Počítače » Brutfors je popis programu, instalační postup a zabezpečení

Brutfors je popis programu, instalační postup a zabezpečení

Počítače

Svět počítačové kriminality brutální síly je aktivita, která zahrnuje opakované sekvenční pokusy vyzkoušet různé kombinace hesel pro proniknutí do nějakého místa nebo odemknutí zařízení. Tento pokus vyvolávají hackeři, kteří používají boty, kteří se na jiné počítače zoufale instalují, aby zvýšili výpočetní výkon potřebný pro spuštění těchto typů útoků.

Co je tedy brutální útok?

Brutfors je nejjednodušší způsob přístupu k webu, zařízení nebo serveru (nebo jakémukoli jinému chráněnému heslem). Snaží se opakovaně kombinovat uživatelská jména a hesla, dokud se neobjeví. Jedná se o opakující se čin jako armáda útočící na pevnost.


Pro některé, takový popis útoku brutforce dává důvod si myslet, že to někdo dokáže. Jedná se o opravdu jednoduché akce, ale úspěch nebude vždy vyjít. Obvykle má každý běžný identifikátor (například admin) heslo. Jediné, co musíte udělat, je zkusit to odhadnout. Například pokud se jedná o dvoumístnou kombinaci, máte 10 číslic od 0 do 9. To znamená, že existuje 100 možností. Můžete je zvolit ručně pro zadání po jednom. Ale pravdou je, že žádné heslo na světě nese dva znaky. Dokonce i kontaktní čísla používaná na mobilních telefonech nebo v bance mají délku alespoň 4 znaků. Na internetu jsou stejným 8 znaky obvykle standardem pro nejkratší heslo. Navíc, přidaná složitost je v hesleAbecední znaky jsou zahrnuty tak, aby byly bezpečnější. Písmena mohou být použita jak v horní, tak v dolní části, což činí kód citlivým na jeho přepínání.


Pokud tedy existuje alfanumerické 8-znakové heslo, kolik možných kombinací bude muset vybrat? V angličtině je 26 písmen abecedy. Pokud je počítáte jak v horní, tak v dolní části, dostanete 26 + 26 = 52. Poté je třeba přidat čísla: 52 + 10 = 62. Takže je zde pouze 62 znaků. Pro 8-znakové heslo bude 628, které budou činit 21834011 x 1014 možných kombinací. Pokud se pokusíte použít 218 bilionů kombinací v jedné akci za sekundu, bude to trvat 218 bilionů sekund nebo 36 bilionů minut. Jednoduše řečeno, trvá asi 7 milionů let, než se heslo rozdělí na konečnou kombinaci. Samozřejmě, proces může trvat méně, ale je maximální čas, aby tuto hodnotu získal. Je jasné, že ruční brutfory nejsou možné.

Jak se to může stát?

Pokud máte zájem o porušování hesel, budete muset používat počítače. Chcete-li to provést, musíte napsat několik jednoduchých řádků kódu. Takové programovací schopnosti jsou základem každého enkodéru. Nyní předpokládejme, že jste vyvinuli program pro odemknutí hesla, které testuje 1000 kombinací za sekundu. Čas se snižuje na 7 tisíc let. Je to stále nemožné, takže potřebujete superpočítač. Pokud zařízení může vyzkoušet 1 x 109 pokusů za sekundu, pak za pouhých 22 sekund budou testovány všechny pokusy o 218 bilionů. Výpočtové zdroje tohoto druhu nejsou k dispoziciobyčejní lidé Hackeři však nejsou běžní uživatelé. Mohou vypočítat výpočetní prostředky různými způsoby, například vývojem výkonného výpočetního mechanismu se softwarem apod.
Navíc výše uvedený výpočet existuje pro všechny možné kombinace 8-znakového hesla. Ale co když je její délka 10 nebo 100 znaků? To je důvod, proč je velmi důležité mít další úrovně zabezpečení k odhalení a odmítnutí pokusu o hack.

