Содержание

Брутфорс (Brute force)

Брутфорсом называется метод взлома учетных записей путем подбора паролей к ним. Термин образован от англоязычного словосочетания «brute force», означающего в переводе «грубая сила». Суть подхода заключается в последовательном автоматизированном переборе всех возможных комбинаций символов с целью рано или поздно найти правильную.

С этой точки зрения поиск пароля можно рассматривать как математическую задачу, решение которой находится при достаточно большом количестве попыток. Программное обеспечение для брутфорса генерирует варианты паролей и проверяет каждый из них. С точки зрения математики решить задачу таким способом можно всегда, но временные затраты на поиски не во всех случаях оправдывают цель, так как поле поиска решений огромно.

Брутфорс — один из самых популярных методов взлома паролей к учетным записям онлайн-банков, платежных систем и других веб-сайтов. Впрочем, с ростом длины пароля этот метод становится неудобным, так как растет время, которое нужно на перебор всех вероятных вариантов. Также с его помощью можно проверять криптоустойчивость пароля.

Брутфорс еще называют методом исчерпывания, так как верная комбинация выявляется путем анализа всех возможных вариантов и отбрасывания каждого неподходящего сочетания.

Классификация и способы выполнения брутфорс-атаки

Существует несколько видов атаки методом «грубой силы»:

  • Персональный взлом. В этом случае брутфорс направлен на получение доступа к личным данным конкретного пользователя: аккаунтам социальных сетей, почте, сайту. Во время общения через интернет, в том числе используя мошеннические схемы, злоумышленник старается узнать логин, персональные сведения и другую информацию, которая понадобится для подбора пароля. Далее взломщик прописывает в специальную программу адрес ресурса, к которому нужен доступ, логин учетной записи, подключает словарь и подбирает пароль. Если пароль пользователя основан на личной информации и состоит из малого количества символов, то попытка злоумышленника может принести успех даже за короткое время.
  • «Брут-чек». Этот вид брутфорса означает охоту на пароли в больших количествах. Соответственно, цель — завладеть данными не одного пользователя, а множества разных аккаунтов на нескольких веб-ресурсах. К хакерской программе подключается база логинов и паролей каких-либо почтовых сервисов, а также прокси-лист, чтобы замаскировать узел, не дав веб-сервисам почты обнаружить атаку. При регистрации на сайте, в социальной сети или в игре пользователь заполняет поле с адресом своей почты, на который приходят данные для входа в соответствующий аккаунт. В опциях брутфорса прописывается список названий сайтов или других ключевых слов, по которым программа будет искать в почтовых ящиках именно эти письма с логинами и паролями, вынимать и копировать информацию в отдельный файл. Так киберпреступник получает сотни паролей и может использовать их в любых целях.
  • Удаленный взлом операционной системы компьютерного устройства. Брутфорс в комбинации с другими взламывающими утилитами применяется для получения доступа к удаленному ПК. Взлом такого вида начинается с поиска сетей, подходящих для атаки. Адреса пользователей добываются особыми программами или берутся из баз. Словари перебора и списки IP-адресов вводятся в настройках brute force. В случае успешного подбора пароля сохраняются IP-адрес машины жертвы и данные для входа, которые далее используются злоумышленником — например, с целью полного управления ПК через утилиту Radmin или другую подобную программу.

Цели брутфорса

Брутфорс позволяет завладеть доступом к аккаунтам в социальных сетях или онлайн-играх, что может привести к потере конфиденциальной информации, цифровых валют, достижений, попаданию переписки в чужие руки. С аккаунтов может выполняться рассылка спама, осуществляться вымогательство и другие противоправные действия. Завладев большим количеством аккаунтов, хакер может их обменять или продать.

Получение данных для входа в платежные системы грозит пользователям потерей денежных сумм и даже обретением долгов, так как злоумышленник может свободно распоряжаться финансами, выполнить перевод денег, оформить кредит.

Подбор паролей к веб-сайтам методом brute force открывает доступ к базам данных клиентов, электронным адресам, к использованию площадки в целях распространения вредоносных программ, рассылки спама и т.п.

Получив точку входа в удаленную компьютерную систему с помощью перебора паролей, злоумышленник может выполнять разные преступные действия от имени пользователя, а также воспользоваться его личными данными с целью шантажа, вымогательства, осуществить кражу секретной информации и денежных средств.

Объектами воздействия брутфорса становятся не только компьютеры и аккаунты рядовых пользователей интернета, но и сайты, серверы, рабочие станции коммерческих и банковских структур, различных организаций.

Источник угрозы

Метод перебора паролей используют киберхулиганы с целью взломать игру, почту, аккаунт в соцсетях. Обычно их целью является причинение неприятностей другим людям, проверка своих умений, чтение личной переписки.

Киберпреступники сами пишут программы для взлома или пользуются результатами труда «коллег». Для перебора могут использоваться мощные компьютерные системы, в том числе взломанные ранее или арендованные. В руках злоумышленников брутфорс является средством извлечения личной выгоды из получения доступа к учетным данным.

Также, как уже отмечалось, брутфорс может использоваться в целях проверки криптографической стойкости паролей.

Анализ риска

Риски от применения брутфорса зависят от количества объектов, на которые нацелены атаки, и намерений злоумышленника. С каждым годом появляются новые технологии, которые могут применяться как в благих, так и в преступных целях. Так, несколько лет назад на конференции DEF CON общественности был представлен WASP — беспилотник, который может собирать статистику домашних сетей Wi-Fi. Мощный компьютер на борту аппарата среди прочих функций имел возможность автоматического взлома паролей с помощью брутфорса.

Не так давно была замечена новая ботнет-сеть, проникающая в компьютерные системы с помощью подбора паролей SSH. Методы защиты, обычно применяемые против атак методом «грубой силы», не дают желаемого результата. Как в таком случае повысить уровень безопасности, можно узнать из нашей статьи.

Проблем со взломом через брутфорс можно избежать, если:

  • создавать длинный пароль из букв, цифр и спецсимволов,
  • не использовать в пароле личную информацию или какие-либо элементы логина,
  • для всех аккаунтов создавать свои уникальные пароли,
  • регулярно, примерно один раз в месяц, менять пароли,
  • на веб-сайтах защищать вход от многочисленных попыток ввода данных.

 

Brute-force (атака полным перебором) — что это и как его использовать

Bruteforce, или брутфорс — это метод взлома, при котором хакер или тестировщик подбирают данные для входа в систему. Классический пример — попытка угадать или подобрать пароль.

Название переводится как «грубая сила» (brute force): при переборе хакер как будто напролом. Во время такого взлома человек или программа за короткое время вводят в систему множество комбинаций паролей на случай, если одна из них окажется верной.

Еще один вариант названия — полный перебор. Это метод подсчета, на котором основан этот тип атаки.

Брутфорс проще, чем многие другие способы, но эффективен в основном для взлома аккаунтов с простыми паролями. Сложные комбинации, шифровки и фразы подобрать сложно.

Курс Уверенный старт в IT Поможем определить подходящую вам IT-профессию и освоить её с нуля. Вы на практике попробуете разные направления: разработку на разных языках, аналитику данных, Data Science, менеджмент в IT. Это самый подходящий курс для построения карьеры в IT в новой реальности.

Хочу в IT!

  • Пентестеры, которые проверяют, какими методами и с какой легкостью можно проникнуть в тестируемую систему. Они находят уязвимости, а простые пароли, которые можно подобрать с помощью брутфорса, — одно из возможных слабых мест.
  • Хакеры, которые взламывают системы или аккаунты пользователей по заказу работодателя или по собственной инициативе. Этичные хакеры работают исключительно по требованию компаний, которые хотят проверить собственную уязвимость к разным методам взлома.
  • Обычные пользователи, например при потере пароля. Это нельзя назвать брутфорсом, но любой подбор собственных забытых данных имеет его черты.

О том, кто такой этичный хакер, можно прочитать в нашей статье.

  • Для получения доступа к аккаунту или системе.
    Верно подобранный пароль дает возможность авторизоваться, а значит — увидеть информацию или открыть для себя доступ к функциям системы.
  • Для проверки надежности. Хороший пароль слабо подвержен методу брутфорса или не подвержен совсем. А слишком простой, например состоящий из одних цифр, будет легко взломать.
  • Для обнаружения уязвимостей. При пентесте, тестировании на проникновение, брутфорс помогает найти слабые места системы, как и другие хакерские методы. 

Методы могут быть разными: часто для атаки нужна предварительная подготовка. Подбирать и логин, и пароль одновременно трудно, поэтому хакеру может потребоваться база email, никнеймов или телефонных номеров. Не всегда ее надо взламывать: иногда достаточно методов социальной инженерии. Потом с известными логинами хакер или пентестер будет подбирать пароль.

Во время атаки специалист вводит множество комбинаций, которые могут быть паролями, и пытается авторизоваться. Обычно для этого используется специальная программа. Иногда для долгого подбора требуются мощности не обычного ПК, а, например, сервера.

Если пароль подходит, авторизация успешно завершается. Хакер или пентестер получает доступ к аккаунту пользователя или системе. Чтобы добиться результата, может потребоваться несколько тысяч или даже больше попыток ввести пароль.

Подбирать пароли вручную долго и неэффективно. Поэтому у хакеров есть специальные приложения и алгоритмы действий, которые помогают при брутфорсе.

Специальное ПО. Программное обеспечение автоматически отправляет запросы с разными паролями, а иногда еще и генерирует их. Его работа остановится, если какой-либо пароль подойдет.

  • Brutus. Что такое «Брут»? Небольшое приложение для брутфорса паролей от аккаунтов пользователей компьютера. Оно простое в настройке, но имеет ограниченный спектр применения.
  • Brute Forcer. Утилита для взлома личных кабинетов сайтов, которая содержит менеджер баз паролей и возможность настройки полей.
  • Metasploit. Многофункциональный инструмент для пентеста и взлома, который в том числе можно использовать и при проведении брутфорс-атак. Узнать  о нем больше можно в статье. 
  • Burp Suite. Еще одна многофункциональная программа для пентеста. В число возможностей входит и брутфорс, и другие методы взлома.

Специальное ПО для взлома может входить в дистрибутив Kali Linux. Это ОС для тестирования на проникновение и хакерства.

Тест: Настоящая хакерская атака или сюжет фильма?

Базы паролей. Пароли можно генерировать автоматически. Тогда это будут случайные последовательности символов с заранее заданными настройками. Но так взлом может быть очень долгим. Если комбинация сложная, подбор пароля может занять дни или годы.

Поэтому хакеры пользуются базами — специальными наборами с популярными комбинациями. В них попадают пароли, которые были скомпрометированы злоумышленниками, и простые популярные комбинации вроде «111» или «qwerty».

Скомпрометированные пароли важны, потому что человек может пользоваться одним и тем же паролем в разных сервисах. Хотя при пентесте этот способ не слишком актуален.

Также базу можно выгрузить из системы, которую собирается атаковать пентестер. Для этого используется Metasploit или другие подобные программы. Но в таком случае пароль указывается в связке с логином, и подбирать его нет необходимости.

Социальная инженерия. Это комплекс методов для психологического «взлома» человека, способы так или иначе получить от него нужную информацию или доступ к ней.

Социальную инженерию можно применять, чтобы иметь общее представление о пароле пользователя, или, например, найти его логин. Базовые методы — узнать Ф.И.О., дату рождения, имена ближайших родственников и прочие данные, которые могут использоваться для доступа.

Ограничивать количество попыток на ввод пароля. За 10 или 15 попыток хакер вряд ли сможет подобрать нужную комбинацию, а владельцу аккаунта этого достаточно, чтобы вспомнить пароль.

Использовать системы обнаружения взлома. Они отслеживают подозрительное поведение и сохраняют информацию об устройстве, на котором оно отмечено. Также системы обнаружения взлома автоматически защищают аккаунт.

Просить пользователей придумывать сложные пароли. Чем сложнее комбинация, тем труднее взломать ее брутфорсом. Поэтому сейчас в большинстве крупных компаний специалисты должны создавать пароли с буквами разного регистра, цифрами и спецсимволами.

Пентестеры все равно проверяют аккаунты с помощью брутфорса: эта мера защиты только кажется очевидной. Сложные атаки могут демонстрировать нетипичное поведение и обходить защитное ПО.

Пытаться взломать работающие системы без разрешения их владельцев — нарушение законодательства. Чтобы попробовать воспользоваться брутфорсом, можно использовать для этого специальные «учебные» сайты и дистрибутивы операционных систем. В них намеренно есть уязвимости, чтобы начинающие пентестеры могли практиковаться во взломе разной сложности.

Программное обеспечение для брутфорса можно скачать вместе с Kali Linux или после установки нужного дистрибутива ОС. Не забудьте отключить антивирус и брандмауэр перед запуском. 

Профессия «Белый» хакер Начните с программирования на Python и JavaScript, изучите Linux и Windows и освойте тестирование на проникновение. После курса вы сможете претендовать на позицию junior-специалиста по кибербезопасности. Посмотреть программу

Различные методы брутфорс атак WordPress / Хабр

В этой статье вы узнаете о том, как взламывать учетные данные сайтов на WordPress с помощью различных брутфорс атак.

Содержание:


  • Предварительные требования
  • WPscan
  • Metasploit
  • Люкс Burp
  • Как обезопасить сайт от брутфорса?

Предварительные требования


  • Сайт на WordPress. Здесь мы будем использовать собственную лабораторию для пентеста, о созданию которой был посвящен наш предыдущий пост.
  • Kali Linux (WPscan). Более подробно о WPScan и его возможностях мы уже писали, а вместо Kali Linux можно использовать любую другую из ОС для белого хакинга.
  • Burp Suite (Intruder). Более подробно о данном инструменте можно узнать здесь.

WPscan

WPscan – это фреймворк, который используется в качестве сканера уязвимостей методом «черного ящика». WPscan предустановлен в большинстве дистрибутивов Linux, ориентированных на безопасность, а также доступен в виде подключаемого модуля.

Здесь мы будем использовать WordPress, размещенный на локальном хосте.

Во время перебора можно использовать:


  • Собственные общие списки логинов и паролей
  • Базы логинов и паролей, которые уже есть в Kali Linux

В данном случая был использован файл паролей rockyou.txt, который предоставляется со стандартной Kali Linux и содержит 14 341 564 уникальных пароля.

wpscan --url http://192.168.1.100/wordpress/ -U users.txt -P /usr/share/wordlists/rockyou.txt

  • –URL — это параметр URL-адреса, за которым следует URL-адрес веб-сайта WordPress для сканирования.
  • -U будет перебирать только указанные имена пользователей, в нашем случае это users.txt
  • -P перебор паролей из предоставленного списка rockyou.txt

Продолжительность сканирования во многом зависит от размера файла имен и паролей. В нашем случае мы сопоставляем большое количество имен с еще большим количеством паролей, что может сказаться на производительности сайта.

Атака прошла успешно и на экране видим совпадение логина admin и пароля flower.


Metasploit

Metasploit также идет предустановленным в Kali Linux. Первым делом нужно попасть в консоль Metasploit, а затем запустить модуль WordPress. Этот модуль msf будет запускать проверку логинов и паролей. Сначала будут проверены имена пользователей, а затем с ними будут сопоставлены пароли.

msf > use auxiliary/scanner/http/wordpress_login_enum
msf auxiliary(wordpress_login_enum) > set rhosts 192.168.1.100
msf auxiliary(wordpress_login_enum) > set targeturi /wordpress
msf auxiliary(wordpress_login_enum) > set user_file user.txt
msf auxiliary(wordpress_login_enum) > set pass_file pass.txt
msf auxiliary(wordpress_login_enum) > exploit

Как и в предыдущем случае атака прошла успешно, в результате которой были полчены:


  • Логин: admin
  • Пароль: flower


Burp Suite

Можно опять использовать предустановленную в Kali версию или скачать Burp Suite Community Edition. Далее запускаем Burp Suite и открываем страницу входа в WordPress. Затем включаем вкладку перехвата в Burp Proxy. Далее вводим любое имя пользователя и пароль по вашему выбору для входа на сайт WordPress. Это перехватит ответ текущего запроса.

