Οι βίαιες επιθέσεις εξήγησαν πώς είναι όλες οι κρυπτογράφηση ευάλωτες
Οι βίαιες επιθέσεις είναι αρκετά απλές για κατανόηση, αλλά είναι δύσκολο να προστατευθούν. Η κρυπτογράφηση είναι μαθηματικά και, καθώς οι υπολογιστές γίνονται ταχύτεροι στα μαθηματικά, γίνονται ταχύτεροι όταν προσπαθούν όλες τις λύσεις και βλέπουμε ποιος ταιριάζει.
Αυτές οι επιθέσεις μπορούν να χρησιμοποιηθούν σε οποιοδήποτε είδος κρυπτογράφησης, με ποικίλους βαθμούς επιτυχίας. Οι βίαιες επιθέσεις γίνονται ταχύτερες και πιο αποτελεσματικές με κάθε μέρα που περνάει, καθώς απελευθερώνεται νεώτερος, γρηγορότερος ηλεκτρονικός υπολογιστής.
Βασικά στοιχεία βίαιης δύναμης
Οι βίαιες επιθέσεις είναι απλές για κατανόηση. Ένας εισβολέας έχει ένα κρυπτογραφημένο αρχείο - ας πούμε, τη βάση δεδομένων του LastPass ή του KeePass. Ξέρουν ότι αυτό το αρχείο περιέχει δεδομένα που θέλουν να δουν και ξέρουν ότι υπάρχει ένα κλειδί κρυπτογράφησης που το ξεκλειδώνει. Για να το αποκρυπτογραφήσουν, μπορούν να αρχίσουν να δοκιμάζουν κάθε πιθανό κωδικό πρόσβασης και να δουν αν αυτό έχει ως αποτέλεσμα ένα αποκρυπτογραφημένο αρχείο.
Κάνουν αυτό αυτόματα με ένα πρόγραμμα υπολογιστή, έτσι ώστε η ταχύτητα με την οποία κάποιος μπορεί να ωθήσει την κρυπτογράφηση αυξάνεται καθώς το διαθέσιμο υλικό του υπολογιστή γίνεται γρηγορότερο και ταχύτερο, ικανό να κάνει περισσότερους υπολογισμούς ανά δευτερόλεπτο. Η επίθεση βίαιων δυνάμεων πιθανότατα θα ξεκινούσε από μονοψήφιους κωδικούς πρόσβασης πριν από τη μετάβαση σε διψήφιους κωδικούς πρόσβασης και ούτω καθεξής, προσπαθώντας όλους τους πιθανούς συνδυασμούς μέχρι να δουλέψει κάποιος.
Μια "επίθεση λεξικού" είναι παρόμοια και προσπαθεί να λέει ένα λεξικό - ή μια λίστα με κοινούς κωδικούς πρόσβασης - αντί όλων των πιθανών κωδικών πρόσβασης. Αυτό μπορεί να είναι πολύ αποτελεσματικό, καθώς πολλοί άνθρωποι χρησιμοποιούν τόσο αδύναμους και κοινούς κωδικούς πρόσβασης.
Γιατί οι επιτιθέμενοι δεν μπορούν να βλάψουν τις υπηρεσίες Web
Υπάρχει μια διαφορά μεταξύ των online και offline βίαιων επιθέσεων. Για παράδειγμα, εάν ένας εισβολέας θέλει να βγάλει βίαια το δρόμο στον λογαριασμό Gmail, μπορεί να ξεκινήσει να δοκιμάζει κάθε πιθανό κωδικό πρόσβασης - αλλά το Google θα τα κόψει γρήγορα. Οι υπηρεσίες που παρέχουν πρόσβαση σε αυτούς τους λογαριασμούς θα γκρεμίσουν τις προσπάθειες πρόσβασης και θα απαγορεύσουν τις διευθύνσεις IP που επιχειρούν να συνδεθούν τόσες φορές. Έτσι, μια επίθεση εναντίον μιας ηλεκτρονικής υπηρεσίας δεν θα λειτουργούσε πολύ καλά επειδή πολύ λίγες προσπάθειες μπορούν να γίνουν πριν την επίθεση θα σταματήσει.
