Mikä on julma voimahyökkäys (esimerkein) ja kuinka voit suojata sitä vastaan

Isku brutaalilla voimalla.


Julma voimahyökkäys on menetelmä, jota käytetään yksityisten käyttäjätietojen, kuten käyttäjänimien, salasanojen, salasanojen tai henkilökohtaisten tunnistenumeroiden (PIN) saamiseen. Nämä hyökkäykset suoritetaan tyypillisesti komentosarjan tai robotin avulla 'Arvata' haluamasi tiedot kunnes jokin on vahvistettu.

Rikolliset voivat toteuttaa raa'ita voimahyökkäyksiä yrittääkseen käyttää salattua tietoa. Vaikka saatat ajatella, että salasana pitää tietosi turvassa, tutkimukset ovat osoittaneet, että mikä tahansa kahdeksan merkin salasana voidaan murtaa alle kuudessa tunnissa. Ja se oli jo vuonna 2012 suhteellisen edullisella koneella.

Julma voimahyökkäys voi myös olla hyödyllinen tapa tietotekniikan asiantuntijoille testata tietoturva heidän verkostoistaan. Yksi järjestelmän salauksen voimakkuuden mitta-alueista onkin se, kuinka kauan hyökkääjän menestyminen raa'alla voimayrityksellä menee.

Koska raa'at voimat eivät todellakaan ole hienoin hyökkäysmuoto, erilaiset toimenpiteet voivat estää heitä menestymästä. Tässä viestissä tutkimme raa'at joukkohyökkäykset yksityiskohtaisemmin, mukaan lukien joitain esimerkkejä, ja paljastamme sitten, kuinka voit suojata niitä vastaan.

Johdanto raa'isiin voimahyökkäyksiin

Brute Force -hyökkäyksiin viitataan usein raa'an voiman murtamiseksi. Itse asiassa raa'aa voimaa - tässä tapauksessa laskennallista voimaa - käytetään yrittämään murtaa koodi. Sen sijaan, että käytettäisiin monimutkaista algoritmia, julma voimahyökkäys käyttää komentosarjaa tai robotti arvausten lähettämiseen, kunnes se osuu toimivaan yhdistelmään.

Tarjolla on paljon työkaluja, joiden avulla hakkerit voivat käynnistää raa'at voimayritykset. Mutta edes käsikirjoituksen kirjoittaminen tyhjästä ei olisi liian suuri osa jokaiselle, joka tuntee koodin. Vaikka näitä hyökkäyksiä on helppo suorittaa, salasanan pituudesta ja luonteesta ja käytetystä laskennallisesta tehosta riippuen, niiden onnistuminen voi kestää päiviä, viikkoja tai jopa vuosia.

Ennen kuin tutustumme raa'an joukkohyökkäysten havaitsemiseen ja estämiseen, sinun kannattaa muistaa joitain muita aiheeseen liittyviä termejä, joita voit kohdata..

Hybridi raa'at voimahyökkäykset

Julma voima hyökkäys käyttää systemaattista lähestymistapaa arvaamiseen, joka ei käytä logiikan ulkopuolella. Samankaltaisia ​​hyökkäyksiä ovat a sanakirjahyökkäys, joka voi käyttää koodin murtamiseen sanakirjan sanalistaa. Muut hyökkäykset voivat alkaa yleisillä salasanoilla. Niitä kuvataan toisinaan raa'ina voimahyökkäyksinä. Kuitenkin, koska he käyttävät jotain logiikkaa päättääkseen, mitkä iteraatiot voivat olla todennäköisimpiä ensin, niihin viitataan tarkemmin hybrideinä raa'an voiman hyökkäyksinä.

Käänteinen raa'an voiman hyökkäys

Kääntyvään raa'an voiman hyökkäykseen kuuluu käyttämällä yhteistä salasanaa tai salasanaryhmää useita mahdollisia käyttäjänimiä vastaan. Tämä ei ole kohdistettu yhdelle käyttäjälle, mutta sitä voidaan käyttää yrittämään pääsy tiettyyn verkkoon.

