News

Google, Mozilla, Microsoft interrompono il supporto per l’RC4 all’inizio del 2016

Google, Microsoft e Mozilla hanno annunciato i rispettivi termini entro i quali tali società dismetteranno completamente il supporto relativo al noto algoritmo di cifratura RC4.

Con la crescente minaccia di attacchi informatici espressamente diretti all’RC4, l’algoritmo di crittografia in questione ha iniziato a perdere precipitosamente la sua affidabilità; per questo motivo, i principali vendor di browser web hanno deciso di abbandonarlo del tutto agli inizi del 2016, tra la fine del prossimo mese di gennaio e l’inizio del successivo mese di febbraio.

Secondo quanto dichiarato da Richard Barnes, di Mozilla, il supporto per l’RC4 in Firefox verrà dismesso con la release della versione 44 del browser, prevista per il 26 gennaio. “La disattivazione dell’RC4 significherà, semplicemente, che Firefox non potrà più connettersi ai server che richiedono l’utilizzo di questo specifico algoritmo di cifratura – ha asserito Barnes in un post pubblicato sul forum dedicato agli sviluppatori di Mozilla. – I dati di cui disponiamo indicano chiaramente come il numero di tali server sia ormai esiguo; essi, tuttavia, sono ancora attivi, sebbene gli utenti di Firefox li incontrino ormai di rado”.

Adam Langley, di Google, ha affermato, da parte sua, che la rispettiva release di Chrome sarà resa disponibile al grande pubblico in gennaio o in febbraio. Egli non ha tuttavia precisato la data, limitandosi a dire che i server HTTPS che supportano esclusivamente la codifica RC4 verranno disattivati in maniera permanente. “Quando Chrome stabilisce una connessione HTTPS, esso è implicitamente tenuto a fare tutto il possibile per garantirne la sicurezza – ha osservato Langley nell’ambito della mailing list <security@chromium.org>. – Al momento attuale, l’utilizzo dell’algoritmo RC4 a livello di connessioni HTTPS non soddisfa tali requisiti; per questo preciso motivo intendiamo disabilitare il supporto per l’RC4 in una delle prossime release di Chrome”.

Attualmente, le versioni stabili di Firefox, così come le versioni beta, possono utilizzare l’RC4 senza alcuna restrizione; di fatto, esse lo impiegano, rispettivamente, nello 0,08% e nello 0,05% delle connessioni effettuate. Per Chrome tale indice risulta leggermente superiore – 0,13%. “Per poter proseguire le loro attività, gli operatori che fanno uso dei server interessati da quanto sopra descritto, dovranno, molto probabilmente, solo modificare leggermente la configurazione degli stessi, allo scopo di implementare una suite di cifratura più solida ed affidabile” – sottolinea Langley.

Microsoft ha annunciato l’interruzione del supporto per l’algoritmo RC4, ormai obsoleto, relativamente ai prodotti Microsoft Edge e Internet Explorer 11; il supporto verrà disabilitato per default sin dall’inizio del prossimo anno. “Microsoft Edge e Internet Explorer 11 ricorrono all’utilizzo di RC4 solo per il fallback del protocollo TLS, nel passaggio da TLS versione 1.2, oppure 1.1, a TLS versione 1.0 – ha precisato David Walp, Senior Program Manager del progetto Microsoft Edge. – Nella maggior parte dei casi, il fallback alla versione 1.0 del protocollo TLS, tramite l’impiego di RC4, è il risultato di un semplice ed innocente errore, ma una situazione del genere non può essere di fatto distinta dal manifestarsi di un attacco di tipo “man-in-the-middle”. Per questo motivo, all’inizio del 2016, l’RC4 verrà completamente disabilitato per default per tutti gli utenti di Microsoft Edge e Internet Explorer che fanno uso dei sistemi operativi Windows 7, Windows 8.1 e Windows 10″.

Da oltre un decennio, ormai, i ricercatori si lamentano delle imperfezioni riscontrate riguardo all’algoritmo di crittografia RC4, sottolineando, ad esempio, la possibilità di selezionare valori casuali, utilizzati per creare testi cifrati sulla base di tale algoritmo. Per un attacker che disponesse del tempo necessario, di un’adeguata potenza di calcolo e dell’accesso ad un certo numero di richieste TLS, l’operazione di decodifica non comporterebbe di sicuro particolari difficoltà.

Nel 2013, uno studio condotto da Daniel J. Bernstein, della University of Illinois, ha consentito di mettere a punto un modo pratico per realizzare attacchi nei confronti di una nota vulnerabilità individuata nell’RC4, con il preciso obiettivo di compromettere una sessione TLS. Si è trattato di uno dei primi esperimenti del genere resi di pubblico dominio.

Nello scorso mese di luglio, due ricercatori belgi hanno pubblicato nuovi schemi di attacco nei confronti dell’RC4, i quali permettono di intercettare il file dei cookie dell’utente-vittima e di decodificare lo stesso molto più rapidamente di quanto si ritenesse possibile in precedenza.

Fonte: Threatpost

Google, Mozilla, Microsoft interrompono il supporto per l’RC4 all’inizio del 2016

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox