Οι βίαιες επιθέσεις είναι αρκετά απλές στην κατανόηση, αλλά είναι δύσκολο να προστατευθούν. Η κρυπτογράφηση είναι μαθηματικά και καθώς οι υπολογιστές γίνονται πιο γρήγοροι στα μαθηματικά, γίνονται πιο γρήγοροι προσπαθώντας όλες τις λύσεις και βλέποντας ποια ταιριάζει.
Αυτές οι επιθέσεις μπορούν να χρησιμοποιηθούν έναντι οποιουδήποτε τύπου κρυπτογράφησης, με διαφορετικούς βαθμούς επιτυχίας. Οι βίαιες επιθέσεις γίνονται γρηγορότερες και πιο αποτελεσματικές με κάθε μέρα που περνάει καθώς κυκλοφορεί νεότερο, ταχύτερο υλικό υπολογιστή
Βασικά στοιχεία Brute-Force
Οι βίαιες επιθέσεις είναι απλώς κατανοητές. Ένας εισβολέας έχει ένα κρυπτογραφημένο αρχείο - ας πούμε, το δικό σας LastPass ή KeePass βάση δεδομένων κωδικού πρόσβασης. Γνωρίζουν ότι αυτό το αρχείο περιέχει δεδομένα που θέλουν να δουν και γνωρίζουν ότι υπάρχει ένα κλειδί κρυπτογράφησης που το ξεκλειδώνει. Για να το αποκρυπτογραφήσει, μπορούν να αρχίσουν να δοκιμάζουν κάθε δυνατό κωδικό πρόσβασης και να δουν αν αυτό οδηγεί σε αποκρυπτογραφημένο αρχείο.
Το κάνουν αυτό αυτόματα με ένα πρόγραμμα υπολογιστή, οπότε η ταχύτητα με την οποία κάποιος μπορεί να κρυπτογραφήσει βίαια δύναμη αυξάνεται καθώς το διαθέσιμο υλικό του υπολογιστή γίνεται όλο και πιο γρήγορο, ικανό να κάνει περισσότερους υπολογισμούς ανά δευτερόλεπτο. Η επίθεση brute-force πιθανότατα θα ξεκινούσε με μονοψήφιους κωδικούς πρόσβασης προτού μετακινηθεί σε διψήφιο κωδικό και ούτω καθεξής, δοκιμάζοντας όλους τους πιθανούς συνδυασμούς μέχρι να λειτουργήσει ένας.
Μια «επίθεση λεξικού» είναι παρόμοια και δοκιμάζει λέξεις σε ένα λεξικό - ή μια λίστα κοινών κωδικών πρόσβασης - αντί για όλους τους πιθανούς κωδικούς πρόσβασης. Αυτό μπορεί να είναι πολύ αποτελεσματικό, καθώς πολλοί άνθρωποι χρησιμοποιούν τόσο αδύναμους και κοινούς κωδικούς πρόσβασης.
Γιατί οι επιτιθέμενοι δεν μπορούν να κάνουν υπηρεσίες Web Brute-Force
Υπάρχει μια διαφορά μεταξύ διαδικτυακών και offline επιθέσεων βίας. Για παράδειγμα, εάν ένας εισβολέας θέλει να κάνει βίαιο τρόπο στο λογαριασμό σας στο Gmail, μπορεί να αρχίσει να δοκιμάζει κάθε πιθανό κωδικό πρόσβασης - αλλά η Google θα τους κόψει γρήγορα. Οι υπηρεσίες που παρέχουν πρόσβαση σε τέτοιους λογαριασμούς θα επιταχύνουν τις προσπάθειες πρόσβασης και θα αποκλείσουν διευθύνσεις IP που προσπαθούν να συνδεθούν πολλές φορές. Επομένως, μια επίθεση εναντίον μιας διαδικτυακής υπηρεσίας δεν θα λειτουργούσε πολύ καλά επειδή πολύ λίγες προσπάθειες μπορούν να γίνουν προτού σταματήσει η επίθεση.
