Brute-Force-Angriffe erklärt, und warum sie auf dem Vormarsch sind

Brute-Force-Angriff Definition

Ein Brute-Force-Angriff sieht einen Angreifer wiederholt und systematisch verschiedene Benutzernamen und Passwörter in einem Versuch einreichen, schließlich Anmeldeinformationen richtig zu erraten. Dieser einfache, aber ressourcenintensive, Trial-and-Error-Ansatz wird normalerweise mit automatisierten Tools, Skripten oder Bots durchgeführt, die jede mögliche Kombination durchlaufen, bis der Zugriff gewährt wird.,

„Dies ist eine alte Angriffsmethode, aber es ist immer noch effektiv und beliebt bei Hackern“, sagt David Emm, Principal Security Researcher bei Kaspersky. „Brute-Force-Angriffe werden häufig verwendet, um Geräte in entfernten Netzwerken anzugreifen, um persönliche Informationen wie Passwörter, Passphrasen, Benutzernamen und persönliche Identifikationsnummern (PINs) zu erhalten.,“

Je länger das Passwort ist und je stärker die Verschlüsselung der gespeicherten Anmeldeinformationen ist, desto mehr Zeit und Rechenleistung werden benötigt, sodass Organisationen die Effizienz des Angriffs auf den Punkt reduzieren können Angreifer können dies jedoch fast nicht erfolgreich ausführen.

2017 fielen sowohl das britische als auch das schottische Parlament Brute-Force-Angriffen zum Opfer, ein Jahr später ereignete sich ein ähnlicher, aber erfolgloser Angriff auf das nordirische Parlament., Die Fluggesellschaft Cathay Pacific erleidet ein Jahr später einen Brute-Force-Angriff, für den sie von der britischen Datenaufsichtsbehörde mit einer Geldstrafe von 500,000 Pfund belegt wurde, weil es an ausreichenden vorbeugenden Maßnahmen mangelte. Ad Blocking Service Ad Guard erzwang auch ein Zurücksetzen aller Benutzerkennwörter nach einem Brute-Force-Angriff leiden.

Wie Brute-Force-Angriffe funktionieren

Brute-Force-Angriffe werden häufig von Skripten oder Bots ausgeführt, die auf die Anmeldeseite einer Website oder Anwendung abzielen. Sie durchlaufen jeden möglichen Schlüssel oder Passwort., Häufige Anwendungen sind das Knacken von Kennwörtern auf Websites oder Anwendungen, Verschlüsselungs-oder API-Schlüssel und SSH-Logins.

Ein Passwort-Cracking-Angriff ist laut Emm nur ein Schritt in der Kill-Kette eines Angreifers. Es kann verwendet werden, um Zugriff auf Benutzer -, E-Mail -, Banking-oder SaaS-Konten zu erhalten oder APIs oder andere Dienste zu kompromittieren, für die eine Anmeldung und Anmeldeinformationen erforderlich sind.

Von dort aus kann der Angreifer sein beabsichtigtes Ziel erreichen. „Ein erfolgreicher Brute-Force-Angriff gibt Cyberkriminellen Fernzugriff auf den Zielcomputer im Netzwerk“, erklärt Emm., „Das primäre Ziel für diese Angreifer ist es, persönliche Informationen zu erhalten, die dann für den Zugriff auf Online-Konten und Netzwerkressourcen verwendet werden können. Von dort aus können diese entweder zum Senden von Phishing-Links, zur Verbreitung gefälschter Inhalte oder sogar zum Sammeln von Anmeldeinformationen für den Verkauf an Dritte verwendet werden.“

„Das Erraten eines Passworts für eine bestimmte Site kann eine mühsame und zeitaufwändige Aufgabe sein, sodass Hacker seitdem Tools entwickelt haben, mit denen sie die Arbeit schneller erledigen können“, sagt Emm., „Automatisierte Tools sind auch verfügbar, um bei Brute-Force-Angriffen mit Namen wie Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng und Rainbow zu helfen.“

“ Viele können ein einzelnes Wörterbuchwortpasswort innerhalb einer Sekunde finden. Tools wie diese arbeiten mit vielen Computerprotokollen (wie FTP, MySQL, SMPT und Telnet) und ermöglichen es Hackern, drahtlose Modems zu knacken, schwache Passwörter zu identifizieren, Passwörter im verschlüsselten Speicher zu entschlüsseln und Wörter in Leetspeak zu übersetzen; “ don ‚thackme“ wird zum Beispiel zu „d0n7H4cKm3″.,“

Der Erfolg eines Brute-Force-Angriffs wird in der Zeit gemessen, die zum erfolgreichen Knacken eines Passworts benötigt wird. Wenn die Länge eines Passworts zunimmt, erhöht sich die zum Knacken erforderliche Zeit exponentiell. Laut Cloudflare würde ein siebenstelliges Passwort mit einer Geschwindigkeit von 15 Millionen Schlüsselversuchen pro Sekunde 9 Minuten zum Knacken benötigen. Ein 13-stelliges Passwort würde über 350.000 Jahre dauern.