Посмотрите на изображение ниже и обратите внимание на последнюю строку перехваченного сообщения, где указаны учетные данные для входа как raj: raj, которые были использованы для входа в систему. Теперь нужно отправить эти данные в Intruder, что можно сделать с помощью сочетания клавиш ctrl + I или выбрав опцию Send to Intrude в контекстном меню.

Теперь открываем вкладку Intruder и видим запрос базового шаблона, который был сюда отправлен. Выбираем Positions, где по умолчанию активно несколько позиций, которые помечены символами §. Все, что находится между двумя символами §, заменяется полезной нагрузкой. Но сейчас все они нам не нужны, поэтому нажмите кнопку очистки в правом нижнем углу окна редактора.

Выбираем позиции, как показано на скриншоте, а также нажимаем кнопку add справа. Это настроит выбранные позиции как точки вставки полезной нагрузки. Теперь выбираем тип атаки.
Поскольку у нас есть 2 позиции полезной нагрузки, то выберем cluster bomb. Этот метод брутфорса очень эффективен в нашем случае. Он помещает первую полезную нагрузку в первую позицию, а вторую полезную нагрузку во вторую позицию. Но когда он проходит через наборы полезных данных, то пробует все комбинации. Например, когда есть 1000 логинов и 1000 паролей, тогда будет выполнено 1 000 000 запросов.

Теперь нажимаем кнопку start attack.

На вкладке payloads в раскрывающемся списке можно увидеть числа 1 и 2. Выберите 1 для первой позиции полезной нагрузки и установите для него простой список. В простой список можно вручную добавлять элементы с помощью кнопки add , а также вставлять список с помощью буфера обмена или загрузки из файла.

Аналогично ставим цифру 2 для другой позиции и выбираем для нее Runtime file, что полезно при работе с большими списками. Указываем путь к любому файлу-словарю, который содержит только список паролей. Нажимаем start attack.

Обратив внимание на статус и длину полезных данных, где видно, что учетные данные admin и flower имеют статус 302 и длину 1203, что отличается от всех других комбинаций. Это значит, что логин: admin и пароль flower – именно то, что мы хотели получить.


Как избежать брутфорса?

Конечно, этих атак можно избежать, используя следующие меры предосторожности:


Длина пароля

Оптимальная длина пароля должна составлять 8-16 символов. Важно избегать использования наиболее распространенных паролей и часто их менять.


Сложность пароля

Надежный пароль должен состоять из:


  • Символов верхнего регистра (A)
  • Символов нижнего регистра (a)
  • Цифр
  • Специальных символов

Надежный пароль не гарантирует 100%, но по крайней мере позволяет значительно увеличить время взлома.


Ограничение попыток входа в систему

Ограничение попыток входа позволяет сильно усложнить процесс брутфорса.

Например, после трех неудачных попыток входа в систему данный IP-адрес должен быть заблокирован на какое-то время, чтобы пресечь дальнейшие попытки входа в систему.


Двухфакторная аутентификация

Следующий способ защиты от брутфорса – двухфакторная аутентификация или 2FA. Обычно в качестве второго подтверждения используют телефон или почту.


Captcha

Установить капчу на WordPress довольно просто, например, с помощью многочисленных плагинов. Капча поможет предотвратить ботами выполнение автоматических скриптов для входа в вашу учетную запись.


Плагин брандмауэра WordPress

Даже неудачные брутфорс атаки могут замедлить работу сайта или полностью вывести сервер из строя. Вот почему так важно их заблокировать, для чего и понадобиться брандмауэр, который отфильтровывает плохой трафик и блокирует ему доступ к вашему сайту.


Подключить СDN сервис

CDN (Content Delivery Network) — сеть доставки и дистрибуции контента, более подробно о которой можно узнать здесь. Для нас главное, что CDN обеспечивают надежную защиту от брутфорса.

Топ 6 CDN c бесплатными решениями для WordPress:


  • Cloudflare
  • Jetpack
  • Swarmify
  • Amazon CloudFront (1 год бесплатного доступа)
  • Incapsula
  • JS Deliver

Установить и настроить бэкап плагин

На крайний случай будет полезно установить и настроить бэкап плагин. По крайней мере в случае удачной атаки будет возможность восстановить данные. Есть несколько отличных плагинов для WordPress, которые позволяют делать резервные копии автоматически.


Отключение просмотра каталогов и автоматических обновлений

Еще один способ снизить риск брутфорс атаки для сайта на WordPress.

Что такое брутфорс (brute force attack)?

При освещении в СМИ вируса NotPetya не сообщалось, что он мог наделать еще больше зла. Например, брутфорс на парламент Великобритании. Это является еще одним напоминанием того, что brute force остается глобальной угрозой:

Это также наводит нас на важные вопросы — в первую очередь, как такое могло произойти:

Подобные проблемы заставляют задуматься о том, что нужно глубже исследовать этот тип атаки.

  • Брутфорс — что это?
    • Имеют ли место brute force атаки онлайн?
    • Рост количества случаев credential stuffing
    • Обнаружение brute force атак
    • Практика обнаружения атак
    • Обнаружение атак через Cyber Kill-Chain

На данный момент существуют два основных метода взлома в Сети: использование человеческих ошибок или догадки. Допущенные ошибки лежат в основе множества атак: фишинг (ошибка пользователя), использование недостатков конфигурации (ошибка администратора) или уязвимости нулевого дня (ошибка разработчика). Но на предположениях основан другой тип атак — brute force.

Чаще всего брутфорс атаки используются для подбора учетных данных. Хотя их можно применять для взлома URL-адреса.

Классическая brute force атака — это попытка «угадать» пароль в ПК, когда злоумышленник завладел зашифрованным его значением.

Оно позволяет хакеру использовать мощные компьютеры для тестирования большого количества паролей без риска быть обнаруженным. С другой стороны, такая brute force атака не может быть первым этапом. Для этого злоумышленник должен уже иметь копию зашифрованных паролей.

Онлайн-атака — это, когда злоумышленник пытается взломать функцию входа в систему или приложение с помощью подбора учетных данных. Так как ему не нужно сначала получать зашифрованные пароли, хакер может использовать этот метод при попытке проникнуть в систему.

Одновременно подобрать имя пользователя и пароль непросто. Большинство систем при неудачном входе в систему не сообщают, что было введено неверно: имя пользователя или пароль. Первый шаг, который предпринимает злоумышленник — это попытка атаковать известных пользователей.

Хакер может находить имена пользователей, используя открытые исследования. Во многих организациях, например, логины пользователей имеют предсказуемую структуру, основанную на имени сотрудника. Простой поиск в LinkedIn позволяет выявить большое количество имен пользователей.

Тем не менее, этот тип классической brute force атаки онлайн является скорее гипотетической. Причина проста: у большинства современных систем и приложений есть встроенная блокировка. Если пользователю не удается войти в систему за несколько попыток, учетная запись блокируется и для ее разблокировки требуется вмешательство администратора.

Сегодня такая защита от брутфорса создает больше головной боли для IT-отделов, чем для злоумышленников. Обработка таких блокировок становится более насущным вопросом, чем обнаружение brute force.

Исключение составляют пользовательские приложения. Хотя традиционный вход в Windows не может быть использован для brute force, новое веб-приложение, разработанное специально для предстоящей маркетинговой кампании, вполне для этого подходит.

В то время как классические онлайн-атаки с использованием brute force, идут на убыль, credential stuffing только набирает обороты.

Credential stuffing — это атака, в которой злоумышленники используют пары имя пользователя / пароль, украденные с общедоступных сайтов, чтобы проникнуть в атакуемую систему.

Количество успешных атак на общедоступные сайты увеличивается, и злоумышленники публикуют базы учетных данных или продают их на подпольных биржах. Предположение, которое слишком часто оправдывается, заключается в следующем: люди используют одинаковое имя пользователя и пароль на разных сайтах.

Подбор пароля брутфорсом при Credential stuffing позволяет обойти блокировку, поскольку каждое имя пользователя вводится только один раз. Использование известной пары имя пользователя / пароль увеличивает вероятность успеха с меньшим количеством попыток.

Поскольку в качестве контрмеры блокировка не эффективна, организации часто применяют двухфакторные механизмы аутентификации. Двухфакторная аутентификация требует, чтобы у пользователя было что-то еще помимо пароля. Например, номер мобильного, на который пользователь может получить текстовое сообщение.

Поскольку двухфакторная аутентификация громоздка, успешная аутентификация обычно одобряется на основе любого «аналогичного» доступа. «Аналогичный» доступ может представлять собой использование одного и того же устройства или географического местоположения.

Многие из нас сталкивались с сайтами, требующими двухфакторной аутентификации при обращении с нового устройства, публичной сети или во время поездок.

Хотя двухфакторная аутентификация является надежным решением, она имеет существенные недостатки: при ней изменяется пользовательский интерфейс и она предполагает интерактивный вход в систему.

Нет ничего более раздражающего, чем натолкнуться на двухфакторную аутентификацию при входе со смартфона. В результате эта опция часто оставляется на усмотрение пользователя в качестве дополнительного варианта. Поэтому возникает необходимость в системе обнаружения, связанной с использованием аналитики, которая бы распознавала метод брутфорса.

Часто рекомендуемый метод обнаружения brute force атак связан с определением классических атак. Это обнаружение нескольких неудачных попыток входа в систему для одного пользователя за короткий промежуток времени.

Многие рекомендации для начинающих при создании правил корреляции SIEM (Security Information and Event Management) делают упор на обнаружение brute force атак именно по такому сценарию. Хотя это изящный и простой путь, но он предназначен для определения практически несуществующего вектора атак.

Фактор, который дает возможность идентифицировать brute force атаку при аутентификации — это большое количество неудачных попыток входа в систему. Но поскольку пользователь не может быть ключом к обнаружению, система должна сосредоточиться на другом ключе, чтобы связать поток событий, составляющих атаку.

Один из методов — отслеживание неудачных попыток аутентификации с одного IP-адреса. Но публичные IP-адреса становятся более дорогими, поэтому все больше пользователей получают общий IP-адрес.

Чтобы справиться с этой проблемой, механизм обнаружения должен определять нормальную скорость соединений или сбоев от исходного IP-адреса, чтобы установить, какой будет ненормальная скорость. Тем самым принимая во внимание тот факт, что несколько пользователей могут подключаться к одному и тому же IP-адресу.

Детектор также может использовать отпечаток устройства (комбинацию свойств в событии аутентификации, характерных для устройства) для дифференциации конкретного источника из числа тех, которые используют один и тот же IP-адрес. Но это не может быть основным фактором, а лишь способствует проверке потенциального злоумышленника. Большинство таких отпечатков находятся под контролем злоумышленника и могут быть подделаны.

Распределенные брутфорс атаки, например, путем использования ботнета или перенаправления через сеть прокси-серверов TOR, еще больше усложняют задачу. Отслеживание источника становится неэффективным. Фильтрация устройств может работать до определенной степени. Особенно если атака выполняется одним источником, но через несколько маршрутов. В качестве дополнительной меры можно использовать информацию о потенциальных угрозах, которая помогает идентифицировать доступ с известных узлов бот-сетей или прокси-серверов.

До сих пор мы предполагали, что события, анализируемые для установления атаки, являются ярко выраженными. Любое событие неудавшегося входа в систему определяется как успешная или безуспешная попытка, а имя пользователя всегда находится в одном поле и имеет один формат.

Но обработка потока событий для подготовки их к анализу и обнаружению брутфорс также является проблемой, которую нужно рассматривать отдельно.

В качестве примера возьмем Windows, самый распространенный источник. Событие входа в систему Windows (идентификатор события 4624) и событие неудачного входа Windows (идентификатор события 4625) регистрируются локально на каждом компьютере. Это делает более сложным сбор информации. Это также означает, что злоумышленник, который владеет компьютером, может заблокировать ее получение. Контроллер домена регистрирует событие аутентификации, которое может использоваться как прокси для события входа в систему.

Когда поймем, какие события отслеживать, нам все равно нужно знать, как правильно идентифицировать успешную или безуспешную попытки входа в систему. Успешная или безуспешная попытки локального входа — это отдельные события, которые для аутентификации контроллера домена помечаются внутри события.

Приведенные ниже результаты поиска в Splunk (в поисковом хранилище GoSplunk), которые я использовал для идентификации успешных и безуспешных попыток входа в Windows, демонстрируют уровень знаний, необходимых для извлечения такой информации из событий. Это даже без учета аутентификации контроллера домена.

source="WinEventLog:security" (Logon_Type=2 OR Logon_Type=7 OR Logon_Type=10) (EventCode=528 OR EventCode=540 OR EventCode=4624 OR EventCode=4625 OR EventCode=529 OR EventCode=530 OR EventCode=531 OR EventCode=532 OR EventCode=533 OR EventCode=534 OR EventCode=535 OR EventCode=536 OR EventCode=537 OR EventCode=539) | eval status=case(EventCode=528, "Successful Logon", EventCode=540, "Successful Logon", EventCode=4624, "Successful Logon", EventCode=4625, "Failed Logon", EventCode=529, "Failed Logon", EventCode=530, "Failed Logon", EventCode=531, "Failed Logon", EventCode=532, "Failed Logon", EventCode=533, "Failed Logon", EventCode=534, "Failed Logon", EventCode=535, "Failed Logon", EventCode=536, "Failed Logon", EventCode=537, "Failed Logon", EventCode=539, "Failed Logon") | stats count by status | sort - count

Обнаружение brute force атак является непростой задачей при защите от брутфорса WordPress. Ни один из методов обнаружения, описанных выше, не дает 100-процентной гарантии результата, а злоумышленники в свою очередь постоянно совершенствуют методы противодействия их обнаружению.

Поэтому крайне важно, чтобы любая система, используемая для обнаружения brute force атак, включала в себя нестандартные алгоритмы и, чтобы эти алгоритмы обнаружения постоянно обновлялись.

Пожалуйста, оставляйте ваши отзывы по текущей теме материала. Мы очень благодарим вас за ваши комментарии, дизлайки, лайки, отклики, подписки!

Дайте знать, что вы думаете по этой теме статьи в комментариях. За комментарии, лайки, отклики, дизлайки, подписки огромное вам спасибо!

Пожалуйста, опубликуйте ваши комментарии по текущей теме материала. За комментарии, дизлайки, подписки, отклики, лайки низкий вам поклон!

Вадим Дворниковавтор-переводчик

Брутфорс учетной записи администратора Windows

В этой статье я познакомлю вас с интересным инструментом для локальных атак повышения привилегий в Windows. Инструмент называется localbrute.ps1 и представляет собой простую тулзу, написанную на PowerShel для брутфорса локальной учетной записи администратора Windows.

Еще по теме: Рабочие техники повышения привилегий в Windows

Инструмент не требует каких-либо сторонних модулей и мало весит, что делает его отличным дополнением к традиционным методам повышения привилегий, применимым к различным сценариям тестирования на проникновение.

Брутфорс учетной записи администратора Windows

Атака на локальные административные учетные записи, такие как встроенная учетная запись «Администратор» или любая другая учетная запись, входящая в локальную группу «Администраторы», может быть весьма интересным вектором атаки, главным образом из-за отсутствия политики блокировки учетных записей.