Paras suoja tämän tyyppisiä hyökkäyksiä vastaan ​​on vahvojen salasanojen käyttö tai järjestelmänvalvojan näkökulmasta vaatia vahvojen salasanojen käyttöä.

Valtakirjojen täyttö

Valtakirjojen täyttö on ainutlaatuinen muoto julmaa voimaa vastaan käyttää rikkoutuneita käyttäjänimi- ja salasanapareja. Jos käyttäjänimen ja salasanan pariliitos tunnetaan, hyökkääjä voi käyttää sitä yrittääkseen päästä useille sivustoille. Heti käyttäjän tilillä ollessaan hänellä on täysi hallinta kyseisellä tilillä ja pääsy kaikkiin hallussaan oleviin yksityiskohtiin.

Varotoimenpiteet, kuten kaksifaktorinen todennus ja turvallisuuskysymykset, voivat auttaa estämään tällaisten hyökkäysten aiheuttamat vahingot. Paras suoja on kuitenkin, että käyttäjät eivät koskaan käytä samaa salasanaa useille tileille.

Raa'an joukkohyökkäyksen tavoite

Kun hakkeri on onnistunut kirjautumisyrityksen, mitä seuraavaksi? Vastaus on, että voidaan suorittaa koko joukko asioita. Tässä on joitain tärkeimmistä:

  • Online-tilien sisällä olevien käyttäjien henkilökohtaisten tietojen varastaminen tai paljastaminen
  • Sadonkorjuusarjojen korjaus myytäväksi kolmansille osapuolille
  • Ilmoittaminen tilinomistajina väärennetyn sisällön tai phishing-linkkien levittämiseksi
  • Järjestelmäresurssien varastaminen muihin toimintoihin
  • Verkkosivuston hajoaminen pääsyllä järjestelmänvalvojan käyttöoikeuksiin
  • Haittaohjelmien tai roskapostin sisällön leviäminen tai verkkotunnusten ohjaaminen haitalliselle sisällölle

Kuten mainittiin, raa'at voimahyökkäyksiä voidaan käyttää myös järjestelmän haavoittuvuuksien testaamiseen, joten ne eivät aina ole haitallisia.

Esimerkkejä raa'ista voimahyökkäyksistä

Julmia voimahyökkäyksiä tapahtuu koko ajan, ja puhuttaessa on monia korkean profiilin esimerkkejä. Emme todennäköisesti tiedä edes monista menneistä ja meneillään olevista hyökkäyksistä, mutta tässä on muutamia, jotka ovat tulleet esille viime vuosina:

  • Alibaba: Vuoden 2016 massiivinen julma voima hyökkäys suosittuun verkkokauppasivustoon vaikutti miljooniin tileihin.
  • Magento: Magento maaliskuussa 2018 Magento joutui varoittamaan käyttäjiä siitä, että raa'an joukkohyökkäysten seurauksena jopa 1000 järjestelmänvalvojapaneelia oli vaarannettu.
  • Pohjois-Irlannin parlamentti: Myös maaliskuussa 2018 raa'at joukkohyökkääjät käyttivät useiden Pohjois-Irlannin parlamentin jäsenten tilejä.
  • Westminsterin parlamentti: Aikaisempi hyökkäys osui Westminsterin parlamenttiin vuonna 2017, missä jopa 90 sähköpostitiliä vaarannettiin.
  • Firefox: Vuoden 2018 alussa paljastettiin, että Firefoxin ”pääsalasana” -ominaisuus voidaan helposti hyökkää väkivallalla. Tämä tarkoittaa, että viimeisen yhdeksän vuoden aikana monien käyttäjien käyttäjätiedot ovat saattaneet paljastua.

Vaikka rikollisetkin käyttävät usein raa'ita voimahyökkäyksiä, he voida auttaa testaamaan järjestelmiä. Lisäksi he voivat tarjota varmuuskopion salasanan palautusta varten, jos muut menetelmät ovat käytetty loppuun.

