Брутфорс (Brute force) – это метод взлома учетных записей и аккаунтов, построенный на подборе паролей. В основе метода лежит «Теорема о бесконечных обезьянах», которая гласит, что если обезьяна (в нашем случае – программа) будет хаотично нажимать на кнопки печатной машинки (заполнять окно ввода пароля), то рано или поздно воспроизведет поэму Шекспира (подберет верную комбинацию).

Несмотря на примитивность «силового» метода, он остается достаточно актуальным за счет простоты использования и эффективности при «благоприятных внешних условиях»: отсутствии систем защиты от брутфорса и слабых паролей.

В этой статье будут разобраны основные особенности современных бруттеров, а также методы защиты от них: как на уровне инфраструктуры, так и на уровне конкретного пользователя.

Механика работы бруттеров

В чистом виде вся механика состоит из одного действия: подстановки комбинаций. Чтобы ускорить и систематизировать этот процесс используются разнообразные библиотеки и словари паролей.

Дмитрий Ковалев

Руководитель департамента информационной безопасности «Сиссофт»

Брутфорс — это самый примитивный способ подбора пароля. Защититься от него проще всего. Дело в том, что для взлома и перебора вариантов пароля в этом случае используются различные брутфорс-словари. То есть, чем сложнее и длиннее пароль, тем сложнее подобрать его через брутфорс. Если пароль состоит, условно, из 16 символов, включающих цифры, специальные символы, верхний и нижний регистр, он уже будет достаточно защищен.

Две базовые метрики для брутфорса – это объем библиотеки и скорость подбора пароля. В условиях отсутствия защитных инструментов скорость ограничена не только возможностями вредоноса, но и той нагрузкой, которую может выдержать взламываемый сервис.

Brute как метод взлома пароля популярен, в первую очередь, потому что требует минимальный набор навыков со стороны злоумышленника. Достаточно установить бруттер и библиотеку, задать нужные параметры в программе и ждать результата. Но есть и три весомых минуса:

1. Первый характерен для «новичков», которые по запросу «скачать брутфорс» с большой долей вероятности получат не искомое ПО, а n-ное количество вредоносов и майнер-бот.
2. Ждать результата, в случае если пароль сложный, придется от нескольких месяцев до нескольких миллионов лет.
3. Программные решения для защиты от брутфорса не требуют больших вложений, просто интегрируются и надежно решают эту конкретную задачу.

Александр Санин

Коммерческий директор компании "Аванпост"

Брутфорс остается актуальным, так как далеко не все системы оборудованы средствами защиты от такого взлома. Однако, если брутфорс сейчас не срабатывает в течение нескольких минут, то злоумышленнику проще запустить другие механизмы получения несанкционированного доступа. Например, фишинг, взлом привилегированных записей или внедрение вредоносного программного обеспечения. Альтернативных способов проникновения в инфраструктуру хакерам хватает с избытком.

При наличии массы инструментов для нивелирования попыток узнать пароль с помощью брутфорса, масса людей ими пренебрегает, даже если сервис дает возможность для подключения, например, двухфакторной аутентификации. Основная причина в том, что защитные инструменты, в ряде случаев, снижают скорость аутентификации или делают этот процесс менее удобным.

Защита от брутфорса на уровне пользователя

Самый простой способ защитить свою учетную запись – это подключение двухфакторной аутентификации (если такой функционал есть). В таком случае знание самого пароля не дает злоумышленнику особых возможностей для входа в аккаунт.

Не менее эффективный, но более затратный с точки зрения усилий, способ – это создание сильного пароля. Сильный пароль – это тот, в котором содержатся буквы в разных регистрах, специальные символы и цифры, размером не менее чем 8 символов.

Сергей Волдохин

директор ООО «Антифишинг»

Скорость взлома пароля путем прямого перебора может составлять от двух секунд до пяти месяцев и зависит от длины пароля, набора символов и времени отклика системы на ввод неправильного пароля.

Все знают базовые рекомендации насчет длины пароля и его состава, но что в действительности поможет увеличить время взлома? На самом деле – это навык человека придумывать и запоминать сложные пароли. Как это сделать? Делимся одной из техник:

Шаг 1. Выбираем исходное выражение (в основе может быть ваша цель или то, что для вас важно на ближайший месяц)
Пример: Спорт 2 раза в неделю

Шаг 2. Составляем фразу на английском (смысл фразы должен быть вам понятен)
Пример: Training twice a week

Шаг 3. Сокращаем слова и добавляем верхний регистр (таким образом, чтобы вам было комфортно это запомнить, а также случайным образом несколько букв переводим в верхний регистр)
Пример: Tng 2 tImes a wEek

Шаг 4. Добавляем в пароль несколько цифр и спецсимволов
Пример: Tng 2 tImes @ wE3k

Шаг 5. Получаем сильный пароль и каждый раз при его вводе вспоминаем свою цель и продвигаемся
Пример: Tng2tImes@wE3k

Использование методов мнемонического запоминания пароля решает проблему брутфорса, поскольку подбор пароля хоть и остается теоретически-возможным, но займет несколько столетий.

