Google expone un bug crítico en el protocolo de cifrado SSL 3.0

Un grupo de investigadores de Google ha revelado un bug crítico en el veterano estándar de cifrado SSL 3.0. Esta vulnerabilidad, denominada "POODLE", abre camino a ataques man-in-the-middle para acceder a cookies HTTP que podrían contener información sensible, eludiendo por completo el protocolo de seguridad.

La versión afectada de SSL ya cuenta con 15 años de historia y en la mayoría de los casos ha dejado paso a protocolos de cifrado más modernos. No obstante, el problema sigue de relevancia debido a que SSL 3.0 todavía se utiliza como alternativa cuando fallan sus versiones sucesoras, un comportamiento que se puede inducir de forma deliberada en algunos casos.

Por el momento, la compañía explica (pdf) que la mejor solución pasa por dar soporte tanto en navegadores como en servidores a la función TLS_FALLBACK_SCSV, que evita la regresión a protocolos por debajo de TLS 1.2. Este mecanismo cierra la vía de ataque sin causar problemas de compatibilidad por desactivar el soporte para SSL 3.0.

Los expertos de Google reconocen que no hay "una solución razonable" para POODLE, por lo que en última instancia "SSL 3.0 se deberá evitar por completo". En respuesta a la vulnerabilidad, la Universidad de Michigan ha publicado un estudio en el que se detallan los pasos para desactivar SSL 3.0 en navegadores y servidores.

Según los datos de la universidad, el 96,9% de las páginas del "top un millón" en el ranking Alexa dan soporte a SSL 3.0, mientras que solo un 0,12% de estas no ofrecen ninguna versión de TLS. En el lado de los navegadores, el principal riesgo corresponde a los usuarios de Internet Explorer 6 o inferior, que no presenta compatibilidad con TLS.
Suma y sigue, es curioso que estén saliendo todos estos fallos este año.
Es flipante la verdad, este año esta siendo la leche en cuanto a bugs del protocolo seguro... veremos como termina la cosa
NeRKo escribió:Suma y sigue, es curioso que estén saliendo todos estos fallos este año.


Ha habido un "efecto llamada" el problema es que son librerias y protocolos muy antiguos que tienen ya poco o casi nulo mantenimiento... cuando salió a la luz el primero pues se empezó a investigar otros que estaban ahí en el olvido pero que podrían tener los mismo problemas...

Esto es bueno, mientras se vaya corrigiendo, hacía falta un repasito profundo.
ElHobbit escribió:
NeRKo escribió:Suma y sigue, es curioso que estén saliendo todos estos fallos este año.


Ha habido un "efecto llamada" el problema es que son librerias y protocolos muy antiguos que tienen ya poco o casi nulo mantenimiento... cuando salió a la luz el primero pues se empezó a investigar otros que estaban ahí en el olvido pero que podrían tener los mismo problemas...

Esto es bueno, mientras se vaya corrigiendo, hacía falta un repasito profundo.


Que no quepa duda compañero. La importante es que se vayan corrigiendo, lo que no sabemos el alcance que puede tener esto. Nos quedan muchas noticias similares a esta por ver seguramente.
spissus está baneado por "Saltarse un ban con un clon"
[facepalm]
Exijo que retiren el articulo por poner Pole de manera encubierta en POODLE
Ya me parecia raro que firefox se actualizara tan rapido a v33 cuando normalmente estan meses entre una version y otra.
lecitron escribió:Exijo que retiren el articulo por poner Pole de manera encubierta en POODLE


xDDDDDDD. Deberian banear por unos dias a todos los usuarios que pongan pole y no solo los usuarios los miembros del Staff tambien deben sufrir en caso de que lo hagan xD. Pero claro que justamente es casualidad que ponga POLE... Hace unos dias encontre un usuario en ADV que justamente tenia de nombre TOMAFAKE y resulta que en realidad se llama TOM EKAFA y claro puso su apellido al reves y el resultado xD. (o eso dijo el, que no sabia ingles y no sabia lo que era un fake).

El caso es que nadie sabia de este fallo y cuando lo descubren todo el mundo se entera y mas si dicen que alexa es la que mas tiene, si llego a ser Haker ya estaria tratando de probarlo y sacarle datos y contraseñas. Si yo descubro una vulnerabilidad pues lo informaria de forma privada asi cuando salga a la luz ya estara complemtamente tapado, aunque claro siempre hay bocas por el mundo.
mmiiqquueell escribió:Ya me parecia raro que firefox se actualizara tan rapido a v33 cuando normalmente estan meses entre una version y otra.


Ojo con esto, porque la v33 no soluciona el problema.

