За разлика от много други тактики, използвани от киберпрестъпници, престъпници атаки с груба сила те не се основават на уязвимости в уебсайтовете. Тези атаки разчитат на потребителите със слаби или предполагаеми идентификационни данни, за да ги разберат.

Простотата и броят на целите правят атаките с груба сила много популярни.

Затова ще обясним в тази публикация Какво са те тези атаки с груба сила, видове, неговите опасности и как да се избегнем и защитим в лицето на тези атаки.

В тази статия говорим за:

Какво е атака с груба сила?

Една от най-простите, но най-успешните техники, използвани от хакерите за достъп до мрежата, е атаката с груба сила. Това се постига чрез използване на метод на проба и грешка при въвеждане на различни комбинации от потребителско име и парола с автоматизиран инструмент или бот, докато не бъде предоставен достъп. След като проникнат в мрежата, хакерите крадат данни, инсталират зловреден софтуер или дори изключват системата.

Атаката с груба сила е по същество начин да познаете парола или да получите достъп до нещо заключено, просто чрез повтарящи се предположения, базирани на проби и грешки. По същество това е еквивалентът на кибератака на тестване на всяка комбинация на клавиатура в затворена стая, с надеждата, че в крайна сметка ще бъде намерена правилната.

Това може да изглежда като изискана атака, но е популярно сред хакерите и е от доста време.

Всъщност някои проучвания изчисляват, че атаките с груба сила все още са отговорни за над 5% от всички инциденти с пробив на данни. Най-добрият начин да предотвратите атака с груба сила е да я хванете, докато е в ход. Имате ограничено време, преди хакерът да влезе, така че по-добре имайте план да го избегнете!

Видове атаки с груба сила

По същество грубата сила е актът на изпробване на много възможни комбинации, но има много варианти на тази атака, за да увеличите успеха си. Ето най-често срещаните:

Стандартен

Стандартната атака с груба сила може да използва различни методи, като итерация през всички възможни пароли, една по една. Това обикновено се използва за локални файлове, където няма ограничения за броя на вашите опити, тъй като другите атаки обикновено са по-успешни в мащаб.

От речника

изток речник атака той използва списък с често срещани думи и пароли, вместо да става произволно, създавайки „речник“ на възможните пароли и итерирайки през тях. Използването на добър списък с пароли може да помогне за подобряване на успеваемостта на нападателите, но тези атаки често изискват голям брой опити срещу потенциални цели.

дъга

Тези дъгови атаки Те започват от хеш стойността, за да възпроизведат стъпките на веригата до получаване на паролата. Много пъти обаче стойността не е в таблицата; така се пресъздава чрез намаляване на стойността със същата функция, с която е създаден низът.

Тази процедура се повтаря, докато обобщената стойност не бъде достигната в крайна точка. Това не означава, че паролата е намерена, а низ от символи което в крайна сметка ще разкрие обикновения текст, съставляващ паролата.

Те се наричат ​​Rainbow Tables, защото на всяко намаление се приписва различен цвят, за да се избегне объркване. В крайна сметка има толкова много намаления със съответните им цветове, че в крайна сметка изглежда като дъга.

какво

Опасности за безопасността на потребителя на интернет

Атаките с груба сила могат да бъдат приложени много по-бързо без механизми за сигурност. Основните фактори, които правят тези атаки успешни, са наличното време и възможностите на хардуера на нападателя, което определя скоростта на атаката.

Този метод на атака, който някои експерти определят като излишен, се използва все повече и повече от интернет престъпниците. Използва се за атака на FTP хостове, портове и клиенти с активна функция за освобождаване на отдалечения работен плот. В този случай лавина от атаки може да бъде стартирана по автоматизиран начин. Атакуващият трябва само да дефинира рамковите условия, като посочи параметри.

Един от най-често срещаните начини за свързване с отдалечени настолни компютри е RDP (протокол за отдалечен работен плот), патентован протокол на Microsoft, който се предлага във всички версии на Windows, започвайки с XP.

През последните седмици броят на грубите атаки срещу връзките на ПРСР нарасна. Това са автоматизирани атаки, насочени към превземане на корпоративни настолни компютри и проникване в мрежи. Ако киберпрестъпникът получи достъп по този начин, той може да направи същото като легитимен служител, включително достъп до поверителни данни и използване на корпоративна електронна поща.

Неправомерното използване на корпоративни имейл адреси може да улесни атаките на фишинг с копие. Това внезапно нарастване на атаките несъмнено е свързано с безпрецедентния брой хора, работещи от вкъщи.

Защо са трудни за откриване и блокиране?

