Existuje jeden ochranný štít, ktorý by sme v rámci zabezpečenia svojich údajov pred kybernetickými zločincami mali používať všetci: heslo. Heslá chrániace súkromné údaje, bankové údaje, citlivé súbory a ďalšie informácie sú kľúčom, po ktorom zločinci túžia – a útoky hrubou silou predstavujú spôsob, ako ho získať. Zoznámte sa s rôznymi typmi týchto útokov a zistite, ako môžete znížiť riziko, že sa stanete ich obeťou.
Prieskum o heslách
– 48 % ľudí používa v práci minimálne jedenásť hesiel, ktoré si musia pamätať.
– 34 % ľui používa heslá zložené výlučne z malých písmen a číslic.
– Len 1,57 % ľudí používa heslo, ktoré obsahuje malé aj veľké písmená, špeciálne znaky a čísla.
– 54 % ľudí využíva pri správe hesiel nezabezpečené metódy, napríklad si heslá zapisujú na papier, ukladajú si ich do počítačového súboru alebo používajú rôzne obmeny toho istého hesla na rozličných platformách.
Zdroj: Správa spoločnosti Specops o slabých heslách, 2022
Heslo a jeho sila
Používanie rôznych hesiel pre jednotlivé účty, nastavenie ľahko zapamätateľných, ale ťažko uhádnuteľných prístupových fráz, a prehľad o všetkých používaných prihlasovacích údajoch. V digitálnom veku, v ktorom žijeme, môže byť správne zaobchádzanie s heslami neľahkou úlohou.
Prihlasovacie údaje sú pre kybernetických zločincov lukratívnou komoditou a spoločnosti si to dobre uvedomujú. V záujme ochrany súkromia by ste sa mali neustále usilovať o zavádzanie čo najkomplexnejších bezpečnostných obmedzení, napríklad by ste od zamestnancov mali vyžadovať čoraz zložitejšie heslá.
Napriek tomu niektorí zamestnanci naďalej podceňujú kybernetických zločincov a domnievajú sa, že ak nepoužívajú nebezpečne krátke a jednoduché heslá (napríklad „heslo123“), sú pred hrozbami vrátane útokov hrubou silou v bezpečí.
Nič nemôže byť ďalej od pravdy. Pri útokoch hrubou silou sa kybernetickí zločinci pokúšajú uhádnuť alebo získať prihlasovacie údaje používateľov a preniknúť tak do ich účtov – a ako ukazujú štatistiky, pri týchto incidentoch sú prekvapivo často použité práve zložité heslá.
Štatistiky útokov hrubou silou
– 93 % hesiel používaných pri útokoch hrubou silou má minimálne osem znakov.
– 41 % hesiel používaných pri útokoch hrubou silou má minimálne dvanásť znakov.
– 68 % hesiel používaných pri útokoch obsahuje aspoň dva typy znakov.
Päť najčastejších hesiel s viac ako 11 znakmi použitých pri skutočných útokoch hrubou silou
1. ^_^$$wanniMaBI:: 1433 vl
2. almalinux8svm
3. dbname=template0
4. shabixuege!@#
5. P@$$W0rd0123
Zdroj: Správa spoločnosti Specops o slabých heslách, 2022
Ako naznačujú čísla, hackeri sú si vedomí vývoja v oblasti bezpečnosti hesiel a okamžite prispôsobujú svoje taktiky, aby dosiahli úspech. Hrozba útokov hrubou silou môže mať rôzne podoby. Poďme sa s nimi lepšie zoznámiť.
1. Jednoduchý útok hrubou silou
Pri jednoduchom útoku hrubou silou sa hackeri snažia uhádnuť heslo bez použitia špecializovaného softvéru alebo databázy. Môžu napríklad skúšať najčastejšie kombinácie hesiel alebo využívať informácie dostupné online, napríklad na sociálnych sieťach obete.
2. Sprejovanie hesiel
Pri sprejovaní hesiel hackeri používajú zoznam najčastejších hesiel a prístupových fráz a pomocou špeciálneho softvéru alebo súboru nástrojov na „sprejovanie“ skúšajú zadávať jedno heslo v mnohých rôznych účtoch. V dôsledku toho sa môže stať, že politiky blokovania tento útok nezachytia, a navyše jeden úspešný útok môže viesť k tomu, že hackeri získajú prístup k desiatkam alebo dokonca stovkám rôznych účtov.
