Parece ser que OpenSSL es más abierto de lo que debería, ya que a vista de cualquiera parece un coladero.
Pues sí, recordando a nuestro amigo 'HeartBleed' en relación a las conexiones entre servidor y ordenador (handshake) pues hoy os presento Poodle. Sí, Poodle, yo no le he puesto el nombre, presuntamente y por lo que parece lo descubrió Google, con sus investigadores de programas, así que la culpa de ese nombre es de Google.
Para los bilingües y conocedores la lengua de Shakespeare pues el significado de este acrónimo es “Padding Oracle On Downgraded Legacy Encryption”, dejando los idiomas extranjeros a un lado para que comprendamos un poco, aunque no como es totalmente, por lo menos una parte o lo mejor posible.
Este fallo que en realidad es un ataque mediante TLS y OpenSSL, obligando a TLS a usar OpenSSL 3.0 que se encuentra en un estado muy inestable y que se puede aprovechar para usar vulnerabilidades de esta versión en desarrollo.
Cuando falla la conexión, se puede ofrecer un cambio a una versión inferior o distinta. Imaginaros que los ordenadores hablaran en vez de lenguajes formales como la programación usara la lengua del castellano coloquial, como si amigos fueran pues esto sería más o menos sería la traducción:
Cliente: ¿Hola? ¿Tío estás preparado para TLS V.2?
Servidor:Lo siento, TLS V.1 o te buscas otro.
Cliente: Vale TLS V.1
Servidor: Perfecto, establecida la conexión.
Algo así será de una forma MUY resumida, al resumir se reduce contenido y puede provocar pocos tecnicismos, te recomiendo que busques por internet un poco más, ya que no todos tenemos tanto tiempo para incluso leer el código de fallo y comprenderlo.
OpenSSL empezó hace unos 15 años (23 de Diciembre del año 1998), aunque GNU comenzó mucho antes, imaginaos la de personas, ayudantes, partes de códigos y fallos que habrá acumulado este programa por eso muchos grupos ya están viendo la idea de un fork para reescribir el código y así mejorarlo. Un ejemplo de esto es LibreSSL.
Poco a poco a OpenSSL, se le está quitando de casi todos los programas porque además de su mala fama, ahora están otros actualizados. Se podría decir que podría vencerle sus propios forks.
Un ejemplo de los programas que le quedan la compatibilidad con OpenSSL son los navegadores, por eso hay que estar atentos. Por ello los sistemas operativos más estables y seguros, estarán como mínimo moviendo a los mantenedores para proporcionar a los usuarios para protegerlos como Debian que presuntamente y ya se ha actualizado.
Hasta aquí la noticia y si quieres saber más puedes buscar sobre esta forma de ataque, así aprender a protegerte.
