Svet surove sile kibernetske kriminalitete je dejavnost, ki vključuje ponavljajoče se zaporedne poskuse različnih kombinacij gesel za prodor na katero koli mesto ali odklepanje naprave. Ta poskus naredijo hekerji, ki uporabljajo robote, ki jih zlonamerno namestijo na druge računalnike, da povečajo računalniško moč, potrebno za izvajanje teh vrst napadov.

Kaj je torej brut napad?

Brutfors je najlažji način za dostop do spletnega mesta, naprave ali strežnika (ali katerega koli drugega zaščitenega z geslom). Znova in znova poskusi različne kombinacije uporabniških imen in gesel, dokler ne pride do vhoda. To je ponavljajoče se dejanje, kot je vojska, ki napada napad.


Za nekatere tak opis brutforce napada daje razlog, da misli, da lahko kdo to stori. To so res preprosta dejanja, vendar uspeh ne bo vedno izšel. Običajno ima vsak skupni identifikator (na primer admin) geslo. Vse kar morate storiti je, da poskusite uganiti. Če je na primer dvomestna kombinacija, imate 10 številk od 0 do 9. To pomeni, da obstaja 100 možnosti. Izberete jih lahko ročno, če želite vnesti enega za drugim. Toda resnica je, da nobeno geslo na svetu ni sestavljeno iz dveh znakov. Tudi kontaktne številke, ki se uporabljajo na mobilnih telefonih ali v banki, imajo vsaj 4 znake. Na internetu so isti 8 znakov običajno standard za najkrajše geslo. Poleg tega je dodana kompleksnost v gesluVključeni so abecedni znaki, da so varnejši. Črke lahko uporabite tako v zgornjem kot v spodnjem primeru, zaradi česar je koda občutljiva na njeno preklapljanje.


Torej, če obstaja alfanumerično 8-mestno geslo, koliko možnih kombinacij bo treba izbrati? V angleščini je 26 črk abecede. Če jih preštejemo v zgornjem in spodnjem primeru, dobimo 26 + 26 = 52. Nato dodamo številke: 52 + 10 = 62. Za geslo z 8 znaki bo 628, kar bo 21834011 x 1014 možnih kombinacij. Če poskusite uporabiti 218 bilijonov kombinacij v enem poskusu na sekundo, bo trajalo 218 trilijonov sekund ali 36 bilijonov minut. Preprosto povedano, traja približno 7 milijonov let, da se geslo razreši s končno kombinacijo. Seveda lahko postopek traja manj, vendar je največji čas, da se ta vrednost dvigne. Jasno je, da je roka brutfors nemogoča.

Kako se to lahko zgodi?

Če vas zanima kršenje gesel, boste morali uporabljati računalnike. Če želite to narediti, morate napisati nekaj preprostih vrstic kode. Takšno znanje programiranja je osnovno za vsak kodirnik. Recimo, da ste razvili program za odklepanje gesla, ki testira 1000 kombinacij na sekundo. Čas se skrajša na 7 tisoč let. To je še vedno nemogoče, zato potrebujete superračunalnik. Če lahko naprava poskusi 1 x 109 poskusov na sekundo, se bo v samo 22 sekundah preizkusilo vseh 218 bilijonov poskusov. Te vrste računalniških virov niso na voljoljudi Vendar pa hekerji niso navadni uporabniki. Računalniške vire lahko izračunajo na različne načine, na primer z razvojem zmogljivega računalniškega mehanizma s programsko opremo itd.
Poleg tega zgornji izračun obstaja za vse možne kombinacije 8-mestnega gesla. Kaj pa, če je njena dolžina 10 ali 100 znakov? Zato je zelo pomembno, da imate dodatne varnostne stopnje za zaznavanje in zavračanje poskusov krampa.

Zakaj to počnejo?

