Postoje mnogi izuzetno tehnički i sofisticirani hakovi. Kao što možda možete pogoditi iz naziva, napad brutalnom silom zapravo nije sve to. To ne znači da ih trebate ignorirati. Koliko god bili nesofisticirani, mogu biti vrlo učinkoviti. S obzirom na dovoljno vremena i procesorske snage, brute-force napad uvijek bi trebao imati stopu uspješnosti od 100%.
Podrazredi
Postoje dvije glavne podklase: online i offline napadi. Online brute-force napad ne uključuje nužno internet. Umjesto toga, to je vrsta napada koja izravno cilja na pokrenuti sustav. Offline napad može se izvesti bez potrebe za interakcijom sa sustavom koji je napadnut.
Ali kako možete napasti sustav bez napada na sustav? Pa, povrede podataka često sadrže popise procurjelih korisničkih imena i zaporki. Ipak, sigurnosni savjeti preporučuju da se lozinke pohranjuju u raspršenom formatu. Ovi se hashovi mogu probiti samo pogađanjem prave lozinke. Nažalost, sada kada je popis hashova javno dostupan, napadač može jednostavno preuzeti popis i pokušati ga provaliti na vlastitom računalu. Uz dovoljno vremena i procesorske snage, to im omogućuje da saznaju popis važećih korisničkih imena i zaporki sa 100% sigurnošću prije nego što se ikada povežu na pogođeno mjesto.
Za usporedbu, mrežni napad pokušao bi se izravno prijaviti na web mjesto. Ne samo da je ovo puno sporije, nego je također vidljivo gotovo svakom vlasniku sustava koji pazi na to. Kao takvi, napadači obično preferiraju offline brute-force napade. Ponekad, međutim, možda neće biti moguće.
Grubo forsiranje vjerodajnica
Klasa koju je najlakše razumjeti i najčešća prijetnja je nametanje podataka za prijavu. U ovom scenariju, napadač doslovno isprobava što više kombinacija korisničkih imena i lozinki kako bi vidio što radi. Kao što je gore opisano, u online brute-force napadu, napadač može jednostavno pokušati unijeti što više kombinacija korisničkog imena i lozinke u obrazac za prijavu. Ova vrsta napada generira puno prometa i pogreške pri neuspjelim pokušajima prijave koje može primijetiti administrator sustava koji zatim može poduzeti radnje kako bi blokirao napadača.
Izvanmrežni brute-force napad vrti se oko probijanja hashova zaporki. Ovaj proces doslovno ima oblik pogađanja svake moguće kombinacije znakova. Uz dovoljno vremena i procesorske snage, uspješno bi probio bilo koju lozinku koristeći bilo koju shemu raspršivanja. Suvremene sheme raspršivanja dizajnirane za raspršivanje zaporki, međutim, dizajnirane su da budu "spore" i obično su podešene da traju desetke milisekundi. To znači da će čak i s velikom količinom procesorske snage trebati mnogo milijardi godina da se razbije pristojno duga lozinka.
Kako bi pokušali povećati izglede za probijanje većine lozinki, hakeri umjesto toga obično koriste napade rječnikom. To uključuje isprobavanje popisa često korištenih ili prethodno probijenih lozinki da se vidi jesu li neke u trenutnom skupu već viđene. Unatoč sigurnosnim savjetima za korištenje jedinstvenih, dugih i složenih lozinki za sve, ova strategija napada rječnikom obično je vrlo uspješna u razbijanju otprilike 75-95% lozinki. Ova strategija još uvijek zahtijeva puno procesorske snage i još uvijek je vrsta brute-force napada, samo je malo više ciljana od standardnog brute-force napada.
Ostale vrste napada brutalnom silom
Postoje mnogi drugi načini korištenja grube sile. Neki napadi uključuju pokušaj dobivanja fizičkog pristupa uređaju ili sustavu. Obično će napadač pokušati biti tajan u vezi s tim. Na primjer, mogu pokušati kradomice ukrasti telefon, mogu pokušati obijati bravu ili mogu proći kroz vrata s kontroliranim pristupom. Alternative brutalne sile za ove obično su vrlo doslovne, koriste stvarnu fizičku silu.
U nekim slučajevima neke tajne mogu biti poznate. Napad grubom silom može se koristiti za pogađanje ostatka. Na primjer, nekoliko znamenki broja vaše kreditne kartice često je ispisano na računima. Napadač bi mogao isprobati sve moguće kombinacije drugih brojeva kako bi došao do cijelog broja vaše kartice. Zbog toga je većina brojeva prazna. Zadnje četiri znamenke, na primjer, dovoljne su za identifikaciju vaše kartice, ali nedovoljno da bi napadač imao pristojnu priliku pogoditi ostatak broja kartice.
DDOS napadi su vrsta brute-force napada. Cilj im je preopteretiti resurse ciljanog sustava. Nije bitno koji resurs. to može biti snaga CPU-a, propusnost mreže ili postizanje gornje granice cijene obrade u oblaku. DDOS napadi doslovno samo uključuju slanje dovoljnog mrežnog prometa da nadjača žrtvu. Zapravo ne "hakira" ništa.
Zaključak
Napad grubom silom vrsta je napada koji uključuje oslanjanje na puku sreću, vrijeme i trud. Postoji mnogo različitih vrsta napada brutalnom silom. Iako neki od njih mogu uključivati donekle sofisticirane alate za izvođenje, kao što je softver za probijanje lozinki, sam napad nije sofisticiran. To ipak ne znači da su napadi brutalnom silom papirnati tigrovi, jer koncept može biti vrlo učinkovit.