Може да изглежда, че няма начин да защитите данните си от съвременните хакери и вашите суперкомпютри и откриване на атаки с груба сила. Но има начини да го направите и те са доста прости.

Досега предполагахме, че събитията, използвани за анализа, са ясни и подредени: всяко неуспешно събитие за влизане е ясно обозначено като „вход“, резултатът е ясно идентифициран като успешен или неуспешен и потребителското име винаги е в едно и също поле и формат.

Всъщност обработката на поток от събития, за да се подготви за анализ на откриване на груба сила, е допълнително предизвикателство, което трябва да се обмисли.

Нека вземем Windows за пример. Събитието за успешен вход в Windows и събитието за неуспешно влизане в Windows се регистрират локално на всеки компютър. Това затруднява събирането им. Това също означава, че нападателят, който може да е собственик на компютъра, може да предотврати получаването му.

Контролерът на домейн регистрира събитие за удостоверяване, което може да се използва като прокси за събитие за влизане.

След като разберем кои събития да проследим, все пак трябва да знаем как правилно да идентифицираме успеха и неуспеха. Успехът и неуспехът на локалното влизане са отделни събития, докато за събитията за удостоверяване на контролера на домейн успехът и неуспехът са отбелязани в рамките на събитието. Необходими са поредица от знания, за да се извлече тази информация от събитията.

Как да избегнем тези кибер атаки?

Има много методи за спиране или предотвратяване на атаки с груба сила .

Най-очевидното е силна политика за пароли. Всяко уеб приложение или публичен сървър трябва да налагат използването на надеждни пароли. Например, стандартните потребителски акаунти трябва да имат поне осем букви, число, главни и малки букви и специален знак. Освен това сървърите трябва да изискват честа смяна на паролата.

Нека да проучим други начини за предотвратяване на атака с груба сила.

1. Заключване на акаунта след неуспешни опити

Прилагането на блокиране на акаунт след няколко неуспешни опита за влизане е неефективно, тъй като прави сървъра ви лесна плячка за атаки за отказ на услуга. Ако обаче се направи с прогресивни закъснения, този метод става много по-ефективен.

Заключванията на акаунти с прогресивни закъснения заключват акаунт само за определен период от време след определен брой неуспешни опити за влизане. Това означава, че автоматизираните инструменти за груба сила няма да са толкова полезни. Освен това администраторите няма да се налага да се справят с няколкостотин акаунта, отключващи се на всеки 10 минути или така.

2. Направете root потребителя недостъпен чрез SSH

Опитите за груба сила на SSH често се извършват върху основния потребител на сървър. Уверете се, че сте направили потребителя на root недостъпен чрез SSH, като редактирате sshd_config. Задайте опциите „DenyUsers root“ и „PermitRootLogin no“ .

3. Променете порта по подразбиране

Повечето автоматизирани SSH атаки се опитват на порт по подразбиране 22. Така че стартирането на sshd на различен порт може да бъде полезен начин за справяне с атаки с груба сила.

За да преминете към нестандартен порт, редактирайте реда на порта във вашия файл sshd_config .

4. Използвайте CAPTCHA

Всички свикваме да виждаме CAPTCHA в интернет. Никой не обича да се опитва да осмисли нещо, което изглежда е надраскано от двегодишно дете, но инструменти като CAPTCHA правят автоматизираните ботове неефективни.

Това едно изискване за въвеждане на дума или броя на котките в генерирано изображение е високо ефективно срещу ботовете, въпреки че хакерите са започнали да използват оптични инструменти за разпознаване на символи, за да заобиколят този механизъм за сигурност.

Моля, обърнете внимание, че използването на инструменти като CAPTCHA влияе отрицателно на потребителския опит.

5. Ограничете влизанията до определен IP адрес или диапазон

Ако разрешите достъп само от определен IP адрес или обхват, нападателите с груба сила ще трябва да работят усилено, за да преодолеят това препятствие и да получат достъп със сила.

Това е като да поставите защитен периметър около най-ценните си данни и не на всеки, който не произхожда от правилния IP адрес, е разрешен достъп.

Можете да конфигурирате това, като обхванете порта за отдалечен достъп до статичен IP адрес. Ако нямате статичен IP адрес, вместо това можете да настроите VPN. Един недостатък е, че това може да не е подходящо за всеки случай на употреба.

6. Използвайте 2-факторно удостоверяване (2FA)

Двуфакторното удостоверяване се счита от мнозина за първата линия на защита срещу атаки с груба сила. Прилагането на такова решение значително намалява риска от потенциално нарушаване на данните.

Страхотното при 2FA е, че само паролата не е достатъчна. Дори ако нападателят е разбил паролата, той ще трябва да има достъп до вашия смартфон или имейл клиент. Много упорити нападатели могат да се опитат да преодолеят това препятствие, но повечето ще се обърнат и ще търсят по-лесна цел.

