Шта је напад грубе силе (са примерима) и како се можете заштитити од њега

Бруталан напад.

Напад на грубе силе је метода која се користи за добијање података о приватном кориснику као што су корисничка имена, лозинке, лозинке или лични идентификациони бројеви (ПИН-ови). Ови напади се обично изводе помоћу скрипте или бот-а за „Погодите“ жељене информације док се нешто не потврди.

Криминалци могу да изврше нападе бруталних сила како би покушали да приступе шифрованим подацима. Иако можда мислите да лозинка чува ваше податке, истраживање је показало да било коју лозинку од осам знакова можете пробити за мање од шест сати. А то је било 2012. године на релативно јефтиној машини.

Напад бруталним силама такође може бити напад користан начин да ИТ стручњаци тестирају сигурност њихових мрежа. Заправо, једна од мера снаге шифровања система је колико времена ће трајати да нападач буде успешан у покушају грубе силе..

Будући да грубе силе сигурно нису најсофистициранији облик напада, разне мере могу спречити њихов успех. У овом посту детаљније истражујемо нападе бруталних сила, укључујући неке примере, а затим откривамо како се можете заштитити од њих.

Увод у бруталне нападе

Напади грубе силе често се називају и пуцањем силе. Заиста, брутална сила - у овом случају рачунска снага - користи се за покушај проваљивања кода. Уместо да користи сложени алгоритам, груби напад користи скрипту или бот за слање нагађања док не погоди комбинацију која дјелује.

Доступно је пуно алата који помажу хакерима да покрену покушаје грубе силе. Али чак и писање сценарија од нуле не би било превише напор за некога коме је угодно код. Иако је ове нападе лако извести, зависно од дужине и природе лозинке и рачунске снаге која се користи, могу бити потребни дани, недеље, па чак и године да буду успешни.

Пре него што погледамо како да уочите и како спречите грубе насилне нападе, требало би да приметимо неке друге појмове на које можете наићи на ове теме.

Хибридни напади грубе снаге

Бруташки напад користи систематски приступ у погађању који не користи ван логике. Слични напади укључују: рјечник напада, која би могла да користи списак речи из речника да би код пробила. Други напади могу започети уобичајеним лозинкама. Они се понекад описују као груби напади. Међутим, зато што они користе неку логику Да би се одлучило које су итерације најпре вероватније, они се тачније називају хибридним нападима грубе силе.

Повратни напад бруталним силама

Укључује и напад обрнуте бруталности користећи заједничку лозинку или групу лозинки против више могућих корисничких имена. То није усмерено на једног корисника, али може се користити за покушај приступа одређеној мрежи.

Најбоља заштита од ове врсте напада је употреба јаких лозинки или са становишта администратора, захтева да се користе снажне лозинке.

Пуњење повериоцима

Пуњење поверљивим подацима је јединствен облик бруталне силе која напада користи покварене парове корисничког имена и лозинке. Ако је познато упаривање корисничког имена / лозинке, нападач га може користити за покушај приступа више веб локација. Једном када буду у корисничком налогу, он има пуну контролу над тим налогом и приступ било којим детаљима које има.

Предострожности попут двофакторске провјере аутентичности и сигурносних питања могу помоћи у спречавању оштећења оваквим нападима. Међутим, најбоља заштита је да корисници никада не користе исту лозинку за више налога.

Циљ напада грубе снаге

Након што хакер направи успјешан покушај пријаве, шта слиједи? Одговор је да се може извршити читав низ ствари. Ево неких главних:

  • Крађа или излагање личних података корисника које се налазе унутар мрежних налога
  • Скупљање акредитација за продају трећим лицима
  • Представљају се као власници налога за ширење лажних садржаја или пхисхинг веза
  • Крађа ресурса система за употребу у другим активностима
  • Дефацемент веб странице кроз приступ приступу поверљивим подацима
  • Ширење злонамјерног софтвера или нежељене поште или преусмјеравање домена на злонамјерни садржај

Као што је већ поменуто, напади грубе силе могу се користити и за тестирање рањивости у систему, па нису увек злонамерни.

