Існує багато надзвичайно технічних і складних хаків. Як ви можете здогадатися з назви, атака грубою силою — це не все. Це не означає, що ви повинні їх ігнорувати. Якими б нехитрими вони не були, вони можуть бути дуже ефективними. За наявності достатнього часу та обчислювальної потужності атака грубою силою завжди повинна мати 100% успішність.
Підкласи
Існує два основних підкласи: онлайн-атаки та офлайн-атаки. Онлайн-атака грубої сили не обов’язково включає Інтернет. Натомість це клас атаки, спрямований безпосередньо на запущену систему. Офлайн-атаку можна здійснити без необхідності взаємодії з системою, яка піддається атаці.
Але як можна атакувати систему, не атакуючи систему? Ну, випадки витоку даних часто містять списки витоку імен користувачів і паролів. Однак поради щодо безпеки рекомендують зберігати паролі в хешованому форматі. Ці хеші можна зламати, лише вгадавши правильний пароль. На жаль, тепер, коли список хешів є загальнодоступним, зловмисник може просто завантажити список і спробувати зламати їх на власному комп’ютері. Маючи достатній час і обчислювальну потужність, це дозволяє їм знати список дійсних імен користувачів і паролів зі 100% упевненістю, перш ніж підключатися до ураженого сайту.
Для порівняння онлайн-атака намагатиметься ввійти на веб-сайт безпосередньо. Це не тільки набагато повільніше, але це також помітно практично будь-якому власнику системи, який піклується про це. Таким чином, зловмисники зазвичай віддають перевагу атакам грубої сили в автономному режимі. Однак іноді вони можуть бути неможливими.
Підбір облікових даних
Найпростішим для розуміння класом і найпоширенішою загрозою є підбір даних для входу. У цьому сценарії зловмисник буквально пробує якомога більше комбінацій імен користувачів і паролів, щоб побачити, що працює. Як описано вище, під час онлайн-атаки методом грубої сили зловмисник може просто спробувати ввести стільки комбінацій імені користувача та пароля у форму входу. Цей вид атаки створює багато трафіку та помилки невдалої спроби входу, які може помітити системний адміністратор, який потім може вжити заходів, щоб заблокувати зловмисника.
Офлайн-атака грубої сили полягає в зломі хешів паролів. Цей процес буквально має форму вгадування всіх можливих комбінацій символів. За наявності достатнього часу та потужності обробки він успішно зламав би будь-який пароль за допомогою будь-якої схеми хешування. Однак сучасні схеми хешування, розроблені для хешування паролів, були розроблені як «повільні» і зазвичай налаштовані на десятки мілісекунд. Це означає, що навіть із величезною обчислювальною потужністю знадобиться багато мільярдів років, щоб зламати пристойно довгий пароль.
Щоб спробувати збільшити ймовірність злому більшості паролів, хакери, як правило, використовують атаки за словником. Це включає в себе спробу списку часто використовуваних або раніше зламаних паролів, щоб побачити, чи хтось із поточного набору вже був помічений. Незважаючи на пораду безпеки щодо використання унікальних, довгих і складних паролів для всього, ця стратегія атаки за словником зазвичай дуже успішно зламує приблизно 75-95% паролів. Ця стратегія все ще потребує багато обчислювальної потужності та все ще є типом атаки грубою силою, вона лише трохи більш цілеспрямована, ніж стандартна атака грубою силою.
Інші типи атак грубою силою
Існує багато інших способів використання грубої сили. Деякі атаки включають спроби отримати фізичний доступ до пристрою чи системи. Зазвичай зловмисник намагатиметься приховати це. Наприклад, вони можуть спробувати непомітно викрасти телефон, вони можуть спробувати зламати замок або вони можуть проникнути через двері з контрольованим доступом. Альтернативи грубої сили до цих, як правило, дуже буквальні, використовуючи реальну фізичну силу.
У деяких випадках деякі секрети можуть бути відомі. Атаку грубої сили можна використати, щоб вгадати решту. Наприклад, кілька цифр номера вашої кредитної картки часто друкуються на квитанціях. Зловмисник може спробувати всі можливі комбінації інших чисел, щоб отримати повний номер вашої картки. Ось чому більшість чисел порожні. Наприклад, останніх чотирьох цифр достатньо, щоб ідентифікувати вашу картку, але недостатньо, щоб зловмисник міг вгадати решту номера картки.
DDOS-атаки – це тип атаки грубої сили. Вони спрямовані на перевантаження ресурсів цільової системи. Насправді не має значення, який ресурс. це може бути потужність процесора, пропускна здатність мережі або досягнення максимальної ціни на хмарну обробку. DDOS-атаки буквально передбачають надсилання достатнього мережевого трафіку, щоб перевантажити жертву. Насправді він нічого не «зламує».
Висновок
Атака грубою силою — це тип атаки, який передбачає покладатися на чисту удачу, час і зусилля. Існує багато різних типів атак грубою силою. Хоча деякі з них можуть включати дещо складні інструменти для виконання, такі як програмне забезпечення для злому паролів, сама атака не є складною. Це не означає, що атаки грубою силою є паперовими тиграми, оскільки ця концепція може бути дуже ефективною.