Cómo evitar que el exploit POODLE muerda tu navegador

  • Michael Fisher
  • 0
  • 3821
  • 497
Anuncio

¿Cuándo a la gente no le gusta un cachorro? Cuando saben que no es un cachorro, sino un exploit de navegador destinado a robar su información vital. El POODLE (PAGagregando Oracle Onorte repropio Lherencia micifrado) de lo que estamos hablando es un grave ataque de seguridad.

Como una vulnerabilidad de seguridad, puede afectar a todos los navegadores web y, por lo tanto, a cualquiera de nosotros. Veamos qué es POODLE, qué hace y qué puedes hacer para evitar que te muerda.

Información de fondo

Para comprender POODLE, necesita saber un poco sobre SSL y TLS. Qué es HTTPS y cómo habilitar conexiones seguras por defecto Qué es HTTPS y cómo habilitar conexiones seguras por defecto Las preocupaciones de seguridad se están extendiendo por todas partes y han llegado a la vanguardia de la mayoría La mente de todos. Términos como antivirus o cortafuegos ya no son vocabulario extraño y no solo se entienden, sino que también son utilizados por ... Son dos protocolos criptográficos que se desarrollaron para ayudar a proteger sus comunicaciones web importantes. Cuando vas a un sitio web y ves HTTPS: // antes de la dirección web, está utilizando SSL / TLS. SSL (Secure SOcket Layer) y TLS (Transport Sseguridad Layer) son dos protocolos muy diferentes, pero la mayoría de las personas los agrupan y los llaman SSL. SSL fue reemplazado por el protocolo TLS hace unos diez años como el de facto estándar para la criptografía, sin embargo, SSL todavía se usa ampliamente. Eso es lo que hace que POODLE sea peligroso.

Cuando visita un sitio web, la computadora que le sirve la página (Servidor web) es capaz de varios niveles de seguridad de criptografía, desde TLSv1.2, el protocolo más reciente y seguro, hasta SSLv3, el protocolo más antiguo y menos seguro. Esto permite que su navegador y el servidor web puedan conectarse con el mismo protocolo para que puedan hablar de forma segura. Esta es la forma fundamental en que los navegadores web y los servidores intentan evitar ataques de hombre en el medio ¿Qué es un ataque de hombre en el medio? La jerga de seguridad explicada ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. como POODLE.

¿Qué hace POODLE??

POODLE intenta forzar la conexión entre su navegador web y el servidor para degradar a SSLv3. Si lo hace, el atacante puede obtener la información de texto sin formato de la comunicación. Eso significa que pueden acceder a las cookies que a menudo se usan para almacenar información, algunas de las cuales pueden ser de naturaleza personal y sensible ¿Qué es una cookie y qué tiene que ver con mi privacidad? [MakeUseOf explica] ¿Qué es una cookie y qué tiene que ver con mi privacidad? [Explica MakeUseOf] La mayoría de la gente sabe que hay cookies dispersas por todo Internet, listas y dispuestas a ser devoradas por quien las encuentre primero. ¿Esperar lo? Eso no puede estar bien. Sí, hay cookies ... Lo que el atacante hace con esa información es una incógnita, pero nunca es nada bueno.

Por el lado positivo, el ataque POODLE no es la forma más fácil para que un atacante obtenga tu información. Puede tomar cientos, incluso miles, de intentos para que el ataque POODLE funcione en alguien. Por lo tanto, es algo de lo que preocuparse, sin embargo, no es necesariamente tan malo como el reciente problema de Heartbleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo?? .

¿Cómo puedo protegerme del POODLE??

Afortunadamente, es algo bastante fácil de hacer. Lo primero es lo primero, veamos si eres POODLE vulnerable. Simplemente vaya al sitio web POODLETest.com. Si ves un caniche, tienes que limpiar un poco. Si ve el Springfield Terrier, su navegador está listo para funcionar. Para aquellos que son más expertos en tecnología, consulte la Prueba de cliente SSL de Qualys SSL Labs. Proporciona detalles más detallados..

El principio subyacente es deshabilitar el soporte SSLv3 en su navegador web. Si está deshabilitado, POODLE NO puede degradar su navegador a él. Veamos cómo hacer esto en Chrome, Internet Explorer y Firefox..

Tenga en cuenta que muchos sitios web todavía quieren usar SSLv3. Si lo desactiva, es posible que esos sitios no le funcionen tan bien como antes. No estaría de más enviarle a esa compañía un buen correo electrónico con un enlace a este artículo para que estén al tanto del problema. Con suerte, se actualizarán a TLS y todo volverá a estar bien.

Cromo

Encuentra el acceso directo que utilizas para iniciar Chrome. Haga clic derecho sobre él y luego haga clic en Propiedades.

Cuando el Propiedades se abre la ventana, busque el campo llamado Objetivo. Debe haber un camino largo hacia donde se encuentra el archivo de Chrome. Debería verse así: “C: \ Archivos de programa (x86) \ Google \ Chrome \ Application \ chrome.exe” o “C: \ Archivos de programa \ Google \ Chrome \ Application \ chrome.exe”.

Haga clic justo después de la última comilla y presione su barra espaciadora para crear un espacio. Ahora escriba lo siguiente:

 -ssl-version-min = tls1

También puedes copiar y pegar eso desde aquí. Lo que le dice a Chrome que haga es usar TLSv1 como la versión más baja de seguridad para su navegador Chrome. Haga clic en el Aplicar botón en la parte inferior de la ventana, y la próxima vez que abra Chrome, estará a prueba de POODLE.

explorador de Internet

Abra su navegador de Internet Explorer y haga clic en el Configuraciones icono. Es el que parece un engranaje. Ahora haga clic en Opciones de Internet. Una nueva ventana se abrirá.

En el extremo derecho, verá una pestaña etiquetada Avanzado - Haz click en eso. En el Configuraciones área, desplácese hacia abajo hasta que vea las opciones Use SSL 2.0 y Use SSL 3.0.

Si hay una marca de verificación en esos dos cuadros, desactívelos haciendo clic en ellos. Asegúrese de que las cajas etiquetadas Use TLS 1.o, Use TLS 1.1 y Use TLS 1.2 están marcados (Si no tiene estos tres cuadros TLS, debe actualizar su Internet Explorer). Luego haga clic en el Aplicar botón y el Okay botón. Su Internet Explorer ahora está a prueba de POODLE.

Firefox

Si eres fanático de Firefox, aquí te mostramos cómo ayudar al zorro a ser más listo que el POODLE. Simplemente vaya a la página del complemento SSL Version Control 0.2 de Firefox, luego descargue e instale el complemento SSL Version Control 0.2. Es fácil.

Firefox también ha anunciado que su próxima versión, Firefox 34, deshabilitará la compatibilidad con SSLv3. Sin embargo, esa versión no se lanzará hasta algún momento de noviembre, según su sitio web.

POODLE será cagado

Una vez que la mayoría de las personas a prueba de POODLE sus navegadores y la mayoría de los servidores web dejan de usar SSLv3, POODLE ya no será un problema. También hay una herramienta conocida como TLS_FALLBACK_SCSV que se ha desarrollado y que los servidores web y los programadores de navegador pueden implementar para ayudar. Desafortunadamente, esa herramienta requiere que el servidor web y el navegador la tengan. Eso llevará un tiempo para que todos lo implementen. Solo entonces SSLv3 quedará en el camino, como debería haberlo hecho hace una década. Corre la voz y haz de la Web un lugar más seguro para estar.

Créditos de imagen: Angry Poodle, HTTPS Vector Image a través de Shutterstock.




Nadie ha comentado sobre este artículo todavía.

Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.