Web Analytics
Conecta con nosotros

Noticias

Google descubre una vulnerabilidad en el cifrado del protocolo SSL 3.0

Publicado el

Bug en el cifrado del protocolo SSL descubierto por Google

Investigadores de Google han anunciado que han encontrado un fallo de seguridad en el protocolo SSL 3.0, que puede ser usado por hackers para interceptar datos que supuestamente tendrían que ir cifrados, y al que han bautizado con el nombre de POODLE (Padding Oracle On Downgraded Legacy Encryption).

Según la empresa de Mountain View, la versión afectada de SSL tiene quince años, aunque todavía es muy usado en servidores HTTPS y todos los navegadores web lo soportan. Cuando en los navegadores fallan en la conexión vuelven a intentarlo con protocolos más viejos, incluyendo SSL 3.0, instante que pueden aprovechar los hackers para explotar el bug e interceptar datos.

Google recomienda desactivar el soporte de SSL 3.0 o el cifrado CBC con SSL 3.0, movimiento que debería mitigar el error, aunque esto puede presentar problemas de compatibilidad, así que también recomienda usar TLS_FALLBACK_SCSV, que previene la utilización de protocolos inferiores a TLS 1.2 en las conexiones, evitando así el uso del problemático SSL 3.0.

POODLE puede ser fácilmente esquivado. En la Universidad de Michigan detallan cómo hacerlo en  los navegadores Google Chrome y Internet Explorer y en los servidores Apache y NGINX, mientras que Mozilla ha anunciado que desactivará el soporte para SSL 3.0 en a partir de Firefox 34, que será liberado el 25 de noviembre, neutralizando el bug.

El gigante de las búsquedas también ha comentado que está corrigiendo el fallo en sus servidores para evitar problemas.

Más información | OpenSSL.org

Apasionado del software en general y de Linux en particular. El Open Source, la multiplataforma y la seguridad son mis especialidades.

29 comentarios
  • isorfe

    SSL, de fallo en fallo contínuo. En estos temas es en los que cobra vital importancia el soporte a tecnologías y estándares antiguos, no llega solo con ser compatible con ellos si no que a veces es necesario continuar mejorándolos.

  • ciberboy

    hay que crear un nuevo protocolo de seguridad mas eficiente para sustituir al SSL, son millones de usuarios que depende de los cifrados de seguridad en paginas de confianzas como los bancos y las tiendas online para hacer transacciones y compras donde se manejan muchisimo dinero en cualquier denominación monetaria y mas ahora que se acerca la temporada navideñas y muchos ciberdelincuentes quieren hacer sus «aguinaldos».

  • Xbit

    Dios mio… 15 años de agujero…

  • roader

    Suele pasar . Hay por ahí fallos con mas de 30 años , como uno en X.org (claro que era un fallo leve) . Coincido con el de abajo en que SSL debe ser jubilado lo antes posible .

  • Xbit

    Definitivamente se necesitan nuevos, mejores y mas modernos protocolos…

  • roader

    Por ejemplo , cifrar los datos dos veces de maneras distintas es una de las maneras mas obvias de mejorar la seguridad , dada la capacidad que tienen hoy los ordenadores , no es ninguna sangria …

  • Bueno, la Mozilla Foundation va a darle un buen mazazo a SSL 3.0, así que espero que en unos años haya desaparecido del mapa.

    Pero claro, no solo hay que luchar contra protocolos obsoletos, sino también contra el inmovilismo de buena parte del sector profesional de la informática, donde para muchos Windows 2000 y sobre todo XP siguen siendo el último grito tecnológico.

    Al menos en esta noticia se la juegan con la seguridad, así que mejor que muevan ficha.

  • Xbit

    Ciertamente, muchos se quedan estacados en sistemas antiguos… luego los datos (y nosotros) pagamos los patos…

  • Mario Alejandro Gonzales Flore

    Tiene razón @ciberboy, o reescribir o crear otra capa de seguridad que no tenga tanta dependencia ni sea necesario llaves certificadas, debería bastar con una encriptación en el servidor.

