Брутфорс - це... Опис програми, порядок встановлення, захист
Опубликованно 29.12.2018 04:45
У світі кіберзлочинів брутфорс - це діяльність, яка включає в себе повторювані послідовні спроби спробувати різні комбінації паролів, щоб проникнути на будь-який сайт або розблокувати пристрій. Ця спроба здійснюється хакерами, які використовують ботів, яких вони зловмисно встановлюють на інших комп'ютерах, щоб підвищити обчислювальну потужність, необхідну для запуску таких типів атак.
Отже, що ж таке брут-атака?
Брутфорс - це найпростіший спосіб отримати доступ до сайту, пристрою або сервера (або всьому іншому, що захищено паролем). Він пробує різні комбінації імен користувачів і паролів знову і знову, поки не станеться вхід. Це повторюване дію подібно армії, атакуючої форт.
Деяким такий опис брутфорс-атаки дає підстави подумати, що будь-хто може це зробити. Це дійсно прості дії, але домогтися успіху не завжди вийде.
Зазвичай кожен загальний ідентифікатор (наприклад, admin) має пароль. Все, що потрібно зробити - це спробувати вгадати його. Наприклад, якщо це двозначна комбінація, у вас є 10 цифр від 0 до 9. Це означає, що існує 100 можливостей. Можна підібрати їх вручну вводити один за іншим.
Але правда в тому, що ні один пароль у світі не складається із двох символів. Навіть номери контактів, використовувані на мобільних телефонах або в банку, складаються мінімум з 4-х символів.
В Інтернеті ж 8 символів зазвичай є стандартом для найкоротшого пароля. Крім того, додається складність в тому, що в паролі включаються символи алфавіту, щоб зробити їх більш безпечними. Літери можуть використовуватися як у верхньому, так і в нижньому регістрі, що робить код чутливим до його перемикання.
Отже, якщо є буквено-цифровий 8-символьний пароль, скільки можливих комбінацій доведеться підбирати? В англійській мові є 26 алфавітних букв. Якщо порахувати їх як у верхньому, так і в нижньому регістрі, вийде 26 + 26 = 52. Потім потрібно додати цифри: 52 + 10 = 62.
Отже, всього є 62 символу. Для 8-символьного пароля буде 628, що зробить 2.1834011 ? 1014 можливих комбінацій.
Якщо ви спробуєте використовувати 218 трильйонів комбінацій за одну спробу в секунду, це займе 218 трильйонів секунд, або 3,6 трильйона хвилин. Простіше кажучи, потрібно близько 7 мільйонів років, щоб зламати пароль з остаточною комбінацією. Звичайно, процес може зайняти менше, але це максимальний термін для підбору такого значення. Зрозуміло, що ручний брутфорс – це неможливо. Тоді як це може статися?
Якщо ви зацікавлені в злому паролів, доведеться використовувати комп'ютери. Для цього потрібно написати кілька простих рядків коду. Такі навички програмування є базовими для будь-якого кодера.
Тепер припустимо, що ви розробили програму для розблокування пароля, яка пробує 1000 комбінацій в секунду. Час скорочується до 7 тисяч років. Зробити все одно неможливо, тому потрібен суперкомп'ютер.
Якщо машина зможе спробувати 1 ? 109 спроб в секунду, то всього за 22 секунди все 218 трильйонів спроб будуть протестовані. Обчислювальні ресурси такого роду недоступні для простих людей. Проте хакери не є звичайними користувачами. Вони можуть збирати обчислювальні ресурси різними способами, наприклад шляхом розробки потужного обчислювального механізму за допомогою програмного забезпечення тощо.
Крім того, наведене вище обчислення існує для всіх можливих комбінацій 8-символьного пароля. Але що, якщо його довжина становить 10 або 100 символів? Ось чому дуже важливо мати додаткові рівні безпеки для виявлення і відхилення спроби злому. Навіщо вони це роблять?
