RC4 y Crypto Ransomware [cerrado]

-5

Si no permitimos la compatibilidad con RC4 en ningún dispositivo, ¿se ralentizará o eliminará Crypto Ransomware?

¿Esto es un parche y no un problema de malware? ¿Podemos bloquear esta amenaza a nivel de paquete?

    
pregunta Gregg Dotoli 15.01.2015 - 19:58
fuente

1 respuesta

2

No. Tiene dos conceptos erróneos principales: uno, solo porque varios programas de ransomware publicitados usan RC4, no significa que tengan , o que no puedan simplemente cambiar a AES para obtener versiones más nuevas; dos, los parches no pueden evitar que un algoritmo se use en una computadora (los parches afectan el comportamiento de una única pieza de software, pero generalmente no pueden cubrir todo usando un algoritmo).

Detener el uso de RC4 no impedirá de ninguna manera que funcione el ransomware (a lo sumo, hará que ciertos programas existentes no funcionen, pero es lo suficientemente simple como para que funcionen con AES en lugar de RC4. no hay una situación en la que el ransomware se base en RC4; AES es una alternativa superior, y las que usan RC4 comenzaron porque se pensaba que eran lo suficientemente seguras y continuaban porque aún funciona bien para ellas. un poco de ransomware por un momento, pero se convertiría rápidamente en un cambio inútil. Hay dos casos en los que RC4 funciona en los que AES no es un sustituto válido: si desea que alguien sin la clave descifre el mensaje (eso puede ser el Por lo tanto, un atacante cree que ha descifrado una comunicación secreta cuando realmente pretendía descifrarla), o si tiene que admitir un sistema heredado que lo requiere. Ransomware no tiene ningún uso para el primero, y no lo hace. necesita esto último (las redes C & C podrían tener que cambiarse t, pero eso no es realmente tan difícil).

En segundo lugar, no hay manera de evitar que se use RC4, con parches u otros. Un programa de ransomware que usa RC4 podría usar bibliotecas del sistema (que podrían ser parcheadas para eliminar el soporte de RC4), pero podría implementarlo con la misma facilidad, o copiar una implementación de código abierto (incluso si la biblioteca de código abierto se cambia para eliminar el soporte) , podrían copiar la versión anterior). Es imposible detectar automáticamente el código para implementar RC4 y bloquearlo; La única forma de detenerlo es mirar el malware específico, encontrar dónde está usando RC4 y cambiar el código para detenerlo. Pero a menos que seas un investigador de seguridad, no parches el malware; eliminas el malware directamente. Por lo tanto, no estás parchando el cliente ransomware. No puedes parchear el servidor, ya que no lo controlas. Te quedas interceptándolo a nivel de red. TLS dirá en el protocolo de enlace qué conjunto de cifrado está utilizando, pero en general no hay una buena manera de distinguir el texto cifrado RC4 del texto cifrado AES a partir de datos aleatorios. Por lo tanto, no puede detener los paquetes RC4 a menos que usen TLS, pero como se mencionó anteriormente, eso realmente tiene poco efecto en el ransomware.

    
respondido por el cpast 15.01.2015 - 21:34
fuente

Lea otras preguntas en las etiquetas