Komputery » Brutfors to opis programu, procedura instalacji i bezpieczeństwo

Brutfors to opis programu, procedura instalacji i bezpieczeństwo

Komputery

Świat brutalnej siły cyberprzestępczości jest działaniem obejmującym powtarzające się sekwencyjne próby wypróbowania różnych kombinacji haseł w celu penetracji dowolnej witryny lub odblokowania urządzenia. Ta próba jest wykonywana przez hakerów, którzy używają botów, które złośliwie instalują na innych komputerach, aby zwiększyć moc obliczeniową wymaganą do przeprowadzenia tego typu ataków.

Czym więc jest brutalny atak?

Brutfors to najprostszy sposób uzyskania dostępu do strony, urządzenia lub serwera (lub dowolnego innego hasła chronionego). Próbuje różnych kombinacji nazw użytkowników i haseł w kółko, aż pojawi się wejście. Jest to powtarzające się działanie, jak armia atakująca fort.


Dla niektórych taki opis brutalnego ataku daje powód do przypuszczenia, że ​​każdy może to zrobić. To są naprawdę proste działania, ale sukces nie zawsze wyjdzie na jaw. Zwykle każdy wspólny identyfikator (na przykład administrator) ma hasło. Wszystko, co musisz zrobić, to spróbować odgadnąć. Na przykład, jeśli jest to kombinacja dwucyfrowa, masz 10 cyfr od 0 do 9. Oznacza to, że istnieje 100 możliwości. Możesz wybrać je ręcznie, aby wprowadzić kolejno. Ale prawda jest taka, że ​​żadne hasło na świecie nie składa się z dwóch postaci. Nawet numery kontaktowe używane w telefonach komórkowych lub w banku mają co najmniej 4 znaki. W Internecie te same 8 znaków jest zwykle standardem dla najkrótszego hasła. Ponadto, dodatkowa złożoność jest w haśleZawiera znaki alfabetu, aby były bezpieczniejsze. Litery mogą być używane zarówno w dużych, jak i małych literach, co czyni kod wrażliwym na jego przełączanie.


A więc, jeśli istnieje alfanumeryczne 8-znakowe hasło, ile będzie możliwych kombinacji? W języku angielskim istnieje 26 liter alfabetu. Jeśli policzysz je zarówno w małych jak i wielkich literach, otrzymasz 26 + 26 = 52. Następnie musisz dodać liczby: 52 + 10 = 62. Tak więc, istnieje tylko 62 znaki. W przypadku 8-znakowego hasła będzie 628 możliwych kombinacji 21834011 x 1014. Jeśli spróbujesz użyć 218 trylionów kombinacji w jednej próbie na sekundę, zajmie to 218 trylionów sekund lub 36 trylionów minut. Krótko mówiąc, złamanie hasła za pomocą ostatecznej kombinacji zajmuje około 7 milionów lat. Oczywiście proces ten może zająć mniej, ale jest to maksymalny czas na pobranie tej wartości. Oczywiste jest, że ręka brutali jest niemożliwa.

Jak to się dzieje?

Jeśli jesteś zainteresowany łamaniem haseł, będziesz musiał używać komputerów. Aby to zrobić, musisz napisać kilka prostych linii kodu. Takie umiejętności programowania są podstawowe dla każdego kodera. Załóżmy, że opracowałeś program do odblokowania hasła testującego 1000 kombinacji na sekundę. Czas jest zredukowany do 7 tysięcy lat. Nadal nie można tego zrobić, więc potrzebujesz superkomputera. Jeśli maszyna może spróbować 1 x 109 prób na sekundę, to w ciągu zaledwie 22 sekund zostaną przetestowane wszystkie próby 218 bilionów. Tego rodzaju zasoby obliczeniowe nie są dostępne dlazwykli ludzie Jednak hakerzy nie są zwykłymi użytkownikami. Mogą obliczać zasoby obliczeniowe na różne sposoby, na przykład przez opracowanie potężnego mechanizmu obliczeniowego z oprogramowaniem itp.
Ponadto powyższe obliczenia istnieją dla wszystkich możliwych kombinacji 8-znakowego hasła. Ale co, jeśli jego długość wynosi 10 lub 100 znaków? Dlatego bardzo ważne jest posiadanie dodatkowych poziomów bezpieczeństwa w celu wykrycia i odrzucenia próby włamania.