  • roader

    Esto es como los lenguajes de programación , ves java innecesario por todas partes , gente diciendote que C es mejor que C++/vala/Rust/go/»Insertar lenguje compilado orientado a POO aqui»

  • roader

    Esto es como los lenguajes de programación , ves java innecesario por todas partes , gente diciendote que C es mejor que C++/vala/Rust/go/»Insertar lenguje compilado orientado a POO aqui»

  • Yo cada día soy más escéptico con Java, más desde que le estoy dando un poco más de caña a .Net últimamente.

    Lo de C, en fin, para mi se ha quedado como lenguaje para la programación a bajo nivel, ya que hoy en día no conozco ninguna tecnología que lo use a nivel de frontend, menos GTK, claro, aunque puede que esté hablando muy a la ligera.

  • roader

    ¡ .NET ! ¡ Traidor , yo confiaba en ti ! Na , es broma , si tan solo tubieramos bindings Qt o Gtk+ en condiciones …

  • Encuentran un fallo cuando ya prácticamente todos dejaron de usarlo, perfecto, ahora la excusa es que casi no afecta a nadie… pfff.

  • Por el tipo de transacciones que se llevan a cabo, no lo antes posible, era para ayer esa jubilación.

  • Xbit

    A mi nunca me gusto Java. Es realmente increible como un lenguaje puede cepillarse el hardware de una manera tan rapida.

  • Xbit

    .NET es opensource, no es tan traidor xD

  • kornival

    Un poco tarde.

  • Xbit

    Esperemos no haya habido victimas con este bug…

  • .net y C# le pasan el trapo en eficiencia a java, te lo dice alguien que hace 15 años programaba en C# bajo DOS y conocio el mundo java… cuando vi el desorden que era a nivel clases, cosas de terceros y demas, dije no.. gracias, yo paso, para usar java prefiero Visual Basic 6 jaja o mejor pascal turbo

  • Java es basura, los mismos developers lo confiesan, solo que remarcan que es bien pago, nada mas. Amigos mios me dicen, es mierda, pero me pagan bien por codear en mierda.

  • Leonmafioso

    Lenguaje c pese a todo es optimizado pero tiene los problemas con la memoria debido a la falta del recolector de basura, cosa que se ha solucionado parcialmente con bibliotecas.

  • Leonmafioso

    El unico detalle de java es que los programas escritos con el corren (en teoria) hasta en un tostador sin modificarlos. Por eso es que es tan utilizado. Pero a costa de un rendimiento por el suelo. 🙁 Hay una version de Minecraft escrita en C++ (MineTest) cuyo rendimiento sube bastante gracias a que no utiliza una maquina virtual que traduzca a las instrucciones del sistema operativo.

  • Java es una buena idea, pero a nivel frontend ha demostrado ser un desastre, y eso hace que pierda parte de su esencia, porque lo que mola de su filosofía es eso que has dicho, que una aplicación puede funcionar hasta en una tostadora si tiene una versión de la máquina virtual compatible. Sin embargo no se si en servidores hay tanta diversidad, yo creo que no, pero puedo estar equivocado.

    Pero su rendimiento es pésimo, y eso se nota no solo en las aplicaciones, sino al probar Windows Phone y Android en smartphones similares, y es más, puedes poner el sistema de Microsoft en un terminal algo más malo, que le va a dar una paliza al sistema de Google.

    He pasado bastante tiempo con Java en los últimos meses y ahora les estoy dando a .Net, y no hay color entre ambas tecnologías. Y todo por lo contrario que apunta @hackingthesystem4fun:disqus con Java, .Net es más homogéneo, más ordenado, mejor rendimiento, las herramientas están todas cohesionadas.

    Antes que fan del Open Source en general y de Linux en particular, soy un técnico programador, y si, .Net es un framework fantástico, digan lo que digan los fanboys.

  • roader

    Tranqui , es broma … Lo dicho , ojala hubiese bindings qt en condiciones .

  • roader

    No es una versión , es un clon . Aclaro para evitar malentendidos .

  • Xbit

    Ya sabia que era broma eh? pero ese es el típico comentario que aunque no viene a cuento, queda bien xD

  • roader

    En internet a menudo es dificil saber que es en serio y que es broma …

  • Xbit

    Cierto, pero siendo un poco pillo uno puede darse cuenta con que tono te dicen algo.

Lo más leído