSL 3.0 tiene ya sus años pero su soporte está extendido de tal forma que la mayoría de los navegadores pueden verse afectados. Cuando un cliente ejecuta un ping al servidor, comienza un proceso de cifrado y descifrado de la información que comparten entre ellos.

Este fallo de seguridad puede ser usado para interceptar datos que deberían estar cifrados entre el cliente y el servidor. Lo primero que hace este exploit es convencer al cliente de que el servidor no soporta el protocolo TLS, el cual es más seguro y lo fuerza a conectarse por SSL 3.0. En esta situación un atacante que use un ataque man in the middle puede descifrar cookies HTTP seguras y conseguir información. Un ataque man in the middle o JANUS (MitM o intermediario, en español) es un ataque en el que el atacante adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. Google ha llamado a este exploit POODLE (Padding Oracle On Downgraded Legacy Encryption).

¿Qué podemos hacer los usuarios para protegernos?

Para resumir lo que implica esta vulnerabilidad diríamos que tus datos ya no están cifrados. Los investigadores de Google Bodo Möller, Thai Duong y Krzysztof Kotowicz recomiendan deshabilitar el SSL 3.0 en los servidores y clientes. De esa manera, el servidor y el cliente usarán por defecto el protocolo TSL, más seguro, y el exploit no podrá usarse. A los usuarios nos recomiendan, si nuestro navegador lo permite, desactivar el soporte para SSL 3.0.

De todas formas, avisamos de que ya ha llegado un parche a Chromium, el navegador en el que se basa Google Chrome, que deshabilita el soporte para SSL 3.0. Google hará pruebas para eliminar dicho soporte en sus demás productos. Mozilla planea deshabilitar el protocolo SSL 3.0 en Firefox 34, al cual lo veremos para el 25 de noviembre. De todas formas, si no quieres esperar hasta noviembre puedes instalar la siguiente extensión en tu Firefox, siguiendo este enlace.

Otra solución es: En Firefox, también para Android, entrad en la URL about:config y cambiad security.tls.version.min de 0 a 1

Fuente: bitelia.com

Leave a Comment