Žodis angliškai:
Santrumpa:
Žodis lietuviškai:
Grubios jėgos ataka
Apibrėžimas:
Grubios jėgos ataka (angl. Brute force attack) yra plačiausiai žinomas slaptažodžių „nulaužimo“ būdas. Ši ataka dažniausiai taikoma, kai neišeina rasti spragų kodavimo (angl. encryption) sistemoje. Grubios jėgos atakos metu yra sistemiškai bandoma kiekviena įmanoma raidžių, skaičių ir simbolių kombinacija, kol randama kombinacija, kuri tinka. Įsilaužėjas gali visada nulaužti slaptažodį, trūkumas tas, kad tai gali trukti daug metų. Tai priklauso nuo slaptažodžio ilgio ir sudėtingumo. Sudėtingumas priklauso nuo to, kokie simboliai naudojami. Nesudėtingi slaptažodžiai susideda tik iš mažųjų raidžių, o sudėtingiausi iš mažųjų, didžiųjų raidžių, skaičių ir įvairių simbolių. Paspartinti grubios jegos ataką galima naudojant žodžius iš žodyno (ar šiek tiek modifikuotus). Tokios atakos vadinamos žodyno atakomis arba hibridinėmis grubios jėgos atakomis.
Grubios jėgos atakos kelia grėsmę vartotojų paskyroms ir apkrauna tinklapį su nepageidaujamu duomenų srautu. Nors šias atakas aptikti yra lengva, tačiau jų išvengti yra sunku. Pvz.: dauguma HTTP grubios jėgos įrankių gali nukreipti užklausas per atvirus įgaliotuosius serverius (angl. proxy). Tuomet kiekviena ataka atkeliauja iš skirtingų IP adresų, todėl tokių atakų negalima nutraukti užblokuojant konkretų IP adresą. Viską dar labiau apsunkina tai, kad grubios jėgos programinė įranga kiekvieną kartą mėgina vis skirtingą vartotoją, todėl užblokuoti kurį nors iš jų, dėl neteisingai parašyto slaptažodžio, tampa neįmanoma.
Užkirsti kelią grubios jėgos atakoms galima keliais būdais: užrakinti vartotojų paskyras po nurodyto skaičiaus nesekmingų prisijungimo bandymų, niekada nesakyti, kurie duomenys suvesti neteisingai, užblokuoti IP adresą, prieš tikrinant slaptažodį įterpti vėlinimus, leisti jungtis tik iš nustatytų IP adresų, naudoti saugos kodą ir sudėtingi slaptažodžiai.
Akivaizdžiausias būdas užblokuoti grubios jėgos ataką yra tiesiog užrakinti vartotojo paskyrą. Užrakinimas gali tęstis fiksuotą laikotarpį arba iki kol paskyrą atblokuos administratorius. Tačiau paskyros užrakinimas nėra visada geriausia išeitis, nes jei tinklapis yra dažnai atakuojamas, kylą grėsmė, kad bus užblokuota labai daug paskyrų ir tikrieji vartotojai negalės jomis naudotis.
Po nepavykusio prisijungimo dažniausiai parodomas pranešimas, šiame pranešime negalima atskleisti kas buvo suvesta neteisingai: vartotojo vardas ar slaptažodis. Atskleidžiant šiuos duomenis, piktavaliai gali susirinkti visus vartotojų vardus. Kaikurios grubios atakos priemonės nuskaito šiuos pranešimus, taigi riziką taip pat galima sumažinti pateikiant nestandartinius pranešimus.
Viena iš išeičių – blokuoti IP adresą iš kurio buvo mėginama prisijungti daug kartų. Šios išeitis trūkumas tas, kad galima netyčia užblokuoti dideles vartotojų grupes, kurios naudoja tą patį įgaliotąjį serverį, pvz.: interneto paslaugų tiekėją (angl. Internet Service Provider, ISP) ar didelę įmonę. Dauguma tinklapių neblokuoja IP po vieno nepavykusio prisijungimo, dažniausiai reikia suklysti bent tris kartus. Taigi piktavalis, turintis 1000 atvirų įgaliotųjų serverių, gali mėginti jungtis bent 3000 kartų. Taigi tinklapiai dažniausiai atsisako šio grubios jėgos atakos prevencijos būdo. Jei vartotojų yra nedaug arba papildomos apsaugos reikia tik administratorių paskyroms, galima leisti jungtis tik iš nurodytų IP adresų.
