Piątek , 20 Maj 2022

Ataki brute force, czym są, jak się przed nim chronić?

   16.03.2022
Cyberprzestępcy, by włamać się na nasze konta internetowe bądź komputery potrzebują przede wszystkim dostępu do ochraniających te miejsca haseł. Mogą je zdobyć na kilka sposobów: albo wyłudzając je używając podstępu, szantażu itp., albo stosując ataki typu brute force, które są jednymi z najbardziej prymitywnych, ale jednocześnie najczęściej wykorzystywanych. W tym tekście wyjaśnimy, co to jest i jakie są sposoby ochrony przed tym.
Ataki typu brute force - jeden z najstarszych i jednocześnie ciągle skutecznych sposobów łamania haseł. Fot. Unsplash

Liczba cyberprzestępstw, na które narażeni są internauci, rośnie coraz szybciej. Hakerzy próbują wyłudzić dane (hasła, informacje osobowe, dane osobiste, pliki z ważnymi dokumentami), których pozyskanie może w konsekwencji pozwolić na okradzenie niczego nieświadomych użytkowników sieci.

Brute force – co to jest?

Jedną z najstarszych, lecz ciągle bardzo popularnych metod łamania haseł dostępu jest tzw. brute force (z angielskiego „brutalna siła”). Nazwa dobrze oddaje to, na czym ów przestępczy proceder polega. Hakerzy z wykorzystaniem zaawansowanego sprzętu komputerowego (procesorów), bazy słowników, wyrazów lub fraz łamią hasła i klucze kryptograficzne. Odbywa się w to w ten sposób, iż haker, próbując włamać się na konto swojej ofiary, używa systemu oraz odpowiednio przygotowanego oprogramowania, które dosłownie próbuje na ślepo „odgadnąć” hasło. Wygląda to w ten sposób, że system ten wprowadza do formularza kolejne słowa, zwroty, kombinacje, liczb, liter itp., tak długo, aż wreszcie trafi na tę właściwą. Stąd słowo „brute” w nazwie. Nie mamy tu bowiem do czynienia z żadnym zaawansowanym algorytmem, tylko wręcz siłową próbą złamania zabezpieczeń poprzez wprowadzanie kolejnych możliwych kombinacji kluczy, z których jedna może się – niejako przypadkiem – stać rozwiązaniem i pasować.

Ofiarą ataku brute force najłatwiej stać się wtedy, kiedy używamy zbyt prostych (powszechnie znanych np. qwerty) haseł, lub pojedynczych słów wprost ze słownika. Dla przykładu, w języku polskim w powszechnym użyciu znajduje się od 6 do 10 tys. wyrazów. Zautomatyzowany system brute force jest w stanie złamać dostęp do konta zabezpieczonego takim właśnie „hasłem-wyrazem” ciągu zaledwie kilku godzin i to bez większego wysiłku, im krótsze hasło tym zresztą szybciej.

Gdy zaczynamy stosować hasła bardziej skomplikowane, złożone z liter i cyfr, czy jak ostatnio zaleca się z połączonych wyrazów lub fraz ale o „zaburzonej” logice, liczba możliwych kombinacji wzrasta do miliardów, co powoduje poważne utrudnienie działania hakerom i wykładnicze wręcz wydłużenie procesu łamania takiego hasła.

Rodzaje ataków brute force

Nie ma jednej metody ataku brute force. W obiegu znajduje się ich kilka i zależą one od możliwości technicznych hakerów. Niektóre z nich wymagają posiadania ekstremalnie wręcz zaawansowanego sprzętu komputerowego, inne jedynie pomysłowości i cierpliwości.

Podstawowy brute force

Najprostszy typ ataku brute force odbywa się często w ogóle bez użycia zaawansowanego sprzętu komputerowego i programów do „crackingu”, czyli wspomagających łamanie haseł. Haker sam wykonuje tu całą żmudną pracę, kolejno i ręcznie wpisując podejrzewane hasła lub ciągi znaków do formularza. Co ciekawe, taka metoda okazuje się być cały czas bardzo skuteczna. Hakerzy bardzo często w takim przypadku próbę wpisania hasła poprzedzają sporym researchem, w czasie którego, na przykład w mediach społecznościowych, sprawdzają zainteresowania i powiązania swojej potencjalnej ofiary. Przejrzenie zainteresowań czy listy kontaktów pozwala często już na wstępnym etapie zawęzić pole tematyczne haseł do jakiejś określonej dziedziny, a to ułatwia znalezienie pasującego klucza.

