Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Безопасность в Интернете вызывает большую озабоченность среди специалистов отрасли, так как мы все находимся перед большой угрозой. Ни много ни мало, как одна треть зашифрованного веб-трафика в мире страдает от роковой ошибки, которая может быть использована в любой день. Кроме того, этот же тип атаки может быть использован для взлома некоторых типов беспроводных сетей.

Криптографический шифр RC4 - также известный как Rivest Cipher 4 или ARC4 - используется в некоторых из наиболее распространенных протоколов безопасности в Интернете, таких как Transport Layer Security (TLS). Основными преимуществами RC4 являются его простота в использовании и скорость работы программного обеспечения.

Но эти пакеты имеют несколько серьезных недостатков, из-за которых не рекомендуется их использование в новых системах.

Любой, кто использовал беспроводное подключение к интернету уже заметил, что Wi-Fi сети всегда защищены на определенном уровне безопасности. В большинстве случаев, этот слой называется WPA или WPA2. Тем не менее, используется также версия под названием WEP, которая является одним из самых небезопасных протоколов защиты беспроводного подключения к Интернету. Она также запрограммирована на основе RC4.

С начала 2015 года появились слухи о том, что уже есть инструменты для взлома RC4, даже в самом сильном варианте (TLS). В результате, такие компании, как Mozilla и Microsoft перешли к лоббированию отключения криптографии RC4 везде, где это возможно. Но, похоже, угроза еще не реализована.

Даже если основная цель RC4 заключается в генерации псевдослучайных байтов для шифрования сообщений, существуют уязвимости в криптографическом шифре, что делает его уязвимым для прогнозирования некоторых из этих байтов. В то время как такие нападения требовали почти 2000 часов в 2013 году, в настоящее время атака может быть выполнена в течение 75 часов при 94% вероятности. Подобный тип атаки против WPA TKIP-беспроводных сетей, с помощью аутентификации грубой силы вообще занимает около часа.

Беспокойство по поводу состояния RC4 выразила группа ученых в блоге:

"Наша работа значительно сокращает время выполнения атаки, и мы считаем это улучшение очень пугающим. Более эффективные алгоритмы и методы генерации трафика могут быть реализованы".

Если уязвимости в криптографии RC4 успешно использует хакер, результаты будут весьма драматичными. Только представьте, что он сможет расшифровать множество личных данных из файлов cookies, а также контролировать каждый ваш шаг в Интернете через Wi-Fi. Кроме того, любые простые текстовые данные, передаваемые через RC4, также могут быть перехвачены.

HTTPS-защищенные веб-сайты, из которых примерно треть полагаются на RC4, находятся под угрозой. Есть много хлопот, связанных с уходом от широко используемых технологий. Тем не менее, стандарт RC4 нужно будет заменить как можно скорее.

"Мы считаем, что удивительно, чего возможно достичь только с помощью известных способов, и ожидаем, что эти типы атак получат дальнейшие улучшения в будущем. Основываясь на этих результатах, мы настоятельно призываем людей прекратить использование RC4, "заявляет научный документ, который должен быть опубликован в следующем месяце на 24-м симпозиуме безопасности Usenix.

Большинство Bitcoin платформ - в том числе биржи, мобильные кошельки и даже форум Bitcointalk полагаются на HTTPS-соединения, чтобы создать безопасную и надежную среду для клиентов. Если уязвимость RC4 может быть использована в какой-то момент, многие сайты Bitcoin столкнутся с последствиями этого.

Причина в том, что HTTPS/TLS сертификация осуществляется только горсткой компаний. Comodo является крупнейшим эмитентом сертификатов HTTPS/TLS, за ними следует Symantec. Среди других компаний можно назвать Godaddy, GlobalSign и DigiCert. Пока все они не прекратят использование RC4 криптографии, всегда будет оставаться угроза для HTTPS/TLS веб-сайтов и услуг.

 

 

http://insidebitcoins.com/news/httpstls-rc4-vulnerability-serious-threat-to-bitcoin-platforms/33704

 

post-4420-0-91293100-1437318880_thumb.jpg

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Похожие топики

    • Команда Ledger обнаружила критическую уязвимость в кошельках Trezor

      Производитель аппаратных криптокошельков Ledger выявил уязвимость в устройствах своего конкурента Trezor, что позволило последнему оперативно устранить проблему в моделях Safe 3 и Safe 5. Эксперты исследовательского подразделения Ledger Donjon обнаружили уязвимость в кошельках Trezor Safe 3 и Safe 5 — встроенный микроконтроллер оказался подвержен атакам с перебоями напряжения, что потенциально позволяет вносить изменения в его прошивку.   Этот вид аппаратной атаки предполагает, что зл

      в Новости криптовалют

    • Laine: Команда Solana втайне от всех устранила критическую уязвимость сети

      Представители компании Laine, валидатора блокчейна Solana, заявили о ликвидации критической уязвимости основной сети. Информацию о патче опубликовали только после проведения обновления. 7 августа служба технической поддержки Solana Foundation связалась с крупными операторами сети по частным каналам, чтобы сохранить экстренное обновление в тайне. 8 августа валидаторы блокчейна, в том числе Laine, получили еще одно уведомление от Solana Foundation, содержащее инструкцию по применению исправл

      в Новости криптовалют

    • Telegram-уязвимость Evil Video: стоит обновить приложение для закрытия дыры

      Судя по написанному, под угрозой не столько сознательные и продвинутые пользователи телеграм, сколько те, кто совсем мало понимает, что делает. В первую очередь это — наши пожилые родственники, дети, домашние питомцы, etc.. Нам самим тоже стоит обновиться, но в первую очередь агитируем их!   «Telegram закрыл уязвимость нулевого дня, позволявшую злоумышленникам отправлять вредоносные APK-файлы под видом видеороликов. Уязвимость затрагивала пользователей Android и использовалась для

      в Безопасность

    • SlowMist: Уязвимость плагинов на WordPress может стать причиной кражи криптоактивов

      Поставщик решений для кибербезопасности SlowMist предупредил владельцев сайтов и держателей цифровых активов о возможной угрозе, исходящей от системы управления контентом WordPress (CMS WP). Злоумышленники эксплуатируют недостатки безопасности в плагинах WordPress для виртуальных атак на заслуживающие доверия сайты, блоги экспертов и частные ресурсы владельцев цифровых активов, пугают специалисты SlowMist. Уязвимости плагинов могут использоваться для внедрения на взломанные интернет ресурсы

      в Новости криптовалют

    • Certik: Уязвимость аукционного контракта Ember Sword NFT привела к убыткам на $195 000

      Эксперты по криптобезопасности компании Certik обнаружили уязвимость аукционного контракта Ember Sword NFT, которая привела к убыткам 159 пользователей на сумму $195 000. Уязвимость затронула пользователей, которые одобрили контракт Ember Sword NFT и таким образом позволили злоумышленникам получить около 60 WETH. Certik рекомендовала как можно скорее отозвать одобрение соответствующего контракта на блокчейне Polygon.   #CertiKInsight We have seen an exploit on an unverified Em

      в Новости криптовалют

×
×
  • Создать...