19Aug

Οι βίαιες επιθέσεις εξουσίας εξηγούνται: Πώς είναι όλες οι κρυπτογράφηση ευάλωτες

key-in-lock

Οι βίαιες επιθέσεις είναι αρκετά απλές για κατανόηση, αλλά είναι δύσκολο να προστατευθούν.Η κρυπτογράφηση είναι μαθηματικά και καθώς οι υπολογιστές γίνονται ταχύτεροι στα μαθηματικά, γίνονται ταχύτεροι όταν προσπαθούν να βρουν όλες τις λύσεις και να δουν ποιος ταιριάζει.

Οι επιθέσεις αυτές μπορούν να χρησιμοποιηθούν σε οποιοδήποτε είδος κρυπτογράφησης, με διαφορετικούς βαθμούς επιτυχίας.Οι βίαιες επιθέσεις επιτίθενται γρηγορότερα και πιο αποτελεσματικά με κάθε μέρα που περνάει, καθώς απελευθερώνεται πιο γρήγορα και πιο γρήγορα το υλικό του υπολογιστή.

Baste Bruce-Force

Οι βίαιες επιθέσεις είναι απλά κατανοητές.Ένας εισβολέας έχει ένα κρυπτογραφημένο αρχείο - ας πούμε, τη βάση δεδομένων του LastPass ή του KeePass.Γνωρίζουν ότι αυτό το αρχείο περιέχει δεδομένα που θέλουν να δουν και ξέρουν ότι υπάρχει ένα κλειδί κρυπτογράφησης που το ξεκλειδώνει.Για να το αποκρυπτογραφήσουν, μπορούν να ξεκινήσουν να δοκιμάζουν κάθε πιθανό κωδικό πρόσβασης και να δουν αν αυτό οδηγεί σε ένα αποκρυπτογραφημένο αρχείο.

Αυτό γίνεται αυτόματα με ένα πρόγραμμα υπολογιστή, οπότε η ταχύτητα με την οποία κάποιος μπορεί να ωθήσει την κρυπτογράφηση αυξάνει καθώς το διαθέσιμο υλικό του υπολογιστή γίνεται γρηγορότερο και ταχύτερο, ικανό να κάνει περισσότερους υπολογισμούς ανά δευτερόλεπτο.Η επίθεση βίαιων δυνάμεων πιθανότατα θα ξεκινούσε από μονοψήφιους κωδικούς πρόσβασης προτού προχωρήσουμε σε διψήφιους κωδικούς πρόσβασης και ούτω καθεξής, προσπαθώντας όλους τους πιθανούς συνδυασμούς μέχρις ότου λειτουργήσει ένας.

Μια "επίθεση λεξικού" είναι παρόμοια και προσπαθεί να κάνει λέξεις σε ένα λεξικό - ή μια λίστα με κοινούς κωδικούς πρόσβασης - αντί όλων των πιθανών κωδικών πρόσβασης.Αυτό μπορεί να είναι πολύ αποτελεσματικό, καθώς πολλοί άνθρωποι χρησιμοποιούν τόσο αδύναμους και κοινούς κωδικούς πρόσβασης.

Γιατί οι επιτιθέμενοι δεν μπορούν να χτυπήσουν τις υπηρεσίες ιστού

Υπάρχει μια διαφορά μεταξύ των online και offline βίαιων επιθέσεων.Για παράδειγμα, εάν ένας εισβολέας θέλει να βγάλει βίαια το δρόμο στον λογαριασμό Gmail, μπορεί να ξεκινήσει να δοκιμάζει κάθε πιθανό κωδικό πρόσβασης - αλλά η Google θα τα κόψει γρήγορα.Οι υπηρεσίες που παρέχουν πρόσβαση σε τέτοιους λογαριασμούς θα καταργήσουν τις προσπάθειες πρόσβασης και θα αποκλείσουν τις διευθύνσεις IP που προσπαθούν να συνδεθούν τόσες φορές.Έτσι, μια επίθεση εναντίον μιας ηλεκτρονικής υπηρεσίας δεν θα λειτουργούσε πάρα πολύ καλά επειδή πολύ λίγες προσπάθειες μπορούν να γίνουν πριν την επίθεση θα σταματήσει.

