Что такое атака грубой силой (с примерами) и как вы можете защитить от нее

Атака методом перебора – это метод, используемый для получения частной пользовательской информации, такой как имена пользователей, пароли, парольные фразы или персональные идентификационные номера (ПИН-коды). Эти атаки обычно проводятся с использованием скрипта или бота для «Угадай» нужную информацию пока что-то не подтвердится.

Преступники могут осуществлять атаки методом грубой силы, пытаясь получить доступ к зашифрованным данным. Хотя вы можете подумать, что пароль защищает вашу информацию, исследования показали, что любой восьмисимвольный пароль может быть взломан менее чем за шесть часов. И это было в 2012 году на относительно недорогой машине.

Атака грубой силы также может быть полезный способ для ИТ-специалистов проверить безопасность их сетей. Действительно, одна из мер силы шифрования системы заключается в том, сколько времени потребуется злоумышленнику, чтобы преуспеть в попытке перебора.

Поскольку грубая сила, безусловно, не самая сложная форма атаки, различные меры могут помешать им добиться успеха. В этом посте мы более подробно рассмотрим атаки методом “грубой силы”, включая некоторые примеры, а затем расскажем, как можно защитить от них.

Введение в атаки грубой силы

Атаки грубой силой часто называют взломом грубой силы. Действительно, грубая сила – в данном случае вычислительная мощность – используется для взлома кода. Вместо того, чтобы использовать сложный алгоритм, атака грубой силы использует скрипт или бот для отправки догадок, пока не достигнет комбинации, которая работает.

Существует множество инструментов, которые могут помочь хакерам предпринять попытки грубой силы. Но даже написание сценария с нуля было бы не слишком сложным делом для тех, кто знаком с кодом. Хотя эти атаки просты в выполнении, в зависимости от длины и характера пароля и вычислительной мощности, они могут занять несколько дней, недель или даже лет, чтобы быть успешными.

Прежде чем мы рассмотрим, как выявлять и предотвращать атаки с использованием грубой силы, мы должны отметить некоторые другие термины, с которыми вы можете столкнуться, связанные с этой темой.

Гибридные атаки грубой силы

Атака грубой силой использует систематический подход к угадыванию, который не использует внешнюю логику. Подобные атаки включают словарная атака, который может использовать список слов из словаря, чтобы взломать код. Другие атаки могут начинаться с часто используемых паролей. Иногда их называют атаками грубой силы. Тем не менее, потому что они используют логику чтобы решить, какие итерации могут быть наиболее вероятными первыми, они более точно называются гибридными атаками методом грубой силы.

Обратная атака грубой силой

Обратная атака грубой силы включает в себя используя общий пароль или группу паролей против нескольких возможных имен пользователей. Это не нацелено на одного пользователя, но может быть использовано для получения доступа к определенной сети..

Наилучшей защитой от атак такого типа является использование надежных паролей, или, с точки зрения администратора, требование использования надежных паролей..

Учетная начинка

Заполнение учетных данных является уникальной формой атаки грубой силы, которая использует взломанные пары имени пользователя и пароля. Если известно имя пользователя и пароль, злоумышленник может использовать его, чтобы попытаться получить доступ к нескольким сайтам. Попав в учетную запись пользователя, он имеет полный контроль над этой учетной записью и доступ к любой информации, которая у него есть..

Такие меры предосторожности, как двухфакторная проверка подлинности и вопросы безопасности, могут помочь предотвратить ущерб от подобных атак. Однако лучшая защита для пользователей – никогда не использовать один и тот же пароль для нескольких учетных записей..

Цель атаки грубой силы

Когда хакер сделает успешную попытку входа, что дальше? Ответом может быть целый ряд вещей. Вот некоторые из основных:

• Кража или раскрытие личной информации пользователей, найденной в онлайн-аккаунтах
• Сбор комплектов учетных данных для продажи третьим лицам
• Представление себя владельцем аккаунта для распространения поддельного контента или фишинговых ссылок
• Кража системных ресурсов для использования в других видах деятельности
• Дефект сайта через получение доступа к учетным данным администратора
• Распространение вредоносного или спам-контента или перенаправление доменов на вредоносный контент

Как уже упоминалось, атаки методом “грубой силы” также могут использоваться для проверки уязвимостей в системе, поэтому они не всегда являются вредоносными..

