Въпреки че Apple никога не го потвърждава официално, предполага се, че през 2014 г. технологичният гигант е бил жертва на малка, но катастрофална, нарушение на сигурността на вашата услуга за съхранение iCloud. Има основания да се предполага, че липсата на защита срещу атаки с груба сила е позволила кражбата на лични снимки на различни известни личности, факт, който е бил достатъчен за Apple, малко след атаките, да приложи мерки за защита. Оттогава механизмът за сигурност се състои в това, че потребителите имат максимум десет опита въведете паролата си; в противен случай акаунтът се блокира и притежателят на акаунта се уведомява. Преди да изтекат снимките, нямаше ограничение за въвеждане на неправилни пароли, така че проектирането на груба сила беше само въпрос на време.

сила

Какво точно е грубата сила?

Терминът груба сила се превежда като груба сила и се отнася до метод за решаване на проблеми в областта на компютърните науки, криптографията и теорията на игрите. Методът за груба сила получава това име, защото се основава на изпробвайте всички или много от възможните решения, известен също като изчерпателно търсене и се използва, особено когато няма налични други алгоритми. Тази техника се използва от хакерите за разбиване на пароли и по този начин получаване на достъп до външни данни. За това се използва софтуер с прост алгоритъм, който извършва последователност от различни комбинации от символи, съставени от цифри, интервали и букви до определена максимална дължина.

Колкото по-къси са паролите, толкова по-бързо ще бъдат открити с груба сила. Ето защо като цяло винаги се препоръчва да се използват пароли, които включват различни символи, и защо повечето системи за криптиране на пароли използват много дълги ключове. Тъй като техническите изисквания за атаки с груба сила са все по-лесни за постигане, е възможно брой опити за единица време, това, което прави системата за защита срещу т. нар. груба сила необходима.

Защо не трябва да приемате с лека ръка атаките на Brute Force?

Предвид примитивния характер на метода, би могло да се очаква, че ще бъдат приложени подходящи мерки за сигурност, за съжаление това не винаги е така. Потенциално, всяка система, свързана с интернет, може да бъде компрометирана от тези атаки. След като хакер остане незабелязан и се закачи в системата (нещо, което може да се случи по-бързо, отколкото си мислите), разбиването на паролите ви няма да бъде трудно. Повечето операционни системи изпълняват файлове и бази данни, където се съхраняват потребителски идентификатори и пароли. Например на системи с Windows, паролите те се намират във файла .sam и на unixoid системи във файла .psswd или .shadow.

Въпреки че паролите в тези файлове не са в текстов формат, тъй като преди това са били кодирани с помощта на криптографски алгоритми, нападателят може да осъществи достъп до файловете, ако не са защитени от неоторизиран достъп. Той може да създаде копие на файла и да изпълнява различни атаки с груба сила върху него, без да се налага да поддържа връзката със системата. В момента по принцип има само три променливи, които улесняват нападателя да изпълни мисията си:

  • The продължителност на всяка стъпка за проверка
  • The дължина парола
  • The сложност парола

Продължителността на всяка стъпка за проверка, т.е. времето, използвано за опит за всяка възможна парола, зависи от изчислителна мощност с които нападателят разполага. Колкото по-висока е мощността, толкова по-бърза е последователността на опитите. Дължината и сложността определят броя на възможните комбинации от символи, които могат да съставят парола и, следователно, броя на опциите, които трябва да се използват по време на атаката с груба сила. Ето пример за това как дължината и сложността на паролата влияят на продължителността:

Брой знаци Тип характер Максимална дължина на паролата Възможни комбинации Изчислителна мощност Изчерпателна продължителност на търсенето
26 знака 72 знака
Малка буква Големи и малки букви, специални символи, цифри
8 знака 8 знака
Прибл. 209 милиона Прибл. 722 милиарда
Прибл. 100 милиона хеш функции в секунда Прибл. 100 милиона хеш функции в секунда
Прибл. 35 минути Прибл. 83 дни

Таблицата показва, че с проста парола и използване на 26 знака, модерен компютър Бих проверил всички възможни комбинации само за 35 минути. Ако последователността се простира на 72 знака, със същата изчислителна мощност, методът на груба сила ще отнеме около 83 дни. Не е препоръчително обаче да се доверявате, тъй като методите за крекинг като речник атака (комбинации от думи) или използването на дъга дъски (непрекъснати последователности от пароли) могат да ускорят продължителността на атаката с груба сила.

