Angrep på brute force og ordbok: Et jukseark

Brute force-angrep: Hvordan beskytte bedriften din? Sprekker kryptering er ment å ta evig, ikke sant? Ikke hvis en angriper vet hva de gjør.

Hackere har alltid et mål - noen ganger når det målet er så enkelt som et phishing-angrep eller utnytte et programvaresårbarhet, men det er ikke alltid tilfelle. Når en hakers mål ligger utenfor deres rekkevidde takket være god nettbasert sikkerhetspraksis som passordregler og kryptering, kan de vende seg til en annen metode: Brute force.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Hvis du treffer en låst boks nok ganger, vil den åpne seg, og det samme (teoretisk) gjelder for å bryte inn i et datasystem. Ved å prøve alle mulige passordkombinasjoner, eller bruke en ordbok med vanlige passord, kan en hacker få tilgang til en organisasjons mest verdifulle hemmeligheter.

Det er ikke bare webapplikasjoner som er utsatt for brute force-angrep - krypterte databaser, passordbeskyttede dokumenter og andre sikre data kan bli stjålet i et brute force-angrep, enten det er tilgjengelig online eller lastes ned til en angriperes datamaskin.

Det er viktig at fagpersoner innen cybersikkerhet kjenner risikoen forbundet med brute force-angrep. Les videre for å finne ut hva du trenger å vite om denne klassiske formen for cybersecurity-angrep, hvor sikker du kan (eller kanskje ikke) og hvordan du kan forsvare systemene dine mot brute force-angrep.

Denne artikkelen er også tilgjengelig som nedlasting, Brute Force og ordbokangrep: Et jukseark (gratis PDF).

Hva er et brute force angrep?

Angrep på brute force innebærer gjentatte påloggingsforsøk som bruker alle mulige kombinasjoner av bokstaver, tall og tegn for å gjette et passord.

En angriper som bruker brute force, prøver vanligvis å gjette en av tre ting: En bruker- eller et administratorpassord, en hash-nøkkel for passord eller en krypteringsnøkkel. Det kan være relativt enkelt å gjette et kort passord, men det er ikke nødvendigvis tilfelle for lengre passord- eller krypteringsnøkler - vanskeligheten med brute force-angrep vokser eksponentielt jo lenger passordet eller nøkkelen er.

Den mest grunnleggende formen for brute force angrep er et uttømmende nøkkelsøk, som er akkurat slik det høres ut: Prøve hver eneste mulige passordløsning (dvs. små bokstaver, store bokstaver, tall og spesialtegn) karakter etter karakter til en løsning er funnet.

Andre brute force-metoder prøver å begrense feltet med mulige passord ved å bruke en ordbok med termer (som er dekket mer detaljert nedenfor), et regnbue-tabell med forhåndsberegnede passord-hasjer, eller regler basert på brukernavn eller andre kjennetegn kjent for kontoen som er målrettet. .

Uansett hvilken metode en angriper velger, kan prosessorkraften som trengs for å utføre et brute force angrep være intens, spesielt når de blir møtt med moderne krypteringsteknikker. For å løse det problemet har angripere henvendt seg til spesialisert maskinvare som ligner mye på en gruvedriftrigg for cryptocurrency.

Brute-force-angrep og cryptocurrency mining er i hovedsak den samme tingen: Brute Force-datakraft brukes til manuelt å knekke kryptering. Det betyr at maskinvaren som trengs for å utføre enten med en viss grad av effektivitet, er den samme - grafikkbehandlingsenheter (GPU-er) og applikasjonsspesifikke integrerte kretsløp (ASIC-er) designet for bruk av cryptocurrency.

GPU-er og cryptocurrency ASIC-er er designet for å håndtere store mengder repeterende oppgaver, som er nøyaktig hva en brute force angriper trenger. Det betyr ikke at enhver hacker som prøver et angrep mot brute force bruker en, men de som er seriøse med å stjele dataene dine, gjør det definitivt.

Angrep på brute force ville være umulig for en person å prøve manuelt, og det er grunnen til at det har dukket opp en rekke populære programmer gjennom årene som, selv om de har legitime formål, lett kan gjøres om til ulovlig bruk.

