es.phhsnews.com


es.phhsnews.com / ¿Qué es la vulnerabilidad de POODLE y cómo puede protegerse?

¿Qué es la vulnerabilidad de POODLE y cómo puede protegerse?


Es difícil pensar en todas estas catástrofes de Internet a medida que ocurren, y así como pensamos que Internet estaba segura nuevamente después Heartbleed y Shellshock amenazaron con "terminar con la vida tal como la conocemos", sale POODLE.

No te preocupes demasiado porque no es tan amenazante como parece. La verdad es que es un tema del que debes preocuparte, pero hay pasos simples que puedes tomar para salvaguardarte.

¿Qué es POODLE?

Comencemos en la planta baja. ¿Qué es POODLE? En primer lugar, significa " Padding Oracle On Downgraded Legacy Encryption ." El problema de seguridad es exactamente lo que sugiere su nombre, una degradación del protocolo que permite explotar una forma obsoleta de encriptación. El tema llamó la atención del mundo este mes cuando Google lanzó un documento llamado "This POODLE Bites: Exploiting The SSL 3.0 Fallback".

RELACIONADO: Cómo conectarse a una VPN en Windows

Para explicar esto en términos más simples, si un atacante que usa un ataque Man-In-The-Middle puede tomar el control de un enrutador en un punto público, puede forzar a su navegador a degradar a SSL 3.0 (un protocolo anterior) en lugar de usar el TLS mucho más moderno (Transport Layer Security), y luego explotar un agujero de seguridad en SSL para secuestrar las sesiones de su navegador. Como este problema está en el protocolo, todo lo que usa SSL se ve afectado.

Mientras tanto el servidor y el cliente (navegador web) admitan SSL 3.0, el atacante puede forzar una degradación en el protocolo, por lo que incluso si su navegador intenta usar TLS, termina siendo forzado a usar SSL en su lugar. La única respuesta es para cualquier lado o ambos lados para eliminar el soporte para SSL, eliminando la posibilidad de ser degradado.

Si principalmente navega desde su casa y no utiliza puntos de acceso públicos, la posibilidad de daño es bastante baja, y solo puede seguir los sencillos pasos que se describen más adelante en el artículo para protegerse. Si a menudo usa un punto de acceso público, podría ser el momento de pensar en usar una VPN.

¿Cómo podemos resolver el problema?

Como no hay forma de resolver los problemas con SSL, la única solución es para los navegadores y servidores web para actualizar todo y eliminar el soporte para SSL y solo requieren el cifrado TLS.

Google y Firefox ya han anunciado que eliminarán el soporte en el futuro, y aunque todavía no hemos escuchado lo mismo de Microsoft. , es extremadamente fácil como usuario final deshabilitar SSL 3.0 en IE. La mayoría de las grandes compañías web están eliminando el soporte para SSL después de que este problema salga a la luz, pero tomará un tiempo para que todos lo hagan.

Como consumidor, puede eliminar el soporte para SSL de su navegador usando una de las métodos descritos a continuación - o si está usando Firefox o Google Chrome y no está utilizando zonas interactivas todo el tiempo, podría esperar a que actualicen el navegador. O puede asegurarse de que ha solucionado el problema usted mismo.

Deshabilitar SSL 3.0 en Mozilla Firefox

Si usted es un usuario de Mozilla Firefox, sus preocupaciones sobre SSL 3.0 se resolverán el 25 de noviembre de 2014 cuando Fireox 34 es lanzado. El único problema con esto es que aún no es noviembre y debes tomar medidas para protegerte ahora. Comience abriendo su navegador Firefox y navegando a la página de descarga de SSL Version Control en Firefox.

Cuando se haya instalado correctamente, puede ingresar "about: addons" en la barra de navegación y seleccionar la extensión "SSL Version Control" . Puede hacer clic en "Opciones" para ver la configuración de la extensión. Asegúrese de que las "Actualizaciones automáticas" estén activadas y de que la "Versión mínima de SSL" esté configurada como "TLS 1.0"

Después de que se haya lanzado Firefox 34, puede deshabilitar la extensión o desinstalarla.

Deshabilitar SSL 3.0 en Google Chrome

Si usted es un usuario de Google Chrome, puede estar seguro de que el SSL 3.0 se desactivará en los próximos meses, aunque aún no haya establecido una fecha. Si quiere protegerse ahora, puede hacerlo en unos simples pasos. Simplemente vaya a su icono de escritorio de Google Chrome y haga clic derecho sobre él, luego seleccione "Propiedades" en la parte inferior del menú emergente.

En la ventana "Propiedades", verá un cuadro de entrada de texto que dice "Objetivo". Simplemente haga clic en este cuadro y presione el botón "Finalizar" en su teclado. A continuación, presione la "barra espaciadora" y copie y pegue este texto en el extremo.

- ssl-version-min = tls1

Presione "Aplicar", luego haga clic en "Continuar" en la ventana emergente y luego presione "OK". "

Ahora su navegador rechazará automáticamente los certificados SSL 3.0 y solo aceptará TLS 1.0 y superior. Vale la pena señalar que si ejecutas Chrome a través de cualquier otro atajo en tu computadora, no usará esta bandera.

Deshabilitar SSL 3.0 en Internet Explorer

Microsoft aún no ha anunciado cuándo planean abordar el SSL 3.0, por lo que es mejor desactivarlo usted mismo abriendo su menú "Inicio" y escribiendo "Opciones de Internet".

Vaya a la pestaña "Avanzado" y desplácese hacia abajo hasta la sección "Seguridad" hasta que vea el SSL y Opciones de TLS, y luego desmarque la opción para Usar SSL 3.0 y habilite TLS en su lugar.

De esta forma puede estar seguro de que sus navegadores de Internet están seguros de cualquier posible ataque de POODLE.

Crédito de imagen: Karen en Flickr


Cómo deshabilitar el molesto widget FIOS de Verizon

Cómo deshabilitar el molesto widget FIOS de Verizon "Promociones"

El FIOS de Verizon tiene muchas funciones excelentes, pero sus decodificadores tienen un defecto desagradable: cuando no los has usado en un momento, cargan anuncios de widgets molestos que tardan una eternidad en cargarse y requieren salir de ellos. A continuación, le mostramos cómo deshabilitarlos.

(how-to)

¿Tu PC funciona sin problemas? Asegúrese con un informe de diagnóstico del sistema

¿Tu PC funciona sin problemas? Asegúrese con un informe de diagnóstico del sistema

El Monitor de rendimiento es una de las muchas herramientas útiles enterradas en lo profundo de Windows. Puede generar un Informe de diagnóstico del sistema con información sobre problemas y sugerencias sobre cómo solucionarlos. Si su computadora no está funcionando bien o tiene otro problema, este informe rápido podría ayudarlo.

(how-to)