Dlaczego to robią?

W Brutus motywem hackera jest uzyskanie nielegalnego dostępu do docelowej strony internetowej i użycie go do przeprowadzenia innego rodzaju ataku lub kradzieży cennych danych. Możliwe jest również, że atakujący infekuje zasób ze złośliwymi skryptami dla celów długoterminowych, nawet niczego nie dotykając i nie pozostawiając żadnych śladów. Dlatego zaleca się częste indeksowanie i stosowanie się do wytycznych dotyczących ochrony witryny.

Co robić?

Istnieje wiele narzędzi do ochrony różnych aplikacji, które pozbawią użytkownika umiejętności ataku po określonej liczbie prób. Na przykład dla SSH możesz używać hostów File2ban lub Deny. Te programy odrzucają adres IP po kilku nieprawidłowych próbach. Te narzędzia wykonują dobrą robotę. Jednak nie zawsze mogą chronić.
Niedawno zaobserwowano gwałtowny wzrost brutalnych ataków. Pochodzą z różnych krajów świata, stają się coraz bardziej wyrafinowane każdego dnia. Dlatego wszyscy użytkownicy powinni starać się być czujni.Jak chronić się przed brutalistami?

Długość hasła

Pierwszym krokiem do zapobiegania atakowi powinna być długość hasła. Obecnie wiele witryn i platform wymusza na użytkownikach tworzenie kodu dostępu o określonej długości (8-16 znaków).

Złożoność haseł

Kolejną ważną rzeczą jest stworzenie złożonego hasła. Nie zaleca się, aby myśleć o nich jak iloveyou lub hasło123456. Hasło musi składać się z wielkich i małych liter, a także cyfr i znaków specjalnych. Trudności opóźniają proces hakowania.

Graniczne próby logowania

Prostą, ale bardzo skuteczną akcją jest ograniczenie prób logowania, jeśli chodzi o witrynę lub serwer. Na przykład, jeśli witryna otrzyma pięć nieudanych prób logowania, powinna zablokować adres IP przez pewien czas, aby zatrzymać dalsze próby.

Zmiana pliku .htaccess

Dodanie wielu reguł do pliku .htaccess może jeszcze bardziej zwiększyć bezpieczeństwo witryny. Celem jest umożliwienie dostępu do wp-admin tylko do określonych adresów IP w nim zawartych.

Korzystanie z Captcha

Captcha jest obecnie szeroko stosowany na wielu stronach. Nie pozwala botom na wykonywanie automatycznych skryptów używanych głównie w ataku Brute Force. Instalacja captcha na stronie lub blogu jest łatwa. Zainstaluj niewidzialną wtyczkę Google RecCaptcha i przejdź do swojego konta Google. Teraz wróć do strony ustawień wtyczki i określ miejsca, w których chciałbyś, aby użytkownik wprowadził captcha przed wykonaniem rzeczywistego zadania.

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuetapowe to dodatkowa linia ochrony, która może chronić konto brutalnej siły. Szanse na udany atak na witryny chronione 2FA są bardzo małe. Istnieje wiele sposobów wdrożenia go na stronie. Najprostszym sposobem jest użycie dowolnej z wtyczek do uwierzytelniania dwuskładnikowego.
Jeśli nie mówisz o własnej witrynie internetowej, ale o innych zasobach (na przykład, aby zapobiec routerowi routera), metody mogą być następujące:
  • Utwórz unikalne hasło dla każdego konta.
  • Przeprowadzaj częste zmiany hasła.
  • Unikaj dzielenia się danymi uwierzytelniającymi przez niezabezpieczone kanały.

    • Przekierowanie

    Ponowny atak brutalnych sił jest kolejnym terminem związanym z łamaniem haseł. W takim przypadku atakujący próbuje użyć jednego hasła dla kilku nazw użytkowników. W tym przypadku haker zna hasło, ale nie ma pojęcia o nazwach użytkowników. W takim przypadku może wypróbować to samo hasło i spróbować odgadnąć różne logowania, dopóki nie znajdzie działającej kombinacji. Zwykle ma to miejsce w przypadku pędzla Wi-Fi i innych połączeń. Atak jest powszechnie używany do łamania haseł. Hakerzy mogą używać brutforów na dowolnej stronie oprogramowania lub protokole, który nie blokuje żądań po kilku nieważnych testach.
    Dostępnych jest wiele narzędzi hakowania haseł dla różnych protokołów. Niektóre z nich należy rozważyć bardziej szczegółowo. Aby korzystać z takich programów, wystarczy pobrać i uruchomićzaatakować Ponieważ niektórzy z nich używają jednocześnie kilku mechanizmów, należy dokładnie to zbadać. Pomoże to chronić się przed atakami, a także sprawdzi wszystkie systemy w poszukiwaniu luki.

