Brute-force attack definition
en brute-force attack ser en angripare upprepade gånger och systematiskt skicka olika användarnamn och lösenord i ett försök att så småningom gissa referenser korrekt. Denna enkla men resursintensiva, trial-and-error-strategi görs vanligtvis med hjälp av automatiserade verktyg, skript eller bots cykling genom varje möjlig kombination tills åtkomst beviljas.,
”det här är en gammal attackmetod, men den är fortfarande effektiv och populär bland hackare”, säger David Emm, huvudforskare på Kaspersky. ”Brute-force attacker används ofta för att rikta enheter på fjärrnätverk för att få personlig information som lösenord, lösenordsfraser, användarnamn och personliga identifikationsnummer (PINs).,”
ju längre lösenordet och ju starkare krypteringen på de sparade autentiseringsuppgifterna är, hur mycket tid och datorkraft som behövs, så det är möjligt för organisationer att minska effektiviteten i attacken till den punkten är det nästan omöjligt för angripare att utföra framgångsrikt.
under 2017 föll både de brittiska och skotska parlamenten offer för brute force-attacker, medan en liknande men misslyckad attack inträffade på det nordirländska parlamentet ett år senare., Airline Cathay Pacific drabbas av en brute force attack ett år senare, för vilken det bötfälldes £500,000 av Storbritanniens data regulator på grund av att det saknas tillräckliga förebyggande åtgärder. Annonsblockeringstjänst Ad Guard tvingade också en återställning av alla användarlösenord efter att ha lidit en brute-force attack.
hur brute-force-attacker fungerar
Brute-force-attacker utförs ofta av skript eller bots som riktar sig mot en webbplats eller applikations inloggningssida. De cyklar genom varje möjlig nyckel eller lösenord., Vanliga applikationer inkluderar sprickbildning lösenord på webbplatser eller applikationer, kryptering eller API-nycklar, och SSH inloggningar.
ett lösenord sprickbildning attack är bara ett steg i en angripares döda kedja, enligt Emm. Den kan användas för att få tillgång till användare, e-post, bank eller SaaS-konton eller att äventyra API: er eller någon annan tjänst som kräver inloggning och referenser.
därifrån kan angriparen utföra sitt avsedda mål. ”En framgångsrik brute-force attack ger cyberbrottslingar fjärråtkomst till måldatorn i nätverket”, förklarar Emm., ”Det primära målet för dessa angripare är att få personlig information som sedan kan användas för att komma åt online-konton och nätverksresurser. Därifrån kan dessa antingen användas för att skicka phishing-länkar, sprida falskt innehåll eller till och med skörda referenser för att sälja vidare till tredje part.”
”processen att gissa ett lösenord för en viss webbplats kan vara en mödosam och tidskrävande uppgift, så hackare har sedan utvecklat verktyg för att hjälpa till att göra jobbet snabbare”, säger Emm., ”Automatiserade verktyg är också tillgängliga för att hjälpa till med brute-force attacker, med namn som Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng och Rainbow.”
” många kan hitta ett enda ordlösenord i ordlistan inom en sekund. Verktyg som dessa fungerar mot många datorprotokoll (som FTP, MySQL, SMPT och Telnet) och tillåter hackare att knäcka trådlösa modem, identifiera svaga lösenord, dekryptera lösenord i krypterad lagring och översätta ord till leetspeak; ” Don ’thehackme” blir ”d0n7h4ckm3,” till exempel.,”
en brute-force attack framgång mäts i den tid det tar att framgångsrikt knäcka ett lösenord. Som ett lösenord längd ökar, den tid som krävs för att knäcka det ökar exponentiellt. Enligt Cloudflare skulle ett lösenord med sju tecken, med en hastighet av 15 miljoner nyckelförsök per sekund, ta 9 minuter att spricka. Ett 13-tecken lösenord skulle ta över 350.000 år.
På samma sätt, ju längre en krypteringsnyckel, desto mer tid och resurser som krävs för att övervinna den genom brute force., En 128-bitars krypteringsnyckel har 2128 möjliga kombinationer, medan med 256-bitars kryptering skulle en angripare behöva prova 2256 kombinationer. Med nuvarande teknik som skulle ta biljoner år att gissa dem alla.
”beroende på längden och komplexiteten av lösenordet, sprickbildning det kan ta allt från några sekunder till många år,” säger Emm. ”Faktum är att IBM rapporterar att vissa hackare riktar sig mot samma system varje dag i månader och ibland till och med år.,”
även om angripare använder grafikbehandlingsenheter (GPU), vilket avsevärt kan påskynda antalet kombinationer försök per sekund, öka komplexiteten i lösenord och använda stark kryptering kan göra den tid som behövs för att knäcka ett lösenord bortom allt möjligt.
typer av brute-force attacker
traditionella brute-force attacker: en angripare försöker varje kombination möjligt.
Reverse brute-force attacks: ett litet antal vanliga lösenord prövas upprepade gånger mot många konton.,
Credential stuffing: en attack försöker använda stulna användarnamn och lösenord från webbplatser eller tjänster för att kapa konton på andra tjänster och applikationer.
ordbok attacker: en attack cykler genom ord från en ordbok eller vanliga lösenord från andra dataöverträdelser.
attacker från Regnbågstabellen: med hjälp av en förberäknad ordlista med vanliga lösenord och deras motsvarande hashvärden bestämmer angriparna lösenord genom att vända hashfunktionen.,
fjärrarbete ökar brute-force attacker
enligt Verizons dataintrång utredningar rapport 2020, mindre än 20% av brott inom SMB innebär brute force, och mindre än 10% för stora organisationer. Denna trend hade varit i stort sett oförändrad från 2019 och 2018 iterationer av rapporten, men koronaviruspandemin kan ha förändrat landskapet.
”som ett resultat av covid-19-pandemin har företag över hela världen antagit avlägsna arbetspolicyer, vilket har haft en direkt inverkan på cyberthreat-landskapet”, säger Kasperskys Emm., ”Efter massövergången till hemarbete har cyberbrottslingar logiskt dragit slutsatsen att antalet dåligt konfigurerade RDP-servrar skulle öka, därmed ökningen av attacker.”
” sedan början av mars, antalet Bruteforce.Generisk.RDP-attacker har raketat över hela världen och attacker på fjärråtkomstinfrastruktur kommer sannolikt inte att sluta någon gång snart-med tanke på hur många företagsresurser som nu har gjorts tillgängliga för avlägsna arbetstagare.,”
hur man skyddar mot brute-force attacker
medan ingen teknik är idiotsäker mot en brute force attack, organisationer kan vidta många åtgärder som kräver mer tid och datorresurser för attacken, vilket gör ditt företag ett mindre tilltalande mål:
- använd långa och komplexa lösenord som är krypterade (helst med 256-bitars kryptering).
- Salt lösenord hashar., Emm rekommenderar att strängar ska lagras i en separat databas och hämtas och läggas till lösenordet innan det hashas så att anställda med samma lösenord har olika hashar.
- har bra lösenord policy meddelanden till anställda runt lösenord komplexitet och lösenord återanvända över flera konton.
- begränsa inloggningsförsök under en viss tidsram eller kräva en återställning efter ett visst antal felaktiga försök.
- Rate-begränsa den tid det tar att autentisera ett lösenord.
- aktivera s.
- aktivera multifaktorsautentisering där det är möjligt.,
- överväg att använda en lösenordshanterare