Мы можем попробовать столько попыток входа в систему, сколько захотим. Если удастся подобрать пароль, получим полный контроль над системой и сможем:

  • Отключить любые средства защиты и безопасности в системе.
  • Извлечь учетные данные.
  • Создать необработанные сетевые пакеты и запускать эксплойты для атак на другие системы локальной сети..
  • Получить доступ к защищенным областям системы, чтобы найти конфиденциальную информацию

Инструмент localbrute PowerShell выполняет брутфорс локально в самой целевой системе, поэтому его использование весьма специфично.

Этот инструмент может быть полезен в тех случаях, когда есть учетные данные пользователя с низким уровнем привилегий и когда есть возможность запускать команды — например, через сеанс RDP или через терминал.

Мы также можем использовать этот инструмент при тестировании какой-то ограниченной или изолированной среды — например, VDI, где есть доступ только на уровне пользователя.

Во всех этих случаях инструмент localbrute.ps1 может помочь повысить привилегии.

Особенности localbrute.ps1

localbrute.ps1 выполняет попытки входа в систему локально в системе, используя встроенные функции Windows. Вот основные особенности инструмента:

  • Выполняет атаки входа в систему против любой выбранной локальной учетной записи, используя предоставленный список слов.
  • Написан на чистом PowerShell — дополнительных модулей не требуется.
  • Не является вредоносным — не обнаруживается антивирусами и EDR.
  • Маленький размер.

В настоящее время в репозитории GitHub доступны две версии localbrute.ps1 — мини и обычная версия. Единственное отличие состоит в том, что обычная версия немного длиннее и имеет следующие дополнительные функции:

  • Поддерживает возобновление перебора паролей.
  • Находит уже взломанные учетные записи пользователей.

Давайте разбираться, как использовать и как работает тулза.

Использование LocalBrute.ps1

Первое, что надо сделать, это определить учетные записи администраторов в системе. Обычно к ним относятся:

  • Члены локальной группы администраторов
  • Сама учетная запись локального администратора

Вот как мы можем найти учетные записи локальной группы администраторов:

net localgroup administrators

Теперь, запустите localbrute:

Import-Module . \localbrute.ps1

Использование:

localbrute   [debug]

Пример:

localbrute Administrator .\rockyou.txt

Учтите, что перебор пароля может занять много времени.

Как это работает?

Инструмент просто перебирает  методом брутфорс предоставленный список слов словаря и пытается аутентифицироваться. Он использует внутренние функции Windows DirectoryServices.AccountManagement в контексте локального компьютера. Фактически, это позволяет тестировать аутентификацию для любой локальной учетной записи.

Вот фрагмент кода PowerShell для локальной проверки учетных данных:

1

2

3

4

5

6

$u = ‘Administrator’

$p = ‘Pa$$w0rd!’

Add-Type -AssemblyName System.DirectoryServices. C) тулза запишет последний найденный пароль из заданного списка слов для данного имени пользователя. Это позволяет продолжить (возобновить) атаку после перезапуска.

В файле состояния также хранятся записи об уже взломанных учетных записях.

Вы можете включить режим отладки, чтобы увидеть процесс перебора:

Скорость перебора паролей учетной записи администратора Windows

Скорость около 100-200 попыток входа в систему в секунду, в зависимости от производительности системы.

Конечно, это не быстро, но все же намного быстрее, чем другие подобные инструменты.

Скорость перебора:

Продолжительность работыКоличество попыток входа в систему
1 секунда100 – 200
1 минута6k – 12k
1 час360k – 720k
1 день8.6M – 17.3M

Т.е. мы могли бы, например, перебрать весь список слов из популярного словаря rockyou. txt (14,3 млн записей) за 19,9–39,8 часов (1-2 дня). Это не так уж и плохо.

Параллельно запускаете localbrute

Параллельное запуск нескольких экземпляров сценария localbrute не увеличит скорость перебора. Не запускайте сценарий параллельно, потому, что только один процесс может вызывать ValidateCredentials ().

Заключение

Сценарий localbrute.ps1 представляет собой простой инструмент для брутфорса локальной учетной записи администратора Windows.

Из-за отсутствия политики блокировки учетных записей для локальных учетных записей мы можем использовать его для проверки надежности пароля локально привилегированных учетных записей и обнаружения учетных записей, настроенных со слабыми паролями.

Еще по теме: Поиск учетных записей и служб в сетях Windows

Как взломать пароль с помощью брутфорс атаки.

В области информационной безопасности и тестах на проникновения, не редко возникает задача, когда нужно взломать пароль. Это может быть хеш пароля администратора системы Windows, пароль к беспроводной точке доступа или любой другой хеш, который вам удалось добыть. В этих случаях для взлома хеша и получения пароля, используется техника — хешкракинг.

Что такое хешкрекинг?

Восстановление паролей к хешам, или хешкрекинг (от англ. hash cracking), — весьма увлекательный процесс, для которого требуются хорошие знания в различных областях — криптографии, комбинаторике, программировании и многом другом. Нужно также отлично разбираться в железе, чтобы обеспечить бесперебойную работу своей фермы в течение многих недель и месяцев при максимaльной загрузке.

При этом настоящий хешкрекер часто полностью изолирован от этапов извлечения хешей и применения сломанных паролей для доступа к чужим аккаунтам. Более того — ему это неинтересно, он же не хакер. На всех хешкрекерских форумах публикуются только хеши (или списки хешей) для расшифровки. Эти списки не содержат ни имени ресурса, ни имен пользователей, ни почтовых ящиков, ни IP-адресов, никакой другой приватной информации. Поэтому, даже сломав пароль, хешкрекер никогда его не применит, так как просто не знает — откуда он. А если б и знал — все равно не применит, так как его цель — сам процесс хешкрекинга, ведь для него это почти искусство.

Большинство хешкрекеров на форумах — этакие робин гуды. Они тратят свое время и ресурсы на то, чтобы помочь сломать хеши другим пользователям, и при этом непрерывно накапливают себе новые пароли и правила их формирования. Для них любые хеши — этo вызов их интеллекту, их опыту, их мастерству. И эти парни находят сложнейшие пароли, которые никто другой восстановить не может. Как у них это получается? Каким софтом и железом они пользуются? Что еще нужно знать, чтобы ломать хеши так же эффективно, как они? Об этом мы и расскажем в нашей статье.

Рис. 1. Хеши и пароли пользователей

Софт

Сейчас хешкрекинг в основном производится на видеопроцессорах (GPU). На обычных процессорах (CPU) брутятся только те алгоритмы, которые не реализованы под GPU. Для брута на GPU фактичeски уже стандартом стало использование программы oclHashcat, имеющей сборки как для Windows, так и для Linux, а также поддерживающей все современные видеопроцессоры — и NVIDIA, и AMD. Совсем недавно ее автор перевел программу в разряд Open Source, и теперь она доступна на GitHub, так что каждый желающий может присоединиться к работе над ее новыми версиями.

Для распределения работы этой программы между несколькими компьютерами используется оболочка hashtopus. Другим популярным GPU-брутфорсером остается нестареющий John the Ripper (JtR) в сборке Jumbo, который также имеет множество алгоритмов под все видеокарты, но для получения максимальной эффективности его желательно все-таки пересобирать под каждую конкретную конфигурацию железа.

Для работы на CPU программ гораздо больше, но самыми функциональными остаются все те же hashcat и JtR. Еще можно к ним добавить программу Hash Manager, которая больше заточена под обработку хешей в «промышленных масштабах», то есть очень крупных списков, которые не удается загрузить в другие программы. Все эти программы бесплатные, и каждый решает сам, что выбрать себе для ежедневной работы, только практика показывает, что желательно уметь владеть всем этим софтом — как правило, профессиональные хешкрекеры используют ту или иную программу в зависимости от конкретной ситуации.

Еще нужно учесть, что все эти программы консольные, не имеют встроенного GUI и, чтобы использовать их максимально эффективно, нужно уметь работать в консоли (см. врезку). А в идеале еще нужно уметь программировать командные файлы (BAT или CMD), чтобы максимально гибко настраивать работу программ. Тогда можно однократно составить для себя комплект командных файлов для разных атак, а потом, когда все настроено, весь хешкрекинг сведется к заполнению файла нужными хешами и запуску того или иного командного файла c определенными параметрами.

Консоль — райский дом хешкрекера

Самый продвинутый хешкрекерский софт — консольный и управляется либо через параметры командной строки, либо через редактирование файлов конфигурации. Но тенденция такова, что пользователи все дальше и дальше уходят от консоли, требуют графического интерфейса и наиболее популярный вопрос с форумов по работе с такими программами звучит так: «Я запустил программу, выскочило черное окно и закрылось. Что делать?» Ответ очевиден — изучать консоль.

Скорее всего, линуксоиды и так владеют навыками работы в консоли, а вот для пользователей Windows лучшим выбором будет программа FAR Manager. С ее помощью очень удобно работать со списками хешей и другими файлами. А если ее объединить с дополнительными инструментами (например, из состава программы Hash Manager), то получится просто убойный комплект, позволяющий обрабатывать любые файлы буквально за секунды.

[ad name=»Responbl»]

Для этого нужно через пользовательское меню (по нажатию F2) на нужные клавиши назначить самые часто используемые инструменты — отсортировать файл, извлечь пароли из файла результатов, подсчитать количество строк в файле и так далее. После этого вся работа с нужным файлом сведется к трем действиям — встать на него курсором, вызвать F2 и нажать горячую клавишу.

После того как полностью настроишь FAR под себя — цветовой раскраской файлов, быстрыми клавишами для инструментов, быстрыми переходами в нужный каталог и так далее — вся рутинная работа хешкрекера станет очень комфортной, а значит — и очень эффективной.

Железо

Хешкрекеры в плане железа почти ничем не отличаются от майнеров криптовалют и собирают себе такие же фермы на видеокартах. Правда, в них не десятки видеокарт, но наличие нескольких мощных видеокарт — это уже почти норма для брута хешей (см. рис. 2).

Рис. 2. Хорошая настольная ферма для брута хешей на пяти видеокартах

Требования к ферме такие же, как и при майнинге криптовалют, то есть нужно хорошее охлаждение, стабильное электропитание и грамотное размещение видеокарт, чтобы они не нагревали друг друга. До недавнего времени основными видеокартами для брута служили (как и в майнинге) видеокарты на процессорах AMD, так как они были более эффективны по соотношению цена/скорость. Однако после релиза архитектуры sm_50 (Maxwell) от NVIDIA выяснилось, что она лучше для брута, при этом видеокарты с такой архитектурой потребляют гораздо меньше электроэнергии, а также более тихие и холодные. И сейчас эффективнее всего для брута хешей карты NVIDIA GTX 980Ti (см. рис. 3).

И недаром же на форуме InsidePro все больше и больше хешкрекеров переходят на эти видеокарты (судя по подписям в их сообщениях) — при пиковом потреблении всего 165 Вт на алгоритме MD5 они выдают скорость порядка 15 миллиардов паролей в секунду. Но у них один недостаток — высокая цена, которая практически не снижается, а в связи со скачком курса доллара она поднялась еще больше. Если же основной критерий — цена, а все остальные параметры не важны, то можно взять видеокарты на процессорах AMD и упаковать ими свою ферму. К примеру, обычная цена системы c двумя средними видеокартами составляет около 1200–1300 долларов.

Можно ли заработать на хешкрекинге?

Да, конечно. Как правило, заработать можно в любом деле, главное — быть в этом деле профессионалом. И хешкрекинг — не исключение. На всех хешкрекерских форумах есть платные разделы, где размещаются заказы на взлом хешей. Имея хорошие словари, можно попробовать свои силы во взломе таких хешей. Только надо учитывать, что основное правило на таких форумах — кто первый сломал хеш, тот и получает плату за него. Поэтому мощное железо просто необходимо, чтобы успеть сломать хеш быстрее других хешкрекеров. Как правило, взлом таких хешей и составляет основной доход хешкрекера.

Есть еще вариант заработка, набирающий популярность в последнее время, но он уже для владельцев крупных ферм. Можно такие фермы сдавать в аренду хешкрекерам с посуточной оплатой: часто бывает так, что нужно быстро пробрутить особо ценный хеш на хорошую глубину, а мощности одной или даже нескольких видеокарт явно недостаточно. Или же крупные мощности могут потребоваться на время проведения конкурсов по хешкрекингу.

Рис. 3. GTX 980Ti — отличный выбор для хешкрекинга

Что касается CPU, то тут все просто — чем больше ядер, выше частота и больше объем кеша, тем быстрее будет идти перебор. Мощный процессор позволит как использовать ферму для перебора паролей на GPU, так и параллельно с ними нагружать CPU второстепенной работой — например, проверкой других хешей по словарям, пока все GPU заняты гибридной или комбинированной атакой. Поддержка новейших наборов команд (SSE и AVX последних версий) также необходима, так как почти все вышеперечисленные программы имеют код, заточенный под эти наборы команд, что существенно увеличивает скорость перебора.

А есть хоть что-то, в чем CPU еще может конкурировать с GPU по скорости брута? При небольших объемах — нет, конечно. Но вот на больших списках хешей в десятки миллионов хешей (особенно соленых) очень часто обработка списка на CPU дает такую же скорость или даже большую, чем на видеокарте. А уж сотни миллионов хешей в GPU часто просто не загрузить физически — остается только разбивать список на более мелкие фрагменты и брутить их по очереди, но это пропорционально увеличивает время атаки, в то время как на CPU можно загрузить и обработать весь список за один заход, если позволяет объем RAM.

[ad name=»Responbl»]

И есть еще одна тема, где со временем CPU может обогнать GPU, — это сопроцессор Intel Xeon Phi. Да, его цена пока очень высока, но, возможно, со временем она станет приемлемой, и его можно будет прикупить и задействовать для брута хешей на домашнем компьютере. Вот тогда может получиться очень мощная система, так как в нем присутствует около 60 четырехъядерных процессоров (в зависимости от модели), а это даст нам до 240 потоков для перебора. На тяжелых алгоритмах типа bcrypt (которые очень медленны даже на видеокартах) этот сопроцессор может быть в разы быстрее даже самых топовых видеокарт, так что не зря ребята из команды john-users прозвали его «убийцей bcrypt». Правда, хешкрекерского софта под него в паблике пока нет, но со временем он обязательно появится.

Конечно, читатель может возразить — а как же микросхемы FPGA (ПЛИС), выдающие при майнинге того же биткойна огромные скорости? Да, они выдают даже терахеши в секунду, только они запрограммированы под единственный алгоритм SHA-256, который при хешировании обычных паролей пользователей применяется весьма редко (а другой популярный алгоритм майнера — SCRYPT — применяется еще реже). Плюс сама по себе микросхема ПЛИС выдает невысокую скорость, а терахеши получаются путем объединения десятков (а то и сотен микросхем) в матрицы, а это уже недешевое решение. Но главный недостаток всех ПЛИС — они программируются только на брут одиночного хеша. Конечно, на эти микросхемы уже портировано множество алгоритмов, включая MD5, но практической пользы от этого мало — выгодней купить видеокарту. Хотя и Altera, и Xilinx развивают свои линейки ПЛИС весьма активно, и со временем эта тема тоже может стать очень интересной для хешкрекера.

Словари

Успех в хешкрекинге основан на хороших словарях, желательно состоящих из реальных паролей пользователей. Где же их взять? Есть три пути, рассмотрим их подробнее.

