Der er mange ekstremt tekniske og sofistikerede hacks derude. Som du måske kan gætte ud fra navnet, er et brute-force-angreb egentlig ikke alt det. Det betyder ikke, at du skal ignorere dem. Så usofistikerede som de er, kan de være meget effektive. Givet nok tid og processorkraft, bør et brute-force-angreb altid have en succesrate på 100 %.
Underklasser
Der er to hovedunderklasser: online- og offlineangreb. Et online brute-force-angreb involverer ikke nødvendigvis internettet. I stedet er det en klasse af angreb, der direkte retter sig mod det kørende system. Et offline angreb kan udføres uden at skulle interagere med det system, der er under angreb.
Men hvordan kan du angribe et system uden at angribe systemet? Nå, databrud indeholder ofte lister over lækkede brugernavne og adgangskoder. Sikkerhedsråd anbefaler dog, at adgangskoder gemmes i et hash-format. Disse hashes kan kun knækkes ved at gætte den rigtige adgangskode. Nu hvor listen over hashes er offentligt tilgængelig, kan en angriber desværre bare downloade listen og prøve at knække dem på deres egen computer. Med tilstrækkelig tid og processorkraft giver dette dem en liste over gyldige brugernavne og adgangskoder med 100 % sikkerhed, før de nogensinde opretter forbindelse til det berørte websted.
Et onlineangreb i sammenligning ville prøve at logge direkte ind på hjemmesiden. Ikke alene er dette meget langsommere, men det kan også bemærkes af stort set enhver systemejer, der gider at kigge. Som sådan foretrækkes offline brute-force-angreb typisk af angribere. Nogle gange er de dog måske ikke mulige.
Brude-tvingende legitimationsoplysninger
Den nemmeste klasse at forstå og den mest almindelige trussel er brute-forcement login detaljer. I dette scenarie forsøger en angriber bogstaveligt talt så mange kombinationer af brugernavne og adgangskoder som muligt for at se, hvad der virker. Som beskrevet ovenfor kan angriberen i et online brute-force-angreb blot prøve at indtaste så mange kombinationer af brugernavn og adgangskode i login-formularen. Denne form for angreb genererer en masse trafik og mislykkede loginforsøgsfejl, som kan blive bemærket af en systemadministrator, som derefter kan gribe ind for at blokere angriberen.
Et offline brute-force-angreb drejer sig om at knække hashes til adgangskoder. Denne proces tager bogstaveligt talt form af at gætte enhver mulig kombination af karakterer. Givet nok tid og processorkraft, ville det med succes knække enhver adgangskode ved hjælp af et hvilket som helst hashing-skema. Moderne hashing-ordninger designet til hashing med adgangskoder er dog designet til at være "langsomme" og er typisk indstillet til at tage titusinder af millisekunder. Det betyder, at selv med en enorm mængde processorkraft vil det tage mange milliarder år at knække en anstændig lang adgangskode.
For at forsøge at øge chancerne for at knække de fleste adgangskoder, har hackere en tendens til at bruge ordbogsangreb i stedet. Dette indebærer at prøve en liste over almindeligt anvendte eller tidligere knækkede adgangskoder for at se, om nogen i det aktuelle sæt allerede er blevet set. På trods af sikkerhedsråd om at bruge unikke, lange og komplekse adgangskoder til alting, er denne strategi med et ordbogsangreb typisk meget vellykket, når det knækker omkring 75-95 % af adgangskoder. Denne strategi kræver stadig masser af processorkraft og er stadig en type brute-force-angreb, den er bare lidt mere målrettet end et standard brute-force-angreb.
Andre typer brute-force angreb
Der er mange andre måder at bruge brute-force på. Nogle angreb involverer forsøg på at få fysisk adgang til en enhed eller et system. Typisk vil en angriber forsøge at være snigende omkring det. For eksempel kan de forsøge at tyve en telefon, de kan prøve at vælge en lås, eller de kan bagklappe gennem en adgangskontrolleret dør. Brute-force alternativer til disse har tendens til at være meget bogstavelige, ved at bruge faktisk fysisk kraft.
I nogle tilfælde kan noget af en hemmelighed være kendt. Et brute-force-angreb kan bruges til at gætte resten af det. For eksempel er nogle få cifre af dit kreditkortnummer ofte trykt på kvitteringer. En angriber kan prøve alle mulige kombinationer af andre tal for at finde ud af dit fulde kortnummer. Dette er grunden til, at de fleste numre er udeladt. De sidste fire cifre er for eksempel nok til at identificere dit kort, men ikke nok til, at en angriber har en anstændig chance for at gætte resten af kortnummeret.
DDOS-angreb er en type brute-force-angreb. De sigter mod at overvælde det målrettede systems ressourcer. Det er lige meget, hvilken ressource. det kunne være CPU-kraft, netværksbåndbredde eller at nå et prisloft for skybehandling. DDOS-angreb involverer bogstaveligt talt blot at sende nok netværkstrafik til at overvælde offeret. Det "hacker" faktisk ikke noget.
Konklusion
Et brute-force angreb er en type angreb, der involverer at stole på rent held, tid og indsats. Der er masser af forskellige typer af brute-force angreb. Mens nogle af dem kan involvere noget sofistikerede værktøjer til at udføre, såsom software til at knække kodeord, er selve angrebet ikke sofistikeret. Dette betyder dog ikke, at brute-force-angreb er papirtigre, da konceptet kan være meget effektivt.