If-Koubou

Brute-Force Attacks paskaidrots: kā visa šifrēšana ir neaizsargāta

Brute-Force Attacks paskaidrots: kā visa šifrēšana ir neaizsargāta (Kā)

Brutālu spēku uzbrukumi ir diezgan vienkārši saprotami, taču grūti aizsargāt pret tiem. Šifrēšana ir matemātika, un, tā kā datori matemātikā kļūst ātrāki, tie kļūst ātrāk, mēģinot visus risinājumus un redzēt, kurš no tiem ir piemērots.

Šos uzbrukumus var izmantot pret jebkāda veida šifrēšanu, ar dažādu veiksmes pakāpi. Brutālu spēku uzbrukumi kļūst arvien ātrāki un efektīvāki ar katru dienu, jo tiek atbrīvota jauna un ātrāka datora aparatūra.

Brutālu spēku pamati

Brutālu spēku uzbrukumi ir viegli saprotami. Uzbrucējam ir šifrēts fails - teiksim, jūsu LastPass vai KeePass paroles datu bāze. Viņi zina, ka šajā failā ir dati, kurus viņi vēlas redzēt, un viņi zina, ka ir šifrēšanas atslēga, kas to atslēdz. Lai to atšifrētu, viņi var sākt izmēģināt katru iespējamo paroli un noskaidrot, vai tā rezultātā tiek atšifrēts fails.

Viņi to dara automātiski ar datorprogrammu, tādēļ ātrums, kādā kāds var palielināt brīva spēka šifrēšanu, kļūst arvien ātrāks un ātrāks, jo spēj veikt vairāk aprēķinu sekundē. Pirms pārejas uz divciparu parolēm un tā tālāk, iespējams, tiks uzsākta brutālu spēku uzbrukums vienciparu paros, mēģinot veikt visas iespējamās kombinācijas, kamēr tā nedarbojas.

"Vārdnīcu uzbrukums" ir līdzīgs un mēģina vārdus vārdnīcā vai parasto paroļu sarakstā, nevis visas iespējamās paroles. Tas var būt ļoti efektīvs, jo daudzi cilvēki izmanto šādas vājas un parastās paroles.

Kāpēc uzbrucēji nevar brute-force Web pakalpojumus

Pastāv atšķirība starp tiešsaistes un bezsaistes brutālu spēku uzbrukumiem. Piemēram, ja uzbrucējs vēlas ielaist savu ceļu uz jūsu Gmail kontu, viņi var sākt izmēģināt katru iespējamo paroli, taču Google to ātri noņems. Pakalpojumi, kas nodrošina piekļuvi šādiem kontiem, droseles piekļuves mēģinājumus un aizliegt IP adreses, kas mēģina pieteikties tik daudz reižu. Tādējādi uzbrukums tiešsaistes pakalpojumam nedarbosies pārāk labi, jo ir iespējami tikai daži mēģinājumi, pirms uzbrukums tiek apturēts.

Piemēram, pēc dažiem nepareiziem pieteikšanās mēģinājumiem Gmail parādīs jums CATPCHA attēlu, lai pārliecinātos, ka neesat dators, kas automātiski mēģina veikt paroles. Viņi, visticamāk, apstāsies jūsu pieteikšanās mēģinājumus, ja jums izdosies turpināties pietiekami ilgi.

No otras puses, pieņemsim, ka uzbrucējs no datora ielika šifrētu failu vai spēja kompromitēt tiešsaistes pakalpojumu un lejupielādēt šifrētos failus. Uzbrucējam tagad ir šifrēti dati savā datortehnikā un viņi var izmēģināt tik daudz paroļu, cik viņi vēlas savās izklaidēs. Ja viņiem ir piekļuve šifrētiem datiem, nav iespējams viņiem liegt īsā laika periodā izmēģināt lielu skaitu paroļu. Pat ja jūs izmantojat spēcīgu šifrēšanu, jūsu labā saglabā jūsu datus drošībā un nodrošina, ka citiem nevar piekļūt.