  1. Скачать из интернета готовые словари (погуглив слово wordlist). Это самый простой способ, но и словари эти весьма низкого качества — в них много мусора и искусственно нагенерированных слов, а мало реальных паролей. Так что этот вариант — если только на первое время.
  2. Скачать вложения (аттачменты) к сообщениям о сломанных хешах на форумах InsidePro и HashKiller — там часто размещаются просьбы о помощи при бруте крупных списков, и другие форумчане помогают, выкладывая свои результаты в формате хеш:пароль. А значит, можно накачать себе таких файлов и извлечь оттуда все пароли. Это уже будут очень хорошие словари, но у них будет один недостаток — все пароли из таких словарей лежат в паблике и доступны также и всем остальным хешкрекерам.
  3. Нарабатывать словари самому, постоянно обрабатывая списки невзломанных хешей, которые можно накачать с тех же форумов. Это самый действенный метод, хотя и самый долгий. Однако такие словари — наиболее ценные, так как содержат только реальные, уникальные и часто приватные пароли. У профессиональных хешкрекеров есть даже такой термин, как «майнинг реалпассов», то есть если есть платные хеши — ферма брутит их, если их нет — ферма не простаивает, а сутками брутит списки несломанных хешей с форумов, непрерывно нарабатывая все новые и новые уникальные пароли в копилку хешкрекера.

Очевидно, что тот, кто серьезно занимается хешкрекингом, идет по последнему пути и постепенно накапливает свой собственный и очень эффективный словарь.

Частотные словари

Допустим, имеется огромный список соленых хешей, который надо быстро обработать. Как это сделать, если атака по большому словарю даже на мощной ферме будет идти много суток, а то и недель? Ответ один — использовать частотные словари.

Что это такое? Это обычные словари, но в них пароли отсортированы в порядке убывания частоты их употребления. В таких словарях первыми идут наиболее популярные пароли — см. примеры таких словарей в дистрибутиве программы Hash Manager, файлы Top100xx.dic. Очевидно, что эффективней проверить хеши сначала на самые часто употребляемые пароли, затем — на более редкие и так далее. Это позволит быстро сломать все популярные пароли и существенно облегчить список хешей для последующей работы.

[ad name=»Responbl»]

Таким образом, накопив порядочно словарей, можно собрать по ним статистику, сформировать собственный частотный словарь и обработку всех тяжелых списков хешей начинать именно с него.

Дополнительные инструменты

Программы для брута хешей — это лишь малая часть софта из арсенала хешкрекера. Вернее, это его самая простая часть — взял файл с хешами, настроил нужные атаки и запустил. Всё — программа может крутиться сутками. Только поглядывай, сколько процентов хешей сломано.

Обычно через хешкрекера проходит множество всевозможных текстовых файлов:

  • списки хешей в разных видах и форматах, часто с перемешанными хешами разных типов, и нужно извлечь хеши отдельно по каждому алгоритму;
  • словари, которые надо чистить, сортировать, удалять повторы;
  • накопленные результаты брута, в которых часто перемешаны и несоленые хеши с паролями, и соленые хеши с паролями,
    и так далее.

В общем, сотни и тысячи подобных разнородных файлов — это еще та головная боль. И все выкручиваются по-разному — кто-то в том же линуксе делает часть работы командами самой ОС (например, grep), кто-то пишет себе скрипты на Perl, кто-то использует различные программы. Но факт очевиден — помимо брутфорсеров, нужны еще инструменты, которые должны работать с текстовыми файлами: сортировать, чистить, конвертировать из одного формата в другой, извлекать или переставлять данные, проверять формат и так далее.

Без этих инструментов работать крайне сложно, и поэтому с каждым брутфорсером обычно поставляется свой комплект различных утилит. И hashcat имеет такой комплект, и JtR тоже, но самый крупный комплект утилит под Windows имеет программа Hash Manager. В ней более 70 инструментов, построенных по принципу одна функция = один файл. Таким образом, из них, как из кирпичиков, можно собрать BAT-файл, выполняющий обработку файлов любой сложности. А 64-битные версии инструментов позволяют обрабатывать файлы неограниченного размера.

Вот пример BAT-файла, демонстрирующий, как из списка, в котором перемешаны хеши разных типов, вытащить только хеши от Magento с двухсимвольной солью:

REM Извлекаем только строки длиной 35 символов ExtractLinesByLen.exe %1 35 35
REM Переименовываем файл с извлеченными строками в файл 2.txt
MOVE /Y %1.Lines 2.txt
REM Проверяем формат хешей IsCharset.exe 2.txt ?h 1
REM Проверяем формат соли IsCharsetInPos.exe 2.txt 33 ':' IsCharsetInPos. exe 2.txt 34 ?l?u?d
IsCharsetInPos.exe 2.txt 35 ?l?u?d
REM Готово! В файле 2.txt остались только хеши от Magento

В дистрибутиве программы Hash Manager, в папке Bonus, можно найти около 30 готовых примеров, выполняющих различные полезные функции для хешкрекера.

Алгоритмы хеширования

С одной стороны, набор актуальных алгоритмов хеширования почти не меняется со временем. Причины просты — алгоритмы хеширования паролей пользователей ОС не меняются годами, да и в интернете сотни тысяч ресурсов все еще базируются на устаревших движках, и обновление версий не происходит, несмотря на то что все новые версии форумов и CMS уже поддерживают более надежное хеширование — например, в IPB версии 4 уже сразу стоит алгоритм bcrypt. С другой стороны, небольшие изменения все-таки происходят — все больше начинает попадаться очень тяжелых алгоритмов — различные варианты PBKDF2 и тот же bcrypt, которые брутятся с мизерной скоростью даже на фермах.

[ad name=»Responbl»]

Всего же известны уже сотни алгоритмов, примеры их хешей можно посмотреть здесь. Подавляющее большинство алгоритмов хеширования базируется на каком-либо из стандартных алгоритмов — MD5, SHA-1, SHA-256 и SHA-512 или на их комбинациях. Брутфорсеры давно уже поддерживают десятки таких алгоритмов в GPU-версиях и сотни алгоритмов в CPU-версиях.

Работа с любым хешем начинается с анализа его формата. Если он имеет какую-то знакомую сигнатуру (см. примеры хешей выше), то сразу понятно, каким алгоритмом его брутить. Если же хеш без сигнатуры, то анализируется движок того форума или CMS, откуда он взят. Большой список движков с описанием алгоритма в каждом из них имеется здесь. Если же движок известен, а алгоритм хеширования так и не понятен, то можно попробовать поискать в интернете дистрибутив этого движка и проанализировать его исходники, в части кода авторизации пользователей.

Если же исходников движка нет, тогда нужно заполучить хеш от какого-то заранее известного пароля — например, зарегистрировать пару новых пользователей на форуме, желательно с одинаковым простым паролем вида 123456. Если их хеши будут одинаковы (считаем, что доступ к хешам у хакера есть), значит, при хешировании используется только пароль. Если разные, то к паролю подмешивается еще что-то, уникальное для каждого пользователя, — соль, логин, email. А дальше можно попробовать подобрать алгоритм по имеющемуся паролю и хешу. Например, в программе Hash Manager, в папке BonusSearchAlgorithm есть BAT-файл для автоматического поиска алгоритма по всем доступным в программе алгоритмам (около 400), включая проверку паролей в кодировке Unicode, а также соли (или имени пользователя) в шестнадцатеричном виде.

Ну а если так и не удается определить алгоритм, то можно спросить на форуме — например, здесь. Вдруг кто-то уже сталкивался с такими хешами?

По другую сторону баррикады

Теперь посмотрим на хеши глазами администратора того ресурса, который он хочет максимально защитить от взлома. Как можно усложнить жизнь хешкрекеру или вообще сделать так, что хеши пользователей станут неломаемыми?

Иногда для этого достаточно перейти на самую свежую версию движка и выбрать алгоритм, самый медленный по скорости брута. Но если обновление движка не планируется, а администратор хочет максимально обезопасить пароли своих пользователей от подбора, то есть другой вариант — пропатчить код проверки пароля так, чтобы у всех вновь зарегистрированных пользователей (или сменивших свои пароли после определенной даты) пароли хешировались по-другому. Как?

Конечно, можно использовать любой стандартный тяжелый алгоритм из Linux-функции crypt() — sha512crypt или bcrypt. Но если удастся заполучить такие хеши, то хешкрекер по сигнатурам сразу определит алгоритм и сможет ломать хеши (хоть и медленно). Вывод — нужно хешировать пароли так, чтобы хешкрекер не мог однозначно определить алгоритм по виду хеша, а это делается только нестандартными методами.

[ad name=»Responbl»]

Например, можно подмешивать к паролю статическую соль (пусть даже одинаковую для всех, но очень длинную — 200–500 символов) и хешировать обычной PHP-функцией md5. Этой соли в БД форума нет (как, например, в движках vBulletin или osCommerce), она прошита только в PHP-коде, доступ к которому получить гораздо сложнее, чем к хешам. Но даже если заполучить эту соль, то почти нет брутфорсеров, поддерживающих работу с такой длинной солью (во всяком случае, на GPU — точно нет).

Другой вариант — циклически хешировать обычный MD5 от пароля этак 50–100 тысяч раз. На скорости авторизации пользователей это почти не скажется, но скорость брута таких хешей будет мизерной (при условии, что еще удастся выяснить количество итераций — опять же, только из PHP-кода). А если не удастся — то их вообще не сбрутить.

Еще можно взять более длинный хеш от другого алгоритма (например, SHA-256 или SHA-512) и вместо цельного хеша хранить в БД его фрагмент размером 32 символа из середины хеша (да еще и байты можно переставить). Хешкрекер, увидев такой хеш, будет уверен, что это MD5 (или его модификация), и будет пытаться сбрутить его, но бесполезно.

В общем, тут фантазия безгранична — автор за годы работы с хешами сталкивался с массой различных хитроумных видов хеширования, но факт налицо — очень много дампов от самописных CMS, или от коммерческих CMS без доступных исходников, или от пропатченных (по-видимому) форумов, и CMS остаются до сих пор несломанными. Что там внутри намешано при хешировании — неизвестно.

И нестареющий совет всем пользователям: самый надежный вариант защитить свой аккаунт от взлома, даже если был получен доступ к хешу от вашего пароля, — использовать длинный пароль, состоящий из случайных символов. Такие пароли не ломаются!

Конкурсы по хешкрекингу

А где хешкрекер может посоревноваться с другими хешкрекерами в своем умении ломать хеши? Конечно же, на конкурсах! Основные — конкурс Crack Me If You Can, проводимый фирмой KoreLogic в рамках ежегодной конференции DEF CON, и конкурс Hash Runner на ежегодной конференции Positive Hack Days.

Правила этих конкурсов весьма просты — нужно за ограниченное время (как правило, за 48 часов) сломать как можно больше конкурсных хешей и выполнить дополнительных заданий, также связанных с хешами. И так как время сильно ограничено, то на время таких конкурсов хешкрекеры всегда объединяются в команды.

[ad name=»Responbl»]

Исторически сложилось так, что с самых первых конкурсов сформировались три основные команды — InsidePro, hashcat и john-users, которые все эти годы стабильно делили меж собой три призовых места в различных комбинациях. Даже по названиям команд уже очевидно, вокруг какого софта или сайта они объединились. В составе каждой из команд есть автор этого софта, и причина этого тоже понятна — на конкурсах всегда встречаются новые или видоизмененные алгоритмы хеширования, и нужно очень быстро модифицировать программу-брутфорсер или добавить в нее новый алгоритм. Тому, кто не имеет возможности быстро (часто за несколько часов или даже минут) перекроить софт под нужные фишки, очень сложно претендовать на приз.

Все отчеты о конкурсах доступны на сайтах команд, а также на сайтах организаторов — например, тут.

Рис. 4. Архивное фото — организаторы конкурса по хешкрекингу на DEFCON 2012

К сожалению, других крупных конкурсов по хешкрекингу нет. Иногда бывают небольшие конкурсы на хешкрекерских форумах, но их размах гораздо меньше. А с другой стороны, многие профессиональные хешкрекеры всегда находятся в «режиме конкурса», так как на форумах периодически размещаются хеши стоимостью в сотни и даже тысячи долларов, поэтому сразу после их опубликования хешкрекеры включаются в борьбу за этот хеш, чтобы обойти других, первому сломать пароль и получить «приз», то есть плату за пароль.

Заключение

Усложнение алгоритмов хеширования и применение пользователями все более сложных и длинных паролей компенсируется увеличением вычислительной мощности хешкрекера и созданием все более мощных ферм, которые ломают хеши на таких скоростях, которые мы даже не могли себе представить еще несколько лет назад.

Но главное в том, что сама идеология — хранение паролей пользователей в виде хешей — многие годы уже не меняется, и это относится как к паролям пользователей интернет-ресурсов, так и к пользователям всевозможных операционных систем, а значит, знания в области хешкрекинга будут актуальны и на все ближайшие годы!

Как сломать хеш, если под руками нет ни железа, ни софта?

Для этого можно проверить свой хеш в онлайн-базах хешей типа www.cmd5.ru. Или сразу на сервисах типа www.hashchecker.de, которые проверяют хеш массово в десятках баз, и, может быть, тебе повезет.

Но у таких сервисов есть недостаток — в основном они содержат хеши от искусственно сгенерированных паролей. Пока единственный сервис, где собраны только реальные хеши и пароли пользователей, — Hash Finder. На нем уже накоплено более 500 миллионов таких хешей и паролей — все они были кем-то когда-то реально использованы, поэтому процент найденных паролей на нем гораздо выше, чем на других сервисах.

Еще вариант — разместить свой хеш (или список хешей) на одном из хешкрекерских форумов, где всегда можно получить помощь. Самые популярные форумы:

  • forum.insidepro.com;
  • forum.hashkiller.co.uk;
  • forum.antichat.ru/forums/76.

Также можно разместить свой хеш и в платных ветках этих форумов, указав цену за найденный пароль. Тогда с ним гарантированно начнут работать десятки хешкрекеров, и высока вероятность взломать пароль.

Click to rate this post!

[Total: 7 Average: 3.4]

Атаки полным перебором: защита паролем

Что такое атака полным перебором?

w3.org/1999/xhtml»> Атака грубой силы использует метод проб и ошибок для подбора регистрационной информации, ключей шифрования или поиска скрытой веб-страницы. Хакеры перебирают все возможные комбинации, надеясь угадать правильно.

Эти атаки осуществляются с помощью «грубой силы», что означает, что они используют чрезмерные силовые попытки, чтобы попытаться «проникнуть» в вашу личную учетную запись (аккаунты).

Это старый метод атаки, но он по-прежнему эффективен и популярен среди хакеров. Потому что в зависимости от длины и сложности пароля его взлом может занять от нескольких секунд до многих лет.

Что хакеры получают от атак грубой силы?

Злоумышленники грубой силы должны приложить немного усилий, чтобы эти схемы окупились. Несмотря на то, что технологии делают это проще, у вас все равно может возникнуть вопрос: зачем кому-то это делать?

w3.org/1999/xhtml»> Вот как хакеры извлекают выгоду из атак грубой силы:

  • Получение прибыли от рекламы или сбор данных о действиях
  • Кража личных данных и ценностей
  • Распространение вредоносного ПО для нарушения работы
  • Взлом вашей системы для вредоносной активности
  • Подрывание репутации веб-сайта

Получение прибыли от рекламы или сбор данных о деятельности.

Хакеры могут использовать веб-сайт вместе с другими для получения комиссионных за рекламу. Популярные способы сделать это включают:

  • Размещение спам-рекламы на посещаемом сайте, чтобы зарабатывать деньги каждый раз, когда посетители нажимают на рекламу или просматривают ее.
  • Перенаправление трафика веб-сайта на рекламные сайты по заказу.
  • Заражение сайта или его посетителей вредоносным ПО для отслеживания активности — обычно шпионским ПО. Данные продаются рекламодателям без вашего согласия, чтобы помочь им улучшить свой маркетинг.

