Anuncio

¿Cuándo a la gente no le gusta un cachorro? Cuando saben que no es un cachorro, sino un exploit del navegador destinado a robar su información vital. El POODLE (PAGSagregando Oracle Onorte repropio Lherencia micifrado) estamos hablando de un grave ataque de seguridad.

Como una vulnerabilidad de seguridad, puede afectar a todos los navegadores web y, por lo tanto, a cualquiera de nosotros. Veamos qué es POODLE, qué hace y qué puede hacer para evitar que lo muerda.

Información de fondo

Para entender POODLE, necesitas saber un poco acerca de SSL y TLS ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto?Las preocupaciones de seguridad se están extendiendo por todas partes y han llegado a la vanguardia de la mente de la mayoría de todos. Términos como antivirus o firewall ya no son vocabulario extraño y no solo se entienden, sino que también son utilizados por ... Lee mas . Son dos protocolos criptográficos que se desarrollaron para ayudar a proteger sus comunicaciones web importantes. Cuando vas a un sitio web y ves

instagram viewer
HTTPS: // antes de la dirección web, está utilizando SSL / TLS. SSL (Secure SOcket Layer) y TLS (Transport Sseguridad Layer) son dos protocolos muy diferentes, pero la mayoría de la gente simplemente los agrupa y los llama SSL. SSL fue reemplazado por el protocolo TLS hace unos diez años como el de facto estándar para la criptografía, sin embargo, SSL todavía se usa ampliamente. Eso es lo que hace que POODLE sea peligroso.

Cuando visita un sitio web, la computadora que le sirve la página (Servidor web) es capaz de varios niveles de criptografía seguridad, desde TLSv1.2, el protocolo más reciente y seguro, hasta SSLv3, el protocolo más antiguo y menos seguro. Esto permite que su navegador y el servidor web puedan conectarse con el mismo protocolo para que puedan hablar de forma segura. Esta es la forma fundamental en que los navegadores y servidores web intentan evitar ataques de hombre en el medio ¿Qué es un ataque de hombre en el medio? Jerga de seguridad explicadaSi has oído hablar de ataques de "hombre en el medio" pero no estás muy seguro de lo que eso significa, este es el artículo para ti. Lee mas , como POODLE

¿Qué hace POODLE?

POODLE intenta forzar la conexión entre su navegador web y el servidor para degradar a SSLv3. Si lo hace, el atacante puede obtener la información de texto sin formato de la comunicación. Eso significa que pueden acceder a las cookies que a menudo se usan para almacenar información, algunos de los cuales podrían ser de naturaleza personal y sensible ¿Qué es una cookie y qué tiene que ver con mi privacidad? [MakeUseOf explica]La mayoría de la gente sabe que hay cookies dispersas por todo Internet, listas y dispuestas a ser devoradas por quien las encuentre primero. ¿Esperar lo? Eso no puede ser correcto. Sí, hay cookies ... Lee mas . Lo que el atacante hace con esa información es una incógnita, pero nunca es nada bueno.

Por el lado positivo, el ataque POODLE no es la forma más fácil para que un atacante obtenga tu información. Puede tomar cientos, incluso miles, de intentos para que el ataque POODLE funcione en alguien. Es algo de lo que preocuparse, sin embargo, no es necesariamente tan malo como el problema reciente de Heartbleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Lee mas .

¿Cómo puedo protegerme de POODLE?

Afortunadamente, es algo bastante fácil de hacer. Lo primero es lo primero, veamos si eres POODLE vulnerable. Simplemente vaya al sitio web POODLETest.com. Si ves un caniche, tienes que limpiar un poco. Si ve el Springfield Terrier, su navegador está listo para funcionar. Para aquellos que son más expertos en tecnología, echa un vistazo Prueba de cliente SSL de Qualys SSL Labs. Proporciona detalles más detallados.

caniche-no-caniche

El principio subyacente es deshabilitar el soporte SSLv3 en su navegador web. Si está deshabilitado, POODLE NO puede degradar su navegador a él. Veamos cómo hacer esto en Chrome, Internet Explorer y Firefox.

