Napad z grobo silo

Napad z grobo silo oz. brute force napad je tehnika razbijanja gesel oz. pridobivanja podatkov o pravicah uporabnikov z namenom njihove zlorabe.

Napadalec sistematično preveri veliko število gesel in šifrirnih fraz, dokler ne najde prave kombinacije. Druga možnost je, da napadalec poskuša uganiti ključ, ki je po navadi ustvarjen iz gesla. Pri tem uporabi ključno izpeljavo funkcij. To je znano kot izčrpavanje tipk za iskanje (ang. exhaustive key search).

Brute force napad je kripto analitičen napad, ki se lahko, v teoriji, uporabi za razbijanje vsake šifrirane datoteke^[1] (razen za podatke, ki so šifrirani na informacijsko teoretično varen način). Tak napad se navadno uporablja, kadar ni mogoče izkoristiti drugih slabosti v šifriranju sistema (če obstaja), da bi bilo opravilo lažje.

Če gre za kratka in enostavna gesla je postopek hiter in zelo učinkovit, za daljša gesla pa se uporabljajo druge metode, kot je na primer slovarski napad (ang. dictionary attack).

Osnovni koncept

Brute force napad deluje z izračunom vseh možnih kombinacij, ki bi lahko sestavljale geslo, le ta pa kasneje preizkusi, da vidi, če je geslo pravilno. Sorazmerno z dolžino gesla se podaljšuje čas, ki je potreben za iskanje pravega gesla. To pomeni, da so krajša gesla odkrita hitreje, odkritje dolgih gesel pa lahko traja več let. Brute force napad je manj učinkovit tudi, kadar so podatki zamešani, vsebinsko nesmiselni, saj napadalec težje prepozna pravilno kodo. Moč šifriranega sistema, se ocenjuje ravno s tem, kako dolgo bo teoretično napadalec potreboval, da bo izvedel uspešen napad in razbil šifro.

Nezlomljiva gesla

Nekatere vrste šifriranja, zaradi svoje matematične lastnosti, ni mogoče dešifrirati. Primer za to je one-time pad kriptografija, kjer ima vsak čistopis ustrezen ključ iz naključnega zaporedja ključnih bitov.

Premagati tak sistem, kot je bilo storjeno s projektom Venona, na splošno temelji na napakah pri njegovem izvajanju in ne na čisti kriptografiji.

Protiukrepi

Administratorji podatkovnih baz in spletnih strani lahko sprejmejo določene protiukrepe proti tovrstnim napadom. Npr. z omejitvijo števila poskusov vnošenih gesel, z uvedbo časovnega zamika med zaporednimi poskusi, s povečanjem kompleksnosti odgovora (npr. zahtevanje odgovora CAPTCHA ali kode za preverjanje, ki je bila poslana preko mobilnega telefona) in z blokiranjem računov po neuspešnem poskusu prijave^[2]. Spletni skrbnik lahko prepreči določenemu IP naslovu, da večkrat poskusi gesla.^[3]

Povraten brute force napad

V povratnem brute force napadu je eno (običajno skupno) geslo preizkušeno na več uporabniških imenih ali šifriranih datotekah. Proces se lahko ponovi za izbiro nekaj gesel. V taki strategiji napadalec na splošno ne cilja na točno določenega uporabnika. Povraten brute force napad lahko ublažimo s politiko, ki ne dovoljuje skupnih gesel.^[4]

Programska oprema, ki upravlja brute force napad

• Aircrack-ng
• Cain and Abel
• Crack
• DaveGrohl
• Hash Code cracker
• Hashcat
• John the Ripper
• L0phtCrack
• Ophcrack
• RainbowCrack

Glej tudi

• Bitcoin

Viri

1. Paar, Christof; Pelzl, Jan; Preneel, Bart (2010). Understanding Cryptography: A Textbook for Students and Practitioners
2. Burnett, Mark; Foster, James C. (2004). Hacking the Code: ASP.NET Web Application Security. Syngress. ISBN 1-932266-65-8
3. Ristic, Ivan (2010). Modsecurity Handbook
4. "InfoSecPro.com - Computer, network, application and physical security consultants.". www.infosecpro.com. Retrieved 2017-02-14.