Брутални напади су објаснили како је сва енкрипција рањива
Брутални напади су прилично једноставни за разумевање, али их је тешко заштитити. Шифровање је математика, и како рачунари постају бржи у математици, они постају бржи када испробавају сва решења и виде која се уклапа.
Ови напади се могу користити против било ког типа енкрипције, са различитим степеном успеха. Брутални напади постају бржи и ефикаснији са сваким даном у новијој, бржој рачунарској опреми.
Бруте-Форце Басицс
Брутални напади су једноставни за разумевање. Нападач има шифровану датотеку - рецимо, вашу базу података за ЛастПасс или КееПасс лозинку. Они знају да овај фајл садржи податке које желе да виде, и знају да постоји кључ за шифровање који га откључава. Да би га дешифровали, они могу почети да испробавају сваку могућу лозинку и виде да ли то резултира дешифрованом датотеком.
Они то раде аутоматски са компјутерским програмом, тако да се брзина којом се неко може грубо појачати повећава како расположиви рачунарски хардвер постаје бржи и бржи, способан да ради више израчунавања у секунди. Брутални напад ће вероватно почети од једноцифрених лозинки пре преласка на двоцифрене лозинке и тако даље, покушавајући све могуће комбинације док се не почне радити.
"Дицтионари дицтионари" је сличан и покушава речи у речнику - или листу уобичајених лозинки - уместо свих могућих лозинки. Ово може бити веома ефикасно, јер многи људи користе такве слабе и заједничке лозинке.
Зашто нападачи не могу да изврше Веб Сервицес
Постоји разлика између онлине и оффлине напада на грубу силу. На пример, ако нападач жели да се пробије у ваш Гмаил налог, они могу почети да испробавају сваку могућу лозинку - али Гоогле ће их брзо прекинути. Услуге које пружају приступ таквим рачунима ће ограничити покушаје приступа и забранити ИП адресе које се покушавају пријавити толико пута. Према томе, напад на онлине услугу не би функционисао превише добро, јер се врло мало покушаја може извршити прије него што се напад заустави.
На пример, након неколико неуспелих покушаја пријављивања, Гмаил ће вам показати ЦАТПЦХА слику да бисте потврдили да рачунар није аутоматски покушавао да унесе лозинке. Вероватно ће у потпуности зауставити ваше покушаје пријављивања ако сте успели да наставите довољно дуго.
С друге стране, рецимо да је нападач ухватио шифровану датотеку са вашег рачунара или је успио компромитовати онлине услугу и преузети такве шифриране датотеке. Нападач сада има шифроване податке на свом хардверу и може покушати колико год жели у свом слободном времену. Ако имају приступ шифрованим подацима, не постоји начин да се спрече да покушају са великим бројем лозинки у кратком временском периоду. Чак и ако користите снажну енкрипцију, у вашу корист је да сачувате своје податке и осигурате да други не могу да му приступе.
Хасхинг
Јаки алгоритми хасховања могу успорити брутални напад. У суштини, алгоритми распршивања изводе додатни математички рад на лозинки прије похрањивања вриједности изведене из лозинке на диску. Ако се користи спорије алгоритам распршивања, биће потребно хиљаду пута више математичког рада да би се испробала свака лозинка и драматично успорили брутални напади. Међутим, што више посла буде потребно, више ће радити сервер или други рачунар сваки пут када се корисник пријављује са својом лозинком. Софтвер мора уравнотежити отпорност против бруталних напада кориштењем ресурса.
Брутална снага
Брзина зависи од хардвера. Обавештајне агенције могу да граде специјализовани хардвер само за бруталне нападе, као што Битцоин рудари граде сопствени специјализовани хардвер оптимизован за Битцоин рударство. Када је у питању потрошачки хардвер, најефикаснији тип хардвера за бруталне нападе је графичка картица (ГПУ). Пошто је лако испробати више различитих кључева за шифровање одједном, многе графичке картице које раде паралелно су идеалне.
Крајем 2012. године, Арс Тецхница је објавио да кластер са 25 ГПУ-а може испуцати сваку Виндовс лозинку испод 8 знакова за мање од шест сати. НТЛМ алгоритам који Мицрософт користи није био довољно отпоран. Међутим, када је НТЛМ креиран, требало би му много више времена да испроба све ове лозинке. Ово се није сматрало довољно пријетњом да Мицрософт учини шифровање јачим.
Брзина се повећава, и за неколико деценија можемо открити да чак и најјачи криптографски алгоритми и кључеви за шифровање које данас користимо могу бити брзо разбијени квантним рачунарима или било којим другим хардвером који користимо у будућности.
Заштита ваших података од брутални напади
Нема начина да се потпуно заштитите. Немогуће је рећи колико брзо ће доћи до компјутерског хардвера и да ли неки од алгоритама за шифровање које данас користимо имају слабости које ће се открити и искористити у будућности. Међутим, овде су основе:
- Нека ваши шифровани подаци буду безбедни тамо где нападачи не могу да му приступе. Када се ваши подаци копирају на њихов хардвер, они могу да покушају нападе бруталне силе на њега у своје слободно време.
- Ако покренете било коју услугу која прихвата пријаве преко Интернета, уверите се да ограничава покушаје пријављивања и блокира људе који покушавају да се пријаве са много различитих лозинки у кратком временском периоду. Серверски софтвер је генерално подешен да то уради из кутије, јер је то добра безбедносна пракса.
- Користите снажне алгоритме за шифровање, као што је СХА-512. Уверите се да не користите старе алгоритме за шифровање са познатим слабостима које је лако разбити.
- Користите дуге, сигурне лозинке. Сва технологија шифровања на свету неће помоћи ако користите „лозинку“ или све популарнији „ловац“.
Брутални напади су нешто о чему треба бринути приликом заштите ваших података, одабира алгоритама за шифровање и одабира лозинки. Они су такође разлог да наставе да развијају јаче криптографске алгоритме - шифровање мора да одржи корак са тиме колико брзо нови хардвер постаје неефикасан.
Имаге Цредит: Јохан Ларссон на Флицкр, Јереми Госнеи