Brute-force aanval definitie
een brute-force aanval ziet een aanvaller herhaaldelijk en systematisch verschillende gebruikersnamen en wachtwoorden in een poging om uiteindelijk te raden referenties correct. Deze eenvoudige maar resources-intensieve, trial-and-error aanpak wordt meestal gedaan met behulp van geautomatiseerde tools, scripts of bots fietsen door elke mogelijke combinatie totdat toegang wordt verleend.,
” Dit is een oude aanval methode, maar het is nog steeds effectief en populair bij hackers,” zegt David Emm, principal security onderzoeker bij Kaspersky. “Brute-force aanvallen worden vaak gebruikt om apparaten op externe netwerken te richten om persoonlijke informatie te verkrijgen, zoals wachtwoorden, wachtzinnen, gebruikersnamen en persoonlijke identificatienummers (PINs).,”
echter, hoe langer het wachtwoord en hoe sterker de encryptie op de opgeslagen referenties, de hoeveelheid tijd en rekenkracht die nodig is, dus het is mogelijk voor organisaties om de efficiëntie van de aanval te verminderen tot het punt is bijna onmogelijk voor aanvallers om succesvol uit te voeren.in 2017 werden zowel het Britse als het Schotse parlement het slachtoffer van brute aanvallen, terwijl een jaar later een soortgelijke, maar mislukte aanval plaatsvond op het Noord-Ierse parlement., Luchtvaartmaatschappij Cathay Pacific lijden een brute force aanval een jaar later waarvoor het werd beboet £ 500.000 door de Britse data regulator als gevolg van het ontbreken van voldoende preventieve maatregelen. Ad blocking service Ad Guard ook gedwongen een reset van alle wachtwoorden van de gebruiker na het lijden van een brute-force aanval.
hoe brute-force aanvallen werken
Brute-force aanvallen worden vaak uitgevoerd door scripts of bots die zich richten op de inlogpagina van een website of applicatie. Ze doorlopen elke mogelijke sleutel of wachtwoord., Veel voorkomende toepassingen zijn het kraken van wachtwoorden op websites of toepassingen, encryptie of API sleutels, en SSH logins.
een wachtwoord kraken aanval is slechts een stap in de kill chain van een aanvaller, volgens Emm. Het kan worden gebruikt om toegang te krijgen tot gebruikers -, e-mail -, Bank-of SaaS-accounts of om API ‘ s of een andere service die een login en referenties vereist compromitteren.
vanaf daar kan de aanvaller het beoogde doel uitvoeren. “Een succesvolle brute-force aanval geeft cybercriminelen toegang op afstand tot de doelcomputer in het netwerk,” legt Emm uit., “Het primaire doel voor deze aanvallers is om persoonlijke informatie die vervolgens kan worden gebruikt om toegang te krijgen tot online accounts en netwerkbronnen te verkrijgen. Vanaf daar, deze kunnen ofwel worden gebruikt om phishing links te sturen, verspreiden nep-inhoud, of zelfs oogst referenties te verkopen aan derden.”
” het proces van het Raden van een wachtwoord voor een specifieke site kan een moeizame en tijdrovende taak zijn, dus hackers hebben sindsdien tools ontwikkeld om het werk sneller te doen,” zegt Emm., “Geautomatiseerde tools zijn ook beschikbaar om te helpen met brute-force aanvallen, met namen als Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng en Rainbow.”
” velen kunnen binnen één seconde een woordwachtwoord vinden. Tools zoals deze werken tegen veel computerprotocollen (zoals FTP, MySQL, SMPT en Telnet) en laten hackers draadloze modems kraken, zwakke wachtwoorden identificeren, wachtwoorden decoderen in versleutelde opslag en woorden vertalen naar leetspeak; ‘don’ thackme ‘wordt bijvoorbeeld’ d0n7H4cKm3′.,”
het succes van een brute-force aanval wordt gemeten in de tijd die nodig is om een wachtwoord te kraken. Naarmate de lengte van een wachtwoord toeneemt, neemt de tijd die nodig is om het te kraken exponentieel toe. Volgens Cloudflare zou een wachtwoord van zeven tekens, met een snelheid van 15 miljoen sleutelpogingen per seconde, 9 minuten duren om te kraken. Een wachtwoord van 13 tekens zou meer dan 350.000 jaar in beslag nemen.
evenzo, hoe langer een encryptiesleutel, hoe meer tijd en middelen nodig zijn om het te overwinnen door brute kracht., Een 128-bit encryptie sleutel heeft 2128 mogelijke combinaties, terwijl met 256-bit encryptie, een aanvaller zou moeten proberen 2256 combinaties. Met de huidige technologie zou het biljoenen jaren duren om ze allemaal te raden.
