Brute-Force útoky vysvetlili, ako je všetko šifrovanie zraniteľné
Hrubé útoky sú pomerne jednoduché na pochopenie, ale je ťažké ich chrániť. Šifrovanie je matematika a počítač sa stáva rýchlejšou v matematike, stávajú sa rýchlejšie pri skúšaní všetkých riešení a zistia, ktorý z nich je vhodný.
Tieto útoky môžu byť použité proti akémukoľvek typu šifrovania s rôznym stupňom úspechu. Brutálne útoky sa stávajú rýchlejšími a efektívnejšími s každým dňom ako nový, rýchlejší počítačový hardvér.
Základy hrubých síl
Útočné útoky sú ľahko pochopiteľné. Útočník má zašifrovaný súbor - napríklad vašu databázu hesiel LastPass alebo KeePass. Vedia, že tento súbor obsahuje dáta, ktoré chcú vidieť, a vedia, že existuje šifrovací kľúč, ktorý ich odomkne. Ak ich chcete dešifrovať, môžu začať skúšať každé možné heslo a zistiť, či to vedie k dešifrovanému súboru.
Robia to automaticky s počítačovým programom, takže rýchlosť, s akou môže niekto narušiť šifrovanie, sa zvyšuje, pretože dostupný počítačový hardvér sa stáva rýchlejším a rýchlejším a dokáže robiť viac výpočtov za sekundu. Útok hrubou silou by mohol začať s jednoznačnými heslami pred prechodom na dvojmiestne heslá atď., Skúšať všetky možné kombinácie, kým jeden nebude fungovať.
"Slovník útok" je podobný a skúša slová v slovníku - alebo zoznam bežných hesiel - namiesto všetkých možných hesiel. To môže byť veľmi účinné, pretože mnoho ľudí používa také slabé a bežné heslá.
Prečo útočníci nemôžu vytrhnúť webové služby
Existuje rozdiel medzi útokmi na hrubou silou online a offline. Napríklad, ak chce útočník priblížiť svoj účet do Gmailu, môže začať skúšať každé možné heslo - ale spoločnosť Google ich rýchlo preruší. Služby, ktoré poskytujú prístup k takýmto účtom, budú obmedzovať prístupy k pokusom o prístup a zablokovať adresy IP, ktoré sa pokúšajú prihlásiť toľkokrát. Takže útok na on-line službu nebude fungovať príliš dobre, pretože veľmi málo pokusov možno urobiť predtým, než sa útok zastaví.
Napríklad po niekoľkých neúspešných pokusoch o prihlásenie vám služba Gmail zobrazí obrázok CATPCHA, ktorý overí, že nie ste počítač, ktorý sa automaticky pokúša o heslá. Pravdepodobne úplne zastavia vaše pokusy o prihlásenie, ak sa vám podarí pokračovať dostatočne dlho.
Na druhú stranu, povedzme, že útočník napadol zašifrovaný súbor z vášho počítača, alebo sa mu podarilo ohroziť online službu a stiahnuť také šifrované súbory. Útočník má teraz šifrované dáta na svojom vlastnom hardvéri a môže vyskúšať toľko hesiel, koľko chcú vo svojom voľnom čase. Ak majú prístup k zašifrovaným údajom, nie je možné zabrániť tomu, aby v krátkom čase vyskúšali veľké množstvo hesiel. Dokonca aj v prípade, že používate silné šifrovanie, je pre vás užitočné zachovať vaše dáta v bezpečí a zabezpečiť, aby ostatní nemali prístup k nim.
zatrieďovanie
Silné algoritmy hášenia môžu spomaliť útoky hrubej sily. V podstate algoritmy hash vykonávajú dodatočnú matematickú prácu na hesle pred uložením hodnoty odvodenej z hesla na disku. Ak sa použije algoritmus pomalšej likvidácie, bude vyžadovať tisícky krát toľko matematickej práce, aby ste vyskúšali každé heslo a dramaticky spomalili útoky hrubej sily. Avšak čím viac práce je potrebná, tým viac práce musí server alebo iný počítač robiť zakaždým, keď sa používateľ prihlási pomocou svojho hesla. Softvér musí vyvážiť odolnosť voči útokom na hrubou silou s využitím zdrojov.
Brute-Force Speed
Rýchlosť závisí od hardvéru. Inteligenčné agentúry môžu stavať špecializovaný hardvér len na útoky hrubou silou, rovnako ako banskí pracovníci spoločnosti Bitcoin vytvárajú vlastný špecializovaný hardvér optimalizovaný na ťažbu Bitcoin. Pokiaľ ide o spotrebiteľský hardvér, najefektívnejším typom hardvéru pre útoky na hrubou silou je grafická karta (GPU). Pretože je jednoduché vyskúšať naraz viacero rôznych šifrovacích kľúčov, paralelné paralelné grafické karty sú ideálne.
Koncom roka 2012 spoločnosť Ars Technica uviedla, že klastr s kapacitou 25 GPU môže skrátiť každé heslo systému Windows pod 8 znakmi za menej ako šesť hodín. Algoritmus NTLM, ktorý spoločnosť Microsoft použila, nebola dostatočne odolná. Avšak, keď bol vytvorený NTLM, bolo by trvať oveľa dlhšie vyskúšať všetky tieto heslá. To sa nepovažovalo za dostatočné na to, aby spoločnosť Microsoft mohla zvýšiť šifrovanie.
Rýchlosť rastie a za niekoľko desaťročí môžeme zistiť, že aj najsilnejšie kryptografické algoritmy a šifrovacie kľúče, ktoré dnes používame, môžu byť rýchlo popraskané kvantovými počítačmi alebo akýmkoľvek iným hardvérom, ktorý používame v budúcnosti.
Chráňte svoje dáta pred útokmi typu Brute-Force
Neexistuje žiadny spôsob, ako sa úplne ochrániť. Je nemožné povedať, ako rýchlo získa hardvér počítača a či niektorý z šifrovacích algoritmov, ktoré dnes používame, má slabé stránky, ktoré budú v budúcnosti objavené a využívané. Tu sú však základy:
- Majte šifrované dáta v bezpečí, kde útočníci nemôžu získať prístup k nim. Akonáhle majú svoje dáta skopírované do svojho hardvéru, môžu vyskúšať útoky hrubou silou proti nemu vo svojom voľnom čase.
- Ak spustíte akúkoľvek službu, ktorá akceptuje prihlásenie cez internet, uistite sa, že obmedzuje pokusy o prihlásenie a zablokuje ľudí, ktorí sa pokúšajú prihlásiť s mnohými rôznymi heslami v krátkom čase. Serverový softvér je zvyčajne nastavený tak, aby to bol mimo krabice, pretože je to dobrá bezpečnostná prax.
- Použite silné šifrovacie algoritmy, ako napríklad SHA-512. Uistite sa, že nepoužívate staré šifrovacie algoritmy so známymi slabými stránkami, ktoré sa dajú ľahko spustiť.
- Používajte dlhé a bezpečné heslá. Všetky šifrovacie technológie na svete vám nepomôžu, ak používate "heslo" alebo stále obľúbený "lovec2".
Brutálne útoky sú niečím znepokojujúce pri ochrane vašich dát, pri výbere šifrovacích algoritmov a pri výbere hesiel. Sú tiež dôvodom na to, aby pokračovali vo vývoji silnejších kryptografických algoritmov - šifrovanie musí držať krok s tým, ako rýchlo sa stáva neúčinným novým hardvérom.
Image Credit: Johan Larsson na Flickr, Jeremy Gosney