Video: Aprende a mantener y cuidar el pelo a tu Caniche Toy (Noviembre 2024)
Los investigadores han descubierto otra vulnerabilidad grave en Secure Sockets Layer (SSL) que afecta la forma en que nuestra información y comunicaciones están protegidas en línea. La buena noticia es que puede tomar medidas específicas para bloquear los ataques que explotan este defecto.
Los investigadores de Google Bodo Möller, Thai Duong y Krzysztof Kotowicz describieron los detalles del ataque Padding Oracle On Downgraded Legacy Encryption (POODLE) en un aviso de seguridad publicado en OpenSSL.org. La vulnerabilidad se encuentra en SSL 3.0, que se introdujo en 1996 y se reemplazó por Transport Layer Security (TLS) en 1999. Poodle aprovecha el hecho de que los clientes, incluidos los navegadores web, se degradarán a los protocolos más antiguos y menos seguros si no puede establecer una conexión segura. La degradación puede ser provocada por fallas en la red y por atacantes activos.
"Debido a que un atacante de red puede causar fallas en la conexión, puede activar el uso de SSL 3.0 y luego explotar este problema", escribió Möller en el blog del Equipo de seguridad en línea de Google el martes por la tarde.
Poodle expone las cookies de sesión. Los atacantes no obtendrán la contraseña del usuario para enviar cuentas de correo electrónico u otros servicios en línea, pero aún podrán iniciar sesión como usuario siempre que la cookie de sesión sea válida. "Por lo tanto, mientras esté en Starbucks, algún hacker que esté a su lado podrá publicar tweets en su cuenta de Twitter y leer todos sus mensajes de Gmail", dijo Robert Graham, de Errata Security.
Primera línea de defensa
El ataque de Poodle se basa en que el adversario primero establezca un ataque de hombre en el medio para tomar el control de la conexión a Internet de la víctima. Una forma de hacerlo es configurar un punto de acceso Wi-Fi malicioso en una ubicación pública, como una cafetería. Los atacantes también deben poder ejecutar código Javascript dentro del navegador de la víctima.
"Requiere que alguien sea un hombre en el medio para explotar. Esto significa que probablemente estés a salvo de los piratas informáticos en casa, aunque no a salvo de la NSA. Sin embargo, cuando estás en el Starbucks local u otro Wi-Fi no encriptado, están en grave peligro por este truco ", escribió Graham.
Entonces, ya hay algunas cosas que puede hacer para evitar que los posibles ataques de Poodle tengan éxito. Como hemos dicho una y otra vez, no se conecte a redes Wi-Fi públicas o redes de invitados operadas por personas que no conoce. Incluso si no te preocupa Poodle, los ataques de hombre en el medio son graves y te proteges al tener cuidado con las redes a las que te conectas.
Si necesita conectarse a una red pública, use VPN, ya sea desde su lugar de trabajo o cualquiera de los muchos servicios VPN disponibles. Hay bastantes por ahí, como PrivateInternetAccess, CyberGhostVPN y HotSpot Shield de AnchorFree, por nombrar algunos.
Los atacantes probablemente engañarán a los usuarios para que visiten una página web maliciosa diseñada para ejecutar código Javascript especialmente diseñado. Tenga cuidado con los sitios que visita y esté atento a los sitios de phishing.
¿Por qué todavía tenemos SSL 3.0?
La mayoría de los servidores y aplicaciones modernos usan TLS 1.1 o 1.2, pero SSL 3.0 todavía se usa ampliamente para admitir aplicaciones y sistemas heredados. Internet Explorer 6 es un buen ejemplo. Si bien IE 6 no es tan visible como solía ser, permaneció por un tiempo bastante largo, por lo que se crearon una gran cantidad de servidores y aplicaciones para admitir SSL 3.0 junto con el TLS más seguro. Netcraft estima que casi el 97 por ciento de los servidores web SSL es probable que sean vulnerables.
"Podrías matarlo en la mayoría de los lugares hoy", escribió el investigador de seguridad Troy Hunt, pero eso es solo una parte del problema, ya que hay clientes que pueden depender de la capacidad de recurrir a SSL 3.0. No sabemos cuáles son, lo que hace que las empresas estén menos dispuestas a desconectarse. Por ejemplo, hubo informes de Twitter de que MetroTwit, un popular cliente de Twitter para Windows, se basó en SSL 3.0 y dejó de funcionar después de que Twitter deshabilitó la compatibilidad con SSL 3.0 el martes por la noche (MetroTwit ha lanzado una revisión, por cierto, por lo que debe actualizar su cliente).
"Es la incertidumbre lo que mantiene vivas estas tecnologías de primera generación", dijo Hunt.
Solucione el problema del navegador
Utilice un navegador web moderno y compatible con los estándares. Mozilla deshabilitará SSL 3.0 de forma predeterminada en la próxima versión de Firefox, prevista para el 25 de noviembre, y Google lo está eliminando de Chrome. Safari habilita automáticamente SSL, pero Apple aún no ha evaluado sus planes para el navegador. Microsoft publicó un aviso con instrucciones sobre cómo deshabilitar SSL 3.0 desde los escritorios y servidores de Windows.
"No hay que odiar a Microsoft, como lo hará Internet Explorer 10 u 11", dijo Garve Hays, un arquitecto de soluciones de NetIQ.
Puede desactivar manualmente SSL 3.0 en IE desmarcando la casilla SSL 3.0 debajo de las pestañas Avanzadas en el menú de Opciones de Internet. Los usuarios de Firefox deben ir a about.config en el navegador y cambiar el valor de security.tls.version.min a 1. También pueden descargar un complemento de Mozilla para deshabilitar SSL 3.0. Los usuarios de Chrome que deseen deshabilitar SSL 3.0 pueden agregar el indicador de línea de comando --ssl-version-min = tls1 al navegador.
Los usuarios de Safari tendrán que esperar una actualización, siempre que llegue. Mantenerse alejado de Safari temporalmente reducirá la probabilidad de un ataque de Poodle.
Cuando Microsoft dejó de admitir Windows XP en abril, todavía había reservas que afirmaban que no veían una razón para actualizar al sistema operativo. Si esos usuarios todavía usan Internet Explorer 6, comenzarán a ver que las cosas se rompen en línea. CloudFlare ha deshabilitado SSL 3.0 de forma predeterminada para todos los sitios que aloja, incluidos los 2 millones de sitios que utilizan el plan gratuito. Esta decisión afectará a menos del 1 por ciento de todo el tráfico a sus sitios, dijo Cloudflare. Es probable que muchas empresas sigan el ejemplo de Twitter y apaguen el soporte en sus sitios. Si todavía usa IE 6 o Windows XP, realmente necesita actualizar.
"Si está ejecutando IE 6 hoy (sí, todavía hay algunos) y no tiene la opción de actualizar porque 'razones', está lleno", escribió Hunt.
