News

Google, Mozilla und Microsoft schaffen RC4 Anfang 2016 ab

Die Unternehmen Google, Microsoft und Mozilla haben sich auf eine Frist zur vollständigen Einstellung des Supports des Verschlüsselungsalgorithmus‘ RC4 geeinigt.

Mit dem steigenden Risiko von Cyberattacken auf RC4 wird dieser Algorithmus zunehmend unzuverlässiger, und führende Browseranbieter haben beschlossen, ihn restlos abzuschaffen – und zwar Ende Januar oder Anfang Februar kommenden Jahres.

Laut Angaben von Richard Barnes von Mozilla wird die Unterstützung von RC4 in Firefox mit der für den 26. Januar geplanten Veröffentlichung der Version 44 eingestellt werden. „Die Deaktivierung von RC4 bedeutet, dass Firefox sich nicht länger mit Servern verbinden kann, die die Verwendung von RC4 fordern“, erklärte der Mozilla-Vertreter auf dem Entwicklerforum des Unternehmens. „Die Daten, die uns vorliegen, zeigen, dass es von solchen Servern nicht mehr viele gibt, sie aber noch immer existieren, auch wenn die Firefox-Nutzer sie selten aufrufen.“

Adam Langley von Google erklärte, das die entsprechende Chrome-Version der breiten Öffentlichkeit im Januar oder Februar zur Verfügung stehen wird. Auf ein Datum legte er sich noch nicht fest, er sagte lediglich, dass die HTTPS-Server, die ausschließlich RC4 verwenden, abgeschaltet würden. „Wenn Chrome eine HTTPS-Verbindung aufbaut, ist der Browser verpflichtet, alles nur Mögliche zu tun, um die Sicherheit zu gewährleisten“, kommentierte Langley in einem Schreiben zum Thema an die Mailingliste security@chromium.org. „Zum gegenwärtigen Zeitpunkt entspricht die Verwendung von RC4 in HTTPS-Verbindungen nicht diesen Anforderungen, daher planen wir, die Unterstützung von RC4 in einer der nächsten Chrome-Versionen zu deaktivieren“.

Aktuell können alle stabilen Firefox-Versionen sowie Beta-Versionen RC4 ohne Einschränkungen anwenden, doch tatsächlich verwenden sie den Algorithmus nur für 0,08 und 0,05% der Verbindungen respektive. Für Chrome ist dieser Wert mit 0,13%. etwas höher. „Um ihre Arbeit fortsetzen zu können, müssen die Betreiber der entsprechenden Server wahrscheinlich nur geringfügige Änderungen in der Konfiguration für den Wechsel zu einer zuverlässigeren Cipher Suite vornehmen“, ist Langley überzeugt.

Microsoft hat das Ende des Supports für den veralteten Algorithmus in den Produkten Microsoft Edge und IE 11 angekündigt; die Unterstützung wird per Standard zu Beginn des kommenden Jahres deaktiviert sein. „Microsoft Edge und der Internet Explorer 11 verwenden RC4 nur beim Zurücksetzen des Protokolls TLS 1.2 oder 1.1 auf TLS 1.0“, erklärte David Walp, Senior Program Manager von Microsoft Edge. „Das Zurücksetzen auf das Protokoll TLS 1.0, das RC4 verwendet, erfolgt meist aus Versehen. Doch diese Situation, so unschuldig sie auch sein mag, ist kaum von einer „Man-in-the-Middle-Attacke“ zu unterscheiden. Aus diesem Grund wird RC4 Anfang 2016 standardmäßig für alle Anwender von Microsoft Edge und dem Internet Explorer unter Windows 7, Windows 8.1 und Windows 10 deaktiviert.“

Bereits mehr als zehn Jahre beklagen Forscher die Mängel von RC4 und verweisen dabei auf die Möglichkeit, willkürliche Werte auszuwählen, die für die Erstellung des Schlüsseltextes mit diesem Algorithmus verwendet werden. Mit ausreichend Zeit, Rechenressourcen und Zugriff auf eine gewisse Zahl von TLS-Anfragen ausgestattet, stellt es für einen Angreifer kein besonders großes Problem dar, einen solchen Text zu entschlüsseln.

Im Jahr 2013 eröffnete sich Daniel J. Bernstein infolge seiner Forschungen an der Universität Illinois die Möglichkeit, eine praktische Angriffsart gegen eine bekannte Sicherheitslücke in RC4 zu entwickeln, die die Kompromittierung von TLS-Sitzungen zum Ziel hatte. Das war einer der ersten Erfahrungsberichte dieser Art, der öffentlich gemacht wurde.

Im vergangenen Juli haben belgische Forscher einen Angriffstyp auf RC4 veröffentlicht, der es ermöglicht, cookie-Dateien des Opfers abzufangen und sie wesentlich schneller zu entschlüsseln als man es vorher für möglich gehalten hat.

Quelle: Threatpost

Google, Mozilla und Microsoft schaffen RC4 Anfang 2016 ab

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach