Hvad er Brute Force Attacks, og hvordan kan du forhindre dem?

Et brute force-angreb er en metode, der bruges til at indhente private brugeroplysninger såsom brugernavne, adgangskoder, adgangssætninger eller personlige identifikationsnumre (PIN'er). Disse angreb udføres typisk ved hjælp af et script eller bot til 'gæt' den ønskede information indtil en korrekt indtastning er bekræftet.

Disse angreb kan implementeres af kriminelle for at forsøge at få adgang til data, der ellers er beskyttet af legitimationsoplysninger. Selvom du måske tror, ​​at en adgangskode holder dine oplysninger sikre, har forskning vist det enhver adgangskode på otte tegn kan knækkes på mindre end seks timer. Og det var tilbage i 2012 på en forholdsvis billig maskine.

Et brute force angreb kan også være et nyttig måde for it-specialister at teste sikkerheden af deres netværk. Faktisk er et af målene for et systems krypteringsstyrke, hvor lang tid det ville tage for en angriber at få succes i et brute force-forsøg.

Fordi brute force bestemt ikke er den mest sofistikerede form for angreb, kan forskellige foranstaltninger hjælpe med at blokere disse typer trusler. I dette indlæg udforsker vi brute force-angreb mere detaljeret, herunder nogle eksempler, og afslører derefter, hvordan du kan beskytte dig mod dem.

En introduktion til brute force angreb

Brute force angreb omtales ofte som brute force cracking. Faktisk bruges brute force - i dette tilfælde beregningskraft - til at forsøge at knække en kode. I stedet for at bruge en kompleks algoritme, et brute force angreb bruger et script eller bot til at indsende gæt, indtil det rammer en kombination, der virker .

Der er masser af værktøjer let tilgængelig for at hjælpe hackere med at starte brute force-forsøg. Men selv at skrive et manuskript fra bunden ville ikke være for meget besværligt for nogen, der er fortrolig med kode. Selvom disse angreb er lette at udføre, afhængigt af længden og arten af ​​adgangskoden og den anvendte regnekraft, kan det tage dage, uger eller endda år at lykkes.

Det er værd at bemærke, at brute force-angreb kommer igen i rampelyset i 2020 som cyberkriminelle drager fordel af stigningen i antallet af fjernarbejdere. En april 2020-rapport fra Kaspersky fandt, at antallet af brute force angreb på Remote Desktop Protocols (RDP'er) steg 400 procent i marts og april.

Før vi ser på, hvordan vi kan spotte og forhindre brute force-angreb, bør vi bemærke nogle andre udtryk, du kan støde på relateret til dette emne.

Hybride brute force angreb

Et brute force-angreb bruger en systematisk tilgang til at gætte, der ikke bruger ekstern logik. Lignende angreb omfatter en ordbogsangreb , som måske bruger en liste over ord fra ordbogen til at knække koden. Andre angreb kan starte med almindeligt anvendte adgangskoder.

Disse er nogle gange beskrevet som brute force angreb. Dog fordi de bruger noget logik for at afgøre, hvilke iterationer der kan være de mest sandsynlige først, omtales de mere præcist som hybrid brute force-angreb.

Omvendt brute force angreb

Et omvendt brute force angreb involverer ved at bruge en fælles adgangskode eller gruppe af adgangskoder mod flere mulige brugernavne. Dette er ikke målrettet mod en enkelt bruger, men kan bruges til at forsøge at få adgang til et bestemt netværk.

Den bedste beskyttelse mod denne type angreb er at bruge stærke adgangskoder, eller fra en administrators synspunkt at kræve, at der bruges stærke adgangskoder.

Legitimationsfyld

Legitimationsfyld er en unik form for brute force angreb, der bruger brudt brugernavn og adgangskode par . Hvis et brugernavn/adgangskodeparring er kendt, kan en angriber bruge det til at forsøge at få adgang til flere websteder. Når de først er på en brugers konto, har de fuld kontrol over den konto og adgang til alle de detaljer, den har.

