Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Photo by Markus Spiske on Unsplash

Hace algunos días Apple emitió una alerta de seguridad tras descubrir que Safari, su explorador de internet, se encontraba en riesgo.

Gracias a un error en el método de cifrado, los datos enviados a través de Safari y que debían estar protegidos bajo el protocolo SSL, simplemente eran enviados sin codificar.

Para llevarlo a un punto entendible, el protocolo SSL (Secure Socket Layer, por sus siglas en inglés) se encarga de cifrar los datos intercambiados entre dos equipos (normalmente cliente/sevidor), asegurando que la información no pueda ser leída por nadie durante el tiempo que dure la comunicación.

Vamos a poner el ejemplo del banco, al que accedemos via web para consultar el estado de nuestras cuentas. Luego de escribir nombre de usuario y contraseña, nuestro navegador se presenta al servidor remoto (en este caso el banco) con quien negocia el algoritmo a utilizar. Tras validar la autenticidad del certificado del servidor, utiliza su clave pública para generar una clave maestra que será enviada al servidor remoto. Éste utilizará su clave privada para decodificarla y, a partir de ahora, intercambiará mensajes cifrados con la clave maestra.

Cada paquete enviado o recibido debe estar cifrado con ella para evitar que quien intercepte la comunición pueda acceder a los datos. La siguiente imagen explica el proceso completo, en inglés:

Read moreRedes Wi-Fi: Lo que nadie te contó sobre tu privacidad