Proč to dělají?

V Brutus je hackerův motiv získat neoprávněný přístup k cílovému webu a použít ho k provedení jiného typu útoku nebo krádeže cenných dat. Je také možné, že útočník infikuje prostředek se škodlivými skripty pro dlouhodobé cíle, aniž by se dotkl jakékoli věci a nezanechal stopy. Proto doporučujeme provádět časté procházení a dodržovat pokyny pro ochranu vašeho webu.

Co dělat?

Existuje mnoho nástrojů na ochranu různých aplikací, které zbaví uživatele schopnost útoku po určitém počtu pokusů. Například pro SSH můžete použít hosty File2ban nebo Deny. Tyto programy odmítnou IP adresu po několika nesprávných pokusech. Tyto nástroje dělají dobrou práci. Nemohou však vždy chránit.
Nedávno byl pozorován exponenciální nárůst brutálních útoků. Přicházejí z různých zemí světa a každý den se stávají stále sofistikovanějšími. Proto by se všichni uživatelé měli snažit být opatrní.Tak, jak se chránit před brutfors?

Použití v

Prvním krokem k zabránění útokům by měla být velká délka hesla. V současné době mnoho internetových stránek a platformy nutí svým uživatelům vytvořit určitou délku heslo (8-16 znaků).

Složitost hesel

Další důležitou věcí je vytvořit složité heslo. Nedoporučuje se je považovat za iloveyou nebo heslo123456. Heslo musí obsahovat velká a malá písmena, stejně jako čísla a speciální znaky. Obtížnost zpomaluje proces hackování.

Limit pokusy o přihlášení

Jednoduchý, ale velmi silný efekt - omezit pokusy o přihlášení k účtu, pokud jde o místo nebo serveru. Například v případě, že místo dostane pět neúspěšných pokusů o přihlášení, je třeba zablokovat IP po určitou dobu zastavit další pokusy.

Změna souboru .htaccess

Přidání dalších pravidel v souboru .htaccess může dále zvýšit bezpečnost vašich stránek. Cílem je povolit přístup k wp-administrátorovi pouze na určité adresy IP v něm obsažené.

Používání Captcha

Captcha je nyní široce používána na mnoha místech. Neumožňuje robotům provádět automatizované skripty, které se používají především při útoku Brute Force. Instalace captcha na stránky nebo blogu je dost snadná. Nainstalujte plugin Google invisible reCaptcha a přejděte do svého účtu Google. Nyní přejděte zpět do nastavení pluginu a určit, kde byste chtěli uživatelskou původně zadali captcha před provedením vlastní úlohy.

Dvoufaktorová autentizace

Autentizace dvou faktorů je další ochranná linka, která může chránit účet brute-force. Šance na úspěšný útok na chráněné stránky 2FA jsou velmi malé. Existují různé způsoby, jak je implementovat na webu. Nejjednodušší je použít libovolný plugin pro dvoufaktorovou autentizaci.
Pokud nemluvíte o vašem vlastním webu, ale o jiných zdrojích (například zabránit routeru směrovače), mohou být následující metody:
  • Vytvořte pro každé konto jedinečné heslo.
  • Provádějte časté změny hesla.
  • Vyhněte se sdílení pověření prostřednictvím nechráněných kanálů.

    • Přesměrování

    Reakce brutální síly je dalším výrazem spojeným s prasknutím heslem. V tomto případě se útočník pokusí použít několik hesel pro několik uživatelských jmen. V takovém případě hacker zná heslo, ale názvy uživatelů nejsou známy. V tomto případě může vyzkoušet stejné heslo a pokusit se odhadnout různé přihlašovací údaje, dokud nenalezne pracovní kombinaci. To je obvykle v případě štětce Wi-Fi a dalších připojení. Tento útok se běžně používá k popraskání hesel. Hackeři mohou používat brutfors na libovolném softwarovém serveru nebo protokolech, které nebudou blokovat žádosti po několika neplatných testech.
    K dispozici je mnoho nástrojů pro hackování hesel pro různé protokoly. Některé z nich by měly být zvažovány podrobněji. Za účelem použití takových programů stačí stáhnout a spustitk útoku Vzhledem k tomu, že některé z nich používají současně několik mechanismů, je třeba je podrobně studovat. To pomůže ochránit před útoky a také zkontrolovat zranitelnost všech vašich systémů.

