Атаки на потоковый шифр RC4 наконец-то стали практически реализуемы за небольшое время. О слабости этого шифра криптографы говорили давно. Тем не менее, достаточно старый шифр до сих пор широко применяется в интернете. По оценкам экспертов, он шифрует около 30% всех соединений по протоколу TLS.

Хотя слабость шифра известна, но атаки на него носили скорее теоретический характер и были не слишком практичны. Например, атака, показанная в 2013 году, требовала 2000 часов для выполнения. Более продвинутый метод, показанный в марте 2015 года, ставил целью только извлечение паролей, зашифрованных RC4 по TLS. Тем не менее, атака занимала от 312 до 776 часов.

Сейчас ситуация изменилась к лучшему. Исследователи Мэти Ванхоф (Mathy Vanhoef) и Франк Писсенс (Frank Piessens) из университета Левена в Бельгии продемонстрировали, что атакующий может расшифровать куки, которые передаются по HTTPS, в течение 75 часов. Это уже вполне приемлемое время. Атака, основанная на сочетании статистических методов Флюрера-Макгрю и ABSAB, получила собственное имя RC4 NOMORE (и свой персональный сайт, как это заведено в последнее время).

В экспериментах на реальных устройствах исследователям удавалось провести атаку в реальных условиях на протокол TLS за 52 часа. Авторы говорят, что это первый случай, когда на настоящем трафике атака на RC4 показывает такой отличный результат.

По схеме, атакующий должен занять позицию для MiTM-атаки, перехватить трафик и внедрить скрипт, который заставит жертву передать куки в зашифрованном виде. Генерируя большое количество запросов, атакующий восстанавливает вероятные значения байтов и тестирует их до тех пор, пока не восстановит куки целиком.

003

По словам авторов, куки из 16 символов может быть расшифрован с вероятностью 94% за 9⋅227 запросов. При расчете 4450 запросов в секунду это соответствует примерно 75 часам.

Научная работа Ванхофа и Писсенса будет представлена на USENIX Security Symposium в Вашинготне в августе 2015 года.

1 комментарий

  1. m1kserok

    11.07.2016 at 17:46

    >Q: Is WPA-TKIP also vulnerable?
    >A: Yes. We can break a WPA-TKIP network within an hour. More precisely, after successfully executing the attack, an attacker can decrypt and inject arbitrary packets sent towards a client. In general, any protocol using RC4 should be considered vulnerable.

    Вайфайный WPA получается тоже уязвим. Можно декритить трафик и инжектить произвольный пакет и направить его на клиента. А это может например быть произвольный JS скриптец, который тырит куки. Правда под слоем вайфайного шифрования может оказаться еще и https.

Оставить мнение

Check Also

Промежуточные сертификаты позволяют следить за пользователями Firefox

Исследователь Александр Клинк установил, что промежуточные сертификаты можно использовать …