Kuinka havaita julma voimahyökkäys

Ei ole harvinaista, että saamme palveluntarjoajalta sähköpostin, jossa kerrotaan, että joku kirjautui tilillesi satunnaisesta sijainnista. Kun tämä tapahtuu, on mahdollista, että olet joutunut raa'an joukkohyökkäyksen uhriksi. Tässä tapauksessa on suositeltavaa vaihtaa salasanasi välittömästi. Haluat ehkä jopa vaihtaa arkaluontoisten tilien salasanasi säännöllisesti, vain jos olet joutunut havaitsemattoman tai ilmoittamattoman julman voiman hyökkäyksen uhriksi..

Jos olet verkon ylläpitäjä, verkkosivustosi ja käyttäjien kannalta on tärkeää, että etsit merkkejä raa'asta joukkohyökkäyksestä, etenkin onnistuneesta. Vaikka joukko epäonnistuneita kirjautumisia voi hyvinkin olla unohdetulta käyttäjältä, sivusto on todennäköisesti uhattuna. Tässä on joitain merkkejä, joita on tarkkailtava:

  • Useita epäonnistuneita kirjautumisyrityksiä samasta IP-osoitteesta. Tämä voi johtua siitä, että suuri organisaatio käyttää välityspalvelinta.
  • Sisäänkirjautumisyritykset useilla käyttäjätunnuksilla samasta IP-osoitteesta. Tämä voi jälleen olla peräisin suuresta organisaatiosta.
  • Useita kirjautumisyrityksiä yhdelle käyttäjänimelle, joka tulee eri IP-osoitteista. Tämä voi olla myös yksi henkilö, joka käyttää välityspalvelinta.
  • Epätavallinen kaavio epäonnistuneista kirjautumisyrityksistä, esimerkiksi peräkkäisen aakkosellisen tai numeerisen kuvion seurauksena.
  • Epätavallinen määrä kaistanleveyttä on käytetty onnistuneen kirjautumisyrityksen jälkeen. Tämä voi merkitä hyökkäyksille, joiden tarkoituksena on varastaa resursseja.

Käyttäjän kannalta voi olla erittäin vaikeata tietää, onko julma voimahyökkäys rikkonut tiliäsi. Jos saat ilmoituksen tilisi rikkomuksen jälkeen, paras tapa toimia tarkistaa tililläsi mahdolliset muutokset, joita et ole tehnyt, ja vaihtaa salasanasi välittömästi.

Related: Mitä tehdä, jos tiliisi tai sähköpostisi on hakkeroitu

Mitä voit tehdä raa'an joukkohyökkäyksen estämiseksi

Brute force -hyökkäykset voivat olla helposti havaittavissa yksinkertaisten sisäänkirjausyritysten vuoksi. Luulet, että hyökkäyksen estäminen olisi yhtä helppoa kuin sen IP-osoitteen estäminen, josta kirjautumisyritykset tulevat. Valitettavasti se ei ole niin yksinkertaista, että hakkerit voivat käyttää työkaluja, jotka läpäisevät yrityksiä avoimien välityspalvelimien läpi siten, että ne tulevat eri IP-osoitteista. Silti riippumatta siitä, oletko käyttäjä tai järjestelmänvalvoja, voit estää onnistuneen raa'an joukkohyökkäyksen:

  1. Hyvien salasanojen käyttäminen tai vaatiminen
  2. Salli rajoitettu määrä kirjautumisyrityksiä
  3. CAPTCHA-laitteiden käytön käyttäminen
  4. Aikaviiveiden asettaminen yritysten välillä
  5. Turvallisuuskysymysten esittäminen
  6. Kaksikerroisen todennuksen käyttöönotto
  7. Useiden kirjautumis-URL-osoitteiden käyttö
  8. Hyökkäysohjelman huijaaminen

Koska järjestelmänvalvojan on toteutettava suurin osa toimenpiteistä, tässä osiossa keskitytään asioihin tästä näkökulmasta. Käyttäjien tulee silti ottaa huomioon alueet, joilla he voivat auttaa järjestelmän vahvistamisessa, esimerkiksi käyttämällä vahvoja salasanoja ja hyödyntämällä kaikkia valinnaisia ​​suojausominaisuuksia.

