1. Scroll
  2. /
  3. Poradniki
  4. /
  5. Ataki brute force – czym są i na czym polegają?

Poradniki

02.11.2021 21:22

Ataki brute force – czym są i na czym polegają?

Komputery
9
1
0
9
1

Brute force to częsta praktyka ataku hakerskiego, której głównym celem jest łamanie haseł – zwłaszcza tych słabych lub powtarzających się. Dowiedz się, jak można rozpoznać atak brute force i w jaki sposób mu przeciwdziałać.

Brute force – co to jest?

Odsetek przestępstw dokonywanych w cyberprzestrzeni rośnie z roku na rok, zaś ich wykrywalność wciąż nie stoi na odpowiednio zadowalającym poziomie. Jedną z metod ataku jest brute force. Ta broń w hakerskim arsenale należy do środków najstarszych, ale wciąż powszechnych. Na czym dokładnie polega jej działanie?

Brute force to metoda polegająca na łamaniu haseł i kluczy kryptograficznych poprzez wielokrotne wpisywanie różnorodnych kombinacji znaków – tak długo, aż ujawni się konkretny password. Sposób ten sprawdza się przede wszystkim w przypadku krótkich i nieskomplikowanych haseł.

Brute force jest używany przeważnie w celu kradzieży wrażliwych danych – zarówno od prywatnych użytkowników, jak też dużych firm czy organizacji. Niekiedy wynikiem złośliwych ataków jest również poważne naruszenie reputacji danej witryny internetowej. Brute force uważany jest przy tym za dość mozolną praktykę hakerską, jednak w żadnym wypadku nie należy lekceważyć zagrożenia.

brute force
Brutalna siła może zdziałać cuda

Rodzaje ataków brute force

Czas złamania hasła różni się w zależności od poziomu skomplikowania szyfru, a także rodzaju konkretnej metody brute force. Zapoznanie się z rodzajami ataków pomoże Ci je rozpoznawać, a co za tym idzie – ustrzec się wycieku danych.

Prosty brute force

Jak sama nazwa wskazuje, podstawowy atak brute force polega na żmudnym wpisywaniu kolejnych kombinacji symboli. W takim przypadku haker nie korzysta z pomocy żadnego oprogramowania do crackingu (łamania) zabezpieczeń, tylko próbuje odgadnąć hasło samodzielnie poprzez ręczne wpisywanie rozmaitych ciągów znaków. Przy tej metodzie haker może uciec się do małego researchu na temat np. ulubionych zespołów muzycznych czy imion najbliższych osób konkretnego użytkownika (przy założeniu, że zna już jego login).

Prosty brute force może być efektywny, bowiem wielu użytkowników wciąż używa haseł typu „hasło123”. Klasycznym przykładem skuteczności tej pozornie łopatologicznej metody może być sprawa przedpremierowego wycieku kodu źródłowego gry Half-Life 2 w 2004 roku. Gabe Newell, dyrektor odpowiedzialnego za tytuł studia Valve, w roli hasła do swojej skrzynki e-mailowej ustawił – po prostu – wyraz „gaben”. Tę „tajemnicę” odkrył młody haker z Niemiec, któremu udało się zalogować się na konto Newella bez użycia żadnych specjalistycznych narzędzi i następnie wykraść stamtąd pliki źródłowe gry.

Atak słownikowy

Atak słownikowy jest podobny do prostego brute force, jednak nie opiera się na analizie poszczególnych symboli – zamiast tego bierze na warsztat wyrazy często pojawiające się w mowie codziennej. Nazwa metody ma kojarzyć się z hakerem, który korzystając ze słownika łamie będące na celowniku hasła.

W praktyce metoda polega na wykorzystaniu słowników popularnych zwrotów czy wyrażeń. Specjalny algorytm brute force wykorzystuje konkretną zmienną (np. poznany wcześniej login z bazy podstawowych loginów lub danych ujawnionych po dużym wycieku), aby stworzyć pomysły haseł dla konkretnych użytkowników. W trosce o bezpieczeństwo nie zaleca się więc stosowania np. dat urodzenia lub powszechnych słów czy zwrotów.

Atak hybrydowy

Atak hybrydowy jest połączeniem dwóch wyżej opisanych metod brute force. Używa się go w momencie, gdy haker zna nazwę użytkownika i zaczyna tworzyć rozmaite kombinacje ze słów i znaków (np. „Warszawa2020”).

Odwrócony atak brute force

Ta metoda polega na użyciu popularnego hasła typu „hasło1234” i wyszukania w bazie danych loginu, który mógłby do niego pasować. Odwrócony brute force stosuje się głównie przy wyciekach danych lub przy ujawnieniu konkretnych haseł wskutek naruszenia sieci.

Zapychanie poświadczeniami

Zapychanie poświadczeniami (ang. credential stuffing) sprawdza się, gdy użytkownicy stosują takie same hasła dla kont na wielu witrynach internetowych. Hakerzy zbierają zdobyte wcześniej pasujące do siebie loginy i hasła, a następnie metodą prób i błędów wpisują je na innych portalach.

