WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google, Mozilla và Microsoft ngừng hỗ trợ mã hóa RC4 vào đầu năm 2016
Goolge, Microsoft và Mozilla vừa đồng loạt thông báo đã có lộ trình cụ thể để ngưng hoàn toàn việc hỗ trợ thuật toán mã hóa RC4 trên trình duyệt của họ.
Các cuộc tấn công nhằm vào RC4 đang ngày càng gia tăng, làm cho thuật toán này ngày càng kém tin cậy hơn trước. Các nhà sản xuất trình duyệt cho biết sẽ ngừng hỗ trợ RC4 trong khoảng cuối tháng 1 hoặc đầu tháng 2 năm 2016.
Richard Barnes của Mozilla, cho biết việc ngừng hỗ trợ này sẽ trùng với lộ trình phát hành trình duyệt Firefox phiên bản 44, dự kiến vào ngày 26/1 năm sau. Amdam Langley của Google không đưa ra ngày cụ thể, mà chỉ nói rằng các máy chủ sử dụng giao thức HTTPS hỗ trợ RC4 sẽ ngừng hoạt động sau khi phát hành Chrome đạt được kênh ổn định vào tháng 1 hoặc tháng 2 tới.
"Việc ngừng hỗ trợ RC4 nghĩa là Firefox sẽ không kết nối đến các máy chủ yêu cầu mã hóa RC4. Dữ liệu mà chúng tôi có chỉ ra rằng dù vẫn có một số ít các máy chủ như vậy, nhưng tình trạng người dùng Firefox gặp phải những trang này là rất thấp", Barnes cho biết.
Langley cũng cho biết: "Khi trình duyệt Chrome thực hiện một kết nối HTTPS, trình duyệt này phải đảm bảo kết nối này thực sự an toàn cho người sử dụng. Tại thời điểm này, việc sử dụng phương thức mã hóa RC4 trong giao thức HTTPS đã trở nên kém an toàn hơn vì vậy chúng tôi có kế hoạch ngừng hỗ trợ RC4 trong phiên bản sắp tới của Chrome".
Hiện tại, phiên bản Beta của trình duyệt Firefox và các phiên bản Phát hành vẫn tiếp tục hỗ trợ mã hóa RC4, nhưng chỉ 0.05% và 0.08% các kết nối của các phiên bản tương ứng sử dụng mã hóa RC4. Chỉ số kết nối của Chrome thì cao hơn, ở mức 0.13%.
"Ngay cả khi đó, các chuyên viên vận hành các máy chủ bị ảnh hưởng bởi quyết định này có thể chỉ cần thực hiện một vài thao tác đơn giản để cấu hình và lựa chọn một phương thức mã hóa tốt hơn để tiếp tục vận hành các kết nối đến máy chủ", Langley cho biết.
Microsoft cũng thông báo ngừng hỗ trợ RC4 trong Microsoft Edge và Internet Explorer 11 và việc này sẽ được thực hiện bằng việc mặc định tắt tùy chọn này trong trình duyệt.
"Microsoft Edge và Internet Explorer 11 chỉ sử dụng mã hóa RC4 khi thực hiện các kết nối dự phòng dựa trên TLS1.2 hoặc 1.1 hoặc 1.0. Liên kết dự phòng sử dụng RC4 cho TLS 1.0 thường là kết quả của một hoặc vài lỗi hiển nhiên, nhưng như vậy sẽ khó để phân biệt đâu là kết nối tin cậy và đâu là kết nối giả mạo từ các cuộc tấn công man-in-the-middle", David Walp, Quản lý cấp cao dự án Microsoft Edge chia sẻ. "Vì lý do này, RC4 sẽ được mặc định tắt hoàn toàn trong Microsoft Edge và Internet Explorer trên Windows 7, Windows 8.1 và Windows 10 vào đầu năm 2016."
Trong hơn một thập kỉ vừa qua, các nhà nghiên cứu đã tìm ra nhiều lỗ hổng trong RC4 thông qua việc tìm kiếm những byte ngẫu nhiên trong chuỗi mã hóa để giải mã thành văn bản thuần túy. Tin tặc có đủ thời gian, năng lực xử lý và có truy cập vào đủ yêu cầu TLS có thể tìm ra những đoạn văn bản như vậy.
Vào năm 2013, nghiên cứu được Daniel J.Bernstein của Đại Học Illinois thực hiện đã tìm ra cuộc tấn công thực tế vào điểm yếu của RC4 làm cho các phiên TLS trở nên kém an toàn hơn trước. Đây cũng là một trong những cuộc tấn công đầu tiên vào RC4 được công bố.
Trong tháng 7, các chuyên gia người Bỉ đã công bố các cuộc tấn công nhằm vào mã hóa RC4 cho phép hacker bắt và giải mã cookie nhanh hơn bao giờ hết.
Trong nghiên cứu "All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS" do Mathy VanHoef và Frank Piessen của Đại học Leuven thực hiện đã chỉ ra khám phá mới trong thuật toán này cho phép các cuộc tấn công có thể phá vỡ các kết nối mã hóa trên các trang mạng sử dụng TSL với mã hóa RC4, cũng như WPA-TKIP, Wi-Fi Protected Access Temporal Key Integrity Protocol, để phục hồi các tập tin cookie.
Vanhoef và Piessens giải thích làm thế nào một kẻ tấn công có thể sử dụng các kết quả nghiên cứu để giải mã tập tin cookie từ trang web của người dùng, vốn được đảm bảo an toàn trên kênh dữ liệu mã hóa. Tuy nhiên, các cuộc tấn công của họ không chỉ giới hạn các cookie.
