Nomore RC4 exploitent en danger millions d'internautes


En utilisant une nouvelle technique des chercheurs sont venus au sein 52 Heures fissurés les données d'un des cookies cryptés et pourraient signer au nom de la victime sur un site. Jusqu'à présent, les chercheurs ont pris au sujet 2000 heures, un capotage de chiffrement RC4.

Le chiffrement des cookies Web peut être écourtée. A propos de l'attaque RC4 Nomore il est possible, lire les données des utilisateurs de la communication avec des pages sécurisées HTTPS en quelques heures. Les chercheurs deux Vanhoef et Frank Mathy Piessens de l'Université de Louvain ont trouvé un moyen, exploiter des vulnérabilités dans l'algorithme de chiffrement RC4. Comme ils montrent dans un document, les chercheurs peuvent « RC4 Nomore » (De nombreux Occurrence surveillance & récupération Exploit) décrypter les cookies dans un Web temps relativement court. le résultat: Les pirates pourraient utiliser les données ainsi obtenues, d'enregistrer, par exemple, sous de faux noms à une page Web.

Test-portable-sécurité-Shutterstock-Natalia Siverina-800

RC4 est l'une des options, l'une pour le chiffrement HTTP via Transport Layer Security (TLS) est disponible. Grâce à ce cryptage est d'empêcher, que le trafic entre les serveurs et les utilisateurs peuvent être interceptées. Bien que RC4 est encore très répandue, mais maintenant presque 30 algorithme ans est généralement considéré comme vulnérable aux cyber-attaques modernes. Par conséquent, l'interdiction Internet Engineering Task Force (IETF) l'utilisation de RC4 depuis Février 2015.

utilisé selon l'Institut international des sciences informatiques de l'Université de Berkeley en Californie 12,8 Pour cent dans le passé 30 Jours capturés Collections chiffrement RC4. Ainsi, des centaines de milliers de sites sont donc vulnérables aux attaques RC4 Nomore dans le monde entier. Les exploitants de ces sites ne peuvent pas garantir la sécurité des données de ses utilisateurs.

Test-portable-sécurité-Shutterstock-Natalia Siverina-800

De plus amples détails sur l'enquête et veulent Vanhoef Piessens au en Août Usenix Security Symposium imaginer dans la capitale américaine Washington.

[Avec le matériel par l'homme Stefan Beier, ZDNet.de]