Didžiausias grubios jėgos atakų trūkumas yra sugaištamas laikas. Prailginant šį laiką galima iš dalies sustiprinti apsaugą prieš šias atakas. Šiuo atveju galima dirbtinai įterpti net kelių sekundžių vėlinimus prieš tikrinant slaptažodį, vartotojams tai nesukels didelio nepatogumo, tačiau piktavaliams tai kainuos daug brangaus laiko.
Turbūt pats geriausias būdas apsisaugoti nuo grubios jėgos atakų yra saugos kodo naudojimas, dažniausiai žinomo kaip CAPATCHA. Šio kodo esmė atskirti ar vartotojas yra žmogus ar kompiuteris. Tai nustatoma pateikiant užduotį, kurią galetų 100% teisingai atsakyti žmogus ir kompiuteris suklystų spėdamas beveik 100% kartų. Taigi renkantis CAPATCHA reikia galvoti, kaip sunku kompiuteriui bus atsakyti į klausimą, o ne kad klausimas būtų kuo sudėtingesnis. Kompiuteris negali susiesti klausimo su paveikslėliu, tačiau jei klausime „Kiek zebrų yra paveikslėlyje?“ ir duosime pasirinkti tris galimus atsakymo variantus, tai kompiuteris atsakys teisingai su 33,3% tikimybe, taigi toks klausimas nėra tinkamas. Labiausiai paplitęs variantas, kai paveikslėlyje yra atvaizuojamas atsitiktinai sugeneruotas žodis ar simbolių junginys ir vartotojas jį turi perrašyti. Nors tai ir yra vienas iš geriausių būdų apsisaugoti nuo grubios jėgos atakos, tačiau būtinybe įvesti papildomus duomenis vargina vartotoją. Taigi vartotojui duoti suvesti saugos kodą reiktų, jei iš pirmo karto nebuvo nurodytas teisingas slaptažodis ar vartotojo vardas.
Jei visi vartotojai naudotų sudėtingus slaptažodžius tai didelės grėsmės grubios jėgos atakos nekeltų, tačiau dažniausiai vartotojai renkasi trumpus ir lengvai įsimenančius slaptažodžius, todėl patartina imtis papildomų saugumo priemonių. Visgi vartotojas šioje apsaugos sistemos grandyje yra silpnoji vieta. Taip pat silpna vieta yra slaptažodžiai pagal nutylėjimą. Tai dažniausiai pasitaiko maršrutizatoriuose, kai vartotojas pamiršta arba nemato prasmės pakeisti gamintojo nustatyto prisijungimo vardo admin ir slaptažodio admin į kokį nors kitą. Didelė tikimybė, kad grubios jėgos atakos metu toks slaptažodis bus atspėtas pirmu spėjimu.
Sąlygos, kurioms esant galima įtarti grubios jėgos ataką:
1. Daug nepavykusių prisijungimo bandymų iš to paties IP adreso;
2. Bandymas prisijungti su keliais vartotojų vardais iš vieno IP adreso;
3. Prisijungimai prie vienos vartotojo paskyros iš daug skirtingų IP adresų;
1. lentelė. Slaptažodžio nulaužimo laiko priklausomybė nuo jo struktūros
1. lentelėje pavaizduotos reikšmės gaunamos, jei grubios jėgos ataka atliekama vienu kompiuteriu, esant 500 000 slaptažodžių per sekundę greičiui. Naudojant šį metodą viskas priklauso nuo sekmės, t.y. slaptažodis gali būti atspėtas pirmu arba paskutiniu bandymu. Lentelėje atvaizduotos reikšmės gaunamos esant blogiausiam įmanomam variantui, t.y. slaptažodis buvo atspėtas paskutiniu bandymu.
Apibendrinimas:
1. Slaptažodžio nulaužimo laikas – labai trumpas, esant trumpiems slaptažodžiams, ir visiškai nepriimtinas, esant ilgiems slaptažodžiams;
2. Randamas originalus slaptažodis;
3. Slaptažodžio radimas garantuotas (tik tai gali trukti labai ilgą laiką);
4. Gali būti rastas bet koks slaptažodis;
5. Privalumai: universalumas, garantuotas rezultatas;
6. Trūkumai: didelės laiko sąnaudos;
7. Jei slaptažodyje yra nelotyniškų simbolių, būtina pridėti papildomus simbolių rinkinius.