poodle

poodle

Software

Google descubre un nuevo gran bug en el cifrado de la web ¿Nos afecta?

15 octubre, 2014 09:18

Noticias relacionadas

Todavía estamos viviendo las consecuencias de Heartbleed, el gran bug de OpenSSL que permitía a atacantes descubrir el contenido de nuestra navegación web, y ya se ha encontrado un nuevo peligro. Se llama Poodle (caniche en inglés), y ha sido descubierto por ingenieros de Google, y de nuevo afecta a las comunicaciones cifradas realizadas en Internet ya que es una vulnerabilidad de SSLv3, un protocolo usado tanto en conexiones HTTPS entre un navegador y un servidor como en otros programas como clientes de correo. Por tanto, se diferencia de Heartbleed en el sentido de que este solo afectaba a una implementación de SSL, mientras que Poodle afecta al protocolo en sí. ¿Significa esto que estamos ante un bug mas grave?

Nuestras sesiones, en peligro

En parte sí, y digo esto porque en realidad explotar el bug no ofrece tantas posibilidades a los atacantes como Heartbleed. Esto es porque “solo” afecta al cifrado de las cookies HTTP. Un atacante que se aprovechase de este bug podría descifrar la cookie en la que están guardados nuestros datos de inicio de sesión en páginas webs y servicios y usarlos para entrar en nuestras cuentas sin necesidad de introducir la contraseña. Sin embargo, para que el ataque tenga éxito el atacante tiene que estar en la misma red que nosotros, ya sea la red de nuestra casa o una Wifi pública, y es necesario que ejecutemos código en Javascript. Por lo tanto es mas difícil de llevar a cabo y solo serviría para atacar a personas concretas y no para obtener datos de una gran cantidad de usuarios ni para atacar servidores.

Además, SSLv3 ya no es la única alternativa usada por los navegadores y servidores modernos, que ya son compatibles en su mayoría con TLS, su sucesor. Por lo tanto si usas un navegador que solo permite conexiones TLS no estás en peligro, aunque hay que tener cuidado igualmente porque en la mayoría de los casos la compatibilidad con SSLv3 no se ha perdido y se usa en caso de que el servidor no sea compatible con TLS. Este bug afecta mas a los usuarios de sistemas y navegadores obsoletos, principalmente Internet Explorer 6 en Windows XP, que solo es compatible con SSLv3; hay que recordar que Microsoft ya no soporta este software así que esta vulnerabilidad nunca se cerrará (por si necesitabas otra razón para actualizar si aún no lo has hecho).

Por lo tanto, el bug Poodle solo nos puede afectar si visitamos redes Wifi públicas y usamos navegadores antiguos o visitamos servidores que aún no hayan actualizado a TLS, en cuyo caso seguramente tendremos problemas mas graves de los que preocuparnos. Como punto negativo, no es posible solucionar esta vulnerabilidad y la única solución es no usar SSLv3; no debería ser un problema en el futuro excepto para aquellos servicios y programas que sigan usándolo pese a tener una alternativa mas moderna y segura.

Fuente | Google | OpenSSL (pdf)