V Brutusu je hekerjev motiv pridobiti nezakonit dostop do ciljne spletne strani in ga uporabiti za izvedbo druge vrste napada ali kraje dragocenih podatkov. Možno je tudi, da napadalec okuži vir z zlonamernimi skripti za dolgoročne cilje, ne da bi se niti dotaknil ničesar in ne bi pustil sledi. Zato je priporočljivo, da izvajate pogosto pajkanje in upoštevate smernice za zaščito vašega spletnega mesta.

Kaj storiti?

Obstaja veliko orodij za zaščito različnih aplikacij, ki bodo uporabniku odvzele možnost napada po določenem številu poskusov. Na primer, za SSH lahko uporabite gostitelje File2ban ali Deny. Ti programi bodo zavrnili naslov IP po nekaj napačnih poskusih. Ta orodja dobro opravljajo delo. Vendar pa ne morejo vedno zaščititi. V zadnjem času je bila opažena eksponentna rast brutalnih napadov. Prihajajo iz različnih držav sveta, vsak dan postajajo bolj prefinjeni. Zato si morajo vsi uporabniki prizadevati, da so pozorni.Torej, kako se zaščititi pred brutforsi?

Dolžina gesla

Prvi korak k preprečevanju napada mora biti dolžina gesla. Trenutno mnoge spletne strani in platforme prisilijo uporabnike, da ustvarijo dostopno kodo določene dolžine (8-16 znakov).

Zapletenost gesel

Druga pomembna stvar je ustvariti kompleksno geslo. Ni priporočljivo razmišljati o njih kot o iloveyou ali geslu123456. Geslo mora vsebovati velike in male črke, številke in posebne znake. Težave zamujajo proces vdora.

Poskusi za prijavo robov

Enostavna, a zelo močna akcija je omejitev poskusov prijave, ko gre za spletno mesto ali strežnik. Če na primer spletno mesto prejme pet neuspelih poskusov prijave, mora blokirati IP za določeno časovno obdobje, da ustavi nadaljnje poskuse.

Spreminjanje .htaccess datoteke

Dodajanje več pravil v datoteko .htaccess lahko dodatno izboljša varnost vašega spletnega mesta. Cilj je omogočiti dostop do wp-admin samo do določenih IP-naslovov, ki jih vsebuje.

Uporaba Captcha

Captcha se zdaj pogosto uporablja na številnih lokacijah. Ne dovoli robotom izvrševanja samodejnih skript, ki se uporabljajo predvsem v napadu Brute Force. Namestitev captcha na spletno mesto ali blog je preprosta. Namestite Google neviden vtičnik reCaptcha in pojdite na Google Račun. Sedaj se vrnite na stran z nastavitvami vtičnika in določite mesta, kjer želite, da uporabnik najprej vnese captcha, preden opravi dejansko nalogo.

Preverjanje pristnosti z dvema faktorjema

Dve faktorski overitvi je dodatna zaščitna črta, ki lahko zaščiti račun brutalne sile. Možnosti za uspešen napad na zaščitena območja 2FA so zelo majhne. Obstajajo različni načini za njegovo izvajanje na spletnem mestu. Najlažji način je, da uporabite kateri koli vtičnik za preverjanje pristnosti z dvema faktorjema. Če ne govorite o vaši lastni spletni strani, ampak o drugih virih (na primer, da bi preprečili usmerjevalnik usmerjevalnika), so metode lahko naslednje:

Ustvarite edinstveno geslo za vsak račun.

Pogosto spremenite gesla.

Izogibajte se delitvi poverilnic prek nezaščitenih kanalov.

Preusmeritev

Ponovno napadanje s surovo silo je še en izraz, ki je povezan z razpokami v geslih. V tem primeru napadalec poskuša uporabiti eno geslo za več uporabniških imen. V tem primeru heker pozna geslo, vendar ne poznamo uporabniških imen. V tem primeru lahko poskusi isto geslo in poskuša uganiti različne prijave, dokler ne najde delovne kombinacije. To je ponavadi v primeru čopiča Wi-Fi in drugih povezav. Napad se običajno uporablja za krekiranje gesel. Hekerji lahko uporabljajo brutfors na kateri koli strani ali protokolu programske opreme, ki ne blokira zahtevkov po več neveljavnih testih.
Za različna protokola je na voljo veliko orodij za vdiranje v gesla. Nekatere od njih je treba obravnavati podrobneje. Za uporabo takšnih programov je dovolj, da prenesete in zaženeteza napad Ker nekateri med njimi hkrati uporabljajo več mehanizmov, jih je treba podrobno preučiti. To bo pomagalo zaščititi pred napadi in preveriti vse sisteme za ranljivost.

