Ataki brute force – czym są i jak się przed nimi chronić?

“Praca” hakerów zwykle nie wygląda tak, jak w filmach akcji, w których cyberprzestępcy, siedząc przed kilkoma monitorami w ciemnym pomieszczeniu, łamią zabezpieczenia za pomocą tysięcy linijek kodu. Czasem to po prostu metoda prób i błędów, a także research i dużo cierpliwości. Tak jest w przypadku ataków typu brute force – czym one są, jakie są ich rodzaje i konsekwencje oraz jak się przed nimi chronić?

Ataki brute force – czym są?

Sformułowanie “brute force” oznacza po polsku “brutalną siłę” – nazwa ataku dobrze odzwierciedla mechanizm jego działania. Typowe ataki hakerskie kojarzą się nam ze sprytem i przebiegłością, którą musi wykazać się cyberprzestępca, aby osiągnąć swój cel. W przypadku brute force jest inaczej.

Ataki brute force to łamanie haseł i kluczy kryptograficznych poprzez wielokrotne wpisywanie różnych kombinacji danych dostępowych. Jest to bardzo prosta, ale jednocześnie czasochłonna metoda, którą może wykonać każda osoba z dostępem do internetu. Hakerzy zwykle nie robią tego ręcznie – najczęściej tworzą specjalne skrypty, które automatycznie wykonują próby logowania z użyciem zróżnicowanych kombinacji cyfr, liter i znaków. Zaczynają od najprostszych, typu “admin1234”, “password1234” czy “internet123”, aby później przejść do coraz bardziej skomplikowanych zestawień.

Aby obrazowo wytłumaczyć mechanizm działania brute force, posłużymy się przykładem włamywacza (hakera), który próbuje otworzyć drzwi (login i hasło) prowadzące do mieszkania (konta). Wspomniane wcześniej typowe ataki hakerskie można przyrównać do próby otworzenia drzwi spinką do włosów, tak, aby nikt nie zorientował się o próbie włamania. Brute force to z kolei siłowe rozwiązanie, czyli długotrwałe uderzanie w drzwi specjalnym taranem, czekając aż te ustąpią.

Rodzaje ataków brute force

Oczywiście nie wszystkie ataki brute force przebiegają w ten sam sposób. Cyberprzestępcy używają zróżnicowanych metod, zależnych od szans na ich skuteczność w konkretnym przypadku. Są to:

• Podstawowy brute force – ręczne wpisywanie kombinacji loginów i haseł w celu odgadnięcia poprawnej konfiguracji. Najbardziej efektywne w przypadku, gdy cyberprzestępca zna personalia swojej ofiary. Może on próbować zestawień zawierających jej imię lub imiona członków jej rodziny czy też miejsce zamieszkania jako hasło, a także adres e-mail jako login.
• Atak słownikowy – wykorzystanie algorytmu do przygotowania bazy słów najczęściej występujących w mowie codziennej, których prawdopodobieństwo zastosowania jako hasło jest największe. Nazwa wzięła się od skojarzenia z korzystaniem ze słownika jako inspiracji do generowania nowych słów.
• Atak hybrydowy – Połączenie podstawowego brute force z atakiem słownikowym. Gdy haker zna login ofiary, może wpisywać zaawansowane kombinacje haseł (np. chcąc włamać się na konto księgowej w danej firmie wpisuje “ksiegowosc2022” – nazwa działu + aktualny rok).
• Odwrócony brute force – Z kolei gdy cyberprzestępca zna hasło (np. admin 1234), ale nie zna loginu, może wpisywać różne kombinacje w celu jego odgadnięcia.
• Credential stuffing – Wykorzystywanie przez cyberprzestępców potwierdzonych kombinacji loginów i haseł na innych portalach. Jeśli haker włamie się do poczty Gmail, może spróbować użyć tej samej kombinacji także na innych kontach (Facebook, PayPal, Netflix itp.).

