19Aug

התקפות כוח הזרוע המוסברים: כיצד כל הצפנה פגיע

מפתח- in-lock

התקפות כוח הזרוע הן פשוט למדי להבין, אבל קשה להגן מפני.הצפנה היא מתמטיקה, וככל שהמחשבים הופכים למהירים יותר במתמטיקה, הם הופכים למהירים יותר בניסיון את כל הפתרונות ולראות איזה מהם מתאים.

התקפות אלה יכולות לשמש נגד כל סוג של הצפנה, עם דרגות שונות של הצלחה.התקפות כוח הזרוע הופכות להיות מהירות ויעילות יותר עם כל יום שעובר כמו חומרה חדשה יותר ומהירה יותר במחשב.

כוח החץ יסודות

התקפות כוח הזרוע פשוטים להבין.לתוקף יש קובץ מוצפן - לדוגמה, מסד הנתונים של הסיסמה LastPass או KeePass.הם יודעים שקובץ זה מכיל נתונים שהם רוצים לראות, והם יודעים שיש מפתח הצפנה שפותח אותו.כדי לפענח את זה, הם יכולים להתחיל לנסות כל סיסמה אפשרית אחת ולראות אם זה תוצאות בקובץ מפוענח.

הם עושים זאת באופן אוטומטי עם תוכנית מחשב, ולכן המהירות שבה מישהו יכול להצפין כוח הזרוע גדל כמו חומרת המחשב זמין הופך מהר יותר ויותר, מסוגל לעשות חישובים יותר לשנייה.התקפת הכוח האכזר תתחיל בסיסמאות חד-ספרתיות לפני שתעבור לשתי סיסמאות דו-ספרותיות וכן הלאה, ותנסה את כל הצירופים האפשריים עד שאחד מהם יעבוד.

"התקפת מילון" דומה ומנסה מילים במילון - או רשימה של סיסמאות נפוצות - במקום בכל הסיסמאות האפשריות.זה יכול להיות יעיל מאוד, כמו אנשים רבים משתמשים בסיסמאות חלשות ו נפוצות כאלה.

למה התוקפים לא יכול כוח הזרוע שירותי אינטרנט

יש הבדל בין תקיפה בכוח מקוון או לא מקוון.לדוגמה, אם תוקף רוצה לחדור בכוח אל תוך חשבון ה- Gmail שלך, הוא יכול להתחיל לנסות כל סיסמה אפשרית אחת - אך Google תנתק אותם במהירות.שירותים המספקים גישה לחשבונות כאלו יגרמו לניסיונות גישה ולאסור על כתובות IP המנסות להיכנס כל כך הרבה פעמים.לפיכך, התקפה נגד שירות מקוון לא יעבוד טוב מדי, כי מעט מאוד ניסיונות ניתן לבצע לפני הפיגוע יופסק.

לדוגמה, לאחר מספר ניסיונות כניסה כושלים, Gmail יציג בפניך תמונת CATPCHA כדי לאמת שאינך מחשב שמנסה אוטומטית את הסיסמאות.הם סביר להניח להפסיק את ניסיונות הכניסה שלך לחלוטין אם הצלחת להמשיך מספיק זמן.

gmail-captcha

מצד שני, נניח שתוקף תקע קובץ מוצפן מהמחשב שלך או הצליח להתפשר על שירות מקוון ולהוריד קבצים מוצפנים כאלה.התוקף עכשיו יש את הנתונים המוצפנים על החומרה שלהם יכול לנסות כמו סיסמאות רבות כפי שהם רוצים בשעות הפנאי שלהם.אם יש להם גישה לנתונים המוצפנים, אין דרך למנוע מהם לנסות מספר רב של סיסמאות בפרק זמן קצר.גם אם אתה משתמש בהצפנה חזקה, זה לטובתך כדי לשמור על הנתונים שלך בטוח ולוודא שאחרים לא יכולים לגשת אליו.