Για παράδειγμα, μετά από μερικές αποτυχημένες προσπάθειες σύνδεσης, το Gmail θα σας δείξει μια εικόνα CATPCHA για να επαληθεύσετε ότι δεν είστε ένας υπολογιστής που προσπαθεί να κάνει αυτόματους κωδικούς πρόσβασης. Ενδεχομένως να σταματήσουν τελείως τις προσπάθειες σύνδεσης σας αν κατορθώσετε να συνεχίσετε για αρκετό καιρό.
Από την άλλη πλευρά, ας υποθέσουμε ότι ένας εισβολέας αποτύπωσε ένα κρυπτογραφημένο αρχείο από τον υπολογιστή σας ή κατάφερε να θέσει σε κίνδυνο μια ηλεκτρονική υπηρεσία και να κατεβάσει τέτοια κρυπτογραφημένα αρχεία. Ο επιτιθέμενος έχει τώρα τα κρυπτογραφημένα δεδομένα για το δικό του υλικό και μπορεί να δοκιμάσει όσους κωδικούς πρόσβασης θέλει στον ελεύθερο χρόνο τους. Εάν έχουν πρόσβαση στα κρυπτογραφημένα δεδομένα, δεν υπάρχει κανένας τρόπος να αποφευχθεί η προσπάθειά τους να δοκιμάσουν μεγάλο αριθμό κωδικών πρόσβασης σε σύντομο χρονικό διάστημα. Ακόμη και αν χρησιμοποιείτε ισχυρή κρυπτογράφηση, είναι προς όφελός σας να διατηρείτε τα δεδομένα σας ασφαλή και να διασφαλίσετε ότι δεν μπορούν να έχουν πρόσβαση σε άλλα άτομα.
Hashing
Ισχυροί αλγόριθμοι κατακερματισμού μπορούν να επιβραδύνουν τις επιθέσεις βίαιων δυνάμεων. Ουσιαστικά, οι αλγόριθμοι κατακερματισμού εκτελούν πρόσθετη μαθηματική εργασία σε έναν κωδικό πρόσβασης πριν αποθηκεύσουν μια τιμή που προέρχεται από τον κωδικό πρόσβασης στο δίσκο. Εάν χρησιμοποιείται ένας αργότερος αλγόριθμος κατακερματισμού, θα απαιτηθεί χιλιάδες φορές περισσότερη μαθηματική εργασία για να δοκιμάσετε κάθε κωδικό πρόσβασης και να μειώσετε δραματικά τις επιθέσεις βίαιης δύναμης. Ωστόσο, όσο περισσότερο απαιτείται εργασία, τόσο περισσότερο χρειάζεται να κάνει ένας διακομιστής ή άλλος υπολογιστής κάθε φορά που ο χρήστης συνδέεται με τον κωδικό πρόσβασής του. Το λογισμικό πρέπει να εξισορροπήσει την ανθεκτικότητα έναντι των επιθέσεων βίαιης δύναμης με τη χρήση των πόρων.
Brute-Force Speed
Η ταχύτητα εξαρτάται από το υλικό. Οι οργανισμοί συλλογής πληροφοριών μπορούν να δημιουργήσουν εξειδικευμένο υλικό μόνο για βίαιες επιθέσεις, όπως ακριβώς οι ανθρακωρύχοι Bitcoin κατασκευάζουν το δικό τους εξειδικευμένο υλικό που βελτιστοποιείται για την εξόρυξη Bitcoin. Όταν πρόκειται για τον καταναλωτικό εξοπλισμό, ο πιο αποτελεσματικός τύπος υλικού για επιθέσεις βίαιης δύναμης είναι μια κάρτα γραφικών (GPU). Επειδή είναι εύκολο να δοκιμάσετε ταυτόχρονα πολλά διαφορετικά κλειδιά κρυπτογράφησης, πολλές κάρτες γραφικών που λειτουργούν παράλληλα είναι ιδανικές.
