19Aug
Ataki Brute-Force są dość proste do zrozumienia, ale trudno je chronić.Szyfrowanie to matematyka, a ponieważ komputery stają się szybsze z matematyki, stają się szybsze przy testowaniu wszystkich rozwiązań i sprawdzaniu, który z nich pasuje.
Ataki te można stosować przeciwko wszelkim rodzajom szyfrowania, z różnym powodzeniem. Ataki Brute-Force stają się szybsze i bardziej efektywne z każdym dniem, w miarę jak wypuszczany jest nowszy, szybszy sprzęt komputerowy.
Podstawy Brute-Force
Ataki Brute-Force są łatwe do zrozumienia. Osoba atakująca ma zaszyfrowany plik - na przykład Twoja baza danych haseł LastPass lub KeePass. Wiedzą, że ten plik zawiera dane, które chcą zobaczyć, i wiedzą, że istnieje klucz szyfrowania, który je odblokowuje. Aby go odszyfrować, mogą rozpocząć wypróbowanie wszystkich możliwych haseł i sprawdzić, czy to skutkuje odszyfrowaniem pliku.
Robią to automatycznie za pomocą programu komputerowego, więc szybkość, z jaką ktoś może zwiększyć siłę szyfrowania, staje się coraz szybszy, ponieważ dostępny sprzęt komputerowy staje się coraz szybszy i może wykonywać więcej obliczeń na sekundę.Atak brute-force najprawdopodobniej rozpocznie się od jednocyfrowych haseł przed przejściem do dwucyfrowych haseł itd., Próbując wszystkich możliwych kombinacji, dopóki jeden z nich nie zadziała.
"Atak słownikowy" jest podobny i próbuje słów w słowniku - lub listę popularnych haseł - zamiast wszystkich możliwych haseł.Może to być bardzo skuteczne, ponieważ wiele osób używa tak słabych i popularnych haseł.
Dlaczego atakujący nie mogą Brute-Force Web Services
Istnieje różnica między atakami brute-force w trybie online i offline. Na przykład, jeśli osoba atakująca chce włamać się na swoje konto Gmail, może zacząć próbować wszystkich możliwych haseł - ale Google szybko je odetnie. Usługi zapewniające dostęp do takich kont spowalniają próby dostępu i blokują adresy IP, które próbują się zalogować wiele razy. W związku z tym atak na usługę online nie działałby zbyt dobrze, ponieważ bardzo niewiele prób można wykonać przed zatrzymaniem ataku.
Na przykład po kilku nieudanych próbach zalogowania Gmail pokaże obraz CATPCHA, aby sprawdzić, czy komputer nie próbuje automatycznie próbować hasła. Prawdopodobnie całkowicie zatrzymają próby zalogowania, jeśli uda Ci się wystarczająco długo kontynuować.
Z drugiej strony, powiedzmy, że atakujący chwycił zaszyfrowany plik z twojego komputera lub udało mu się złamać usługę online i pobrać takie zaszyfrowane pliki. Atakujący ma teraz zaszyfrowane dane na swoim sprzęcie i może próbować dowolnych haseł w czasie wolnym. Jeśli mają dostęp do zaszyfrowanych danych, nie ma sposobu, aby uniemożliwić im wypróbowanie dużej liczby haseł w krótkim czasie. Nawet jeśli używasz silnego szyfrowania, z korzyścią dla bezpieczeństwa Twoich danych i zapewnienia, że inni nie będą mieli do nich dostępu.
Hashing
Silne algorytmy haszowania mogą spowolnić ataki brute-force. Zasadniczo algorytmy mieszania wykonują dodatkową pracę matematyczną na haśle przed zapisaniem wartości uzyskanej z hasła na dysku. Jeśli użyjemy algorytmu wolniejszego mieszania, będzie to wymagało tysięcy razy więcej pracy matematycznej, aby wypróbować każde hasło i znacznie spowolnić ataki typu brute-force. Jednak im więcej pracy jest wymagane, tym więcej pracy musi wykonać serwer lub inny komputer za każdym razem, gdy użytkownik loguje się za pomocą hasła. Oprogramowanie musi równoważyć odporność na ataki typu brute force przy użyciu zasobów.
Brute-Force Speed
Szybkość wszystko zależy od sprzętu. Agencje wywiadowcze mogą budować wyspecjalizowany sprzęt tylko do brutalnych ataków, tak jak górnicy Bitcoin budują swój własny specjalistyczny sprzęt zoptymalizowany do wydobywania bitmonet. Jeśli chodzi o sprzęt konsumencki, najbardziej efektywnym rodzajem sprzętu do ataków typu brute-force jest karta graficzna( GPU).Ponieważ łatwo jest wypróbować wiele różnych kluczy szyfrujących jednocześnie, wiele równoległych kart graficznych jest idealnych.
Pod koniec 2012 roku firma Ars Technica poinformowała, że klaster 25-GPU może złamać każde hasło systemu Windows poniżej 8 znaków w mniej niż sześć godzin. Zastosowany przez Microsoft algorytm NTLM nie był wystarczająco odporny. Jednak po utworzeniu NTLM potrzeba było znacznie więcej czasu na wypróbowanie wszystkich tych haseł.Nie było to wystarczającym zagrożeniem dla Microsoftu, aby wzmocnić szyfrowanie.
Prędkośćrośnie, i za kilka dziesięcioleci możemy odkryć, że nawet najsilniejsze algorytmy kryptograficzne i klucze szyfrowania, których używamy dzisiaj, mogą zostać szybko złamane przez komputery kwantowe lub inny sprzęt, którego używamy w przyszłości.
Ochrona danych przed atakami Brute-Force
Nie ma sposobu na całkowite zabezpieczenie się.Nie da się powiedzieć, jak szybko dostanie się sprzęt komputerowy i czy któryś z algorytmów szyfrowania, których używamy dzisiaj, ma słabości, które zostaną odkryte i wykorzystane w przyszłości. Oto jednak podstawy:
- Przechowuj bezpieczne dane zaszyfrowane, gdy napastnik nie może uzyskać do niego dostępu. Gdy dane zostaną skopiowane na ich sprzęt, mogą wypróbować brutalne ataki przeciwko nim w czasie wolnym.
- Jeśli uruchomisz jakąkolwiek usługę, która akceptuje logowanie przez Internet, upewnij się, że ogranicza próby logowania i blokuje osoby, które próbują zalogować się za pomocą wielu różnych haseł w krótkim czasie. Oprogramowanie serwera jest na ogół ustawione, aby zrobić to po wyjęciu z pudełka, ponieważ jest to dobra praktyka bezpieczeństwa.
- Użyj silnych algorytmów szyfrowania, takich jak SHA-512.Upewnij się, że nie używasz starych algorytmów szyfrowania ze znanymi słabościami, które są łatwe do złamania.
- Używaj długich, bezpiecznych haseł.Cała technologia szyfrowania na świecie nie pomoże, jeśli używasz "hasła" lub popularnego "hunter2".
Ataki Brute-Force są powodem do obaw przy zabezpieczaniu danych, wyborze algorytmów szyfrowania i wybieraniu haseł.Są także powodem, by rozwijać silniejsze algorytmy kryptograficzne - szyfrowanie musi nadążać za szybkością, z jaką nowy sprzęt staje się nieefektywny.
Image Credit: Johan Larsson w serwisie Flickr, Jeremy Gosney
