Računala » Brutfors je opis programa, postupak instalacije i sigurnost

Brutfors je opis programa, postupak instalacije i sigurnost

Računala

Svijet grube sile cyber kriminala je aktivnost koja uključuje ponavljajuće sekvencijalne pokušaje pokušaja različitih kombinacija lozinki za prodiranje na bilo koje mjesto ili otključavanje uređaja. Ovaj pokušaj čine hakeri koji koriste robote koje zlonamjerno instaliraju na druga računala kako bi povećali računalnu snagu potrebnu za pokretanje ovih vrsta napada.

Dakle, što je brut napad?

Brutfors je najjednostavniji način pristupa web-mjestu, uređaju ili poslužitelju (ili bilo kojoj drugoj zaštićenoj lozinci). Iznova i iznova pokušava različite kombinacije korisničkih imena i lozinki, sve dok se ne pojavi ulaz. Ovo se ponavlja kao vojska koja napada grad.


Za neke je takav opis napada brutforce razlog da se misli da to svatko može učiniti. To su doista jednostavne radnje, ali uspjeh neće uvijek izaći na vidjelo. Obično svaki zajednički identifikator (na primjer, admin) ima lozinku. Sve što trebate učiniti je pokušati pogoditi. Na primjer, ako se radi o dvoznamenkastoj kombinaciji, imate 10 znamenki od 0 do 9. To znači da postoji 100 mogućnosti. Možete ih odabrati ručno da biste unijeli jednu po jednu. Ali istina je da nijedna lozinka na svijetu ne sadrži dva znaka. Čak i kontaktni brojevi koji se koriste na mobilnim telefonima ili u banci imaju najmanje 4 znaka. Na internetu, istih 8 znakova obično je standard za najkraću lozinku. Osim toga, dodana složenost je i kod lozinkeUključeni su znakovi abecede kako bi bili sigurniji. Slova se mogu koristiti i u gornjem i donjem slučaju, što čini kod osjetljivim na njegovo prebacivanje.


Dakle, ako postoji alfanumerička lozinka od 8 znakova, koliko će mogućih kombinacija morati odabrati? Na engleskom jeziku postoji 26 slova abecede. Ako ih brojite u gornjem i donjem slučaju, dobit ćete 26 + 26 = 52. Zatim morate dodati brojeve: 52 + 10 = 62. Dakle, postoji samo 62 znaka. Za zaporku od 8 znakova bit će 628 što će napraviti 21834011 x 1014 moguće kombinacije. Ako pokušate upotrijebiti 218 trilijuna kombinacija u jednom pokušaju u sekundi, to će potrajati 218 trilijuna sekundi ili 36 triliona minuta. Jednostavno rečeno, potrebno je oko 7 milijuna godina da se lozinka razbije konačnom kombinacijom. Naravno, proces može trajati manje, ali to je maksimalno vrijeme da se podigne ova vrijednost. Jasno je da je ruka brutfors nemoguća.

Kako se to može dogoditi?

Ako ste zainteresirani za razbijanje lozinki, morat ćete koristiti računala. Da biste to učinili, morate napisati nekoliko jednostavnih linija koda. Takve vještine programiranja su osnovne za bilo koji koder. Sada pretpostavimo da ste razvili program za otključavanje lozinke koja testira 1000 kombinacija u sekundi. Vrijeme je smanjeno na 7 tisuća godina. To je još uvijek nemoguće učiniti, tako da vam treba superračunalo. Ako stroj može pokušati s 1 x 109 pokušaja u sekundi, tada će se za samo 22 sekunde testirati svih 218 trilijuna pokušaja. Za ovu vrstu računalnih resursa nisu dostupniobičnim ljudima Međutim, hakeri nisu obični korisnici. Mogu izračunati računalne resurse na različite načine, na primjer razvijanjem moćnog računskog mehanizma sa softverom itd.
Osim toga, gore navedeni izračun postoji za sve moguće kombinacije lozinke od 8 znakova. Ali što ako je njegova duljina 10 ili 100 znakova? Zato je vrlo važno imati dodatne sigurnosne razine za otkrivanje i odbacivanje pokušaja hakiranja.

Zašto to rade?

