Poodle: activar TSL 1.0 y desactivar SSL 3.0

Estar al día en seguridad es importante si queremos que nuestra página web funcione, por eso si no has escuchado hablar de Poodle, el último fallo de seguridad digital en 2014, es hora de que conozcas esta falla que puede conducir a robo de datos y desencriptarlos.
Poodle se beneficia de un problema en el certificado SLL 3.0, un protocolo que tiene casi 20 años de antigüedad en seguridad. Este certificado 3.0 nació para permitir que cliente y servidor se pudieran comunicar por Internet, pero ya quedó obsoleto ¿Tiene un carro hecho en 1990 la misma seguridad que uno en 2014? Como la respuesta es no, en los certificados de seguridad la respuesta es similar.

Soluciones contra Poodle

Trustwave ha empezado a luchar contra la amenaza de Poodle: lo primero que ha realizado es una actualización de la Gestión de Vulnerabilidad. De esta manera pueden detectar qué servidores aún utilizan la versión de SSL 3.0, que es la única que tiene este problema de seguridad. Existen algunos sistemas que deben desactivar este SSL de manera manual, por lo que es recomendable hablar con el sistema de soporte de tu proveedor de certificados.
Karl Sigler, uno de los especialistas en seguridad de Trustwave señaló que las nuevas versiones TLS 1.0 y 1.2 tienen nuevas características de seguridad así como correcciones que no tiene el SSL v3.0, por lo que es recomendable migrar a los nuevos protocolos. Sigler señaló que no existe ningún parche, por lo que hay que cambiar de sistema de seguridad.
SSL v3.0 es un sistema usado por muchas páginas porque es el único que soporta el navegador Internet Explorer 6. Un browser que aún tienen como referencia algunas páginas porque aún hay usuarios que lo utilizan. Pero en palabras de Sigler, no merece la pena arriesgar millones de datos por un porcentaje pequeño de usuarios.
El ataque podría iniciarse con un código de JavaScript en el navegador del usuario, ya fuera porque el navegador tiene una falla, bien sea por una vulnerabilidad de script de cross-site.
 

Poodle filtra información de los cookies

Asimismo Karl Sigler avisó que este ataque roba los datos de las cookies de la session. Las cookies son pequeños códigos que tienen las páginas web para reconocernos. Entre otros datos tiene nombres de usuarios y contraseñas.