1. Vahvat salasanat

Jos olet verkon ylläpitäjä, voit auttaa estämään onnistuneita raa'an voiman hyökkäyksiä vaatimalla käyttäjiä antamaan vahvat salasanat. Voit esimerkiksi vaatia tietyn pituuden ja että salasanassa on erityisiä ominaisuuksia, kuten isojen ja pienten kirjainten sekoitus sekä numerot ja erikoismerkit.

Käyttäjän kannalta vahva salasana on välttämätön. Käyttämällä yleistä salasanaa tai sanakirjan yksinkertaista sanaa, on raa'an voiman hyökkäysvälineen huomattavasti helpompaa laskeutua oikealle. Kiinteän salasanan laatiminen voi olla vaikeaa, mutta tässä on muutamia vinkkejä:

  • Pidemmät salasanat ovat parempia, koska peräkkäinen työkalu kestää kauemmin iteraatioiden läpi.
  • Pienten ja isojen kirjainten, numeroiden ja erikoismerkkien yhdistelmä tekee salasanasta vahvemman.
  • Älä koskaan käytä samaa salasanaa eri tilillä, jolloin olet vähemmän haavoittuvainen tietyntyyppisiin hyökkäyksiin.

Tietysti vahvojen salasanojen keksiminen ja muistaminen voi olla vaikeaa, mutta on olemassa työkaluja, jotka auttavat sinua. Näitä ovat salasanan luontityökalut, salasanan vahvuuden testaustyökalut ja salasanan hallintatyökalut, kuten LastPass, KeePass, Dashlane ja Sticky Password.

2. Rajoitettu määrä kirjautumisyrityksiä

Yksi yleinen puolustus raa'aa joukkohyökkäystä vastaan ​​on rajoittaa kirjautumisyritysten lukumäärä loogiseen lukuun, kenties välillä viidestä kymmeneen. Jos teet tämän, muista vain tarjota jonkinlainen palautusmenetelmä aitojen käyttäjien seuraamiseksi, jos heidät lukitaan.

Voit esimerkiksi tarjota palautusvaihtoehdon, jonka avulla heidän salasanansa voidaan vaihtaa tarkistamalla sähköpostia. Voit myös antaa tuen yhteyshenkilön numeron tai sähköpostin, jolla tavoitat, jos henkilö sulkeutuu.

Saatat myös harkitse aikarajan asettamista lohkoon. Koska monet raa'at voimahyökkäykset tapahtuvat lyhyessä ajassa, tilapäinen sulkeminen voi olla kaikki tarvittava. Voit asettaa sulkeutumisajan tuntiin tai kahteen vähentääksesi kielteisiä vaikutuksia yleiseen käyttäjäkokemukseen.

Muista, että tämä ei ole kaukana epävarmasta vaihtoehdosta ja sisältää monia mahdollisia ongelmia. Yksi tämän toimenpiteen ongelmista on se, että jotkut raa'at työkalut eivät vain vaihda salasanaa joka kerta, vaan kokeilevat myös eri käyttäjänimeä jokaisesta yrityksestä.

Jos yrityksiä tehdään eri tileille, yhtä tiliä ei lukita. Rajoittaminen yrityksiä jokaiselle IP-osoitteelle olisi loogista järkeä, mutta kuten edellä mainittiin, jokaisessa yrityksessä voidaan käyttää erilaisia ​​IP-osoitteita, jolloin tämä toimenpide ei olisi tehokas. Vaihtoehto olisi estää selaimen tai laitteen perusteella evästeiden avulla.

Toinen ongelma tässä taktiikassa on, että työsulkuihin voidaan käyttää sadontaa oikeat käyttäjätunnukset käyttäjänimi arvaamiseen jossa vain oikeat käyttäjätunnukset toimittavat sulkuviestin. Lisäksi sulkua voitaisiin tosiasiallisesti käyttää strategisesti käyttäjien estämiseen estääkseen heitä pääsemästä tileille.

Kun otetaan huomioon kaikki nämä mahdolliset ongelmat, rajoitettua sisäänkirjautumisstrategiaa tulisi käyttää vain asianmukaisissa olosuhteissa.