Según lo que se puede leer en este enlace en Firefox no se va a solventar hasta el 25 de Noviembre, que es la fecha en la que van a sacar Firefox 34. El que no quiera esperar tiene que instalar manualmente la siguiente extensión:

https://addons.mozilla.org/en-US/firefo ... n-control/

Un saludo.
Creo que hace un tiempo leei aqui un articulo sobre un equipo de hackers que habia contratado google para investigar este tipo de fallos, creo no haber visto ningun enlace a ello. Parece ser que da buenos resultados [oki]

mmiiqquueell escribió:
lecitron escribió:Exijo que retiren el articulo por poner Pole de manera encubierta en POODLE


xDDDDDDD. Deberian banear por unos dias a todos los usuarios que pongan pole y no solo los usuarios los miembros del Staff tambien deben sufrir en caso de que lo hagan xD. Pero claro que justamente es casualidad que ponga POLE... Hace unos dias encontre un usuario en ADV que justamente tenia de nombre TOMAFAKE y resulta que en realidad se llama TOM EKAFA y claro puso su apellido al reves y el resultado xD. (o eso dijo el, que no sabia ingles y no sabia lo que era un fake).


Lo de POLE no lo veo mal si antes as hecho un comentario relevante al tema.
No me preocupa que salgan a la luz las vulnerabilidades...

Lo realmente preocupante es que esto se detecte 15 años despues, y que se quede uno pensando cuando hackers/gobiernos han estado aprovechandose de esta vulnerabilidad.

Y mas aun, cuantas vulnerabilidades existen aun no descubiertas y que en este momento estan usando para invadir nuestra privacidad. [+furioso]
Cada vez que alguien arregla un problema de seguridad en un protocolo de cifrado, la NSA llora...

Salu2
Nagaroth escribió:
Ojo con esto, porque la v33 no soluciona el problema.

Según lo que se puede leer en este enlace en Firefox no se va a solventar hasta el 25 de Noviembre, que es la fecha en la que van a sacar Firefox 34. El que no quiera esperar tiene que instalar manualmente la siguiente extensión:

https://addons.mozilla.org/en-US/firefo ... n-control/

Un saludo.


Vaya, Gracias por el dato... Es que como hace unas semanas se me actualizo a v32 y luego unos parches pues me parecia raro que ya saliera v33.. De todas formas no me importa, Firefox cada vez va peor, antes cuando lo cerraba siempre me borraba todo y ahora por mucho que le tenga borrar todo el historial y contraseñas y de todo al cerrarse solo me borra el historial, lo demas me lo guarda y lo bueno es que ademas de tener sesion iniciada en todo si salgo y vuelvo a entrar me pide si deseo guardar la contraseña :S Creo que volvere al Internet Explorer. xD
SIDE escribió:
Lo de POLE no lo veo mal si antes as hecho un comentario relevante al tema.


A mi me parece que es una sobrada, comente o no la noticia molesta a la vista.

Nova6K0 escribió:Cada vez que alguien arregla un problema de seguridad en un protocolo de cifrado, la NSA llora...

Salu2


Que va a llorar? si tienen programas como si fueran servicios del propio SO enviando todo lo que hacemos, vemos y demas. Aunque tengas el PC desconectado seguro que sigue enviando datos.
Para los que no queráis usar add-ons (aunque sea oficial de Mozilla), podéis cambiar la preferencia security.tls.version.min a 1 (si no lo está ya), para que no se use SSLv3 (0).
http://kb.mozillazine.org/Security.tls.version.%2A

Tened en cuenta que el máximo security.tls.version.max también es recomendable poner el mismo número para que la vulnerabilidad en renegociación de TLS no haga un "downgrade", por ejemplo, de TLSv1.2 a TLSv1.

Si tenéis problemas, que los habrá hasta que los servidores dejen de lado SSLv3, o porque implementen una versión concreta de TLS, tendréis que jugar a cambiar esos valores cuando no os funcione una página en SSL.

Sobre Internet Explorer 6, podéis ir a opciones de internet y espeficar que use solo TLSv1 en opciones avanzadas (esta captura no es mía):
Perdón Firefox 31 no tenía ese valor en 1. Editado el mensaje anterior ;)

@Solieyu con que cambies ese valor, casi te sobra ;)
SIDE escribió:Creo que hace un tiempo leei aqui un articulo sobre un equipo de hackers que habia contratado google para investigar este tipo de fallos, creo no haber visto ningun enlace a ello. Parece ser que da buenos resultados [oki]

Yo también lo recuerdo, me parece todo un acierto por parte de Google si consiguen dar con este tipo de bugs y así contribuir a solucionarlos por el bien de todos.
16 respuestas