19Aug
Brute-force-hyökkäykset ovat melko yksinkertaisia ymmärtää, mutta niitä on vaikea suojata. Salaus on matematiikka, ja tietokoneet nopeutuvat matematiikassa nopeammin, kun kokeilet kaikkia ratkaisuja ja näkevät, mikä sopii.
Näitä hyökkäyksiä voidaan käyttää kaikentyyppisiä salauksia vastaan, ja niiden menestys vaihtelee. Brute-force-hyökkäykset tulevat nopeammin ja tehokkaammin joka päivä, kun uudempi, nopeampi atk-laitteisto vapautetaan.
Brute-Force-perusteet
Brute-force-hyökkäykset ovat helppoja ymmärtää.Hyökkääjällä on salattu tiedosto - esimerkiksi LastPass- tai KeePass-salasanatietokanta. He tietävät, että tämä tiedosto sisältää tietoja, joita he haluavat nähdä, ja he tietävät, että salausavain on lukittavissa. Jos haluat purkaa sen, he voivat yrittää kokeilla jokaista mahdollista salasanaa ja katsoa, että tämä johtaa salauksen purkuun.
He tekevät tämän automaattisesti tietokoneohjelmalla, joten nopeus, jolla joku voi raa'asti pakottaa salauksen, kasvaa, kun käytettävissä oleva tietokonelaitteisto nopeutuu ja nopeutuu ja pystyy tekemään enemmän laskutoimituksia sekunnissa. Hyvinvoiva hyökkäys aloittaisi todennäköisesti yhden numeron salasanat ennen siirtymistä kaksinumeroisiin salasanoihin ja niin edelleen, kokeilemalla kaikkia mahdollisia yhdistelmiä, kunnes jokin toimii.
"Sanakirjahyökkäys" on samanlainen ja yrittää sanoja sanakirjasta - tai luetteloa tavallisista salasanoista - kaikkien mahdollisten salasanojen sijaan. Tämä voi olla erittäin tehokasta, sillä monet käyttävät tällaisia heikkoja ja tavallisia salasanoja.
Miksi hyökkääjät eivät voi Brute-Force Web Services
On eroja verkossa ja offline brute-force hyökkäyksiä.Esimerkiksi jos hyökkääjä haluaa raa'asti pakottaa tiensä Gmail-tiliisi, he voivat alkaa kokeilla kaikkia mahdollisia salasanoja - mutta Google leikkaa ne nopeasti. Palvelut, jotka mahdollistavat tällaisten tilien käytön, estävät pääsyyrityksiä ja estävät IP-osoitteet, jotka yrittävät kirjautua sisään niin monta kertaa. Näin ollen hyökkäys verkkopalvelua vastaan ei toimi liian hyvin, koska hyvin harvoja yrityksiä voidaan tehdä ennen kuin hyökkäys pysähtyy.
Esimerkiksi muutamien epäonnistuneiden kirjautumisyritysten jälkeen Gmail näyttää sinulle CATPCHA-kuvan varmistaaksesi, että et ole tietokone, joka yrittää automaattisesti salasanoja. He todennäköisesti lopettavat kirjautumisesi kokonaan, jos onnistut jatkamaan tarpeeksi kauan.
Toisaalta sanotaan, että hyökkääjä otti tietokoneesta salatun tiedoston tai onnistui vaarantamaan verkkopalvelun ja lataamaan tällaiset salatut tiedostot. Hyökkääjällä on nyt salatut tiedot omasta laitteistostaan ja he voivat kokeilla niin monta salasanaa kuin he haluavat vapaa-ajallaan. Jos heillä on pääsy salattuihin tietoihin, ei ole mitään keinoja estää heitä kokeilemasta suuria määriä salasanoja lyhyessä ajassa. Vaikka käytät vahvaa salausta, sinun on hyvä säilyttää tietosi turvallisesti ja varmistaa, että muut eivät voi käyttää sitä.
