Brute-Force uzbrukumi paskaidroja, kā viss šifrējums ir neaizsargāts
Brutālu spēku uzbrukumi ir diezgan vienkārši saprotami, bet grūti aizsargājami. Šifrēšana ir matemātika, un datori kļūst ātrāki matemātikā, tie kļūst ātrāki, izmēģinot visus risinājumus un redzot, kurš no tiem atbilst.
Šos uzbrukumus var izmantot pret jebkāda veida šifrēšanu, ar dažādiem panākumu līmeņiem. Brutālu spēku uzbrukumi kļūst ātrāki un efektīvāki, katru dienu kļūstot par jaunāku, ātrāku datoru aparatūru.
Brutālu spēku pamati
Brutālu spēku uzbrukumi ir vienkārši saprotami. Uzbrucējam ir šifrēts fails - teiksim, jūsu LastPass vai KeePass paroles datu bāze. Viņi zina, ka šis fails satur datus, ko viņi vēlas redzēt, un viņi zina, ka ir šifrēšanas atslēga, kas to atver. Lai to atšifrētu, viņi var sākt izmēģināt katru iespējamo paroli un redzēt, vai tas rada atšifrētu failu.
Viņi to dara automātiski ar datorprogrammu, tāpēc ātrums, kādā kāds var brutālu spēku šifrēšanu, palielinās, jo pieejamā datora aparatūra kļūst ātrāka un ātrāka, kas spēj veikt vairāk aprēķinu sekundē. Brutālā spēka uzbrukums, iespējams, sāksies ar vienciparu parolēm, pirms pāriet uz divciparu parolēm utt..
“Vārdnīcas uzbrukums” ir līdzīgs un mēģina vārdus vārdnīcā - vai parasto paroļu sarakstā - visu iespējamo paroļu vietā. Tas var būt ļoti efektīvs, jo daudzi cilvēki izmanto šādas vājas un kopējas paroles.
Kāpēc Uzbrucēji nevar Brute-Force Web Services
Pastāv atšķirība starp tiešsaistes un bezsaistes brutālu spēku uzbrukumiem. Piemēram, ja uzbrucējs vēlas brutālu spēku ieslēgt jūsu Gmail kontā, viņi var sākt izmēģināt katru iespējamo paroli, bet Google tos ātri pārtrauks. Pakalpojumi, kas nodrošina piekļuvi šādiem kontiem, droseles piekļuves mēģinājumus un aizliegs IP adreses, kas mēģina pieteikties tik daudz reižu. Tādējādi uzbrukums tiešsaistes pakalpojumam nedarbosies pārāk labi, jo pirms uzbrukuma apturēšanas var izdarīt ļoti maz mēģinājumu.
Piemēram, pēc dažiem neveiksmīgiem pieteikšanās mēģinājumiem Gmail jums parādīs CATPCHA attēlu, lai pārliecinātos, ka neesat datorā automātiski mēģinošs paroles. Iespējams, ka jūsu pieteikšanās mēģinājumi tiks pilnībā pārtraukti, ja jums izdevās turpināt pietiekami ilgi.
No otras puses, pieņemsim, ka uzbrucējs nokļuva šifrētu failu no sava datora vai izdevās apdraudēt tiešsaistes pakalpojumu un lejupielādēt šādus šifrētus failus. Uzbrucējam šobrīd ir šifrēti dati par savu aparatūru, un viņi var izmēģināt tik daudz paroļu, cik viņi vēlas brīvajā laikā. Ja viņiem ir piekļuve šifrētajiem datiem, nav iespējams izvairīties no to, ka viņi īsā laikā mēģina izmēģināt lielu skaitu paroļu. Pat ja izmantojat spēcīgu šifrēšanu, jūsu labā ir saglabāt savus datus un nodrošināt, ka citi nevar piekļūt tai.