Кража личных данных и ценностей.

Взлом учетных записей в Интернете может быть похож на взлом банковского хранилища: все, от банковских счетов до налоговой информации, можно найти в Интернете. Все, что требуется, — это правильный взлом, чтобы преступник мог украсть вашу личность, деньги или продать ваши личные учетные данные с целью получения прибыли. Иногда конфиденциальные базы данных целых организаций могут быть подвержены утечке данных на корпоративном уровне.

Распространение вредоносных программ с целью создания сбоев ради самих себя.

Если хакер хочет создать проблемы или попрактиковаться в своих навыках, он может перенаправить трафик веб-сайта на вредоносные сайты. В качестве альтернативы они могут напрямую заразить сайт скрытым вредоносным ПО для установки на компьютеры посетителей.

Взлом вашей системы для злонамеренной деятельности.

Когда одной машины недостаточно, хакеры привлекают целую армию ничего не подозревающих устройств, называемых ботнетами, чтобы ускорить свои усилия. Вредоносное ПО может проникнуть на ваш компьютер, мобильное устройство или онлайн-аккаунты для фишинговой рассылки спама, усиленных атак методом грубой силы и многого другого. Если у вас нет антивирусной системы, вы можете подвергаться большему риску заражения.

Подрывание репутации веб-сайта.

Если вы управляете веб-сайтом и стали объектом вандализма, киберпреступник может решить заразить ваш сайт непристойным содержимым. Это может включать текст, изображения и аудиоматериалы насильственного, порнографического или оскорбительного характера.

Типы атак грубой силы

w3.org/1999/xhtml»> Каждая атака методом грубой силы может использовать различные методы для раскрытия ваших конфиденциальных данных. Вы можете столкнуться с любым из следующих популярных методов грубой силы:

  • Простые атаки грубой силы
  • Атаки по словарю
  • Гибридные атаки грубой силы
  • Обратные атаки грубой силы
  • Вставка учетных данных

Простые атаки грубой силы: хакера пытаются логически угадать ваши учетные данные — без помощи программных инструментов или других средств. Они могут раскрывать чрезвычайно простые пароли и PIN-коды. Например, пароль, установленный как «guest12345».

Атака по словарю: при стандартной атаке хакер выбирает цель и запускает возможные пароли для этого имени пользователя. Они известны как атаки по словарю. Атаки по словарю являются основным инструментом в атаках грубой силы. Хотя сами по себе они не обязательно являются атаками методом грубой силы, они часто используются в качестве важного компонента для взлома паролей. Некоторые хакеры просматривают полные словари и дополняют слова специальными символами и цифрами или используют специальные словари слов, но этот тип последовательной атаки громоздок.

Гибридные атаки грубой силы: эти хакеры смешивают внешние средства со своими логическими догадками, чтобы попытаться взломать систему. Гибридная атака обычно смешивает атаки по словарю и методом полного перебора. Эти атаки используются для подбора комбинированных паролей, в которых обычные слова смешиваются со случайными символами. Пример атаки грубой силы такого рода может включать такие пароли, как NewYork1993 или Spike1234.

Атаки с обратным перебором: как следует из названия, атака с обратным перебором изменяет стратегию атаки, начиная с известного пароля. Затем хакеры просматривают миллионы имен пользователей, пока не найдут совпадение. Многие из этих преступников начинают с утечек паролей, которые доступны онлайн из существующих утечек данных.

Вброс учетных данных: если у хакера есть комбинация имени пользователя и пароля, которая работает для одного веб-сайта, он попытается использовать ее и для множества других. Поскольку известно, что пользователи повторно используют данные для входа на многих веб-сайтах, они являются исключительными целями подобных атак.

Инструменты Помощь при попытках грубой силы

Угадывание пароля для определенного пользователя или сайта может занять много времени, поэтому хакеры разработали инструменты для более быстрого выполнения этой работы.

Автоматизированные инструменты помогите с атаками грубой силы. Они используют быстрое угадывание, созданное для создания всех возможных паролей и попыток их использования. Программное обеспечение для взлома методом грубой силы может найти пароль из одного словарного слова в течение одной секунды.

Для подобных инструментов запрограммированы обходные пути:

  • Работа против многих компьютерных протоколов (таких как FTP, MySQL, SMPT и Telnet)
  • Разрешить хакерам взламывать беспроводные модемы.
  • Определение слабых паролей
  • Расшифровать пароли в зашифрованном хранилище.
  • Переведите слова на литс-язык — например, «don’thackme» станет «d0n7h5cKm3».
  • Выполнить все возможные комбинации символов.
  • Атаки по словарю.

Некоторые инструменты сканируют радужные таблицы перед вычислением на наличие входных и выходных данных известных хеш-функций. Эти «хэш-функции» представляют собой основанные на алгоритмах методы шифрования, используемые для преобразования паролей в длинные последовательности букв и цифр фиксированной длины. Другими словами, радужные таблицы удаляют самую сложную часть атаки грубой силы, чтобы ускорить процесс.

GPU ускоряет попытки подбора паролей

Для запуска программного обеспечения для подбора паролей требуются тонны вычислительной мощности компьютера. К сожалению, хакеры разработали аппаратные решения, которые значительно упрощают эту часть работы.

Сочетание ЦП и графического процессора (GPU) увеличивает вычислительную мощность. Добавляя тысячи вычислительных ядер в GPU для обработки, это позволяет системе справляться с несколькими задачами одновременно. Обработка GPU используется для аналитики, проектирования и других приложений, требующих больших вычислительных ресурсов. Хакеры, использующие этот метод, могут взламывать пароли примерно в 250 раз быстрее, чем один процессор.

Итак, сколько времени потребуется, чтобы взломать пароль? Для сравнения, шестизначный пароль, включающий цифры, имеет примерно 2 миллиарда возможных комбинаций. Взлом его с помощью мощного процессора, который перебирает 30 паролей в секунду, занимает более двух лет. Добавление одной мощной карты графического процессора позволяет одному и тому же компьютеру проверять 7100 паролей в секунду и взламывать пароль за 3,5 дня.

Шаги по защите паролей для профессионалов

Чтобы обезопасить себя и свою сеть, вам необходимо принять меры предосторожности и помочь другим сделать это. Поведение пользователей и системы сетевой безопасности потребуют усиления.

Как ИТ-специалистам, так и пользователям следует прислушаться к нескольким общим советам:

    w3.org/1999/xhtml»>
  • Используйте расширенные имя пользователя и пароль. Защитите себя с помощью более надежных учетных данных, чем admin и password1234 , чтобы не допустить этих злоумышленников. Чем сильнее эта комбинация, тем труднее будет кому-либо проникнуть в нее.
  • Удалите все неиспользуемые учетные записи с разрешениями высокого уровня. Это кибер-эквивалент дверей со слабыми замками, которые легко взломать. Необслуживаемые учетные записи — это уязвимость, которой вы не можете рисковать. Выбросьте их как можно скорее.

После того, как вы освоите основы, вы захотите укрепить свою безопасность и привлечь пользователей.

Мы начнем с того, что вы можете делать на сервере, а затем дадим советы по формированию безопасных привычек.

Пассивная серверная защита для паролей

w3.org/1999/xhtml»> Высокая скорость шифрования: чтобы затруднить успешные атаки методом грубой силы, системные администраторы должны убедиться, что пароли для их систем зашифрованы с максимально возможной скоростью шифрования, например 256-битным шифрованием. . Чем больше битов в схеме шифрования, тем сложнее взломать пароль.

Посолите хэш: администраторы также должны рандомизировать хэши паролей, добавляя случайную строку букв и цифр (называемую солью) к самому паролю. Эта строка должна храниться в отдельной базе данных и извлекаться и добавляться к паролю перед его хешированием. Посолив хэш, пользователи с одним и тем же паролем будут иметь разные хэши.

Двухфакторная аутентификация (2FA): дополнительно администраторы могут потребовать двухэтапную аутентификацию и установить систему обнаружения вторжений, которая выявляет атаки методом грубой силы. Это требует от пользователей последующей попытки входа в систему с помощью второго фактора, такого как физический USB-ключ или биометрическое сканирование отпечатков пальцев.

Ограничить количество повторных попыток входа в систему: ограничение количества попыток также снижает восприимчивость к атакам грубой силы. Например, разрешение трех попыток ввода правильного пароля перед блокировкой пользователя на несколько минут может привести к значительным задержкам и заставить хакеров перейти к более легким целям.

Блокировка учетной записи после чрезмерных попыток входа в систему: если хакер может бесконечно повторять попытки ввода пароля даже после временной блокировки, он может вернуться, чтобы повторить попытку. Блокировка учетной записи и требование, чтобы пользователь связался с ИТ-отделом для разблокировки, предотвратит эту активность. Короткие таймеры блокировки более удобны для пользователей, но удобство может быть уязвимостью. Чтобы сбалансировать это, вы можете рассмотреть возможность использования долгосрочной блокировки, если после короткого входа в систему было много неудачных попыток входа.

Скорость повторных входов в систему: вы можете еще больше замедлить усилия злоумышленника, создав промежуток между каждой отдельной попыткой входа в систему. После сбоя входа в систему таймер может запретить вход в систему до тех пор, пока не пройдет короткий промежуток времени. Это оставит время для вашей команды мониторинга в режиме реального времени, чтобы обнаружить и поработать над устранением этой угрозы. Некоторые хакеры могут прекратить попытки, если ожидание того не стоит.

Требуется капча после повторных попыток входа: ручная проверка не позволяет роботам взломать ваши данные. Captcha бывает разных типов, включая повторный ввод текста на изображении, установку флажка или идентификацию объектов на изображениях. Независимо от того, что вы используете, вы можете использовать это перед первым входом в систему и после каждой неудачной попытки дальнейшей защиты.

Используйте черный список IP-адресов, чтобы заблокировать известных злоумышленников. Убедитесь, что этот список постоянно обновляется теми, кто им управляет.

Активная защита паролей ИТ-поддержки

Обучение паролям: поведение пользователя имеет важное значение для безопасности паролей. Обучайте пользователей безопасным методам и инструментам, которые помогут им отслеживать свои пароли. Такие сервисы, как Kaspersky Password Manager, позволяют пользователям сохранять свои сложные, трудно запоминаемые пароли в зашифрованном «хранилище» вместо того, чтобы небезопасно записывать их на стикерах. Поскольку пользователи склонны жертвовать своей безопасностью ради удобства, обязательно помогите им дать в руки удобные инструменты, которые обеспечат их безопасность.

Следите за учетными записями в режиме реального времени на предмет странной активности: Странные места входа в систему, чрезмерное количество попыток входа и т. д. Работайте над выявлением тенденций необычной активности и принимайте меры для блокировки любых потенциальных злоумышленников в режиме реального времени. Следите за блокировкой IP-адресов, блокировкой учетной записи и связывайтесь с пользователями, чтобы определить, является ли деятельность учетной записи законной (если она выглядит подозрительной).

Как пользователи могут укрепить пароли от атак методом грубой силы

Как пользователь, вы можете многое сделать для обеспечения своей защиты в цифровом мире. Лучшая защита от атак на пароли — это убедиться, что ваши пароли настолько надежны, насколько это возможно.

Атаки грубой силы полагаются на время, чтобы взломать ваш пароль. Итак, ваша цель — убедиться, что ваш пароль максимально замедляет эти атаки, потому что, если взлом займет слишком много времени, большинство хакеров сдадутся и пойдут дальше.

Вот несколько способов защиты паролей от грубой атаки:

Более длинные пароли с различными типами символов. По возможности пользователям следует выбирать 10-символьные пароли, включающие символы или цифры. При этом получается 171,3 квинтиллиона (1,71 x 10 20 ) возможности. При использовании процессора GPU, который пытается выполнить 10,3 миллиарда хэшей в секунду, взлом пароля занял бы примерно 526 лет. Хотя суперкомпьютер может взломать его за несколько недель. По этой логике, включение большего количества символов делает ваш пароль еще более сложным для разгадывания.

Разработайте пароли. Не все сайты принимают такие длинные пароли, поэтому следует выбирать сложные парольные фразы, а не отдельные слова. Атаки по словарю созданы специально для фраз из одного слова и делают взлом почти без усилий. Парольные фразы — пароли, состоящие из нескольких слов или сегментов — должны содержать дополнительные символы и специальные типы символов.

Создайте правила для создания паролей. Лучшие пароли — это те, которые вы можете запомнить, но которые не будут понятны никому, кто их читает. Выбирая маршрут с парольной фразой, подумайте об использовании усеченных слов, например, замените «wood» на «wd», чтобы создать строку, которая имеет смысл только для вас. Другие примеры могут включать удаление гласных или использование только первых двух букв каждого слова.

Держитесь подальше от часто используемых паролей. Важно избегать наиболее распространенных паролей и часто их менять.

Используйте уникальные пароли для каждого сайта, которым вы пользуетесь. Чтобы не стать жертвой вброса учетных данных, никогда не используйте пароль повторно. Если вы хотите повысить свою безопасность, используйте разные имена пользователей для каждого сайта. Вы можете предотвратить компрометацию других учетных записей, если одна из ваших взломана.

Используйте менеджер паролей. Установка менеджера паролей автоматизирует создание и отслеживание вашей информации для входа в сеть. Они позволяют вам получить доступ ко всем вашим учетным записям, предварительно войдя в менеджер паролей. Затем вы можете создавать очень длинные и сложные пароли для всех сайтов, которые вы посещаете, хранить их в безопасности, и вам нужно помнить только один основной пароль.

Если вам интересно, «сколько времени потребуется, чтобы взломать мой пароль», вы можете проверить надежность парольной фразы на странице https://password.kaspersky.com.

w3.org/1999/xhtml»> Kaspersky Internet Security получил две награды AV-TEST за лучшую производительность и защиту продукта для интернет-безопасности в 2021 году. Во всех тестах Kaspersky Internet Security продемонстрировал выдающуюся производительность и защиту от киберугроз.

Статьи по теме:

  • Что такое рекламное ПО?
  • Что такое троян?
  • Факты о компьютерных вирусах и вредоносных программах и часто задаваемые вопросы
  • Спам и фишинг

Что такое грубая сила | Общие инструменты и предотвращение атак

Что такое атака методом грубой силы

Атака методом грубой силы является популярным методом взлома: по некоторым данным, атаки методом грубой силы составляют пять процентов подтвержденных нарушений безопасности. Атака грубой силы включает в себя «угадывание» имени пользователя и пароля для получения несанкционированного доступа к системе. Грубая сила — это простой метод атаки с высокой вероятностью успеха.

Некоторые злоумышленники используют приложения и скрипты в качестве инструментов для перебора. Эти инструменты пробуют многочисленные комбинации паролей, чтобы обойти процессы аутентификации. В других случаях злоумышленники пытаются получить доступ к веб-приложениям, ища правильный идентификатор сеанса. Мотивация злоумышленника может включать в себя кражу информации, заражение сайтов вредоносным ПО или нарушение работы службы.

В то время как некоторые злоумышленники по-прежнему выполняют атаки методом полного перебора вручную, сегодня почти все атаки методом полного перебора осуществляются ботами. У злоумышленников есть списки часто используемых учетных данных или учетных данных реальных пользователей, полученных с помощью нарушений безопасности или даркнета. Боты систематически атакуют веб-сайты и проверяют эти списки учетных данных и уведомляют злоумышленника, когда он получает доступ.

