Автор: Интернет Хостинг Центр

Практически все пользователи интернета сталкивались при регистрации на сайтах с просьбой придумать пароль «позаковыристее»: добавить букв, использовать цифры, включить пару-тройку символов. Иногда это вызывает раздражение, вопрос: к чему все эти сложности? Но никто и никогда не сможет предугадать, кому вдруг понадобится ваш профиль, аккаунт, и тогда мошеннику во взломе поможет машина, которая простым перебором в короткое время подберет ключи к вашей «дверце», особенно, если эти ключи созданы примитивным образом. Именно так работает метод брутфорс. И сейчас мы о нем вам расскажем.

Брутфорс — что это за атака

Brute force переводится с английского языка как «грубая сила», характеризуется совершением кибератаки путем полного перебора. Злоумышленник начинает подбирать различные вариации логинов, паролей с целью попасть в систему или «дотянуться» до конфиденциальной информации.

Однако, bruteforce не всегда орудие мошенников. Подобные атаки могут проводить специалисты, отвечающие за кибербезопасность, так называемые «белые хакеры». Они испытывают софт на устойчивость, находят слабые места, уязвимости. Это своего рода экзамен программ на профпригодность: если она позиционируется как надежная, то обязана выдержать атаки такого рода.

Рассмотрим подробнее, как работает брутфорс.

Принцип работы брутфорс-атак

Смысл заключается в переборе всевозможных вариантов, комбинаций, пока одна из опробованных не окажется подходящей. Взломщики не ищут особые подходы, идут напролом, используя подбор ключей – настоящий хардкор.

Понятно, что вручную совершать такие действия немыслимо, поэтому используются хакерские программы. Многие из них существуют вполне легально, так как служат спецам в сфере обеспечения информационной безопасности. Установленное на хорошем оборудовании ПО способно перебрать миллиарды вариаций за 1 секунду, поэтому у паролей типа «12345», «qwerty» нет шансов спасти ресурс от взлома.

Принцип работы брутфорс-атак.
Image by freepik.

Как взламывают пароли

Не все брутфорсы функционируют по одной схеме. С помощью одних перебираются комбинации случайных символов, другие заточены на работу с часто встречающимися шифрами, третьи – применяют оба варианта.

Существует несколько видов взлома.

Перебором случайных символов

Это классика жанра. Хакер пытается путем подбора найти верную комбинацию. Защитой в этом случае могут стать пароли не короче 8 символов с использованием маленьких, заглавных букв, цифр, специальных знаков.

С помощью словаря

В основу взята идея предыдущего способа, но в качестве объекта приложения выступают не знаки, а реально имеющие место в словаре фразы: наименования населенных пунктов, имена, известные изречения, летучие фразы, строки стихотворений.

На сегодняшний день в словарях для взлома находятся часто употребляемые пароли и те, которые по ряду причин оказались в Сети и нашли свое место в БД мошенников.

В качестве защиты от атаки предлагается не использовать реальные, употребляемые фразы, слова, лучше придумывать свои, так называемый «эксклюзив».

Путем подстановки данных

Метод становится рабочим, когда к хакеру попадает логин, пароль определенного человека от приложения, веб-ресурса. Тогда скомпрометированные данные начинают подставляться в различные сервисы. Если пользователь вбил их где-то еще, то путь к личной информации будет открыт.

Чтобы исключить подобную ситуацию, необходимо проверить, нет ли пароля, email в списках утечек. В Гугл Хроме такую информацию можно найти в менеджере паролей.

Гибридный метод

Некоторые люди, слышавшие про «брутальные наскоки», решают защитить себя, добавив к обычным словам шифра несколько дополнительных символов: год рождения, день свадьбы, возраст. Спешим вас разочаровать: такие варианты тоже не сложно раскрыть. Для этого применяется гибридная атака: к реальным словосочетаниям из вышеуказанных словарей добавляются случайные знаки, полученные путем перебора.

