Brute-force-angrep definisjon
En brute-force-angrep ser en angriper flere ganger og systematisk for å sende forskjellige brukernavn og passord i et forsøk på å til slutt gjette legitimasjon riktig. Denne enkle, men ressurser-intensiv -, prøve-og-feile-tilnærmingen er vanligvis gjort ved bruk av automatiserte verktøy, skript eller bots sykkeltur gjennom alle mulige kombinasjoner før tilgang gis.,
«Dette er et gammelt angrep metode, men det er fortsatt effektive og populære, med hackere,» sier David Emm, rektor sikkerhet forsker ved Kaspersky. «Brute-force» – angrep er ofte brukt til å målrette enheter på eksterne nettverk for å få tak i personlig informasjon som passord, passfraser, brukernavn og personlig id-nummer (PINs).,»
Likevel, jo lengre passordet er, og jo sterkere kryptering på de lagrede legitimasjonsbeskrivelsene, mengden av tid og datakraft som trengs, slik at det er mulig for organisasjoner å redusere effektiviteten av angrepet til det punktet er nesten umulig for angripere å kjøre vellykket.
I 2017 både den BRITISKE og Skotske Parlamentet ble offer for brute-force angrep, mens en lignende, men mislykket angrep fant sted på den Nord-Irske Parlamentet et år senere., Flyselskapet Cathay Pacific lide et brute force-angrep et år senere som det var en bot på kr 500,000 av STORBRITANNIAS data regulator på grunn av mangler tilstrekkelige forebyggende tiltak. Ad blocking service Ad Guard også tvunget en tilbakestilling av alle brukerpassord etter å ha fått en brute-force angrep.
Hvordan brute-force angrep arbeid
Brute-force angrep er ofte utført av skript eller roboter som mål for et nettsted eller en applikasjon login-side. De bla gjennom alle mulige nøkkel eller et passord., Vanlige bruksområder inkluderer knekke passord på nettsteder eller programmer, kryptering eller API-nøkler, og spamming.
Et passord cracking angrep er bare ett trinn i en angriper drepe kjede, i henhold til Emm. Det kan brukes til å få tilgang til brukeren, e-post, nettbank eller SaaS-kontoer, eller for å invadere Api-er eller andre tjenester som krever et brukernavn og legitimasjon.
Fra det den angriper kan utføre sine tiltenkte målet. «En vellykket brute-force-angrep gir kriminelle tilgang til ekstern mål datamaskin i nettverket, forklarer Emm., «Det primære målet for disse angriperne er å få tak i personlig informasjon som kan bli brukt til å få tilgang til online-kontoer og nettverket ressurser. Fra det, disse kan enten bli brukt til å sende phishing-koblinger, spre falske innhold, eller selv harvest legitimasjon for å selge videre til en tredjepart.»
«prosessen med å gjette passord for et bestemt nettsted kan være en møysommelig og tidkrevende oppgave, slik at hackere har siden utviklet verktøy for å hjelpe å gjøre jobben raskere, sier Emm., «Automatiserte verktøy, er også tilgjengelige for å hjelpe med brute-force angrep, med navn som Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng og Rainbow.»
«Mange kan finne en enkel ordliste word passordet innen ett sekund. Verktøy som disse virker mot mange pc-protokoller (for eksempel FTP, MySQL, SMTP, og Telnet) og lar hackere å knekke trådløst modem, identifisere svake passord, dekryptere passord i kryptert lagring og oversette ord i leetspeak; » don »thackme’ blir ‘d0n7H4cKm3″, for eksempel.,»
En brute-force attack ‘ s suksess måles i den tiden det tar å lykkes med å knekke et passord. Som et passord lengde øker tiden det tar å knekke den øker eksponentielt. I henhold til Cloudflare, en syv-tegns passord-ville, ved en pris på 15 millioner tasten forsøk per sekund, ta 9 minutter til å knekke. En 13-tegns passord ville ta over 350 000 år.
på samme måte, jo lengre en krypteringsnøkkel, jo mer tid og ressurser som kreves for å overvinne det gjennom rå makt., En 128-biters krypteringsnøkkel har 2128 mulige kombinasjoner, mens med 256-bit kryptering, en angriper å prøve 2256 kombinasjoner. Med dagens teknologi som ville ta trillioner av år å gjette dem alle.