U Brutusu, hakerski motiv je dobiti ilegalni pristup ciljanoj web stranici i koristiti ga za obavljanje druge vrste napada ili krađe vrijednih podataka. Također je moguće da napadač zarazi resurs sa zlonamjernim skriptama za dugoročne ciljeve, bez dodirivanja bilo koje stvari i ne ostavljajući tragove. Stoga se preporuča da često vršite indeksiranje i slijedite smjernice za zaštitu vaše web-lokacije.

Što učiniti?

Postoji mnogo alata za zaštitu raznih aplikacija koje će oduzeti mogućnost napadača nakon određenog broja pokušaja. Na primjer, za SSH možete koristiti hostove File2ban ili Deny. Ovi programi će odbiti IP adresu nakon nekoliko pogrešnih pokušaja. Ovi alati dobro rade. Međutim, oni ne mogu uvijek zaštititi.
Nedavno je uočen eksponencijalni rast brutalnih napada. Oni dolaze iz različitih zemalja svijeta, svaki dan postaju sve sofisticiraniji. Stoga bi svi korisnici trebali nastojati biti oprezni.Kako se zaštititi od brutforsa?

Duljina lozinke

Prvi korak u sprječavanju napada trebao bi biti duljina lozinke. Trenutno, mnoge web-lokacije i platforme prisiljavaju korisnike da kreiraju pristupni kôd određene duljine (8-16 znakova).

Složenost lozinki

Još jedna važna stvar je stvaranje složene lozinke. Ne preporučuje se razmišljati o njima poput iloveyou ili password123456. Lozinka se mora sastojati od velikih i malih slova, kao i brojeva i posebnih znakova. Poteškoće odgađaju proces hakiranja.

Pokušaji prijavljivanja granica

Jednostavna, ali vrlo snažna akcija je ograničavanje pokušaja prijave kada je riječ o mjestu ili poslužitelju. Na primjer, ako web-lokacija primi pet neuspjelih pokušaja prijave, trebala bi blokirati IP tijekom određenog vremenskog razdoblja kako bi zaustavila daljnje pokušaje.

Promjena .htaccess datoteke

Dodavanje više pravila u .htaccess datoteku može dodatno poboljšati sigurnost vaše web-lokacije. Cilj je omogućiti pristup wp-adminu samo određenim IP adresama koje se u njemu nalaze.

Korištenjem Captcha

Captcha se danas široko koristi na mnogim web-mjestima. To ne dopušta botovima izvršavanje automatiziranih skripti koje se prvenstveno koriste u Brute Force napadu. Instaliranje captcha na web-lokaciju ili blog dovoljno je jednostavno. Instalirajte Google nevidljivi reCaptcha dodatak i idite na svoj Google račun. Sada se vratite na stranicu s postavkama dodatka i definirajte mjesta na kojima želite da korisnik najprije unese captcha prije izvođenja stvarnog zadatka.

Dvofaktorska provjera autentičnosti

Dva faktorska autentifikacija je dodatna linija zaštite koja može štititi račun brutalne sile. Šanse za uspješan napad na 2FA zaštićena mjesta su vrlo male. Postoje različiti načini za njegovu implementaciju na web-lokaciji. Najlakši način je da koristite bilo koji od dodataka za autentifikaciju u dva faktora.
Ako ne govorite o vlastitoj web-lokaciji, nego o drugim resursima (na primjer, da biste spriječili usmjerivač usmjerivača), metode mogu biti sljedeće:
  • Stvorite jedinstvenu lozinku za svaki račun.
  • Često mijenjati lozinke.
  • Izbjegavajte dijeljenje vjerodajnica putem nezaštićenih kanala.

    • Preusmjeravanje

    Ponovni napad grubom silom još je jedan izraz povezan s pucanjem lozinke. U tom slučaju, napadač pokušava koristiti jednu lozinku za nekoliko korisničkih imena. U tom slučaju, haker zna lozinku, ali nema pojma korisničkih imena. U tom slučaju, on može isprobati istu lozinku i pokušati pogoditi različite prijave dok ne pronađe radnu kombinaciju. To je obično slučaj s Wi-Fi četkom i drugim vezama. Napad se obično koristi za pucanje lozinki. Hakeri mogu koristiti brutfors na bilo kojoj web-lokaciji ili protokolu softvera koji ne blokira zahtjeve nakon nekoliko nevažećih testova. Postoji mnoštvo alata za sjeckanje lozinki dostupnih za razne protokole. Neke od njih trebalo bi detaljnije razmotriti. Da biste mogli koristiti takve programe, dovoljno je preuzeti i pokrenutiza napad Budući da neki od njih istovremeno koriste više mehanizama, treba ih detaljno proučavati. To će pomoći u zaštiti od napada i također provjeriti sve vaše sustave na ranjivost.