3. CAPTCHA: t

CAPTCHA-testit (täysin automatisoidut julkiset Turing-testit tietokoneiden ja ihmisten lisäksi) ovat olleet olemassa jo yli kaksikymmentä vuotta. Niitä voidaan käyttää määrittää, tekeeko kirjautumisyritys ihmisen vai ei. Jotkut CAPTCHAt vain pyytävät käyttäjää kirjoittamaan vääristyneen tekstin uudelleen, valitse ruutu tai vastaa yksinkertaiseen matemaattiseen kysymykseen.

Pixabay CAPTCHAPixabay käyttää yksinkertaista CAPTCHA-valintamerkkiä, kun rekisteröimättömät käyttäjät lataavat ilmaisia ​​kuvia.

Toiset ovat hieman edistyneempiä ja vaativat, että käyttäjät tunnistavat kuvissa olevat esineet.

Ei ole yllättävää, että CAPTCHA: n yksinkertaisuus tarkoittaa, että niitä ei ole niin vaikea ohittaa. Silti he saattavat ainakin muodostaa esteen mahdollisille hyökkääjille. CAPTCHA: ita voidaan käyttää yhdessä muiden luettelossa olevien taktiikoiden kanssa, kuten esimerkiksi CAPTCHA: n vaatiminen tietyn määrän epäonnistuneiden kirjautumisyritysten jälkeen.

4. Aikaviiveet

Muutaman sekunnin viiveen toteuttaminen sisäänkirjautumisyritysten välillä kuulostaa alkeelliselta, mutta voi tosiasiassa olla erittäin tehokasta. Jotkut raa'at voimahyökkäykset perustuvat suureen määrään yrityksiä lyhyessä ajassa toivoen löytää oikea yhdistelmä nopeasti. Lyhyt viive yritysten välillä voi vakavasti hidasta hyökkäystä siihen pisteeseen, missä se ei ole vaivan arvoista. Toisaalta viive saattaa olla tuskin havaittavissa keskivertokäyttäjälle.

Tämä taktiikka ei toimi kaikissa hyökkäyksissä, koska jotkut on suunniteltu tarkoituksellisesti hitaiksi.

5. Turvallisuuskysymykset

Vaikka monet käyttäjät valloittavat turvallisuuskysymysten käyttöä, niiden hyödyntäminen voi olla vielä enemmän tuskaa raa'alle joukkoon hyökkääjille. Jopa kohdennetuissa hyökkäyksissä, joihin sisältyy tietyn käyttäjän henkilökohtaisia ​​tietoja, voi olla vaikeaa saada aiempia tietoturvakysymyksiä.

Voit tehdä entistä paremman käyttökokemuksen pyydä tietoturvavastauksia vain tietyn määrän epäonnistuneita kirjautumisyrityksiä jälkeen tai joka kerta kun uutta laitetta käytetään sisäänkirjautumiseen. Tai jos olet havainnut tapahtuvan hyökkäyksen, tämä voi olla hyvä aika pyytää kaikkia käyttäjiä vastaamaan turvakysymykseen kirjautuessaan sisään.

6. Kaksikerroinen todennus

Palvelun luonteesta riippuen on todennäköistä, että et halua huonontaa käyttökokemusta asettamalla kaksifaktorinen todennussääntö. On kuitenkin hienoa, että voimme tarjota tämän ominaisuuden vaihtoehtona turvallisuustietoisemmille käyttäjille.

Voit valita tarjota yksinkertaisen kaksivaiheisen prosessin, esimerkiksi käyttöoikeustiedot, joita seuraa sähköposti, tai voit antaa käyttäjän päättää eri vaihtoehdoista, kuten käyttöoikeustiedot, sosiaalinen media, sähköposti, tekstiviestit ja muut..

Huomaa, että tämän tyyppisellä todentamisella on kaksi erilaista muotoa, jotka sekoitetaan usein tai yksinkertaisesti yhdistetään toisiinsa. Kaksivaiheinen vahvistus (2SV) sisältää tyypillisesti vahvistuskoodin tai linkin, joka lähetetään usein tekstiviestinä tai sähköpostitse.