Примеры атак грубой силой

Атаки грубой силой происходят постоянно, и есть много громких примеров. Мы, вероятно, даже не знаем о многих прошлых и продолжающихся атаках, но вот некоторые из них, которые обнаружились в последние годы:

• Alibaba: Массовая атака грубой силы 2016 года на популярный сайт электронной коммерции затронула миллионы аккаунтов.
• Magento: В марте [year] года Magento должен был предупредить пользователей о том, что до 1000 админ-панелей были взломаны в результате атак методом перебора..
• Северный ирландский парламент: Также в марте [year] года злоумышленники перешли на счета нескольких членов парламента Северной Ирландии..
• Вестминстерский Парламент: Более ранняя атака ударила по Вестминстерскому парламенту в [year] году, когда было взломано до 90 учетных записей электронной почты.
• Fire Fox: В начале [year] года было объявлено, что функция «мастер-пароля» в Firefox может быть легко взломана методом взлома. Это означает, что за последние девять лет учетные данные многих пользователей могли быть.

Несмотря на то, что злоумышленники часто используют атаки грубой силы, они мочь помогите протестировать системы. Более того, они могут предложить вариант резервного копирования для восстановления пароля, если другие методы были исчерпаны.

Как определить атаку грубой силой

Нередко получаю письмо от поставщика услуг, в котором говорится, что кто-то вошел в вашу учетную запись из случайного местоположения. Когда это происходит, возможно, вы стали жертвой атаки грубой силы. В этом случае рекомендуется сменить пароль немедленно. Возможно, вы даже захотите регулярно менять свой пароль для конфиденциальных учетных записей, на случай, если вы стали жертвой необнаруженной или незарегистрированной атаки методом подбора..

Если вы являетесь сетевым администратором, для безопасности вашего веб-сайта и ваших пользователей важно следить за признаками грубой атаки, особенно успешной. Хотя куча неудачных входов в систему может быть от забывчивого пользователя, скорее всего, сайт находится под атакой. Вот некоторые признаки, на которые нужно обратить внимание:

• Несколько неудачных попыток входа с одного IP-адреса. Хотя это может быть результатом использования прокси-сервера большой организацией.
• Попытки входа в систему с несколькими именами пользователей с одного IP-адреса. Опять же, это может быть просто из большой организации.
• Несколько попыток входа в систему для одного имени пользователя с разных IP-адресов. Это также может быть один человек, использующий прокси.
• Необычный шаблон неудачных попыток входа в систему, например, по последовательному алфавитному или числовому шаблону.
• Ненормальная величина полосы пропускания, используемая после успешной попытки входа в систему. Это может сигнализировать о нападении, предназначенном для кражи ресурсов.

С точки зрения пользователя может быть очень трудно узнать, была ли ваша учетная запись взломана путем взлома. Если вы получили уведомление после того, как ваша учетная запись была взломана, лучше всего проверить свою учетную запись на наличие изменений, которые не были внесены вами, и немедленно изменить свой пароль..

Связанный: Что делать, если ваш аккаунт или электронная почта были взломаны

Что вы можете сделать, чтобы предотвратить атаку грубой силой

Атаки грубой силы могут быть легко обнаружены просто из-за большого количества попыток входа в систему. Можно подумать, что предотвратить атаку будет так же просто, как заблокировать IP-адрес, с которого поступают попытки входа. К сожалению, это не так просто, поскольку хакеры могут использовать инструменты, которые передают попытки через открытые прокси-серверы, чтобы они приходили с разных IP-адресов. Тем не менее, являетесь ли вы пользователем или администратором, вы можете предотвратить успешную атаку методом перебора:

1. Использование или требование надежных паролей
2. Разрешение ограниченного количества попыток входа
3. Использование использования капч
4. Установка задержек между попытками
5. Задавать вопросы безопасности
6. Включение двухфакторной аутентификации
7. Использование нескольких URL-адресов входа
8. Обманывая программное обеспечение для атаки

Поскольку большинство мер должно быть реализовано администратором, этот раздел будет сосредоточен на вещах с этой точки зрения. Пользователи по-прежнему должны учитывать области, в которых они могут помочь укрепить систему, например, используя надежные пароли и используя любые дополнительные функции безопасности..

1. Сильные пароли

Если вы являетесь сетевым администратором, вы можете предотвратить успешные атаки методом перебора, требуя от пользователей ввода надежных паролей. Например, вам может потребоваться определенная длина, чтобы пароль содержал определенные функции, такие как сочетание прописных и строчных букв, а также цифр и специальных символов..

С точки зрения пользователя, надежный пароль является обязательным условием. Использование общего пароля или простого слова из словаря значительно упростит попадание инструмента атаки методом грубой силы на правильный. Придумать надежный пароль может быть сложно, но вот несколько советов:

• Длинные пароли лучше, так как последовательный инструмент будет дольше проходить через итерации.
• Использование комбинации прописных и строчных букв, цифр и специальных символов сделает пароль более надежным.
• Никогда не используйте один и тот же пароль для разных учетных записей, вы будете менее уязвимы для определенных типов атак..

Конечно, придумать и запомнить надежные пароли может быть сложно, но есть инструменты, которые помогут вам. К ним относятся инструменты генерации паролей, инструменты для проверки надежности паролей и инструменты менеджера паролей, такие как LastPass, KeePass, Dashlane и Sticky Password.

2. Ограниченное количество попыток входа

Одна из распространенных способов защиты от атаки методом “грубой силы” – просто ограничить количество попыток входа в систему логическим числом, возможно, где-то между пятью и десятью. Если вы делаете это, просто не забудьте предоставить какой-то метод восстановления для подлинных пользователей преследовать в случае, если они заблокированы.

Например, вы можете предоставить опцию восстановления, с помощью которой их пароль может быть изменен посредством проверки электронной почты. Или вы можете предоставить контактный номер службы поддержки или адрес электронной почты для связи в случае блокировки.

Вы могли бы также рассмотреть вопрос о введении ограничения по времени на блок. Поскольку многие атаки грубой силы будут происходить за короткое время, временная блокировка может быть всем, что необходимо. Вы можете установить время блокировки на час или два, чтобы минимизировать негативное влияние на общее взаимодействие с пользователем..

Имейте в виду, что это далеко не отказоустойчивый вариант и имеет много потенциальных проблем. Одна из проблем, связанных с этой мерой, заключается в том, что некоторые инструменты грубой силы не только каждый раз меняют пароль, но и пытаются использовать разные имена пользователей для каждой попытки..

Если попытки для разных учетных записей, одна учетная запись не будет заблокирована. Ограничение количества попытки для каждого IP-адреса было бы логично, но, как упоминалось выше, разные IP-адреса могут использоваться для каждой попытки, и в этом случае эта мера не будет эффективной. Альтернативой будет блокировать на основе браузера или устройства используя куки.

Другая проблема с этой тактикой заключается в том, что локауты могут быть использованы для собрать реальные имена пользователей в попытке угадать имя пользователя где только реальные имена пользователей доставляют сообщение о блокировке. Кроме того, блокировка может фактически использоваться стратегически, чтобы блокировать пользователей, чтобы предотвратить их доступ к учетным записям.

Учитывая все эти потенциальные проблемы, стратегию ограниченной попытки входа в систему следует использовать только при соответствующих обстоятельствах..

3. Капчи

CAPTCHA (полностью автоматизированные публичные тесты Тьюринга, рассказывающие о компьютерах и людях отдельно) существуют уже более двадцати лет. Они могут быть использованы для определить, делается ли попытка входа в систему человеком. Некоторые CAPTCHA просто просят пользователя повторно ввести искаженный текст, установить флажок или ответить на простой математический вопрос.

Pixabay использует простой флажок CAPTCHA, когда незарегистрированные пользователи скачивают бесплатные изображения.

Другие немного сложнее и требуют, чтобы пользователи идентифицировали объекты на изображениях..

Неудивительно, что простота CAPTCHA означает, что их не так сложно обойти. Тем не менее, они могут, по крайней мере, стать препятствием для потенциальных злоумышленников. CAPTCHA можно использовать в сочетании с другими тактиками в этом списке, такими как требование CAPTCHA после определенного количества неудачных попыток входа в систему.

4. Задержки

Реализация временной задержки в несколько секунд между попытками входа в систему кажется зачаточной, но на самом деле может быть очень эффективной. Некоторые атаки грубой силы основаны на большом количестве попыток за короткий промежуток времени в надежде быстро нанести правильный удар. Небольшая задержка между попытками может серьезно замедлить атаку до такой степени, что это не стоит усилий. С другой стороны, задержка может быть едва заметна для среднего пользователя.

Эта тактика не будет работать для всех атак, так как некоторые из них предназначены для преднамеренно медленной.

5. Вопросы безопасности

Хотя многие пользователи жалуются на использование вопросов безопасности, их использование может быть еще более болезненным для злоумышленников. Даже при целенаправленных атаках с использованием личной информации для конкретного пользователя может быть сложно обойти вопросы безопасности..

Чтобы улучшить взаимодействие с пользователем, вы можете запрашивать ответы безопасности только после определенного числа неудачных попыток входа или каждый раз, когда новое устройство используется для входа в систему. Или, если вы обнаружили атаку, возможно, пришло время попросить всех пользователей ответить на секретный вопрос при входе в систему..

6. Двухфакторная аутентификация

В зависимости от характера вашей услуги, скорее всего, вы не захотите ухудшать взаимодействие с пользователем, применяя правило двухфакторной аутентификации. Тем не менее, приятно иметь возможность предоставлять эту функцию в качестве опции для более внимательных к безопасности пользователей..

Вы можете предложить простой двухэтапный процесс, например, учетные данные, за которыми следует электронное письмо, или вы можете позволить пользователю выбирать между различными вариантами, включая учетные данные, социальные сети, электронную почту, SMS и т. Д..

Обратите внимание, что есть два разных вида аутентификации этого типа, которые часто путают или просто объединяют. Двухэтапная проверка (2SV) обычно включает в себя код подтверждения или ссылку, часто отправляемую через SMS или электронную почту.

Двухфакторная аутентификация (2FA) как правило, использует различные формы проверки в качестве второго фактора. Это может включать в себя такие вещи, как карточки или брелки, или биометрические методы идентификации, такие как отпечатки пальцев или сканирование сетчатки глаза..

7. Уникальные адреса входа

Поскольку на самом деле нет конкретных вариантов блокирования попыток грубой силы, разумно реализовать несколько стратегий защиты. Некоторые из них могут просто включать отвлекающую тактику. Одним из таких методов является предоставить пользователям различные URL-адреса для входа. В этом случае каждый пользователь будет иметь уникальный URL-адрес для входа или будет использовать URL-адрес, доступный для других пользователей..

Этот метод был бы особенно полезен в предотвращении атак, используемых для сбора имен пользователей, поскольку каждый URL предоставил бы ограниченный объем информации. Это ни в коем случае не первоклассный метод, но он может замедлить атаку.

8. Обмануть систему

Другой возможной отвлекающей тактикой является переключение вещей, чтобы сбить с толку злоумышленника (или, скорее, используемого программного обеспечения). Например, некоторые боты обучены распознавать ошибки, но вы можете использовать перенаправляет на разные страницы ошибок для одновременных неудачных попыток входа. Это будет означать, что злоумышленнику, по крайней мере, придется активизировать работу с более сложным программным обеспечением.

Другие варианты включают разрешение доступа к учетной записи, но затем запрос пароля на новой странице, или даже предоставление доступа к учетной записи с очень ограниченными возможностями.

В качестве альтернативы, вы можете использовать обратный метод и встроить неудачный логин в код веб-страницы. Даже при успешной попытке входа в систему, бот может быть обманут, чтобы доставить это как неудачную попытку. Эта форма запутывания часто используется для того, чтобы автоматизированной атаке было труднее понять, была ли атака методом грубой силы неудачной или успешной..

Другие формы запутывания могут также помочь защитить от попытки грубой силы. Этой тактики может быть достаточно, чтобы отбросить обычного человека, который просто ищет слабую систему для проникновения. Но эти трюки могут быть обойдены решительным злоумышленником и могут потребовать много предварительных усилий.

Нижняя линия для защиты от атак грубой силы

Как видите, есть много вариантов, помогающих предотвратить успешную атаку. Поскольку характер атаки методом «грубой силы» будет варьироваться в зависимости от конкретного случая, на самом деле единого метода предотвращения не существует. Таким образом, было бы лучше рассмотреть возможность использования комбинации нескольких стратегий для создания сплошной линии защиты..

Связанный:
30+ бесплатных инструментов для повышения безопасности вашего сайта и ваших посетителей
Jargon бесплатное руководство по компьютерной и интернет-безопасности

Кредит изображения: Джино Кресколи (по лицензии под CC BY 2.0)