    Aircrack-ng

    Jest to popularny darmowy cracker sieci bezprzewodowej, dostępny za darmo. Zawiera narzędzia do krakowania i analizy WEP /WPA /WPA2-PSK w celu przeprowadzenia ataku na WI-Fi 80211. Aircrack NG może być używany do dowolnej karty sieciowej obsługującej nieprzetworzone monitorowanie.
    Zasadniczo wykonuje ataki słownictwa na sieć bezprzewodową, aby odgadnąć hasło. Jak wiecie, sukces warunkowego ataku zależy od złożoności haseł. Im lepsza i wydajniejsza kombinacja, tym mniej prawdopodobne jest, że nastąpi zło. Aplikacja jest dostępna dla bruteforów Windows i Linux. Ponadto został przeniesiony na platformy iOS i Android.

    John the Ripper

    To kolejne oszałamiające narzędzie, które nie wymaga żadnych instrukcji. Jest często używany do długich haseł o dużej sile. To bezpłatne oprogramowanie zostało pierwotnie opracowane dla systemów uniksowych. Później autorzy wypuścili go na inne platformy. Teraz program obsługuje 15 różnych systemów, w tym Unix, Windows, DOS, BeOS i OpenVMS. Może służyć do identyfikacji luk w zabezpieczeniach lub łamania haseł i naruszeń uwierzytelniania. To narzędzie jest bardzo popularne i łączy różne funkcje. Może automatycznie określić typ mieszania używany w haśle. Tak więc kod może być uruchamiany w zaszyfrowanym repozytorium haseł. Zasadniczo program brutalnej siłymoże wykonać nieuprzejmy atak ze wszystkimi możliwymi hasłami, łącząc tekst i liczby. Niemniej jednak można go również używać ze słownikiem.

    Rainbow Crack

    Jest to również popularne narzędzie do haseł brutoress. Generuje tabele do użycia podczas ataku. Tak więc kod różni się od innych tradycyjnych narzędzi przymusu. Tęczowe stoły są wstępnie obliczane. Pomaga to skrócić czas ataku. Cóż, istnieją różne organizacje, które opublikowały już tabele przed konkurencją dla wszystkich użytkowników Internetu. To narzędzie jest nadal w fazie rozwoju. Jest dostępny dla systemów Windows i Linux i obsługuje wszystkie najnowsze wersje tych platform.

    L0phtCrack

    Program znany jest z możliwości łamania haseł systemu Windows. Używa słowników, brutalnej siły, ataków hybrydowych i opalizujących tabel. Najbardziej znaczące funkcje l0phtcrack to planowanie, wydobywanie skrótów z 64-bitowych wersji Windows, algorytmy wieloprocesorowe oraz monitorowanie i dekodowanie sieci.

    Ophcrack

    Kolejne narzędzie do generowania brutalnej siły używane do łamania haseł systemu Windows. Łamie hasło za pomocą skrótów LM w tabelach. To jest darmowe oprogramowanie open source. W większości przypadków może złamać hasło systemu Windows w ciągu kilku minut.

    Crack

    Jest to jedno z najstarszych narzędzi do łamania haseł. Może być używany w systemach UNIX, w tym w Android Brutforces. Służy do sprawdzania słabych haseł, wykonując atak za pomocą słowników.

    Hashcat

    Niektórzy twierdzą, że jest to najszybsze narzędzie do łamania haseł opartych na procesorach. Jest bezpłatny i jest wyposażony w platformy Linux, Windows i Mac OS. Hashcat obsługuje różne algorytmy mieszania, w tym sumy LM, MD4 MD5 SHA-Unix-Vault, MySQL, Cisco PIX. Program obsługuje różne ataki, w tym Brute-Force, Combinator, słowniki, atak linii papilarnych i wiele więcej.

    Powiązane publikacje