Однако, это не решает проблемы получения паролей путем фишинга, эксплуатации уязвимостей или других методов. Поэтому рекомендуется менять пароль с определенной периодичностью, от одного месяца до полугода, и использовать разные пароли для разных ресурсов. Ввиду того, что постоянно помнить несколько сложных вариантов паролей довольно сложно, популярностью пользуются разнообразные менеджеры паролей.

Средства защиты от брутеров на уровне ресурса

Создать условия для минимизации эффективности брутфорса можно практически без вложений, создав эффективные требования для пользователей по созданию пароля. Базовые требования касаются:

• минимального количества символов;
• использования верхнего и нижнего регистров;
• количество повторяющихся символов;
• содержание цифр и специальных символов.

Такие условия повышают общий уровень безопасности пароля, но не решают задачу для всех, поскольку пользователь все еще может установить пароль формата: «ФамилияИмяГодРождения!».

Александр Герасимов

CISO Awillix

В случае, если перед нами простое веб-приложение с формой аутентификации, то скорость перебора пароля будет зависеть от того, насколько быстро веб-приложение и база данных обрабатывает запросы. В среднем без нагрузки на сервер скорость перебора — около 10 паролей в секунду. Увеличивая количество одновременных запросов за единицу времени можно увеличить скорость перебора, но есть риск отказа в обслуживании из-за большого количества соединений к базе данных.

Для защиты от перебора могут быть применены разные подходы и средства, например, блокировку множественных запросов можно реализовать на программном уровне. Разработчик может сам придумать алгоритм блокировки, основываясь на различных метриках и их совокупности: IP-адрес источника, user-agent, значения cookie. Подобный механизм можно использовать у внешних сервисов, например, QRATOR, Cloudflare, данные сервисы позволяют устанавливать различные правила, по которым будет происходить блокировка или дополнительная проверка пользователей. Одним из самых эффективных способов увеличения времени перебора пароля являются также и CAPTCHA-тесты.

Более продвинутый механизм защиты – это создания правил и паттерн, при которых попытка входа идентифицируется как подозрительная или нелегитимная. Определение может базироваться на отличии IP-адресов, количестве вводов пароля, их периодичности и множестве других метрик.

Однако наибольшую эффективность показывают два наиболее затратных (с точки зрения ресурсов) метода – введение механизмов двухфакторной идентификации и CAPTCHA-тестов.

Если говорить о профессиональных атаках, для которых характерен высокий уровень исполнения и технических компетенций злоумышленника, то брутфорс выступает только как элемент атаки. Если он не дает результата с первых минут, то хакер переходит к другим инструментам.

Второй распространенный вариант использования приложений для взлома паролей – это применение бруттеров для решения локальных задач. Например, подбора пароля к незащищенной сети Wi-Fi.

Итоги

Актуальность брутфорс-методов «в общем» напрямую зависит от общего уровня цифровой грамотности. В идеальном мире, где каждый пользователь использует уникальные сильные пароли, любой брутфорс будет занимать слишком много времени, даже без внедрения специальных защитных инструментов.

Ксения Рысаева

руководитель группы аналитиков Центра предотвращения киберугроз CyberART, ГК Innostage

Метод перебора паролей остается одним из популярных способов взлома паролей к учетным записям в социальных сетях, e-mail, онлайн-банков, платежных систем и других web-ресурсов. До тех пор, пока все они не настроят профильные системы блокировки автоподбора паролей, брутфорс будет актуальным. Другие механизмы аутентификации, тот же отпечаток пальца, остаются альтернативой, парольная аутентификация при этом не исчезает, а лишь уходит на второй план.

В то же время, автоподбор может быть быстрым и эффективным в тех случаях, когда атака – целевая, и перед запуском « брута» составлена персонализированная библиотека на основе данных OSINT-разведки. Впрочем, столь персонализированный подход довольно затратен, поэтому вряд ли может иметь массовый характер.

Источник: Cyber Media

Несмотря на всю простоту и «топорность» брутфорс-метода, он остается актуальным инструментом взлома учетных записей в тех случаях, когда компания не использует защитные инструменты от автоподбора, а пользователь не видит причин ставить надежный пароль.