A las pocas horas de la publicación de un informe en el que se detallaba un nuevo método de ataque contra SSL, TLS y DTLS que estuvieran usando encriptación CBC, diversas empresas del sector ya preparan sus parches para corregir esta vulnerabilidad en sus distribuciones.
Tras la publicación el pasado lunes de un informe en el que se detallaba un nuevo modo de ataque contra SSL, TLS y DTLS apodado "Lucky Thirteen", los desarrolladores de librerias TLS, tras haber trabajado mano a mano con los investigadores de este informe (Nadhem J. AlFardan y Kenneth G. Paterson de la Universidad de Royal Holloway of London) se están dando prisa en lanzar parches para corregir el problema. Algunas de estas distribuciones que preparan parches son OpenSSL, NSS, GnuTLS, yaSSL, PolarSSL, Opera, o BouncyCastle.
Básicamente "Lucky Thirteen" es únicamente útil en determinadas condiciones contra implementaciones SSL, TLS y DTLS que utilicen la encriptación CBC (cipher-block-chaining) y representa un riesgo para los usuarios ya que podrían ser vulnerables al visitar sitios web que no hubieran aplicado el parche. En este caso, un atacante a la escucha, en condiciones bastante especiales, podría desencriptar la comunicación obteniendo por ejemplo las cookies de autenticación del usuario.
Aunque los propios investigadores dejan claro que para realizar exitosamente este tipo de ataques se requieren unas condiciones muy especiales, y un ingente nombre de conexiones por parte de la víctima a la web para calcular diversos datos necesarios para llevar a cabo el ataque de manera efectiva, no descartan que se encuentren maneras mucho más eficientes para llevarlo a cabo con lo cual el problema si que pasaría a ser tenido muy en cuenta.
Si queréis conocer a fondo este nuevo tipo de ataque no dejéis de leer el informe de estos investigadores.