Για παράδειγμα, μετά από μερικές αποτυχημένες προσπάθειες σύνδεσης, το Gmail θα σας δείξει μια εικόνα CATPCHA για να επαληθεύσετε ότι δεν είστε υπολογιστής που προσπαθεί αυτόματα κωδικούς πρόσβασης. Κατά πάσα πιθανότητα θα σταματήσουν εντελώς τις προσπάθειές σας σύνδεσης εάν καταφέρατε να συνεχίσετε για αρκετό καιρό.
Από την άλλη πλευρά, ας υποθέσουμε ότι ένας εισβολέας έσπασε ένα κρυπτογραφημένο αρχείο από τον υπολογιστή σας ή κατάφερε να θέσει σε κίνδυνο μια διαδικτυακή υπηρεσία και να κατεβάσει τέτοια κρυπτογραφημένα αρχεία. Ο εισβολέας έχει τώρα τα κρυπτογραφημένα δεδομένα στο δικό του υλικό και μπορεί να δοκιμάσει όσους κωδικούς πρόσβασης θέλει στον ελεύθερο χρόνο του. Εάν έχουν πρόσβαση στα κρυπτογραφημένα δεδομένα, δεν υπάρχει τρόπος να τους αποτρέψετε να δοκιμάσουν μεγάλο αριθμό κωδικών πρόσβασης σε σύντομο χρονικό διάστημα. Ακόμα κι αν χρησιμοποιείτε ισχυρή κρυπτογράφηση, είναι προς όφελός σας να διατηρήσετε τα δεδομένα σας ασφαλή και να διασφαλίσετε ότι άλλοι δεν θα έχουν πρόσβαση σε αυτά.
Κατακερματισμός
Οι ισχυροί αλγόριθμοι κατακερματισμού μπορούν να επιβραδύνουν τις επιθέσεις brute-force. Ουσιαστικά, οι αλγόριθμοι κατακερματισμού εκτελούν επιπλέον μαθηματική εργασία σε έναν κωδικό πρόσβασης πριν αποθηκεύσουν μια τιμή που προέρχεται από τον κωδικό πρόσβασης στο δίσκο. Εάν χρησιμοποιείται ένας πιο αργός αλγόριθμος κατακερματισμού, θα απαιτηθούν χιλιάδες φορές περισσότερη μαθηματική εργασία για να δοκιμάσετε κάθε κωδικό πρόσβασης και να επιβραδύνει δραματικά τις επιθέσεις brute-force. Ωστόσο, όσο περισσότερη εργασία απαιτείται, τόσο περισσότερη δουλειά πρέπει να κάνει ένας διακομιστής ή άλλος υπολογιστής κάθε φορά που ο χρήστης συνδέεται με τον κωδικό πρόσβασής του. Το λογισμικό πρέπει να εξισορροπεί την ανθεκτικότητα έναντι των επιθέσεων ωμής βίας με τη χρήση πόρων.
Ταχύτητα Brute-Force
Η ταχύτητα εξαρτάται από το υλικό. Οι υπηρεσίες πληροφοριών ενδέχεται να δημιουργήσουν εξειδικευμένο υλικό μόνο για επιθέσεις με βίαιες δυνάμεις, όπως και οι ανθρακωρύχοι Bitcoin που κατασκευάζουν το δικό τους εξειδικευμένο υλικό βελτιστοποιημένο για εξόρυξη Bitcoin. Όσον αφορά το καταναλωτικό υλικό, ο πιο αποτελεσματικός τύπος υλικού για βίαιες επιθέσεις είναι μια κάρτα γραφικών (GPU). Καθώς είναι εύκολο να δοκιμάσετε πολλά διαφορετικά κλειδιά κρυπτογράφησης ταυτόχρονα, πολλές κάρτες γραφικών που λειτουργούν παράλληλα είναι ιδανικές.
