19Aug
Brute-force angreb er ret enkle at forstå, men svære at beskytte mod. Kryptering er matematik, og som computere bliver hurtigere ved matematik bliver de hurtigere ved at forsøge alle løsninger og se, hvilken en passer.
Disse angreb kan bruges mod enhver form for kryptering, med varierende grad af succes. Brute-force angreb bliver hurtigere og mere effektive med hver dag, da nyere, hurtigere computer hardware frigives.
Brute-Force Basics
Brute-force angreb er enkle at forstå.En hacker har en krypteret fil - sig din LastPass eller KeePass adgangskode database. De ved, at denne fil indeholder data, de ønsker at se, og de ved, at der er en krypteringsnøgle, der låser den op. For at dekryptere det kan de begynde at prøve hver enkelt mulig adgangskode og se om det resulterer i en dekrypteret fil.
De gør dette automatisk med et computerprogram, så den hastighed, hvormed nogen kan brute-force kryptering stiger, da tilgængelig computer hardware bliver hurtigere og hurtigere, der er i stand til at foretage flere beregninger per sekund. Brute Force-angrebet vil sandsynligvis starte ved etcifrede adgangskoder, før du flytter til tocifrede adgangskoder og så videre, forsøger alle mulige kombinationer, indtil man arbejder.
En "ordbog angreb" er ens og forsøger ord i en ordbog - eller en liste over almindelige adgangskoder - i stedet for alle mulige adgangskoder. Dette kan være meget effektivt, så mange bruger så svage og almindelige adgangskoder.
Hvorfor angriberne ikke kan brute-Force Web Services
Der er en forskel mellem online og offline brute-force angreb. Hvis en angriber f.eks. Vil brute-force deres vej ind i din Gmail-konto, kan de begynde at prøve enhver eneste mulig adgangskode - men Google vil hurtigt afskære dem. Tjenesteydelser, der giver adgang til sådanne konti, vil gribeadgangsforsøg og forbyde IP-adresser, der forsøger at logge ind så mange gange. Et angreb på en onlinetjeneste ville således ikke virke for godt, fordi der kun kan laves meget få forsøg inden angrebet stoppes.
Efter et par fejlede loginforsøg vil Gmail vise dig et CATPCHA-billede for at kontrollere, at du ikke er en computer, der automatisk prøver adgangskoder. De vil sandsynligvis stoppe dine login forsøg helt, hvis du formåede at fortsætte i lang tid.
På den anden side lad os sige, at en hacker snagged en krypteret fil fra din computer eller formået at kompromittere en onlinetjeneste og downloade sådanne krypterede filer. Attackeren har nu de krypterede data på egen hardware og kan prøve så mange adgangskoder, som de vil have i deres fritid. Hvis de har adgang til de krypterede data, er der ingen måde at forhindre dem i at prøve et stort antal adgangskoder på kort tid. Selvom du bruger stærk kryptering, er det til din fordel at holde dine data sikre og sikre, at andre ikke kan få adgang til det.
Hashing
Sterke hashing algoritmer kan bremse brute-force angreb. I det væsentlige udfører hashingalgoritmer yderligere matematisk arbejde på en adgangskode, før opbevaring af en værdi afledt af adgangskoden på disken. Hvis der anvendes en langsommere hashningsalgoritme, vil det kræve tusindvis af gange så meget matematisk arbejde at prøve hver adgangskode og dramatisk sænke brute-force angreb. Men jo mere arbejde der kræves, desto mere fungerer en server eller en anden computer, hver gang brugeren logger ind med deres adgangskode. Software skal afbalancere modstandsdygtighed mod brute-force-angreb med ressourceforbrug.
Brute-Force Speed
Hastighed afhænger alt af hardware. Intelligence bureauer kan bygge specialiseret hardware kun til brute-force angreb, ligesom Bitcoin minearbejdere bygger deres egen specialiserede hardware optimeret til Bitcoin minedrift. Når det kommer til forbruger hardware, er den mest effektive type hardware til brute-force angreb et grafikkort( GPU).Da det er nemt at prøve mange forskellige krypteringsnøgler på én gang, er mange grafikkort, der kører parallelt, ideelle.
I slutningen af 2012 rapporterede Ars Technica, at en 25-GPU-klynge kunne knække alle Windows-adgangskoder under 8 tegn på mindre end seks timer. Den anvendte NTLM-algoritme, Microsoft, var bare ikke modstandsdygtig nok. Men da NTLM blev oprettet, ville det have taget meget længere tid at prøve alle disse adgangskoder. Dette blev ikke betragtet som en trussel for Microsoft for at gøre krypteringen stærkere.
Hastigheden er stigende, og om nogle få årtier kan vi opdage, at selv de stærkeste kryptografiske algoritmer og krypteringsnøgler, vi bruger i dag, hurtigt kan knækkes af kvantecomputere eller den anden hardware, vi bruger i fremtiden.
Beskytter dine data mod brute-force angreb
Der er ingen måde at beskytte dig selv helt. Det er umuligt at sige, hvor hurtigt computerhardware vil få, og om nogen af de krypteringsalgoritmer, vi bruger i dag, har svagheder, der vil blive opdaget og udnyttet i fremtiden. Men her er det grundlæggende:
- Hold dine krypterede data sikre, hvor angriberne ikke kan få adgang til det. Når de har fået dine data kopieret til deres hardware, kan de forsøge at modvirke angreb mod det på deres fritid.
- Hvis du kører enhver tjeneste, der accepterer logins via internettet, skal du sikre dig, at det begrænser loginforsøg og blokerer personer, der forsøger at logge ind med mange forskellige adgangskoder på kort tid. Server software er generelt indstillet til at gøre dette ud af kassen, da det er en god sikkerhedspraksis.
- Brug stærke krypteringsalgoritmer, såsom SHA-512.Sørg for, at du ikke bruger gamle krypteringsalgoritmer med kendte svagheder, der er lette at knække.
- Brug lange, sikre adgangskoder. Alle krypteringsteknologier i verden kommer ikke til at hjælpe, hvis du bruger "password" eller den altid populære "hunter2".
Brute-force angreb er noget at være bekymret over, når du beskytter dine data, vælger krypteringsalgoritmer og vælger adgangskoder. De er også en grund til at fortsætte med at udvikle stærkere kryptografiske algoritmer - kryptering skal følge med, hvor hurtigt det bliver gjort ineffektivt af ny hardware.
Billedkredit: Johan Larsson på Flickr, Jeremy Gosney