Google acaba de encontrar un fallo de seguridad en SSL 3.0 que podría darle a los atacantes la capacidad de resolver el tráfico de texto plano de una conexión segura. El bug ha sido bautizado como «POODLE» (Padding Oracle On Downgraded Legacy Encryption), y permite que un atacante descifre las cookies HTTP. Las cookies se pueden utilizar para almacenar información personal, preferencias de sitios web o incluso contraseñas, dependiendo de la situación.
SSL 3.0 es un protocolo bastante viejo (15 años), pero sigue siendo usado en la mayoría de los navegadores web y como un mensaje para un sin-número de servidores en caso de protocolos modernos no logran conectarse. Los atacantes potenciales pueden obligar a un servidor por defecto volver al SSL 3.0 y así hacer estragos en los datos de los usuarios.
La forma más fácil de resolver el problema en los servidores es simplemente dejar de utilizar SSL 3.0, ya que en gran medida ha sido reemplazado por TLS y otros sucesores – pero como SSL sigue siendo ampliamente utilizado, Google dice que podría causar problemas de compatibilidad importantes.
Por ahora, la compañía dice que la mejor solución es que los navegadores habiliten la opción TLS_FALLBACK-SCSV, un mecanismo diseñado para detener los atacantes forzando la seguridad por defecto a las normas más antiguas. Google Chrome y los servidores propios de la empresa han estado utilizando este método desde febrero, y Google está probando nuevos cambios en Chrome que desactiven el SSL 3.0 por completo.
En el lado positivo, Google parece haber descubierto la vulnerabilidad por su cuenta, y no está claro si pueda llegar a ser difundida de forma masiva. Aún así, la solución de Google es sólo una defensa temporal: SSL 3.0 no se puede arreglar. «No hay ninguna solución razonable», escribió Google en su blog de seguridad.
Más info: Openssl
Pingback: Bitacoras.com