Hashing
Spēcīgi skalošanas algoritmi var palēnināt brutālu spēku uzbrukumus. Būtībā hashing algoritmi veic papildu matemātisko darbu ar paroli, pirms tiek saglabāta vērtība, kas iegūta no paroles diskā. Ja tiek izmantots lēnāks mīkstināšanas algoritms, tas prasīs tūkstošiem reižu tik daudz matemātisku darbu, lai izmēģinātu katru paroli un ievērojami palēninātu brutālu spēku uzbrukumus. Tomēr, jo vairāk darba ir nepieciešams, jo vairāk strādā serveris vai cits dators, kad lietotājs piesakās ar savu paroli. Programmatūrai ir jāsabalansē noturība pret brutālu spēku uzbrukumiem ar resursu izmantošanu.
Brutāla spēka ātrums
Ātrums ir atkarīgs no aparatūras. Izlūkošanas aģentūras var izveidot specializētu aparatūru tikai brutālu spēku uzbrukumiem, tāpat kā Bitcoin kalnračiem ir jāizveido sava specializētā aparatūra, kas optimizēta Bitcoin ieguves darbiem. Kad runa ir par patērētāju aparatūru, visefektīvāko uzbrukumu efektīvākais aparatūras veids ir grafikas karte (GPU). Tā kā vienlaikus ir viegli izmēģināt dažādas šifrēšanas atslēgas, daudzas paralēlas grafikas kartes ir ideālas.
2012. gada beigās Ars Technica ziņoja, ka 25-GPU klasteris var izjaukt katru Windows paroli zem 8 rakstzīmēm mazāk nekā sešās stundās. NTLM algoritms, ko Microsoft izmantoja, nebija pietiekami elastīgs. Tomēr, kad tika izveidota NTLM, visu šo paroļu izmēģināšana būtu bijusi daudz ilgāka. Tas netika uzskatīts par pietiekamu Microsoft apdraudējumu, lai padarītu šifrēšanu spēcīgāku.
Ātrums palielinās, un dažu gadu desmitu laikā mēs varam atklāt, ka pat spēcīgākie šifrēšanas algoritmi un šifrēšanas atslēgas, ko mēs šodien izmantojam, var ātri tikt sašķelti ar kvantu datoriem vai jebkādu citu aparatūru, ko mēs izmantojam nākotnē.
Jūsu datu aizsardzība no brutālu spēku uzbrukumiem
Nav iespējams pilnībā aizsargāt sevi. Ir neiespējami pateikt, cik ātri tiks iegūta datora aparatūra un vai kāds no šodienas izmantotajiem šifrēšanas algoritmiem ir vājās vietas, kas tiks atklātas un izmantotas nākotnē. Tomēr šeit ir pamati:
- Saglabājiet jūsu šifrētos datus, ja uzbrucēji nevar piekļūt tai. Kad jūsu dati ir nokopēti datorā, viņi var izmēģināt brutālu spēku uzbrukumus.
- Ja izmantojat kādu pakalpojumu, kas pieņem pieteikumus internetā, pārliecinieties, ka tas ierobežo pieteikšanās mēģinājumus un bloķē cilvēkus, kas mēģina pieteikties ar daudzām dažādām parolēm īsā laika periodā. Servera programmatūra parasti ir iestatīta, lai to izdarītu no kastes, jo tā ir laba drošības prakse.
- Izmantojiet spēcīgus šifrēšanas algoritmus, piemēram, SHA-512. Pārliecinieties, ka jūs neizmantojat vecus šifrēšanas algoritmus ar zināmiem trūkumiem, kas ir viegli kreka.
- Izmantojiet garas, drošas paroles. Visa šifrēšanas tehnoloģija pasaulē nepalīdzēs, ja izmantojat “paroli” vai arvien populārāko “mednieku2”.
Brutālā spēka uzbrukumi ir kaut kas, ko uztrauc jūsu datu aizsardzība, šifrēšanas algoritmu izvēle un paroles izvēle. Viņi arī ir iemesls, lai turpinātu attīstīt spēcīgākus kriptogrāfijas algoritmus - šifrēšanai ir jāsaglabājas līdz ar to, cik ātri tas tiek padarīts neefektīvs ar jaunu aparatūru.
Image Credit: Johan Larsson par Flickr, Jeremy Gosney