W tym wpisie zamieściliśmy najważniejsze informacje o atakach typu brute force. Dowiesz się co to jest atak brut force, jak może być przeprowadzony i jakie są jego rodzaje? Przybliżymy również najczęściej używane przez hakerów narzędzia oraz podpowiemy, jak zapobiec atakom typu brute force oraz jak się chronić, jeśli już do nich dojdzie.
Czym jest atak brute force
Nazwa tego ataku wywodzi się od jego metody – nie kryje się za nim żadna skomplikowana strategia, jest to zwyczajnie „siłowa” próba uzyskania prawidłowego wyniku, która może obejmować miliony kombinacji. Najczęściej atak brute-force używany jest jako metoda rozwiązywania – odgadywania haseł, danych logowania, kluczy szyfrowania celem uzyskania nieautoryzowanego dostępu do danych, systemów lub sieci. Metoda brute force opiera się na podstawianiu różnych możliwych kombinacji znaków w celu uzyskania prawidłowych danych dostępu.
Chociaż jest to stary typ ataku, a uzyskanie pozytywnych dla hakerów rezultatów może zająć dużo czasu, wciąż jest bardzo popularny i wykorzystywany. Często służy jako jeden z pierwszych elementów w ramach większego scenariusza ataku i jest wykorzystywany w fazach inwigilacji i infiltracji.
Udany atak brute-force może skutkować przejęciem konta lub systemu przez atakujących, wstrzyknięciem złośliwego oprogramowania, kradzieżą lub uszkodzeniem danych, przekierowaniem ruchu ze strony internetowej itp.
Jak przebiega atak brute force
Wygoda ataku brute-force polega na podejściu „ustaw i zapomnij” i wymaga od atakujących minimalnej uwagi. Do ataków zwykle używane jest jakieś narzędzie, po którego uruchomieniu i ustawieniu odpowiednich parametrów, atak jest przeprowadzany automatycznie.
W najprostszej formie, podczas próby łamania danych uwierzytelniających uruchamiana jest aplikacja lub skrypt (bot), który próbuje odgadnąć hasło za pomocą każdej możliwej kombinacji cyfr, liter i znaków. W niektórych przypadkach w celu zwiększenia szans na sukces można wykorzystać gotowe listy powszechnie używanych poświadczeń lub baz haseł, które kiedyś wyciekły. Atakujący mogą też tworzyć własne bazy oparte o indywidualne informacje uzyskane na temat ofiary (tj. imię, nazwisko, ksywka, nazwa zwierzęcia domowego, data urodzenia itd.)
Zestawy do przeprowadzania ataków typu brute force są często darmowe, ale istnieją też bardziej zaawansowane narzędzia sprzedawane w Dark Webie wraz z listami ukradzionych danych uwierzytelniających z różnych serwisów internetowych. Ponadto można kupić dostęp do botnetów – przejętych komputerów, których moc obliczeniowa jest wykorzystywana do przeprowadzenia ataku brute-force w szybszym czasie.
Brute force przykłady
Główne typy tych ataków można rozróżnić w oparciu o wektor ataku i wykorzystywaną metodę.
Prosty atak siłowy
Co to jest atak siłowy? Najprostszy rodzaj metody brut force polegający na zautomatyzowanym procesie odgadywania hasła poprzez metodę prób i błędów- podstawiania kolejnych kombinacji znaków aż do uzyskania prawidłowej odpowiedzi.
W zależności od mocy obliczeniowej atakującego może on dokonywać nawet tysiące prób odgadnięć na sekundę. Takie podejście dość łatwo łamie proste, krótkie hasła, w których brakuje różnic w wielkości liter i symboli.
Atak słownikowy
Czym jest atak słownikowy (the dictionary attack)? Atak słownikowy to metoda brute force, która ma na celu złamanie haseł użytkowników przy użyciu typowych (regularnych) zwrotów lub słów. Może obejmować użycie słów ze słownika i kombinacji liczb, ale często wykorzystuje się także listy loginów i haseł, które wyciekły.
