19Aug
Kaba kuvvet saldırıları anlamak oldukça basit, ancak karşı koruma zordur.Şifreleme matematiktir ve bilgisayarlar matematikte daha hızlı hale geldiğinde, tüm çözümleri dener ve hangisinin uyduğunu görerek daha hızlı olurlar.
Bu saldırılar, çeşitli derecelerde başarıyla, her türlü şifrelemeye karşı kullanılabilir. Kaba kuvvet saldırıları, yeni, daha hızlı bilgisayar donanımı piyasaya çıktığında her geçen gün daha hızlı ve daha etkili olur.
Brute-Force'un Temelleri
Kaba kuvvet saldırılarını anlamak kolaydır. Bir saldırgan şifrelenmiş bir dosyaya sahiptir - örneğin LastPass veya KeePass şifre veritabanı.Bu dosyanın görmek istediği verileri içerdiğini biliyorlar ve kilidini açan bir şifreleme anahtarı olduğunu biliyorlar.Şifreyi çözmek için, olası her bir şifreyi denemeye başlayabilir ve sonuçların şifresiz bir dosyada olup olmadığını görebilirler.
Bunu bir bilgisayar programı ile otomatik olarak yaparlar; bu nedenle, mevcut bilgisayar donanımı hızlandığında ve saniyede daha fazla hesaplama kapasitesine ulaştığında, birinin kaba kuvvetle şifreleme hızını artırır. Kaba kuvvet saldırısı muhtemelen iki basamaklı parolalara geçmeden önce bir basamaklı parolalarla başlayacak ve böyle devam edinceye kadar olası tüm kombinasyonları deneyecek şekilde başlayacaktır.
Bir "sözlük saldırısı" benzerdir ve tüm olası şifreler yerine bir sözlüğün içindeki kelimeleri - ya da ortak parolaların bir listesini - dener. Birçok kişi böylesine zayıf ve ortak şifreleri kullandığı için, bu çok etkili olabilir.
Neden Saldırganlar Brute-Force Web Hizmetleri
Olamaz Çevrimiçi ve çevrimdışı kaba kuvvet saldırıları arasında bir fark var.Örneğin, bir saldırgan kendi hesabınızı zorla Gmail hesabınıza zorlamak isterse, mümkün olan her bir şifreyi denemeye başlayabilir; ancak Google hızlı bir şekilde bunları keser. Bu tür hesaplara erişimi sağlayan hizmetler erişim girişimlerini durduracak ve birçok kez oturum açmaya çalışan IP adreslerini yasaklayacaktır. Dolayısıyla, bir çevrimiçi servise yönelik bir saldırı çok iyi sonuç vermez çünkü saldırı durdurulmadan çok az girişim yapılabilir.
Örneğin, birkaç başarısız oturum açma girişiminden sonra, Gmail, otomatik olarak şifreleri deneyen bir bilgisayar olmadığını doğrulamak için size bir CATPCHA resmi gösterecektir. Yeterince uzun süre devam etmeyi başarabildiyseniz, giriş yapma girişimlerinizi tamamen durdururlar.
Öte yandan, bir saldırgan şifreli bir dosyayı bilgisayarınızdan koparmış veya bir çevrimiçi hizmetten ödün vermeyi ve bu gibi şifreli dosyaları indirmeyi başardığını varsayalım. Saldırgan, artık kendi donanımında şifreli veri barındırıyor ve boş zamanlarında istedikleri kadar parola deneyebiliyor.Şifreli verilere eriştikleri takdirde, kısa sürede çok sayıda şifre denemelerini engelleyecek hiçbir yol yoktur. Güçlü şifreleme kullansanız bile, verilerinizi güvende tutmak ve başkalarının bu verilere erişememesini sağlamak sizin çıkarınızdır.