Типы атак полным перебором

  • Простая атака полным перебором — использует систематический подход к «угадыванию», который не полагается на внешнюю логику.
  • Гибридные атаки грубой силы — начинают с внешней логики, чтобы определить, какой вариант пароля с наибольшей вероятностью будет успешным, а затем продолжают с помощью простого подхода, чтобы попробовать множество возможных вариантов.
  • Атаки по словарю — угадывает имена пользователей или пароли, используя словарь возможных строк или фраз.
  • Атаки радужной таблицы — радужная таблица представляет собой предварительно вычисленную таблицу для обращения криптографических хеш-функций. Его можно использовать для угадывания функции до определенной длины, состоящей из ограниченного набора символов.
  • Атака методом обратного перебора — использует общий пароль или набор паролей для многих возможных имен пользователей. Цели сети пользователей, для которых злоумышленники ранее получили данные.
  • Заполнение учетных данных — использует ранее известные пары пароль-имя пользователя, проверяя их на нескольких веб-сайтах. Использует тот факт, что многие пользователи имеют одинаковые имя пользователя и пароль в разных системах.

Hydra и другие популярные инструменты для атак методом грубой силы

Аналитики безопасности используют инструмент THC-Hydra для выявления уязвимостей в клиентских системах. Hydra быстро перебирает большое количество комбинаций паролей, либо простым перебором, либо на основе словаря. Он может атаковать более 50 протоколов и несколько операционных систем. Гидра — это открытая платформа; сообщество безопасности и злоумышленники постоянно разрабатывают новые модули.

Атака грубой силы Hydra

Другие лучшие инструменты грубой силы:

  • Aircrack-ng — можно использовать в Windows, Linux, iOS и Android. Он использует словарь широко используемых паролей для взлома беспроводных сетей.
  • John the Ripper — работает на 15 различных платформах, включая Unix, Windows и OpenVMS. Пробует все возможные комбинации, используя словарь возможных паролей.
  • L0phtCrack — инструмент для взлома паролей Windows. Он использует радужные таблицы, словари и многопроцессорные алгоритмы.
  • Hashcat — работает на Windows, Linux и Mac OS. Может выполнять простой подбор, атаки на основе правил и гибридные атаки.
  • DaveGrohl — инструмент с открытым исходным кодом для взлома Mac OS. Может быть распределен на несколько компьютеров.
  • Ncrack — инструмент для взлома сетевой аутентификации. Его можно использовать в Windows, Linux и BSD.

Ненадежные пароли, позволяющие проводить атаки методом грубой силы

Сегодня люди имеют множество учетных записей и паролей. Люди, как правило, постоянно используют несколько простых паролей, что подвергает их атакам грубой силы. Кроме того, повторное использование одного и того же пароля может предоставить злоумышленникам доступ ко многим учетным записям.

Учетные записи электронной почты, защищенные слабыми паролями, могут быть связаны с дополнительными учетными записями, а также могут использоваться для восстановления паролей. Это делает их особенно ценными для хакеров. Кроме того, если пользователи не изменят свой пароль маршрутизатора по умолчанию, их локальная сеть будет уязвима для атак. Злоумышленники могут попробовать несколько простых паролей по умолчанию и получить доступ ко всей сети.

Некоторые из наиболее часто встречающихся паролей в списках перебора включают: дату рождения, имена детей, qwerty, 123456, abcdef123, a123456, abc123, пароль, asdf, привет, добро пожаловать, zxcvbn, Qazwsx, 654321, 123321, 000000, 111111, д. 987654321, 1q2w3e, 123qwe, qwertyuiop, gfhjkm.

Надежные пароли обеспечивают лучшую защиту от кражи личных данных, потери данных, несанкционированного доступа к учетным записям и т. д.

Как предотвратить взлом паролей методом грубой силы

Чтобы защитить свою организацию от взлома паролей методом грубой силы, обязательно используйте надежные пароли. Пароли должны:

  • Никогда не используйте информацию, которую можно найти в Интернете (например, имена членов семьи).
  • Иметь как можно больше символов.
  • Комбинируйте буквы, цифры и символы.
  • Быть разными для каждой учетной записи пользователя.
  • Избегайте общих шаблонов.

Как администратор вы можете реализовать следующие методы защиты пользователей от взлома паролей методом грубой силы:

  • Политика блокировки — вы можете заблокировать учетные записи после нескольких неудачных попыток входа, а затем разблокировать их как администратор.
  • Прогрессивные задержки — вы можете заблокировать учетные записи на ограниченное время после неудачных попыток входа. Каждая попытка увеличивает задержку.
  • Captcha — такие инструменты, как reCAPTCHA, требуют от пользователей выполнения простых задач для входа в систему. Пользователи могут легко выполнять эти задачи, в то время как инструменты грубой силы не могут.
  • Требование надежных паролей — вы можете заставить пользователей задавать длинные и сложные пароли. Вы также должны обеспечить периодическую смену пароля.
  • Двухфакторная аутентификация — вы можете использовать несколько факторов для аутентификации личности и предоставления доступа к учетным записям.

Предотвращение атак грубой силы с помощью Imperva

Защита от ботов Imperva отслеживает трафик на ваш сайт, отделяя трафик ботов от реальных пользователей и блокируя нежелательных ботов. Поскольку почти все атаки грубой силы выполняются ботами, это имеет большое значение для смягчения этого явления.

Защита от ботов проходит три этапа для выявления вредоносных ботов. Он классифицирует трафик, используя базу данных сигнатур с миллионами известных вариантов ботов. При выявлении подозреваемого бота он выполняет несколько типов проверки, чтобы классифицировать бота как законного, вредоносного или подозрительного. Наконец, подозрительным ботам бросают вызов, чтобы узнать, могут ли они принимать файлы cookie и анализировать Javascript.

Imperva WAF также защищает от атак методом грубой силы вручную. Когда пользователь предпринимает повторные попытки доступа к системе или последовательно пытается ввести разные учетные данные в соответствии с шаблоном, Imperva обнаружит эту аномальную активность, заблокирует пользователя и предупредит сотрудников службы безопасности.

Что такое атака полным перебором?

Атака полным перебором — это метод взлома, который использует метод проб и ошибок для взлома паролей, учетных данных для входа и ключей шифрования. Это простая, но надежная тактика для получения несанкционированного доступа к отдельным учетным записям, системам и сетям организаций. Хакер пробует несколько имен пользователей и паролей, часто используя компьютер для проверки широкого спектра комбинаций, пока не найдет правильную информацию для входа.

Название «грубая сила» происходит от злоумышленников, которые используют чрезмерно силовые попытки получить доступ к учетным записям пользователей. Несмотря на то, что это старый метод кибератак, атаки грубой силы проверены и проверены и остаются популярной тактикой среди хакеров.

Существуют различные типы методов атаки методом грубой силы, которые позволяют злоумышленникам получить несанкционированный доступ и украсть пользовательские данные.

Простые атаки грубой силы

Простая атака методом грубой силы происходит, когда хакер пытается угадать учетные данные пользователя вручную без использования какого-либо программного обеспечения. Обычно это осуществляется с помощью стандартных комбинаций паролей или PIN-кодов.

Эти атаки просты, потому что многие люди до сих пор используют слабые пароли, такие как «password123» или «1234», или практикуют плохой парольный этикет, например, используют один и тот же пароль для нескольких веб-сайтов. Пароли также могут быть угаданы хакерами, которые проводят минимальную разведывательную работу, чтобы взломать потенциальный пароль человека, например, название его любимой спортивной команды.

Атаки по словарю

Атака по словарю — это базовая форма взлома методом грубой силы, при которой злоумышленник выбирает цель, а затем проверяет возможные пароли по имени пользователя этого человека. Сам метод атаки технически не считается атакой методом грубой силы, но он может сыграть важную роль в процессе взлома пароля злоумышленником.

Название «атака по словарю» происходит от хакеров, которые просматривают словари и заменяют слова специальными символами и цифрами. Этот тип атаки обычно занимает много времени и имеет низкий шанс на успех по сравнению с более новыми и эффективными методами атаки.

Гибридные атаки грубой силы

Гибридная атака методом грубой силы — это когда хакер сочетает метод атаки по словарю с простой атакой методом грубой силы. Все начинается с того, что хакер знает имя пользователя, затем проводит атаку по словарю и использует простые методы грубой силы, чтобы обнаружить комбинацию входа в учетную запись.

Злоумышленник начинает со списка возможных слов, затем экспериментирует с комбинациями символов, букв и цифр, чтобы найти правильный пароль. Этот подход позволяет хакерам обнаруживать пароли, в которых распространенные или популярные слова сочетаются с числами, годами или случайными символами, такими как «SanDiego123» или «Rover2020».

Обратные атаки грубой силы

При атаке методом обратного перебора злоумышленник начинает процесс с известным паролем, который обычно обнаруживается при взломе сети. Они используют этот пароль для поиска подходящих учетных данных для входа, используя списки из миллионов имен пользователей. Злоумышленники также могут использовать часто используемый слабый пароль, такой как «Password123», для поиска соответствия в базе данных имен пользователей.

Заполнение учетных данных

Вброс учетных данных основан на слабом этикете паролей пользователей. Злоумышленники собирают украденные ими комбинации имени пользователя и пароля, которые затем проверяют на других веб-сайтах, чтобы узнать, могут ли они получить доступ к дополнительным учетным записям пользователей. Этот подход успешен, если люди используют одну и ту же комбинацию имени пользователя и пароля или повторно используют пароли для разных учетных записей и профилей в социальных сетях.

Взлом методом грубой силы требует большого терпения, поскольку злоумышленнику могут потребоваться месяцы или даже годы, чтобы успешно взломать пароль или ключ шифрования. Тем не менее, потенциальные выгоды огромны.

Используйте рекламу или данные об активности

Хакер может запустить атаку грубой силы на веб-сайт или несколько веб-сайтов, чтобы получить финансовую прибыль от комиссии за рекламу. К распространенным методам относятся: 

  1. Размещение спам-рекламы на популярных веб-сайтах, что позволяет злоумышленнику зарабатывать деньги каждый раз, когда посетитель нажимает на объявление или просматривает его.
  2. Перенаправление трафика с законного веб-сайта на незаконные рекламные сайты.
  3. Заражение веб-сайта и посетителей сайта вредоносными программами, например шпионскими программами, которые отслеживают активность. Собранные данные затем продаются рекламодателям без согласия пользователя.

Украсть личные данные

Взлом личных учетных записей пользователей может предоставить кладезь данных, от финансовых данных и банковских счетов до конфиденциальной медицинской информации. Доступ к учетной записи позволяет злоумышленнику подделать личность человека, украсть его деньги, продать его учетные данные третьим лицам или использовать информацию для запуска более широких атак.

Личные данные и учетные данные для входа также могут быть украдены в результате взлома корпоративных данных, когда злоумышленники получают доступ к конфиденциальным базам данных организаций.

Распространение вредоносных программ

Атаки грубой силы часто не носят личного характера. Хакер может просто захотеть создать хаос и продемонстрировать свои вредоносные навыки. Они могут делать это, распространяя вредоносное ПО по электронной почте или в сообщениях службы коротких сообщений (SMS), скрывая вредоносное ПО на поддельном веб-сайте, который выглядит как законный, или перенаправляя посетителей веб-сайта на вредоносные сайты.

Заражая компьютер пользователя вредоносным ПО, злоумышленник может затем проникнуть в подключенные системы и сети и начать более широкие кибератаки против организаций.

Взлом систем для злонамеренной деятельности

Атаки методом грубой силы могут играть роль в том, что злоумышленники запускают более широкие атаки с использованием нескольких устройств, называемые ботнетами. Обычно это распределенная атака типа «отказ в обслуживании» (DDoS), целью которой является преодоление средств защиты и систем безопасности цели.

Разрушить репутацию компании или веб-сайта

Атаки грубой силы часто запускаются с целью кражи данных у организации, что не только дорого обходится им, но и наносит огромный репутационный ущерб. Веб-сайты также могут подвергаться атакам, которые заражают их непристойным или оскорбительным текстом и изображениями, тем самым подрывая их репутацию, что может привести к их удалению.

Угадывание адреса электронной почты пользователя или пароля веб-сайта в социальной сети может занять много времени, особенно если учетные записи имеют надежные пароли. Чтобы упростить этот процесс, хакеры разработали программное обеспечение и инструменты, помогающие взламывать пароли.

Средства атаки методом грубой силы включают в себя приложения для взлома паролей, которые взламывают комбинации имени пользователя и пароля, которые человеку было бы чрезвычайно трудно взломать самостоятельно. Обычно используемые инструменты атаки грубой силы включают в себя:

  1. Aircrack-ng: набор инструментов, которые оценивают безопасность сети Wi-Fi для мониторинга и экспорта данных и атаки на организацию с помощью таких методов, как поддельные точки доступа и внедрение пакетов.
  2. John the Ripper: инструмент восстановления паролей с открытым исходным кодом, который поддерживает сотни типов шифров и хэшей, включая пароли пользователей для macOS, Unix и Windows, серверов баз данных, веб-приложений, сетевого трафика, зашифрованных закрытых ключей и файлов документов.

Эти типы программного обеспечения могут быстро угадывать комбинации, которые определяют слабые пароли и взламывают несколько компьютерных протоколов, беспроводных модемов и зашифрованных устройств хранения.

Атака грубой силой также может потребовать огромных вычислительных мощностей. Чтобы бороться с этим, хакеры разработали аппаратные решения, которые упрощают процесс, например, объединение центрального процессора устройства (ЦП) и графического процессора (ГП). Добавление вычислительного ядра графического процессора позволяет системе одновременно обрабатывать несколько задач, а хакеры значительно быстрее взламывают пароли.

Отдельные лица и организации могут использовать несколько способов защиты от известных уязвимостей, таких как протокол удаленного рабочего стола (RDP). Криптоанализ, изучение шифров и криптографии, также может помочь организациям укрепить свои средства защиты и защитить конфиденциальную информацию от атак грубой силы.

Используйте более надежные методы работы с паролями

Лучший способ защититься от атак методом грубой силы, нацеленных на пароли, — сделать пароли как можно более сложными для взлома. Конечные пользователи играют ключевую роль в защите своих данных и данных своей организации, используя более надежные пароли и следуя строгим передовым методам работы с паролями. Из-за этого злоумышленникам будет труднее и труднее угадывать их пароли, что может привести к тому, что они сдадутся.

Рекомендации по созданию надежных паролей включают:

  1. Создавайте надежные многосимвольные пароли. Основное эмпирическое правило заключается в том, что пароли должны иметь длину более 10 символов и включать заглавные и строчные буквы, символы и цифры. Это значительно увеличивает сложность и время, необходимое для взлома пароля, с нескольких часов до нескольких лет, если только у хакера нет под рукой суперкомпьютера.
  2. Используйте сложные парольные фразы. Хотя использование большего количества символов является хорошей практикой для паролей, на некоторых веб-сайтах могут быть ограничения на длину пароля. Таким образом, используйте сложные парольные фразы, чтобы злоумышленники не смогли добиться успеха с помощью простых атак по словарю. Парольные фразы — это несколько слов или сегментов со специальными символами, которые затрудняют их угадывание.
  3. Создайте правила создания паролей. Еще одна хорошая тактика паролей — усекать слова, чтобы они казались бессмысленными другим людям, читающим их. Это можно сделать, удалив гласные или используя только первые две буквы слова, а затем построить фразу, которая имеет смысл, из строки сокращенных слов. Например, сокращение слова «надежда» до «л.с.» или «синий» до «бл.»
  4. Избегайте общих паролей. Часто используемые пароли, такие как имя, спортивная команда или просто «пароль», чрезвычайно рискованны. Хакеры знают общие слова или фразы, которые люди используют в своих паролях, и используют тактику, основанную на этих общих словах, для взлома учетных записей людей.
  5.  Используйте уникальные пароли для каждой учетной записи: при заполнении учетных данных хакеры проверяют пароли, которые использовались на веб-сайтах, чтобы проверить, не используются ли они где-либо еще. К сожалению, это оказывается очень успешным, поскольку люди часто повторно используют свои пароли для учетных записей электронной почты, профилей в социальных сетях и новостных сайтов. Важно никогда не использовать один и тот же пароль для любых двух веб-сайтов или учетных записей.
  6. Используйте диспетчеры паролей. Менеджер паролей упрощает создание безопасных уникальных паролей для всех веб-сайтов, на которые они заходят. Он автоматически создает и отслеживает входы пользователей на несколько веб-сайтов, позволяя пользователю получить доступ ко всем своим учетным записям, просто войдя в менеджер паролей. С помощью менеджера паролей пользователи могут создавать длинные и сложные пароли, безопасно хранить их и не рисковать забыть, потерять или украсть пароли.