Hashing
Vahvat hajautusalgoritmit voivat hidastaa jyrkkiä hyökkäyksiä.Pohjimmiltaan hajautusalgoritmit suorittavat lisää matemaattisia töitä salasanalla ennen salasanan johdosta tallennetun arvon tallentamista. Jos käytetään hitaampaa hajautusalgoritmia, se vaatii tuhansia kertoja niin paljon matemaattista työtä, että jokainen salasana kokeillaan ja hidastaa jyrkästi hyökkäyksiä.Mitä enemmän työtä tarvitaan, sitä enemmän työtä palvelimella tai muulla tietokoneella on tehtävä joka kerta, kun käyttäjä kirjautuu sisään salasanansa avulla. Ohjelmiston on tasapainotettava resistiivisyyttä resursseja käyttävien hyökkäysten torjumiseksi.
Brute-Force Speed
Nopeus riippuu laitteistosta. Tiedusteluviranomaiset voivat rakentaa erikoistunutta laitteistoa vain hyökkääjille, samoin kuin Bitcoin-kaivostyöt rakentavat omat Bitcoin-kaivostoiminnalleen optimoidut erikoistarvikkeet. Kuluttajalaitteiden osalta tehokkain laitteisto raakajoukoille on grafiikkakortti( GPU).Koska on helppo kokeilla monia eri salausavaimia kerralla, monet näytönohjaimet ovat ihanteellisia.
Ars Technica ilmoitti vuoden 2012 lopussa, että 25-GPU-klusteri voi murtaa jokaisen Windows-salasanan alle 8 merkin alle alle kuusi tuntia. Microsoftin NTLM-algoritmi ei ollut riittävän joustava. Kuitenkin, kun NTLM luotiin, olisi ollut paljon kauemmin kokeilla kaikkia näitä salasanoja. Tätä ei pidetty riittävänä uhkana Microsoftille, jotta salaus vahvistuisi.
Nopeus on kasvamassa, ja muutaman vuosikymmenen aikana voimme havaita, että kvanttimittarit tai mitä tahansa muuta laitteistoa, jota käytämme tulevaisuudessa, voi nopeasti särkyä jopa voimakkaimpia salausavain algoritmeja ja salausavaimia.
Tietojen suojaaminen väkivaltaisilta hyökkäyksiltä
Ei ole mitään keinoa suojata itseäsi kokonaan. On mahdotonta sanoa, kuinka nopeasti tietokonelaitteisto saa ja onko jokin tällä hetkellä käytössä olevista salausalgoritmeista heikkouksia, jotka löytyvät ja hyödynnetään tulevaisuudessa. Tässä ovat kuitenkin perusasiat:
- Pidä salatut tiedot turvallisesti, jos hyökkääjät eivät pääse siihen. Kun tietojasi kopioidaan laitteistoihin, he voivat yrittää raa'at hyökkäykset sitä vastaan.
- Jos käytät palvelua, joka hyväksyy kirjautumiset Internetin välityksellä, varmista, että se rajoittaa kirjautumisyrityksiä ja estää ihmisiä, jotka yrittävät kirjautua sisään useilla eri salasanoilla lyhyessä ajassa. Palvelinohjelmisto on yleensä asetettu tekemään tämän pois laatikosta, koska se on hyvä tietoturvakäytäntö.
- Käytä vahvoja salausalgoritmeja, kuten SHA-512.Varmista, että et käytä vanhoja salausalgoritmeja, joilla on tunnettuja heikkouksia, jotka ovat helposti halkeamia.
- Käytä pitkiä, suojattuja salasanoja. Kaikki maailman salaustekniikka ei auta apua, jos käytät "salasanaa" tai yhä suosittua "metsästäjä2".
Brute-force-hyökkäykset ovat jotain huolestuttavia, kun suojaat tietojasi, valitaan salausalgoritmit ja valitaan salasanat. Ne ovat myös syy kehittää yhä tehokkaampia kryptografisia algoritmeja - salauksen on pysyttävä siinä määrin, kuinka nopeasti se on tehnyt tehottomaksi uudella laitteistolla.
Image Credit: Johan Larsson Flickr, Jeremy Gosney