” afhankelijk van de lengte en complexiteit van het wachtwoord kan het kraken ervan een paar seconden tot vele jaren duren,” zegt Emm. “In feite, IBM meldt dat sommige hackers richten op dezelfde systemen elke dag voor maanden en soms zelfs jaren.,”
zelfs als aanvallers graphics processing units (GPU ‘ s) gebruiken, wat het aantal pogingen tot combinaties per seconde aanzienlijk kan versnellen, waardoor de complexiteit van de wachtwoorden toeneemt en het gebruik van sterke encryptie de tijd kan maken die nodig is om een wachtwoord te kraken.
soorten brute-force aanvallen
traditionele brute-force aanvallen: een aanvaller probeert elke mogelijke combinatie.
Reverse brute-force aanvallen: een klein aantal veelvoorkomende wachtwoorden wordt herhaaldelijk geprobeerd tegen veel accounts.,
credential vulling: een aanval probeert gestolen gebruikersnamen en wachtwoorden van sites of services te gebruiken om accounts op andere services en applicaties te kapen.
woordenboek aanvallen: een aanval cycli door woorden uit een woordenboek of veelgebruikte wachtwoorden van andere datalekken.
Rainbow table attacks: met behulp van een vooraf berekend woordenboek van wachtwoorden in platte tekst en de bijbehorende hashwaarden bepalen aanvallers wachtwoorden door de hashingfunctie om te keren.,
Remote work verhoogt brute-force aanvallen
volgens Verizon ‘ s Data Breach Investigations Report 2020 heeft minder dan 20% van de inbreuken binnen het MKB te maken met brute kracht, en minder dan 10% voor grote organisaties. Deze trend was grotendeels onveranderd gebleven ten opzichte van 2019 en 2018 iteraties van het rapport, maar de coronaviruspandemie kan het landschap hebben veranderd.
“als gevolg van de covid-19-pandemie hebben bedrijven wereldwijd een beleid voor werken op afstand ingevoerd, dat een directe impact heeft gehad op het cyberdreigingslandschap”, zegt EMM van Kaspersky., “Na de massale overgang naar thuiswerk, cybercriminelen hebben logisch geconcludeerd dat het aantal slecht geconfigureerde RDP-servers zou toenemen, vandaar de toename van aanvallen.”
” sinds begin maart, het aantal Bruteforce.Generiek.RDP-aanvallen zijn over de hele wereld gestegen en aanvallen op remote-access — infrastructuur zullen waarschijnlijk niet snel stoppen-gezien het aantal bedrijfsmiddelen dat nu beschikbaar is gesteld aan externe werknemers.,”
hoe te beveiligen tegen brute-force aanvallen
hoewel geen enkele techniek onfeilbaar is tegen een brute-force aanval, kunnen organisaties veel maatregelen nemen die meer tijd en computerbronnen nodig hebben voor de aanval, waardoor uw bedrijf een minder aantrekkelijk doel is:
- gebruik lange en complexe wachtwoorden die versleuteld zijn (idealiter met 256-bit encryptie).
- zout de wachtwoordhashes., Emm adviseert dat strings moeten worden opgeslagen in een aparte database en opgehaald en toegevoegd aan het wachtwoord voordat het is gehasht, zodat werknemers met hetzelfde wachtwoord hebben verschillende hashes.
- hebben goede wachtwoordbeleidsmeldingen voor werknemers rond wachtwoordcomplexiteit en wachtwoordhergebruik in meerdere accounts.
- beperk inlogpogingen gedurende een bepaald tijdsbestek of vereist een reset na een bepaald aantal onjuiste pogingen.
- Rate-beperk de tijd die nodig is om een wachtwoord te authenticeren.
- s.
- waar mogelijk multi-factor authenticatie inschakelen.,
- overweeg het gebruik van een wachtwoordbeheerder