Brute-Force napadi su objasnili kako je sva enkripcija ranjiva

Brutalni napadi su prilično jednostavni za razumijevanje, ali ih je teško zaštititi. Šifriranje je matematika, a kako računala postaju brža u matematici, oni postaju brži u isprobavanju svih rješenja i gledaju na koji se uklapaju.

Ti se napadi mogu koristiti protiv bilo koje vrste šifriranja, s različitim stupnjevima uspjeha. Brutalni napadi postaju brži i učinkovitiji sa svakim danom u novijoj, bržoj računalnoj opremi.

Suštinske osnove

Brutalni napadi su jednostavni za razumijevanje. Napadač ima šifriranu datoteku - recimo, bazu podataka za LastPass ili KeePass lozinku. Oni znaju da ova datoteka sadrži podatke koje žele vidjeti, i znaju da postoji ključ za šifriranje koji ga otključava. Da bi ga dešifrirali, mogu početi isprobavati svaku moguću lozinku i vidjeti hoće li to rezultirati dešifriranom datotekom.

Oni to rade automatski pomoću računalnog programa, tako da se brzina kojom netko može brutalno šifrirati povećava s obzirom na dostupnost računalnog hardvera koji postaje brži i brži, sposobniji za više izračuna u sekundi. Brutalni napad vjerojatno će započeti s jednoznamenkastim lozinkama prije premještanja na dvoznamenkaste zaporke i tako dalje, pokušavajući sve moguće kombinacije dok se ne počne raditi.

"Dictionary dictionary" je sličan i pokušava riječi u rječniku - ili popis uobičajenih lozinki - umjesto svih mogućih lozinki. To može biti vrlo učinkovito, jer mnogi ljudi koriste takve slabe i uobičajene lozinke.

Zašto napadači ne mogu brutirati web-usluge

Postoji razlika između online i offline napada na grubu silu. Na primjer, ako napadač želi na silu probiti svoj Gmail račun, može početi isprobavati svaku moguću lozinku - ali Google će ih brzo isključiti. Usluge koje omogućuju pristup takvim računima će ograničiti pokušaje pristupa i zabraniti IP adrese koje se pokušavaju prijaviti toliko puta. Dakle, napad na online uslugu ne bi dobro funkcionirao jer se vrlo malo pokušaja može učiniti prije nego što se napad zaustavi.

Primjerice, nakon nekoliko neuspjelih pokušaja prijave, Gmail će vam pokazati CATPCHA sliku da biste potvrdili da računalo nije automatski pokušavalo lozinke. Vjerojatno će u potpunosti prestati s pokušajima prijave ako ste uspjeli nastaviti dovoljno dugo.

S druge strane, recimo da je napadač zarobio kriptiranu datoteku s vašeg računala ili je uspio kompromitirati online uslugu i preuzeti takve šifrirane datoteke. Napadač sada ima šifrirane podatke na vlastitom hardveru i može pokušati koliko god želi u svom slobodnom vremenu. Ako imaju pristup šifriranim podacima, ne postoji način da ih spriječite u pokušaju velikog broja lozinki u kratkom vremenskom razdoblju. Čak i ako upotrebljavate snažno šifriranje, dobro je zadržati vaše podatke na siguran način i osigurati da mu drugi ne mogu pristupiti.

raspršivanje

Jaki algoritmi raspršivanja mogu usporiti brutalni napad. U suštini, algoritmi raspršivanja izvode dodatni matematički rad na lozinku prije pohranjivanja vrijednosti izvedene iz lozinke na disku. Ako se koristi sporije algoritam raspršivanja, to će zahtijevati tisuće puta više matematičkog rada da bi se isprobala svaka lozinka i dramatično usporilo brutalni napad. Međutim, što je više posla potrebno, poslužitelj ili drugo računalo mora raditi više puta svaki put kad se korisnik prijavljuje sa svojom zaporkom. Softver mora uravnotežiti otpornost na brutalne napade pomoću korištenja resursa.

Brutalna snaga

Brzina sve ovisi o hardveru. Obavještajne agencije mogu graditi specijalizirani hardver samo za brutalne napade, baš kao što Bitcoin rudari grade vlastiti specijalizirani hardver optimiziran za Bitcoin rudarstvo. Kada je riječ o hardveru za potrošače, najučinkovitiji tip hardvera za brutalni napad je grafička kartica (GPU). Budući da je lako isprobati više različitih ključeva za šifriranje odjednom, mnoge grafičke kartice koje rade paralelno su idealne.

Krajem 2012. godine, Ars Technica je izvijestio da bi klaster s 25 GPU-a mogao uništiti svaku lozinku za Windows pod osam znakova za manje od šest sati. NTLM algoritam koji je Microsoft koristio jednostavno nije bio dovoljno otporan. Međutim, kada je stvoren NTLM, trebalo bi im mnogo više vremena da isproba sve ove lozinke. To se nije smatralo dovoljno prijetnjom Microsoftu da ojača šifriranje.

Brzina se povećava i za nekoliko desetljeća možemo otkriti da čak i najjači kriptografski algoritmi i ključevi za šifriranje koje danas koristimo mogu biti brzo razbijeni kvantnim računalima ili bilo kojim drugim hardverom koji koristimo u budućnosti.

Zaštita podataka od napada na grubu silu

Nema načina da se potpuno zaštitite. Nemoguće je reći koliko će brzo doći do računalnog hardvera i ima li neki od algoritama za šifriranje koje danas koristimo slabosti koje će se otkriti i iskoristiti u budućnosti. Međutim, ovdje su osnove:

• Čuvajte svoje šifrirane podatke na mjestima gdje napadači ne mogu pristupiti. Nakon što se vaši podaci kopiraju na njihov hardver, oni mogu pokušati napasti brutalni napad na njega u svoje slobodno vrijeme.
• Ako pokrenete bilo koju uslugu koja prihvaća prijave preko Interneta, provjerite da li ograničava pokušaje prijave i blokira ljude koji se pokušaju prijaviti s mnogo različitih lozinki u kratkom vremenskom razdoblju. Poslužiteljski softver obično je postavljen da to učini izvan okvira, jer je to dobra sigurnosna praksa.
• Koristite snažne algoritme šifriranja, kao što je SHA-512. Osigurajte da ne koristite stare algoritme šifriranja s poznatim slabostima koje je lako otkriti.
• Koristite duge, sigurne zaporke. Sva tehnologija šifriranja na svijetu neće vam pomoći ako koristite "zaporku" ili sve popularniji "lovac".

Brutalni napadi su nešto o čemu treba brinuti prilikom zaštite vaših podataka, odabira algoritama šifriranja i odabira lozinki. Oni su i razlog da nastavite razvijati jače kriptografske algoritme - šifriranje mora pratiti koliko brzo novi hardver postaje neučinkovit.

Zasluge za sliku: Johan Larsson na Flickru, Jeremy Gosney