Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

Google to rank up HTTPS sites in search results

Photo by Markus Spiske on Unsplash

Versión en español disponible aquí / Spanish version available here

Gary Illyes and Zineb Ait Bahajji, from the Google’s Webmaster Trends Analysis team, published yesterday a post in the company’s security blog announcing that sites that are protected with SSL certificates will be ranked up in search results.

“Security is a top priority for Google”, ensures the announcement in which the company based in California gave more details about this change. With the aim of improve users experience and security, Google has started to test this new ranking model some weeks ago.

TLS, or Transport Layer Security, is a cryptographic protocol designed to provide communication security over the Internet. Also known as “HTTPS” or “secure HTTP”, TLS and its predecessor (SSL) were designed to allow users to exchange data with web-sites safely.

Tests suggest that, so far, only 1% of global queries were affected. Google plans to start rolling this feature accross the web in the next weeks, in order to allow webmasters to switch to HTTPS.

In the coming weeks, the Google team will publish detailed best practices to make TLS adoption easier, and to avoid common mistakes. Here are some basic tips to get started:

Read moreGoogle to rank up HTTPS sites in search results

Google subirá el ranking de los sitios que usen HTTPS

Photo by Markus Spiske on Unsplash

Versión en inglés disponible aquí / English version available here

Gary Illyes y Zineb Ait Bahajji, del equipo de análisis de tendencias de Google, publicó el día de ayer una información en el blog de seguridad de la compañía, donde aseguran que aquellos sitios que no trabajen bajo TLS (Transport Layer Security, por sus siglas en inglés) verán reducido su ranking en los resultados de búsqueda, en comparación con aquellos que utilicen HTTPS.

“La seguridad es una de nuestras principales prioridades”, asegura el comunicado en el que la compañía con sede en California dio más detalles sobre este cambio. Con el objetivo de mejorar la experiencia y la seguridad de los usuarios, Google comenzó semanas atrás a realizar pruebas con el ranking de sus resultados de búsqueda.

TLS, o Transport Layer Security por sus siglas en inglés, es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Las pruebas indican que, hasta el momento, solo el 1% de las consultas globales se han visto afectadas por este cambio, ya que su aplicación no tiene tanto peso como las reglas de calidad de contenido. Google espera comenzar a darle más prioridad con el correr de las semanas, otorgando a los administradores de web algo de tiempo para afrontar el cambio.

En las próximas semanas el equipo de Google estará publicando más detalles sobre las mejores prácticas para la adopción de mecanismos de seguridad en la web, pero dejan las siguientes recomendaciones para evaluar de manera efectiva el pasaje a TLS:

Read moreGoogle subirá el ranking de los sitios que usen HTTPS

Vulnerabilidad Heartbleed. ¿De qué se trata?

Photo by Markus Spiske on Unsplash

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Read moreVulnerabilidad Heartbleed. ¿De qué se trata?