Στο τέλος του 2012, Ο Ars Technica ανέφερε ότι ένα σύμπλεγμα 25-GPU θα μπορούσε να σπάσει κάθε κωδικό πρόσβασης των Windows κάτω από 8 χαρακτήρες σε λιγότερο από έξι ώρες. Ο αλγόριθμος NTLM που χρησιμοποίησε η Microsoft δεν ήταν αρκετά ανθεκτικός. Ωστόσο, όταν δημιουργήθηκε το NTLM, θα χρειαζόταν πολύ περισσότερος χρόνος για να δοκιμάσετε όλους αυτούς τους κωδικούς πρόσβασης. Αυτό δεν θεωρήθηκε αρκετά απειλή για τη Microsoft για να κάνει την κρυπτογράφηση ισχυρότερη.
Η ταχύτητα αυξάνεται και σε μερικές δεκαετίες μπορεί να ανακαλύψουμε ότι ακόμη και οι ισχυρότεροι κρυπτογραφικοί αλγόριθμοι και κλειδιά κρυπτογράφησης που χρησιμοποιούμε σήμερα μπορούν να σπάσουν γρήγορα από κβαντικούς υπολογιστές ή από οποιοδήποτε άλλο υλικό που χρησιμοποιούμε στο μέλλον.
Προστασία των δεδομένων σας από επιθέσεις Brute-Force
Δεν υπάρχει τρόπος να προστατευτείτε εντελώς. Είναι αδύνατο να πούμε πόσο γρήγορα θα αποκτήσει το υλικό του υπολογιστή και αν κάποιος από τους αλγόριθμους κρυπτογράφησης που χρησιμοποιούμε σήμερα έχει αδυναμίες που θα ανακαλυφθούν και θα αξιοποιηθούν στο μέλλον. Ωστόσο, εδώ είναι τα βασικά:
- Διατηρήστε τα κρυπτογραφημένα δεδομένα σας ασφαλή όπου οι εισβολείς δεν μπορούν να έχουν πρόσβαση σε αυτά. Μόλις αντιγράψουν τα δεδομένα σας στο υλικό τους, μπορούν να δοκιμάσουν βίαιες επιθέσεις εναντίον του στον ελεύθερο χρόνο τους.
- Εάν εκτελείτε οποιαδήποτε υπηρεσία που δέχεται συνδέσεις μέσω Διαδικτύου, βεβαιωθείτε ότι περιορίζει τις προσπάθειες σύνδεσης και αποκλείει άτομα που προσπαθούν να συνδεθούν με πολλούς διαφορετικούς κωδικούς πρόσβασης σε σύντομο χρονικό διάστημα. Το λογισμικό διακομιστή είναι γενικά έτοιμο να το κάνει αυτό έξω από το κουτί, καθώς είναι μια καλή πρακτική ασφάλειας.
- Χρησιμοποιήστε ισχυρούς αλγόριθμους κρυπτογράφησης, όπως SHA-512. Βεβαιωθείτε ότι δεν χρησιμοποιείτε παλιοί αλγόριθμους κρυπτογράφησης με γνωστές αδυναμίες που είναι εύκολο να σπάσουν.
- Χρησιμοποιήστε μεγάλους, ασφαλείς κωδικούς πρόσβασης. Όλη η τεχνολογία κρυπτογράφησης στον κόσμο δεν θα σας βοηθήσει εάν χρησιμοποιείτε τον «κωδικό πρόσβασης» ή το πάντα δημοφιλές «hunter2».
Οι βίαιες επιθέσεις είναι κάτι που πρέπει να ανησυχείτε όταν προστατεύετε τα δεδομένα σας, επιλέγοντας αλγόριθμους κρυπτογράφησης και επιλέγοντας κωδικούς πρόσβασης Είναι επίσης ένας λόγος για να συνεχίσετε να αναπτύσσετε ισχυρότερους κρυπτογραφικούς αλγόριθμους - η κρυπτογράφηση πρέπει να συμβαδίζει με το πόσο γρήγορα καθίσταται αναποτελεσματική από νέο υλικό.
Πιστωτική εικόνα: Ο Johan Larsson στο Flickr , Τζέρεμι Γκόσνεϊ
