19Aug
Brute-force napadi su prilično jednostavni za razumijevanje, ali ih je teško zaštititi.Šifriranje je matematika, a računalo postaje brže u matematici, postaju brže u pokušaju svih rješenja i vidljivosti.
Ti se napadi mogu koristiti protiv bilo koje vrste enkripcije, s različitim stupnjevima uspjeha. Brutalni napadi postaju brži i učinkovitiji svakim danom dok se noviji, brži računalni hardver oslobađa.
Osnove Brute Force-a
Brute-force napadi su jednostavni za razumijevanje. Napadač ima šifriranu datoteku - recimo, svoju bazu podataka lozinke LastPass ili KeePass. Znaju da ta datoteka sadrži podatke koje žele vidjeti, a znaju da postoji ključ za šifriranje koji je otključava. Da bi ga dešifrirali, mogu početi isprobati svaku moguću lozinku i vidjeti je li to rezultiralo dešifriranom datotekom.
Oni to rade automatski s računalnim programom, tako da se brzina kojom se netko može šifriranje brute force povećava kako raspoloživi računalni hardver postaje brži i brži, sposoban za više računanja u sekundi. Brutalni napad vjerojatno će započeti kod jednoznamenkaste lozinke prije premještanja na dvoznamenkaste lozinke i tako dalje, isprobavajući sve moguće kombinacije sve dok ne funkcionira.
"rječnik napada" sličan je i pokušava riječi u rječniku - ili popis uobičajenih zaporki - umjesto svih mogućih lozinki. To može biti vrlo učinkovito jer mnogi ljudi koriste takve slabe i uobičajene lozinke.
Zašto napadači ne mogu brutalno osposobiti web usluge
Postoji razlika između on-line i offline brute-force napada. Na primjer, ako napadač želi brutalno ubaciti svoj put u svoj Gmail račun, može početi isprobati svaku moguću lozinku - Google ih će ih brzo izrezati. Usluge koje omogućuju pristup takvim računima gurnut će pokušaje pristupa i zabraniti IP adrese koje se pokušavaju prijaviti toliko puta. Dakle, napad na mrežnu uslugu ne bi dobro funkcionirao jer se vrlo malo pokušaja može napraviti prije nego što se napad zaustavi.
Na primjer, nakon nekoliko neuspjelih pokušaja prijave, Gmail će vam pokazati CATPCHA sliku kako biste potvrdili da niste računalo koje automatski pokušava zaporke. Oni će vjerojatno zaustaviti vaše pokušaje prijave u potpunosti ako ste uspjeli nastaviti dovoljno dugo.
S druge strane, recimo da je napadač ukrao šifriranu datoteku s vašeg računala ili uspio ugroziti mrežnu uslugu i preuzeti takve šifrirane datoteke. Napadač sada ima šifrirane podatke o vlastitom hardveru i može pokušati što više lozinki što žele u slobodno vrijeme. Ako imaju pristup šifriranim podacima, nema načina da ih spriječite da isprobaju velik broj zaporki u kratkom vremenskom razdoblju.Čak i ako upotrebljavate jake enkripcije, vaša je prednost da zaštitite svoje podatke i da ih drugi ne mogu pristupiti.
Hashing
Snažan hashing algoritmi mogu usporiti napada s velikim silama. U osnovi, algoritmi raspršivanja izvode dodatnu matematičku radnju na lozinku prije pohranjivanja vrijednosti izvedene iz lozinke na disku. Ako se upotrebljava sporiji algoritam raspršivanja, to će zahtijevati tisuće puta više matematičkih zadataka da isprobate svaku lozinku i dramatično usporite napade s velikim silama. Međutim, što je potrebno više posla, to više mora raditi poslužitelj ili drugo računalo svaki put kad se korisnik prijavi s lozinkom. Softver mora uravnotežiti otpornost s napadima s velikim silama s upotrebom resursa.
Brute-Force Speed
Brzina sve ovisi o hardveru. Obavještajne agencije mogu graditi specijalizirani hardver samo za napade s velikim silama, baš kao Bitcoin rudari izgraditi vlastiti specijalizirani hardver optimiziran za Bitcoin rudarstvo. Kada je u pitanju potrošački hardver, najučinkovitija vrsta hardvera za napade s velikim silama je grafička kartica( GPU).Budući da je lako isprobati mnogo različitih ključeva za šifriranje odjednom, mnoge grafičke kartice koje se paralelno izvode idealne su.
Krajem 2012, Ars Technica je izvijestio da 25-GPU klaster može ispucati svaku Windows lozinku ispod 8 znakova u manje od šest sati. NTLM algoritam koji je Microsoft koristio nije bio dovoljno elastičan. Međutim, kada je stvoren NTLM, trebalo bi mnogo više vremena da isprobate sve ove lozinke. To se nije smatralo dovoljno prijetnjom da Microsoft ojača šifriranje.
Brzina se povećava, a za nekoliko desetljeća možemo otkriti da čak i najjači kriptografski algoritmi i ključevi za šifriranje koje danas koristimo mogu brzo napuknuti kvantna računala ili bilo koji drugi hardver koji koristimo u budućnosti.
Zaštita podataka od napada brutalnih napada
Nema načina da se potpuno zaštitite. Nemoguće je reći koliko brzo hardverski hardver dobiva i hoće li neki od algoritama za šifriranje koje danas koristimo ima slabosti koje će biti otkrivene i iskorištene u budućnosti. Međutim, ovdje su osnove:
- Držite svoje šifrirane podatke sigurno gdje napadači ne mogu dobiti pristup do njega. Nakon što su vaši podaci kopirani na svoj hardver, oni mogu pokušati brute-force napada protiv njega u slobodno vrijeme.
- Ako pokrenete bilo koju uslugu koja prihvaća prijave putem Interneta, provjerite ograničava li pokušaja prijave i blokira ljude koji se u kratkom vremenu pokušavaju prijaviti s mnogo različitih lozinki. Poslužiteljski softver obično je postavljen tako da to čini izvan okvira jer je to dobra sigurnosna praksa.
- Koristite jake algoritme za šifriranje, kao što je SHA-512.Uvjerite se da ne koristite stare algoritme za enkripciju s poznatim slabostima koje se lako ispucati.
- Koristite duge, sigurne lozinke. Sva tehnologija šifriranja na svijetu ne pomaže ako koristite "lozinku" ili sve popularnija "lovac2".
Brute-force napadi su nešto za zabrinjavanje kada se štite vaše podatke, odabiru algoritme šifriranja i odabiru lozinki. Oni su također razlog za nastavak razvijanja jačih kriptografskih algoritama - šifriranje mora biti u skladu s time kako se brzo postiže neučinkovitim novim hardverom.
Image Credit: Johan Larsson na Flickr, Jeremy Gosney