Se non permettiamo il supporto RC4 su nessun dispositivo, Crypto Ransomware sarà rallentato o eliminato?
Si tratta di un problema di patching e non di malware? Possiamo bloccare questa minaccia a livello di pacchetto?
Se non permettiamo il supporto RC4 su nessun dispositivo, Crypto Ransomware sarà rallentato o eliminato?
Si tratta di un problema di patching e non di malware? Possiamo bloccare questa minaccia a livello di pacchetto?
No. Avete due idee sbagliate principali: una, solo perché un certo numero di programmi ransomware pubblicizzati usano RC4, non significa che hanno , o che non possono semplicemente passare ad AES per le versioni più recenti; due, le patch non possono impedire che un algoritmo venga usato su un computer (le patch influenzano il comportamento di un singolo pezzo di software, ma generalmente non possono coprire tutto usando un algoritmo).
L'interruzione dell'uso di RC4 non impedirà in alcun modo il funzionamento del ransomware (al massimo, renderà certi programmi attualmente non funzionanti, ma è abbastanza semplice correggerli per funzionare ancora con AES anziché con RC4. nessuna situazione in cui ransomware si affidi a RC4; AES è un'alternativa superiore, e quelli che usano RC4 sono stati avviati perché ritenuti abbastanza sicuri e continuano perché funziona ancora bene per loro. qualche ransomware per un po ', ma molto rapidamente diventerebbe un cambiamento inutile.Ci sono due casi in cui RC4 funziona dove AES non è un sostituto valido: se si desidera che il messaggio venga decodificato da qualcuno senza la chiave (che in realtà può essere il caso, quindi un utente malintenzionato pensa di aver decrittografato una comunicazione segreta quando si voleva veramente decifrarlo), o se si deve supportare un sistema legacy che lo richiede. Ransomware non ha alcuna utilità per il primo e non bisogno di quest'ultimo (le reti C e C potrebbero essere cambiate a bi t, ma non è poi così difficile)
In secondo luogo, non c'è modo di impedire l'uso di RC4, con patch o altro. Un programma ransomware che utilizza RC4 potrebbe utilizzare librerie di sistema (che potrebbero essere riparate per rimuovere il supporto RC4), ma potrebbe altrettanto facilmente implementarlo da sé o copiare un'implementazione open source (anche se la libreria open-source viene modificata per rimuovere il supporto , potrebbero copiare la vecchia versione). È impossibile rilevare automaticamente il codice per implementare RC4 e bloccarlo; l'unico modo per fermarlo è guardare il malware specifico, trovare dove sta usando RC4 e cambiare il codice per fermarlo. Ma a meno che tu non sia un ricercatore per la sicurezza, non attacchi il malware; rimuovi il malware a titolo definitivo. Quindi, non stai patcando il client ransomware. Non puoi patchare il server, poiché non lo controlli. L'hai intercettato a livello di rete. TLS dirà nella stretta di mano quale suite di crittografia sta usando, ma in generale non c'è un buon modo di dire a RC4 il testo cifrato dal testo cifrato AES da dati casuali. Quindi non puoi fermare i pacchetti RC4 a meno che non utilizzino TLS, ma come detto sopra, questo ha davvero poco effetto sul ransomware.
Leggi altre domande sui tag ransomware patching