Στο τέλος του 2012, η Ars Technica ανέφερε ότι ένα σύμπλεγμα 25 GPU θα μπορούσε να σπάσει κάθε κωδικό πρόσβασης των Windows κάτω από 8 χαρακτήρες σε λιγότερο από έξι ώρες. Ο αλγόριθμος NTLM που χρησιμοποίησε η Microsoft δεν ήταν αρκετά ανθεκτικός. Ωστόσο, όταν δημιουργήθηκε το NTLM, θα χρειαζόταν πολύς χρόνος για να δοκιμάσετε όλους αυτούς τους κωδικούς πρόσβασης. Αυτό δεν θεωρήθηκε αρκετά απειλή για τη Microsoft να κάνει την κρυπτογράφηση ισχυρότερη.
Η ταχύτητα αυξάνεται και μέσα σε μερικές δεκαετίες μπορεί να ανακαλύψουμε ότι ακόμη και οι ισχυρότεροι κρυπτογραφικοί αλγόριθμοι και τα κλειδιά κρυπτογράφησης που χρησιμοποιούμε σήμερα μπορούν να ραγιστούν γρήγορα από κβαντικούς υπολογιστές ή οποιοδήποτε άλλο υλικό που χρησιμοποιούμε στο μέλλον.
Προστασία των δεδομένων σας από βίαιες επιθέσεις
Δεν υπάρχει τρόπος να προστατευθείτε εντελώς. Είναι αδύνατο να πούμε πόσο γρήγορα θα αποκτηθεί το υλικό του υπολογιστή και αν κάποιος από τους αλγόριθμους κρυπτογράφησης που χρησιμοποιούμε σήμερα έχει αδυναμίες που θα ανακαλυφθούν και θα αξιοποιηθούν στο μέλλον. Ωστόσο, εδώ είναι τα βασικά:
- Διατηρήστε τα κρυπτογραφημένα δεδομένα σας ασφαλή, όταν οι εισβολείς δεν μπορούν να έχουν πρόσβαση σε αυτά. Μόλις τα δεδομένα σας αντιγραφούν στο υλικό τους, μπορούν να δοκιμάσουν επιθέσεις βίαιης δύναμης εναντίον της κατά την αναψυχή τους.
- Εάν εκτελέσετε οποιαδήποτε υπηρεσία που δέχεται συνδέσεις μέσω του Διαδικτύου, βεβαιωθείτε ότι περιορίζει τις προσπάθειες σύνδεσης και εμποδίζει τα άτομα που επιχειρούν να συνδεθούν με πολλούς διαφορετικούς κωδικούς πρόσβασης σε σύντομο χρονικό διάστημα. Το λογισμικό διακομιστή είναι γενικά ρυθμισμένο να το κάνει αυτό έξω από το κουτί, καθώς είναι μια καλή πρακτική ασφάλειας.
- Χρησιμοποιήστε ισχυρούς αλγόριθμους κρυπτογράφησης, όπως το SHA-512. Βεβαιωθείτε ότι δεν χρησιμοποιείτε παλιούς αλγόριθμους κρυπτογράφησης με γνωστές αδυναμίες που είναι εύκολες στη δημιουργία ρωγμών.
- Χρησιμοποιήστε μακρούς, ασφαλείς κωδικούς πρόσβασης. Όλη η τεχνολογία κρυπτογράφησης στον κόσμο δεν πρόκειται να βοηθήσει αν χρησιμοποιείτε τον "κωδικό πρόσβασης" ή το δημοφιλές "hunter2".
Οι βίαιες επιθέσεις είναι κάτι που πρέπει να ανησυχείτε για την προστασία των δεδομένων σας, την επιλογή αλγορίθμων κρυπτογράφησης και την επιλογή κωδικών πρόσβασης. Είναι επίσης ένας λόγος για να συνεχίσουμε να αναπτύσσουμε ισχυρότερους αλγόριθμους κρυπτογράφησης - η κρυπτογράφηση πρέπει να συμβαδίζει με το πόσο γρήγορα καθίσταται αναποτελεσματική από νέο υλικό.
Image Credit: Ο Johan Larsson στο Flickr, ο Jeremy Gosney