Er zijn veel extreem technische en geavanceerde hacks die er zijn. Zoals je misschien uit de naam kunt raden, is een aanval met brute kracht niet echt alles. Dat wil niet zeggen dat je ze moet negeren. Hoe ongekunsteld ze ook zijn, ze kunnen zeer effectief zijn. Als er voldoende tijd en verwerkingskracht is, zou een brute-force-aanval altijd een slagingspercentage van 100% moeten hebben.
Subklassen
Er zijn twee belangrijke subklassen: online en offline aanvallen. Bij een online brute-force-aanval is niet noodzakelijkerwijs het internet betrokken. In plaats daarvan is het een aanvalsklasse die zich rechtstreeks richt op het draaiende systeem. Een offline aanval kan worden uitgevoerd zonder interactie met het systeem dat wordt aangevallen.
Maar hoe kun je een systeem aanvallen zonder het systeem aan te vallen? Nou, datalekken bevatten vaak lijsten met gelekte gebruikersnamen en wachtwoorden. Beveiligingsadvies raadt echter aan om wachtwoorden in een gehasht formaat op te slaan. Deze hashes zijn alleen te kraken door het juiste wachtwoord te raden. Helaas, nu de lijst met hashes openbaar beschikbaar is, kan een aanvaller de lijst gewoon downloaden en proberen ze op hun eigen computer te kraken. Met voldoende tijd en verwerkingskracht laat dit hen een lijst met geldige gebruikersnamen en wachtwoorden kennen met 100% zekerheid voordat ze ooit verbinding maken met de getroffen site.
Een online aanval daarentegen zou proberen om rechtstreeks in te loggen op de website. Dit is niet alleen een stuk langzamer, maar het is ook merkbaar voor vrijwel elke systeemeigenaar die er naar wil kijken. Als zodanig genieten aanvallers doorgaans de voorkeur van offline brute-force-aanvallen. Soms zijn ze echter niet mogelijk.
Brute afdwingende geloofsbrieven
De gemakkelijkst te begrijpen klasse en de meest voorkomende dreiging is brute forcering van inloggegevens. In dit scenario probeert een aanvaller letterlijk zoveel mogelijk combinaties van gebruikersnamen en wachtwoorden om te zien wat werkt. Zoals hierboven besproken, kan de aanvaller bij een online brute-force-aanval gewoon proberen zoveel mogelijk combinaties van gebruikersnaam en wachtwoord in te voeren op het inlogformulier. Dit soort aanval genereert veel verkeer en mislukte inlogpogingen die kunnen worden opgemerkt door een systeembeheerder, die vervolgens actie kan ondernemen om de aanvaller te blokkeren.
Bij een offline bruteforce-aanval draait het om het kraken van wachtwoordhashes. Dit proces neemt letterlijk de vorm aan van het raden van elke mogelijke combinatie van karakters. Als het voldoende tijd en verwerkingskracht heeft, zou het met succes elk wachtwoord kunnen kraken met behulp van elk hash-schema. Moderne hash-schema's die zijn ontworpen voor wachtwoord-hashing, zijn echter ontworpen om "traag" te zijn en zijn meestal afgestemd om tientallen milliseconden te duren. Dit betekent dat zelfs met een enorme hoeveelheid rekenkracht het vele miljarden jaren zal duren om een fatsoenlijk lang wachtwoord te kraken.
Om de kans op het kraken van de meeste wachtwoorden te vergroten, gebruiken hackers in plaats daarvan woordenboekaanvallen. Dit omvat het proberen van een lijst met veelgebruikte of eerder gekraakte wachtwoorden om te zien of er al een in de huidige set is gezien. Ondanks het beveiligingsadvies om voor alles unieke, lange en complexe wachtwoorden te gebruiken, is deze strategie van een woordenboekaanval doorgaans zeer succesvol bij het kraken van ongeveer 75-95% van de wachtwoorden. Deze strategie vergt nog steeds veel verwerkingskracht en is nog steeds een soort brute-force-aanval, het is net iets meer gericht dan een standaard brute-force-aanval.
Andere soorten aanvallen met brute kracht
Er zijn veel andere manieren om brute kracht te gebruiken. Bij sommige aanvallen wordt geprobeerd fysieke toegang tot een apparaat of systeem te krijgen. Doorgaans zal een aanvaller proberen er heimelijk over te doen. Ze kunnen bijvoorbeeld proberen stiekem een telefoon te stelen, ze kunnen proberen een slot te forceren, of ze kunnen door een deur met toegangscontrole gaan. Alternatieven met brute kracht hiervoor zijn meestal erg letterlijk, waarbij daadwerkelijk fysiek geweld wordt gebruikt.
In sommige gevallen kan een deel van een geheim bekend zijn. Een brute-force aanval kan worden gebruikt om de rest te raden. Op bonnen staan bijvoorbeeld vaak enkele cijfers van uw creditcardnummer. Een aanvaller kan alle mogelijke combinaties van andere nummers proberen om uw volledige kaartnummer te achterhalen. Dit is de reden waarom de meeste nummers zijn weggelaten. De laatste vier cijfers zijn bijvoorbeeld voldoende om uw kaart te identificeren, maar niet genoeg voor een aanvaller om een redelijke kans te hebben om de rest van het kaartnummer te raden.
DDOS-aanvallen zijn een soort brute-force-aanval. Ze zijn bedoeld om de bronnen van het beoogde systeem te overweldigen. Het maakt eigenlijk niet uit welke bron. het kan CPU-kracht, netwerkbandbreedte of het bereiken van een prijsplafond voor cloudverwerking zijn. Bij DDOS-aanvallen wordt letterlijk genoeg netwerkverkeer verzonden om het slachtoffer te overweldigen. Het "hackt" eigenlijk niets.
Conclusie
Een brute-force aanval is een soort aanval waarbij je moet vertrouwen op puur geluk, tijd en moeite. Er zijn veel verschillende soorten brute force-aanvallen. Hoewel sommige van hen enigszins geavanceerde tools kunnen gebruiken om uit te voeren, zoals software voor het kraken van wachtwoorden, is de aanval zelf niet geavanceerd. Dit betekent echter niet dat aanvallen met brute kracht papieren tijgers zijn, aangezien het concept zeer effectief kan zijn.