Google, Microsoft y Mozilla anunciaron el día de hoy que retiraran su apoyo de manera permanente al algoritmo RC4, ya que el mismo es inestable.

Ataques prácticos contra RC4 están creciendo cada vez más, lo que hace el algoritmo cada vez menos confiable. Los fabricantes de los navegadores planean cortar el apoyo a RC4 a finales de enero, principios de febrero el 2016.

Por parte de Mozilla, Richard Barnes dijo que la fecha de cierre debe coincidir con el lanzamiento de Firefox versión 44, programada para el 26 de enero, por parte de Google, Adam Langley dijo que Chrome alcanzará un canal estable en enero o febrero, pero no especificó una fecha, sólo que los servidores que requieran RC4 dejaran de funcionar.

«La Desactivación RC4 significará que Firefox ya no se conectará con servidores que requieren RC4», dijo Barnes en un post en el foro de la plataforma de desarrolladores de Mozilla.

Langley escribió al security@chromium.org un correo que dice: «Cuando Chrome realiza una conexión HTTPS tiene un deber implícito de hacer todo lo posible para garantizar que la conexión sea segura. En este punto, el uso de RC4 en una conexión HTTPS está siendo inseguro y por lo tanto tenemos la intención de desactivar el soporte para RC4 en un comunicado a futuro».

Actualmente, Firefox Beta y versiones de lanzamiento no restringen RC4, pero sin embargo, sólo el 0,05 por ciento y 0,08 por ciento de las conexiones a las versiones respectivas utilizan RC4. Los números de Google son un poco más alto para Chrome, un 0,13 por ciento.

Microsoft ha anunciado fin de la vida de RC4 en Microsoft Edge e Internet Explorer 11, y que será desactivado por defecto.

«Microsoft Edge e Internet Explorer 11 sólo se utiliza RC4 durante un repliegue de TLS 1.2 o 1.1 de TLS 1.0. Un retorno a TLS 1.0 con RC4 es más a menudo el resultado de un error inocente, pero esto es indistinguible de un ataque man-in-the-middle «, dijo David Walp, Senior Program Manager, Microsoft Edge. «Por esta razón, RC4 se desactivará enteramente por defecto para todos los usuarios de Microsoft Edge e Internet Explorer en Windows 7, Windows 8.1 y Windows 10 a partir de principios de 2016.»

Durante más de una década, los investigadores han estado haciendo agujeros en RC4, la búsqueda de sesgos en bytes no tan al azar del cifrado de flujo se utilizan para cifrar texto plano. Un atacante con suficiente tiempo y poder de procesamiento y el acceso a suficientes solicitudes TLS podría averiguar todo el texto plano.

En 2013, la investigación realizada por la Universidad de Illinois ‘Daniel J. Bernstein logro un ataque práctico contra una debilidad conocida en RC4 que conduce a una sesión de compromiso TLS, uno de los primeros ataques factibles que se han hecho públicos.

En julio, los investigadores belgas publicaron ataques contra RC4 que permite a un hacker capturar y descifrar una cookie mucho más rápido que nunca.

El documento «Todos sus prejuicios nos pertenece: Rompiendo RC4 en WPA-TKIP y TLS», escrita por Mathy Vanhoef y Frank Piessens de la Universidad de Lovaina, explica el descubrimiento de nuevas tendencias en el algoritmo que llevó a los atacante a romper el cifrado en los sitios web corriendo TLS con RC4, así como el WPA-TKIP.

Vanhoef y Piessens explican cómo un atacante puede utilizar estos resultados para descifrar las cookies de un usuario, por ejemplo, que debe ser asegurada sobre un canal cifrado. Sus ataques, sin embargo, no se limitan a las cookies.

«Esto significa que el atacante puede realizar acciones bajo el nombre de la víctima (por ejemplo, enviar actualizaciones de estado y enviar mensajes), tener acceso a la información personal (por ejemplo, a los correos electrónicos y el historial de chat), y así sucesivamente», dijeron los académicos

Fuente: Threat Post

Compartir