    Aircrack-ng

    Jedná se o populární bezdrátové heslo krakování, k dispozici zdarma. Dodává se s nástroji pro analýzu a cracker WEP /WPA /WPA2-PSK k útoku na WI-Fi 80211. Aircrack NG lze použít pro všechny síťové adaptéry, které podporují nezpracované sledování.
    V podstatě provádí útoky na slovní zásobu proti bezdrátové síti, aby odhadl heslo. Jak víte, úspěch podmíněného útoku závisí na složitosti hesel. Čím je kombinace lepší a efektivnější, tím méně je pravděpodobné, že dojde k zlu. Aplikace je k dispozici pro brutefors Windows a Linux. Navíc byla migrována na platformy iOS a Android.

    John Ripper

    Toto je další úžasný nástroj, který nevyžaduje žádné instrukce. To je často používáno pro dlouhé brutforces hesel. Tento bezplatný software byl původně vyvinut pro systémy Unix. Později jej autory vydali pro jiné platformy. Program nyní podporuje 15 různých systémů, včetně Unix, Windows, DOS, BeOS a OpenVMS. Může být použita k identifikaci zranitelných míst, popraskání hesel a porušení autentizace. Tento nástroj je velmi populární a kombinuje různé funkce. Umožňuje automaticky určit typ hašování použitého v tomto hesle. Kód může být tedy spuštěn v šifrovaném úložišti hesel. V podstatě program brutální sílymůže provést hrubý útok se všemi možnými hesly, kombinací textu a čísel. Nicméně lze jej použít i ve slovníku.

    Rainbow Crack

    Jedná se také o oblíbený nástroj pro zapisování hesla. Vytváří tabulky pro použití během útoku. Kód se tak liší od jiných tradičních donucovacích nástrojů. Tabule Rainbow jsou předem vypočítány. To pomáhá zkrátit dobu útoku. Existují různé organizace, které již publikovaly tabulky před konkurencí pro všechny uživatele internetu. Tento nástroj je stále v aktivním vývoji. Je k dispozici pro Windows i Linux a podporuje všechny nejnovější verze těchto platforem.

    L0phtCrack

    Program je známý svou schopností crack Windows hesla. Používá slovníky, hrubé síly, hybridní útoky a drsné stoly. Nejpozoruhodnější funkce programu l0phtcrack jsou plánování, extrakce hash z 64bitových verzí systému Windows, víceprocesorové algoritmy a sledování a dekódování sítě.

    Ophcrack

    Další nástroj pro generování silné síly, který se používá k popraskání hesel systému Windows. Přeruší heslo pomocí tabulek LM hashes. Jedná se o bezplatný open source software. Ve většině případů může během několika minut trvat heslo systému Windows.

    Crack

    Jedná se o jeden z nejstarších nástrojů pro popraskání hesel. Může být použit pro systémy UNIX, včetně Android Brutforces. Používá se ke kontrole slabých hesel prováděním útoku pomocí slovníků.

    Hashcat

    Někteří argumentují, že jde o nejrychlejší nástroj pro rozbití hesel založených na procesoru založených na heslech. Je zdarma a je dodáván s platformami Linux, Windows a Mac OS. Hashcat podporuje různé hashovací algoritmy, včetně LM součtů, MD4 MD5 SHA-Unix-vault formáty, MySQL, Cisco PIX. Program podporuje různé útoky, včetně Brute-Force, Combinator, slovníky, útok otisků prstů a mnoho dalšího.

    Související publikace