Существует множество чрезвычайно технических и изощренных хаков. Как вы можете догадаться из названия, атака грубой силы — это еще не все. Это не значит, что вы должны игнорировать их. Какими бы простыми они ни были, они могут быть очень эффективными. При наличии достаточного времени и вычислительной мощности атака грубой силы всегда должна иметь 100% -ный успех.
Подклассы
Существует два основных подкласса: онлайн- и офлайн-атаки. Онлайн-атака методом перебора не обязательно связана с Интернетом. Напротив, это класс атак, нацеленных непосредственно на работающую систему. Атака в автономном режиме может быть выполнена без необходимости взаимодействия с атакуемой системой.
Но как вы можете атаковать систему, не атакуя систему? Что ж, утечка данных часто содержит списки утекших имен пользователей и паролей. Однако совет по безопасности рекомендует хранить пароли в хешированном формате. Эти хеши можно взломать, только угадав правильный пароль. К сожалению, теперь, когда список хэшей находится в открытом доступе, злоумышленник может просто скачать список и попытаться взломать его на своем компьютере. При наличии достаточного времени и вычислительной мощности это позволяет им узнать список действительных имен пользователей и паролей со 100% уверенностью, прежде чем когда-либо подключаться к уязвимому сайту.
Для сравнения, онлайн-атака попытается войти на веб-сайт напрямую. Это не только намного медленнее, но и заметно практически любому владельцу системы, который хочет посмотреть. Таким образом, злоумышленники обычно предпочитают автономные атаки грубой силы. Однако иногда они могут быть невозможны.
Подбор учетных данных
Самый простой для понимания класс и самая распространенная угроза — это подбор данных для входа в систему. В этом сценарии злоумышленник буквально пробует как можно больше комбинаций имен пользователей и паролей, чтобы увидеть, что работает. Как упоминалось выше, при онлайн-атаке методом перебора злоумышленник может просто попытаться ввести как можно больше комбинаций имени пользователя и пароля в форму входа. Такого рода атаки генерируют большой трафик и ошибки неудачных попыток входа в систему, которые могут быть замечены системным администратором, который затем может принять меры, чтобы заблокировать злоумышленника.
Атака грубой силы в автономном режиме вращается вокруг взлома хэшей паролей. Этот процесс буквально принимает форму угадывания всех возможных комбинаций символов. При наличии достаточного времени и вычислительной мощности он успешно взломал бы любой пароль, используя любую схему хеширования. Однако современные схемы хеширования, предназначенные для хеширования паролей, были разработаны как «медленные» и обычно настроены на десятки миллисекунд. Это означает, что даже при огромной вычислительной мощности потребуется много миллиардов лет, чтобы взломать прилично длинный пароль.
Чтобы увеличить вероятность взлома большинства паролей, хакеры, как правило, используют атаки по словарю. Это включает в себя проверку списка часто используемых или ранее взломанных паролей, чтобы увидеть, были ли какие-либо из текущего набора уже замечены. Несмотря на рекомендации по безопасности использовать уникальные, длинные и сложные пароли для всего, эта стратегия атаки по словарю обычно очень успешна при взломе примерно 75-95% паролей. Эта стратегия по-прежнему требует больших вычислительных мощностей и по-прежнему является типом атаки грубой силы, она лишь немного более целенаправленна, чем стандартная атака методом грубой силы.
Другие типы атак грубой силы
Есть много других способов использовать грубую силу. Некоторые атаки включают попытку получить физический доступ к устройству или системе. Как правило, злоумышленник пытается скрыть это. Например, они могут попытаться незаметно украсть телефон, взломать замок или пройти через дверь с контролируемым доступом. Альтернативы грубой силе, как правило, очень буквальны, с использованием реальной физической силы.
В некоторых случаях некоторые секреты могут быть известны. Чтобы угадать остальную часть, можно использовать атаку грубой силы. Например, на квитанциях часто печатают несколько цифр номера вашей кредитной карты. Злоумышленник может перепробовать все возможные комбинации других чисел, чтобы вычислить полный номер вашей карты. Вот почему большинство номеров пусты. Например, последних четырех цифр достаточно, чтобы идентифицировать вашу карту, но недостаточно, чтобы злоумышленник мог угадать остальную часть номера карты.
DDOS-атаки — это тип атаки грубой силы. Они стремятся перегрузить ресурсы целевой системы. Неважно, какой ресурс. это может быть мощность процессора, пропускная способность сети или достижение ценового предела облачной обработки. DDOS-атаки буквально просто включают отправку достаточного количества сетевого трафика, чтобы сокрушить жертву. На самом деле он ничего не «взламывает».
Заключение
Атака методом грубой силы — это тип атаки, который предполагает использование чистой удачи, времени и усилий. Существует множество различных типов атак грубой силы. В то время как некоторые из них могут включать довольно сложные инструменты для выполнения, такие как программное обеспечение для взлома паролей, сама атака не является сложной. Это не означает, что атаки грубой силы — это бумажные тигры, поскольку концепция может быть очень эффективной.