Google, Mozilla, Microsoft interrompono il supporto per l’RC4 all’inizio del 2016

Google, Microsoft e Mozilla hanno annunciato i rispettivi termini entro i quali tali società dismetteranno completamente il supporto relativo al noto algoritmo di cifratura RC4.

Con la crescente minaccia di attacchi informatici espressamente diretti all’RC4, l’algoritmo di crittografia in questione ha iniziato a perdere precipitosamente la sua affidabilità; per questo motivo, i principali vendor di browser web hanno deciso di abbandonarlo del tutto agli inizi del 2016, tra la fine del prossimo mese di gennaio e l’inizio del successivo mese di febbraio.

Secondo quanto dichiarato da Richard Barnes, di Mozilla, il supporto per l’RC4 in Firefox verrà dismesso con la release della versione 44 del browser, prevista per il 26 gennaio. “La disattivazione dell’RC4 significherà, semplicemente, che Firefox non potrà più connettersi ai server che richiedono l’utilizzo di questo specifico algoritmo di cifratura – ha asserito Barnes in un post pubblicato sul forum dedicato agli sviluppatori di Mozilla. – I dati di cui disponiamo indicano chiaramente come il numero di tali server sia ormai esiguo; essi, tuttavia, sono ancora attivi, sebbene gli utenti di Firefox li incontrino ormai di rado”.

Adam Langley, di Google, ha affermato, da parte sua, che la rispettiva release di Chrome sarà resa disponibile al grande pubblico in gennaio o in febbraio. Egli non ha tuttavia precisato la data, limitandosi a dire che i server HTTPS che supportano esclusivamente la codifica RC4 verranno disattivati in maniera permanente. “Quando Chrome stabilisce una connessione HTTPS, esso è implicitamente tenuto a fare tutto il possibile per garantirne la sicurezza – ha osservato Langley nell’ambito della mailing list <security@chromium.org>. – Al momento attuale, l’utilizzo dell’algoritmo RC4 a livello di connessioni HTTPS non soddisfa tali requisiti; per questo preciso motivo intendiamo disabilitare il supporto per l’RC4 in una delle prossime release di Chrome”.

Attualmente, le versioni stabili di Firefox, così come le versioni beta, possono utilizzare l’RC4 senza alcuna restrizione; di fatto, esse lo impiegano, rispettivamente, nello 0,08% e nello 0,05% delle connessioni effettuate. Per Chrome tale indice risulta leggermente superiore – 0,13%. “Per poter proseguire le loro attività, gli operatori che fanno uso dei server interessati da quanto sopra descritto, dovranno, molto probabilmente, solo modificare leggermente la configurazione degli stessi, allo scopo di implementare una suite di cifratura più solida ed affidabile” – sottolinea Langley.

Microsoft ha annunciato l’interruzione del supporto per l’algoritmo RC4, ormai obsoleto, relativamente ai prodotti Microsoft Edge e Internet Explorer 11; il supporto verrà disabilitato per default sin dall’inizio del prossimo anno. “Microsoft Edge e Internet Explorer 11 ricorrono all’utilizzo di RC4 solo per il fallback del protocollo TLS, nel passaggio da TLS versione 1.2, oppure 1.1, a TLS versione 1.0 – ha precisato David Walp, Senior Program Manager del progetto Microsoft Edge. – Nella maggior parte dei casi, il fallback alla versione 1.0 del protocollo TLS, tramite l’impiego di RC4, è il risultato di un semplice ed innocente errore, ma una situazione del genere non può essere di fatto distinta dal manifestarsi di un attacco di tipo “man-in-the-middle”. Per questo motivo, all’inizio del 2016, l’RC4 verrà completamente disabilitato per default per tutti gli utenti di Microsoft Edge e Internet Explorer che fanno uso dei sistemi operativi Windows 7, Windows 8.1 e Windows 10″.

Da oltre un decennio, ormai, i ricercatori si lamentano delle imperfezioni riscontrate riguardo all’algoritmo di crittografia RC4, sottolineando, ad esempio, la possibilità di selezionare valori casuali, utilizzati per creare testi cifrati sulla base di tale algoritmo. Per un attacker che disponesse del tempo necessario, di un’adeguata potenza di calcolo e dell’accesso ad un certo numero di richieste TLS, l’operazione di decodifica non comporterebbe di sicuro particolari difficoltà.

Nel 2013, uno studio condotto da Daniel J. Bernstein, della University of Illinois, ha consentito di mettere a punto un modo pratico per realizzare attacchi nei confronti di una nota vulnerabilità individuata nell’RC4, con il preciso obiettivo di compromettere una sessione TLS. Si è trattato di uno dei primi esperimenti del genere resi di pubblico dominio.

Nello scorso mese di luglio, due ricercatori belgi hanno pubblicato nuovi schemi di attacco nei confronti dell’RC4, i quali permettono di intercettare il file dei cookie dell’utente-vittima e di decodificare lo stesso molto più rapidamente di quanto si ritenesse possibile in precedenza.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *