19Aug

Hrubé útoky vysvetlené: Ako je všetko šifrovanie zraniteľné

key-in-lock

Útočné útoky sú pomerne jednoduché na pochopenie, ale je ťažké ich chrániť.Šifrovanie je matematika a počítač sa pri matematike rýchlejšie stáva rýchlejšou pri skúšaní všetkých riešení a pri zisťovaní toho, ktorý z nich je vhodný.

Tieto útoky môžu byť použité proti akémukoľvek typu šifrovania s rôznym stupňom úspechu. Brutálne útoky sa stávajú rýchlejšími a efektívnejšími s každým dňom ako nový, rýchlejší počítačový hardvér.

Základy brutálnej sily

Útočné útoky sú jednoduché na pochopenie.Útočník má zašifrovaný súbor - napríklad vašu databázu LastPass alebo KeePass. Vedia, že tento súbor obsahuje údaje, ktoré chcú vidieť, a vedia, že existuje šifrovací kľúč, ktorý ich odomkne. Ak ich chcete dešifrovať, môžu začať skúšať každé možné heslo a zistiť, či to vedie k dešifrovanému súboru.

to robia automaticky s počítačovým programom, takže rýchlosť, s akou môže niekto narušiť šifrovanie, sa zvyšuje, pretože dostupný počítačový hardvér sa stáva rýchlejším a rýchlejším a dokáže robiť viac výpočtov za sekundu.Útok hrubou silou by mohol začať s jednoznačnými heslami pred prechodom na dvojmiestne heslá atď., Skúšať všetky možné kombinácie, kým nebude fungovať.

"Slovník útok" je podobný a skúša slová v slovníku - alebo zoznam bežných hesiel - namiesto všetkých možných hesiel. To môže byť veľmi účinné, pretože mnoho ľudí používa také slabé a bežné heslá.

Prečo útočníci nemôžu vytrhnúť webové služby

Existuje rozdiel medzi útokmi brutálnej sily online a offline. Napríklad, ak chce útočník priblížiť svoj účet do Gmailu, môže začať skúšať každé možné heslo - ale spoločnosť Google ich rýchlo preruší.Služby, ktoré poskytujú prístup k takýmto účtom, budú obmedzovať pokusy o prístup a zablokovať adresy IP, ktoré sa pokúšajú prihlásiť toľkokrát. Takže útok na on-line službu nebude fungovať príliš dobre, pretože veľmi málo pokusov možno urobiť pred tým, ako sa útok zastaví.

Napríklad po niekoľkých neúspešných pokusoch o prihlásenie sa Gmail zobrazí obrázok CATPCHA, ktorý overí, že nie ste počítač, ktorý sa automaticky pokúša o heslá.Pravdepodobne zastavia vaše pokusy o prihlásenie, ak sa vám podarilo pokračovať dostatočne dlho.

gmail-captcha

Naproti tomu povedzme, že útočník napadol šifrovaný súbor z vášho počítača alebo sa mu podarilo ohroziť online službu a stiahnuť také šifrované súbory.Útočník má teraz šifrované dáta na vlastnom hardvéri a môže vyskúšať toľko hesiel, koľko chcú vo svojom voľnom čase. Ak majú prístup k zašifrovaným údajom, neexistuje žiadny spôsob, ako im zabrániť, aby v krátkom čase vyskúšali veľké množstvo hesiel. Dokonca aj vtedy, keď používate silné šifrovanie, je pre vás užitočné zachovať vaše dáta v bezpečí a zabezpečiť, aby ostatní nemali prístup k nim.