Tilleggsressurser

  • Ny metode gjør cracking WPA / WPA2 Wi-Fi nettverk passord enklere og raskere (TechRepublic)
  • Trump, Google, FN er blant 2018s verste passordforbrytere (ZDNet)
  • Et botnett på over 20 000 WordPress-nettsteder angriper andre WordPress-nettsteder (ZDNet)
  • ESET oppdager 21 nye Linux-malware-familier (ZDNet)
  • Hacking-kampanje kombinerer angrep for å målrette myndigheter, finans og energi (ZDNet)
  • (ZDNet)

Hva er et ordbokangrep?

Uttømmende nøkkelsøk er løsningen på å sprekke all slags kryptografi, men de kan ta veldig lang tid. Når en angriper har en høy grad av tillit til at passordet de prøver å knekke består av visse ord, uttrykk eller kombinasjoner av tall og bokstaver, kan det være mye raskere å sette sammen en ordbok med mulige kombinasjoner og bruke den i stedet.

Ordbokangrep kan bruke en faktisk ordbok, men det er mer sannsynlig at de inneholder en kortere liste over ord som en angriper tror vil være vellykket. Vanlige brukte passordlister, populære navn, kjæledyrnavn, film- eller TV-tegn og andre ord kan alle være en del av en ordboksliste.

Det er ikke å si at det ikke er noen element av tilfeldighet til angrep fra ordbøker - de står vanligvis for vanlige passord som legger til et tall eller spesialtegn på slutten av et ord, eller erstatter et bokstav for et tall for å gjette noe antall varianter på et ord eller uttrykk.

Tilleggsressurser

  • Her er hva som skjer under et sosialteknisk cyberangrep (TechRepublic)
  • Brute Force Attacks: Utover grunnleggende passord (ZDNet)
  • Se opp for disse topp 5 cyberattack-vektorene (TechRepublic)
  • Dagen for datasikkerhet ble virkelig: Morris Worm fyller 30 (ZDNet)

Er brute force attacker bare et online problem?

Når man tenker på en brute force eller et ordboksangrep, kan man hoppe til konklusjonen at det er et problem eksklusivt for webapplikasjoner eller andre sikre online lokasjoner, men det er neppe tilfelle. Offline-brute force-angrep er veldig reelle og kan til og med være et større problem enn de som retter seg mot internetteiendeler. Det er viktig å spesifisere hva som er forskjellig mellom online og offline brute force-angrep.

Online brute force-angrep utføres i sanntid med en angriper som er direkte koblet til systemet de angriper. Nettsikkerhetsangrepene er begrenset av elementer som internett båndbredde, sikkerhetstiltak og mulig oppdagelse av offeret.

Offline brute force-angrep har ingen forbindelse til at systemet blir målrettet, noe som er en stor del av det som gjør dem så farlige. Hvis en angriper er i stand til å stjele en passord-hash, krypteringsnøkkel, Security Account Manager (SAM) -fil (Windows 'metode for lagring av passord), / etc / skygge / fil (Linux-ekvivalent til SAM), kryptert database, passordbeskyttet fil, eller et annet sikkert dokument, har den personen ubegrenset tid til å knekke det uten å oppdage.

Offline brute force-angrep er bare begrenset av datakraften som er tilgjengelig for angriperen; med riktig oppsett, kan sikrede filer, krypteringsnøkler eller passord bli eksponert på kort tid.

Tilleggsressurser

  • For bare 10 dollar kan en hacker angripe bedriften din via RDP: Slik sikrer du deg (TechRepublic)
  • Hvordan bryte Instagram med brute force (ZDNet)
  • Hvordan legitimasjonsstopping bidro til 8, 3B ondsinnet botnet-pålogging tidlig i 2018 (TechRepublic)
  • iOS 9s nye lengre passord vil gjøre brute-force angrep langt tøffere (ZDNet)

Er sterk kryptering effektiv mot brute force-angrep?

Sikkerhet blir ofte vurdert ut fra hvor lang tid det vil ta en teoretisk angriper å bryte den ved hjelp av brute force-metoder. Krypteringskompleksitet kontra tid til å bryte den vokser eksponentielt fordi hver nye karakter legger til 95 mulige bokstaver, tall og spesialtegn som du kan bla gjennom for å finne den rette.

