19Aug

Brute-Force Attacks Explained: kuidas kogu krüpteerimine on haavatav

sisestusklahv

Ründe rünnakud on üsna lihtne mõista, kuid neid on raske kaitsta. Krüptimine on matemaatika ja kui arvutid matemaatikas kiiremini jõuavad, muutuvad nad kiiremaks kõigi lahenduste proovimisel ja näevad, mis neist sobib.

Neid rünnakuid saab kasutada igasuguse krüptimisega, erineva edukusega. Brute-force rünnakud muutuvad kiiremaks ja efektiivsemaks iga päevaga, kuna uuem, kiirem arvuti riistvara vabastatakse.

Brute-Force põhitõed

Ründe rünnakud on hõlpsasti mõistetavad. Ründajal on krüptitud fail - näiteks teie LastPassi või KeePassi parooli andmebaas. Nad teavad, et see fail sisaldab andmeid, mida nad soovivad näha, ja nad teavad, et see avab krüpteerimisvõtme. Selle dekrüpteerimiseks saavad nad proovida kõiki võimalikke paroole ja näha, kas see tulemuseks on dekrüpteeritud fail.

Nad teevad seda automaatselt arvutiprogrammiga, nii et kiirus, millega keegi suudab jõuga krüpteerimist suurendada, muutub olemasoleva arvu riistvara kiiremaks ja kiiremaks, on võimeline tegema rohkem arvutusi sekundis. Enne kahe numbri paroolide liigutamist hakkab rünne rünnak tõenäoliselt alustama ühekohaliste paroolidega ja proovib kõiki võimalikke kombinatsioone, kuni üks neist töötab.

A "sõnastiku rünnak" on sarnane ja proovib sõnu sõnastikus - või tavaliste paroolide loendist - kõigi võimalike paroolide asemel. See võib olla väga tõhus, kuna paljud inimesed kasutavad selliseid nõrku ja tavalisi paroole.

Miks ründajad ei saa kuritahtlusega veebiteenuseid

Seal on vahe online-ja off-line rüht-force rünnakuid. Näiteks kui ründaja soovib teie Gmaili kontolt jõupingutusi, saavad nad hakata proovima kõiki võimalikke paroole - aga Google kustutab need kiiresti. Teenused, mis võimaldavad juurdepääsu sellisele kontodele, võimaldavad juurdepääsu juurdepääsu katsetele ja keelavad IP-aadressid, mis üritavad logida nii mitu korda. Seega ei mõjuta võrguteenuse rünnak liiga hästi, sest rünnaku peatamiseks on võimalik teha vähe katseid.

Näiteks pärast paari ebaõnnestunud sisselogimise katset näitab Gmail teile CATPCHA-pilti, mis kinnitab, et te pole arvuti automaatselt paroolide proovimisel. Nad peatavad teie sisselogimise katkemise tõenäoliselt täies ulatuses, kui suudate pikkusega jätkata.

gmail-captcha

Teisest küljest räägime ründajast arvutist krüptitud faili või õnnestus Interneti-teenistust kompromiteerida ja selliseid krüptitud faile alla laadida. Ründajal on nüüd oma riistvaraga krüptitud andmed ja nad saavad proovida nii palju paroole, kui nad oma vabal ajal soovivad. Kui neil on juurdepääs krüpteeritud andmetele, pole neil mingit võimalust lasta neil proovida suurt hulka paroole lühikese aja jooksul. Isegi kui kasutate tugevalt krüptimist, on teie andmete säilitamine teie andmete turvalisuse tagamine ja selle tagamine, et teised ei pääse sellele juurde.

Hashing

Tugev räsimisalgoritmid võivad aeglustada rütmisjõudude rünnakuid. Sisuliselt toimivad räsimisalgoritmid paroolis enne mälukaartide täiendavat matemaatilist tööd enne ketta paroolist tuletatud väärtuse salvestamist. Kui kasutatakse aeglasemat räsimisalgoritmi, nõuab iga salasõna katsetamiseks tuhandeid kordi nii palju matemaatilist tööd kui ka jõuliselt rünnakute dramaatiline aeglustamine. Kuid seda, kui palju tööd vaja on, seda rohkem töötab server või muu arvutiga iga kord, kui kasutajad salvestavad parooli. Tarkvara peab tasakaalustama resistentsuse rünnakute vastu ressursside kasutamisel.

Brute-Force Speed ​​

kiirus sõltub riistvarast. Luureagentuurid võivad ehitada spetsialiseeritud riistvara lihtsalt rünnakute tõrjumiseks, nagu ka Bitcoin mineraalid ehitavad oma spetsiaalse riistvara, mis on optimeeritud Bitcoini kaevandamise jaoks. Tarbija riistvara puhul on kõige efektiivsem röövimisharjumuste riistvaraline riistvara graafikakaart( GPU).Kuna korraga on lihtne proovida mitmesuguseid krüpteerimisvõtmeid, on paljud paralleelselt töötavad videokaardid ideaalsed.

2012. aasta lõpus teatas Ars Technica, et 25-GPU-klastreid võiks iga Windowsi parool alla kaheksa märki alla laadida alla kuue tunni. Microsoft kasutatav NTLM-i algoritm just polnud piisavalt vastupidav. NTLMi loomise korral oleks kõigi paroolide proovimiseks kulunud palju pikem aega. Seda ei peetud piisavalt ohtuks, et Microsofti krüpteering oleks tugevam.

Kiirus kasvab ja mõne aastakümne jooksul võib avastada, et isegi kõige tugevamaid krüpteerimisalgoritme ja krüpteerimisvõtmeid, mida me täna kasutavad, saab kiiresti kvantifitseeritud arvutite või mis tahes muu riistvara abil, mida kasutame tulevikus.

25-gpu-salasõna-cracking-klastri

Teie andmete kaitsmine rütmisjõudude rünnakute eest

Ei ole võimalik end täielikult kaitsta. On võimatu öelda, kui kiiresti arvuti riistvara saab ja kas tänapäeval kasutusel olevad krüpteerimisalgoritmid on tulevikus leitud ja kasutatavad puudused. Kuid siin on põhitõed:

  • Hoidke oma krüpteeritud andmed ohutu, kui ründajad ei pääse sellele juurde. Kui nad oma andmed oma riistvarale kopeerivad, saavad nad vabal ajal proovida rünnakut rünnakute vastu.
  • Kui käitate mis tahes teenust, mis võtab Interneti kaudu sisse logisid, veenduge, et see piiraks sisselogimise katsed ja blokeerib inimesi, kes püüavad lühikese aja jooksul sisse logida paljude erinevate paroolidega. Tavaliselt on serveritarkvara seda teha kastist välja, kuna see on hea turvatöö.
  • Kasuta tugevat krüpteerimisalgoritme, näiteks SHA-512.Veenduge, et te ei kasuta vanu krüpteerimisalgoritme teadaolevate nõrkade külgedega, mida on lihtne murda.
  • Kasuta pikki turvalisi paroole. Kogu maailma krüpteerimistehnoloogia ei aita, kui kasutate parooli või üha populaarsemat "hunter2".

Ründe rünnakud on murettekitavad teie andmete kaitsmisel, krüpteerimisalgoritmide valimisel ja paroolide valimisel. Nad on ka põhjus, et hoida tugevamaid krüptograafilisi algoritme - krüptimine peab olema kooskõlas sellega, kui kiiresti see uue riistvara abil ei toeta.

pildikrediit: Johan Larsson Flickril, Jeremy Gosney