Για παράδειγμα, μετά από μερικές αποτυχημένες προσπάθειες σύνδεσης, το Gmail θα σας δείξει μια εικόνα CATPCHA για να επαληθεύσετε ότι δεν είστε ένας υπολογιστής που προσπαθεί να κάνει αυτόματους κωδικούς πρόσβασης.Ενδεχομένως να σταματήσουν εντελώς τις προσπάθειες σύνδεσης σας αν κατορθώσετε να συνεχίσετε για αρκετό καιρό.

gmail-captcha

Από την άλλη πλευρά, ας υποθέσουμε ότι ένας εισβολέας σάρωσε ένα κρυπτογραφημένο αρχείο από τον υπολογιστή σας ή κατάφερε να θέσει σε κίνδυνο μια ηλεκτρονική υπηρεσία και να κατεβάσει τέτοια κρυπτογραφημένα αρχεία.Ο επιτιθέμενος έχει τώρα τα κρυπτογραφημένα δεδομένα για το δικό του υλικό και μπορεί να δοκιμάσει όσους κωδικούς πρόσβασης θέλει στον ελεύθερο χρόνο τους.Αν έχουν πρόσβαση στα κρυπτογραφημένα δεδομένα, δεν υπάρχει κανένας τρόπος να αποφευχθεί η προσπάθειά τους να δοκιμάσουν ένα μεγάλο αριθμό κωδικών πρόσβασης σε σύντομο χρονικό διάστημα.Ακόμη και αν χρησιμοποιείτε ισχυρή κρυπτογράφηση, είναι προς όφελός σας να διατηρείτε τα δεδομένα σας ασφαλή και να εξασφαλίσετε ότι δεν μπορούν να έχουν πρόσβαση σε άλλα άτομα.

Hashing

Ισχυροί αλγόριθμοι κατακερματισμού μπορούν να επιβραδύνουν τις επιθέσεις βίαιης δύναμης.Ουσιαστικά, οι αλγόριθμοι κατακερματισμού εκτελούν επιπλέον μαθηματικές εργασίες σε έναν κωδικό πρόσβασης πριν αποθηκεύσουν μια τιμή που προέρχεται από τον κωδικό πρόσβασης στο δίσκο.Εάν χρησιμοποιείται ένας αργότερος αλγόριθμος κατακερματισμού, θα απαιτηθεί χιλιάδες φορές περισσότερη μαθηματική εργασία για να δοκιμάσετε κάθε κωδικό πρόσβασης και να επιβραδύνετε δραματικά τις επιθέσεις βίαιης δύναμης.Ωστόσο, όσο περισσότερο απαιτείται εργασία, τόσο περισσότερο χρειάζεται να κάνει ένας διακομιστής ή άλλος υπολογιστής κάθε φορά που ο χρήστης συνδέεται με τον κωδικό πρόσβασής του.Το λογισμικό πρέπει να εξισορροπήσει την ανθεκτικότητα έναντι των επιθέσεων βίαιης δύναμης με τη χρήση των πόρων.

ταχύτητα Brute-Force

Η ταχύτητα εξαρτάται από το υλικό.Οι οργανισμοί συλλογής πληροφοριών μπορούν να δημιουργήσουν εξειδικευμένο υλικό μόνο για επιθέσεις βίαιης βίας, όπως ακριβώς οι ανθρακωρύχοι Bitcoin χτίζουν το δικό τους εξειδικευμένο υλικό βελτιστοποιημένο για την εξόρυξη Bitcoin.Όταν πρόκειται για το υλικό του καταναλωτή, ο πιο αποτελεσματικός τύπος υλικού για επιθέσεις βίαιης δύναμης είναι μια κάρτα γραφικών( GPU).Επειδή είναι εύκολο να δοκιμάσετε ταυτόχρονα πολλά διαφορετικά κλειδιά κρυπτογράφησης, πολλές κάρτες γραφικών που εκτελούνται παράλληλα είναι ιδανικές.

