Página principal » cómo » ¿Qué es la vulnerabilidad de POODLE y cómo puede protegerse?

    ¿Qué es la vulnerabilidad de POODLE y cómo puede protegerse?

    Es difícil envolver nuestras mentes en torno a todas estas catástrofes de Internet a medida que ocurren, y justo cuando pensamos que Internet era seguro nuevamente después de que Heartbleed y Shellshock amenazaran con "terminar con la vida tal como la conocemos", sale PODLE.

    No te preocupes demasiado porque no es tan amenazador como parece. La verdad es que es un problema que debe preocuparse, pero hay pasos simples que puede tomar para protegerse..

    ¿Qué es POODLE??

    Empecemos por la planta baja. ¿Qué es POODLE? En primer lugar, significa "Relleno de Oracle en el cifrado heredado degradado."El problema de seguridad es exactamente lo que sugiere su nombre, una degradación del protocolo que permite explotaciones en una forma de cifrado obsoleta. El problema llegó a la atención del mundo este mes cuando Google lanzó un documento titulado "Este POODLE Bites: Explotación del SSL 3.0 Fallback".

    Para explicar esto en términos más simples, si un atacante que usa un ataque Man-In-The-Middle puede tomar el control de un enrutador en un punto de acceso público, puede forzar a su navegador a cambiar a SSL 3.0 (un protocolo más antiguo) en lugar de usar el TLS mucho más moderno (Transport Layer Security), y luego explotar un agujero de seguridad en SSL para secuestrar las sesiones de su navegador. Dado que este problema está en el protocolo, todo lo que usa SSL se ve afectado.

    Siempre que tanto el servidor como el cliente (navegador web) admitan SSL 3.0, el atacante puede forzar una baja en el protocolo, por lo que incluso si su navegador intenta usar TLS, termina siendo forzado a usar SSL. La única respuesta es para ambos lados o para eliminar el soporte para SSL, eliminando la posibilidad de ser degradado.

    Si navega principalmente desde su casa y no utiliza puntos de acceso públicos, el daño potencial es bastante bajo, y puede seguir los sencillos pasos que se describen más adelante en el artículo para protegerse. Si utiliza con frecuencia un punto de acceso público, podría ser el momento de pensar en usar una VPN..

    Cómo podemos resolver el problema?

    Dado que no hay manera de resolver los problemas con SSL, la única solución es que los fabricantes de navegadores y servidores web actualicen todo para eliminar el soporte para SSL y solo necesiten cifrado TLS..

    Google y Firefox ya han anunciado que eliminarán el soporte en el futuro y, aunque aún no hemos escuchado lo mismo de Microsoft, es extremadamente fácil como usuario final deshabilitar SSL 3.0 en IE. La mayoría de las grandes empresas web están eliminando el soporte para SSL después de que este problema salió a la luz, pero tomará un tiempo para que todos lo hagan..

    Como consumidor, puede eliminar el soporte para SSL de su navegador usando uno de los métodos que se describen a continuación, o si está usando Firefox o Google Chrome y no usa puntos de acceso todo el tiempo, puede esperar a que actualicen el navegador. O puede asegurarse de que usted mismo haya solucionado el problema.

    Desactivando SSL 3.0 en Mozilla Firefox

    Si usted es usuario de Mozilla Firefox, sus preocupaciones sobre SSL 3.0 se pondrán en cama el 25 de noviembre de 2014 cuando se lance Fireox 34. El único problema con esto es que aún no es noviembre y debe tomar medidas para protegerse ahora. Comience por abrir su navegador Firefox y vaya a la página de descarga de Control de versiones SSL en Firefox.

    Cuando se haya instalado con éxito, puede ingresar "about: addons" en la barra de navegación y seleccionar la extensión "Control de versión SSL". Puede hacer clic en "Opciones" para ver la configuración de la extensión. Asegúrese de que las "Actualizaciones automáticas" estén activadas y que la "Versión mínima de SSL" esté configurada en "TLS 1.0"

    Después de que se haya lanzado Firefox 34, puedes desactivar la extensión o desinstalarla..

    Desactivación de SSL 3.0 en Google Chrome

    Si es usuario de Google Chrome, puede estar seguro de que el SSL 3.0 se desactivará en los próximos meses, aunque aún no haya establecido una fecha. Si quiere protegerse ahora, puede hacerlo en unos simples pasos. Simplemente vaya al ícono de su escritorio de Google Chrome y haga clic derecho en él, luego seleccione "Propiedades" en la parte inferior del menú emergente.

    En la ventana "Propiedades" verá un cuadro de entrada de texto que dice "Objetivo". Simplemente haga clic en este cuadro y presione el botón "Fin" en su teclado. A continuación, presione la barra espaciadora y copie y pegue este texto en el final..

    --ssl-version-min = tls1

    Presione "Aplicar" y luego haga clic en "Continuar" en la ventana emergente, luego presione "Aceptar".

    Ahora su navegador rechazará automáticamente los certificados SSL 3.0 y solo aceptará TLS 1.0 y superior. Vale la pena señalar que si inicia Chrome a través de cualquier otro acceso directo en su computadora, no utilizará esta bandera.

    Deshabilitar SSL 3.0 en Internet Explorer

    Microsoft aún no ha anunciado cuándo planean abordar el problema de SSL 3.0, por lo que es mejor desactivarlo usted mismo abriendo el menú "Inicio" y escribiendo "Opciones de Internet".

    Vaya a la pestaña "Avanzado" y desplácese hacia abajo hasta la sección "Seguridad" hasta que vea las opciones de SSL y TLS, y luego deseleccione la opción para Usar SSL 3.0 y active TLS en su lugar.

    De esta manera, puede estar seguro de que sus navegadores de Internet están a salvo de cualquier posible ataque de POODLE..

    Crédito de la imagen: Karen en Flickr