Kaksikerroinen todennus (2FA) tyypillisesti käyttää erilaisia ​​todentamismuotoja toisena tekijänä. Tähän voi liittyä asioita, kuten avainkortteja tai fobsia, tai biometrisiä tunnistusmenetelmiä, kuten sormenjälkiä tai verkkokalvotutkimuksia.

7. Yksilölliset kirjautuminen-URL-osoitteet

Koska raakavoimayritysten torjumiseksi ei ole olemassa mitään konkreettisia vaihtoehtoja, on viisasta panna täytäntöön useita puolustusstrategioita. Jotkut näistä voisivat sisältää pelkästään erilaista taktiikkaa. Yksi tällainen menetelmä on tarjoamaan erilaisia ​​URL-osoitteita käyttäjille, joihin kirjautua sisään. Tässä tapauksessa jokaisella käyttäjällä olisi joko yksilöivä sisäänkirjautumis-URL-osoite tai hän käyttäisi URL-osoitetta, joka on jaettu muiden käyttäjien joukkoon.

Tämä menetelmä olisi erityisen hyödyllinen estämään käyttäjänimien keräämiseen käytettyjä hyökkäyksiä, koska kukin URL-osoite tarjoaisi rajoitetun määrän tietoa. Tämä ei ole mitenkään ensiluokkainen menetelmä, mutta se voi hidastaa hyökkäystä.

8. Huijaa järjestelmä

Toinen mahdollinen diversifioiva taktiikka on vaihtaa asiat hyökkääjän (tai pikemminkin käytetyn ohjelmiston) sekoittamiseksi. Jotkut robotit on esimerkiksi koulutettu tunnistamaan virheitä, mutta voit käyttää niitä uudelleenohjaa eri epäonnistumissivuille samanaikaisiin epäonnistuneisiin kirjautumisyrityksiin. Tämä tarkoittaisi, että hyökkääjän olisi ainakin askel askeleen edistyneemmillä ohjelmistoilla.

Muita vaihtoehtoja ovat tilille pääsyn salliminen, mutta sitten salasanan pyytäminen uudelta sivulta tai jopa käyttöoikeuden myöntäminen tilille, jolla on hyvin rajalliset mahdollisuudet.

Vaihtoehtoisesti voit käyttää käänteistä menetelmää ja upota epäonnistunut kirjautumisvirhe verkkosivun koodiin. Jopa onnistuneella sisäänkirjautumisyrityksellä, robotti voidaan huijata toimittamaan tämä epäonnistuneena yrityksenä. Tätä hämmennysmuotoa käytetään usein automatisoidun hyökkäyksen vaikeuttamiseksi ymmärtämään, onko julma voimahyökkäys epäonnistunut vai onnistuiko se.

Muut hämärtämismuodot voivat myös auttaa suojautumaan raa'alta voimayritykseltä. Tämä taktiikka saattaa riittää heittämään pois tavallisen ihmisen, joka yksinkertaisesti etsii heikkoa järjestelmää tunkeutuakseen. Mutta määrätietoinen hyökkääjä voi todennäköisesti kiertää näitä temppuja, ja se voi vaatia paljon etukäteen tehtäviä toimia.

Lopullinen suoja suojaa raa'ilta voimilta

Kuten huomaat, on olemassa monia vaihtoehtoja onnistuneen hyökkäyksen estämiseksi. Koska raa'an joukkohyökkäyksen luonne vaihtelee tapauskohtaisesti, ennaltaehkäisyyn ei ole oikeastaan ​​yleistä menetelmää. Sellaisena saattaa olla parasta harkita useiden strategioiden yhdistelmän käyttöä vankan puolustuslinjan luomiseksi.

Related:
30+ ilmaista työkalua verkkosivustosi ja kävijöidesi turvallisuuden parantamiseksi
Ilmainen opas tietokone- ja Internet-tietoturvaan

Kuvaluotto: Gino Crescoli (lisensoitu alle CC BY 2.0)

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

1 + 3 =