Aircrack-ng

To je priljubljen brezžični kreker za gesla, ki je na voljo brezplačno. Na voljo je krekerji WEP /WPA /WPA2-PSK in orodja za analizo za napad na WI-Fi 80211. Aircrack NG se lahko uporablja za vse omrežne vmesnike, ki podpirajo nepretrgano spremljanje. V bistvu izvaja napade besedišča na brezžično omrežje, da bi uganil geslo. Kot veste, je uspeh pogojnega napada odvisen od kompleksnosti gesel. Boljša in učinkovitejša kombinacija je manjša verjetnost, da bo prišlo do zla. Aplikacija je na voljo za brutefors Windows in Linux. Poleg tega je bila preseljena v platforme iOS in Android.

John Ripper

To je še eno osupljivo orodje, ki ne zahteva nobenih navodil. Pogosto se uporablja za dolga brutalna gesla. Ta brezplačna programska oprema je bila prvotno razvita za sisteme Unix. Kasneje so jo avtorji izdali za druge platforme. Sedaj program podpira 15 različnih sistemov, vključno z Unix, Windows, DOS, BeOS in OpenVMS. Lahko se uporablja za identifikacijo ranljivosti ali za razpustitev gesel in kršitev avtentikacije. To orodje je zelo priljubljeno in združuje različne funkcije. Samodejno lahko določi vrsto zgoščevanja, ki se uporablja v geslu. Tako lahko kodo zaženete v shrambi šifriranih gesel. V bistvu, program surove silelahko izvede grob napad z vsemi možnimi gesli, ki združujejo besedilo in številke. Kljub temu pa se lahko uporablja tudi s slovarjem.

Rainbow Crack

To je tudi priljubljeno orodje za geslo brutarjev. Ustvari tabele za uporabo med napadom. Tako se kodeks razlikuje od drugih tradicionalnih prisilnih orodij. Mavrične mize so vnaprej izračunane. To pomaga zmanjšati čas napada. No, obstajajo različne organizacije, ki so že objavile predkonkurenčne tabele za vse uporabnike interneta. To orodje se še vedno razvija. Na voljo je za Windows in Linux ter podpira vse najnovejše različice teh platform.

L0phtCrack

Program je znan po svoji zmožnosti, da razbije gesla za Windows. Uporablja slovarje, brutalno silo, hibridne napade in mavrične tabele. Najpomembnejše značilnosti l0phtcrack so načrtovanje, pridobivanje hashov iz 64-bitnih različic operacijskega sistema Windows, večprocesorski algoritmi ter nadzor in dekodiranje omrežja.

Ophcrack

Še eno orodje za generiranje brutalnih sil, ki se uporablja za razbijanje gesel za Windows. Geslo prekine z uporabo LM hashov prek tabel. To je brezplačna odprtokodna programska oprema. V večini primerov lahko v nekaj minutah razreže geslo za Windows.

Crack

To je eno najstarejših orodij za lomljenje gesel. Lahko se uporablja za sisteme UNIX, vključno z Android Brutforces. Uporablja se za preverjanje šibkih gesel z izvajanjem napada z uporabo slovarjev.

Hashcat

Nekateri trdijo, da je to najhitrejše orodje za lomljenje gesel, ki temeljijo na geslih. To je brezplačno in prihaja z Linux, Windows in Mac OS platform. Hashcat podpira različne algoritme razprševanja, vključno z LM vsotami, MD4 MD5 SHA-Unix-trezorskimi formati, MySQL, Cisco PIX. Program podpira različne napade, vključno z Brute-Force, Combinator, slovarji, napadom prstnih odtisov in še veliko več.