If-Koubou

Brute-Force Attacks Explained: Miten kaikki salaus on haavoittuva

Brute-Force Attacks Explained: Miten kaikki salaus on haavoittuva (Miten)

Brute-force-hyökkäykset ovat melko yksinkertaisia ​​ymmärtää, mutta niitä on vaikea suojata. Salaus on matematiikka, ja tietokoneet nopeutuvat matematiikassa nopeammin, kun kokeilet kaikkia ratkaisuja ja näkevät, mikä sopii.

Näitä hyökkäyksiä voidaan käyttää kaikentyyppisiä salauksia vastaan, ja niiden menestys vaihtelee. Brute-force-hyökkäykset tulevat nopeammin ja tehokkaammin joka päivä, kun uudempi, nopeampi atk-laitteisto vapautetaan.

Brute-Force-perustaidot

Brute-force-hyökkäykset ovat yksinkertaisia ​​ymmärtää. Hyökkääjällä on salattu tiedosto - esimerkiksi LastPass- tai KeePass-salasanatietokanta. He tietävät, että tiedostossa on tietoja, joita he haluavat nähdä, ja he tietävät, että salausavain on lukittavissa. Jos haluat purkaa sen, he voivat yrittää kokeilla jokaista mahdollista salasanaa ja katsoa, ​​että tämä johtaa salauksen purkuun.

He tekevät tämän automaattisesti tietokoneohjelmalla, joten nopeus, jolla joku voi raa'at voima-salauksen, kasvaa, kun käytettävissä oleva atk-laitteisto nopeutuu ja nopeutuu ja pystyy tekemään enemmän laskutoimituksia sekunnissa. Hyvinvoiva hyökkäys aloittaisi todennäköisesti yhden numeron salasanat ennen siirtymistä kaksinumeroisiin salasanoihin ja niin edelleen, kokeilemalla kaikkia mahdollisia yhdistelmiä, kunnes jokin toimii.

Sanakirjojen hyökkäys on samanlainen ja yrittää sanoja sanakirjasta - tai luetteloa tavallisista salasanoista - kaikkien mahdollisten salasanojen sijaan. Tämä voi olla erittäin tehokasta, sillä monet käyttävät tällaisia ​​heikkoja ja tavallisia salasanoja.

Miksi hyökkääjät eivät voi Brute-Force Web Services

On eroa verkossa ja offline-brute-force-hyökkäyksissä. Esimerkiksi jos hyökkääjä haluaa raa'asti pakottaa tiensä Gmail-tiliisi, he voivat alkaa kokeilla kaikkia mahdollisia salasanoja - mutta Google leikkaa ne nopeasti. Palvelut, jotka mahdollistavat tällaisten tilien käytön, estävät pääsyyrityksiä ja estävät IP-osoitteet, jotka yrittävät kirjautua sisään niin monta kertaa. Näin ollen hyökkäys verkkopalvelua vastaan ​​ei toimi liian hyvin, koska hyvin harvoja yrityksiä voidaan tehdä ennen kuin hyökkäys pysähtyy.

Esimerkiksi muutamien epäonnistuneiden kirjautumisyritysten jälkeen Gmail näyttää CATPCHA-kuvan varmistaaksesi, ettet ole tietokone, joka yrittää automaattisesti käyttää salasanoja. He todennäköisesti lopettavat kirjautumisesi kokonaan, jos onnistut jatkamaan tarpeeksi kauan.

Toisaalta sanotaan, että hyökkääjä otti tietokoneesta salatun tiedoston tai onnistui vaarantamaan verkkopalvelun ja lataamaan tällaiset salatut tiedostot. Hyökkääjällä on nyt salatut tiedot omasta laitteistostaan ​​ja he voivat kokeilla niin monta salasanaa kuin he haluavat vapaa-ajallaan. Jos heillä on pääsy salattuihin tietoihin, ei ole mitään keinoja estää heitä kokeilemasta suuria määriä salasanoja lyhyessä ajassa. Vaikka käytät vahvaa salausta, sinun on hyvä säilyttää tietosi turvallisesti ja varmistaa, että muut eivät voi käyttää sitä.