Å knekke moderne 256-biters kryptering krever å ta mange ting i betraktning: Kompleksiteten til nøkkelen eller passordet, datakraften, og til og med fysikkens lover, må tas i betraktning når du estimerer tiden det vil ta å knekke et passord eller en krypteringsnøkkel .

Det er lett å finne beregninger som tar hensyn til alle disse variablene - de fleste av dem kommer til konklusjonen at det vil ta mer tid enn universets alder å bryte jevn 128-biters kryptering. Dobbelt så mye til 256 bit, og du har det som teoretisk er en uknuselig kode.

Passord er lettere å bryte fordi antagelser kan gjøres om hva de inneholder, og dermed begrense antall forsøk det tar for å brute kraft knekke dem. Det er fremdeles lett å bryte krypterte passord som er lagret som hasj, som demonstrert i dette blogginnlegget av cybersecurity-profesjonelle Daniel Sewell.

Ved hjelp av Hashcat klarte Sewell å bryte et usaltet SHA1-hashpassord på mindre enn ett sekund, og en PBKDF2-SHA256 saltet hasj på åtte og et halvt minutt.

Så er sterk kryptering sikker mot brute force-angrep? Ja og nei - svakheten ligger i hvordan passord lagres. Ingen angriper har tenkt å prøve å tvinge fram et 256-biters kryptert dokument - de skal prøve å finne ut hvilket passord som får dem tilgang til den ukrypterte versjonen.

Tilleggsressurser

  • Hvorfor WPA3 betyr noe, og hvordan den nye Easy Connect-funksjonen vil ombord IoT-enheter med en QR-kode (TechRepublic)
  • Disse AI-genererte falske fingeravtrykk kan lure smarttelefonsikkerhet (ZDNet)
  • Zazzle tilbakestiller "tusenvis av" kontoer etter hackere brute-force passord (ZDNet)

Hvordan kan IT-fagfolk beskytte mot brute force og ordboksangrep?

Angrep på brute force fokuserer generelt på det svake krypteringspunktet: Passord. Som Sewell viste i blogginnlegget sitt, vil til og med et godt hashet passord bare bremse en dyktig angriper hvis de klarer å stjele et hasjbord.

Når det gjelder angrep på brute force online, er løsningene relativt enkle: Sett på plass grenser som forhindrer flere påloggingsforsøk. Dette kan gjøres på flere måter:

  • Lås en konto ut etter et visst antall mislykkede forsøk;
  • Tving en konto som ikke klarer å logge inn flere ganger for å bruke en metode som captcha eller annen sekundær bekreftelse;
  • Bruk tofaktorautentisering slik at mer enn et passord kreves for å logge inn; og.
  • Forbud flere påloggingsforsøk fra en enkelt IP-adresse.

Offline brute force attack attack er litt vanskeligere: Hvis en angriper får tilgang til hash-filer med passord, er det bare et spørsmål om tid før de går inn inngangsdøren.

Så hvordan kan du forhindre at et offline angrep fra brute force lykkes? Det er flere forbedringer du kan gjøre for din sikkerhet for å beskytte mot en:

  • Lengre passord er bedre - spesialtegn betyr ikke noe lenger siden de kan gjettes med letthet;
  • Skjermpassord for å forhindre bruk av vanlige ord, uttrykk eller kombinasjoner derav;
  • Forsikre deg om at hasjene dine er virkelig sikre - hvis du ikke er sikker på hvor du skal begynne, kan du sjekke denne guiden for saltet passord hashing; og
  • Lagre aldri passord i ren tekst - hvis en angriper får tilgang til det, trenger de ikke engang å bry seg om å tvinge det.

Tilleggsressurser

  • Jukseark: Hvordan bli en cybersecurity-proff (TechRepublic)
  • Bekymret for identitetstyveri? Da bør du unngå disse passordfallgruvene (TechRepublic)
  • Office 365-administratorer: Hvordan avhjelpe nytt angrep som omgår 2FA på Windows-systemer (TechRepublic)
  • 100% av bedriftsnettverkene er svært utsatt for angrep. Slik sikrer du ditt (TechRepublic)

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag Bilde: bluebay2014, Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com