If-Koubou

Ataki Brute-Force Poradnik: Jak wszystkie Szyfrowanie jest podatne na ataki

Ataki Brute-Force Poradnik: Jak wszystkie Szyfrowanie jest podatne na ataki (Jak)

Ataki Brute-Force są dość proste do zrozumienia, ale trudno je chronić. Szyfrowanie to matematyka, a ponieważ komputery stają się szybsze z matematyki, stają się szybsze przy testowaniu wszystkich rozwiązań i sprawdzaniu, który z nich pasuje.

Ataki te mogą być stosowane przeciwko wszelkim rodzajom szyfrowania, z różnym powodzeniem. Ataki Brute-Force stają się szybsze i bardziej efektywne z każdym dniem, w miarę jak wypuszczany jest nowszy, szybszy sprzęt komputerowy.

Podstawy Brute-Force

Ataki Brute-Force są łatwe do zrozumienia. Osoba atakująca ma zaszyfrowany plik - na przykład Twoja baza danych haseł LastPass lub KeePass. Wiedzą, że ten plik zawiera dane, które chcą zobaczyć, i wiedzą, że istnieje klucz szyfrowania, który je odblokowuje. Aby go odszyfrować, mogą rozpocząć wypróbowanie wszystkich możliwych haseł i sprawdzić, czy to skutkuje odszyfrowaniem pliku.

Robią to automatycznie za pomocą programu komputerowego, więc szybkość, z jaką ktoś może brutalnie wymuszać szyfrowanie, zwiększa się, gdy dostępny sprzęt komputerowy staje się coraz szybszy, umożliwiając wykonywanie więcej obliczeń na sekundę. Atak brute-force najprawdopodobniej rozpocznie się od jednocyfrowych haseł przed przejściem do dwucyfrowych haseł itd., Próbując wszystkich możliwych kombinacji, dopóki jeden z nich nie zadziała.

"Atak słownikowy" jest podobny i próbuje słów w słowniku - lub listę popularnych haseł - zamiast wszystkich możliwych haseł. Może to być bardzo skuteczne, ponieważ wiele osób używa tak słabych i popularnych haseł.

Dlaczego atakujący nie mogą Brute-Force Web Services

Istnieje różnica między atakami typu brute force w trybie online i offline. Na przykład, jeśli osoba atakująca chce włamać się na swoje konto Gmail, może zacząć próbować wszystkich możliwych haseł - ale Google szybko je odetnie. Usługi zapewniające dostęp do takich kont spowalniają próby dostępu i blokują adresy IP, które próbują się zalogować wiele razy. W związku z tym atak na usługę online nie działałby zbyt dobrze, ponieważ bardzo niewiele prób można wykonać przed zatrzymaniem ataku.

Na przykład po kilku nieudanych próbach zalogowania Gmail wyświetli obraz CATPCHA, aby sprawdzić, czy nie jest to komputer automatycznie próbujący hasła. Prawdopodobnie całkowicie zatrzymają próby zalogowania, jeśli uda Ci się wystarczająco długo kontynuować.

Z drugiej strony, powiedzmy, że atakujący chwycił zaszyfrowany plik z komputera lub udało mu się złamać usługę online i pobrać takie zaszyfrowane pliki. Atakujący ma teraz zaszyfrowane dane na swoim sprzęcie i może próbować dowolnie wielu haseł w czasie wolnym. Jeśli mają dostęp do zaszyfrowanych danych, nie ma sposobu, aby uniemożliwić im wypróbowanie dużej liczby haseł w krótkim czasie. Nawet jeśli używasz silnego szyfrowania, z korzyścią dla bezpieczeństwa Twoich danych i zapewnienia, że ​​inni nie będą mieli do nich dostępu.

Hashing

Silne algorytmy haszowania mogą spowolnić ataki brute-force. Zasadniczo algorytmy mieszania wykonują dodatkową pracę matematyczną na haśle przed zapisaniem wartości uzyskanej z hasła na dysku. Jeśli użyjemy algorytmu wolniejszego mieszania, będzie to wymagało tysięcy razy więcej pracy matematycznej, aby spróbować każdego hasła i dramatycznie zwolnić ataki typu brute-force. Jednak im więcej pracy jest wymagane, tym więcej pracy musi wykonać serwer lub inny komputer za każdym razem, gdy użytkownik loguje się za pomocą hasła. Oprogramowanie musi równoważyć odporność na ataki typu brute force przy użyciu zasobów.

Prędkość Brute-Force

Szybkość wszystko zależy od sprzętu. Agencje wywiadowcze mogą budować wyspecjalizowany sprzęt tylko do brutalnych ataków, tak jak górnicy Bitcoin budują swój własny specjalistyczny sprzęt zoptymalizowany do wydobywania bitmonet. Jeśli chodzi o sprzęt konsumencki, najbardziej efektywnym rodzajem sprzętu do ataków typu brute-force jest karta graficzna (GPU). Ponieważ łatwo jest wypróbować wiele różnych kluczy szyfrujących jednocześnie, wiele równoległych kart graficznych jest idealnych.

Pod koniec 2012 r. Ars Technica poinformował, że klaster 25-GPU może złamać każde hasło systemu Windows poniżej 8 znaków w mniej niż sześć godzin. Zastosowany przez Microsoft algorytm NTLM nie był wystarczająco odporny. Jednak po utworzeniu NTLM potrzeba było znacznie więcej czasu na wypróbowanie wszystkich tych haseł. Nie było to wystarczającym zagrożeniem dla Microsoftu, aby wzmocnić szyfrowanie.

Szybkość wzrasta, a za kilka dziesięcioleci możemy odkryć, że nawet najsilniejsze algorytmy kryptograficzne i klucze szyfrowania, których używamy dzisiaj, mogą zostać szybko złamane przez komputery kwantowe lub jakikolwiek inny sprzęt, którego używamy w przyszłości.

Ochrona danych przed atakami Brute-Force

Nie ma sposobu, aby całkowicie się uchronić. Nie da się powiedzieć, jak szybko dostanie się sprzęt komputerowy i czy któryś z algorytmów szyfrowania, których używamy dzisiaj, ma słabości, które zostaną odkryte i wykorzystane w przyszłości. Oto jednak podstawy:

  • Zabezpiecz swoje zaszyfrowane dane w miejscach, w których napastnik nie może uzyskać do niego dostępu. Gdy dane zostaną skopiowane na ich sprzęt, mogą wypróbować brutalne ataki przeciwko nim w czasie wolnym.
  • Jeśli uruchomisz jakąkolwiek usługę, która akceptuje logowanie przez Internet, upewnij się, że ogranicza próby logowania i blokuje osoby, które próbują zalogować się za pomocą wielu różnych haseł w krótkim czasie. Oprogramowanie serwera jest na ogół ustawione, aby zrobić to po wyjęciu z pudełka, ponieważ jest to dobra praktyka bezpieczeństwa.
  • Użyj silnych algorytmów szyfrowania, takich jak SHA-512. Upewnij się, że nie używasz starych algorytmów szyfrowania ze znanymi słabościami, które są łatwe do złamania.
  • Używaj długich, bezpiecznych haseł. Cała technologia szyfrowania na świecie nie pomoże, jeśli używasz "hasła" lub popularnego "hunter2".

Ataki brute-force są czymś, o co należy się martwić, chroniąc dane, wybierając algorytmy szyfrowania i wybierając hasła.Są także powodem, by rozwijać silniejsze algorytmy kryptograficzne - szyfrowanie musi nadążać za szybkością, z jaką nowy sprzęt staje się nieefektywny.

Image Credit: Johan Larsson na Flickr, Jeremy Gosney