16 oct 2014

POODLE, EL CANICHE QUE ACABA CON SSL V3.0 (IN-SECURE SOCKET LAYER)

Aunque su nombre no da miedo, Poodle (Caniche en inglés), ha generado una gran expectación al ser el nombre que tres desarrolladores de Google (de ahí su juego de letras) han puesto a la vulnerabilidad que tira por tierra el protocolo SSL en su versión 3.0.


Poodle (Padding Oracle On Downgraded Legacy Encryption) hace que el protocolo más usado hoy en día se quede obsoleto y vulnerable. Éste ataque permite a un hacker "calcular" el texto plano de tokens o cookies HTTPS, forzando un fallback a SSL 3.0, pudiendo así secuestrar sesiones o loguearse como otro usuario. El ataque es relativamente fácil de desarrollar y puede ser realizado "on-the-fly" usando JavaScript y así interceptar, por ejemplo, packetes de las víctimas en un punto Wifi público, como en una cafetería de moda.

SSL no tuvo un principio fácil, ya que incluso su primera versión ni vió la luz, directamente se publicó la 2.0 al mundo. Pasado un tiempo, en 1996, se publica la versión 3.0, que se pensaba que sería para siempre, pero como hemos visto hace poco, su final.... ha llegado.

Todos tenemos aún en mente las vulnerabilidades que han dado que hablar este tiempo atrás, me estoy refiriendo a Heartbleed y Shellshock, y aún sin tiempo de digerirlas del todo, nos encontramos con Poodle.

Según el "TOP 1 MILLION" de Alexa, a fecha 12 de Octubre de 2014, cerca del 96.9% de las páginas web usan HTTPS SSL v.3 y un 0.12 % de ellas no soporta ninguna versión de TLS. (sustitutivo/solución a éste problema).

Se aconseja desactivar SSLv.3, y usar TLS 1.0, TLS 1.1 o TLS 1.2. También hay que tener en cuenta y evitar que TLS se degrade a SSL, para ello tenemos una opción que evita que innecesariamente, a servidores y clientes que soporten TLS, pasen a usar SSL en su lugar. Ésta opción es TLS_FALLBACK_SCSV, (INFO,), si hablamos en términos de servidores. Para clientes (Firefox, Chrome, ...) cada uno está aplicando su solución.

De momento Firefox a desactivado por defecto SSLv.3 en su navegador versión "Nightly". Hasta el 25 de Octubre cuando publique su "release" 34, sobre el 25 de noviembre, no corregirá éste problema en su navegador habitual, (salvo que digan lo contrario).



INFO:

https://zmap.io/sslv3/


Análisis Técnico:

https://www.imperialviolet.org/2014/10/14/poodle.html


Paper completo:

Https://www.openssl.org/~bodo/ssl-poodle.pdf


Comprueba tus servidores con un diagnostico del SSL:

Https://www.digicert.com/help/

https://www.tinfoilsecurity.com/poodle

http://poodlebleed.com/



No hay comentarios:

Publicar un comentario