Pokazuje to przy okazji, jak ważne jest, by nie wykorzystywać haseł, które mają tematycznie coś wspólnego z tym, czym się zajmujemy lub interesujemy. Częstym błędem, zwłaszcza w firmach i korporacjach jest kodowanie folderów z materiałami dotyczącymi jakiegoś większego projektu hasłami nawiązującymi do treści samego przedsięwzięcia. Każdy doświadczony haker właśnie takie hasła będzie sprawdzał na samym początku.

W przypadku prostych ataków brute force hakerzy w pierwszej kolejności sprawdzają też hasła, które znajdują się w powszechnym obiegu, mimo iż od lat zaleca się by ich nie używać. Jest tu wcześniej wspomniany wyraz „qwerty”, ale też klasyka złych haseł, czyli „hasło”, „hasło123” itp.

Słownikowy brute force

Ten typ ataku przypomina częściowo klasyczny brute force, jednak działa na trochę innej zasadzie. Tu zamiast prób z kombinacjami znaków lub wyrazami pasującymi do wykonanego profilowania na temat danej osoby, haker (np. z pomocą odpowiednio przygotowanego systemu komputerowego) wprowadza do formularza kolejno słowa wyrazy lub związki frazeologiczne z mowy codziennej.

Do przeprowadzenia takiego ataku potrzebna jest możliwie najszersza baza słów i wyrażeń z danego języka. Metoda ta często okazuje się bardzo skuteczna, zwłaszcza w przypadku osób, które jako haseł używają słów powszechnie znanych, przysłów lub powiedzeń, bez żadnych przekształceń ani dodatku liczb lub znaków specjalnych.

Brute force - niebezpieczne ataki

Ataki hybrydowe

Ataki hybrydowe są kombinacją słownikowego oraz prostego ataku brute force. Sprawdza się tu zarówno kombinacje znaków, jak i całe wyrazy ze słowników, także w połączeniu. Ten typ ataku wymaga bardzo dużej mocy obliczeniowej komputerów, które go wykonują. Z tego też powodu ogranicza się zwykle do łamania kont i haseł użytkowników, których loginy już wcześniej zdobyto na przykład przy wycieku danych.

Credential stuffing

To metoda, której bać się powinni szczególnie ci, którzy mają te same hasła w kilku serwisach internetowych. Polega to na tym, że hakerzy, którym uda się złamać hasło do jednego konta danego użytkownika, wyszukują następnie w sieci wszystkie inne jego aktywności i próbują przejąć nad nimi kontrolę z użyciem tego samego hasła lub jego niewielkich modyfikacji.

Odwrócony brute force

W przypadku tej metody hakerzy działają inaczej niż w pozostałych przypadkach. Nie następuje tu próba „siłowego” odgadnięcia hasła, ale dopasowania hasła już posiadanego (z listy tych najpopularniejszych, ciągle stosowanych, np. przywołanego już „hasło1234”), do zdobytego loginu lub bazy loginów. W mediach często słyszymy o tym, że z jakiejś bazy (chociażby serwisu społecznościowego lub witryny internetowej) wyciekły dane użytkowników. Dane takie często później trafiają na czarny rynek i są one tam przechwytywane przez hakerów. Dysponując listą takich loginów, są oni w stanie przygotować oprogramowanie, które z użyciem jednego lub większej ilości gotowych haseł, będzie w stanie odszukać te konta, do których owe hasła pasują i przejąć nad nimi kontrolę.

Jak obronić się przed atakami brute force?

Obrona przed atakami brute force nie jest łatwa. Jeśli haker wejdzie w posiadanie sprzętu o bardzo dużej wydajności obliczeniowej (co na szczęście jest jeszcze rzadkie) będzie w stanie z czasem złamać każde hasło. Czas zresztą odgrywa tu kluczową rolę: ustanawiając odpowiednio silne hasło sprawiamy, że cyberprzestępcy na jego złamanie będą musieli poświęcić jego znaczną ilość, co sprawi że cała czynność stanie się dla nich nieopłacalna. O czym jeszcze należy pamiętać by być jak najbardziej odpornym na cyberataki brute force?

  • należy używać mocnych haseł tworzonych zgodnie z obowiązującymi regułami,
  • na różnych kontach i serwisach internetowych warto mieć odmienne loginy,
  • jeśli nie mamy pomysłu na mocne hasła, korzystajmy z odpowiedniego oprogramowania, np. z menedżerów haseł,
  • wybierajmy te serwisy internetowe, które mają przy logowaniu ogranicznik liczby dopuszczalnych prób podawania hasła,
  • warto korzystać z oprogramowania wspomagającego, typu programy antywirusowe i monitorujące bezpieczeństwo, czy też generatory kopii zapasowych.

Tomasz Sławiński

 

To też Cię zainteresuje

KOMENTARZE (0) SKOMENTUJ ZOBACZ WSZYSTKIE

Najczęściej czytane