Es difícil pensar en todas estas catástrofes de Internet a medida que ocurren, y justo cuando pensamos que Internet era seguro nuevamente después de que Heartbleed y Shellshock amenazaran con "acabar con la vida tal como la conocemos", surge POODLE.
No se preocupe demasiado porque no es tan amenazante como parece. La verdad es que es un tema que debe preocuparse, pero hay pasos simples que puede tomar para protegerse.
¿Qué es CANICHE?
Empecemos por la planta baja. ¿Qué es CANICHE? En primer lugar, significa " Relleno de Oracle en el cifrado heredado degradado . " El problema de seguridad es exactamente lo que sugiere el nombre, una degradación del protocolo que permite explotar una forma obsoleta de cifrado. El problema llamó la atención del mundo este mes cuando Google publicó un documento titulado "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
RELACIONADO: Cómo conectarse a una VPN en Windows
Para explicar esto en términos más simples, si un atacante que usa un ataque Man-In-The-Middle puede tomar el control de un enrutador en un punto de acceso público, puede obligar a su navegador a degradar a SSL 3.0 (un protocolo más antiguo) en lugar de usar el TLS (Seguridad de la capa de transporte) mucho más moderno, y luego explotar un agujero de seguridad en SSL para secuestrar las sesiones de su navegador. Dado que este problema está en el protocolo, todo lo que utilice SSL se verá afectado.
Siempre que tanto el servidor como el cliente (navegador web) sean compatibles con SSL 3.0, el atacante puede forzar una degradación en el protocolo, por lo que incluso si su navegador intenta usar TLS, termina siendo forzado a usar SSL en su lugar. La única respuesta es que cualquiera de los lados o ambos lados eliminen el soporte para SSL, eliminando la posibilidad de ser degradado.
Si navega principalmente desde casa y no utiliza puntos de acceso público, la posibilidad de daños es bastante baja y puede seguir los sencillos pasos que se describen más adelante en el artículo para protegerse. Si utiliza con frecuencia un punto de acceso público, podría ser el momento de piensa en usar una VPN .
¿Cómo podemos resolver el problema?
Dado que no hay forma de resolver los problemas con SSL, la única solución es que los fabricantes de navegadores y servidores web actualicen todo para eliminar la compatibilidad con SSL y solo requieran cifrado TLS.
Google y Firefox ya han anunciado que eliminarán el soporte en el futuro, y aunque (todavía) no hemos escuchado lo mismo de Microsoft, es extremadamente fácil como usuario final desactivar SSL 3.0 en IE. La mayoría de las grandes empresas web están eliminando el soporte para SSL después de que saliera a la luz este problema, pero todo el mundo tardará un tiempo en hacerlo.
Como consumidor, puede eliminar la compatibilidad con SSL de su navegador utilizando uno de los métodos que se describen a continuación, o si está utilizando Firefox o Google Chrome y no utiliza puntos de acceso todo el tiempo, puede esperar a que actualicen el navegador. O puede asegurarse de haber solucionado el problema usted mismo.
Deshabilitar SSL 3.0 en Mozilla Firefox
Si es un usuario de Mozilla Firefox, sus preocupaciones sobre SSL 3.0 se resolverán el 25 de noviembre de 2014, cuando se lance Fireox 34. El único problema con esto es que aún no es noviembre y debe tomar medidas para protegerse ahora. Comience abriendo su navegador Firefox y navegando a la Control de versiones SSL página de descarga en Firefox.
Cuando se haya instalado correctamente, puede ingresar "about: addons" en la barra de navegación y seleccionar la extensión "SSL Version Control". Puede hacer clic en "Opciones" para ver la configuración de la extensión. Asegúrese de que las "Actualizaciones automáticas" estén activadas y que la "Versión mínima de SSL" esté establecida en "TLS 1.0"
Una vez que se haya lanzado Firefox 34, puede desactivar la extensión o desinstalarla.
Deshabilitar SSL 3.0 en Google Chrome
Si eres usuario de Google Chrome, puedes estar seguro de que SSL 3.0 se desactivará en los próximos meses, aunque todavía no han fijado una fecha. Si desea protegerse ahora, puede hacerlo en unos sencillos pasos. Simplemente vaya al icono de su escritorio de Google Chrome y haga clic derecho sobre él, luego seleccione "Propiedades" en la parte inferior del menú emergente.
En la ventana "Propiedades", verá un cuadro de entrada de texto que dice "Destino". Simplemente haga clic en este cuadro y presione el botón "Finalizar" en su teclado. A continuación, presione la "barra espaciadora" y copie y pegue este texto al final.
--ssl-versión-min = tls1
Presione "Aplicar", luego haga clic en "Continuar" en la ventana emergente y luego presione "Aceptar".
Ahora su navegador rechazará automáticamente los certificados SSL 3.0 y solo aceptará TLS 1.0 y superior. Vale la pena señalar que si inicia Chrome a través de cualquier otro acceso directo en su computadora, no usará esta bandera.
Deshabilitar SSL 3.0 en Internet Explorer
Microsoft aún no ha anunciado cuándo planea abordar el problema de SSL 3.0, por lo que es mejor que lo desactive usted mismo abriendo el menú "Inicio" y escribiendo "Opciones de Internet".
Vaya a la pestaña "Avanzado" y desplácese hacia abajo hasta la sección "Seguridad" hasta que vea las opciones SSL y TLS, y luego desmarque la opción para Usar SSL 3.0 y habilite TLS en su lugar.
De esta forma, puede estar seguro de que sus navegadores de Internet están a salvo de posibles ataques de POODLE.
Credito de imagen: Karen en Flickr
