מהי מתקפת כוח גס?

MiscellaneaAug 01, 2023

יש הרבה פריצות טכניות ומתוחכמות במיוחד. כפי שאולי תוכל לנחש מהשם, התקפה בכוח גס, זה לא באמת כל זה. זה לא אומר שאתה צריך להתעלם מהם. כמה שהם לא מתוחכמים, הם יכולים להיות מאוד יעילים. בהינתן מספיק זמן וכוח עיבוד, התקפת כוח גס צריכה תמיד להיות בעלת אחוזי הצלחה של 100%.

כיתות משנה

ישנן שתי תת קבוצות עיקריות: התקפות מקוונות ומקוונות. התקפת כוח גס מקוונת אינה כרוכה בהכרח באינטרנט. במקום זאת, מדובר בסוג של התקפה שמכוונת ישירות למערכת הפועלת. ניתן לבצע התקפה לא מקוונת ללא צורך באינטראקציה עם המערכת המותקפת.

אבל איך אפשר לתקוף מערכת בלי לתקוף את המערכת? ובכן, הפרות נתונים מכילות לרוב רשימות של שמות משתמש וסיסמאות שדלפו. עם זאת, עצות אבטחה ממליצות שסיסמאות יאוחסנו בפורמט גיבוב. ניתן לפצח את הגיבובים האלה רק על ידי ניחוש הסיסמה הנכונה. למרבה הצער, כעת, כאשר רשימת ה-hashים זמינה לציבור, תוקף יכול פשוט להוריד את הרשימה ולנסות לפצח אותם במחשב שלו. עם מספיק זמן וכוח עיבוד, זה מאפשר להם לדעת רשימה של שמות משתמש וסיסמאות חוקיים בוודאות של 100% לפני שהם אי פעם מתחברים לאתר המושפע.

התקפה מקוונת בהשוואה תנסה להיכנס ישירות לאתר. לא רק שזה הרבה יותר איטי, אלא שזה גם מורגש על ידי כמעט כל בעל מערכת שדואג להסתכל. ככזה, התקפות בכוח גס לא מקוונות מועדפות בדרך כלל על ידי תוקפים. עם זאת, לפעמים הם לא יהיו אפשריים.

תעודות אכיפות אכזריות

המחלקה הקלה ביותר להבנה והאיום הנפוץ ביותר היא פרטי התחברות בכוח. בתרחיש זה, תוקף ממש מנסה כמה שיותר שילובים של שמות משתמש וסיסמאות כדי לראות מה עובד. כפי שצוין לעיל, בהתקפת כוח גס מקוון, התוקף עשוי פשוט לנסות להזין כמה שיותר שילובים של שם משתמש וסיסמה בטופס הכניסה. סוג זה של התקפה מייצר תעבורה רבה ושגיאות ניסיונות כניסה שנכשלו, אשר עשויות להבחין על ידי מנהל מערכת אשר לאחר מכן עשוי לנקוט פעולה כדי לחסום את התוקף.

מתקפת כוח גס לא מקוון סובבת סביב פיצוח גיבוב של סיסמאות. תהליך זה לובשת צורה של ניחוש כל שילוב אפשרי של דמויות. בהינתן מספיק זמן וכוח עיבוד, הוא יפצח בהצלחה כל סיסמה באמצעות כל ערכת גיבוב. עם זאת, תוכניות גיבוב מודרניות המיועדות לגיבוב סיסמאות תוכננו להיות "איטיות" ובדרך כלל מכווננות לארוך עשרות אלפיות שניות. המשמעות היא שגם עם כמות עצומה של כוח עיבוד, ייקח מיליארדי שנים רבים לפצח סיסמה ארוכה והוגנת.

כדי לנסות להגדיל את הסיכויים לפיצוח רוב הסיסמאות, האקרים נוטים להשתמש במתקפות מילון במקום זאת. זה כרוך בניסיון של רשימה של סיסמאות נפוצות או שנפצחו בעבר כדי לראות אם סיסמאות מהקבוצה הנוכחית כבר נראו. למרות עצות אבטחה להשתמש בסיסמאות ייחודיות, ארוכות ומורכבות לכל דבר, האסטרטגיה הזו של התקפת מילון מצליחה בדרך כלל לפיצוח של כ-75-95% מהסיסמאות. האסטרטגיה הזו עדיין לוקחת הרבה כוח עיבוד והיא עדיין סוג של התקפת כוח גס, היא רק קצת יותר ממוקדת מהתקפת כוח גס רגילה.

סוגים אחרים של התקפה בכוח גס

ישנן דרכים רבות אחרות להשתמש בכוח גס. חלק מהתקפות כוללות ניסיון להשיג גישה פיזית למכשיר או למערכת. בדרך כלל תוקף ינסה להתגנב לגבי זה. לדוגמה, הם עשויים לנסות לכיס טלפון בגניבה, הם עשויים לנסות לנעול, או שהם עשויים לנסות את הדלת האחורית דרך דלת מבוקרת גישה. חלופות כוח גסות לאלה נוטות להיות מילוליות מאוד, תוך שימוש בכוח פיזי ממשי.

במקרים מסוימים, חלק מהסוד עשוי להיות ידוע. ניתן להשתמש במתקפה של כוח גס כדי לנחש את שאר הדברים. לדוגמה, מספר ספרות בודדות של מספר כרטיס האשראי שלך מודפסות לעתים קרובות על קבלות. תוקף יכול לנסות את כל השילובים האפשריים של מספרים אחרים כדי להבין את מספר הכרטיס המלא שלך. זו הסיבה שרוב המספרים מורחקים. ארבע הספרות האחרונות, למשל, מספיקות כדי לזהות את הכרטיס שלך, אבל לא מספיקות לתוקף סיכוי הגון לנחש את שאר מספר הכרטיס.

התקפות DDOS הן סוג של התקפת כוח גס. הם שואפים להציף את משאבי המערכת הממוקדת. זה לא ממש משנה איזה משאב. זה יכול להיות כוח מעבד, רוחב פס של הרשת או הגעה למכסת מחיר לעיבוד ענן. התקפות DDOS פשוט כוללות שליחת מספיק תעבורת רשת כדי להציף את הקורבן. זה בעצם לא "פורץ" שום דבר.

סיכום

מתקפת כוח גס היא סוג של התקפה הכוללת הסתמכות על מזל, זמן ומאמץ גרידא. יש הרבה סוגים שונים של התקפות בכוח גס. בעוד שחלקם יכולים לכלול כלים מתוחכמים במקצת לביצוע כמו תוכנה לפיצוח סיסמאות, ההתקפה עצמה אינה מתוחכמת. זה לא אומר שהתקפות בכוח גס הן נמרי נייר, שכן הרעיון יכול להיות מאוד יעיל.