Przykłady software’u używanego do metod brute force

Same ataki brute-force są uważane za bardzo czasochłonne, dlatego hakerzy stworzyli specjalne programy mające usprawnić proces łamania haseł. Jednym z nich jest narzędzie sieciowe o nazwie Aircrack-ng, dostępne na systemy Linux i Windows. Program wychwytuje informacje z pobliskich sieci Wi-Fi i potrafi złamać popularne zabezpieczenia (WEP, WPA/WPA2-PSK).

brute force - login i hasło
Prosty login i hasło to proszenie się o kłopoty

Jedno z najbardziej popularnych narzędzi hakerskich to John The Ripper („Jan Rozpruwacz”). Ten program do łamania haseł jest doskonale znany chyba każdemu, kto interesuje się cyberbezpieczeństwem. Pierwotnie działał na systemie operacyjnym UNIX, a obecnie deweloperzy z projektu OpenWall rozszerzyli jego działanie na 15 innych platform. Narzędzie jest w pełni darmowe i funkcjonuje na zasadach open source.

Algorytmy brute force, na których bazuje oprogramowanie do łamania haseł, potrafią w znacznym stopniu skrócić czas potrzebny na wyłapanie słabych passwordów. Działanie, które w „trybie manualnym” zajęłoby kilka lat, software potrafi wykonać w parę dni.

Do prawidłowej pracy programy brute force potrzebują jednak dużych zasobów sprzętowych. Na ten problem hakerzy-deweloperzy również znaleźli odpowiedź w postaci połączenia mocy dwóch narzędzi: centralnej jednostki obliczeniowej (CPU) i procesora graficznego urządzenia (GPU). Daje to możliwość znacznego przyspieszenia (nawet o 250%) łamania haseł.

Sprawdź też: Zabezpieczenia na telefon, czyli jak ochronić smartfon przed hakerami i złodziejami?

Sposoby obrony przed brute force

Najskuteczniejszym sposobem obrony przed atakami brute force jest stosowanie silnych, zróżnicowanych haseł. Powinny mieć odpowiednią długość (minimum 8-10 znaków – im dłuższe, tym lepsze), zawierać wielkie i małe litery oraz cyfry i znaki specjalne. Takie hasło na pewno wydłuży czas potrzebny na jego złamanie.

Staraj się także unikać oklepanych i powtarzalnych haseł, takich jak imię Twojego psa, nazwisko popularnego autora czy nazwa klubu sportowego; największą wtopą jest użycie w roli hasła słowa „hasło”. Zamiast tego skorzystaj ze skomplikowanych wyrażeń, które rzadko występują w mowie potocznej. Poza samym hasłem, istotne jest również urozmaicenie loginu. Nie używaj przy tym wyrazów w stylu „admin”, ponieważ ułatwiasz hakerom drogę do dostania się na Twoje konto.

Współcześnie chyba każdy użytkownik posiada konta na wielu portalach, dlatego zapamiętanie różnorodnych loginów może być kłopotliwe. To jednak żadna wymówka, gdy idzie o ochronę wrażliwych danych. Nie stosuj zatem identycznych haseł na każdym koncie: czy to na poczcie elektronicznej, czy też portalach społecznościowych bądź w sklepach internetowych. Możesz jednak skorzystać z menedżera haseł, którego zabezpieczenia będą dodatkową przeszkodą dla hakerów.

Sprawdź też: Czym jest ransomware? Co to jest, jak działa i jak go usunąć?

Organizacje i firmy również powinny zadbać o zabezpieczanie haseł swoich pracowników. Nawet gdy podwładni zastosują powyższe metody, nie zdadzą się one na nic, jeśli np. haker będzie mógł próbować różnych haseł w nieskończoność. Warto więc ograniczyć tę liczbę i zastosować odpowiednią blokadę, co pozwoli zapobiec niepożądanym działaniom. Jako pracodawca lub właściciel strony internetowej zadbaj także o edukowanie swoich współpracowników z zakresu podstaw cyberbezpieczeństwa.

Równie istotne jest monitorowanie ruchu w sieci: wielokrotne próby logowania, urozmaicone dodatkowo o nietypową lokalizację, powinny wzbudzić podejrzenia i zaalarmować użytkowników serwisu. Jeżeli zależy Ci na lepszej ochronie, możesz zastosować w swojej stronie internetowej uwierzytelnianie dwuskładnikowe, które polega na potwierdzeniu logowania poprzez kody wysyłane poprzez e-mail lub SMS.

Wiesz już, co to jest brute force i jakie metody stosują hakerzy, aby wykraść dane osobowe. Dzięki zastosowaniu dodatkowych algorytmów w wyspecjalizowanych programach brute force jest w stanie jeszcze skuteczniej łamać hasła. Pamiętaj zatem, że w sieci nic nie jest w stu procentach bezpieczne, dlatego zadbaj o jak najlepszą ochronę swoich danych poprzez stosowanie skomplikowanych i różnorodnych haseł.

9
1

Podziel się:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.