Dışarıda pek çok son derece teknik ve karmaşık hack var. Adından da tahmin edebileceğiniz gibi, kaba kuvvet saldırısı aslında hepsi bu değil. Bu, onları görmezden gelmeniz gerektiği anlamına gelmez. Ne kadar karmaşık olmasalar da, çok etkili olabilirler. Yeterli zaman ve işlem gücü verildiğinde, kaba kuvvet saldırısı her zaman %100 başarı oranına sahip olmalıdır.
Alt sınıflar
İki ana alt sınıf vardır: çevrimiçi ve çevrimdışı saldırılar. Bir çevrimiçi kaba kuvvet saldırısı mutlaka İnternet'i içermez. Bunun yerine doğrudan çalışan sistemi hedefleyen bir saldırı sınıfıdır. Saldırı altındaki sistemle etkileşime girmeye gerek kalmadan çevrimdışı bir saldırı gerçekleştirilebilir.
Ancak sisteme saldırmadan bir sisteme nasıl saldırabilirsiniz? Eh, veri ihlalleri genellikle sızan kullanıcı adları ve parolaların listelerini içerir. Ancak güvenlik tavsiyesi, parolaların hashlenmiş biçimde saklanmasını önerir. Bu karmalar ancak doğru şifreyi tahmin ederek kırılabilir. Ne yazık ki, hash listesi artık herkese açık olduğuna göre, bir saldırgan listeyi indirip kendi bilgisayarında kırmaya çalışabilir. Yeterli zaman ve işlem gücü ile bu, etkilenen siteye bağlanmadan önce %100 kesinlikle geçerli kullanıcı adları ve parolaların bir listesini bilmelerini sağlar.
Karşılaştırıldığında bir çevrimiçi saldırı, doğrudan web sitesinde oturum açmayı deneyecektir. Bu sadece çok daha yavaş olmakla kalmaz, aynı zamanda bakmak isteyen hemen hemen tüm sistem sahipleri tarafından da fark edilir. Bu nedenle, çevrimdışı kaba kuvvet saldırıları genellikle saldırganlar tarafından tercih edilir. Ancak bazen bunlar mümkün olmayabilir.
Brute-force kimlik bilgileri
Anlaşılması en kolay sınıf ve en yaygın tehdit, oturum açma ayrıntılarının kaba kuvvetle uygulanmasıdır. Bu senaryoda, bir saldırgan neyin işe yaradığını görmek için kelimenin tam anlamıyla mümkün olduğu kadar çok sayıda kullanıcı adı ve parola kombinasyonu dener. Yukarıda açıklandığı gibi, çevrimiçi bir kaba kuvvet saldırısında, saldırgan oturum açma formuna olabildiğince çok sayıda kullanıcı adı ve parola kombinasyonu girmeyi deneyebilir. Bu tür bir saldırı, daha sonra saldırganı engellemek için harekete geçebilecek bir sistem yöneticisi tarafından fark edilebilecek çok fazla trafik ve başarısız oturum açma girişimi hatası oluşturur.
Çevrimdışı bir kaba kuvvet saldırısı, şifre karmalarının kırılması etrafında döner. Bu süreç kelimenin tam anlamıyla olası her karakter kombinasyonunu tahmin etme biçimini alır. Yeterli zaman ve işlem gücü verildiğinde, herhangi bir karma şema kullanarak herhangi bir şifreyi başarıyla kırabilir. Bununla birlikte, parola karma için tasarlanmış modern karma şemaları, "yavaş" olacak şekilde tasarlanmıştır ve genellikle onlarca milisaniye sürecek şekilde ayarlanmıştır. Bu, büyük miktarda işlem gücüyle bile, yeterince uzun bir şifreyi kırmanın milyarlarca yıl alacağı anlamına gelir.
Bilgisayar korsanları, çoğu parolayı kırma olasılığını artırmak için bunun yerine sözlük saldırılarını kullanma eğilimindedir. Bu, yaygın olarak kullanılan veya önceden kırılmış parolaların bir listesini deneyerek mevcut kümede herhangi birinin daha önce görülüp görülmediğini görmek için yapılır. Her şey için benzersiz, uzun ve karmaşık parolalar kullanılması yönündeki güvenlik tavsiyesine rağmen, bu sözlük saldırısı stratejisi genellikle parolaların kabaca %75-95'ini kırmakta çok başarılıdır. Bu strateji hala çok fazla işlem gücü gerektiriyor ve hala bir tür kaba kuvvet saldırısı, standart bir kaba kuvvet saldırısından biraz daha hedefli.
Diğer kaba kuvvet saldırısı türleri
Kaba kuvvet kullanmanın başka birçok yolu vardır. Bazı saldırılar, bir cihaza veya sisteme fiziksel erişim sağlamaya çalışmayı içerir. Tipik olarak bir saldırgan bu konuda gizli olmaya çalışır. Örneğin, gizlice bir telefonu yankesici yapmaya çalışabilirler, bir kilidi açmaya çalışabilirler veya erişim kontrollü bir kapıdan bagaj kapağından geçebilirler. Bunlara kaba kuvvet alternatifleri, gerçek fiziksel güç kullanılarak çok gerçekçi olma eğilimindedir.
Bazı durumlarda, bazı sırlar biliniyor olabilir. Geri kalanını tahmin etmek için bir kaba kuvvet saldırısı kullanılabilir. Örneğin, kredi kartı numaranızın birkaç hanesi genellikle makbuzların üzerine yazdırılır. Saldırgan, tam kart numaranızı hesaplamak için diğer sayıların tüm olası kombinasyonlarını deneyebilir. Bu nedenle çoğu sayı boştur. Örneğin, son dört rakam kartınızı tanımlamak için yeterlidir, ancak saldırganın kart numarasının geri kalanını tahmin etmesi için yeterli değildir.
DDOS saldırıları bir tür kaba kuvvet saldırısıdır. Hedeflenen sistemin kaynaklarını bastırmayı amaçlarlar. Hangi kaynak olduğu gerçekten önemli değil. CPU gücü, ağ bant genişliği veya bir bulut işleme fiyat sınırına ulaşmak olabilir. DDOS saldırıları, kelimenin tam anlamıyla, kurbanı bunaltmak için yeterli ağ trafiği göndermeyi içerir. Aslında hiçbir şeyi "hacklemez".
Çözüm
Kaba kuvvet saldırısı, tamamen şansa, zamana ve çabaya güvenmeyi içeren bir saldırı türüdür. Birçok farklı kaba kuvvet saldırısı türü vardır. Bazıları parola kırma yazılımı gibi karmaşık araçlar içerebilirken, saldırının kendisi karmaşık değildir. Bu, konsept çok etkili olabileceğinden, kaba kuvvet saldırılarının kağıt kaplanlar olduğu anlamına gelmez.