Todo lo que necesitas saber acerca de POODLE

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Vulnerabilidad Heartbleed. ¿De qué se trata?

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

Recomendaciones para usuarios