Con el fin de proteger a todos los usuarios de Beast, el exploit descubierto por dos investigadores capaz de romper el cifrado de SSL/TLS que garantiza la fiabilidad y privacidad de los datos en los navegadores, Firefox estaría a punto de tomar una medida trágica que afectaría a la web. Los desarrolladores plantean una actualización que elimine el trabajo del navegador con Java de Oracle. La medida significaría que Firefox no podría trabajar en cientos de webs y herramientas fundamentales para otras tantas empresas que trabajan a diario.
Así de mal deben estar viendo la situación en Mozilla para llegar a plantearse tal situación y es que desde la compañía ven en estos momentos que el bloqueo y eliminación sería la única forma de frustrar un posible ataque que descifre el tráfico protegido por SSL.
Para aquellos que aún no hayan oído hablar de Beast les explico. La historia comenzó el pasado fin de semana en la conferencia de seguridad Ekoparty, momento en el que dos investigadores, Thai Duong y Julian Rizzo, aseguraron haber conseguido romper el cifrado SSL/TLS que se utiliza para garantizar la seguridad de los datos que se intercambian entre el servidor y el navegador, es decir, los que garantizan la privacidad.
Bajo el nombre de Beast (Browser Exploit Against SSL/TLS) se escondía un código javascript que funcionaba como sniffer y descifraba las cookies con credenciales de los usuarios para acceder a las cuentas y por lo tanto atacaba a la confidencialidad del protocolo. La demostración en la conferencia, consiguiendo recuperar una cookie de autenticación utilizada para acceder a una cuenta cifrada de un usuario en PayPal, alertó a todos los proveedores de navegadores, quienes desde entonces trabajan a contrarreloj para añadir parches.
El principal problema que se están encontrando es que muchos de los parches que se presentan son incompatibles con aplicaciones SSL actuales, por lo que llegamos al día de hoy y al anuncio de Mozilla de tomar esta medida drástica. Ayer miércoles fue Jonathan Nightingale de Firefox el que lo explicaba para The Registrer:
Citar
Sí, suena duro. Matar Java significa desactivar muchas funcionalidades del usuario como el chat de Facebook u otras tantas aplicaciones basadas en Java dentro de las empresas. Actualmente ya existía un mecanismo de bloqueo de Java que permitía a los usuarios volver a activar el plugin desde el administrador de addons, pero aún con él seguiría habiendo una gran cantidad de usuarios que podrían estar expuestos a la debilidad de Java
Chrome se actualizó la semana pasada nada más saber del exploit con un parche que ha mostrado varias incompatibilidades en algunos sitios web. Por su parte Microsoft se encuentra trabajando en un parche que palie el posible ataque.Sea como fuere, si Firefox decide finalmente dejar de trabajar con Java causaría una gran variedad de problemas en la web bastante graves. Primero para los usuarios, y en segundo lugar para todo el entramado de trabajo de las empresas y compañías que funcionan con Java en el navegador. La palabras a última hora de Nightingale no dejan lugar a dudas sobre el drástico planteamiento:
Citar
Sea cual sea la decisión que tomemos ahora, realmente espero que Oracle reciba una actualización propia. Es la única manera que habrá de mantener a los usuarios afirmativamente a salvo
Visto en http://alt1040.com/2011/09/firefox-plantea-eliminar-java-para-proteger-a-los-usuarios-del-exploit-beast
Relacionado: http://foro.elhacker.net/noticias/beast_descarga_la_herramienta_para_crackear_el_trafico_ssltls_de_forma_rapida-t340013.0.html