Hashing

Spēcīgi maiņas algoritmi var palēnināt brutālu spēku uzbrukumus. Būtībā, maiņas algoritmi veic papildu matemātisko darbu ar paroli, pirms glabā vērtību, kas iegūta no diska paroles. Ja tiek izmantots lēnāks hashing algoritms, katras paroles izmēģināšana prasīs tūkstošiem reižu lielāku matemātisko darbu, kā arī dramatiski palēninās brutālu spēku uzbrukumi. Tomēr, jo vairāk darba nepieciešams, jo vairāk darba serverim vai citam datoram ir jādara katru reizi, kad lietotājs piesakās ar savu paroli. Programmatūrai jābalstās uz elastīgumu pret brutālu spēku uzbrukumiem, izmantojot resursu izmantošanu.

Brutālu spēku ātrums

Ātrums ir atkarīgs no aparatūras. Izlūkošanas aģentūras var veidot specializētu aparatūru tikai brutālu spēku uzbrukumiem, tāpat kā Bitcoin minerāli izveido savu specializēto aparatūru, kas optimizēta Bitcoin ieguves darbiem. Runājot par patērētāju aparatūru, visefektīvākais aparatūras veids brutālu spēku uzbrukumiem ir grafikas karte (GPU). Tā kā ir viegli izmēģināt dažādas šifrēšanas atslēgas vienlaicīgi, daudzas paralēli darbināmas grafikas kartes ir ideāli piemērotas.

2012. gada beigās Ars Technica ziņoja, ka 25-GPU klasteris varētu sabojāt katru Windows paroli ar 8 rakstzīmēm mazāk nekā sešas stundas. NTLM algoritms, ko izmantoja Microsoft, vienkārši nebija pietiekami elastīgs. Tomēr, kad NTLM tika izveidots, būtu vajadzīgs daudz ilgāks laiks, lai izmēģinātu visas šīs paroles. To neuzskatīja par pietiekami daudz, lai Microsoft pastiprinātu šifrēšanu.

Ātrums palielinās, un pēc dažām desmitgadēm mēs varam secināt, ka pat spēcīgākos šifrēšanas algoritmus un šifrēšanas atslēgas, ko mēs šodien izmantojam, var ātri tikt sašķelti ar kvantu datoriem vai jebkādu citu aparatūru, ko mēs izmantojam nākotnē.

Jūsu datu aizsardzība pret brutālu spēku uzbrukumiem

Nav iespējams pilnībā aizsargāt sevi. Nevar pateikt, cik ātri datortehnika kļūst, un vai kādam šifrēšanas algoritam, ko mēs izmantojam šodien, ir vājās vietas, kuras tiks atklātas un izmantotas nākotnē. Tomēr šeit ir pamati:

  • Saglabājiet šifrētos datus droši, ja uzbrucēji to nevar piekļūt. Tiklīdz jūsu dati ir nokopēti uz datortehnikas, viņi var mēģināt uzbrukt brutālam uzbrukumam viņu brīvā laika pavadīšanas laikā.
  • Ja palaižat jebkuru pakalpojumu, kas pieņem logins pa internetu, pārliecinieties, ka tas ierobežo pieteikšanās mēģinājumus un ierobežo cilvēkus, kas mēģina pierakstīties ar daudzām dažādām parolēm īsā laika periodā. Serveru programmatūra parasti ir iestatīta, lai to izdarītu ārpus kastes, jo tā ir laba drošības prakse.
  • Izmantojiet spēcīgus šifrēšanas algoritmus, piemēram, SHA-512. Pārliecinieties, ka jūs neizmantojat vecus šifrēšanas algoritmus ar zināmiem trūkumiem, kurus ir viegli izlauzt.
  • Izmantojiet garas, drošas paroles. Visa šifrēšanas tehnoloģija pasaulē nesniedz palīdzību, ja izmantojat "paroli" vai arvien populāru "hunter2".

Brutālu spēku uzbrukumi ir jāuztraucas, aizsargājot savus datus, izvēloties šifrēšanas algoritmus un izvēloties paroles.Viņi arī ir iemesls turpināt attīstīt spēcīgākus kriptogrāfiskos algoritmus - šifrēšanai ir jāatbilst tam, cik ātri tas tiek padarīts neefektīvs ar jaunu aparatūru.

Attēlu kredīts: Johans Larssons Flickr, Jeremijs Gosņijs