<
  • Главная
Статьи

Брутфорс (Brute force)

  1. Класифікація та способи виконання брутфорс (brute force) атаки
  2. цілі брутфорса
  3. джерело загрози
  4. аналіз ризику

Брутфорсом називається метод злому різних облікових записів, шляхом підбору логіна і пароля. Термін утворений від поєднання англійських слів brute force, що означають в перекладі «повний перебір». Ще брутфорс називають методом грубої сили. Його суть полягає в автоматизованому переборі всіх допустимих комбінацій пароля до облікового запису з метою виявлення правильного.

Різновид хакерської атаки грунтується на методі математики brute force. Рішення завдання знаходиться при переборі великої кількості символів, чисел, їх комбінацій. Кожен варіант перевіряється на вірність. З точки зору математики вирішити задачу таким способом можна завжди, але тимчасові витрати на пошуки не у всіх випадках виправдовують мету, так як поле пошуку рішень величезне.

Брутфорс - один з найбільш популярних методів злому паролів облікових записів онлайн-банків , Платіжних системах або на веб-сайтах . Але з ростом довжини пароля цей метод стає незручним через тривалість витраченого часу на перебір всіх можливих варіантів. Таким методом можна перевіряти кріптоустойчивость пароля.

Брутфорс ще називають методом вичерпування, так як рішення задачі полягає у вивченні всіх варіантів логічного ланцюжка, детальний аналіз кожної комбінації з метою знаходження істинно вірної.

Класифікація та способи виконання брутфорс (brute force) атаки

Існує кілька видів «повного перебору»:

  • Персональний злом. В цьому випадку брутфорс спрямований на отримання доступу до особистих даних користувача: акаунтів соціальних мереж, поштою, сайту. Під час спілкування через Інтернет, або використовуючи схеми шахрайства, зловмисник намагається дізнатися логін, особисті дані та іншу інформацію, яка знадобиться йому для підбору пароля. Хакер прописує в програму злому адресу ресурсу, до якого потрібен доступ, логін, підключає словник і підбирає пароль. Якщо пароль користувача заснований на особистій інформації та складається з малої кількості символів, то спроба зловмисника може бути успішною навіть за короткий час.
  • Брут-чек. Цей вид брутфорса означає полювання на паролі в великих кількостях. Тобто мета заволодіти даними не одного користувача, а отримати логіни і паролі від різних акаунтів на кількох веб-ресурсах. До хакерської програми підключається база логінів і паролів будь-яких поштових сервісів, а також проксі лист, щоб замаскувати вузол, не давши веб-сервісів пошти виявити атаку. При реєстрації на сайті, в соціальній мережі або в грі користувач заповнює поле з адресою своєї пошти, на який приходять дані для входу в відповідний аккаунт. В опціях брутфорса прописується список назв сайтів або інших ключових слів, за якими він буде шукати в поштових скриньках саме ці листи з логінами і паролями, виймати і копіювати інформацію в окремий файл. Так хакер отримує сотні паролів і може використовувати їх в будь-яких цілях.
  • Віддалений злом системи комп'ютерного пристрою. Брутфорс в комбінації з іншими зламують утилітами застосовується для отримання в систему віддаленого ПК з встановленим паролем. Злом такого виду полягає в пошуку IP-мереж для атаки. Адреси користувачів видобуваються через спеціальні програми або беруться з баз. Словники перебору і IP-адреси прописуються в налаштуваннях brute force. У разі успішного підбору пароля зберігається IP-адреса обчислювальної машини жертви, дані для входу, які далі використовуються зловмисником з метою повного управління ПК через утиліту Radmin з відображення робочого столу віддаленої машини на моніторі хакера.

цілі брутфорса

Брутфорс дозволяє заволодіти доступом до акаунтів в соціальних мережах, онлайн-іграх, що може привести до втрати конфіденційної інформації, голосів, досягнень, потрапляння листування в чужі руки. З акаунтів може виконуватися розсилка спаму, здійснюватися вимагання та інші протиправні дії. Заволодівши великою кількістю акаунтів, хакер може їх обміняти або продати.

Отримання даних входу в платіжні системи загрожує користувачам втратою грошових сум і навіть набуттям боргів, так як зловмисник може вільно розпоряджатися фінансами, виконати переказ грошей, оформити кредит.

Підбір паролів до веб-сайтам brute force відкриває доступ до баз даних клієнтів, електронними адресами, до використання майданчика з метою поширення шкідливих програм, розсилки спаму і т.п.

Отримавши вхід в віддалену комп'ютерну систему за допомогою перебору паролів, зловмисник може виконувати різні злочинні дії від імені користувача, а також скористатися його особистими даними з метою шантажу, вимагання, здійснити крадіжку секретної інформації і грошових коштів.