Forholdsregler som to-faktor autentificering og sikkerhedsspørgsmål kan hjælpe med at forhindre skade ved denne slags angreb. Den bedste beskyttelse er dog, at brugere aldrig bruger den samme adgangskode til flere konti.

Målet med et brute force angreb

Når en hacker laver et vellykket loginforsøg, hvad er det næste? Svaret er, at en lang række ting kan udføres. Her er nogle af de vigtigste:

• Stjæle eller afsløre brugeres personlige oplysninger fundet på onlinekonti
• Høst sæt af legitimationsoplysninger til salg til tredjepart
• Udgiver sig som kontoejere for at sprede falsk indhold eller phishing-links
• Stjæle systemressourcer til brug i andre aktiviteter
• Beskæring af et websted ved at få adgang til administratoroplysninger
• Spredning af malware eller spamindhold eller omdirigering af domæner til skadeligt indhold

Som nævnt kan brute force-angreb også bruges til at teste for sårbarheder i systemet, så de er ikke altid ondsindede.

Eksempler på brute force angreb

Brute force angreb finder sted hele tiden, og der er mange højprofilerede eksempler at tale om. Vi ved sandsynligvis ikke engang om mange svundne og igangværende angreb, men her er et par stykker, der er kommet frem i lyset i de seneste år:

• Canadian Revenue Agency (CRA):I august 2020, en credential stuffing angreb resulterede i hacking af mere end 11.000 konti til CRA og andre regeringsrelaterede tjenester.
• Dunkin' Donuts:Den populære kaffefranchise er blevet pålagt at betale hundredtusindvis af dollars som svar på en hændelse i 2015, hvor legitimationsfyld og brute force-angreb blev brugt til at stjæle penge gennem kædens mobilapp og hjemmeside.
• Ali Baba: EN massivt brute force angreb i 2016 på den populære e-handelsside påvirkede millioner af konti.
• Magento: I marts 2018 Magento måtte advare brugerne at op til 1.000 admin-paneler var blevet kompromitteret som følge af brute force-angreb.
• Det nordirske parlament: Også i marts 2018 flere medlemmers regnskaber af det nordirske parlament blev tilgået af brute force angribere.
• Westminster-parlamentet: An tidligere angreb ramte Westminster-parlamentet i 2017, hvor op til 90 e-mail-konti blev kompromitteret.
• Firefox: Det var afslørede tidligt i 2018, at Firefox's 'master password'-funktionen kan nemt angribes med brute-force. Det betyder, at i løbet af de sidste ni år kan mange brugeres legitimationsoplysninger være blevet afsløret.

Selvom brute force angreb ofte bruges af kriminelle, er dekanhjælp til at teste systemer. Hvad mere er, kan de tilbyde en sikkerhedskopi til gendannelse af adgangskode, hvis andre metoder er udtømt.

Sådan får du øje på et brute force-angreb

Det er ikke ualmindeligt at få en e-mail fra en tjenesteudbyder, der fortæller dig, at nogen loggede ind på din konto fra et tilfældigt sted. Når dette sker, er det muligt, at du har været offer for et brute force-angreb. I dette tilfælde er det tilrådeligt at ændre din adgangskode med det samme.

Du vil måske endda ændre din adgangskode til følsomme konti regelmæssigt, bare hvis du er blevet offer for et uopdaget eller urapporteret brute force-angreb.

Hvis du er netværksadministrator, er det vigtigt for sikkerheden på dit websted og dine brugere at se efter tegn på et brute force-angreb, især et vellykket. Selvom en masse mislykkede logins godt kunne være fra en glemsom bruger, er der chance for, at siden er under angreb. Her er nogle tegn, du skal være opmærksom på:

• Flere mislykkede loginforsøg fra den samme IP-adresse.Selvom dette kan være et resultat af en proxyserver, der bruges af en stor organisation.
• Loginforsøg med flere brugernavnefra samme IP-adresse. Igen, dette kunne simpelthen være fra en stor organisation.
• Flere loginforsøg for et enkelt brugernavnkommer fra forskellige IP-adresser. Dette kan også være en enkelt person, der bruger en proxy.
• Et usædvanligt mønster af mislykkede loginforsøg, for eksempel efter et sekventielt alfabetisk eller numerisk mønster.
• En unormal mængde båndbreddebruges efter et vellykket loginforsøg. Dette kunne signalere et angreb designet til at stjæle ressourcer.

Fra et brugersynspunkt kan det være meget svært at vide, om din konto er blevet brudt af et brute force-angreb. Hvis du modtager en meddelelse, efter at din konto er blevet brudt, er din bedste fremgangsmåde at tjekke din konto for eventuelle ændringer, som ikke er foretaget af dig, og ændre din adgangskode med det samme.

Relaterede: Hvad skal du gøre, hvis din konto eller e-mail er blevet hacket

Sådan forhindrer du et brute force-angreb

Brute force-angreb kan være nemme at opdage blot på grund af det store antal login-forsøg. Du skulle tro, at det ville være så simpelt at forhindre et angreb som at blokere den IP-adresse, som loginforsøgene kommer fra. Desværre er det ikke så ligetil somhackere kan bruge værktøjer, der sender forsøg gennem åbne proxy-servereså de kommer fra forskellige IP-adresser.

Alligevel, afhængigt af om du er bruger eller administrator, kan du forhindre et vellykket brute force-angreb ved at følge vores tips. Vi vil gå mere i detaljer om hver enkelt nedenfor.

Sådan forhindrer du et brute force-angreb:

1. Bruger eller kræver stærke adgangskoder
2. Tillader et begrænset antal loginforsøg
3. Anvendelse af brug af CAPTCHA'er
4. Indstilling af tidsforsinkelser mellem forsøg
5. Stiller sikkerhedsspørgsmål
6. Aktiverer eller kræver to-faktor-godkendelse
7. Brug af flere login-URL'er
8. Trick angrebssoftwaren

Da de fleste foranstaltninger skal implementeres af en administrator, vil dette afsnit fokusere på emner fra det perspektiv. Brugere bør stadig notere sig områder, hvor de kan hjælpe med at styrke systemet, såsom ved at bruge stærke adgangskoder og drage fordel af eventuelle valgfrie sikkerhedsfunktioner.

1. Stærke adgangskoder

Hvis du er netværksadministrator, kan du hjælpe med at forhindre vellykkede brute force-angreb ved at kræve, at brugerne indtaster stærke adgangskoder. For eksempel kan du kræve en vis længde, og at adgangskoden indeholder specifikke funktioner, såsom en blanding af store og små bogstaver sammen med tal og specialtegn.

Fra et brugerperspektiv er en stærk adgangskode bydende nødvendigt. Brug af en fælles adgangskode eller et simpelt ord fra en ordbog vil gøre det meget nemmere for et brute force-angrebsværktøj at lande på det rigtige. Kommer med en solid adgangskode kan være svært, men her er et par tips:

• Længere adgangskoder er bedreda det vil tage et sekventielt værktøj længere at køre gennem iterationerne.
• Brug af en kombinationaf store og små bogstaver, tal og specialtegn vil gøre en adgangskode stærkere.
• Brug aldrig den samme adgangskodefor forskellige konti vil gøre dig mindre sårbar over for visse typer angreb.

Selvfølgelig kan det være svært at finde på og huske stærke adgangskoder, men der er værktøjer til at hjælpe dig. Disse omfatter adgangskodegeneratorer, værktøjer til test af adgangskodestyrke og adgangskodeadministrationsapplikationer såsom LastPass, KeePass, Dashlane og Sticky Password.

2. Begrænset antal login-forsøg

Et almindeligt forsvar mod et brute force-angreb er simpelthen at begrænse antallet af loginforsøg til et logisk tal, måske et sted mellem fem og 10. Hvis du gør dette, skal du bare huske at give en form for gendannelsesmetode for ægte brugere at forfølge, hvis de bliver låst ude.