Hashing
Güçlü karma algoritmaları kaba kuvvet saldırılarını yavaşlatabilir. Esasen, karma algoritmaları, paroladan türemiş bir değeri diske depolamadan önce bir parola üzerinde ek matematiksel çalışmalar yapar. Daha yavaş bir karma algoritması kullanılıyorsa, her şifreyi denemek ve kaba kuvvet saldırılarını önemli derecede yavaşlatmak için binlerce kat fazla matematiksel çalışma gerektirecektir. Bununla birlikte, daha fazla çalışma yapılması gerektiği sürece, bir sunucu veya başka bir bilgisayar, kullanıcı şifreleriyle her giriş yaparken ne kadar çok iş yaparsa yapsınlar. Yazılım kaynak kullanımı ile kaba kuvvet saldırılarına karşı dayanıklılığı dengelemelidir.
Kaba Kuvvet Hızı
Hızın tümü donanıma bağlı.İstihbarat ajansları, yalnızca Bitcoin madencileri Bitcoin madenciliği için optimize edilmiş kendi özel donanımlarını kurdukları gibi kaba kuvvet saldırıları için özel donanım kurabilir. Tüketici donanımı söz konusu olduğunda, kaba kuvvet saldırıları için en etkili donanım türü bir ekran kartı( GPU).Bir kerede farklı şifreleme anahtarlarını denemek kolaydır, paralel çalışan birçok grafik kartı idealdir.
2012 yılı sonunda Ars Technica, 25-GPU kümesinin her bir Windows parolasını 8 karakterden altı saatten daha kısa bir sürede kırabileceğini bildirdi. Kullanılan NTLM algoritması yeterince dirençli değildi. Bununla birlikte, NTLM oluşturulduğunda, tüm bu parolaları denemek çok daha uzun sürerdi. Bu, Microsoft'un şifrelemeyi daha güçlü hale getirecek kadar büyük bir tehdit olarak değerlendirilmedi.
Hız artmaktadır ve birkaç on yıl içinde, bugün kullandığımız en güçlü şifreleme algoritmaları ve şifreleme anahtarlarının bile, kuantum bilgisayarlar veya gelecekte kullanacağımız diğer donanımlar tarafından hızla kırılabileceğini keşfedebiliriz.
Verilerinizi Brute-Force Saldırılarına Karşı Koruma
Kendinizi tamamen korumanın bir yolu yoktur. Bilgisayar donanımının ne kadar hızlı alacağını ve bugün kullandığımız şifreleme algoritmalarının herhangi birinin gelecekte keşfedilecek ve kullanılacak zayıf yönleri olup olmadığını söylemek imkansız. Bununla birlikte, temel bilgiler şunlardır:
- Şifrelenmiş verilerinizi, saldırganların erişemeyeceği yerlerde güvenli tutun. Verilerinizi donanımlarına kopyaladıktan sonra, boş zamanlarında ona karşı kaba kuvvet saldırıları deneyebilirler.
- Internet üzerinden oturum açmayı kabul eden herhangi bir hizmeti çalıştırırsanız, oturum açma girişimleri sınırlandırıldığından ve kısa bir sürede birçok farklı parolayla giriş yapmayı deneyen kişileri engellemediğinden emin olun. Sunucu yazılımı genellikle iyi bir güvenlik uygulaması olduğu için bunu kutudan çıkaracak şekilde ayarlanmıştır.
- SHA-512 gibi güçlü şifreleme algoritmalarını kullanın.Çatlamaları kolay olan bilinen zayıflıkları olan eski şifreleme algoritmalarını kullanmadığınızdan emin olun.
- Uzun, güvenli parolalar kullanın."Şifre" veya sürekli popüler "avcı2" kullanıyorsanız, dünyadaki tüm şifreleme teknolojisi yardımcı olmayacak.
Kaba kuvvet saldırıları, verilerinizi korurken, şifreleme algoritmalarını seçerken ve şifreleri seçerken endişe edilecek şeylerdir. Ayrıca, daha güçlü kriptografik algoritmalar geliştirmeye devam etmek için bir sebeplerdir - şifreleme, yeni donanımın etkisiz hale getirilme hızına yetişmek zorundadır.
Resim Kredisi: Johan Larsson, Flickr, Jeremy Gosney
