15 octubre 2014

Vulnerabilidad CRÍTICA en SSL (POODLE)

Desde el punto de vista de la seguridad informática, esta semana está siendo muy pero que muy movidita en cuanto a fallos y vulnerabilidades publicadas.

Hoy, desde Google, tres investigadores: Bodo Möller, Thai Duong and Krzysztof Kotowicz han publicado los detalles de un nuevo fallo que, definitivamente, va a llevar a la tumba al protocolo SSL v3 (con 15 años de antigüedad ...) y parece que va a ser el espaldarazo definitivo para que *todo* sea TLS.

Los detalles de la vulnerabilidad se pueden leer en este PDF y que (en una lectura muy preliminar aun) deduzco que combina dos ataques, por un lado llevar al cliente a un 'downgrade', es decir a un terreno menos seguro (SSL 3.0) y una vez ahí, es donde se produce el ataque que permite acceder a datos cifrados bajo una sesión SSL.

Como recomendación obvia para mitigar este ataque se propone deshabilitar SSL v3 y también activar TLS_FALLBACK_SCSV lo que mitigaría la parte del downgrade.

La primera reacción a POODLE llega desde Mozilla que ya anuncia el abandono de SSL v3 en futuras versiones del navegador.

Cabe señalar que esto no supone, per se, que alguien pueda acceder directamente al tráfico SSL de un PC contra una web, es necesario un escenario de tipo MitM para poder acceder a los datos.

1 comments :

Guillermo dijo...

Cabe destacar que mozilla no desactivará SSL3 para su aplicación firefox hasta el 25 de noviembre cuando sacarán la nueva versión de su software (34), pero han preparado un plugin para los que no quieran esperar:
https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/

Desconozco el caso en el resto de exploradores.

Saludos!