При брутфорсе мотив хакера полягає в тому, щоб отримати незаконний доступ до цільового веб-сайту і використовувати його для виконання іншого виду атаки, чи крадіжки цінних даних. Також можливо, що зловмисник заражає ресурс шкідливими сценаріями для довгострокових цілей, навіть не зачіпаючи жодної речі і не залишаючи слідів. Тому рекомендується проводити часте сканування і слідувати рекомендаціям щодо захисту сайту. Що ж робити?
Існує безліч інструментів для захисту різних додатків, які будуть позбавляти користувача можливості атакувати після певної кількості спроб.
Наприклад, для SSH можна використовувати хости Fail2ban або Deny. Ці програми будуть відхиляти IP-адресу після декількох неправильних спроб. Ці інструменти роблять хорошу роботу. Тим не менше вони не завжди можуть захистити.
Останнім часом спостерігається експонентний ріст брут-атак. Вони походять з різних країн світу, з кожним днем стаючи більш витонченими. Тому всі користувачі повинні прагнути бути пильними. Отже, як забезпечити собі захист від брутфорса? Довжина пароля
Першим кроком до запобігання атаки повинна бути велика довжина пароля. В даний час багато веб-сайти і платформи змушують своїх користувачів створювати код доступу певної довжини (8-16 символів). Складність паролів
Ще одна важлива річ - створити складний пароль. Не рекомендується придумувати їх типу iloveyou або password123456. Пароль повинен складатися з великих і малих літер, а також мати цифри та спеціальні символи. Складність затримує процес злому. Граничні спроби входу в систему
Просте, але дуже потужне дію - обмежити спроби входу в аккаунт, якщо мова йде про сайті або сервері. Наприклад, якщо сайт отримує п'ять невдалих спроб входу в систему, він повинен блокувати IP протягом певного періоду часу, щоб зупинити подальші спроби.
Зміна файлу .htaccess
Додавання кількох правил у файл .htaccess може ще більше посилити безпеку вашого сайту. Мета полягає в тому, щоб дозволити доступ до wp-admin тільки певним IP-адресами, що містяться у ньому. Використання капчі
Captcha тепер широко використовується на багатьох сайтах. Вона не дозволяє ботам виконувати автоматизовані скрипти, які використовуються головним чином в атаці Brute Force. Установка капчі на сайті або блозі досить проста.
Встановіть плагін Google invisible reCaptcha і перейдіть у свій обліковий запис Google. Тепер поверніться назад до сторінки налаштувань плагіна і визначте місця, де ви хотіли б, щоб користувач спочатку вводив капчу, перш ніж виконувати фактичну завдання. Двофакторна аутентифікація
Two Factor Authentication - це додаткова лінія захисту, яка може захистити обліковий запис від брутфорса. Шанси на успішне виконання атаки на охоронюваних сайтах 2FA дуже малі. Існують різні способи її реалізації на сайті. Найпростіший - використовувати будь-який з плагінів для двофакторної аутентифікації.
Якщо говорити не про власному сайті, а про інших ресурсах (наприклад, щоб запобігти брутфорс роутера), методи можуть бути наступними: Створити унікальний пароль для кожного облікового запису. Проводити часті зміни пароля. Уникати спільного використання облікових даних через незахищені канали. Зворотна переадресація
Повторна атака брутфорс - це ще один термін, зв'язаний зі зломом пароля. У цьому випадку зловмисник намагається використовувати один пароль для кількох імен користувачів. У такому разі хакеру відомий пароль, але немає уявлення про імена користувачів. У цьому випадку він може спробувати один і той же пароль і намагатися вгадати різні логіни, поки не знайде робочу комбінацію. Так зазвичай відбувається брутфорс WiFi і інших з'єднань.
Атака зазвичай використовується для злому паролів. Хакери можуть застосовувати брутфорс в будь-якому програмному забезпеченні сайті або протоколі, який не блокує запити після декількох недійсних проб.
