Investigadores de Google detectan una vulnerabilidad que afecta a SSL 3.0
Poodle aprovecha una característica que hace que, cuando un intento de conexión segura falla, se proceda a intentar realizar de nuevo esa conexión pero con un protocolo de comunicación más antiguo. ESET señala que la vulnerabilidad solo afecta a SSL 3.0 y a versiones anteriores.
ESET se ha hecho eco del hallazgo realizado por investigadores de Google, que han detectado una grave vulnerabilidad afecta a SSL 3.0, y que ha sido bautizada como Poodle.
SSL es un protocolo de comunicación seguro, cuya función principal es permitir el envío de claves de cifrado entre las aquellas aplicaciones que lo implementen, de manera que se establezca una conexión segura entre ellas que no pueda ser espiada. Pues bien, lo que hace Poodle es aprovecharse de una característica que hace que, cuando un intento de conexión segura falla, se proceda a intentar realizar de nuevo esa conexión pero con un protocolo de comunicación más antiguo. De esa forma, un atacante podría ocasionar intencionadamente errores de conexión en protocolos seguros como TLS 1.2, 1.1 y 1.0, y forzar así el uso de SSL 3.0 para aprovechar la nueva vulnerabilidad. “Podríamos decir que Poodle no está orientado a “hackear” nuestro sistema, sino a obtener la información que antes se enviaba cifrada y un atacante no podía descifrar”, señala Josep Albors, director de laboratorio de ESET.
Albors explica que se trata de un ataque en dos tiempos, en el que, primero se fuerza el uso de un protocolo no seguro, y luego se aprovecha una vulnerabilidad en él. No obstante, para poder realizar este ataque el atacante ha de estar conectado a la misma red que la víctima para interceptar sus comunicaciones, y se requiere que JavaScript se esté ejecutando en el navegador, algo que puede desactivarse, lo que limita su alcance.
En principio, se puede utilizar Poodle para realizar una amplia variedad de ataques, como por ejemplo, para el secuestro de las cookies de sesión, lo que permitiría al atacante registrarse en la cuenta online de un usuario sin necesidad de obtener previamente su contraseña. De esta forma se podrían realizar robos de identidad y publicar mensajes en redes sociales, enviar correos o realizar transferencias bancarias en nuestro nombre.
Respecto a las posibles soluciones, Josep Albors aclara que Poodle solo afecta a versiones antiguas de SSL, por lo que una de las mejores soluciones pasa por dejar de utilizar SSL 3.0 y todas sus versiones anteriores y usar solo TLS 1.0 y posteriores. Se trata de una tarea ardua debido a que aún quedan muchos usuarios que utilizan aplicaciones que no soportan versiones posteriores a 3.0, como por ejemplo Internet Explorer 6.0. De momento, algunas de las empresas más importantes encargadas de alojar un buen número de sitios web ya han anunciado que dejarán de soportar SSL 3.0 en breve.
