Применение грубой силы — частый способ добиться нужного результата не только в жизни, но и в цифровом мире. Из этой статьи вы узнаете о том, что такое brute force (брутфорс), где он применяется и кому нужен.
Что такое брутфорс-атака
Термин «брутфорс» часто переводят как «полный перебор». Этот метод атаки предполагает угадывание пароля, учётных данных, ключей шифрования или другой информации простым подбором вариантов. Атаку полным перебором считают одним из самых простых, но времязатратных способов получить доступ к защищённой информации. Ведь на то, чтобы перебрать все возможные комбинации в поисках единственно верной, может понадобиться много времени.
Использование GPU-ускорителей позволяет уменьшить срок подбора правильной комбинации, но сложный пароль, в котором есть спецсимволы, брутфорсить всё равно придётся очень долго.
Например, при brute force атаке почтового сервера программа проверяет большое количество пар учётных данных на каждой цели, пытаясь угадать правильное имя пользователя и пароль к аккаунту. Если попытка оказывается удачной, корректная пара логин/пароль сохраняется в памяти или отправляется атакующему, а решение продолжает подбирать ключики к другим аккаунтам. И так до тех пор, пока не будут «проверены» все учётные данные или не будет достигнуты лимиты, заданные пользователем.
Как правило, брутфорс-атаки совершаются через ботнет-сети: организованные в одну систему заражённые устройства, количество которых может исчисляться миллионами. Но брутить можно и самостоятельно. Например, иногда злоумышленники пытаются взломать зашифрованныйф zip-файл с важной информацией, который удалось перехватить и сохранить на их компьютере.
Виды брутфорс-атак
Итак, мы уже поняли, что брутфорс — это относительно простой способ подбора паролей и другой ценной информации для получения доступа к защищённым данным. В 2021 году по данным Microsoft злоумышленники совершили около 14 миллиардов брутфорс-атак. Какие методы брутфорс-атак существуют?
Простая атака. Используются простые программы и скрипты для автоматизации подбора паролей. В секунду выполняется несколько сотен попыток угадывания. Поэтому простые пароли, которые не содержат спецсимволов и состоят только из букв или цифр, могут быть угаданы за несколько минут. Скорость подбора может кратно возрастать, если использовать GPU-карту или собрать высокопроизводительный кластер.
Атака по словарю. Этот метод предполагает наличие словарной базы данных, в которой занесены обычные слова и фразы, которые могут использоваться в качестве пароля. Например, в такие словари сейчас активно добавляются слитые злоумышленниками пароли от всевозможных сервисов. Получается, что любая утечка данных — это потенциальное пополнение базы словарей, которые используются в брутфорс-атаках. Некоторые словари есть в открытом доступе, а полные актуальные базы с большим количеством строк продаются в даркнете.
Подстановка учётных данных. Утечки — это отличная возможность для злоумышленников воспользоваться ещё одним видом brute force атак: подстановкой украденных комбинаций логинов и паролей. Эта схема вполне рабочая, так как люди часто используют одну и ту же комбинацию логина/пароля на разных сайтах. И если у злоумышленника есть данные от одного аккаунта, появляется ненулевая вероятность того, что он сможет получить доступ и к аккаунтам на других сайтах.
Обратная атака. Этот метод предполагает использование одного общего пароля для аккаунтов разных пользователей. Рейтинги популярных паролей, ежегодно публикуемые различными ИБ службами, показывают, что у многих незнакомых друг с другом людей стоят одинаковые пароли. И этим легко воспользоваться.
Гибридная brute force атака. Комбинация атаки по словарю с простой атакой называют гибридной. Частая практика — добавление цифр в конец пароля. Обычно этих цифр четыре — год рождения, окончания школы, важного события. Поэтому злоумышленники при подборе пароля часто задают в качестве первой цифры 1 или 2.
Персональный взлом. Перед началом брутфорс-атаки злоумышленник методами социальной инженерии вытягивает из жертвы максимально возможное количество информации. Эти сведения могут пригодиться, когда взломщик пропишет в программу-брутфорсер адрес ресурса, к которому нужен доступ, подключит словарь, дополнительную информацию и начнёт подбирать пароль.
Брут-чек. Метод, похожий на предыдущий. Здесь задача злоумышленника — завладеть данными множества разных аккаунтов на нескольких сайтах. Для этого подключается база логинов и паролей популярных почтовых сервисов, в брутфорс-программе задаётся список сайтов или ключевых слов, по которым программа будет искать в скомпрометированных почтовых ящиках письма с логинами и паролями, и передавать собранную информацию злоумышленнику. На выходе — регистрационные данные на разных сайтах большого количества людей.
Как снизить риск успешной брутфорс-атаки на вас
Самый простой и частый совет: усложняйте пароль. в 77% случаев взламывают пароли, содержащие до 7 символов, а если символов 10, то объём успешных взломов падает до 6%. Если к обычному паролю добавить спецсимвол (, !, @, #, $, %, ^, и т. д.), то эффективность брутфорса тоже падает — до 7%.
Но усложнение пароля — не панацея. Рекомендуем пользоваться средствами двухфакторной аутентификации, когда на телефон/email отправляется уникальный код, подтверждающий вашу личность. Кроме того, не используйте одинаковые пароли на всех ресурсах, периодически их меняйте.
Если вы не знали, то облачная ИТ-инфраструктура надёжнее защищена от подобного рода атак. Поэтому виртуализация может стать одним из путей решения вопроса сокращения рисков компании.