Je länger ein Verschlüsselungsschlüssel ist, desto mehr Zeit und Ressourcen sind erforderlich, um ihn durch rohe Gewalt zu überwinden., Ein 128-Bit-Verschlüsselungsschlüssel hat 2128 mögliche Kombinationen, während ein Angreifer bei 256-Bit-Verschlüsselung 2256 Kombinationen ausprobieren müsste. Mit der aktuellen Technologie würde das Billionen von Jahren dauern, um sie alle zu erraten.

„Je nach Länge und Komplexität des Passworts kann das Knacken von einigen Sekunden bis zu vielen Jahren dauern“, sagt Emm. „Tatsächlich berichtet IBM, dass einige Hacker monatelang und manchmal sogar Jahre lang täglich auf dieselben Systeme abzielen.,“

Selbst wenn Angreifer Grafikverarbeitungseinheiten (GPUs) verwenden, die die Anzahl der pro Sekunde versuchten Kombinationen erheblich beschleunigen können, kann eine Erhöhung der Komplexität der Kennwörter und die Verwendung einer starken Verschlüsselung die Zeit verkürzen, die zum Knacken eines Kennworts erforderlich ist alles machbar.

Arten von Brute-Force-Angriffen

Traditionelle Brute-Force-Angriffe: Ein Angreifer versucht jede mögliche Kombination.

Reverse Brute-Force-Angriffe: Eine kleine Anzahl gängiger Passwörter wird wiederholt gegen viele Konten versucht.,

Credential Stuffing: Ein Angriff versucht, gestohlene Benutzernamen und Passwörter von Websites oder Diensten zu verwenden, um Konten in anderen Diensten und Anwendungen zu entführen.

Wörterbuchangriffe: Ein Angriff durchläuft Wörter aus einem Wörterbuch oder gängige Passwörter aus anderen Datenverletzungen.

Rainbow table attacks: Mit einem vorberechneten Wörterbuch von Klartext-Passwörtern und ihren entsprechenden Hash-Werten bestimmen Angreifer Passwörter, indem sie die Hashing-Funktion umkehren.,

Remote-Arbeit erhöht Brute-Force-Angriffe

Laut Verizons Data Breach Investigations Report 2020 betreffen weniger als 20% der Verstöße innerhalb von KMU Brute-Force und weniger als 10% für große Organisationen. Dieser Trend war gegenüber 2019-und 2018-Iterationen des Berichts weitgehend unverändert geblieben, aber die Coronavirus-Pandemie könnte die Landschaft verändert haben.

„Als Folge der COVID-19-Pandemie haben Unternehmen weltweit Remote-Arbeitsrichtlinien verabschiedet, die sich direkt auf die Cyberthreatlandschaft ausgewirkt haben“, sagt Kaspersky Emm., „Nach dem Massenübergang zur Heimarbeit sind Cyberkriminelle logischerweise zu dem Schluss gekommen, dass die Anzahl schlecht konfigurierter RDP-Server zunehmen würde, daher die Zunahme der Angriffe.“

“ Seit Anfang März die Zahl der Bruteforce.Generisch.RDP-Angriffe haben weltweit zugenommen, und Angriffe auf die Fernzugriffsinfrastruktur werden wahrscheinlich nicht so bald aufhören-angesichts der Anzahl der Unternehmensressourcen, die jetzt Remote-Mitarbeitern zur Verfügung gestellt wurden.,“

So schützen Sie sich vor Brute-Force-Angriffen

Während keine Technik gegen einen Brute-Force-Angriff narrensicher ist, können Unternehmen viele Maßnahmen ergreifen, die mehr Zeit und Rechenressourcen für den Angriff erfordern, wodurch Ihr Unternehmen weniger attraktiv wird:

  • Verwenden Sie lange und komplexe Passwörter, die verschlüsselt sind (idealerweise mit 256-Bit-Verschlüsselung).
  • Salz das Passwort Hashes., Emm empfiehlt, dass Zeichenfolgen in einer separaten Datenbank gespeichert und abgerufen und dem Kennwort hinzugefügt werden, bevor es hashed wird, damit Mitarbeiter mit demselben Kennwort unterschiedliche Hashes haben.
  • Haben gute passwort politik messaging an mitarbeiter um passwort komplexität und passwort wiederverwendung über mehrere konten.
  • Begrenzen Sie Anmeldeversuche während eines bestimmten Zeitraums oder erfordern Sie einen Reset nach einer bestimmten Anzahl falscher Versuche.
  • Rate-Begrenzen Sie die Zeit, die zur Authentifizierung eines Passworts benötigt wird.
  • Aktivieren Sie s.
  • Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung.,
  • Erwägen Sie die Verwendung eines Passwort-Managers

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.