Как да се предпазите от тези атаки?

Независимо дали атаката с груба сила е насочена към централния файл с парола на системата или, както в случая с iCloud, нападателят има Apple ID на жертвата, прецедентите доказват важността да се предпазят от този широко разпространен метод за разбиване на пароли. Като цяло повечето потребители знаят основните принципи за създаване на силни пароли: трябва да се използват комбинации, съставени от различни видове знаци; в най-добрите случаи, използвайте главни и малки букви, както и цифри и специални символи. И разбира се, колкото по-дълга е паролата, толкова по-трудно е да се хакне.

Пейзажът за създаване пароли за онлайн услуги Това е малко по-сложно, тъй като зависи от условията, определени от доставчика. Типичните изисквания са максимална дължина от осем до десет знака и често a ограничен брой цифри и букви, нещо, което без допълнителните мерки за сигурност не е много задоволително. В тези случаи трябва да сте наясно с предпазните мерки и мерките на операторите на уеб проекти по отношение на атаки с груба сила. Ако сте администратор на уебсайт с механизъм за вход, цялата тази отговорност ще лежи на вашите плещи. За това имате два възможни подхода:

  • Осигуряване на защита на механизма за парола
  • За установяване на a метод за многофакторно удостоверяване

Защитата на механизма за парола трябва да бъде стандартен компонент в маските за достъп, но както показва гореспоменатият скандал iCloud, това не винаги е така. Този процес на защита се отнася до прилагане на стратегии, които затрудняват работата на софтуера за груба сила. По този начин, в случай че потребителят или нападателят въведе грешна парола, опцията за въвеждане на друга парола ще се появи само след кратък период от време. Възможно е също да се увеличи времето за изчакване, тъй като броят на неуспешните опити се увеличава. За да отидете една крачка по-напред, както направи Apple след атаката, възможно е напълно да заключите акаунта на потребителя след определен брой опити за регистрация.

Многофакторни методи за удостоверяване често се предлагат като опция от много доставчици. С тях вие малко затруднявате процеса на регистрация, защото освен паролата е необходимо потребителят да въведе и допълнителен компонент. Този компонент може да бъде отговорът на таен въпрос, ПИН или така наречената капча. Последните са малки тестове, които ще позволят на уведомяващия орган да определи дали е човешки потребител или, както е типично при атаките с груба сила, робот.

Обединете сили, за да се преборите с грубата сила

В допълнение към гореспоменатите мерки има и някои допълнителни трикове за предотвратяване на атаки с груба сила. По принцип целият софтуер за груба сила работи с различни модели за идентификация, което се превръща например в пречка съобщенията за грешка стандартите не се изпращат обратно към браузъра, а се пренасочват към външна система (например към друга уеб страница). Друг фактор, който може да представлява проблеми за някои хакерски инструменти, е използвайте различни имена за полета и текстове които се появяват след неуспешен опит за влизане. Във всеки случай, ако искате да увеличите сигурността на вашия уебсайт и паролите си, винаги се препоръчва да се прилагат едновременно няколко мерки за защита срещу атаки с груба сила.

За някои платформи и приложения има специфични плъгини или разширения за предотвратяване на груби атаки. Добавката Jetpack, която по принцип улеснява администрирането на уеб страници в WordPress, е интегрирала, например, модул за предотвратяване Опасни атаки, които се основават на списък с блокирани IP адреси. Събраните в този списък IP адреси са свързани по някакъв начин с всички атаки на груба сила, извършени в уеб сайтове на WordPress.