Przyczyny udanych ataków brute force

Najważniejszym powodem udanych ataków brute force są oczywiście zbyt proste do odgadnięcia hasła lub loginy. Wiele osób bagatelizuje zagrożenie, stosując nieskomplikowane kombinacje, np. imię bliskiej osoby (mąż, żona, córka, syn) i data urodzenia. Takie hasła wymagają od cyberprzestępcy “tylko” researchu na temat ofiary, cierpliwości i wystarczającej liczby prób, aby je złamać.

Inną przyczyną jest wspomniany credential stuffing – czyli wykorzystywanie przez cyberprzestępców faktu, że wiele użytkowników stosuje identyczne kombinacje loginów i haseł na różnych kontach. To podstawowy błąd i każdy powinien się go wystrzegać. W innym przypadku wyciek danych logowania na jakimś mało znaczącym portalu może sprawić, że hakerzy uzyskają także dostęp np. do konta Google czy Facebook – jeśli login i hasło są tam identyczne.

Aby temu zapobiec, można zastosować rozwiązania do wielopoziomowego uwierzytelniania, pokroju MFA. Wiele portali wręcz wymaga ich zastosowania przez użytkowników w celu zwiększenia bezpieczeństwa procesu logowania. By zalogować się do konta potrzeba wtedy nie tylko loginu i hasła, ale także kodu z tokenu SMS – to znacząco utrudnia zadanie cyberprzestępcom (choć nie jest też w stu procentach skuteczne). Nie wszyscy użytkownicy korzystają jednak z zabezpieczeń MFA, nie wiedząc o nich lub celowo je ignorując. A że lepiej zapobiegać niż leczyć, zachęcamy do korzystania z nich wszędzie tam, gdzie to możliwe.

Jak bronić się przed atakami brute force?

W przypadku indywidualnych użytkowników recepta na zapobieganie atakom brute force jest bardzo prosta – stosować unikalne, różnorodne, długie i trudne do odgadnięcia hasła. Szczególnie jest to ważne w przypadku ważnych kont, których utrata mogłaby być nieprzyjemna w skutkach. Warto także w regularnych odstępach czasowych zmieniać hasła do kont, tak, aby nie używać tylko jednego przez dłuższy okres. Takie praktyki minimalizują ryzyko skutecznego ataku typu brute force.

Problem jest bardziej skomplikowany, gdy przeanalizujemy ryzyko występujące w firmach i organizacjach. Pracownicy mają w nich dostęp nie tylko do swoich kont osobistych, ale także do potrzebnych narzędzi, rozwiązań chmurowych czy systemów CRM. W tej sytuacji dużo trudniejsze jest kontrolowanie aktywności każdego z użytkowników, a zaniedbania chociaż jednego z nich mogą umożliwić cyberprzestępcom wykonanie skutecznego ataku brute force. Jak się przed tym zabezpieczać?

• Koniecznie stosować rozwiązania MFA – mogą to być nie tylko standardowe tokeny SMS, ale także unikalne systemy typu PureSecure. Nie dość, że PureSecure pozytywnie wpływa na UX, ponieważ nie potrzebuje aktywizować użytkownika w celu uwierzytelnienia jego tożsamości, to jeszcze jest rozwiązaniem niemożliwym do podrobienia! Aby dowiedzieć się więcej, zachęcamy do przeczytania naszego wpisu blogowego o PureSecure.
• Monitorować poziom nadanych uprawnień użytkownikom – np. niech nie każdy pracownik ma pełny dostęp do firmowego CRM, a tylko do tych funkcjonalności, które są mu potrzebne w pracy.
• Ograniczyć możliwość nieskończonych prób logowania.
• Prowadzić kontrolę logów serwera, aby zweryfikować podejrzane aktywności (np. wielokrotne, nieudane połączenia z nieznanych adresów IP).

Lepiej zapobiegać niż leczyć!

Trudne, unikalne hasła oraz stosowanie skutecznych rozwiązań MFA znacząco redukuje szanse powodzenia ataków typu brute force. Warto o tym pamiętać, szczególnie jeśli ktoś do tej pory nie przestrzegał zasad opisanych powyżej – skutki są zwykle dużo bardziej kosztowne niż czas poświęcony na wymyślenie i zapamiętanie silnego hasła, a także skonfigurowanie rozwiązań typu MFA.