Podejście to można dalej rozwijać w celu sprawdzania odmian słów zawierających różne małe lub wielkie litery lub zastępowanie liter znakami specjalnymi, co znane jest jako „leetspeak” (np. litera a znakiem @). To na czym polega atak słownikowy i sprawia, że jest często skuteczny związane jest z wykorzystywaniem przez użytkowników tych samych haseł w różnych serwisach bądź wykorzystywania popularnych słów w danym języku.
Metoda ta jest jednak ograniczona przez dostarczoną logikę – tj. nie będzie łączyć mało prawdopodobnych lub losowych kombinacji.
Hybrydowy atak brute force
Jak działa atak brute force hybrydowy? Łączy w sobie cechy ataków prostych i słownikowych. Początkowe podejście może opierać się na jakiejś zewnętrznej logice, takiej jak atak słownikowy. A następnie możliwe sugestie zostają zmodyfikowane, tak jak ma to miejsce w przypadku prostego ataku – przetestowane zostaną wszelkiego rodzaju warianty i kombinacje.
Na przykład często zdarza się, że użytkownicy umieszczają na końcu hasła ciąg liczb – np. „1234”, rok urodzenia itp. W tym przypadku, stosując podejście słownikowe, zostanie przetestowane wspólne hasło, a wiele kombinacji liczb zostanie dołączonych na końcu i wyczerpanych na wszystkie możliwe sposoby.
Odwrócony atak brute force
Zazwyczaj atakujący zaczynają od poznania nazw użytkowników i później próby odgadnięcia haseł. W odwrotnym ataku siłowym napastnicy znają hasła i próbują połączyć je z różnymi kombinacjami nazw użytkowników lub numerów kont.
Atak typu password spraying
Podejście to stosuje się, gdy na atakowanym systemie wdrożone są reguły blokowania kont i liczba prób, jakie mogą podjąć atakujący, jest ograniczona. W tych przypadkach, na przykład zamiast wypróbowywać wiele różnych kombinacji haseł, atakujący wybierają jedno powszechnie używane hasło i wypróbują je na wielu kontach różnych użytkowników.
Atak z wykorzytaniem rainbow tables
Atak ten polega na odwróceniu kryptograficznych funkcji hashy. Aby złamać dane uwierzytelniające, napastnicy użyją „tabeli tęczowych” haseł w postaci zwykłego tekstu i odpowiadających im hashy. Podejście to jest, jednakże ograniczone, ponieważ można je zastosować jedynie do odgadnięcia funkcji hashy tylko określonej długości.
Atak botnetu
Atak botnetem polega na wykorzystaniu mocy wielu maszyn jednocześnie w celu przeprowadzenia dowolnego rodzaju ataku brute force. Infiltrując i przejmując kontrolę nad całymi sieciami komputerów, hakerzy rozwiązują problem braku mocy obliczeniowej oraz czasu, ile trwa brute force. Botnety nie tylko umożliwiającej szybkie przeprowadzanie ataków brute-force ale pomagają również doskonale ukryć atakujących.
Narzędzia do przeprowadzania ataków Brute force
Istnieje wiele różnych narzędzi, z których mogą korzystać atakujący. Niektóre z nich są przeznaczone do przeprowadzania ataków tylko na określone systemy, podczas gdy inne są bardzo uniwersalne. Oto te najpopularniejsze:
Aircrack-ng
Zestaw narzędzi służący do określania bezpieczeństwa sieci bezprzewodowych i łamania ich haseł za pomocą detektora, sniffera pakietów oraz narzędzia do crakowania i analizy WEP/WPA/WPA2-PSK dla Wi-Fi 802.11. Może atakować kontrolery interfejsu sieciowego (NIC), które obsługują surowy tryb monitorowania.
John the Ripper
Jedno z najpopularniejszych narzędzi, John the Ripper, działa na 15 różnych platformach i łączy w sobie różnorodne narzędzia. Potrafi wykryć setki typów szyfrów i skrótów oraz posiada konfigurowalny cracker. Obsługuje między innymi słownik i proste ataki siowe.
