Brute Force

Използвате пароли от осем символа и си мислите, че акаунтите ви са защитени? Време е да ви разочаровам. Според доклада 2024 Password Table на IT компанията Hive Systems средното време, нужно на хакерите да разбият една подобна парола чрез brute force атака, е 37 секунди! 

В същото време в блога си лабораторията за киберсигурност Cisco Talos предупреждава, че броят на този тип атаки нараства значително през 2024 – тенденция, валидна за всяка една от последните години. 

Какво представляват brute force атаките? 

Brute force атаките са насочени срещу защитени с парола акаунти. При тях нападателят използва софтуер, който генерира множество последователни предположения за изключително кратко време, за да получи неоторизиран достъп до даден профил.  

Brute force атаките могат да бъдат изключително успешен инструмент в ръцете на хакерите. Особено ако не сте защитени от допълнителни мерки за сигурност. С увеличаването на сложността на паролата те стават по-малко практични заради експоненциалното нарастване на броя на възможните комбинации, но това единствено отнема повече време на нападателя. 

Видове brute force атаки 

За да стане ситуацията още по критична, brute force атаките са изключително разнообразни: 

• Обикновени brutе force атаки: Основната форма, при която нападателят ръчно опитва различни комбинации от знаци, цифри и символи, за да отгатне паролата. Този подход отнема много време и е неефективен, но работи изненадващо добре срещу слаби, предсказуеми пароли като „123456“ или „password123“. 
• Речникови атаки (Dictionary Attacks): Вместо случайни предположения, речниковите атаки използват предварително изготвени списъци с често срещани думи, фрази, вариации и изтекли пароли. Те могат да бъдат съобразени с миналото или интересите на целта и са значително по-бързи и по-ефективни от обикновените. Особено срещу потребители, които използват едни и същи пароли в различни акаунти. 
• Хибридни brute force атаки: Те съчетават двата гореописани подхода. Започват с по-малък списък от често срещани пароли, който след това се разширява със замяна на символи, вариации и др. 
• Reverse Brute Force: Тук нападателят вече има някаква информация за паролата, като например нейната дължина или специфични символи. Въз основа на тази информация той изгражда списъци с възможности, които увеличават скоростта и успеваемостта на атаката. 
• Подправяне на идентификационни данни (Credential Stuffing): Тази вариация включва използване на изтекли или откраднати двойки потребителски имена и пароли при пробиви в дадени платформи, които се изпробват в други такива. Тя разчита на факта, че много потребители използват едни и същи идентификационните данни в различни акаунти.  
• Rainbow Table Attacks (дъгови таблици): При тези атаки се използват предварително изчислени хешове на често срещани пароли и след това се сравняват с хешовата парола на целевата система. Въпреки че не разкрива директно паролата, успешното съвпадение я идентифицира в дъгова таблица. 
• Password Spraying: Вместо да се насочва към конкретни акаунти, при атака от този вид нападателят използва една парола срещу голям брой профили. Целта е да се използват слаби политики за защита или повторна употреба на пароли в различни платформи. Макар и не толкова целенасочена, тя може ефективно да идентифицира уязвими акаунти и да получи достъп до множество системи наведнъж. 
• Brute force атаки срещу RDP връзки: Протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е популярен инструмент за отдалечен достъп до компютри. Нападателите могат да използват brute force техники, за да отгатнат идентификационните данни за вход в RDP и да получат неоторизиран достъп до отдалечената система. Това може да бъде врата за по-нататъшни атаки към мрежата или данните, съхранявани в нея. 

Как да се защитите? 

Същестуват различни начини да се защитите от brute force атаките. Част от тях включват политики за блокиране след определен брой неуспешни опити за вход, CAPTCHA, предназначени да предотвратят автоматичното подаване на заявки, както и многофакторна автентикация. 

Мениджърите на пароли са друг инструмент, който ограничава риска, тъй като ви помага да поддържате уникални, сложни пароли за различните платформи и услуги, които използвате. 

Също така, когато обмисляте с каква парола да защитите даден акаунт, заложете на дължината и използвайте различни символи. 

Не на последно място, не препоръчваме честа смяна на пароли, но когато имате и най-малкото съмнение, че някоя от тях е компрометирана, това е задължителна предохранителна мярка. 

Последен ъпдейт на 28 юни 2018 в 13:50 ч.

Киберпрестъпниците стават все по-изобретателни в стремежа си да се доберат до чувствителна информация. Наскоро разбрахме, че 48 компании, ползващи облачната услуга на Microsoft Office 365 са станали жертва на нова стратегия за получаване на нерегламентиран достъп до бизнес данни.

Тази атака с „груба сила“ (brute force attack) е различна от останалите с това, че жертвите са малко на брой в сравнение със засегнатите компании. Засечени са 100 хил. провалени опита за логване от 67 различни IP адреса в 12 отделни мрежи за период от 7 месеца.

Именно дългият период време и ограниченият брой потърпевши позволяват на хакерите да останат „под радара“ на Microsoft. Друг интересен факт е, че пробивът е бил облак-към-облак. Хакерите са използвали инфраструктурата на публична хостинг компания, за да атакуват облачна SaaS услуга.

Microsoft Office 365 Users Targeted in Brute Force Attacks https://t.co/nVDWtrTC6R

— DarkReading (@DarkReading) July 20, 2017

Нова стратегия

Първата стъпка на хакерите била да си набавят бизнес логини и пароли от различни компани, които ползват различни облачни услуги (не само Office 365). Престъпниците пробвали всевъзможни варианти на имейл адреси. Например човек на име Тодор Петров в компанията „X“ е бил подложен на стотици опити за логин в имейл адреси с всякакви разновидности на изписване, като [email protected], [email protected] и т.н. Един от акаунтите бил подложен на атака от 14 различни IP-та със 17 различни вариации на имейл адрес в рамките на само 4 секунди. Изглежда, че престъпниците са използвали една и съща парола за различните начини на изписване, което им позволило да сменят името, но не и паролата. Друго предположение е, че акаунтите на са имали двуфакторна верификация.

Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

Игла в купа сено

Хакерите разтягат умишлено продължителността на операцията. Те се фокусират върху един човек, и дори тогава, атаката трае броени секунди. Целят се във високопоставени служители на различни компании, за да не изглежда така че атаката е само срещу една. Това, в комбинация с различните IP адреси, от които произлизат опитите за пробив, прави атаката практически незабележима.

Планирането и изпълнението изглеждат изключително сложни. Как тогава е открит пробивът?

Първите съмнения се появяват когато Cloud Access Security Broker засича редица неуспешни опити за влизане – аномалия, която може да се дължи на опит за получаване на нерегламентиран достъп. Само по себе си това не води до нищо, но с времето се проявява повтарящ се модел. Атаката произтича от едни и същи IP адреси и всички те опитват да получат достъп до една шепа бизнес акаунти в няколко компании, работещи с Office 365.

Това променя статута на аномалиите и те се превръщат в заплаха.

Последвалото разследване и съпътстващият го анализ откриват хилядите неуспешни опити за влизане и окачествяват заплахата като атака с груба сила.

Как се предотвратява такава атака?

Подобна атака е почти невъзможна при двуфакторната верификация. В случая ощетените компании са имали само еднофакторна защита. В стратегически план всеки бизнес, който разчита на облачни услуги, трябва да помисли и за облачна защита.

Прочетете повече: Шестте най-известни киберпробива в облака

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.