Примери напада грубе силе

Напади бруталних сила догађају се цијело вријеме и има се пуно примјера високог профила. Вероватно ни не знамо за многе досадашње нападе и непрекидне нападе, али ево неколико њих који су искрсли последњих година:

  • Алибаба: Масовни напад из 2016. године на популарну страницу за е-трговину захватио је милионе рачуна.
  • Магенто: У марту 2018. године Магенто је морао да упозори кориснике да је до 1.000 административних панела угрожено као резултат грубих напада.
  • Парламент Северне Ирске: Такође у марту 2018. године, рачунима неколико чланова парламента Северне Ирске приступили су нападачи грубих снага.
  • Вестминстерски парламент: Ранији напад погодио је Парламент Вестминстер 2017. године где је угрожено до 90 налога е-поште.
  • Фирефок: Почетком 2018. године откривено је да значајку главне лозинке Фирефока лако може напасти. То значи да су у протеклих девет година многи корисници могли да буду изложени.

Иако злочинце напади често користе, они то раде моћи помоћ у тестирању система. Штавише, они могу понудити резервну опцију за опоравак лозинке ако су исцрпљене друге методе.

Како уочити груби напад

Није неуобичајено да добијете е-пошту од добављача услуга која вам говори да се неко пријавио на ваш налог са случајне локације. Када се то догоди, могуће је да сте били жртва бруталног напада. У том случају је препоручљиво одмах променити лозинку. Чак бисте могли да редовно мењате лозинку за осетљиве налоге, само у случају да сте постали жртва неоткривеног или непријављеног напада бруталне силе..

Ако сте мрежни администратор, важно је да због безбедности веб странице и ваших корисника пазе на знаке бруталног напада, посебно успешног. Иако би гомила неуспелих пријава могла бити од заборавног корисника, велике су шансе да је локација нападнута. Ево неколико знакова на које треба пазити:

  • Вишеструки неуспешни покушаји пријаве са исте ИП адресе. Иако би то могло бити резултат проки сервера који користи велика организација.
  • Покушаји пријаве са више корисничких имена са исте ИП адресе. Поново, то може једноставно бити од велике организације.
  • Вишеструки покушаји пријаве за једно корисничко име које долазе са различитих ИП адреса. Ово би такође могла бити једна особа која користи проки.
  • Необичан образац неуспјелих покушаја пријаве, на примјер, слиједом слиједећих абецедних или нумеричких образаца.
  • Ненормална количина пропусне ширине која се користи након успјешног покушаја пријаве. Ово би могло сигнализирати напад осмишљен да украде ресурсе.

Са становишта корисника, може бити веома тешко знати да ли је ваш рачун прекршен нападом грубе силе. Ако примите обавештење након кршења вашег налога, ваш најбољи начин деловања је да проверите свој рачун да ли сте извршили неке промене и одмах променили лозинку.

Повезан: Шта учинити ако је ваш рачун или е-пошта хакирана

Шта можете учинити да спречите груби напад

Напади грубе силе могу се лако открити једноставно због великог броја покушаја пријаве. Мислили бисте да би спречавање напада било једноставно као и блокирање ИП адресе од које долазе покушаји пријаве. Нажалост, то није тако једноставно јер хакери могу користити алате који пролазе покушаје кроз отворене проки сервере тако да долазе са различитих ИП адреса. Ипак, без обзира да ли сте корисник или администратор, успешни напад можете спречити:

  1. Коришћење или захтевање јаких лозинки
  2. Допуштање ограниченог броја покушаја пријаве
  3. Употреба ЦАПТЦХА
  4. Постављање временског одлагања између покушаја
  5. Постављање безбедносних питања
  6. Омогућавање двофакторске провјере идентитета
  7. Коришћење више УРЛ адреса за пријаву
  8. Трицкинг напад софтвера

С обзиром да већину мера мора спровести администратор, овај одељак ће се фокусирати на ствари из те перспективе. Корисници би и даље требало да воде рачуна о областима у којима могу да ојачају систем, као што су коришћење снажних лозинки и искориштавање свих опционалних безбедносних функција.

1. Јаке лозинке

Ако сте мрежни администратор, можете да спречите успешне нападе грубим силама тако што ћете захтевати да корисници унесу јаке лозинке. На пример, може вам бити потребна одређена дужина и да лозинка садржи одређене карактеристике, као што су мешавина великих и малих слова, заједно са бројевима и посебним словима.