Hashing

אלגוריתמים hashing חזק יכול להאט התקפות כוח הזרוע.בעיקרו של דבר, אלגוריתמים hashing לבצע עבודה מתמטית נוספת על הסיסמה לפני אחסון ערך הנגזר הסיסמה בדיסק.אם נעשה שימוש באלגוריתם hashing איטי יותר, הוא ידרוש אלפי פעמים עבודה מתמטית כדי לנסות כל סיסמה ולהאט באופן דרמטי את התקפות כוח הזרוע.עם זאת, ככל העבודה נדרש יותר, את העבודה יותר שרת או מחשב אחר צריך לעשות בכל פעם כמו משתמש נכנס עם הסיסמה שלהם.התוכנה צריכה לאזן עמידות נגד התקפות כוח הזרוע עם השימוש במשאבים.

מהירות החיל מהירות

מהירות הכל תלוי בחומרה.סוכנויות המודיעין יכולות לבנות חומרה מיוחדת רק עבור התקפות כוח הזרוע, בדיוק כמו כורי Bitcoin לבנות חומרה מיוחדת שלהם אופטימיזציה עבור כריית Bitcoin.כשמדובר בחומרה הצרכן, את סוג יעיל ביותר של חומרה עבור התקפות כוח הזרוע הוא כרטיס גרפי( GPU).כמו זה קל לנסות הרבה מפתחות הצפנה שונים בבת אחת, כרטיסי גרפיקה רבים הפועלים במקביל הם אידיאליים.

בסוף 2012, Ars Technica דיווחה כי אשכול 25-GPU יכול לפצח כל סיסמת Windows תחת 8 תווים תוך פחות משש שעות.אלגוריתם NTLM שבו השתמשה מיקרוסופט לא היה גמיש מספיק.עם זאת, כאשר NTLM נוצר, זה היה לוקח הרבה יותר זמן כדי לנסות את כל הסיסמאות.זה לא נחשב מספיק איום עבור מיקרוסופט כדי להפוך את ההצפנה חזקה.

המהירות גדלה, ובעוד כמה עשורים אנו מגלים כי אפילו האלגוריתמים והצפנים הצפופים ביותר שאנו משתמשים בהם כיום יכולים להיסדקר במהירות על ידי מחשבים קוונטיים או כל חומרה אחרת שאנו משתמשים בה בעתיד.

25-gpu-password-cracking- אשכול

הגנה על הנתונים שלך מפני התקפות כוח הזרוע

אין שום דרך להגן על עצמך לחלוטין.זה בלתי אפשרי לומר כמה מהר חומרת המחשב תקבל ואם כל האלגוריתמים ההצפנה אנו משתמשים היום יש חולשות כי יתגלו וניצלו בעתיד.עם זאת, הנה את היסודות:

  • שמור את הנתונים המוצפנים שלך בטוח שבו התוקפים לא יכולים לקבל גישה אליו.ברגע שיש להם את הנתונים מועתקים לחומרה שלהם, הם יכולים לנסות בכוח הזרוע ההתקפות נגדה בשעות הפנאי שלהם.
  • אם אתה מפעיל כל שירות שמקבל כניסות דרך האינטרנט, ודא שהוא מגביל ניסיונות התחברות וחוסם אנשים שמנסים להתחבר עם סיסמאות רבות ושונות בפרק זמן קצר.תוכנת השרת מוגדר בדרך כלל לעשות את זה מתוך התיבה, כפי שהוא נוהג אבטחה טובה.
  • השתמש באלגוריתמים חזקים של הצפנה, כגון SHA-512.ודא שאתה לא משתמש באלגוריתמים הצפנה ישנים עם חולשות ידועות כי הם קל לפצח.
  • השתמש בסיסמאות ארוכות ובטוחות.כל טכנולוגיית ההצפנה בעולם לא תעזור אם אתה משתמש ב'סיסמה 'או ​​ב'צייד 2' הפופולרי.

התקפות כוח הזרוע הן משהו שיש לדאוג לגבי ההגנה על הנתונים, בחירת אלגוריתמים להצפנה ובחירת סיסמאות.הם גם סיבה להמשיך לפתח אלגוריתמים קריפטוגרפיים חזקים יותר - הצפנה צריך לשמור על קשר עם כמה מהר זה להיות שניתנו יעיל על ידי חומרה חדשה.

קרדיט על התמונה: יוהן לרסון בפליקר, ג'רמי גוסני