Eressea Solutions > Google descubre a Poodle, una peligrosa vulnerabilidad en el protocolo SSL

Google descubre a Poodle, una peligrosa vulnerabilidad en el protocolo SSL

Publicado el: 15 de octubre, 2014

poodleUn equipo de tres ingenieros de Google encontró una vulnerabilidad en el protocolo criptográfico SSL que pone en peligro la información que se transmite entre cliente y servidor. Este tipo de protocolo de seguridad informática es muy utilizado en Internet, de ahí su peligrosidad.

Los ingenieros que encontraron a Poodle (nombre que recibió la vulnerabilidad) son Bodo Möller, Thai Duong y Krzysztof Kotowicz, ingenieros del equipo de seguridad informática en Google. El nombre Poodle fue dado por su significado en inglés Padding Oracle On Downgraded Legacy Encryption.

Poodle

El problema fue localizado en el diseño del protocolo SSL 3.0, que existe desde hace 15 años. La vulnerabilidad permite a hackers ver la información enviada en texto plano (sin seguridad) entre conexiones seguras servidor-cliente.

Poodle se aprovecha de la forma en la que se comunican los servidores y clientes: en la primera conexión entre éstos, se intenta utilizar el protocolo de encriptación más seguro; si la conexión falla o no se logra enlazar, se intentará utilizar el protocolo menor, y así hasta conseguir la conexión. El cambio a una versión inferior del protocolo también puede ser causado por fallas en la conexión de Internet, y éstas pueden ser generadas por hackers.

Desactivarán protocolo SSL

Los googlers no han encontrado evidencia de que este problema esté siendo aprovechado por hackers, y por ahora la única solución que revelan es desactivar el protocolo SSL 3.0 — que de por sí los servidores y sitios web ya no deberían utilizar porque tiene más de una década en función y ya existen versiones nuevas y más seguras. Asimismo, Möller y compañía sugieren abandonar SSL 3.0 y que los sitios y servidores opten por utilizar TLS_FALLBACK_SCSV, un mecanismo que impide que la conexión servidor-cliente utilice un protocolo criptográfico de menor seguridad.

Google afirma que su navegador Chrome ya tiene desactivado el protocolo SSL 3.0 y utiliza TLS 1.2, 1.1 o 1.0, para así evitar problemas de seguridad. Si bien lo hecho por Google con Chrome ayuda a mitigar el problema de seguridad, algunos sitios podrían llegar a mostrar inestabilidad. De igual forma, Google eliminará el protocolo SSL 3.0 de todos sus servicios y productos en los próximos meses.

Fuente: Cnet.com

Relacionado

30 de octubre, 2015

Senado de EE.UU. votó a favor del proyecto de ley de CISA

El proyecto de ley de la Cyber Information Sharing Act (CISA) fue votado a favor por parte del Senado de EE.UU. en un revés contra aquellos que estaban en contra de esta regulación.

1 de octubre, 2015

EU investiga a Google por su sistema operativo Android

La Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés) investiga si Google está utilizando su sistema operativo para dispositivos móviles Android para desalentar la competencia.

Custom Solutions for your business

Experience, Quality and Security

Contact us