Co to jest atak Brute-Force?

Istnieje wiele niezwykle technicznych i wyrafinowanych hacków. Jak można się domyślić z nazwy, atak brute-force to nie wszystko. Nie oznacza to, że należy je ignorować. Choć są nieskomplikowane, mogą być bardzo skuteczne. Biorąc pod uwagę wystarczającą ilość czasu i mocy obliczeniowej, atak brute-force powinien zawsze mieć 100% skuteczność.

Podklasy

Istnieją dwie główne podklasy: ataki online i offline. Internetowy atak brute-force niekoniecznie obejmuje Internet. Zamiast tego jest to klasa ataku, która jest bezpośrednio wymierzona w działający system. Atak w trybie offline można przeprowadzić bez konieczności interakcji z atakowanym systemem.

Ale jak można zaatakować system bez atakowania systemu? Cóż, naruszenia danych często zawierają listy nazw użytkowników i haseł, które wyciekły. Jednak porady dotyczące bezpieczeństwa zalecają przechowywanie haseł w formacie zaszyfrowanym. Te skróty można złamać tylko poprzez odgadnięcie właściwego hasła. Niestety, teraz, gdy lista skrótów jest publicznie dostępna, atakujący może po prostu pobrać listę i spróbować złamać je na swoim komputerze. Przy wystarczającej ilości czasu i mocy obliczeniowej pozwala im to poznać listę ważnych nazw użytkowników i haseł ze 100% pewnością przed połączeniem się z witryną, której dotyczy problem.

Dla porównania, atak online próbowałby zalogować się bezpośrednio na stronie internetowej. Jest to nie tylko znacznie wolniejsze, ale także zauważalne przez prawie każdego właściciela systemu, któremu zależy na wyglądzie. W związku z tym atakujący zazwyczaj preferują ataki typu brute-force w trybie offline. Czasami jednak mogą one nie być możliwe.

Brute-force poświadczeń

Najłatwiejszą do zrozumienia klasą i najczęstszym zagrożeniem jest brutalne wymuszanie danych logowania. W tym scenariuszu osoba atakująca dosłownie próbuje jak największej liczby kombinacji nazw użytkowników i haseł, aby zobaczyć, co działa. Jak opisano powyżej, w internetowym ataku brute-force atakujący może po prostu spróbować wprowadzić dowolną liczbę kombinacji nazwy użytkownika i hasła w formularzu logowania. Ten rodzaj ataku generuje duży ruch i błędy nieudanych prób logowania, które mogą zostać zauważone przez administratora systemu, który następnie może podjąć działania w celu zablokowania atakującego.

Atak brute-force w trybie offline polega na łamaniu skrótów haseł. Ten proces dosłownie przybiera formę odgadywania każdej możliwej kombinacji znaków. Przy wystarczającej ilości czasu i mocy obliczeniowej z powodzeniem złamałby każde hasło przy użyciu dowolnego schematu mieszania. Nowoczesne schematy haszowania przeznaczone do haszowania haseł zostały jednak zaprojektowane jako „powolne” i zwykle są dostrojone tak, aby zajmowały dziesiątki milisekund. Oznacza to, że nawet przy ogromnej mocy obliczeniowej złamanie przyzwoicie długiego hasła zajmie wiele miliardów lat.

Aby zwiększyć szanse na złamanie większości haseł, hakerzy zwykle stosują zamiast tego ataki słownikowe. Obejmuje to wypróbowanie listy często używanych lub wcześniej złamanych haseł, aby sprawdzić, czy któreś z bieżącego zestawu nie było już widziane. Pomimo zaleceń dotyczących bezpieczeństwa, aby używać unikalnych, długich i złożonych haseł do wszystkiego, ta strategia ataku słownikowego zazwyczaj bardzo skutecznie łamie około 75-95% haseł. Ta strategia nadal wymaga dużej mocy obliczeniowej i nadal jest rodzajem ataku siłowego, jest tylko nieco bardziej ukierunkowana niż standardowy atak siłowy.

Inne rodzaje ataków siłowych

Istnieje wiele innych sposobów użycia brutalnej siły. Niektóre ataki obejmują próbę uzyskania fizycznego dostępu do urządzenia lub systemu. Zazwyczaj osoba atakująca będzie starała się to ukryć. Na przykład mogą próbować ukradkiem ukraść telefon, mogą próbować wytrychać w zamku lub mogą otwierać tylne drzwi przez drzwi z kontrolą dostępu. Alternatywy dla brutalnej siły są zwykle bardzo dosłowne i wykorzystują rzeczywistą siłę fizyczną.

W niektórych przypadkach część tajemnicy może być znana. Atak brutalny może być użyty do odgadnięcia reszty. Na przykład kilka cyfr numeru karty kredytowej jest często drukowanych na rachunkach. Osoba atakująca może wypróbować wszystkie możliwe kombinacje innych liczb, aby uzyskać pełny numer karty. Dlatego większość liczb jest wymazana. Na przykład ostatnie cztery cyfry wystarczą do zidentyfikowania karty, ale nie wystarczą, aby atakujący miał przyzwoitą szansę odgadnięcia pozostałej części numeru karty.

Ataki DDoS to rodzaj ataku typu brute-force. Ich celem jest przytłoczenie zasobów docelowego systemu. Tak naprawdę nie ma znaczenia, który zasób. może to być moc procesora, przepustowość sieci lub osiągnięcie pułapu cenowego przetwarzania w chmurze. Ataki DDoS dosłownie polegają na wysyłaniu wystarczającej ilości ruchu sieciowego, aby przytłoczyć ofiarę. W rzeczywistości niczego nie „hakuje”.

Wniosek

Atak brute-force to rodzaj ataku polegający na szczęściu, czasie i wysiłku. Istnieje wiele różnych rodzajów ataków brute-force. Podczas gdy niektóre z nich mogą wymagać nieco wyrafinowanych narzędzi, takich jak oprogramowanie do łamania haseł, sam atak nie jest wyrafinowany. Nie oznacza to jednak, że ataki brute-force to papierowe tygrysy, ponieważ koncepcja ta może być bardzo skuteczna.