Ricercatori per la sicurezza informatica hanno sviluppato una tecnica più pratica e fattibile di attacco contro l’algoritmo RC4 crittografico che è ancora ampiamente utilizzato per crittografare le comunicazioni su Internet.
n
Pur essendo molto vecchio, RC4 (Rivest Cipher 4) è ancora l’unità di crittografia più usata implementata in molti protocolli popolari, tra cui:
n
- n
- SSL (Secure Socket Layer)
- TLS (Transport Layer Security)
- WEP (Wired Equivalent Privacy)
- WPA (Wi-Fi Protected Access)
- Microsoft’s RDP (Remote Desktop Protocol)
- BitTorrent
- e molti altri
n
n
n
n
n
n
n
n
Tuttavia, sono state trovate diverse debolezze nell’algoritmo nel corso degli anni, indicando che RC4 deve essere sorpassato da Internet. Ma, ma circa il 50 {a99a1f178160d0ccabf421e3b6d1240d1fe1df588bebbd34e3de16e354822ce9} di tutto il traffico TLS è attualmente protetto utilizzando l’algoritmo di crittografia RC4.
n
Ora la situazione è ancora peggiorata, quando due ricercatori di sicurezza belgi hanno dimostrato un attacco più pratico contro RC4, permettendo a un utente malintenzionato di esporre al rischio informazioni crittografate in una quantità molto più limitata di tempo di quanto fosse possibile in precedenza.
n
Un attacco a RC4 venne dimostrato nel 2013 e ha richiesto più di 2.000 ore di realizzazione. Tuttavia, un attacco di maggior successo è stato presentato quest’anno, a marzo, che si è concentrato sugli attacchi recupero password contro RC4 a TLS e ha richiesto circa 312-776 ore per essere portato a termine.
n
Recentemente invece, Mathy Vanhoef e Frank Piessens dell’Università di Lovanio, in Belgio, dimostrano un attacco che ha permess di decifrare i cookie cifrati con RC4 dentro le 75 ore con una precisione del 94 per cento.
n
La tecnica di attacco può essere sfruttata da malintenzionati per monitorare la connessione tra una vittima bersaglio e un sito web HTTPS protetto, o reti wireless protette da Wi-Fi Protected Access Temporal Key Integrity Protocol (WPA- TKIP).
n
Per tutti i dettagli su tale algoritmo rimando al simposio originale che è stato pubblicato dai ricercatori stessi, dove ci sono spiegati passo passo tutti i calcoli che vengono fatti e come vengono manipolati i dati.