RC4 Nomore exploiteren bedreigde miljoen internetgebruikers


Met behulp van een nieuwe techniek, hebben de onderzoekers binnen gekomen 52 Hours gebarsten de gegevens van een gecodeerde cookies en dan kon ondertekenen namens het slachtoffer op een site. Tot dusver zijn de onderzoekers duurde ongeveer 2000 uur, een RC4 encryptie omwenteling.

De encryptie van Web cookies kunnen worden ingekort. Over de aanval RC4 Nomore het mogelijk is, lees gebruiker gegevens van de communicatie met de HTTPS-beveiligde pagina's binnen een paar uur. De twee onderzoekers Mathy Vanhoef en Frank Piessens Leuven University hebben een manier gevonden, exploiteren kwetsbaarheden in de RC4 encryptie-algoritme. Zoals ze tonen in een paper, de onderzoekers kan 'RC4 Nomore' (Talrijke Voorkomen Monitoring & herstel Exploit) decoderen in een relatief korte tijd Web cookies. het resultaat: Aanvallers kunnen de op deze wijze verkregen gegevens gebruiken, te registreren, bijvoorbeeld onder een valse naam op een webpagina.

Test-notebook-safety-shutterstock-Natalia Siverina-800

RC4 is een van de opties, de een voor HTTP-codering via Transport Layer Security (TLS) is beschikbaar. Door deze versleuteling is om te voorkomen, dat het verkeer tussen servers en gebruikers kunnen worden onderschept. Hoewel RC4 is nog steeds wijdverspreid, maar nu bijna 30 Jarige algoritme wordt algemeen beschouwd als kwetsbaar voor moderne cyberaanvallen. Daarom is de Internet Engineering Task Force verbiedt (IETF) het gebruik van RC4 sinds februari 2015.

gebruikt volgens de International Computer Science Institute in Berkeley University in Californië 12,8 Procent in het verleden 30 Dagen gevangen cipher RC4 Collections. Dus honderden duizenden sites zijn dus kwetsbaar voor RC4 Nomore aanvallen wereldwijd. De exploitanten van deze sites kunnen niet instaan ​​voor de veiligheid van de gegevens van zijn gebruikers.

Test-notebook-safety-shutterstock-Natalia Siverina-800

Verdere details over hun onderzoek en willen Vanhoef Piessens in augustus op de Usenix Beveiliging Symposium stel in de Amerikaanse hoofdstad Washington.

[Met materiaal door Stefan Beier man, ZDNet.de]