Hashing

Silné algoritmy hashovania môžu spomaliť útoky hrubej sily. V podstate algoritmy hash vykonávajú dodatočnú matematickú prácu na hesle pred ukladaním hodnoty odvodenej od hesla na disku. Ak sa použije algoritmus pomalšej likvidácie, bude vyžadovať tisícky krát toľko matematickej práce, aby ste vyskúšali každé heslo a dramaticky spomalili útoky hrubej sily. Avšak čím viac práce je potrebná, tým viac práce musí server alebo iný počítač robiť zakaždým, keď sa používateľ prihlási pomocou svojho hesla. Softvér musí vyvážiť odolnosť voči útokom na hrubou silou s využitím zdrojov.

Brute-Force Speed ​​

Rýchlosť závisí od hardvéru. Inteligenčné agentúry môžu stavať špecializovaný hardvér len na útoky hrubou silou, rovnako ako banskí pracovníci spoločnosti Bitcoin vytvárajú vlastný špecializovaný hardvér optimalizovaný na ťažbu Bitcoin. Pokiaľ ide o spotrebiteľský hardvér, najefektívnejším typom hardvéru pre útoky na hrubou silou je grafická karta( GPU).Keďže je jednoduché vyskúšať naraz viacero rôznych šifrovacích kľúčov, paralelné paralelné grafické karty sú ideálne.

Na konci roka 2012 spoločnosť Ars Technica uviedla, že klastr s kapacitou 25 GPU môže skrátiť každé heslo systému Windows pod 8 znakmi za menej ako šesť hodín. Algoritmus NTLM, ktorý používa spoločnosť Microsoft, nebol dostatočne odolný.Avšak, keď bol vytvorený NTLM, bolo by trvať oveľa dlhšie vyskúšať všetky tieto heslá.To sa nepovažovalo za dostatočné na to, aby spoločnosť Microsoft mohla zvýšiť šifrovanie.

Rýchlosť

sa zvyšuje a za niekoľko desaťročí môžeme zistiť, že aj tie najsilnejšie kryptografické algoritmy a šifrovacie kľúče, ktoré dnes používame, môžu byť rýchlo popraskané kvantovými počítačmi alebo akýmkoľvek ďalším hardvérom, ktorý používame v budúcnosti.

25-GPU heslo krakovania klastre

Ochrana vašich dát pred útokmi typu Brute-Force

Neexistuje žiadny spôsob, ako sa úplne ochrániť.Nie je možné povedať, ako rýchlo získa počítačový hardvér a či niektorý zo šifrovacích algoritmov, ktoré dnes používame, má slabé stránky, ktoré budú v budúcnosti objavené a využívané.Tu sú však základné informácie:

  • Udržujte svoje zašifrované dáta v bezpečí, kde útočníci nemôžu získať prístup k nim. Akonáhle sú vaše dáta skopírované do hardvéru, môžu sa pokúsiť o útoky hrubou silou proti nemu vo svojom voľnom čase.
  • Ak spustíte akúkoľvek službu, ktorá akceptuje prihlásenie cez internet, uistite sa, že obmedzuje pokusy o prihlásenie a zablokuje ľudí, ktorí sa pokúšajú prihlásiť s mnohými rôznymi heslami v krátkom čase. Serverový softvér je zvyčajne nastavený tak, aby to bol mimo krabice, pretože je to dobrý bezpečnostný postup.
  • Použite silné šifrovacie algoritmy, ako napríklad SHA-512.Uistite sa, že nepoužívate staré šifrovacie algoritmy so známymi nedostatkami, ktoré sa dajú ľahko prelomiť.
  • Použite dlhé, bezpečné heslá.Všetky šifrovacie technológie na svete vám nepomôžu, ak používate "heslo" alebo populárny "lovec2".

Útočné útoky sú niečím znepokojujúcim pri ochrane vašich dát, pri výbere algoritmov šifrovania a pri výbere hesiel. Sú tiež dôvodom na to, aby pokračovali vo vývoji silnejších kryptografických algoritmov - šifrovanie musí držať krok s tým, ako rýchlo sa stáva neúčinným novým hardvérom.

Image Credit: Johan Larsson na Flickr, Jeremy Gosney