    Aircrack-ng

    Ovo je popularni bežični kreker za zaporku, dostupan besplatno. Dolazi s WEP /WPA /WPA2-PSK krekerima i alatima za analizu za izvršenje napada na WI-Fi 80211. Aircrack NG se može koristiti za bilo koji mrežni adapter koji podržava neprerađeno praćenje.
    On u osnovi izvodi napade rječnika na bežičnu mrežu da bi pogodio lozinku. Kao što znate, uspjeh uvjetnog napada ovisi o složenosti lozinki. Što je kombinacija bolja i učinkovitija, to je manja vjerojatnost da će se dogoditi zlo. Aplikacija je dostupna za brutefors Windows i Linux. Osim toga, premještena je na iOS i Android platforme.

    Ivan Trbosjek

    Ovo je još jedno zapanjujuće sredstvo koje ne zahtijeva nikakvu instrukciju. Često se koristi za duge brutalne lozinke. Ovaj besplatni softver izvorno je razvijen za Unix sustave. Kasnije su ga autori objavili za druge platforme. Sada program podržava 15 različitih sustava, uključujući Unix, Windows, DOS, BeOS i OpenVMS. Može se koristiti za identifikaciju ranjivosti ili za otkrivanje lozinki i kršenja autorizacije. Ovaj alat je vrlo popularan i kombinira različite funkcije. On može automatski odrediti vrstu raspršivanja koja se koristi u zaporci. Stoga se kod može izvoditi u šifriranom spremištu lozinki. U osnovi, program grube silemože izvesti grub napad sa svim mogućim lozinkama, kombinirajući tekst i brojeve. Ipak, može se koristiti i s rječnikom.

    Rainbow Crack

    Ovo je također popularan alat za brutalnu lozinku. On generira tablice za uporabu tijekom napada. Stoga se kod razlikuje od drugih tradicionalnih prisilnih sredstava. Tablice Rainbow su unaprijed izračunate. To pomaže smanjiti vrijeme napada. Pa, postoje različite organizacije koje su već objavile tablice pred-natjecanja za sve korisnike Interneta. Ovaj alat je još uvijek u aktivnom razvoju. Dostupan je za Windows i Linux te podržava sve najnovije verzije tih platformi.

    L0phtCrack

    Program je poznat po svojoj sposobnosti da razbije lozinke za sustav Windows. Koristi rječnike, brutalnost, hibridne napade i prelazeće tablice. Najistaknutije značajke l0phtcrack su planiranje, vađenje hashova iz 64-bitnih verzija sustava Windows, višeprocesorski algoritmi i nadgledanje i dekodiranje mreže.

    Ophcrack

    Još jedan alat za generiranje brutalnosti koji se koristi za razbijanje lozinki za sustav Windows. Razbija lozinku koristeći LM hasheve kroz tablice. Ovo je besplatan open source softver. U većini slučajeva za nekoliko minuta može ispucati lozinku za sustav Windows.

    Crack

    Ovo je jedan od najstarijih alata za razbijanje lozinki. Može se koristiti za UNIX sustave, uključujući Android Brutforces. Koristi se za provjeru slabih lozinki izvršavanjem napada korištenjem rječnika.

    Hashcat

    Neki tvrde da je to najbrži alat za probijanje lozinki koje se temelje na lozinkama. To je besplatno i dolazi s Linux, Windows i Mac OS platformama. Hashcat podržava različite algoritme raspršivanja, uključujući LM sume, MD4 MD5 SHA-Unix-trezorske formate, MySQL, Cisco PIX. Program podržava razne napade, uključujući Brute-Force, Combinator, rječnike, napad prstom i još mnogo toga.

    Povezane publikacije