RC4 ถูกพัฒนาขึ้นในปี 1987 โดย Ron Rivest นักคณิตศาสตร์และนักเข้ารหัสชื่อดัง และถูกนำมาใช้เป็นกลไกหลักในการรักษาความปลอดภัยของ Active Directory ของ Windows ตั้งแต่ปี 2000 ซึ่งเป็นส่วนประกอบสำคัญที่ผู้ดูแลระบบใช้จัดการบัญชีผู้ใช้และผู้ดูแลภายในองค์กรขนาดใหญ่
แม้ว่าอัลกอริทึมนี้จะถูกเปิดเผยสู่สาธารณะในปี 1994 และนักวิจัยได้สาธิตการโจมตีทางคริปโตกราฟีที่ทำให้ความปลอดภัยของมันอ่อนแอลงอย่างมาก แต่ RC4 ก็ยังคงเป็นส่วนสำคัญในโปรโตคอลการเข้ารหัสหลายอย่าง รวมถึง SSL และ TLS จนกระทั่งประมาณหนึ่งทศวรรษที่ผ่านมา
ตลอดหลายปีที่ผ่านมา ไมโครซอฟท์ได้อัปเกรด Active Directory ให้รองรับมาตรฐานการเข้ารหัส AES ที่ปลอดภัยกว่ามากแล้ว แต่เซิร์ฟเวอร์ Windows ก็ยังคงตอบสนองต่อคำขอการตรวจสอบสิทธิ์ที่ใช้ RC4 เป็นค่าเริ่มต้น และนี่เองที่กลายเป็นช่องโหว่ที่แฮกเกอร์ชื่นชอบในการเจาะระบบเครือข่ายองค์กร
การใช้ RC4 มีบทบาทสำคัญในการโจมตี Ascension ซึ่งเป็นผู้ให้บริการด้านสุขภาพรายใหญ่เมื่อปีที่แล้ว เหตุการณ์ดังกล่าวส่งผลให้เกิดความขัดข้องที่เป็นอันตรายถึงชีวิตในโรงพยาบาล 140 แห่ง และทำให้ข้อมูลเวชระเบียนของผู้ป่วย 5.6 ล้านคนตกอยู่ในมือของผู้โจมตี
วุฒิสมาชิกสหรัฐฯ Ron Wyden ได้เรียกร้องให้คณะกรรมาธิการการค้าแห่งสหพันธรัฐ (FTC) ตรวจสอบไมโครซอฟท์ในข้อหา “ความประมาทเลินเล่อด้านความปลอดภัยทางไซเบอร์อย่างร้ายแรง” โดยอ้างถึงการที่บริษัทยังคงสนับสนุน RC4 เป็นค่าเริ่มต้น ซึ่งการตัดสินใจของไมโครซอฟท์ในครั้งนี้จึงเป็นการปิดฉากช่องโหว่สำคัญที่คุกคามองค์กรมานานหลายปี
🏷️ หมวดหมู่: Biz & IT, Security, encryption, rc4, Windows Server
🔗 อ่านบทความฉบับเต็ม: Arstechnica
