Investigadores de Google descubren una vulnerabilidad en SSL 3.0 y el modo de explotarla

Investigadores de Google han descubierto la forma de explotar una vulnerabilidad en el viejo protocolo SSL 3.0. La vulnerabilidad tiene más de 15 años de antigüedad pero, a pesar de ello, las versiones más viejas de algunos navegadores y servidores siguen usando este protocolo obsoleto, lo que podría poner en peligro la privacidad de los datos cifrados que se transmiten en la red entre el usuario y los servidores.

Los investigadores Bodo Möller, Thai Duong y Krzysztof Kotowicz, de Google, descubrieron la vulnerabilidad y desarrollaron un ataque para explotarla que llamaron “POODLE”, un acrónimo en inglés para “Padding Oracle On Downgraded Legacy Encryption”. Los investigadores explicaron que la vulnerabilidad “permite que un atacante de redes deduzca el texto descifrado de las conexiones seguras”.

SSL 3.0 ha sido reemplazado por varias versiones de Transport Layer Security (TLS) pero, a pesar de ello, muchas mantienen una compatibilidad con la versión obsoleta y permiten su uso si es que tanto el usuario como el servidor la utilizan. “Si un cliente y un servidor emplean una versión de TLS, el nivel de seguridad que ofrece SSL 3.0 sigue siendo válido porque permite que se regrese a una versión anterior del protocolo para evitar errores de operación del lado del servidor”.

El ataque de POODLE permite robar cookies HTTP o contenidos de autorización HTTP que se supone que son seguros aprovechando una falla de seguridad en el sistema de cifrado RC4, que data de 1987. A pesar de su antigüedad, Microsoft calcula que, en 2013, el 40% de las conexiones todavía usaba este tipo de cifrado.

Apple ha publicado actualizaciones para proteger sus sistemas operativos Mavericks, Mountain Lion y Yosemite de los ataques de POODLE.

Los investigadores han puesto a disposición del público una herramienta muy sencilla para ayudar a los internautas a detectar si sus navegadores están en peligro. Los usuarios sólo deben ingresar a www.poodletest.com y el sitio detecta de forma automática si el navegador es vulnerable.

Fuentes:

Apple patches OS X to protect against POODLE Computerworld
Google reveals major flaw in outdated, but widely-used SSL protocol ZDNet
Fix for critical ‘POODLE’ attack against SSL 3.0 could break Web for Internet Explorer 6 PC World