حمله Brute Force یک روش تلاش و خطا است که توسط برنامههای کاربردی برای رمزگشایی اطلاعات ورود و کلیدهای encryption استفاده میشود تا با استفاده از آنها به سیستمها دسترسی غیرمجاز پیدا کنند. استفاده از Brute-Force تلاشی استنفادی و بدون استفاده از استراتژیهای ذهنی است.
دقیقاً مانند یک جنایتکار که ممکن است با استفاده از تعداد زیادی از ترکیبهای ممکن وارد یک گاوصندوق شود و آن را بشکند، حمله Brute-Force برنامهها تمام ترکیبهای ممکن از کاراکترهای قانونی را در یک دنباله امتحان میکند. جنایتکاران سایبری معمولاً از حمله Brute-Force برای دسترسی به یک وبسایت، حساب یا شبکه استفاده میکنند. پس از آن ممکن است malware نصب کنند، برنامههای وب را خاموش کنند یا data breaches را انجام دهند.
یک حمله Brute-Force ساده معمولاً از ابزارهای خودکار برای حدس زدن تمام passwords ممکن استفاده میکند تا ورودی صحیح شناسایی شود. این یک روش حمله قدیمی اما هنوز هم موثر برای شکستن passwords رایج است.
مدت زمانی که یک حمله Brute-Force طول میکشد متغیر است. Brute-Forcing میتواند passwords ضعیف را در مدت چند ثانیه شکند. passwords قوی معمولاً چند ساعت یا روز طول میکشد.
سازمانها میتوانند با استفاده از ترکیبهای پیچیده password، زمان حمله را افزایش دهند، وقت بیشتری برای پاسخ به حمله سایبری و مقابله با آن بیابند.
انواع مختلف حملات Brute-Force چیستند؟
انواع مختلفی از حملات Brute-Force وجود دارد، مانند موارد زیر:
- Credential stuffing: این نوع حمله زمانی رخ میدهد که یک حساب کاربری تصاحب شده و مهاجم با استفاده از ترکیب نام کاربری و رمز عبور بر روی سیستمهای متعدد تلاش میکند.
- حمله Brute-Force معکوس: در این حمله، مهاجم با استفاده از یک رمز عبور متداول – یا حتی اگر از قبل رمز عبور را بداند – بر علیه چندین نام کاربری یا فایلهای رمزنگاری شده تلاش میکند تا به شبکه و دادهها دسترسی پیدا کند. هکر سپس همان الگوریتم یک حمله Brute-Force معمولی را دنبال میکند تا نام کاربری صحیح را پیدا کند.
- حمله Dictionary: این نوع دیگری از حملات Brute-Force است که در آن تمام کلمات یک فرهنگ لغت برای یافتن یک رمز عبور آزمایش میشوند. مهاجمان میتوانند با افزودن اعداد، کاراکترها و بیشتر به کلمات، رمزهای عبور طولانیتر را شکسته بشکنند.
- سایر اشکال حملات Brute-Force ممکن است سعی کنند از رمزهای عبوری که بیشترین استفاده را دارند، مانند “password”، “12345678” – یا هر دنباله عددی مشابه این – و “qwerty” استفاده کنند، قبل از اینکه سایر رمزهای عبور را امتحان کنند.
چه راههایی برای محافظت در برابر حملات Brute-Force بهترین است؟ سازمانها میتوانند با استفاده از ترکیبی از استراتژیها، امنیت سایبری خود را در برابر حملات Brute-Force تقویت کنند، از جمله:
- افزایش پیچیدگی رمز عبور: این کار زمان مورد نیاز برای رمزگشایی یک رمز عبور را افزایش میدهد. قوانین مدیریت رمز عبور را پیادهسازی کنید، مانند حداقل طول passphrase، استفاده اجباری از کاراکترهای ویژه و غیره.
- محدود کردن تلاشهای ورود ناموفق: با پیادهسازی قوانینی که یک کاربر را پس از تکرار تلاشهای ورود برای مدت معینی قفل میکند، سیستمها و شبکهها را محافظت کنید.
- رمزگذاری و هش کردن: رمزگذاری 256 بیتی و هشهای رمز عبور، زمان و قدرت محاسباتی مورد نیاز برای یک حمله Brute-Force را به طور نمایی افزایش میدهد. در هش رمز عبور، رشتهها در یک پایگاه داده جداگانه ذخیره و هش میشوند، بنابراین ترکیبهای مشابه رمز عبور یک مقدار هش متفاوت دارند.