Улучшенная защита паролей пользователей

Нет смысла в том, чтобы пользователи следовали передовым методам создания надежных паролей, если их организация не способна защитить свои данные от атак методом грубой силы. На организации также лежит ответственность за защиту своих пользователей и укрепление сетевой безопасности с помощью таких тактик:

  1. . Использование высоких скоростей шифрования. форсирует атаку и затрудняет взлом паролей.
  2. Добавление соли к хэшу. Добавление соли к хэшу — это криптографическая тактика, позволяющая системным администраторам усилить хэши своих паролей. Они добавляют соль — случайные буквы и цифры, хранящиеся в отдельной базе данных — в пароль, чтобы усилить и защитить его.
  3. Использовать многофакторную аутентификацию (MFA): Добавляя аутентификацию к логину пользователя, вы избавляетесь от зависимости от паролей. При использовании MFA после того, как пользователь войдет в систему со своим паролем, ему будет предложено предоставить дополнительное доказательство того, что он является тем, за кого себя выдает, например, код, отправленный по SMS или на его устройстве, или сканирование отпечатков пальцев. Это может помешать хакеру получить доступ к учетной записи пользователя или бизнес-системе, даже если у него есть учетные данные пользователя.
  4. Ограничьте количество попыток входа в систему. Ограничение количества попыток повторного ввода пользователем своих учетных данных снижает вероятность успеха атак методом грубой силы. Предотвращение повторной попытки входа в систему после двух или трех неудачных попыток входа в систему может удержать потенциального злоумышленника, а полная блокировка учетной записи после многочисленных неудачных попыток входа не позволяет хакеру повторно проверять комбинации имени пользователя и пароля.
  5. Используйте CAPTCHA для поддержки входа в систему: добавление поля CAPTCHA в процесс входа в систему может помешать злоумышленнику использовать компьютеры для взлома учетной записи пользователя или бизнес-сети. Параметры CAPTCHA включают ввод текстовых изображений, которые появляются на экране, отметку нескольких полей с изображениями и идентификацию появляющихся объектов.
  6. Использовать черный список интернет-протокола (IP). Развертывание черного списка IP-адресов, используемых в атаках, помогает защитить бизнес-сеть и ее пользователей от известных злоумышленников. Важно поддерживать этот черный список в актуальном состоянии, чтобы предотвратить новые атаки.
  7. Удалить неиспользуемые учетные записи. Неиспользуемые или необслуживаемые учетные записи открывают перед киберпреступниками возможность начать атаку на организацию. Предприятия должны следить за тем, чтобы они регулярно удаляли неиспользуемые учетные записи или, в идеале, удаляли учетные записи, как только сотрудники увольняются из организации, чтобы предотвратить их использование в атаках методом грубой силы. Это особенно важно для сотрудников с высоким статусом разрешений или прав доступа к конфиденциальной корпоративной информации.

Обеспечение постоянной безопасности и поддержки паролей

Помимо осведомленности пользователей и надежной ИТ-безопасности, предприятия должны постоянно обновлять системы и программное обеспечение и оказывать постоянную поддержку сотрудникам.

  1.  Обучение паролям. Пользователям важно понимать, как выглядят передовые методы обеспечения безопасности и использования паролей, а также распознавать явные признаки кибератак. Они также нуждаются в регулярном обучении и обновлениях, чтобы держать их в курсе последних угроз и закреплять передовой опыт. Корпоративные инструменты управления паролями или хранилища также позволяют пользователям сохранять сложные пароли и исключают риск потери своих паролей, что может поставить под угрозу корпоративные данные.
  2. Мониторинг сетей в режиме реального времени. Атаки грубой силы можно обнаружить по контрольным действиям, таким как многократные попытки входа в систему и вход с новых устройств или из необычных мест. Компании должны постоянно отслеживать свои системы и сети на предмет подозрительного или необычного поведения и немедленно блокировать потенциально опасную активность.

Шифрование — это тактика кибербезопасности, которая шифрует данные, чтобы они отображались в виде строки случайных символов. Правильный ключ шифрования расшифрует данные.

Для взлома 128-битного ключа шифрования потребуется две в степени 128 комбинаций, что невозможно для самых мощных компьютеров. Большинство веб-сайтов и веб-браузеров используют его. 256-битное шифрование делает защиту данных еще более надежной, до такой степени, что даже мощный компьютер, способный проверять триллионы комбинаций каждую секунду, никогда не сможет ее взломать. Это делает 256-битное шифрование полностью невосприимчивым к атакам грубой силы.

Fortinet защищает предприятия от атак методом грубой силы с помощью брандмауэра для веб-приложений FortiWeb (WAF). FortiWeb защищает критически важные для бизнеса веб-приложения от сложных атак, нацеленных на известные уязвимости, и атак нулевого дня. Решение идет в ногу с быстро меняющейся средой безопасности, обеспечивая безопасность предприятий каждый раз, когда выпускаются новые функции и обновления или запускаются новые интерфейсы прикладного программирования (API).

FortiWeb также позволяет предприятиям выявлять необычное или аномальное поведение и отличать злонамеренное от безвредного. Прочтите наше руководство по предотвращению атак методом грубой силы с помощью FortiWeb, чтобы получить дополнительную информацию.

Что такое атака методом грубой силы?

Атака методом грубой силы использует метод проб и ошибок в попытке угадать или взломать пароль учетной записи, учетные данные пользователя и ключи шифрования.

Является ли атака грубой силой незаконной?

В подавляющем большинстве случаев атака грубой силой является незаконной. Это законно только в том случае, если организация проводит тест на проникновение для приложения и имеет на это письменное согласие владельца.

Насколько распространены атаки грубой силы?

Атаки грубой силы — довольно распространенный метод, используемый киберпреступниками. Согласно исследованию Verizon, на их долю приходилось 5 % всех утечек данных в 2017 году.

Сколько времени потребуется, чтобы взломать восьмизначный пароль?

Чем длиннее и сложнее пароль, тем труднее его взломать. Считается, что восьмизначный пароль можно взломать за несколько часов. Исследование, проведенное в 2019 году, показало, что любой восьмизначный пароль, каким бы сложным он ни был, можно взломать всего за 2,5 часа.

Что такое атака полным перебором?

По

  • Кэти Террелл Ханна

Что такое атака грубой силой?

Атака полным перебором — это метод проб и ошибок, используемый прикладными программами для декодирования регистрационной информации и ключей шифрования, чтобы использовать их для получения несанкционированного доступа к системам. Использование грубой силы — это изнурительное усилие, а не использование интеллектуальных стратегий.

Подобно тому, как преступник может проникнуть в сейф и взломать его, перепробовав множество возможных комбинаций, грубая атака приложений перебирает все возможные комбинации допустимых символов в последовательности. Киберпреступники обычно используют атаку грубой силы, чтобы получить доступ к веб-сайту, учетной записи или сети. Затем они могут установить вредоносное ПО, закрыть веб-приложения или совершить утечку данных.

Простая атака полным перебором обычно использует автоматизированные инструменты для угадывания всех возможных паролей до тех пор, пока не будет определен правильный ввод. Это старый, но все еще эффективный метод атаки для взлома распространенных паролей.

Продолжительность атаки грубой силы может варьироваться. Брут-форс может взломать слабые пароли за считанные секунды. Надежные пароли обычно могут занимать часы или дни.

Организации могут использовать сложные комбинации паролей, чтобы продлить время атаки, выиграв время для реагирования и предотвращения кибератаки.

Какие существуют типы атак грубой силы?

Существуют различные типы атак грубой силы, например следующие:

  • Заполнение учетных данных происходит после того, как учетная запись пользователя была скомпрометирована, и злоумышленник пытается использовать комбинацию имени пользователя и пароля в нескольких системах.
  • Атака методом обратного перебора начинается с того, что злоумышленник использует общий пароль — или уже знает пароль — против нескольких имен пользователей или зашифрованных файлов для получения доступа к сети и данным. Затем хакер будет следовать тому же алгоритму, что и типичная атака грубой силы, чтобы найти правильное имя пользователя.
  • Атака по словарю — это еще один тип атаки методом полного перебора, когда все слова в словаре проверяются для поиска пароля. Злоумышленники могут дополнять слова цифрами, символами и другими элементами, чтобы взламывать более длинные пароли.

При дополнительных атаках грубой силы могут использоваться наиболее часто используемые пароли, такие как «пароль», «12345678» или любая последовательность чисел, подобная этой, и «qwerty», прежде чем пробовать другие пароли.

Как лучше защититься от атак грубой силы?

Организации могут усилить киберзащиту от атак грубой силы, используя комбинированные стратегии, в том числе следующие:

  • Увеличение сложности пароля. Это увеличивает время, необходимое для расшифровки пароля. Внедрить правила менеджера паролей, такие как минимальная длина фразы-пароля, обязательное использование специальных символов и т. д.
  • Ограничение неудачных попыток входа в систему. Защитите системы и сети, внедрив правила, которые блокируют пользователя на определенное время после повторных попыток входа в систему.
  • Шифрование и хеширование. 256-битное шифрование и хэши паролей экспоненциально увеличивают время и вычислительную мощность, необходимые для атаки грубой силы. При хешировании паролей строки хранятся в отдельной базе данных и хешируются, поэтому одни и те же комбинации паролей имеют разные хеш-значения.
  • Внедрение CAPTCHA . Они предотвращают использование средств грубой атаки, таких как John the Ripper, сохраняя при этом доступ к сетям, системам и веб-сайтам для людей.
  • Включение двухфакторной аутентификации . Это тип многофакторной проверки подлинности, который добавляет дополнительный уровень безопасности при входе в систему, требуя двух форм проверки подлинности — например, для входа на новое устройство Apple пользователям необходимо ввести свой Apple ID вместе с шестью- цифровой код, который отображается на другом их устройстве, ранее помеченном как доверенное.

Хороший способ защититься от атак грубой силы — использовать все или комбинацию вышеперечисленных стратегий.

Исследование Ponemon Institute о состоянии использования паролей

Как инструменты для атак методом грубой силы могут улучшить кибербезопасность?

Для проверки безопасности сети иногда используются средства атаки грубой силы. Некоторые распространенные из них следующие:

  • Aircrack-ng можно использовать для тестирования Windows, iOS, Linux и Android. Он использует набор широко используемых паролей для атаки на беспроводные сети.
  • Hashcat можно использовать для проверки устойчивости Windows, Linux и iOS к атакам грубой силы и атакам на основе правил.
  • L0phtCrack используется для тестирования уязвимостей системы Windows против атак с использованием радужных таблиц. Больше не поддерживается, новые владельцы — с лета 2021 года — изучают открытый исходный код, среди других неназванных вариантов программного обеспечения.
  • John the Ripper — это бесплатный инструмент с открытым исходным кодом для реализации атак методом грубой силы и атак по словарю. Он часто используется организациями для обнаружения слабых паролей и повышения безопасности сети.

ИТ-специалисты могут использовать инструмент аудита беспроводной сети Aircrack-ng для проверки безопасности паролей.

Каковы примеры атак грубой силы?
  • В 2009 году злоумышленники атаковали учетные записи Yahoo, используя сценарии автоматического взлома паролей в приложении аутентификации на основе веб-сервисов Yahoo, которое, как считается, используется поставщиками интернет-услуг и сторонними веб-приложениями.
  • В 2015 году злоумышленники взломали почти 20 000 учетных записей, предприняв миллионы автоматических попыток грубой силы получить доступ к программе поощрений мобильных приложений Dunkin для DD Perks.
  • В 2017 году киберпреступники использовали атаки грубой силы для доступа к внутренним сетям парламента Великобритании и Шотландии.
  • В 2018 году злоумышленники взломали пароли и конфиденциальную информацию миллионов пассажиров авиакомпании Cathay Pacific.
  • В 2018 году стало известно, что ошибка Firefox подвергала мастер-пароль браузера атакам грубой силы против недостаточного хеширования Secure Hash Algorithm 1, который оставался неисправленным почти девять лет.
  • В 2021 году Агентство национальной безопасности предупредило об атаках с подбором паролей, запущенных из специально созданного кластера Kubernetes подразделением российской внешней разведки.
  • В 2021 году хакеры получили доступ к тестовым средам T-Mobile, а затем использовали атаки грубой силы и другие средства для взлома других ИТ-серверов, в том числе тех, которые содержали данные клиентов.

Последнее обновление: сентябрь 2021 г.

Продолжить чтение Об атаке грубой силы
  • Как использовать hashcat для устранения уязвимостей аутентификации
  • Что такое атака с распылением пароля и как она работает?
  • Шесть главных рисков SSH и то, как регулярные оценки снижают опасность
  • Создание и применение политики паролей на предприятии
Копать глубже об угрозах и уязвимостях
  • Достаточно ли безопасны пароли длиной не менее 14 символов?

    Автор: Шэрон Ши

  • посолка пароля

    Автор: Рахул Авати

  • атака по словарю

    Автор: TechTarget Contributor

  • взлом пароля

    Автор: Александр Гиллис

ПоискСеть

  • Советы по подготовке к аудиту аварийного восстановления сети

    Предприятия могут провести аудит своих планов аварийного восстановления сети, чтобы обеспечить тщательную защиту и подготовку. Учитывайте такие факторы, как …

  • Как искусственный интеллект и машинное обучение в Open RAN упрощают работу сети

    Включение искусственного интеллекта и машинного обучения в сети Open RAN может помочь операторам мобильной связи упростить операции и предоставить расширенные возможности 5G с высокой …

  • VMware углубляется в мультиоблачную вселенную

    Проводя ребрендинг конференции Explore, VMware ясно дала понять, что ее внимание сосредоточено на поддержке мультиоблачных и граничных вычислений клиентов …

ПоискCIO

  • 10 примеров смарт-контрактов на блокчейне Смарт-контракты

    поддерживают корпоративный блокчейн за счет автоматизации задач. Эти примеры использования демонстрируют преимущества и проблемы ИТ …

  • Приобретение Amazon iRobot вызывает опасения

    В пятницу многочисленные организации обратились в Федеральную торговую комиссию с письмом, в котором выразили озабоченность по поводу конфиденциальности данных и конкуренции в отношении Amazon. ..

