19Aug
Napadi z brutalno silo so precej preprosti za razumevanje, vendar jih je težko zaščititi.Šifriranje je matematika, in ko računalniki postanejo hitrejši pri matematiki, postanejo hitrejši, ko poskušajo rešiti vse rešitve in vidijo, katera je primerna.
Te napade je mogoče uporabiti proti katerikoli vrsti šifriranja, z različnimi stopnjami uspeha. Napadi z brutalno silo postanejo hitrejši in učinkovitejši z vsakim dnem, ko se sprosti novejša in hitrejša računalniška strojna oprema.
Brute-Force Basics
Napadi z brutalno silo so preprosti za razumevanje. Napadalec ima kodirano datoteko - recimo, svojo zbirko gesel za geslo LastPass ali KeePass. Vedo, da ta datoteka vsebuje podatke, ki jih želijo videti, in vedo, da obstaja šifrirni ključ, ki ga odklene. Za dešifriranje lahko začnejo preizkusiti vsa možna gesla in preveriti, če to povzroči dešifrirano datoteko.
To storijo samodejno z računalniškim programom, tako da se hitrost, s katero se lahko nekdo širi s šibko silo, postane hitrejša in hitrejša, saj je na voljo računalniška strojna oprema, ki omogoča več izračunov na sekundo. Napad z brutalno silo bi se verjetno začel pri enomestnih geslih, preden bi se premaknili v dvomestna gesla in tako naprej, poskušali vse možne kombinacije, dokler ne deluje.
"slovarski napad" je podoben in preizkuša besede v slovarju - ali seznam pogostih gesel - namesto vseh možnih gesel. To je lahko zelo učinkovito, saj veliko ljudi uporablja tako šibka in skupna gesla.
Zakaj napadalci ne morejo brute-Force spletne storitve
Obstaja razlika med online in offline napadi z brutalnim silo.Če napadalec, na primer, želi, da svojo pot v vaš račun Gmail prevzame, lahko začnejo preskusiti vsa možna gesla - vendar jih bo Google hitro izklopil. Storitve, ki omogočajo dostop do takih računov, bodo poskušale pospešiti dostop in preprečiti naslove IP, ki se skušajo prijaviti tolikokrat. Tako napad na spletno storitev ne bi deloval preveč dobro, saj je mogoče le malo poskusov, preden se napad ustavi.
Na primer, po nekaj neuspelih poskusih prijave, vam Gmail pokaže sliko CATPCHA, da preveri, da niste računalnik, ki samodejno preizkusi gesla. Najverjetneje bodo vaše poskuse prijave popolnoma ustavili, če bi se lahko nadaljevali dovolj dolgo.
Po drugi strani pa recimo, da je napadalec z računalnikom nalepil šifrirano datoteko ali pa je uspel ogroziti spletno storitev in prenesti take šifrirane datoteke. Napadalec ima zdaj šifrirane podatke na lastno strojno opremo in lahko preskusi toliko gesel, kot si želi v svojem prostem času.Če imajo dostop do šifriranih podatkov, jim ni mogoče preprečiti, da bi v kratkem času poskušali veliko število gesel. Tudi če uporabljate močno šifriranje, je v vaši korist, da vaše podatke varno shranite in zagotovite, da drugi ne morejo dostopati do njih.
Hashing
Strong hashing algoritmi lahko upočasni napade z brutalnim silo. V bistvu algoritmi haha izvajajo dodatno matematično delo z geslom, preden shranijo vrednost, ki izhaja iz gesla na disku.Če se uporabi počasnejši algoritem hashing, bo zahteval več tisočkrat toliko matematičnega dela, da bi preizkusili vsa gesla in dramatično upočasnili napade z brutalnim silo. Vendar pa je potrebno več dela, več dela, ki ga strežnik ali drug računalnik naredi vsakič, ko se uporabnik prijavi z geslom. Programska oprema mora uravnotežiti odpornost proti napadom z veliko močjo z uporabo virov.
Brute-Force Speed
Hitrost je odvisna od strojne opreme. Raziskovalne agencije lahko gradijo specializirano strojno opremo samo za napade z brutalnim silo, prav tako kot rudarji Bitcoin gradijo lastno specializirano strojno opremo, optimizirano za Bitcoin mining. Ko gre za potrošniško strojno opremo, je najbolj učinkovita vrsta strojne opreme za napade z brutalnim silo grafična kartica( GPU).Ker je enostavno preizkusiti veliko različnih ključev za šifriranje, so številne vzporedno grafične kartice idealne.
Konec leta 2012 je Ars Technica poročal, da lahko 25-GPU grozda v treh časovnih obdobjih razpada vsakemu geslu za Windows pod 8 znaki. NTLM algoritem, ki ga je uporabil Microsoft, ni bil dovolj odporen. Vendar, ko je bil NTLM ustvarjen, bi trajalo veliko dlje, da bi preizkusili vsa ta gesla. To ni bilo dovolj grožnja za Microsoft, da bi šifriranje močnejše.
Hitrost se povečuje, v nekaj desetletjih pa bomo ugotovili, da lahko tudi najmočnejši kriptografski algoritmi in ključi za šifriranje, ki jih uporabljamo danes, hitro razrešijo kvantni računalniki ali katere koli druge strojne opreme, ki jo uporabljamo v prihodnosti.
Zaščita vaših podatkov iz napadov z brutalno silo
Ni mogoče popolnoma zaščititi. Nemogoče je reči, kako hitro bo računalniška strojna oprema dobila, in ali kateri od algoritmov za šifriranje, ki jih uporabljamo danes, imajo pomanjkljivosti, ki bodo v prihodnosti odkrite in izkoriščene. Vendar, tukaj so osnove:
- Ohranite svoje šifrirane podatke na varnem, če napadalci ne morejo dobiti dostopa do njega. Ko so vaši podatki kopirani na njihovo strojno opremo, lahko poskusijo z njo napadi z njo v prostem času.
- Če izvajate katero koli storitev, ki sprejema prijave preko interneta, zagotovite, da omejite poskuse prijave in blokirate ljudi, ki se v kratkem času poskušajo prijaviti z različnimi gesli. Programska oprema strežnika je običajno nastavljena tako, da to naredi iz polja, saj je to dobra varnostna praksa.
- Uporabite močne algoritme šifriranja, kot je SHA-512.Prepričajte se, da ne uporabljate starih šifrirnih algoritmov z znanimi pomanjkljivostmi, ki jih je mogoče zlomiti.
- Uporabljajte dolga, varna gesla. Vsa tehnologija šifriranja na svetu ne bo pomagala, če uporabljate "geslo" ali vedno priljubljen "hunter2".
Napadi z brutalnimi sili so nekaj, kar je potrebno skrbeti pri zaščiti podatkov, izbiri algoritmov šifriranja in izbiranju gesel. Prav tako so razlog za nadaljevanje razvijanja močnejših kriptografskih algoritmov - šifriranje mora slediti hitrosti, ki jo nova strojna oprema postane neučinkovita.
Image Credit: Johan Larsson na Flickr, Jeremy Gosney