2Sep
Es difícil envolver nuestras mentes en todas estas catástrofes de Internet a medida que ocurren, y justo cuando pensábamos que Internet estaba segura nuevamente después de que Heartbleed y Shellshock amenazaran con "terminar con la vida tal como la conocemos", salió POODLE.
No te preocupes demasiado porque no es tan amenazante como parece. La verdad es que es un tema del que debes preocuparte, pero hay pasos simples que puedes tomar para salvaguardarte.
¿Qué es POODLE?
Comencemos en la planta baja.¿Qué es POODLE?En primer lugar, significa " Padding Oracle On Downgraded Legacy Encryption ". El problema de seguridad es exactamente lo que sugiere su nombre, una degradación de protocolo que permite explotar una forma obsoleta de encriptación. El tema llamó la atención del mundo este mes cuando Google lanzó un documento llamado "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
Para explicar esto en términos más simples, si un atacante que usa un ataque Man-In-The-Middle puede tomar el control de un enrutador en un punto público público, puede forzarlo a pasar a SSL 3.0( un protocolo anterior) en lugar de usarloel TLS mucho más moderno( Transport Layer Security), y luego explotar un agujero de seguridad en SSL para secuestrar las sesiones de su navegador. Como este problema está en el protocolo, cualquier cosa que use SSL se verá afectada.
Mientras el servidor y el cliente( navegador web) admitan SSL 3.0, el atacante puede forzar una degradación en el protocolo, por lo que incluso si su navegador intenta usar TLS, termina forzándose a usar SSL en su lugar. La única respuesta es para cualquier lado o ambos lados para eliminar el soporte para SSL, eliminando la posibilidad de ser degradado.
Si principalmente navega desde su casa y no utiliza puntos de acceso públicos, la posibilidad de daño es bastante baja, y puede simplemente seguir los sencillos pasos que se describen más adelante en el artículo para protegerse. Si a menudo usa un punto de acceso público, quizás sea hora de pensar en usar una VPN.
¿Cómo podemos resolver el problema?
Dado que no hay forma de resolver los problemas con SSL, la única solución es que los fabricantes de navegadores y servidores web actualicen todo para eliminar el soporte para SSL y solo requieran el cifrado TLS.
Google y Firefox ya han anunciado que eliminarán el soporte en el futuro, y aunque aún no hemos escuchado lo mismo de Microsoft, es extremadamente fácil como usuario final deshabilitar SSL 3.0 en IE.La mayoría de las grandes compañías web están eliminando el soporte para SSL después de que este problema salió a la luz, pero tomará un tiempo para que todos lo hagan.
Como consumidor, puede eliminar el soporte para SSL de su navegador utilizando uno de los métodos que se detallan a continuación; o si está usando Firefox o Google Chrome y no está utilizando zonas interactivas todo el tiempo, podría esperar a que actualicen el navegador. O puede asegurarse de que haya solucionado el problema usted mismo.
Deshabilitar SSL 3.0 en Mozilla Firefox
Si usted es un usuario de Mozilla Firefox, sus preocupaciones sobre SSL 3.0 se pondrán en marcha el 25 de noviembre de 2014 cuando se lance Fireox 34.El único problema con esto es que aún no es noviembre y debes tomar medidas para protegerte ahora. Comience abriendo su navegador Firefox y navegando a la página de descarga de SSL Version Control en Firefox.
Cuando se haya instalado correctamente, puede ingresar "about: addons" en la barra de navegación y seleccionar la extensión "SSL Version Control".Puede hacer clic en "Opciones" para ver la configuración de la extensión. Asegúrese de que las "Actualizaciones automáticas" estén activadas y de que la "Versión mínima de SSL" esté configurada en "TLS 1.0".
Después de que se haya lanzado Firefox 34, puede deshabilitar la extensión o desinstalarla.
Deshabilitar SSL 3.0 en Google Chrome
Si usted es un usuario de Google Chrome, puede estar seguro de que el SSL 3.0 se desactivará en los próximos meses, aunque todavía no han establecido una fecha. Si quiere protegerse ahora, puede hacerlo en unos simples pasos. Simplemente vaya a su icono de escritorio de Google Chrome y haga clic derecho sobre él, luego seleccione "Propiedades" en la parte inferior del menú emergente.
En la ventana "Propiedades" verá un cuadro de entrada de texto que dice "Objetivo". Simplemente haga clic en este cuadro y presione el botón "Finalizar" en su teclado. A continuación, presione la "barra espaciadora" y copie y pegue este texto en el extremo.
--ssl-version-min = tls1Presione "Aplicar" luego haga clic en "Continuar" en la ventana emergente y luego presione "OK".
Ahora su navegador rechazará automáticamente los certificados SSL 3.0 y solo aceptará TLS 1.0 y superior. Vale la pena señalar que si ejecutas Chrome a través de cualquier otro atajo en tu computadora, no usará esta bandera.
Deshabilitar SSL 3.0 en Internet Explorer
Microsoft aún no ha anunciado cuándo planean solucionar el problema SSL 3.0, por lo que es mejor que lo desactive abriendo su menú "Inicio" y escribiendo "Opciones de Internet".
Vaya alPestaña "Avanzado" y desplácese hacia abajo hasta la sección "Seguridad" hasta que vea las opciones de SSL y TLS, y luego desmarque la opción Usar SSL 3.0, y active TLS.
De esta forma, puede estar seguro de que sus navegadores de Internet están a salvo de posibles ataques de POODLE.
Crédito de la imagen: Karen en Flickr