Из перспективе корисника, снажна лозинка је императив. Кориштење заједничке лозинке или једноставне ријечи из рјечника знатно ће олакшати нападом грубе силе за слетање с десне стране. Излаз са чврстом лозинком може бити тежак, али ево неколико савета:

  • Дуље лозинке су боље јер ће требати секвенцијални алат дуже да би се пролазиле итерације.
  • Употребом комбинације великих и малих слова, бројева и посебних знакова, лозинка ће бити јача.
  • Никада коришћење исте лозинке за различите налоге учинићете мање рањивим на одређене врсте напада.

Наравно, смишљање и памћење јаких лозинки може бити тешко, али постоје алати који вам могу помоћи. Ту спадају алати за генерисање лозинки, алати за тестирање јачине лозинке и алати за управљање лозинкама као што су ЛастПасс, КееПасс, Дасхлане и Стицки Пассворд.

2. Ограничен број покушаја пријаве

Једна уобичајена одбрана против грубог напада је једноставно ограничавање броја покушаја пријаве на логички број, можда негде између пет и десет. Ако то учините, само се сетите пружити неку врсту методе опоравка прави корисници могу потражити у случају да се затворе.

На пример, можете да пружите опцију за опоравак помоћу које се њихова лозинка може мењати путем верификације е-поште. Или можете да наведете контакт број за подршку или е-пошту за контакт у случају закључавања.

Можеш и ти размислите о постављању временског ограничења на блок. Будући да ће се многи напади грубе силе догодити за кратко време, привремена блокада може бити све што је потребно. Можете да поставите време закључавања на сат или два како бисте умањили негативан утицај на целокупно корисничко искуство.

Имајте на уму да то није далеко сигурна опција и има много потенцијалних проблема. Једно од питања ове мере је да неки алати за грубу силу не само да сваки пут пребацују лозинку већ и покушају другачије корисничко име за сваки покушај.

Ако су покушаји за различите налоге, један налог неће бити закључан. Ограничавање броја покушаји за сваку ИП адресу има смисла, али као што је већ поменуто, различите ИП адресе могу се користити за сваки покушај, у том случају ова мера не би била ефикасна. Алтернатива би била блокирајте на претраживачу или уређају помоћу колачића.

Други проблем ове тактике је тај на који се могу користити закључавања прикупити стварна корисничка имена у покушају нагађања корисничког имена где само стварна корисничка имена испоручују поруку закључавања. Надаље, закључавање се заправо може стратешки користити за блокирање корисника како би им се онемогућило приступ рачунима.

Узимајући у обзир сва ова потенцијална питања, ограничену стратегију покушаја пријаве треба користити само у одговарајућим околностима.

3. ЦАПТЦХА

ЦАПТЦХА (Потпуно аутоматизовани тестови јавног туринга за откривање рачунара и људи осим људи) постоје већ више од двадесет година. На које се могу навићи одредити да ли покушава да се изврши човек. Неки ЦАПТЦХА једноставно захтевају од корисника да упише неки искривљени текст, потврди поље или одговори на једноставно математичко питање.

Пикабаи ЦАПТЦХАПикабаи користи једноставну квачицу ЦАПТЦХА када нерегистровани корисници преузму бесплатне слике.

Остали су мало софистициранији и траже од корисника да препознају предмете на сликама.

Не изненађује што једноставност ЦАПТЦХА значи да их није тако тешко заобићи. Ипак, можда ће барем представљати препреку потенцијалним нападачима. ЦАПТЦХА се могу користити у комбинацији са другим тактикама на овој листи, попут захтева ЦАПТЦХА након одређеног броја неуспелих покушаја пријаве..

4. Временска кашњења

Примена временског одлагања од неколико секунди између покушаја пријављивања звучи рудиментарно, али би у ствари могла бити веома ефикасна. Неки напади грубих снага заснивају се на великом броју покушаја у кратком року у нади да ћемо брзо погодити праву комбинацију. Кратко одлагање између покушаја могло би озбиљно успорите напад до тачке у којој није вредно труда. Са друге стране, одлагање би просечном кориснику било једва приметно.