For eksempel kan du tilbyde en gendannelsesmulighed, hvorved deres adgangskode kan ændres via e-mailbekræftelse. Eller du kan angive et supportkontaktnummer eller e-mail, som du kan kontakte i tilfælde af en lockout.

Du kan også overveje at sætte en tidsbegrænsning på blokken . Da mange brute force-angreb vil ske i løbet af kort tid, kan en midlertidig lockout være alt, hvad der er nødvendigt. Du kan indstille lockout-tiden til en time eller to for at minimere den negative indvirkning på den samlede brugeroplevelse.

Husk på, at dette langt fra er en fejlsikker mulighed og kommer med mange potentielle problemer. Et af problemerne med denne foranstaltning er, at nogle brute force-værktøjer ikke kun skifter adgangskoden hver gang, men også prøver et andet brugernavn for hvert forsøg. Hvis forsøgene er for forskellige konti, vil en enkelt konto ikke blive låst.

Begrænsning af antallet af forsøg for hver IP-adresse ville give logisk mening, men som nævnt ovenfor kan forskellige IP-adresser bruges til hvert forsøg, i hvilket tilfælde denne foranstaltning ikke ville være effektiv. Et alternativ ville være at blokere på browser- eller enhedsbasis ved hjælp af cookies.

Et andet problem med denne taktik er, at lockouts kan bruges til høst rigtige brugernavne i et forsøg på at gætte brugernavn hvor kun rigtige brugernavne leverer en lockout-besked. Yderligere kunne en lockout faktisk bruges strategisk til at blokere brugere for at forhindre dem i at få adgang til konti.

Med alle disse potentielle problemer taget i betragtning, bør en begrænset loginforsøgsstrategi kun bruges under passende omstændigheder.

3. CAPTCHA'er

CAPTCHA'er (Completely Automated Public Turing tests to tell Computers and Humans Apart) har eksisteret i mere end tyve år. De kan bruges til afgøre, om et loginforsøg udføres af et menneske eller ej . Nogle CAPTCHA'er beder blot brugeren om at indtaste noget forvrænget tekst, markere et felt eller besvare et simpelt matematisk spørgsmål.

Andre er lidt mere sofistikerede og anmoder brugerne om at identificere objekter i billeder.

Ikke overraskende betyder CAPTCHAs enkelhed, at de ikke er så svære at omgå. Alligevel kan de i det mindste udgøre en hindring for potentielle angribere. CAPTCHA'er kan bruges i kombination med andre taktikker på denne liste, såsom at kræve en CAPTCHA efter et vist antal mislykkede loginforsøg.

4. Tidsforsinkelser

At implementere en tidsforsinkelse på et par sekunder mellem loginforsøg lyder rudimentært, men kan faktisk være meget effektivt. Nogle brute force-angreb er baseret på et stort antal forsøg på kort tid i håb om hurtigt at finde den rigtige kombination.

En kort forsinkelse mellem forsøgene kan alvorligt bremse et angreb til det punkt, hvor det ikke er besværet værd . På den anden side er forsinkelsen måske knap mærkbar for den gennemsnitlige bruger.

Denne taktik vil ikke fungere for alle angreb, da nogle er designet til at være bevidst langsomme.

5. Sikkerhedsspørgsmål

Mens mange brugere begræder brugen af ​​sikkerhedsspørgsmål, kan deres brug være endnu mere smertefuldt for brute force-angribere. Selv i målrettede angreb, der involverer personlige oplysninger for en bestemt bruger, kan det være svært at komme forbi sikkerhedsspørgsmål.

For at skabe en bedre brugeroplevelse kunne du anmod kun om sikkerhedssvar efter et bestemt antal mislykkede loginforsøg eller hver gang en ny enhed bruges til login. Eller, hvis du har opdaget et angreb, der finder sted, kan dette være et godt tidspunkt at anmode om, at alle brugere besvarer et sikkerhedsspørgsmål, når de logger ind.

6. To-faktor autentificering

Afhængigt af arten af ​​din tjeneste, er chancerne for, at du ikke ønsker at forringe brugeroplevelsen ved at håndhæve en to-faktor autentificeringsregel. Det er dog rart at kunne tilbyde denne funktion som en mulighed for mere sikkerhedsbevidste brugere.

Du kan vælge at tilbyde en simpel to-trins proces, for eksempel legitimationsoplysninger efterfulgt af en e-mail, eller du kan lade brugeren vælge mellem forskellige muligheder, herunder legitimationsoplysninger, sociale medier, e-mail, SMS og mere.

Bemærk, at der er to forskellige former for denne type godkendelse som ofte er forvirrede eller blot bundtet sammen. Totrinsbekræftelse (2SV) involverer typisk en bekræftelseskode eller et link, ofte sendt via SMS eller e-mail. For eksempel giver Amazon brugerne mulighed for at bruge 2SV i form af et engangskodeord (OTP) til alle loginforsøg.

To-faktor autentificering (2FA) bruger en anden form for verifikation som den anden faktor. Dette kunne involvere noget som et nøglekort eller en fob eller en biometrisk metode til identifikation, såsom et fingeraftryk eller nethindescanning.

7. Unikke login-URL'er

Fordi der ikke rigtig er nogen konkrete muligheder for at blokere brute force-forsøg, er det klogt at implementere flere forsvarsstrategier. Nogle af disse kunne simpelthen involvere afledningstaktikker. En sådan metode er at angive forskellige URL'er, som brugerne kan logge ind fra . I dette tilfælde vil hver bruger enten have en unik login-URL eller bruge en URL, der deles med et sæt andre brugere.

Denne metode ville være særlig nyttig til at forhindre angreb, der bruges til at høste brugernavne, da hver URL ville give en begrænset mængde information. Dette er på ingen måde en førsteklasses metode, men det kan bremse et angreb.

8. Trick systemet

En anden mulig afledningstaktik er at skifte tingene op for at forvirre angriberen (eller rettere den software, der bruges). For eksempel er nogle bots trænet til at genkende fejl, men du kan bruge omdirigerer til forskellige fejlsider for samtidige mislykkede loginforsøg . Dette ville betyde, at angriberen i det mindste ville være nødt til at intensivere tingene med mere sofistikeret software.

Andre muligheder inkluderer at tillade adgang til en konto, men derefter anmode om en adgangskode på en ny side, eller endda at give adgang til en konto med meget begrænsede muligheder .

Alternativt kan du bruge en omvendt metode og indlejre en mislykket login-fejl i koden på websiden . Selv med et vellykket loginforsøg kan en bot blive narret til at levere dette som et mislykket forsøg. Denne form for obfuscation bruges ofte for at gøre det sværere for et automatiseret angrebsværktøj at forstå, om et brute force-angreb er mislykket eller lykkedes.

Denne taktik kan være nok til at kaste den gennemsnitlige person af sig, som simpelthen leder efter et svagt system at trænge igennem. Men disse tricks kan sandsynligvis omgås af en beslutsom angriber og kan kræve en masse indsats på forhånd.

Bundlinjen til beskyttelse mod brute force-angreb

Som du kan se, er der mange muligheder for at hjælpe med at forhindre et vellykket angreb. Fordi karakteren af ​​et brute force-angreb vil variere fra sag til sag, er der ikke rigtig en generel metode til forebyggelse. Som sådan kan det være bedst at overveje at bruge en kombination af flere strategier for at skabe en solid forsvarslinje.

Relaterede:

• Bedste cybersikkerhedsbevidsthedstræning
• 30+ gratis værktøjer til at forbedre sikkerheden for dit websted og dine besøgende
• Den jargonfri guide til computer- og internetsikkerhed
• Rapport om cyberkriminalitet: 300+ cybersikkerhedsstatistikker