Główna » jak » Ataki Brute-Force Poradnik Jak wszystkie Szyfrowanie jest podatne na ataki

    Ataki Brute-Force Poradnik Jak wszystkie Szyfrowanie jest podatne na ataki

    Ataki Brute-Force są dość proste do zrozumienia, ale trudno je chronić. Szyfrowanie to matematyka, a ponieważ komputery stają się szybsze z matematyki, stają się szybsze przy testowaniu wszystkich rozwiązań i sprawdzaniu, który z nich pasuje.

    Ataki te mogą być używane przeciwko wszelkim rodzajom szyfrowania, z różnym powodzeniem. Ataki Brute-Force stają się szybsze i bardziej skuteczne z każdym dniem, w miarę jak wydawane są nowsze i szybsze komputery.

    Podstawy Brute-Force

    Ataki Brute-Force są łatwe do zrozumienia. Osoba atakująca ma zaszyfrowany plik - na przykład twoja baza danych haseł LastPass lub KeePass. Wiedzą, że ten plik zawiera dane, które chcą zobaczyć, i wiedzą, że istnieje klucz szyfrowania, który je odblokowuje. Aby go odszyfrować, mogą zacząć wypróbowywać każde możliwe hasło i sprawdzać, czy to skutkuje odszyfrowaniem pliku.

    Robią to automatycznie za pomocą programu komputerowego, więc szybkość, z jaką ktoś może brutalnie wymuszać szyfrowanie, zwiększa się, gdy dostępny sprzęt komputerowy staje się coraz szybszy i może wykonywać więcej obliczeń na sekundę. Atak brute-force prawdopodobnie rozpocznie się od jednocyfrowych haseł przed przejściem do dwucyfrowych haseł itd., Próbując wszystkich możliwych kombinacji, dopóki nie zacznie działać.

    "Atak słownikowy" jest podobny i próbuje słów w słowniku - lub listę popularnych haseł - zamiast wszystkich możliwych haseł. Może to być bardzo skuteczne, ponieważ wiele osób używa tak słabych i popularnych haseł.

    Dlaczego atakujący nie mogą Brute-Force Web Services

    Istnieje różnica między atakami typu brute force w trybie online i offline. Na przykład, jeśli osoba atakująca chce włamać się na swoje konto Gmail, może zacząć próbować wszystkich możliwych haseł - ale Google szybko je wyłączy. Usługi zapewniające dostęp do takich kont spowalniają próby dostępu i blokują adresy IP, które próbują się zalogować wiele razy. W związku z tym atak na usługę online nie działałby zbyt dobrze, ponieważ bardzo niewiele prób można wykonać przed zatrzymaniem ataku.

    Na przykład po kilku nieudanych próbach zalogowania Gmail wyświetli obraz CATPCHA, aby potwierdzić, że nie jest to komputer automatycznie próbujący hasła. Prawdopodobnie całkowicie zatrzymają próby zalogowania, jeśli uda Ci się wystarczająco długo.

    Z drugiej strony, powiedzmy, że atakujący chwycił zaszyfrowany plik z komputera lub udało mu się złamać usługę online i pobrać takie zaszyfrowane pliki. Atakujący ma teraz zaszyfrowane dane na swoim sprzęcie i może wypróbować dowolną liczbę haseł w dowolnym momencie. Jeśli mają dostęp do zaszyfrowanych danych, nie ma sposobu, aby uniemożliwić im wypróbowanie dużej liczby haseł w krótkim czasie. Nawet jeśli używasz silnego szyfrowania, z korzyścią dla bezpieczeństwa Twoich danych i zapewnienia, że ​​inni nie będą mieli do nich dostępu.

    Hashing

    Silne algorytmy mieszania mogą spowalniać ataki brute-force. Zasadniczo algorytmy mieszania wykonują dodatkową pracę matematyczną na haśle przed zapisaniem wartości uzyskanej z hasła na dysku. Jeśli użyjemy algorytmu wolniejszego mieszania, będzie to wymagało tysiące razy więcej pracy matematycznej, aby wypróbować każde hasło i znacznie spowolnić ataki brute-force. Jednak im więcej pracy jest wymagane, tym więcej pracy musi wykonać serwer lub inny komputer za każdym razem, gdy użytkownik loguje się za pomocą hasła. Oprogramowanie musi równoważyć odporność na ataki typu brute force przy użyciu zasobów.

    Prędkość Brute-Force

    Szybkość wszystko zależy od sprzętu. Agencje wywiadowcze mogą budować wyspecjalizowany sprzęt tylko do brutalnych ataków, tak jak górnicy Bitcoin budują swój własny specjalistyczny sprzęt zoptymalizowany do wydobywania bitmonet. Jeśli chodzi o sprzęt konsumencki, najbardziej efektywnym rodzajem sprzętu do ataków typu brute-force jest karta graficzna (GPU). Ponieważ łatwo jest wypróbować wiele różnych kluczy szyfrujących jednocześnie, wiele równoległych kart graficznych jest idealnych.

    Pod koniec 2012 roku firma Ars Technica poinformowała, że ​​klaster 25-GPU może złamać każde hasło systemu Windows poniżej 8 znaków w mniej niż sześć godzin. Używany przez Microsoft algorytm NTLM nie był wystarczająco odporny. Jednak po utworzeniu NTLM potrzeba było znacznie więcej czasu na wypróbowanie wszystkich tych haseł. Nie było to wystarczającym zagrożeniem dla Microsoftu, aby wzmocnić szyfrowanie.

    Szybkość rośnie, a za kilka dziesięcioleci możemy odkryć, że nawet najsilniejsze algorytmy kryptograficzne i klucze szyfrowania, których używamy dzisiaj, mogą zostać szybko złamane przez komputery kwantowe lub inny sprzęt, którego używamy w przyszłości..

    Ochrona danych przed atakami Brute-Force

    Nie ma sposobu, aby całkowicie się uchronić. Nie da się powiedzieć, jak szybko dostanie się sprzęt komputerowy i czy któryś z algorytmów szyfrowania, których używamy dzisiaj, ma słabości, które zostaną odkryte i wykorzystane w przyszłości. Oto jednak podstawy:

    • Zabezpiecz swoje zaszyfrowane dane w miejscach, w których napastnik nie może uzyskać do niego dostępu. Gdy dane zostaną skopiowane na ich sprzęt, mogą spróbować ataków brutalnych sił w czasie wolnym.
    • Jeśli uruchomisz jakąkolwiek usługę, która akceptuje logowanie przez Internet, upewnij się, że ogranicza próby logowania i blokuje osoby, które próbują zalogować się za pomocą wielu różnych haseł w krótkim czasie. Oprogramowanie serwera jest na ogół gotowe do zrobienia tego po wyjęciu z pudełka, ponieważ jest to dobra praktyka bezpieczeństwa.
    • Użyj silnych algorytmów szyfrowania, takich jak SHA-512. Upewnij się, że nie używasz starych algorytmów szyfrowania ze znanymi słabościami, które są łatwe do złamania.
    • Używaj długich, bezpiecznych haseł. Cała technologia szyfrowania na świecie nie pomoże, jeśli używasz "hasła" lub popularnego "hunter2".

    Ataki brute-force są czymś, co należy martwić, gdy chronisz swoje dane, wybierając algorytmy szyfrowania i wybierając hasła. Są także powodem, aby rozwijać silniejsze algorytmy kryptograficzne - szyfrowanie musi nadążać za szybkością renderowania przez nowy sprzęt.

    Image Credit: Johan Larsson na Flickr, Jeremy Gosney