Στο τέλος του 2012, η ​​Ars Technica ανέφερε ότι ένα σύμπλεγμα 25 GPU θα μπορούσε να σπάσει κάθε κωδικό πρόσβασης των Windows κάτω από 8 χαρακτήρες σε λιγότερο από έξι ώρες.Ο αλγόριθμος NTLM που χρησιμοποίησε η Microsoft δεν ήταν αρκετά ανθεκτικός.Ωστόσο, όταν δημιουργήθηκε το NTLM, θα χρειαζόταν πολύς χρόνος για να δοκιμάσετε όλους αυτούς τους κωδικούς πρόσβασης.Αυτό δεν θεωρήθηκε αρκετά απειλή για τη Microsoft να κάνει την κρυπτογράφηση ισχυρότερη.

Η ταχύτητα αυξάνεται και σε λίγες δεκαετίες μπορεί να ανακαλύψουμε ότι ακόμη και οι ισχυρότεροι κρυπτογραφικοί αλγόριθμοι και τα κλειδιά κρυπτογράφησης που χρησιμοποιούμε σήμερα μπορούν να ραγιστούν γρήγορα από κβαντικούς υπολογιστές ή οποιοδήποτε άλλο υλικό που χρησιμοποιούμε στο μέλλον.

Συγκρότημα 25-gpu-password-cracking-cluster

Προστασία των δεδομένων σας από βίαιες επιθέσεις

Δεν υπάρχει τρόπος να προστατευθείτε εντελώς.Είναι αδύνατο να πούμε πόσο γρήγορα θα αποκτηθεί το υλικό του υπολογιστή και αν κάποιος από τους αλγόριθμους κρυπτογράφησης που χρησιμοποιούμε σήμερα έχει αδυναμίες που θα ανακαλυφθούν και θα αξιοποιηθούν στο μέλλον.Ωστόσο, εδώ είναι τα βασικά:

  • Κρατήστε τα κρυπτογραφημένα δεδομένα σας ασφαλή, όπου οι εισβολείς δεν μπορούν να έχουν πρόσβαση σε αυτό.Μόλις τα δεδομένα σας αντιγραφούν στο υλικό τους, μπορούν να δοκιμάσουν επιθέσεις βίαιης δύναμης εναντίον τους κατά την αναψυχή τους.
  • Εάν εκτελέσετε οποιαδήποτε υπηρεσία που δέχεται συνδέσεις μέσω Internet, βεβαιωθείτε ότι περιορίζει τις προσπάθειες σύνδεσης και αποκλείει τα άτομα που επιχειρούν να συνδεθούν με πολλούς διαφορετικούς κωδικούς πρόσβασης σε σύντομο χρονικό διάστημα.Το λογισμικό διακομιστή είναι γενικά ρυθμισμένο να το κάνει αυτό έξω από το κιβώτιο, καθώς είναι μια καλή πρακτική ασφάλειας.
  • Χρησιμοποιήστε ισχυρούς αλγόριθμους κρυπτογράφησης, όπως το SHA-512.Βεβαιωθείτε ότι δεν χρησιμοποιείτε παλιούς αλγόριθμους κρυπτογράφησης με γνωστές αδυναμίες που είναι εύκολες στη διάσπασή τους.
  • Χρησιμοποιήστε μακρούς, ασφαλείς κωδικούς πρόσβασης.Όλη η τεχνολογία κρυπτογράφησης στον κόσμο δεν πρόκειται να σας βοηθήσει εάν χρησιμοποιείτε τον "κωδικό πρόσβασης" ή τον ολοκαίνουργιο "κυνηγό2".

Οι βίαιες επιθέσεις είναι κάτι που πρέπει να ανησυχείτε για την προστασία των δεδομένων σας, την επιλογή αλγορίθμων κρυπτογράφησης και την επιλογή κωδικών πρόσβασης.Είναι επίσης λόγος να συνεχίσουμε να αναπτύσσουμε ισχυρότερους κρυπτογραφικούς αλγορίθμους - η κρυπτογράφηση πρέπει να συμβαδίζει με το πόσο γρήγορα γίνεται αναποτελεσματική από το νέο υλικό.Πιστοποίηση εικόνας

: Johan Larsson στο Flickr, Jeremy Gosney