7. Използвайте уникални URL адреси за вход

Създайте уникални URL адреси за вход за различни потребителски групи. Това няма да спре атака с груба сила, но въвеждането на тази допълнителна променлива прави нещата малко по-предизвикателни и отнема повече време на нападателя.

8. Контролирайте сървърните си дневници

Не забравяйте да анализирате старателно вашите регистрационни файлове. Администраторите знаят, че регистрационните файлове са от съществено значение за поддържане на системата.

Приложенията за управление на дневници като Logwatch могат да ви помогнат да извършвате ежедневни прегледи и да генерират автоматично ежедневни отчети.

Квалифициран и упорит нападател винаги ще намери начин да нахлуе в крайна сметка.

Прилагането на комбинация от методите, описани по-горе, свежда до минимум шансовете да станете жертва на атака с груба сила. Нападателите с груба сила обичат лесна плячка и са по-склонни да се отдалечат и да потърсят друга цел.

Съвети за защита от атаки с груба сила

Ето няколко съвета за предпазване от атаки с груба сила и по този начин минимизиране на шансовете за нарушаване на сигурността на вашата система или акаунти.

Ограничения за влизане

Атаките с груба сила могат да бъдат ефективно избегнати чрез ограничаване и забавяне на нападателя в действията му. Тези атаки винаги следват един и същ модел. Трябва обаче да се отбележи, че много атаки с груба сила могат да бъдат ограничени чрез много прости предпазни мерки.

Това се отнася например до режим на защита, който блокира акаунта на потребителя, ако има много кодове за достъп, въведени неправилно.

Това позволява на киберпрестъпниците да намират пароли в умерено защитени системи за няколко минути или дори секунди. Създаването на заключване причинява значително забавяне на атаките с груба сила. Блокирането на опитите за атака като цяло не е възможно

Това обаче не винаги е полезна мярка. Безразсъдното блокиране на потребителски акаунти може да доведе до допълнителни разходи при управлението на корпоративна мрежа. Тук е важно да се намери средна позиция и да се определи дали този подход изглежда подходящ по отношение на защитата на собствената инфраструктура на компанията.

Използване на силни пароли

Напротив, опцията за предварително създаване на силни кодове за достъп, характеризираща се с известна сложност за потребителските акаунти, изглежда проста.

Като общо правило кодът за достъп не трябва да е комбинация от думи, които се появяват в речника. Това предотвратява така наречените речникови атаки, които се основават на последователната обработка на списък с думи при груба атака.

Използване на жетони или OTP

Друг начин за намаляване на атаките с груба сила е да се откажете от пароли под формата на пароли. Можете алтернативно да използвате жетони или OTP.

Използването на така наречените еднократни пароли напълно предотвратява повторните атаки, при които нападателите подменят самоличността си. В по-широк смисъл това означава, че всяко подчинено удостоверяване изисква генерирането на допълнителен OTP.

Multipath удостоверяване

Решението на маркера е двуфакторно удостоверяване, известно още като 2FA. Тази мярка за сигурност обикновено се използва за банкови транзакции. В допълнение към конвенционалното влизане е добавено друго ниво на сигурност за извършване на трансфер.

Това е възможно с код за прехвърляне на SMS чрез смартфон или mTAN генератор. Друга възможност е тестът на Тюринг, който предоставя информация дали това е въведен от човек или компютър. Тази форма на защита е известна още като captcha.

Примери за атака с груба сила

Ето някои известни атаки на груба сила, които се случиха през последните години:

WordPress

През април 2013 г. WordPress беше обект на груби атаки от 90 000 IP адреса. Нападателите се опитаха да получат достъп до акаунтите на администратора, като въведоха различни слаби пароли. Потребителите бяха помолени да се въздържат от използване на слаби пароли и да задават силни пароли.

GitHub

През 2013 г. GitHub стана жертва на атака с груба сила. Хакерите са използвали 40 000 уникални IP адреса, за да проникнат в акаунти със слаби пароли или пароли, използвани в повече от един акаунт. След атаката GitHub предприе стъпки за забрана на слаби пароли за всички акаунти, като наложи по-стабилни изисквания за пароли.

Али Баба

През 2015 г. платформата за електронна търговия на Alibaba TaoBao претърпя масирана груба атака. Хакерите са получили достъп до около 99 милиона идентификационни данни, изтекли за друго нарушение, и около 21 милиона акаунта са били засегнати от това нарушение, тъй като потребителите обикновено използват едни и същи идентификационни данни за различни акаунти.