19Aug
Útočné útoky jsou poměrně jednoduché, ale obtížně je lze chránit.Šifrování je matematika a počítače se u matematiky rychleji zrychlují tím, že zkoumají všechna řešení a zjistí, která z nich vyhovuje.
Tyto útoky mohou být použity proti jakémukoliv typu šifrování s různým stupněm úspěchu.Útoky typu Brute-force se stávají rychlejšími a efektivnějšími každým dnem, než se uvolní novější a rychlejší počítačový hardware.
Základy Brute-Force
Útočné útoky jsou snadno pochopitelné.Útočník má zašifrovaný soubor - například vaše databáze LastPass nebo KeePass. Vědí, že tento soubor obsahuje data, která chtějí vidět, a vědí, že existuje šifrovací klíč, který je odemkne. Chcete-li jej dešifrovat, mohou začít vyzkoušet každé možné heslo a zjistit, zda to vede k dešifrování souboru.
to dělají automaticky s počítačovým programem, takže rychlost, s jakou může někdo způsobit šikovnost, se zvyšuje, protože dostupný počítačový hardware se stává rychlejším a rychlejším a umožňuje provádět další výpočty za sekundu. Přirozený útok by pravděpodobně začal s jednoznačnými hesly předtím, než se přesune na dvoumístná hesla a tak dále, a zkouší všechny možné kombinace, dokud jedna nebude fungovat.
"Slovníkový útok" je podobný a vyzkouší slova ve slovníku - nebo seznamu běžných hesel - namísto všech možných hesel. To může být velmi efektivní, protože mnoho lidí používá takové slabé a běžné hesla.
Proč útočníci nemohou zkrachovat webové služby
Existuje rozdíl mezi útoky na hrubou sílu online a offline. Například pokud chce útočník, aby se dostal do Gmail účtu, může začít zkoušet každé možné heslo - ale Google je rychle odřízne. Služby, které poskytují přístup k těmto účtům, budou škrtat pokusy o přístup a zakázat adresy IP, které se pokoušejí přihlásit tolikrát. Takže útok na online službu by nefungoval příliš dobře, protože je velmi málo pokusů před útokem zastavit.
Například po několika neúspěšných pokusech o přihlášení vám Gmail zobrazí obrázek CATPCHA, který ověří, že nejste počítač, který se automaticky pokouší o hesla. Pravděpodobně zastaví vaše pokusy o přihlášení, pokud se vám podaří pokračovat dost dlouho.
Na druhou stranu, řekněme, že útočník napadl zašifrovaný soubor z vašeho počítače nebo se mu podařilo ohrozit online službu a stáhnout takové šifrované soubory.Útočník má šifrované údaje na svém vlastním hardwaru a může vyzkoušet tolik hesel, kolik chtějí ve svém volném čase. Pokud mají přístup k zašifrovaným datům, není možné jim zabránit v krátkém časovém úseku zkusit velké množství hesel. I když používáte silné šifrování, je pro vaši výhodu, aby vaše data byla v bezpečí a zajistila, aby ostatní neměli přístup.
Hashing
Silné algoritmy hashování mohou zpomalit útoky brute-force. V podstatě algoritmy likvidace hesel před uložením hodnoty odvozené z hesla na disku provádějí dodatečnou matematickou práci na hesle. Pokud je používán pomalejší algoritmus hashování, bude vyžadovat tisíckrát tolik matematické práce, aby bylo možné vyzkoušet každé heslo a dramaticky zpomalit útoky hrubou sílu. Nicméně čím více práce je zapotřebí, tím více práce musí server nebo jiný počítač dělat pokaždé, když se uživatel přihlásí pomocí svého hesla. Software musí vyvážit odolnost proti útokům na hrubou sílu s využitím zdrojů.
Brute-Force Speed
Rychlost všech závisí na hardwaru. Inteligenční agentury mohou stavět specializovaný hardware jen pro brutální útoky, stejně jako Bitcoin horníci staví svůj vlastní specializovaný hardware optimalizovaný pro těžbu Bitcoin. Pokud jde o spotřebitelský hardware, nejúčinnějším typem hardwaru pro útoky na hrubou sílu je grafická karta( GPU).Protože je snadné vyzkoušet najednou mnoho různých šifrovacích klíčů, mnoho paralelních grafických karet je ideální.
Na konci roku 2012 společnost Ars Technica uvedla, že klastr s kapacitou 25 GPU může za méně než šest hodin spouštět každé heslo systému Windows pod 8 znaky. NTLM algoritmus, který společnost Microsoft použila, nebyla dostatečně odolná.Však při vytvoření NTLM by trvat mnohem déle zkusit všechny tyto hesla. To se nepovažovalo za hrozbu, že by Microsoft mohl šifrování posílit.
Rychlostse zvětšuje a za několik desetiletí možná zjistíme, že i nejsilnější kryptografické algoritmy a šifrovací klíče, které dnes používáme, mohou být v budoucnu rychle popraskané kvantovými počítači nebo jiným hardwarem, který používáme.
Ochrana dat před útoky typu Brute-Force
Neexistuje žádný způsob, jak se zcela chránit. Je nemožné říci, jak rychle se dostane hardwarový hardware a zda některý z šifrovacích algoritmů, které dnes používáme, má slabé stránky, které budou v budoucnu objeveny a využívány. Zde jsou však základní informace:
- Udržujte šifrované údaje v bezpečí tam, kde útočníci nemohou získat přístup k nim. Jakmile budou vaše data zkopírována do svého hardwaru, mohou se pokusit o útoky na hrubou sílu.
- Pokud spustíte jakoukoli službu, která přijímá přihlášení přes Internet, ujistěte se, že omezuje pokusy o přihlášení a blokuje lidi, kteří se v krátkém časovém intervalu pokoušejí přihlásit s mnoha různými hesly. Serverový software je obecně nastaven tak, aby to nevyhovoval, protože je to dobrý bezpečnostní postup.
- Používejte silné šifrovací algoritmy, jako například SHA-512.Ujistěte se, že nepoužíváte staré šifrovací algoritmy se známými nedostatky, které lze snadno spláchnout.
- Používejte dlouhá, bezpečná hesla. Veškerá šifrovací technologie na světě vám nepomůže, pokud používáte "heslo" nebo někdy populární "lovec2".
Útoky typu Brute-force jsou obzvláště znepokojivé při ochraně dat, výběru šifrovacích algoritmů a výběru hesel. Jsou také důvodem k tomu, aby pokračovali ve vývoji silnějších kryptografických algoritmů - šifrování musí držet krok s tím, jak rychle se stává neúčinným novým hardwarem. Obrázek
: Johan Larsson na Flickru, Jeremy Gosney