Kas yra “brute force” ataka?

Pačia bendriausia prasme brute force ataka yra kompiuterio pagalba atliekamas spėjimas. Ja siekiama išsiaiškinti tam tikrą slaptą simbolių kombinaciją, pavyzdžiui, šifravimo raktą arba paskyros slaptažodį, vieną po kito išbandant visas įmanomas kombinacijas.

Kompiuteriai trivializavo daugelį tokių šifravimo problemų, tačiau šiuolaikinė kriptografija šiuo požiūriu juos gerokai lenkia. Žinoma, ne kiekvienoje skaitmeniniu būdu dalijamoje informacijoje bus naudojami šifrai.

Pvz., jei įsilaužėlis taikytųsi į konkrečią paskyrą, susietą su žinomu el. pašto adresu, prieš imdamasis šifruoti, jis turėtų apibrėžti problemą elementaria aritmetika. Apibrėžus slaptažodį kaip simbolių seką tam tikrame ilgio intervale, jiems lieka permutacijos problema. Ir, tikėkimės, taip pat skaičiavimo problema, jei programėlę ar svetainę, į kurią jie taikosi, kodavo kas nors, kas yra pajėgus.

CAPTCHA ir laiko tarpas tarp nesėkmingų prisijungimo bandymų – tai gana veiksmingų metodų, kuriais siekiama apriboti brutalios jėgos atakų bandymus, pavyzdžiai. Kadangi “brute force” yra tokia paprasta sąvoka, šių mechanizmų paprastumas yra jų privalumas; vos kelios kodo eilutės, reikalaujančios, kad po kiekvieno nesėkmingo bandymo prisijungti po pirmųjų penkių iš eilės bandymų būtų taikomas 60 sekundžių laiko tarpas, gali būti skirtumas tarp to, ar “brutalios jėgos” bandymas bus sėkmingas per kelias valandas, ar praktiškai neįmanomas. Nes, priklausomai nuo konkrečios sąrankos, šiuolaikinis kompiuteris per sekundę gali atspėti dešimtis milijonų slaptažodžių. Šiuo požiūriu dviejų veiksnių autentifikavimas vis dar yra saugiausias būdas apsisaugoti, todėl naudokite jį visada, kai tik įmanoma ir patogu.

Dar yra entropijos tema, kuri iš esmės yra nuspėjamumo sritis. Keisdami mažąsias ir didžiąsias raides, skaičius ir net specialiuosius simbolius, galime pasinaudoti matematikos galia ir priversti būsimus įsilaužėlius milijonus kartų nesumokėti sąskaitų už elektrą, kol jie turės vilties sėkmingai atspėti mūsų slaptažodį per brutalios jėgos ataką.

Brute force atakų klasifikavimas

Jei primygtinai reikalaujate, kad “grubios jėgos” atakos būtų klasifikuojamos konkrečiau, o ne tik pagal vieną “primityvumo” etiketę (o tai iš tikrųjų yra jų vieta galimų kibernetinio saugumo problemų pasaulyje), galime jas papildomai suskirstyti į tris primityvumo etapus. Atkreipkite dėmesį, kad teoriškai paprasčiausias tokių algoritmų variantas, kuris tikrintų kiekvieną simbolį visais įmanomais deriniais, ypač esant skirtingam simbolių ilgiui, vargu ar egzistuoja, nes realiame pasaulyje jis negalėtų padaryti jokios žalos.

Vietoj to primityviausios iš primityviausių būtų vadinamosios žodyno atakos. Pavadinimas gana suprantamas ir priklauso paprasčiausiam brute force metodų pavidalui, kuris kartais gali suveikti, jei tik paskyros savininkas buvo pakankamai neatsargus ir jam nesisekė.

Jei neatsargumas ir nelaimė yra sistemos pusėje, turite įgaliojimų pildymo, arba įgaliojimų perdirbimo, atakas. Iš tikrųjų tai yra tolesni veiksmai po pirminių atakų, kurių metu iš kitos duomenų bazės įsigyjama naudotojų vardų ir slaptažodžių duomenų bazė. Tačiau dėl žmonių neatsargumo ir polinkio rinktis mažiausio pasipriešinimo kelią jos yra gana veiksmingas tapatybės vagystės ir pan. metodas. Štai kodėl įgaliojimų perdirbimo įrankiai yra svarbiausia priežastis, dėl kurios nuolat raginama nenaudoti pakartotinai slaptažodžių įvairiose tarnybose.

Trečioji ir paskutinė šio atakos vektoriaus evoliucija yra atvirkštinė “brute-force” ataka. Ši ataka gali būti bet kurios iš pirmiau minėtų atakų tęsinys, nors paprastai ji laikoma panašesne į žodyno ataką. Joje naudojami tie patys socialinės inžinerijos principai, tik nesivarginama naudoti viso leksikono kombinacijų, o imamas vienas slaptažodis ir išbandomas su keliomis tam tikros sistemos paskyromis. Kibernetinio saugumo praktika išsivystė siekiant su tuo kovoti įvairiais būdais, iš kurių geriausiai atpažįstamas reikalavimas, kad visi slaptažodžiuose naudotų bent vieną didįjį (arba mažąjį) simbolį, taip pat specialųjį simbolį ir skaičių.