Чтобы усложнить жизнь взломщикам, лучше отказаться от обычной схемы «существующее слово + несколько цифр». Эффективнее будет комбинации, где число будет стоять посередине слова, для большей сложности все можно разбавить слешами, обозначением доллара, звездочками.

Посредством обратного перебора

Используется злоумышленниками, которым все равно, кого взламывать. Здесь, в отличие от классического подхода к взлому, не подбирают для одного логина кучу вариантов ключей, а наоборот. Один пароль пытаются применить к значительному количеству аккаунтов.

Избежать любопытствующего взгляда и шаловливых ручек можно, не используя простеньких, распространенных шифров. Именно ими воспользуются во время обратного брутфорса.

Через социальную инженерию (для направленного взлома)

При взломе конкретного лица в ход идет социальная инженерия. Составляется индивидуальный словарь под каждую жертву с включением имен, фамилий ближнего окружения жертвы, кличек питомцев, знаменательные даты, понятия, связанные с профессией, развлечениями. Информация берется из социальных сетей, в общении с общими приятелями, сослуживцами, однокурсниками.

Чтобы себя обезопасить от брутфорс-атак, не рекомендуется оставлять данные доступа к ресурсам на видном месте, не использовать в шифре сведений личного характера, придерживаться принципа – не выкладывать в Сеть много личной инфы.

Способ «брут-чек»

Способ актуален в случае, когда взломщик уже имеет доступ к email человека. Многие сайты имеют возможность самостоятельно генерировать ключи, которые потом присылают на электронку пользователя. Хакерам только остается найти такие сообщения и взять оттуда необходимые для взлома данные.

Защитить себя от такого рода посягательства можно, заменив сгенерированную комбинацию на свою. Также рекомендуется постоянно делать обновление пароля почты.

Инструменты для брутфорс-атак

Давно прошли времена, когда недобросовестные пользователи пытались дотянуться до чужой информации вручную. Сейчас на их вооружении находится специальное ПО, алгоритмы действий, помогающих при брутфорс-атаках.

Специальные приложения могут автоматически отправлять запросы с различными вариантами паролей, в определенных случаях генерируя их самостоятельно. Работа считается завершенной, если какой-то вариант подойдет. К таким инструментам относятся:

  1. Brutus. Небольшая программка для брутфорса, ориентированного на попытку получения доступа к аккаунтам пользователей ПК. Преимущество – в простоте настройки, но минус – в ограничении возможностей.
  2. Brute Forcer. Инструмент для взлома ЛК веб-ресурсов. Он включает в себя менеджера паролей, дает возможность настраивать поля.
  3. Metasploit. Программа, имеющая много функций для проведения тестов на проникновение и банальных взломов. ПО используется и при организации брутфорс-атак.
  4. Burp Suite. Очередная многофункционалка для тестирования проникновений, но может пригодится в брутфорсе, других способах взломов.

Рекомендации по защите от взлома пароля

Применение сложных паролей – это база при обеспечении безопасности своих интернет-данных. Помимо этого, от брутфорс-атак рекомендуется защищаться следующими способами:

  1. Придумывать разные пароли для всех используемых веб-площадок, систематически их менять. Взломанный шифр теряет свою полезность, поэтому лучше перестраховываться, обновлять его, так как вы не знаете, в какой момент он стал бесполезным.
  2. Применять двухфакторную аутентификацию. В этом случае в ход идет дополнительная проверка личности, например, биометрия, SMS-сообщение с кодом.
  3. Установка лимитов для вхождения в систему. Например, нельзя повторять попытки входа чаще, чем 1 раз в несколько секунд. Пользователь вряд ли обратит внимание на такое ограничение, но брутфорс-атаку проводить станет сложнее.
  4. Ограничение количества попыток войти на ресурс с конкретного IP. Если лимит исчерпан, пользователю предложат капчу или просто заблокируют дальнейшие его усилия.

Заключение

Использование брутфорса в корыстных целях может быть угрозой не только для посетителей Сети, но и для владельцев порталов. Если злоумышленники получат доступ к админке, то будут иметь возможность управлять системой. Такое вмешательство несет с собой репутационные, финансовые риски для сайта.