- безопасность
Что такое брутфорс
Начинаем знакомить вас с прикладными аспектами информационной безопасности в облаке. Первую публикацию посвящаем одному из самых старых методов взлома — брутфорсу.
Терминология и методики брутфорс-атак
Брутфорсу столько же лет, сколько паролям. Он появился, когда первый хакер попытался получить доступ к запароленной информации, перебирая комбинации символов. Метод простой, но действенный. С его помощью злоумышленники подбирают правильное имя пользователя, находят ключ шифрования, «угадывают» пароль для входа в систему.
Брутфорс — калька с английского brute force. Буквальный перевод означает «грубую силу», хотя на самом деле перебор вручную взломщики давно не используют. Напротив, у технологии есть изящные комбинации и довольно сложные вариации:
1. Классическая брутфорс-атака для простых паролей. Работает на утилитах для перебора паролей. Программы перебирают по нескольку сотен комбинаций за секунду, так что для поиска восьмизначного пароля, основанного только на буквах нижнего регистра латинского алфавита, могут перепробовать до 200 млд. комбинаций.
2. Подстановка личных данных. Метод может работать как перебор комбинаций по словарю или как подстановка учетных данных в другие аккаунты пользователя. В любом случае, основой для такого взлома становятся «слитые» в сеть или украденные базы данных.
3. Гибридный брутфорс-взлом. Атака строится на принципе перебора паролей по «маске», когда цифровые значения подставляются в начало и в конец.
4. Индивидуальный взлом. Метод основан на комбинации социальной инженерии и классической брутфорс-атаки. Сначала злоумышленник получает максимум доступной информации о пользователе (знаковые даты, важные имена, личные данные), потом на ее основе подбирает комбинацию из логина/пароля. Метод не используется для массового взлома, но очень эффективен для получения доступа к критически важной информации.
В качестве иллюстрации отлично подходит сцена вскрытия сейфа в фильме «Крепкий орешек». Так на одном из первых этапов взлома хакер получает доступ к личному делу председателя инвестиционной группы Nakatomi, находит в нем название авианосца, на котором тот служил, и вводит его в качестве пароля для доступа к хранилищу.
- Брут-чек. Это метод «охоты» на пароли пользователя в разных сервисах. Получив доступ к электронной почте, злоумышленник подключает программу поиска писем с паролями от разных сайтов или служб, копирует логины/пароли и становится обладателем информации для доступа ко всем аккаунтам.
- Брутфорс через ботнет-сеть. Для генерации миллионов вариантов паролей нужны большие вычислительные мощности. Для этого хакер создает ботнет-сеть из зараженных компьютеров, и использует их мощности для классической брутфорс-атаки.
Способы защиты от брутфорса
К сожалению, нет такого метода защиты, который обезопасил бы систему от всех вариантов брутфорса сразу. Как и везде в сфере информационной безопасности, самая надежная защита — комплексная:
- генерировать длинные сложные пароли из цифр, букв нижнего и верхнего регистра, спецсимволов,
- составлять уникальные комбинации символов для каждого аккаунта,
- менять пароли с четко регламентированной регулярностью,
- ограничить попытки ввода логин/пароля для одного аккаунта,
- запретить использование в паролях личной информации или дублирование логина,
- подключить двухфакторную аутентификацию.
Какую-то часть защитных мер компания может реализовать на техническом уровне. Например, настроить двухфакторную авторизацию для доступа к информационным системам. Остальные — результат соблюдения правил цифровой гигиены. Следуя им, можно свести к минимуму риск успешной брутфорс-атаки и на корпоративные информационные системы, и на личные аккаунты.