Brute-Force rünnakud selgitasid, kuidas kõik krüpteerimised on haavatavad
Brute-force rünnakud on üsna lihtsad, kuid neid on raske kaitsta. Krüpteerimine on matemaatika ja arvutid muutuvad kiiremaks matemaatikas, kiiremini proovides kõiki lahendusi ja vaadates, milline neist sobib.
Neid rünnakuid saab kasutada igasuguse krüpteerimise vastu, erineva eduga. Brute-force rünnakud muutuvad kiiremaks ja efektiivsemaks iga päevaga, kui uuem, kiirem arvuti riistvara vabastatakse.
Brute-Force põhitõed
Brute-force rünnakud on lihtsalt mõistetavad. Ründajal on krüpteeritud fail - näiteks oma LastPassi või KeePassi parooli andmebaas. Nad teavad, et see fail sisaldab andmeid, mida nad tahavad näha, ja nad teavad, et seal on krüpteerimisvõti, mis selle avab. Selle dekrüpteerimiseks võivad nad proovida iga võimalikku parooli ja näha, kas selle tulemuseks on dekrüpteeritud fail.
Nad teevad seda arvutiprogrammiga automaatselt, nii et kiirus, millega keegi suudab jõulise jõuga krüpteerida, suureneb, kui saadaval olev riistvara muutub kiiremaks ja kiiremaks ning suudab sekundis rohkem arvutusi teha. Brute-force rünnak algaks tõenäoliselt ühekohalisest paroolist enne kahekohalise parooli muutmist ja nii edasi, proovides kõiki võimalikke kombinatsioone, kuni üks töötab.
„Sõnaraamatu rünnak” on sarnane ja püüab sõnade sõnastikku - või tavaliste paroolide nimekirja - kõigi võimalike paroolide asemel. See võib olla väga tõhus, sest paljud inimesed kasutavad selliseid nõrku ja ühiseid paroole.
Miks ründajad ei saa brute-force veebiteenuseid
Online ja offline brute-force rünnakute vahel on erinevus. Näiteks, kui ründaja tahab jõuda oma Gmaili kontole, võivad nad hakata iga võimalikku parooli proovima - kuid Google lõikab need kiiresti välja. Teenused, mis võimaldavad juurdepääsu sellistele kontodele, tõrjuvad juurdepääsu katsed ja keelavad IP-aadressid, mis üritavad nii palju kordi sisse logida. Seega ei toimiks võrguteenuse vastu suunatud rünnak liiga hästi, sest enne rünnaku peatamist on võimalik teha väga vähe katseid.
Näiteks pärast mõne ebaõnnestunud sisselogimiskatset kuvab Gmail teile CATPCHA-pildi, et veenduda, et te ei ole arvuti automaatselt paroolid. Kui teil õnnestus jätkata piisavalt kaua, peatavad nad tõenäoliselt oma sisselogimiskatsed täielikult.
Teiselt poolt, oletame, et ründaja tõmbas teie arvutist krüpteeritud faili või suutis võrguteenust kahjustada ja selliseid krüpteeritud faile alla laadida. Ründajal on nüüd krüpteeritud andmed oma riistvaral ja nad saavad proovida nii palju paroole kui nad tahavad vabal ajal. Kui neil on juurdepääs krüpteeritud andmetele, ei ole võimalik takistada neil lühikese aja jooksul suurt arvu paroole proovida. Isegi kui kasutate tugevat krüpteerimist, on teie huvides hoida oma andmed turvaliselt ja tagada, et teised ei saa seda kasutada.
Hashing
Tugevad hõõrdumisalgoritmid võivad aeglustada jõuvastaseid rünnakuid. Põhimõtteliselt täidavad hajameelsed algoritmid parooliga täiendavat matemaatilist tööd, enne kui salvestatakse paroolist tuletatud väärtus kettal. Kui kasutatakse aeglasemat segamisalgoritmi, nõuab see iga kord parooli proovimiseks tuhandeid kordi nii palju matemaatilist tööd kui ka jõhkjõudude rünnakuid järsult aeglustama. Kuid mida rohkem tööd on vaja, seda rohkem peab server või muu arvuti tegema iga kord, kui kasutaja oma parooliga sisse logib. Tarkvara peab tasakaalustama vastupanuvõime ressursitarbimisega reljeefsete rünnakute vastu.
Brute-Force Speed
Kiirus sõltub riistvarast. Luureagentuurid võivad ehitada spetsiaalset riistvara ainult brutse jõu rünnakute jaoks, nagu Bitcoini kaevurid ehitavad oma spetsiaalse riistvara, mis on optimeeritud Bitcoini kaevandamiseks. Tarbija riistvara puhul on kõige tõhusam riistvara brute-force rünnakute jaoks graafikakaart (GPU). Kuna paljude erinevate krüpteerimisvõtmete korraga on lihtne proovida, on paljud paralleelselt töötavad graafikakaardid ideaalsed.
2012. aasta lõpus teatas Ars Technica, et 25-GPU klastrisse võib murda iga Windowsi parool alla 8 tähemärgi vähem kui kuue tunni jooksul. NTLM algoritm, mida Microsoft kasutas, ei olnud piisavalt vastupidav. Kuid kui NTLM loodi, oleks nende paroolide proovimine kulunud palju kauem. Seda ei peetud piisavalt ohuks Microsoftile, et muuta krüptimine tugevamaks.
Kiirus kasvab ja mõne aastakümne jooksul võime avastada, et isegi kõige tugevamad krüptograafilised algoritmid ja krüpteerimisvõtmed, mida me täna kasutame, on kvantarvutid või mis tahes muu tulevikus kasutatav riistvara kiiresti krakitud..
Teie andmete kaitsmine brute-force rünnakute eest
Ei ole võimalik ennast täielikult kaitsta. On võimatu öelda, kui kiiresti arvuti riistvara saab ja kas mõnel tänapäeval kasutataval krüpteerimisalgoritmil on nõrkusi, mis avastatakse ja kasutatakse tulevikus. Siin on aga põhitõed:
- Hoidke oma krüpteeritud andmed turvaliselt, kui ründajad ei pääse sellele juurde. Kui nad on teie andmed oma riistvarale kopeerinud, võivad nad proovida oma vaba aja veetmise ajal brutaalseid rünnakuid.
- Kui käivitate interneti kaudu sisselogimist aktsepteerivat teenust, veenduge, et sisselogimise piirangud üritavad ja blokeerivad inimesi, kes üritavad lühikese aja jooksul paljude erinevate paroolidega sisse logida. Serveritarkvara on üldiselt seatud selleks välja, sest see on hea turvapraktika.
- Kasutage tugevaid krüpteerimisalgoritme, näiteks SHA-512. Veenduge, et te ei kasuta vanu krüpteerimisalgoritme, millel on teadaolevad nõrgad kohad, mida on lihtne murda.
- Kasutage pikki, turvalisi paroole. Kogu maailma krüpteerimistehnoloogia ei aita, kui kasutate “parooli” või üha populaarsemat “jahimeest 2”.
Brute-force rünnakud on teie andmete kaitsmise, krüpteerimisalgoritmide valimise ja paroolide valimise pärast mures. Nad on ka põhjus, miks nad peavad tugevamaid krüptograafilisi algoritme edasi arendama - krüpteerimine peab sammu pidama sellele, kui kiiresti see uue riistvara kasutamisel muutub ebaefektiivseks.
Krediidi krediit: Johan Larsson Flickril, Jeremy Gosney