Utilizamos cookies para ofrecer a nuestros usuarios una experiencia cómoda y segura de navegación. Al utilizar nuestra página web aceptas el uso de cookies - Más información - Aceptar.

Noticias

15/10/2014 VULNERABILIDAD CRÍTICA EN SSL (POODLE)

Desde el punto de vista de la seguridad informática, esta semana está siendo muy pero que muy movidita en cuanto a fallos y vulnerabilidades publicadas.

Hoy, desde Google, tres investigadores: Bodo Möller, Thai Duong and Krzysztof Kotowicz han publicado los detalles de un nuevo fallo que, definitivamente, va a llevar a la tumba al protocolo SSL v3 (con 15 años de antigüedad ...) y parece que va a ser el espaldarazo definitivo para que *todo* sea TLS.

Los detalles de la vulnerabilidad se pueden leer en este PDF y que (en una lectura muy preliminar aun) deduzco que combina dos ataques, por un lado llevar al cliente a un 'downgrade', es decir a un terreno menos seguro (SSL 3.0) y una vez ahí, es donde se produce el ataque que permite acceder a datos cifrados bajo una sesión SSL.

Como recomendación obvia para mitigar este ataque se propone deshabilitar SSL v3 y también activar TLS_FALLBACK_SCSV lo que mitigaría la parte del downgrade.

La primera reacción a POODLE llega desde Mozilla que ya anuncia el abandono de SSL v3 en futuras versiones del navegador.

Cabe señalar que esto no supone, per se, que alguien pueda acceder directamente al tráfico SSL de un PC contra una web, es necesario un escenario de tipo MitM para poder acceder a los datos. (Fuente: securitybydefault.com)
AERTIC
Ingenia Consultoría Tecnológica S.L.