"Điều này có nghĩa là những kẻ tấn công có thể hành động dưới tên của nạn nhân (ví dụ như cập nhật trạng thái và gửi tin nhắn), truy cập thông tin cá nhân (ví dụ như email và lịch sử trò chuyện)", các nhà nghiên cứu cho biết.
Các cuộc tấn công nhằm vào RC4 đang ngày càng gia tăng, làm cho thuật toán này ngày càng kém tin cậy hơn trước. Các nhà sản xuất trình duyệt cho biết sẽ ngừng hỗ trợ RC4 trong khoảng cuối tháng 1 hoặc đầu tháng 2 năm 2016.
Richard Barnes của Mozilla, cho biết việc ngừng hỗ trợ này sẽ trùng với lộ trình phát hành trình duyệt Firefox phiên bản 44, dự kiến vào ngày 26/1 năm sau. Amdam Langley của Google không đưa ra ngày cụ thể, mà chỉ nói rằng các máy chủ sử dụng giao thức HTTPS hỗ trợ RC4 sẽ ngừng hoạt động sau khi phát hành Chrome đạt được kênh ổn định vào tháng 1 hoặc tháng 2 tới.
"Việc ngừng hỗ trợ RC4 nghĩa là Firefox sẽ không kết nối đến các máy chủ yêu cầu mã hóa RC4. Dữ liệu mà chúng tôi có chỉ ra rằng dù vẫn có một số ít các máy chủ như vậy, nhưng tình trạng người dùng Firefox gặp phải những trang này là rất thấp", Barnes cho biết.
Langley cũng cho biết: "Khi trình duyệt Chrome thực hiện một kết nối HTTPS, trình duyệt này phải đảm bảo kết nối này thực sự an toàn cho người sử dụng. Tại thời điểm này, việc sử dụng phương thức mã hóa RC4 trong giao thức HTTPS đã trở nên kém an toàn hơn vì vậy chúng tôi có kế hoạch ngừng hỗ trợ RC4 trong phiên bản sắp tới của Chrome".
Hiện tại, phiên bản Beta của trình duyệt Firefox và các phiên bản Phát hành vẫn tiếp tục hỗ trợ mã hóa RC4, nhưng chỉ 0.05% và 0.08% các kết nối của các phiên bản tương ứng sử dụng mã hóa RC4. Chỉ số kết nối của Chrome thì cao hơn, ở mức 0.13%.
"Ngay cả khi đó, các chuyên viên vận hành các máy chủ bị ảnh hưởng bởi quyết định này có thể chỉ cần thực hiện một vài thao tác đơn giản để cấu hình và lựa chọn một phương thức mã hóa tốt hơn để tiếp tục vận hành các kết nối đến máy chủ", Langley cho biết.
Microsoft cũng thông báo ngừng hỗ trợ RC4 trong Microsoft Edge và Internet Explorer 11 và việc này sẽ được thực hiện bằng việc mặc định tắt tùy chọn này trong trình duyệt.
"Microsoft Edge và Internet Explorer 11 chỉ sử dụng mã hóa RC4 khi thực hiện các kết nối dự phòng dựa trên TLS1.2 hoặc 1.1 hoặc 1.0. Liên kết dự phòng sử dụng RC4 cho TLS 1.0 thường là kết quả của một hoặc vài lỗi hiển nhiên, nhưng như vậy sẽ khó để phân biệt đâu là kết nối tin cậy và đâu là kết nối giả mạo từ các cuộc tấn công man-in-the-middle", David Walp, Quản lý cấp cao dự án Microsoft Edge chia sẻ. "Vì lý do này, RC4 sẽ được mặc định tắt hoàn toàn trong Microsoft Edge và Internet Explorer trên Windows 7, Windows 8.1 và Windows 10 vào đầu năm 2016."
Trong hơn một thập kỉ vừa qua, các nhà nghiên cứu đã tìm ra nhiều lỗ hổng trong RC4 thông qua việc tìm kiếm những byte ngẫu nhiên trong chuỗi mã hóa để giải mã thành văn bản thuần túy. Tin tặc có đủ thời gian, năng lực xử lý và có truy cập vào đủ yêu cầu TLS có thể tìm ra những đoạn văn bản như vậy.
Vào năm 2013, nghiên cứu được Daniel J.Bernstein của Đại Học Illinois thực hiện đã tìm ra cuộc tấn công thực tế vào điểm yếu của RC4 làm cho các phiên TLS trở nên kém an toàn hơn trước. Đây cũng là một trong những cuộc tấn công đầu tiên vào RC4 được công bố.
Trong tháng 7, các chuyên gia người Bỉ đã công bố các cuộc tấn công nhằm vào mã hóa RC4 cho phép hacker bắt và giải mã cookie nhanh hơn bao giờ hết.
Trong nghiên cứu "All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS" do Mathy VanHoef và Frank Piessen của Đại học Leuven thực hiện đã chỉ ra khám phá mới trong thuật toán này cho phép các cuộc tấn công có thể phá vỡ các kết nối mã hóa trên các trang mạng sử dụng TSL với mã hóa RC4, cũng như WPA-TKIP, Wi-Fi Protected Access Temporal Key Integrity Protocol, để phục hồi các tập tin cookie.
Vanhoef và Piessens giải thích làm thế nào một kẻ tấn công có thể sử dụng các kết quả nghiên cứu để giải mã tập tin cookie từ trang web của người dùng, vốn được đảm bảo an toàn trên kênh dữ liệu mã hóa. Tuy nhiên, các cuộc tấn công của họ không chỉ giới hạn các cookie.
"Điều này có nghĩa là những kẻ tấn công có thể hành động dưới tên của nạn nhân (ví dụ như cập nhật trạng thái và gửi tin nhắn), truy cập thông tin cá nhân (ví dụ như email và lịch sử trò chuyện)", các nhà nghiên cứu cho biết.
Theo Threatpost