Investigadores de Google Bodo Möller, Tailandesa Duong & Krzysztof Kotowicz anunció ayer que se han descubierto recientemente Padding Oracle On Degradado Encryption Legado, conocido como CANICHE, estar atacando el SSL 3.0 versión de la clave de cifrado pública introducido por Microsoft de nuevo en 1996. En 1999 la clave fue reemplazado por una versión más reciente, conocido por el nombre de TLS 1.0, dos venida más después de eso (TLS 1.1 & TLS 1.2) pero la gran mayoría de los sitios web y navegadores todavía usan los más antiguos, versión menos segura del certificado. Lo que POODLE hace es aprovechar cuando alguien baja a la versión anterior si no puede establecer una conexión segura. La rebaja puede ser provocada por fallos de red o ataques de hackers en vivo, así.
¿Por qué está todo el mundo que todavía utilizan SSL 3.0 Cuando Es Casi 20 Años de Edad?
'El problema es que la internet tiene todo un montón de partes que evolucionan de forma independiente el uno del otro en movimiento. ", investigador de seguridad Troy dice Hunt. …. 'Y así es con SSL; cuando dos partes (decir un navegador y un servidor) se encuentran en diferentes etapas de la evolución y ofrecer soporte para diferentes versiones, Podían tirar las manos en alto y decir: 'No podemos llevarnos bien’ o pueden comprometer y retroceder a una versión común que puede tanto apoyo. Este último es el más fácil de usar así que eso es lo que a menudo sucede. (Incidentalmente, esto sucede implícita y sin interacción del usuario. Es una 'característica.)’
Camino bug del CANICHE de Actuación
Suele aparecer cuando alguien usa una conexión Wi-Fi pública no segura y es poco probable que ocurra si estás en casa, el uso de Wi-Fi protegida conexión. Utiliza la técnica llamada Man-in-the-Middle. Si está sentado en un cibercafé u otro lugar con Wi-Fi no seguro, por ejemplo, un hacker que se sienta a tu lado, utilizando la misma conexión no segura, puede obligar a la red de rebajar a SSL 3.0, siendo así capaz de navegar alrededor de los mismos lugares que visita a través de Internet en el momento. La tecnología no es capaz de robar contraseñas u otros datos de usuario de verificación, pero si alguien sentado junto a usted puede ver lo que se ve en el momento en que pueden navegar por sus e-mails, Facebook, o mensajes de Twitter sin problema.
Protección contra ataques CANICHE
Hay algunas cosas que usted puede hacer para protegerse a sí mismo y tus datos de este tipo de ataques.
- Ante todo, no entre los sitios que contienen información personal sobre los lugares con conexión Wi-Fi si es posible. Si realmente tiene que hacerlo, utilizar protección VPN si es posible, que ya no se utilizan sólo para el trabajo más y con un poco de cualquier orientación pueden establecer tal conexión.
- Segundo, tenga cuidado de lo que los sitios que está visitando al utilizar conexiones no seguras. Los atacantes necesitan un código Java-script especialmente diseñado para degradar a SSL 3.0 y acceder a su información y usted puede engañarlo para que visite estos sitios si es posible.
- La tercera y la máxima solución para usted es desactivar el SSL 3.0 certificado de los navegadores que está utilizando. En su próximo lanzamiento en 25 Noviembre de este año Mozilla lo eliminará por defecto.
Google lo está eliminando del código de Chrome en este momento. El uso de versiones posteriores a la de Microsoft IE6 también podría resolver el problema, Microsoft también ha publicado un Guía oficial cómo eliminarla desde el navegador a ti mismo. Se rumorea que Safari de Apple lo eliminará en su próximo lanzamiento, pero desafortunadamente, no se encontró información oficial.
Hay dos páginas comprobar que es usted vulnerable a CANICHE o no – poodletest.com y poodle.io. En realidad, son bastante divertidos y contienen guías sobre cómo proceder si también eres vulnerable. Intente revisarlos y arreglar sus navegadores: vale la pena!