RainbowCrack
Jak sama nazwa wskazuje, narzędzie to wykorzystuje tablice Rainbow do łamania haseł. Jest szybszy niż inne narzędzia tego typu narzędzia, ponieważ jego tabele są wstępnie obliczane.
THC Hydra
Hydra to popularny program do łamania haseł, używany specjalnie do łamania haseł protokołów sieciowych. Powszechnie korzystają z niego testerzy penetracyjni.
Hashcat
Hashcat jest znany z obsługi wielu różnych algorytmów mieszania i typów ataków. Ponadto jest to prawdopodobnie najszybsze narzędzie do łamania zabezpieczeń oparte na procesorze, ponieważ obejmuje procesor graficzny (GPU).
Dave Grohl (brute force ios)
To narzędzie typu open source dla systemu Mac OS X. Wykorzystuje ataki słownikowe oraz oferuje tryb rozproszony, umożliwiający atakującym korzystanie z wielu komputerów jednocześnie.
Brute force jak się chronić
Odgadywanie haseł metodą brute-force może być bardzo skuteczne w przypadku krótkich lub często używanych haseł; w przypadku dłuższych kombinacji znaków będzie wolniejsze, więc im dłuższe hasło, tym więcej zasobów i czasu potrzeba na jego odgadnięcie. Jednym z najlepszych sposobów ochrony przed atakiem siłowym jest posiadanie nieprzewidywalnego, długiego i złożonego hasła oraz unikanie jego ponownego użycia w innych serwisach.
Ochrona przed atakami brut force w firmach i organizacjach
To, jak się chronić przed atakami brute force w głównej mierze zależy od środków jakie chcemy do tego zaangażować. Pewne środki są zupełnie bezkosztowe, ale istnieją również płatne narzędzia, również dedykowane do blokowania tego typu ataku i informowania o jego próbach.
- Wprowadzenie polityki blokad – ogranicz liczbę prób logowania i blokuj konta po kilku nieudanych próbach.
- Zastosowanie progresywne opóźnienia – wprowadzając przymusowa zwlokę pomiędzy każdą nieudaną próbą logowania, znacznie wydłużysz czas atakującymy
- Używanie Captcha – narzędzia brute force nie mogą wykonywać zadań captcha, co stanowi przeszkodę dla zautomatyzowanego charakteru tego ataku.
- Wprowadzenie polityki silnych haseł – z zasady odrzucaj słabe hasła i wymagaj solidnych i złożonych haseł oraz określonej minimalnej liczbie znaków
- Usuwanie nieużywanych kont – usuń wszelkie nieużywane konta w organizacji
- Wprowadzenie uwierzytelniania wieloskładnikowego — usługa MFA zapewnia dodatkową warstwę zabezpieczeń, więc nawet złamanie hasła nie daje możliwości uzyskania dostępu
- Stosowanie wysoki stopień szyfrowania — im wyższy współczynnik szyfrowania, np. szyfrowanie 256-bitowe, tym trudniej jest złamać hasło metodą brute-force.
- Ochrona połączeń RDP – Liczba ataków na protokół Remote Desktop Protocol (RDP) rośnie w miarę, jak coraz więcej organizacji pozwala pracownikom na pracę zdalną Ataki brute force na RDP mają na celu uzyskanie dostępu do komputerów podłączony do sieci, a następnie użyj go do infekowania innych urządzeń i serwerów.
- Wykorzystywanie EDR– dostarczane przez nas narzędzia tego typu skutecznie blokują i powiadamiają o próbach ataków na wszystkie urządzenia końcowe w sieci.
Pomoc przy atakach typu brute force
Jeśli potrzebujesz pomocy we wdrożeniu środków chroniących przed atakami brute force bądź potrzebujesz doradztwa w zakresie narzędzi, np. blokujących adresy IP z których przekraczany jest próg nieprawidłowych prób logowania – skontaktuj się z nami!