Las conexiones SSL nos permiten disfrutar de una navegación cifrada para evitar que piratas informáticos puedan acceder a nuestros datos, por ejemplo, a los credenciales o a los mensajes que podemos enviar a través de una red social. Uno de estos protocolos, y el más utilizado, el SSL, quien se ha visto gravemente comprometido en los últimos meses.
Un grupo de investigadores de Google ha reportado hace algunas horas una importante vulnerabilidad que afecta a SSL 3.0, una versión antigua y obsoleta del protocolo con más de 15 años de antigüedad pero que aún se encuentra en uso en gran cantidad de servidores y aplicaciones. Aunque esta vulnerabilidad no supone un riesgo que comprometa a los servidores remotos, sí que puede ser muy peligrosa en ataques MITM dentro de una red que puede llegar a comprometer las conexiones entre cliente y servidor dejando los datos sin cifrado y al alcance del atacante.
Cómo funciona esta vulnerabilidad
A grandes rasgos, para poder explotar esta vulnerabilidad en el protocolo SSL 3.0 se necesitan llevar a cabo 2 pasos importantes. En primer lugar, durante la negociación del cifrado entre el cliente y el servidor, un pirata informático que controle la red de la víctima engañará al cliente para que las medidas de seguridad que se utilicen sean SSL 3.0 en lugar de TLS. Esto se conoce como «downgrade» y será el paso principal antes de comenzar con el ataque contra este protocolo.
Una vez que el cliente y el servidor establecen una conexión SSL 3.0 el pirata informático explota este protocolo y es capaz de aprovechar una debilidad en el cifrado aplicado desde la que acceder al contenido de la información que viaja entre el cliente y el servidor.
Como podemos ver, esta vulnerabilidad no compromete los servidores de forma remota ya que se necesita de un ataque MITM para poder llevarla a cabo, sin embargo, es muy peligrosa para aquellos usuarios con acceso a la red física que puedan establecer conexión directa entre el cliente y el servidor.
Cómo protegernos de la vulnerabilidad SSL
En primer lugar debemos comenzar a utilizar nuevos protocolos de seguridad como TLS (1.0, 1.1 o 1.2) desactivando las conexiones SSL v3. Esto no supone un problema en el software moderno, sin embargo, Internet Explorer 6 ejecutado en los sistemas Windows XP (por ejemplo) dejarían de poder conectarse a Internet si desactivamos este protocolo ya que al estar fuera del soporte no se actualizarían los protocolos de este.
Una vez desactivado el uso de conexiones SSL debemos activar el parámetro TLS_FALLBACK_SCSV que evitará que el pirata informático sea capaz de llevar a cabo dicho «downgrade» y aplicar así una segunda capa de protección a nuestras conexiones.
Mozilla ha tardado horas en anunciar que las nuevas versiones de su navegador dejarán de ser compatibles con SSL 3.0 y, como él, gran cantidad de desarrolladores seguirán sus mismos pasos. SSL es un protocolo obsoleto, debemos evitar su uso de cara a software más moderno y seguro como es, en este caso, TLS.
¿Crees que este puede ser el final del protocolo SSL y que se comenzará a dar mayor importancia crítica a las conexiones TLS?
Os recomendamos leer el tutorial protocolos de redes: la guía completa con todos los protocolos básicos.