Tenga en cuenta que muchos sitios web todavía quieren usar SSLv3. Si lo deshabilita, es posible que esos sitios no funcionen tan bien como antes. No estaría de más enviarle a esa empresa un buen correo electrónico con un enlace a este artículo para que conozcan el problema. Con suerte, se actualizarán a TLS y todo volverá a estar bien.

Cromo

Encuentra el acceso directo que utilizas para iniciar Chrome. Haga clic derecho sobre él y luego haga clic en Propiedades.

cromo-caniche-paso-1

Cuando el Propiedades se abre la ventana, busque el campo llamado Objetivo. Debe haber un camino largo hacia donde se encuentra el archivo Chrome. Debería verse así: "C: \ Archivos de programa (x86) \ Google \ Chrome \ Application \ chrome.exe" o "C: \ Archivos de programa \ Google \ Chrome \ Application \ chrome.exe".

cromo-caniche-paso-2

Haga clic justo después de la última comilla y presione su barra espaciadora para crear un espacio. Ahora escriba lo siguiente:

 ––Ssl-version-min = tls1

También puedes copiar y pegar eso desde aquí. Lo que le dice a Chrome que haga es usar TLSv1 como la versión más baja de seguridad para su navegador Chrome. Haga clic en el Aplicar botón en la parte inferior de la ventana, y la próxima vez que abra Chrome, estará a prueba de POODLE.

explorador de Internet

Abra su navegador de Internet Explorer y haga clic en el Configuraciones icono. Es el que parece un engranaje. Ahora haga clic en Opciones de Internet. Una nueva ventana se abrirá.

internet-explorer-ie-poodle-step-1

En el extremo derecho, verá una pestaña etiquetada Avanzado - Haz click en eso. En el Configuraciones área, desplácese hacia abajo hasta que vea las opciones Use SSL 2.0 y Use SSL 3.0.

internet-explorer-ie-poodle-step-2

Si hay una marca de verificación en esos dos cuadros, desactívelos haciendo clic en ellos. Asegúrese de que las cajas etiquetadas Use TLS 1.o, Use TLS 1.1 y Use TLS 1.2 están marcados (Si no tiene estos tres cuadros TLS, debe actualiza tu Internet Explorer.) Luego haga clic en el Aplicar botón y el Okay botón. Su Internet Explorer ahora está a prueba de POODLE.

Firefox

Si eres fanático de Firefox, aquí te mostramos cómo ayudar al zorro a ser más listo que el POODLE. Simplemente ve a Firefox SSL Version Control 0.2 Página del complemento, luego descargue e instale el complemento SSL Version Control 0.2. Es fácil.

firefox-poodle-ssl-version-control-add-on

Firefox también ha anunciado que su próxima versión, Firefox 34, deshabilitará la compatibilidad con SSLv3. Sin embargo, esa versión no se lanzará hasta noviembre, según su sitio web.

POODLE será cagado

Una vez que la mayoría de las personas a prueba de POODLE sus navegadores y la mayoría de los servidores web dejan de usar SSLv3, POODLE ya no será un problema. También hay una herramienta conocida como TLS_FALLBACK_SCSV que se ha desarrollado para que los servidores web y los programadores de navegadores puedan implementar para ayudar. Desafortunadamente, esa herramienta requiere que el servidor web y el navegador la tengan. Eso llevará un tiempo para que todos lo implementen. Solo entonces SSLv3 quedará en el camino, como debería haberlo hecho hace una década. Corra la voz y haga de la Web un lugar más seguro para estar.

Créditos de imagen: Caniche enojado, Imagen vectorial HTTPS a través de Shutterstock.

Con más de 20 años de experiencia en TI, capacitación y oficios técnicos, es mi deseo compartir lo que he aprendido con cualquiera que esté dispuesto a aprender. Me esfuerzo por hacer el mejor trabajo posible de la mejor manera posible y con un poco de humor.