- پیادهسازی CAPTCHAs: اینها از استفاده ابزارهای حمله Brute-Force، مانند John the Ripper، جلوگیری میکنند، در حالی که همچنان شبکهها، سیستمها و وبسایتها برای انسانها قابل دسترسی هستند.
- اجرای احراز هویت دو عاملی: این یک نوع از احراز هویت چند عاملی است که با افزودن یک لایه امنیتی ورود اضافی، دو فرم از احراز هویت را میطلبد – به عنوان مثال، برای ورود به یک دستگاه Apple جدید، کاربران باید Apple ID خود را وارد کنند همراه با یک کد شش رقمی که روی یکی دیگر از دستگاههای آنها که قبلاً به عنوان مورد اعتماد مشخص شده است، نمایش داده میشود.
راه خوبی برای محافظت در برابر حملات Brute-Force استفاده از تمام یا ترکیبی از استراتژیهای فوق است.
چگونه ابزارهای حمله Brute-Force میتوانند امنیت سایبری را بهبود بخشند؟
ابزارهای حمله Brute-Force گاهی اوقات برای آزمایش امنیت شبکه استفاده میشوند. برخی از معروفترین آنها عبارتاند از:
- Aircrack-ng: میتواند برای آزمایش Windows، iOS، Linux و Android استفاده شود. این ابزار با استفاده از مجموعهای از رمزهای عبوری که به طور گستردهای استفاده میشوند، شبکههای بیسیم را مورد حمله قرار میدهد.
- Hashcat: برای آزمایش قدرت Windows، Linux و iOS در برابر حملات Brute-Force و حملات مبتنی بر قوانین استفاده میشود.
- L0phtCrack: برای آزمایش آسیبپذیریهای سیستم Windows در برابر حملات جدول رنگینکمان استفاده میشود. این ابزار دیگر پشتیبانی نمیشود و مالکان جدید آن – تا تابستان 2021 – در حال بررسی انتشار به صورت منبع باز هستند، به همراه گزینههای دیگر نامبرده نشده برای نرمافزار.
- John the Ripper: یک ابزار رایگان و منبع باز برای پیادهسازی حملات Brute-Force و Dictionary است. این ابزار معمولاً توسط سازمانها برای شناسایی رمزهای عبور ضعیف و بهبود امنیت شبکه استفاده میشود.
وقتی این ابزارها به درستی استفاده شوند، میتوانند به سازمانها کمک کنند تا نقاط ضعف امنیتی خود را شناسایی و رفع کنند. با تشخیص رمزهای عبور ضعیف یا سایر آسیبپذیریها، مدیران امنیت میتوانند تدابیر لازم را اتخاذ کنند تا از دادهها و منابع خود در برابر حملات واقعی محافظت کنند.
نمونههایی از حملات Brute-Force چیستند؟
- در 2009، مهاجمان حسابهای Yahoo را با استفاده از اسکریپتهای خودکار شکستن رمز عبور هدف قرار دادند، روی یک برنامه احراز هویت مبتنی بر خدمات وب Yahoo که به نظر میرسید توسط ارائه دهندگان خدمات اینترنت و برنامههای وب طرف سوم استفاده میشود.
- در 2015، افراد تهدید کننده تقریباً 20,000 حساب را با انجام میلیونها تلاش Brute-Force به صورت خودکار برای دسترسی به برنامه پاداش موبایل Dunkin برای DD Perks نفوذ کردند.
- در 2017، جنایتکاران سایبری با استفاده از حملات Brute-Force به شبکههای داخلی پارلمان انگلستان و اسکاتلند دسترسی یافتند.
- در 2018، مهاجمان Brute-Force رمزهای عبور و اطلاعات حساس میلیونها مسافر هواپیمایی Cathay Pacific را شکستند.
- در 2018، معلوم شد که یک باگ در Firefox رمز عبور اصلی مرورگر را در معرض حملات Brute-Force قرار داده است، به دلیل هش ناکافی Secure Hash Algorithm 1 که تقریباً به مدت نه سال رفع نشده بود.
- در 2021، آژانس امنیت ملی از حملات رمز عبور Brute-Force هشدار داد که از یک خوشه Kubernetes به طور ویژه ساخته شده توسط یک واحد درون آژانس اطلاعات خارجی روسیه راهاندازی شده بود.
- در 2021، هکرها با دسترسی به محیطهای آزمایشی T-Mobile و سپس با استفاده از حملات Brute-Force و سایر روشها به سرورهای IT دیگر نفوذ کردند، از جمله آنهایی که دادههای مشتری را در بر داشتند.