Об'єктами впливу брутфорса стають не тільки комп'ютери і акаунти рядових користувачів Інтернету, але і сайти, обчислювальні машини комерційних і банківських структур, різних організацій.

джерело загрози

Брутфорс може використовуватися в цілях перевірки криптографічного стійкості паролів. Пароль надійний, якщо у інших способів підбору коду доступу, окрім брутфорса, немає більш оперативного результату.

Метод перебору паролів використовують і кіберхулігани з метою зламати гру, пошту, акаунт у соціальних мережах. Зазвичай їх метою є заподіяння неприємності іншим, перевірка своїх умінь, читання особистої переписки.

Кіберзлочинці самі пишуть програму для злому або користуються результатами праці колег. Для перебору можуть використовуватися потужні комп'ютерні системи, в тому числі зламані раніше або орендовані. В руках кіберзлочинців брутфорс є засобом отримання особистої вигоди від отримання доступу до облікового запису.

аналіз ризику

Ризики від застосування брутфорса залежать від кількості об'єктів, на які націлені атаки, цілей зловмисника. З кожним роком з'являються нові технології, які можуть застосовуватися як в благих, так і в злочинних цілях. Так, кілька років тому на конференції DEFCON18 громадськості був представлений WASP - безпілотник, який може збирати статистику домашніх Wi-Fi мереж. Потужний комп'ютер на борту літаючого апарата серед інших функцій має можливість автоматичного злому паролів Wi-Fi мереж за допомогою брутфорса.

Не так давно була помічена нова ботнет-мережу, яка проникає з допомогою підбору паролів SSH. Методи захисту, зазвичай застосовуються від атак брутфорса, не дають бажаного результату. Як в такому випадку підвищити рівень безпеки, можна дізнатися зі статті на сайті https://www.anti-malware.ru/news/2015-12-21/1974 .

Проблем зі зломом через брутфорс можна уникнути, якщо:

  • Створювати довгий пароль з букв, цифр і спецсимволов.
  • Не створювати пароль, використовуючи особисту інформацію.
  • Пароль і логін робити різними.
  • Для всіх акаунтів створювати свої унікальні паролі.
  • Регулярно, приблизно один раз на місяць, міняти паролі.
  • На веб-сайтах захищати вхід від численних спроб введення даних.



Новости
    Без плагина
    На сайте WordPress имеется файл, именуемый как .htaccess. Многие пользователи не предают ему особого внимания и не используют все его возможности. На самом деле файл .htaccess – это дополнительные конфигурации

    Плагин подписки wordpress
    Очень трудно найти один плагин подписки wordpress , который объединил бы в себе все виды подписок, которые так необходимы сайту. Именно поэтому я решил сделать подборку лучших плагинов, которые смогут

    Слайд-шоу с помощью плагина для WordPress UnPointZero Slider
    Плагин для cms WordPress UnPointZero Slider – новостной слайдер. Он отражает в форме слайд-шоу изображения со ссылками на ваши статьи и краткие выдержки оттуда. Его можно установить и на новостной сайт,

    Плагины для Wordpress
    С помощью этого плагина вы легко сможете интегрировать Google диск на ваш WordPress сайт или блог . Gravity Forms — лучший плагин для создания форм на WordPress, от самых простых (например, форма

    Подписки плагином JetPack: размещение и редакция формы подписки
    Вступление Здравствуйте! В этой статье я покажу, как использовать плагин JetPack для создания пользовательской формы подписки и как эту формы подписки плагином JetPack добавлять в статьи сайта, а при

    Чистка сайта WordPress плагином WP-optimize
    От автора Со временем использования система WordPress накапливает не нужные файлы, комментарии и неиспользуемые данные в базе данных. Эти файлы и данные создаются в процессе работы и нужны для этого,

    Возможности Jetpack плагина
    Вступление Возможности Jetpack плагина это более 30 функциональных модуля плагина, делающего его универсальным плагином WordPress, заменяющего аналогичные сторонние плагины. Jetpack один заменяет десятки

    Резервное копирование WordPress сайта без плагинов
    Вступление Резервное копирование WordPress это второе, что нужно научиться делать после установки WordPress. Можно сколько угодно говорить о безопасности сайта и его защите, но лучшего варианта защиты

    Плагины на приват для Майнкрафт ПЕ
    > > Плагины на приват для Майнкрафт ПЕ Порой всем нам хочется попробовать себя в роли администратора сервера и испытать эту ответственность, но, к сожалению, вы не всегда все знаете о создании

    Плагин WordPress Database Backup. Архивация базы данных блога на WordPress
    Привет друзья! Сегодня на очереди еще один простой, НО, необходимый и полезный плагин — плагин WordPress Database Backup , который с легкостью и самостоятельно произведет процесс, который научно называется:

  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью