Грубая сила, безусловно, является одним из самых тривиальных методов атаки. Основная причина: человеческий фактор остается самым слабым звеном в цепи кибербезопасности. Действительно, для кражи учетных данных нет необходимости проводить атаки социальной инженерии или сложные атаки SQL-инъекций, потому что привычки умирают с трудом: пароли пользователей остаются слабыми и поэтому их легко угадать. С помощью правильных инструментов даже самые начинающие злоумышленники могут скомпрометировать данные и вывести из строя системы крупных компаний.
Однако было бы несправедливо возлагать вину исключительно на пользователей, поскольку еще до атаки на их учетные данные они часто становятся жертвами неэффективной или даже контрпродуктивной политики безопасности. И даже в тех компаниях, которые наиболее осведомлены о рисках атак, применяемые механизмы и защитные меры чаще всего оказываются недостаточными.
Давайте разберемся в сути вопроса в этой статье, цель которой — проанализировать эти различные предубеждения и представить основные меры по предотвращению или противодействию различным типам атак грубой силы.
Что такое атака грубой силы?
Атака грубой силы — это процесс проб и ошибок, используемый для угадывания учетных данных (идентификаторов/паролей или ключей шифрования). Цель — получить несанкционированный доступ к системе. Таким образом, речь идет о том, чтобы начать с одного идентификатора и попробовать несколько комбинаций паролей или, наоборот, использовать несколько идентификаторов против одного пароля.
Однако, вопреки распространенному мнению, грубая сила — это не только это. Она часто используется в качестве векторов для запуска других атак и эксплуатации уязвимостей в определенных системах:
- Проблемы с правами (IDOR) через угадывание учетных данных в случае сбоя контроля доступа, позволяющего получить доступ к данным или файлам и т. д.
- Fuzzing (поиск содержимого) с использованием словаря для поиска файлов, не указанных, например, в интерфейсе приложения.
- Перечисление пользователей в случае неправильной конфигурации для предоставления злоумышленнику других возможностей, например, для фишинга.
На самом деле, атаки грубой силы широко распространены и широко используются как пентестерами, так и злоумышленниками, потому что они могут воспользоваться множеством дыр в безопасности. И что еще хуже, их очень легко выполнить с помощью инструментов (BURP, HYDRA, John the Ripper и т. д.), сценариев автоматизации и баз данных паролей (словарей).
Наконец, давайте признаем, что атаки грубой силы относительно эффективны, потому что пользователи все еще слишком часто используют слабые пароли, а их взлом по-прежнему является наиболее распространенной практикой.
Атаки методом перебора
Существует несколько типов атак методом перебора: атаки по словарю, распыление пароля и набивание учетных данных.
Атаки по словарю
При этом типе атаки проверяются все слова из словаря для подбора пароля или файлов. Причем речь идет не о проверке слов обычных словарей, а о реальных базах данных (таких как RockYou или SecLists, например), созданных в результате многочисленных исследований и анализа привычек пользователей и разработчиков и постоянно обновляемых. Кроме того, злоумышленники могут параметрировать инструменты, используемые для перебора, добавляя цифры, символы и другие элементы для проверки более сложных данных.
Распыление пароля
Перебор паролей — это еще один вариант атаки методом грубой силы. В этом случае злоумышленник проверяет часто используемые пароли, чтобы получить доступ к одной или нескольким учетным записям пользователей. Традиционные атаки перебором пытаются получить несанкционированный доступ к одной учетной записи путем угадывания пароля. Это может быстро привести к блокировке целевой учетной записи, поскольку общепринятые политики блокировки учетных записей обычно допускают ограниченное количество неудачных попыток.
Таким образом, атаки с распылением паролей не только являются попыткой обойти тип защитного механизма, но и очень эффективны. Злоумышленники предполагают, что в большой группе людей, скорее всего, найдется хотя бы один человек, который использует общий пароль, и, к сожалению, это слишком часто так и бывает. Действительно, использование в паролях учетных данных, названия компании или приложения, за которым следует год и знак препинания (обычно восклицательный знак), широко распространено и известно злоумышленникам.
Вброс учетных данных
В отличие от атак по словарю или распыления паролей, набивка учетных данных происходит после того, как учетная запись пользователя была скомпрометирована, когда злоумышленник угадывает правильную комбинацию логина и пароля, дающую доступ к данной системе. В этом случае злоумышленник пробует ту же комбинацию на других системах, предполагая, что пользователи обычно используют один и тот же пароль для нескольких сайтов, что, к сожалению, часто бывает правдой.
Для компании атака грубой силы может иметь катастрофические последствия: кража, утечка или изменение данных, финансовые потери, ущерб репутации, задержки и ошибки в работе и т. д. Поэтому важно внедрить эффективную политику безопасности.