Hace escasos días, unos ingenieros de Google han encontrado una vía de ataque para el protocolo SSL, este ataque ha recibido el nombre de Poodle. Quizás se trate de un juego de palabras para rimar con “Google”, pero sus siglas significan: “Padding Oracle On Downgraded Legacy Encryption“, según el traductor de la propia Google esta es su traducción literal: “Oráculo de relleno en cifrado antiguo degradado“.

Para poner en situación y explicar el caso, al abrir una página segura (como el acceso una web de correo electrónico o una web bancaria), ésta se carga bajo una URL que empieza por: HTTPS, indicando que realiza una conexión segura. Pues bien, esta conexión segura utiliza los protocolos SSL o TLS. En el caso de SSL se trata de la versión 3 (la 1 no llegó a publicarse y la 2 apenas se utilizó) y en el caso del TLS existen las versiones 1.0, 1.1 y 1.2.

Este ataque jubilaría este protocolo SSL versión 3, el cual (a pesar de tener estos nombrados sucesores) fue publicado allá por el año 1996. Según los expertos, la gravedad de este ataque no es tan crítica como otras vulnerabilidades y se necesitan unos minutos para acceder a ciertos fragmentos de los datos cifrados. En estos datos accesibles figuran las cookies, en donde pueden estar almacenados datos de acceso de una web y éstos se puedan utilizar por un atacante para suplantar nuestra identidad e iniciar sesión en el sitio en cuestión.

¿Cómo proteger nuestros navegadores?

A continuación, se adjuntan unos simples pasos para hacer que los habituales navegadores en Windows dejen de utilizar conexiones SSL versión 3.

NOTA: Para comprobar la vulnerabilidad por Poodle, se ha habilitado la web https://www.poodletest.com/ , para comprobar si es vulnerable el navegador en el que se carga la página. En caso de estar a salvo saldrá un mensaje: “Not vulnerable!” y en caso contrario, como es obvio: “Vulnerable

Internet Explorer

  1. Abrir el navegador Internet Explorer.
  2. Hacer clic sobre el menú “Opciones” o sobre el icono de la rueda dentada y pulsar en “Opciones de Internet“.
  3. Acudir a la pestaña “Opciones Avanzadas“.
  4. Deslizar la barra hasta ver las opciones SSL / TLS, desactivando SSL y activando las de TLS.Internet Explorer SSL
  5. Esta captura corresponde a un Windows 7 con Internet Explorer 11. En el caso de Windows anteriores es probable que no haya disponibles las opciones TLS 1.1 ó 1.2.

 

 

Mozilla Firefox

  1. Abrir el navegador Firefox y escribir en la barra de direcciones: about:config , pulsar enter para cargar una página de opciones especiales.Firefox SSL
  2. Saldrá un aviso indicando que el cambio de estos parámetros puede alterar la aplicación, pulsar sobre el botón para poder entrar.Firefox SSL
  3. Aparecerá una lista de opciones y una barra de búsqueda, en la barra escribiremos: security.tls.version .Firefox SSL
  4. Hacer doble-clic sobre la opción security.tls.version.min , saldrá una ventana solicitando un valor, hay que indicarle el número 1 (antes había un cero).Firefox SSL
  5. Pulsar sobre el botón Aceptar y a continuación, reiniciar el navegador.

Google Chrome

  1. Chrome no tiene, de momento, una opción a nivel visual para cambiar el parámetro del protocolo SSL. Para cambiarlo, se modificará el acceso directo de Google Chrome (en el escritorio, por ejemplo), pulsando con el botón derecho sobre su acceso directo y seleccionando Propiedades.Google Chrome SSL
  2. En la pestaña Acceso directo, hay que localizar la línea Destino.Google Chrome SSL
  3. Añadir al final de los datos que hay en la línea Destino–ssl-version-min=tls1  , separando este parámetro de los que ya hay en dicha línea con un espacio. El resultado será algo así:Google Chrome SSL
  4. Pulsar sobre Aceptar para guardar los cambios. Es posible que el sistema pida permisos de administrador. Cerrar Chrome y volver a abrirlo.
  5. IMPORTANTE: el parámetro añadido sólo tendrá efecto al abrir Chrome desde el acceso directo modificado, en este caso ha sido en el escritorio.

Hacer Comentario

Su dirección de correo electrónico no será publicada.