3. Slovníkový útok
Počas slovníkového útoku hackeri skúšajú rôzne kombinácie a variácie bežne používaných slov. Útoky sa zvyčajne nevykonávajú manuálne – hackeri často používajú program, ktorý pracuje s rozsiahlymi zoznamami bežných hesiel a slovníkmi (ako naznačuje názov útoku) a do vybraného systému zadáva množstvo možných kombinácií hesiel.
4. Credential stuffing
Ak útočník vlastní zoznam uniknutých alebo kompromitovaných prihlasovacích údajov, môže použiť špeciálny softvér, ktorý zadáva kombinácie prihlasovacích mien a hesiel na mnohých rôznych webových stránkach. V prípade, že používateľ používal svoje prihlasovacie údaje na viacerých platformách – čo je, žiaľ, stále častá chyba – môžu zločinci získať prístup k viacerým účtom len s jednou kombináciou prihlasovacích údajov.
5. Obrátený útok hrubou silou
Niekedy už kybernetickí zločinci heslo majú – stačí, aby našli správneho používateľa. Využívajúc zoznamy hesiel z predchádzajúcich únikov údajov môžu hackeri prehľadávať rôzne platformy a databázy a skúšať zadávať kompromitované prihlasovacie údaje do rôznych účtov.
6. Hybridný útok hrubou silou
Hybridné útoky hrubou silou kombinujú techniky opísané vyššie. Hackeri sa zvyčajne rozhodnú pre slovníkový útok v kombinácii s jednoduchým útokom hrubou silou. Pri pokuse o preniknutie do rôznych účtov (pričom zvyčajne už poznajú prihlasovacie mená) používajú bežné slová a frázy v kombinácii so súborom písmen alebo čísel, ktoré môžu byť náhodné alebo vychádzajú z predchádzajúceho prieskumu obetí.
9 nástrojov na útoky hrubou silou
Znalosť bežných nástrojov používaných na útoky hrubou silou vám pomôže pripraviť sa – napríklad môžete svoj vlastný systém vystaviť penetračnému testovaniu, aby ste odhalili jeho slabé miesta. Zoznam najpoužívanejších nástrojov pripravil portál Infosec.
Aircrack-ng
- Bezplatný nástroj používaný na slovníkové útoky.
- Funguje na systémoch Windows, Linux, iOS a Android.
Rainbow Crack
- Pri útoku generuje dúhové tabuľky na urýchlenie procesu.
- Funguje na systémoch Windows a Linux.
OphCrack
- Slúži na prelomenie hesiel systému Windows.
- Bezplatný a opensourceový nástroj.
L0phtCrack
- Kombinuje slovníkové útoky, útoky hrubou silou a dúhové tabuľky.
- Slúži na prelomenie hesiel systému Windows.
John the Ripper
- Slúži na identifikáciu slabých hesiel alebo ich prelomenie.
- Funguje pri mnohých typoch útokov hrubou silou.
THC Hydra
- Používa sa na slovníkové útoky proti viac ako 30 protokolom.
- K dispozícii pre mnohé typy operačných systémov.
Hashcat
- Vraj ide o najrýchlejší nástroj na prelamovanie hesiel na báze procesora.
- Používa sa pri mnohých typoch útokov hrubou silou.
Ncrack
- Nástroj na prelomenie sieťových overení.
- Podporuje rôzne protokoly a platformy.
DaveGrohl
- Obľúbený nástroj pre macOS X.
- Má distribuovaný režim, ktorý umožňuje hackerom zaútočiť na jeden hash hesla z viacerých zariadení.
Ako sa chrániť pred útokmi hrubou silou?
Hlavným opatrením, ktoré by mali dodržiavať samotní zamestnanci, je správne zaobchádzanie s heslami. To môže spočívať v používaní jedinečného hesla pre každý účet, v nastavení dlhších prístupových fráz obsahujúcich rôzne znaky a v používaní dôveryhodného správcu hesiel na ukladanie prihlasovacích údajov. Nevyhnutné je tiež viacúrovňové overovanie, vďaka ktorému hackeri nezískajú prístup k vašim údajom okamžite po uhádnutí hesla.
Vaša spoločnosť môže zvážiť aj obmedzenie počtu neplatných prihlásení a/alebo používanie testov CAPTCHA, aby zabránila nástrojom na útoky hrubou silou preniknúť do firemných systémov. Odporúča sa tiež pravidelne meniť prístupové frázy. Takisto by ste mali zaviesť politiky bezpečného používania hesiel a ďalej zvýšiť bezpečnosť svojich zamestnancov a firmy aktívnym monitorovaním aktivity na svojich platformách. Dodržiavaním bezpečných postupov a ostražitosťou predídete tomu, aby vás kybernetickí zločinci prekvapili.