Brute-Force napadi so razložili, kako je vse šifriranje ranljivo
Napadi s surovo silo so precej enostavni za razumevanje, vendar jih je težko zaščititi. Šifriranje je matematika, in ker računalniki postajajo hitrejši pri matematiki, postanejo hitrejši, ko poskušajo vse rešitve in vidijo, katero se ujema.
Te napade je mogoče uporabiti proti vsem vrstam šifriranja z različnimi stopnjami uspeha. Brutalni napadi postanejo hitrejši in učinkovitejši z vsakim dnem, ko se sprosti novejša in hitrejša računalniška strojna oprema.
Osnove grobe sile
Napadi brutalnosti so preprosti za razumevanje. Napadalec ima šifrirano datoteko - npr. Bazo podatkov gesel LastPass ali KeePass. Vedo, da ta datoteka vsebuje podatke, ki jih želijo videti, in vedo, da je šifrirni ključ, ki ga odklene. Če jo želite dešifrirati, lahko začnejo preizkušati vsa možna gesla in vidijo, ali to povzroči dešifrirano datoteko.
To naredijo samodejno z računalniškim programom, tako da se hitrost, s katero lahko nekdo brutalno šifrira, poveča, saj je razpoložljiva računalniška strojna oprema hitrejša in hitrejša, kar omogoča več izračunov na sekundo. Brutalni napad bi se najverjetneje začel pri enomestnih geslih, preden bi se premaknili na dvomestna gesla in tako naprej, tako da bi preizkusili vse možne kombinacije, dokler se ena ne vključi.
"Slovarski napad" je podoben in poskuša besede v slovarju - ali seznam skupnih gesel - namesto vseh možnih gesel. To je lahko zelo učinkovito, saj veliko ljudi uporablja tako šibka in skupna gesla.
Zakaj napadalci ne morejo brutirati spletnih storitev
Obstaja razlika med online in offline brutalnimi napadi. Če na primer napadalec želi brutalno uveljaviti vaš Gmailov račun, lahko začnejo preizkušati vsa možna gesla, vendar jih bo Google hitro izklopil. Storitve, ki omogočajo dostop do takšnih računov, bodo omogočile poskuse dostopa in prepovedale naslove IP, ki se poskušajo prijaviti tolikokrat. Tako napad na spletno storitev ne bi deloval preveč dobro, saj je pred zaustavitvijo napada mogoče storiti zelo malo poskusov.
Na primer, po nekaj neuspelih poskusih prijave vam bo Gmail prikazal sliko CATPCHA, s katero bo preveril, ali niste računalnik, ki samodejno poskuša gesla. Verjetno bodo popolnoma prenehali s poskusi prijave, če boste uspeli nadaljevati dovolj dolgo.
Po drugi strani pa recimo, da je napadalec iz računalnika zagrabil šifrirano datoteko ali je uspel ogroziti spletno storitev in prenesti take šifrirane datoteke. Napadalec zdaj ima šifrirane podatke na lastni strojni opremi in lahko v prostem času poskusi čim več gesel. Če imajo dostop do šifriranih podatkov, jim ni mogoče preprečiti, da bi v kratkem času poskusili z velikim številom gesel. Tudi če uporabljate močno šifriranje, je v vašo korist, da ohranite varnostne podatke in zagotovite, da drugi ne morejo dostopati do njih.
Hashing
Močni algoritmi razprševanja lahko upočasnijo brutalne napade. V bistvu algoritmi zgoščevanja opravijo dodatno matematično delo na geslu, preden shranijo vrednost, ki izhaja iz gesla na disku. Če uporabljamo počasnejši algoritem zgoščevanja, bo potrebno tisočkrat več matematičnega dela, da se preizkusi vsako geslo in dramatično upočasni napad brutalne sile. Vendar, čim več dela potrebujete, več dela mora strežnik ali drug računalnik opraviti vsakič, ko se uporabnik prijavi z geslom. Programska oprema mora uravnotežiti odpornost proti nasilnim napadom z uporabo virov.
Brutalna hitrost
Hitrost je odvisna od strojne opreme. Obveščevalne agencije lahko gradijo specializirano strojno opremo samo za grobe napade, prav tako kot rudarji Bitcoin izdelajo svojo lastno specializirano strojno opremo, optimizirano za pridobivanje Bitcoinov. Ko gre za potrošniško strojno opremo, je najučinkovitejša vrsta strojne opreme za napade s surovo silo grafična kartica (GPU). Ker je preprosto preizkusiti več različnih šifrirnih ključev hkrati, je veliko grafičnih kartic, ki delujejo vzporedno, idealne.
Konec leta 2012 je Ars Technica poročal, da lahko grozd 25-GPU razpoči vsako geslo za Windows pod 8 znaki v manj kot šestih urah. NTLM algoritem, ki ga je Microsoft uporabil, ni bil dovolj prožen. Vendar, ko je bil ustvarjen NTLM, bi bilo precej dlje, da bi preizkusili vsa ta gesla. To ni bilo dovolj nevarno, da bi Microsoft šifriranje okrepil.
Hitrost narašča in v nekaj desetletjih bomo morda odkrili, da lahko tudi najmočnejši kriptografski algoritmi in šifrirni ključi, ki jih uporabljamo danes, hitro razrežejo kvantni računalniki ali katera koli druga strojna oprema, ki jo uporabljamo v prihodnosti..
Zaščita podatkov iz brutalnega napada
Ni se mogoče popolnoma zaščititi. Nemogoče je reči, kako hitro bo prišlo do računalniške strojne opreme in ali imajo vsi šifrirni algoritmi, ki jih danes uporabljamo, pomanjkljivosti, ki jih bomo odkrili in izkoristili v prihodnosti. Vendar pa so tukaj osnove:
- Vaši šifrirani podatki naj bodo varni tam, kjer napadalci ne morejo dostopati do njih. Ko se vaši podatki kopirajo v strojno opremo, lahko v prostem času preizkusijo nasilne napade.
- Če zaženete katero koli storitev, ki sprejema prijave prek interneta, zagotovite, da omejuje poskusi prijave in blokira ljudi, ki se v kratkem času poskusijo prijaviti z različnimi gesli. Strežniška programska oprema je na splošno nastavljena, da to stori iz škatle, saj je dobra varnostna praksa.
- Uporabite močne algoritme za šifriranje, kot je SHA-512. Prepričajte se, da ne uporabljate starih algoritmov šifriranja z znanimi slabostmi, ki jih je mogoče preprosto razpasti.
- Uporabite dolga, varna gesla. Vsa tehnologija šifriranja na svetu ne bo pomagala, če uporabljate »geslo« ali vedno priljubljen »lovec«.
Napadi brutalnosti so nekaj, kar vas bo skrbelo pri varovanju vaših podatkov, izbiri algoritmov šifriranja in izbiranju gesel. Prav tako so razlog za nadaljnji razvoj močnejših kriptografskih algoritmov - šifriranje mora slediti temu, kako hitro nova strojna oprema hitro postane neučinkovita.
Image Credit: Johan Larsson na Flickru, Jeremy Gosney