hajautusta

Vahvat hajautusalgoritmit voivat hidastaa hyökkääviä hyökkäyksiä. Pohjimmiltaan hajautusalgoritmit suorittavat lisää matemaattisia töitä salasanalla ennen salasanan johdosta tallennetun arvon tallentamista. Jos käytetään hitaampaa hajautusalgoritmia, se vaatii tuhansia kertoja niin paljon matemaattista työtä, että jokainen salasana kokeillaan ja hidastaa jyrkästi hyökkäyksiä. Mitä enemmän työtä tarvitaan, sitä enemmän työtä palvelimella tai muulla tietokoneella on tehtävä joka kerta, kun käyttäjä kirjautuu sisään salasanansa avulla. Ohjelmiston on tasapainotettava resistiivisyyttä resursseja käyttävien hyökkäysten torjumiseksi.

Brute-Force Speed

Nopeus riippuu laitteistosta. Tiedusteluviranomaiset voivat rakentaa erikoistunutta laitteistoa vain hyökkääjille, samoin kuin Bitcoin-kaivostyöt rakentavat omat Bitcoin-kaivostoiminnalleen optimoidut erikoistarvikkeet. Kuluttajalaitteiden osalta tehokkain laitteisto raakajoukoille on grafiikkakortti (GPU). Koska on helppo kokeilla monia eri salausavaimia kerralla, monet näytönohjaimet ovat ihanteellisia.

Vuoden 2012 lopussa Ars Technica ilmoitti, että 25-GPU-klusteri voi murtaa jokaisen Windows-salasanan alle 8 merkin alle alle kuusi tuntia. Microsoftin NTLM-algoritmi ei ollut riittävän joustava. Kuitenkin, kun NTLM luotiin, olisi ollut paljon kauemmin kokeilla kaikkia näitä salasanoja. Tätä ei pidetty riittävänä uhkana Microsoftille, jotta salaus vahvistuisi.

Nopeus on kasvamassa, ja muutaman vuosikymmenen aikana voimme havaita, että kvanttimittarit tai mitä tahansa muuta laitteistoa, jota käytämme tulevaisuudessa, voi nopeasti säröillä jopa voimakkaimmat salausavain algoritmit ja salausavaimet, joita käytämme tänään.

Tietojen suojaaminen törkeiltä hyökkäyksiltä

Ei ole mitään keinoa suojella itseäsi kokonaan. On mahdotonta sanoa, kuinka nopeasti tietokonelaitteisto saa ja onko jokin tällä hetkellä käytössä olevista salausalgoritmeista heikkouksia, jotka löytyvät ja hyödynnetään tulevaisuudessa. Tässä ovat kuitenkin perusteet:

  • Pidä salatut tiedot turvallisesti, jos hyökkääjät eivät pääse siihen. Kun tietojasi kopioidaan laitteistoihin, he voivat yrittää raa'at hyökkäykset sitä vastaan.
  • Jos suoritat palvelua, joka hyväksyy kirjautumiset Internetissä, varmista, että se rajoittaa kirjautumisyrityksiä ja estää ihmisiä, jotka yrittävät kirjautua sisään useilla eri salasanoilla lyhyessä ajassa. Palvelinohjelmisto on yleensä asetettu tekemään tämän pois laatikosta, koska se on hyvä tietoturvakäytäntö.
  • Käytä vahvoja salausalgoritmeja, kuten SHA-512. Varmista, että et käytä vanhoja salausalgoritmeja, joilla on tunnettuja heikkouksia, jotka ovat helposti halkeamia.
  • Käytä pitkiä, suojattuja salasanoja. Kaikki maailman salaustekniikka ei auta apua, jos käytät "salasanaa" tai yhä suosittua "metsästäjä2".

Brute-force-hyökkäykset ovat jotain, jotka ovat huolissaan tietojesi suojaamisesta, salausalgoritmien valitsemisesta ja salasanojen valitsemisesta.Ne ovat myös syy jatkaa kriittisten algoritmien kehittämistä - salauksen on pysyttävä siinä määrin, kuinka nopeasti se on tehnyt tehottomaksi uudella laitteistolla.

Kuvauskonferenssi: Johan Larsson Flickr, Jeremy Gosney