«Avhengig av lengden og kompleksiteten av passord cracking det kan ta alt fra noen få sekunder til mange år, sier Emm. «Faktisk, IBM rapporter om at noen hackere mål de samme systemene hver dag i flere måneder og noen ganger år.,»
Selv om angriperne bruker graphics processing units (Gpu-er), som kan betydelig hastighet antall kombinasjoner forsøkt per sekund, økende kompleksiteten av passord og bruke sterk kryptering kan gjøre den tid som er nødvendig for å knekke et passord utover alt mulig.
Typer av brute-force angrep
Tradisjonell brute-force » – angrep: En angriper forsøker hver kombinasjon mulig.
Omvendt brute-force » – angrep: Et lite antall vanlige passordene er gjentatte ganger forsøkt mot mange kontoer.,
Credential stuffing: Et angrep forsøk på å bruke stjålne brukernavn og passord fra nettsteder eller tjenester for å kapre kontoer på andre tjenester og programmer.
Ordliste angrep: Et angrep sykluser gjennom ord fra en ordbok eller vanlige passord fra andre data brudd.
Rainbow tabell angrep: ved Hjelp av en pre-beregnet ordbok av passord i klartekst og deres korresponderende hashen verdier, angripere bestemme passord ved å reversere meisle funksjon.,
Ekstern arbeidet øker brute-force angrep
Ifølge for å Verizon Data Brudd Undersøkelser Rapporten 2020, mindre enn 20% av brudd i små og mellomstore bedrifter innebærer tvang, og mindre enn 10% for store organisasjoner. Denne trenden hadde forblitt uendret fra 2019 og 2018-utgavene av rapporten, men den coronavirus pandemi kan ha endret landskapet.
«Som et resultat av COVID-19 pandemi, bedrifter over hele verden har tatt i bruk eksterne arbeider politikk, som har hatt en direkte innvirkning på cyberthreat landskapet, sier Kaspersky Emm., «Etter masse overgang til hjem, arbeid, nettkriminelle har logisk konkluderte med at antallet av dårlig konfigurerte RDP-tjenere ville øke, og dermed økningen i angrep.»
«Siden begynnelsen av Mars, antall Bruteforce.Generisk.RDP-angrep har skjøt over hele verden og angrep på remote-tilgang infrastruktur er usannsynlig å stoppe helst snart — gitt hvor mange bedriftens ressurser har nå blitt gjort tilgjengelig for eksterne medarbeidere.,»
Hvordan å sikre mot brute-force angrep
Mens ingen teknikken er idiotsikker mot et brute force-angrep, organisasjoner kan ta mange tiltak som krever mer tid og dataressurser for angrep, noe som gjør din virksomhet et mindre attraktivt mål:
- Bruk lange og komplekse passord som er kryptert (ideelt med 256-bit kryptering).
- Salt passord-hasher., Emm forteller at strengene må være lagret i en egen database og hentet og lagt til passord før det er kryptert, slik at ansatte med samme passord har forskjellige numre.
- Ha gode passord policy-meldinger til ansatte rundt passord kompleksitet og passord gjenbruk på tvers av flere kontoer.
- Limit logge forsøk på under en bestemt tidsramme, eller trenger en reset-etter et visst antall av mislykkede forsøk.
- Pris-begrense tiden det tar å godkjenne et passord.
- Aktiver s.
- Aktivere multi-faktor autentisering der det er mulig.,
- du Vurdere å bruke et passord manager