Ова тактика неће радити за све нападе јер су неки осмишљени тако да су намерно спори.

5. Сигурносна питања

Док се многи корисници позивају на коришћење сигурносних питања, њихова употреба може представљати још већу бол за нападаче грубе силе. Чак и у циљаним нападима који укључују личне податке за одређеног корисника, може бити тешко добити питања сигурности.

Да бисте побољшали корисничко искуство, могли сте захтевајте безбедносне одговоре само након одређеног броја неуспелих покушаја пријаве или сваки пут када се нови уређај користи за пријаву. Или ако сте приметили напад, можда је право време да тражите да сви корисници одговоре на безбедносно питање приликом пријављивања.

6. Двофакторна аутентификација

У зависности од природе ваше услуге, велике су шансе да не желите да погоршате корисничко искуство намештањем двофакторског правила за аутентификацију. Међутим, лепо је омогућити ову функцију као опцију за више безбедне кориснике.

Можете одлучити да понудите једноставан поступак у два корака, на пример, акредитиве после којих следи е-пошта или можете допустити кориснику да одлучује између различитих опција, укључујући акредитиве, друштвене мреже, е-пошту, СМС и још много тога.

Имајте на уму да постоје два различита облика ове врсте аутентификације који се често збуњују или једноставно спајају заједно. Верификација у два корака (2СВ) обично укључује верификациони код или везу, која се често шаље путем СМС-а или е-поште.

Двофакторна аутентификација (2ФА) обично користи различите облике верификације као други фактор. Ово може укључивати ствари као што су типковнице или фобе, или биометријске методе идентификације, као што су отисци прстију или скенирање мрежнице..

7. Јединствене адресе за пријаву

Будући да у ствари не постоје конкретне опције за блокирање покушаја бруталне силе, паметно је спровести више одбрамбених стратегија. Неки од њих могу једноставно укључивати диверзантске тактике. Једна таква метода је корисницима пружите различите УРЛ адресе за пријаву. У овом случају, сваки корисник би имао јединствени УРЛ за пријаву или би користио УРЛ који се дели са скупом других корисника.

Ова метода би била посебно корисна у спречавању напада који се користе за скупљање корисничких имена јер би сваки УРЛ пружио ограничену количину информација. Ово није прворазредна метода, али то би могло успорити напад.

8. Испробајте систем

Друга могућа диверзантска тактика је пребацивање ствари како би се збунио нападач (тачније софтвер који се користи). На пример, неки су ботови обучени за препознавање грешака, али могли бисте их користити преусмерава на различите странице неуспеха ради истовремено неуспелих покушаја пријаве. То би значило да би нападач морао бар да појача ствари софистициранијим софтвером.

Остале опције укључују омогућавање приступа налогу, али затим тражење лозинке на новој страници или чак одобравање приступа налогу са врло ограниченим могућностима.

Алтернативно, можете користити обрнути метод и уградите неуспешну грешку у пријави у код веб странице. Чак и уз успешан покушај пријаве, бот се може навести да то испоручи као неуспели покушај. Овај облик замрачења често се користи да отежа аутоматизовани напад да схвати да ли је напад грубим силама пропао или успео.

Други облици замрачења такође би могли помоћи у заштити од покушаја грубе силе. Ова тактика би могла бити довољна да збаци вашег просечног човека који једноставно тражи слаб систем да продре. Али ове трикове вероватно може да заобиђе одлучни нападач и можда ће бити потребно много труда унапред.

Дно црта за заштиту од напада силовитим нападима

Као што видите, постоји много опција за спречавање успешног напада. Пошто ће се природа напада грубим силама разликовати од случаја до случаја, заправо не постоји опћенита метода превенције. Као такав, можда би било најбоље размотрити коришћење комбинације неколико стратегија за стварање солидне линије одбране.

Повезан:
30+ бесплатних алата за побољшање сигурности веб локације и посетилаца
Бесплатни водич за Јаргон за рачунарску и интернет безбедност

Кредитна слика: Гино Цресцоли (лиценцирано под ЦЦ БИ 2.0)

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

60 + = 67

Adblock
detector