  • Поселения Apple и Sephora проливают свет на конфиденциальность данных

    Громкие судебные процессы и потенциальные новые правила конфиденциальности данных FTC должны послужить предупреждением для предприятий, чтобы они удостоверились, что внутренние …

SearchEnterpriseDesktop

  • Как выполнить сброс до заводских настроек на рабочем столе Windows 11

    Сброс к заводским настройкам может потребоваться, если у устройства возникают проблемы с производительностью или оно настроено на переход к новому пользователю. ИТ может выполнить этот процесс…

  • HP и Dell сообщают о снижении продаж ПК из-за колебания спроса со стороны бизнеса

    Руководители сообщили, что предприятия отложили и сократили заказы на настольные компьютеры и ноутбуки от HP и Dell. На рынке ПК насчитывается …

  • Введение в Edge Chromium против Edge

    Переход на Chromium улучшил несколько аспектов браузера Microsoft Edge — от настроек конфиденциальности до надежности.

SearchCloudComputing

  • Oracle оптимизирует расходы на AWS, поддержку многооблачных баз данных

    Oracle разрешает пользователям своих баз данных получать доступ к этим сервисам в конкурирующих облаках, активно преследуя клиентов AWS в …

  • Сравните AWS Glue и Azure Data Factory

    AWS Glue и Фабрика данных Azure имеют ключевые отличия, несмотря на то, что являются схожими сервисами. Узнайте, что лучше всего подходит для вашей организации …

  • Как VMware Explore 2022 изменил мое мнение

    Мультиоблачные и облачные стратегии стали основными темами конференции VMware Explore 2022. Ознакомьтесь с ключевыми объявлениями из …

ComputerWeekly.com

  • Организации, не учитывающие цифровое доверие

    Подавляющее большинство предприятий хорошо осведомлены о важности цифрового доверия, но очень немногие имеют специальную роль персонала . ..

  • Полная наблюдаемость — главный приоритет для ИТ-команд

    Годовой прогноз раскрывает наблюдаемость — способность видеть в стеке технологий все, что может повлиять на качество обслуживания клиентов…

  • IBM и Airtel объединяют усилия для предоставления безопасных облачных услуг на индийских предприятиях

    Индийская телекоммуникационная компания объединяется с ИТ-гигантом с целью использования сети периферийных центров обработки данных, чтобы помочь компаниям решать критически важные бизнес-задачи…

Brute Force (1947) — IMDb

  • Cast & crew
  • User reviews
  • Trivia

IMDbPro

  • 19471947
  • PassedPassed
  • 1h 38m

IMDb RATING

7. 6/10

10K

ВАШ РЕЙТИНГ

ПОПУЛЯРНОСТЬ

14,766

Воспроизвести трейлер2:14

1 Видео

89 Фото

CrimeDramaFilm-Noir

В суровой тюрьме заключенный Джо Коллинз планирует восстание против капитана Манси, одержимого властью начальника охраны. В жесткой тюрьме Джо Коллинз планирует восстать против капитана Манси, одержимого властью начальника охраны. , заключенный Джо Коллинз планирует восстание против капитана Манси, помешанного на власти начальника охраны.

РЕЙТИНГ IMDb

7.6/10

10K

ВАШ РЕЙТИНГ

ПОПУЛЯРНОСТЬ

14,766

  • Директор
    • Jules Dassin
  • Writers
    • Richard Brooks(screenplay)
    • Robert Patterson(story)
  • Stars
    • Burt Lancaster
    • Hume Cronyn
    • Charles Bickford
Top credits
  • Director
    • Жюль Дассен
  • Писатели
    • Ричард Брукс (сценарий)
    • Роберт Паттерсон (рассказ)
  • Звезды
    • Берт Ланкастер
    • Hume Cronyn
    • Charles Bickford
  • See production, box office & company info
    • 93User reviews
    • 85Critic reviews
    • 80Metascore
  • See more at IMDbPro
  • Videos1

    Trailer 2:14

    Грубая сила

    Фото89

    Лучшие актеры

    Берт Ланкастер

    • Джо Коллинз

    Хьюм Кронин

    • Капитан Манси

    Charles Bickford

    • Gallagher

    Yvonne De Carlo

    • Gina Ferrara

    Ann Blyth

    Ella Raines

    • Cora Lister

    Anita Colby

    • Flossie

    Sam Levene

    • Луи Миллер

    Джефф Кори

    • Стэк «Первокурсник»

    Джон Хойт

    • Спенсер

    Джек Оверман

    • Кид Кой

    Роман Бонен

    • Уорден А. Дж. Barnes

    Sir Lancelot

    • ‘Calypso’ James

    Vince Barnett

    • Muggsy — Convict in Kitchen

    Jay C. Flippen

    • Hodges — Guard

    Richard Gaines

    • McCallum

    Фрэнк Пулья

    • Синьор Феррара

    Джеймс Белл

    • Креншоу — Заключенный в типографии
    • Director
      • Jules Dassin
    • Writers
      • Richard Brooks(screenplay)
      • Robert Patterson(story)
    • All cast & crew
    • Production, box office & more at IMDbPro

    More вот так

    Обнаженный город

    Ночь в большом городе

    Крисс Кросс

    Воровское шоссе

    Убийцы

    Там, где заканчивается тротуар

    пикап на Саус-стрит

    Gun Crazy

    Кошер-аллера

    HE, который должен умереть

    Nightmare Alley

    Никогда в воскресенье

    Storyline

    .

    Ланкастер сделал для Марка Хеллингера, сценариста-продюсера, который обнаружил бывшего акробата и превратил его в кинозвезду. Первым из них были «Убийцы» (1946), а контракт на три картины был заключен с «Крисс Кросс» (1949)», фильм, до которого Хеллингер так и не дожил, так как он умер до начала съемок. Его вдова настояла на том, чтобы Ланкастер соблюдал контракт, который он заключил с ее мужем. Le Cinéma (1994)

    Отзывы пользователей 93

    Обзор

    Показанный обзор

    9/

    10

    Ничего не было, никогда не было, никогда!

    Один из лучших тюремных фильмов. настолько сильный, такой точный, такой ошеломляющий, что он производит настоящий удар. Хьюм Кронин дает сдержанное, но чрезвычайно страшное изображение жестокого садиста. Всегда учтивым голосом, всегда говоря: «Я хочу помочь тебе», есть только один путь для него: трудный. Берт Ланкастер столь же эффективен, как и крутой заключенный. 0005

    Актерский состав и титры гласят: «Женщины со стороны». Есть четыре воспоминания, которые действительно вписываются в фильм. Все они длятся всего две или три минуты, но они могут послужить материалом для четырех других фильмов. Первый (Флосси) граничит с фарсом, это комический рельеф отчаянного фильма, и он нам нужен! Затем сегмент «шубы», который является чем-то вроде Золушки, превратился в фильм нуар. Третий, возможно, менее интересный ( все относительно!), изображает Ивонн Де Карло как итальянскую девушку во время войны, в которую был влюблен бывший солдат. И, наконец, история Берта Ланкастера, он пытается найти деньги, чтобы оплатить операцию своей подруги.

    Эти воспоминания не даром: все, что осталось у этих людей, это воспоминания. Кроме того, последняя строка говорит нам что-то вроде этого: «никто не убежит! никто!» Более десяти лет назад Дассен показал, что сделал бы французский режиссер Жак Беккер в своем знаменитом фильме о тюрьме «Тюрьма» (1960): тюрьма как метафора человеческого состояния.

    Есть много сцен, которые оставят вас в напряжении. Моя любимая сцена: смерть осведомителя, в то время как Ланкастер обеспечивает свое алиби с доком. Но финал тоже потрясающий, что-то апокалиптическое.

    helpful•34

    11

    • dbdumonteil
    • Feb 26, 2006

    Details

    • Release date
      • August 1947 (United States)
    • Country of origin
      • United States
    • Язык
      • Английский
    • Также известен как
      • Gruba sila
    • Места съемок
      • Universal Studios — 100 Universal City Plaza, Юниверсал-Сити, Калифорния, США
    • Production company
      • Mark Hellinger Productions
    • See more company credits at IMDbPro

    Technical specs

    • Runtime

      1 hour 38 minutes

    • Color
      • Black and White
    • Aspect ratio
      • 1. 37 : 1

    Новости по теме

    Внесите свой вклад в эту страницу

    Предложите отредактировать или добавить отсутствующий контент

    Top Gap

    Какой план сюжета на французском языке для Грубая сила (1947)?

    Ответить

    Еще для изучения

    Недавно просмотренные

    У вас нет недавно просмотренных страниц

    Что такое атака грубой силой?

    Блог о внутренней безопасности / Безопасность данных

    Джефф Петтерс

    |

    4 мин чтения

    |

    Последнее обновление 20 июля 2021 г.

    Атака методом грубой силы (также известная как взлом методом грубой силы) — это кибератака, эквивалентная перебору всех ключей на связке ключей и, в конечном итоге, нахождению нужного. 5% подтвержденных случаев утечки данных в 2017 году были связаны с атаками методом подбора.

    Атаки грубой силы просты и надежны. Злоумышленники позволяют компьютеру выполнять всю работу — например, пробовать разные комбинации имен пользователей и паролей — пока не найдут подходящую. Поймать и нейтрализовать атаку грубой силы — лучшая защита: как только злоумышленники получат доступ к сети, их будет гораздо труднее поймать.

    Получите бесплатную электронную книгу Pen Testing Active Directory Environments

    Типы атак грубой силы

    Самая простая атака методом грубой силы — это атака по словарю, когда злоумышленник работает со словарем возможных паролей и пробует их все. Атаки по словарю начинаются с некоторых предположений об общих паролях, которые нужно попытаться угадать из списка в словаре. Эти атаки, как правило, несколько устарели, учитывая новые и более эффективные методы.

    Последние компьютеры, произведенные в течение последних 10 лет, могут взломать 8-символьный буквенно-цифровой пароль (заглавные и строчные буквы, цифры и специальные символы) методом грубой силы примерно за два часа. Компьютеры настолько быстры, что могут расшифровать слабый хэш шифрования методом грубой силы всего за несколько месяцев. Эти виды атак грубой силы известны как исчерпывающий поиск ключей, когда компьютер пробует все возможные комбинации всех возможных символов, чтобы найти правильную комбинацию.

    Повторное использование учетных данных — это еще один тип атаки методом грубой силы, при которой повторно используются имена пользователей и пароли из других утечек данных, чтобы попытаться проникнуть в другие системы.

    При атаке методом обратного перебора используется общий пароль, такой как «пароль», а затем пытается подобрать имя пользователя вместе с этим паролем. Поскольку пароль является одним из самых распространенных паролей в 2017 году, этот метод более успешен, чем вы думаете.

    Мотивы атак грубой силы

    Атаки грубой силы происходят на ранних этапах цепочки киберубийств, как правило, на этапах разведки и проникновения. Злоумышленникам нужен доступ или точки входа в свои цели, и методы грубой силы — это метод «установил и забыл» для получения этого доступа. Получив доступ к сети, злоумышленники могут использовать методы грубой силы для повышения своих привилегий или проведения атак с понижением уровня шифрования.

    Злоумышленники также используют атаки грубой силы для поиска скрытых веб-страниц. Скрытые веб-страницы — это веб-сайты, которые находятся в Интернете, но не связаны с другими страницами. Атака грубой силы проверяет разные адреса, чтобы увидеть, возвращают ли они действительную веб-страницу, и будет искать страницу, которую они могут использовать. Такие вещи, как программная уязвимость в коде, который они могли использовать для проникновения — например, уязвимость, используемая для проникновения в Equifax, или веб-страница, содержащая список имен пользователей и паролей, открытых для всего мира.

    В атаке методом грубой силы мало хитрости, поэтому злоумышленники могут автоматизировать несколько атак, чтобы они выполнялись параллельно, чтобы расширить свои возможности получения положительного — для них — результата.

    Как защититься от атак грубой силы

    Атакам грубой силы требуется время для выполнения. Некоторым атакам могут потребоваться недели или даже месяцы, чтобы предоставить что-либо полезное. Большинство средств защиты от атак грубой силы включают в себя увеличение времени, необходимого для достижения успеха, сверх того, что технически возможно, но это не единственная защита.

    • Увеличить длину пароля : Чем больше символов, тем больше времени для взлома методом грубой силы
    • Увеличить сложность пароля : Дополнительные параметры для каждого символа также увеличивают время взлома методом грубой силы
    • Ограничить количество попыток входа в систему : Атаки методом грубой силы увеличивают счетчик неудачных попыток входа в систему для большинства служб каталогов. Хорошая защита от атак методом грубой силы заключается в блокировке пользователей после нескольких неудачных попыток, что сводит на нет атаку методом грубой силы
    • Внедрение Captcha : Captcha — это обычная система для проверки того, что человек является человеком на веб-сайтах, и может остановить текущие атаки с использованием грубой силы
    • Использовать многофакторную аутентификацию : Многофакторная аутентификация добавляет второй уровень безопасности к каждой попытке входа в систему, которая требует вмешательства человека, что может предотвратить успешную атаку грубой силы

    Упреждающий способ остановить атаки грубой силы начинается с мониторинга. Varonis отслеживает активность Active Directory и VPN-трафик, чтобы обнаруживать атаки грубой силы. У нас есть модели угроз, которые отслеживают поведение при блокировке (часто это признак того, что идет атака с использованием грубой силы), модели угроз, которые обнаруживают потенциальную подмену учетных данных, и многое другое — все они предназначены для обнаружения и предотвращения атак с использованием грубой силы до того, как атака усилится.

    Лучше обнаружить атаку в процессе и активно остановить атаку, чем надеяться, что ваши пароли невозможно взломать. Как только вы обнаружите и остановите атаку, вы даже можете занести IP-адреса в черный список и предотвратить дальнейшие атаки с того же компьютера.

    Что такое атака полным перебором?

    Атака полным перебором или полный перебор — это криптографический взлом, который методом проб и ошибок угадывает возможные комбинации паролей, используемых для входа в систему, ключей шифрования или скрытых веб-страниц.

    Часто задаваемые вопросы

    Что такое пример атаки полным перебором?

    Если у вас есть пароль длиной всего в один символ, состоящий из цифр и букв (верхнего и нижнего регистра), для этого символа будет 62 различных варианта. Атака грубой силы будет пытаться мгновенно использовать все возможные символы, чтобы попытаться узнать ваш односимвольный пароль. Поскольку обычные пароли состоят примерно из 8 символов, возможности затем умножаются на триллионы возможностей, что может занять у бота всего несколько секунд, чтобы попытаться.

    Как работает атака полным перебором?

    По сути, бот пробует каждую комбинацию цифр и букв, чтобы узнать ваш пароль. Атака методом обратного перебора предполагает подбор популярного пароля по списку имен пользователей.

    Что является лучшей защитой от атаки методом грубой силы?

    Наилучшей защитой от атаки методом грубой силы является обеспечение максимально возможной надежности ваших паролей, сокращение времени, необходимого хакеру для взлома, и увеличение вероятности того, что он сдастся и пойдет дальше.

    Что могут получить злоумышленники?

    • Доступ к личным данным
    • Доступ к вашей системе для вредоносной активности
    • Возможность редактировать свой сайт и испортить себе репутацию
    • Возможность распространения вредоносных программ
    • Прибыль от рекламы или данных о деятельности

    Насколько успешны атаки грубой силы?

    Согласно отчету Verizon о расследовании утечек данных за 2020 год: более 80% взломов связаны с грубой силой или использованием утерянных или украденных учетных данных.

    Готовы опередить атаки грубой силы? Получите демоверсию 1:1, чтобы узнать, как Varonis обнаруживает атаки, чтобы вы могли превентивно останавливать злоумышленников.

    Мы Варонис.

    С 2005 года мы защищаем самые ценные в мире данные от врагов с помощью нашей ведущей на рынке платформы защиты данных.

    Как это работает
    Джефф Петтерс

    Джефф работает с компьютерами с тех пор, как его отец принес домой IBM PC 8086 с двумя дисководами.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *