RC4 Nomore exploit in pericolo milioni di utenti internet


Utilizzando una nuova tecnica, i ricercatori sono giunti all'interno 52 Ore incrinato i dati di un cookie crittografati e quindi potrebbe firmare per conto della vittima in un sito. Finora, i ricercatori hanno preso su 2000 orario, un ribaltamento di crittografia RC4.

La crittografia dei cookie sul web può essere tagliato corto. Circa l'Nomore attacco RC4 è possibile, leggere i dati utente dalla comunicazione con le pagine HTTPS-assicurata entro un paio d'ore. I due ricercatori Mathy Vanhoef e Frank Piessens di Leuven University hanno trovato un modo, sfruttare le vulnerabilità nel algoritmo di crittografia RC4. Come mostrano in un documento, i ricercatori possono 'RC4 Nomore' (Numerose operazioni di monitoraggio Occurrence & Recupero Exploit) decifrare in un tempo relativamente breve cookie web. il risultato: I pirati informatici potrebbero utilizzare i dati ottenuti in questo modo, per registrare, ad esempio, sotto falso nome in una pagina web.

test-notebook-sicurezza-Shutterstock-Natalia Siverina-800

RC4 è una delle opzioni, quello per la crittografia HTTP tramite Transport Layer Security (TLS) è disponibile. Attraverso questa crittografia è quello di impedire, che il traffico tra i server e gli utenti possono essere intercettati. Anche se RC4 è ancora diffusa, ma ormai quasi 30 Anni algoritmo è generalmente considerato vulnerabile ad attacchi informatici moderni. Pertanto, l'Internet Engineering Task Force vieta (IETF) l'uso di RC4 da febbraio 2015.

utilizzato secondo l'Istituto Internazionale di Computer Science all'Università di Berkeley in California 12,8 Percentuale in passato 30 Giorni catturate Raccolte cipher RC4. Così centinaia di migliaia di siti in tal modo sono vulnerabili ad attacchi RC4 nomore in tutto il mondo. Gli operatori di questi siti non possono garantire la sicurezza dei dati dei propri utenti.

test-notebook-sicurezza-Shutterstock-Natalia Siverina-800

Ulteriori dettagli sulle loro indagini e vogliono Vanhoef Piessens nel mese di agosto presso il Usenix Security Symposium immaginate nella capitale statunitense Washington.

[Con il materiale da Stefan Beier uomo, ZDNet.de]