Відомо безліч інструментів злому паролів для різних протоколів. Деякі з них варто розглянути детальніше. Для того щоб використовувати такі програми, досить завантажити і почати атакувати. Оскільки деякі з них застосовують кілька механізмів одночасно, слід вивчити подібне в деталях. Це допоможе захиститися від атак, а також перевірити всі свої системи на вразливість. Aircrack-ng
Це популярний бездротовий інструмент для злому паролів, доступний безкоштовно. Він поставляється з WEP/WPA/WPA2-PSK зломщиком і інструментами аналізу для виконання атаки на WI-Fi 802.11. Aircrack NG може використовуватися для будь-якого мережевого адаптера, який підтримує режим необробленого моніторингу.
Він в основному виконує словникові атаки проти бездротової мережі, щоб вгадати пароль. Як вже відомо, успіх умовного нападу залежить від складності паролів. Чим краще і ефективніше комбінація, тим менш імовірно, що відбудеться злом.
Додаток доступно для брутфорса Windows і Linux. Крім того, воно перенесено на платформи iOS і Android. John the Ripper
Це ще один приголомшливий інструмент, який не потребує якоїсь інструкції. Він часто застосовується для довгого брутфорса паролів. Це безкоштовне програмне забезпечення було спочатку розроблено для систем Unix. Пізніше автори випустили його для інших платформ. Тепер програма підтримує 15 різних систем, включаючи Unix, Windows, DOS, BeOS та OpenVMS. Її можна використовувати для визначення вразливості, або для злому паролів і порушення аутентифікації.
Цей інструмент дуже популярний і поєднує в собі різні функції. Він може автоматично визначати тип хешування, використовуваний в паролі. Таким чином, код можна запустити в зашифроване сховище паролів.
В принципі, програма для брутфорса може виконувати грубу атаку з усіма можливими паролями, комбінуючи текст і цифри. Тим не менше її також можна використовувати зі словником. Rainbow Crack
Це також є популярним інструментом брутфорса паролів. Воно генерує таблиці для використання під час атаки. Таким чином, код відрізняється від інших традиційних інструментів примусового формування. Таблиці Rainbow попередньо обчислюються. Це допомагає скоротити час виконання атаки.
Добре, що існують різні організації, які вже опублікували прекомпьютерные таблиці цього для всіх користувачів Інтернету. Цей інструмент все ще знаходиться в активній розробці. Він доступний як для Windows, так і Linux і підтримує всі останні версії цих платформ. L0phtCrack
Програма відома своєю здатністю зламувати паролі Windows. Вона використовує словники, грубу силу, гібридні атаки і райдужні таблиці. Найбільш помітними особливостями l0phtcrack є планування, витяг хешей з 64-бітних версій Windows, багатопроцесорні алгоритми та моніторинг та декодування мереж. Ophcrack
Ще один інструмент для формування грубої сили, який використовується для злому паролів Windows. Він розбиває пароль, використовуючи хеші LM через таблиці. Це безкоштовна програма з відкритим вихідним кодом. У більшості випадків він може зламати пароль Windows за кілька хвилин. Crack
Це один з найстаріших інструментів для злому паролів. Він може використовуватися для UNIX-систем, в тому числі брутфорса на «Андроїд». Використовується для перевірки слабких паролів шляхом виконання атаки за допомогою словників. Hashcat
Деякі стверджують, що це самий швидкий інструмент для злому паролів на основі процесора. Він безкоштовний та поставляється на платформах Linux, Windows і Mac OS. Hashcat підтримує різні алгоритми хешування, включаючи LM-суми, MD4, MD5, SHA-сімейства Unix-склеп-формати, MySQL, Cisco PIX. Програма підтримує різні атаки, включаючи Brute-Force, Combinator, словники, атаку відбитка пальця, а також багато іншого. Автор: Elena_Ladypain 8 Жовтня, 2018
Категория: Техника