מה זה מתקפת כוח ברוט brute force attack?

ישנן אלפי דרכים בהן האקרים לפרוץ למערכת שלכם – אך סביר יותר שתיתקלו בכמה מהן מאשר באחרות. האדם הממוצע לא יהיה קורבן למתקפת פריצה מורכבת ורב-שלבית. במקום זאת, אם מישהו פרץ לחשבון הדוא"ל שלכם, זה כנראה בזכות מתקפת כוח גס.

מתקפות Brute Force הן שיטה בדוקה ובדוקה לפיצוח סיסמאות ולקבלת גישה לא מורשית למערכות. אם זה לא נשמע מתוחכם במיוחד, ובכן, זה לא – אבל זה עובד היטב עם סיסמאות חלשות.

לכן, מומלץ להכיר כיצד פועלות מתקפות Brute Force וכיצד להתגונן מפניהן ביעילות. אסקור מהן מתקפות Brute Force ואת סוגי ההתקפות השונים, ואספק כמה טיפים לאבטחת החשבונות שלכם.

מה זה מתקפת כוח ברוט? 

מתקפת Brute Force היא שיטת פריצה הכוללת ניחוש שיטתי של צירופי תווים כדי לקבל גישה למערכת מוגנת בסיסמה.

בניגוד לצורות מתוחכמות יותר של מתקפות סייבר, מתקפות כוח ברוטלי אינן דורשות ידע טכני רב, ובמקום זאת מסתמכות על זמן וקנה מידה.

ברוב המקרים, ההבדל בין מתקפת כוח ברוט מוצלחת ללא מוצלחת הוא כוח המחשוב העצום הדרוש כדי לבדוק את כל הצירופים האפשריים.

התקפות Brute Force פועלות על ידי בדיקת כל שילוב אפשרי של קלט כדי בסופו של דבר "לפצח" את השילוב הנכון.

העיקרון פשוט, אבל בואו נסתכל על דוגמה.

קוד סודי בן ארבע ספרות מכיל 10,000 צירופים אפשריים (מ-0000 עד 9999). בעוד שניסיון ידני של כל צירוף אינו מעשי, הגדרת כלי אוטומטי לניסיון כל צירוף פירושה שבהנחה של זמן מספיק, ודאות שהוא ינחש את התשובה הנכונה.

מתקפות Brute Force אינן נדירות כלל. הן אידיאליות לתפיסת פירות נמוכים כאשר פושעי סייבר מנסים לפרוץ לחשבונות אישיים, מערכות ארגוניות או אפילו תשתיות קריטיות.

ברגע שהאקר מצליח לבצע מתקפת Brute Force, הוא עלול לגנוב מידע רגיש, להחדיר תוכנות זדוניות או אפילו לבצע הונאת זהות. עם גישה לסיסמאות, תוקף יכול לנוע לרוחב בתוך הרשת, ולקבל שליטה על מערכות מאובטחות אף יותר.

מתקפת Brute Force יכולה להתבצע על כל מערכת שמקבלת קלט משתמש, כולל כניסות לחשבונות, קבצים מוצפנים ואפילו נקודות גישה מרחוק. בעוד שהמטרה הנפוצה ביותר היא סיסמאות, ניתן ליישם את השיטה על כל צורה של אימות, כולל מפתחות API, גיבוב קריפטוגרפי וקודי PIN.

שיטה למתמטיקה
כל התקפות הכוח האכזרי הן בעצם בעיה מתמטית – אז בואו נסתכל על המתמטיקה שמאחורי חוזק הסיסמה. קוד גישה בן ארבע ספרות, כפי שהוזכר קודם לכן, מכיל מקסימום 10,000 צירופים ייחודיים. כל תו יכול להיות ספרה בין 0 ל-9, וישנן ארבע ספרות להזנה.

כדי לחשב את המספר הכולל של צירופים, לוקחים את התווים האפשריים (10) ומעלים אותם בחזקת אורך קוד הגישה (4). ארבע בחזקת עשר, זה 10,000. אם תנסו סיסמה אחת בשנייה, זה ייקח רק כשלוש שעות.

אם סיסמה כוללת אותיות קטנות וגדולות (26 תווים כל אחת) ומספרים (10 תווים), מרחב החיפוש מתרחב באופן דרמטי. עבור סיסמה בת 8 תווים, מספר הצירופים האפשריים יהיה 62^8, או מעל 218 טריליון. בניסיון אחד בשנייה, זה מיליוני שנים.

ככל שמרחב החיפוש גדל, מתקפות Brute Force הופכות גוזלות זמן רב יותר ויקרות יותר מבחינה חישובית. זו הסיבה שסיסמאות חזקות עובדות. ככל שסיסמה ארוכה יותר וככל שהיא יכולה לכלול מגוון גדול יותר של תווים, כך נדרשת יותר עבודה כדי לפרוץ אותה בפועל.

זו גם הסיבה שאחת מההגנות המרכזיות מפני מתקפות Brute Force היא יישום פסק זמן לאחר מספר ניסיונות התחברות כושלים. כן, זה מעצבן כשצריך לנסות שוב את הסיסמה אחרי כמה שניות כששכחת אותה, אבל זה מגדיל באופן דרסטי את הזמן הנדרש לביצוע מתקפה. 

לדוגמה, הכנסת עיכוב של 5 שניות לאחר כל שלושה ניסיונות שגויים יכולה להכפיל את הזמן שלוקח לנחש סיסמה בכמה שעות, ימים או אפילו שנים, תלוי בגודל שטח החיפוש הכולל.

התקפות Brute Force מבוססות אינטרנט הן די איטיות בגלל הגנות אלו. עם זאת, התקפות Brute Force יכולות להתרחש גם במצב לא מקוון. זהו מצב שבו תוקף גונב גרסה מגובבת של סיסמה, בדרך כלל על ידי פריצה לשרת, ומנסה לפרוץ אותה באופן מקומי. במקרים כאלה, אין פסקי זמן המוטלים על ידי המערכת, והתוקף מוגבל רק על ידי כוח החישוב שלו. זה הופך התקפות Brute Force במצב לא מקוון למסוכנות יותר מכיוון שהן מסירות שכבת הגנה קריטית.

סוגי התקפות כוח ברוט 

בהתחשב במספר העצום של צירופים אפשריים המעורבים במתקפות כוח ברוט, פושעי סייבר פיתחו וריאציות כדי לייעל את התהליך.

לכל שיטת פריצה באמצעות כוח ברוט יש גישה ספציפית משלה – אך כולן שואפות לחסוך זמן תוך כדי בדיקה שיטתית של סיסמאות.

מילוי פרטי גישה (Certificate stuffed)
כרוך בשימוש בזוגות שם משתמש וסיסמה ידועים מדליפות נתונים קודמות.

התוקף לא צריך לנחש את פרטי הגישה. במקום זאת, הוא "דוחף" פרטי גישה ידועים לדף הכניסה של אתר היעד, בתקווה שהיעד שלו השתמש בסיסמאות שוב ושוב בפלטפורמות מרובות.

החלק של "כוח ברוט" נובע מהעובדה שהתוקף לא יודע באילו אתרים המטרה השתמשה מחדש בפרטי הגישה שלה. במקום זאת, הם מנחשים ש, למשל, מישהו שהשתמש בקבוצת פרטי גישה מסוימת ב-Gmail יעשה בהן שימוש חוזר גם באינסטגרם, פייסבוק וכן הלאה.

מתקפת מילון
מתקפת מילון היא וריאציה של מתקפות כוח ברוט (brute force) שבה ההאקר משתמש ברשימה מורכבת מראש של סיסמאות פוטנציאליות.

רשימות אלו כוללות לעתים קרובות את הסיסמאות הנפוצות ביותר או סיסמאות שדלפו מפריצות קודמות. ההאקר בודק באופן שיטתי כל סיסמה ברשימה עד שהוא מוצא את הנכונה.

התקפות מילון הן למעשה חידוד של התקפות כוח ברוט (Brute Force) שחוסכות זמן על ידי ניסיון הסיסמאות שהסיכוי הסטטיסטי שלהן לעבוד ראשונות.

מתקפת כוח ברוט הפוכה
במתקפת כוח ברוט הפוכה, המכונה גם "ריסוס סיסמאות", ההאקר מתחיל עם סיסמה נפוצה (למשל, "123456" או "password") ומנסה אותה מול שמות משתמש מרובים.

גישה זו יעילה במיוחד בארגונים גדולים שבהם שירותים מסוימים עדיין עשויים להשתמש בסיסמה המוגדרת כברירת מחדל, או שבהם מדיניות הסיסמאות נאכפת באופן רופף בלבד.

מתקפה היברידית
מתקפה היברידית משלבת אלמנטים של כוח ברוטלי (brute force) ומתקפות מילון. התוקף מתחיל עם מילון של סיסמאות נפוצות ולאחר מכן משנה אותן על ידי ביצוע שינויים קטנים – כמו החלפת אותיות במספרים או הוספת סמלים.

לדוגמה, "password" יכול להפוך ל-"P@ssw0rd" או ל-"Passw0rd1".

סוג זה של התקפה הוא לרוב ממוקד יותר, ומתמקד במשתמשים שבהם להאקר כבר יש מידע מודיעיני כלשהו לגבי סוג הסיסמאות שהם עשויים להשתמש בהן.

כיצד למנוע התקפות כוח ברוט 

קשה למנוע לחלוטין התקפות Brute Force – אבל שמירה על נוהלי סיסמאות טובים מקשה הרבה יותר על הצלחתן.

הנה הטיפים המובילים שלי כדי להגביר את האבטחה של החשבונות שלכם.

• צור סיסמאות מורכבות: סיסמאות מורכבות הן קו ההגנה הראשון שלך מפני התקפות Brute Force. באמצעות שילוב של אותיות גדולות וקטנות, מספרים ותווים מיוחדים, אתה מגדיל את גודל מרחב החיפוש שתוקף חייב לנווט בו.
• הימנעו מסיסמאות נפוצות: לעולם אל תשתמשו בסיסמאות פשוטות. אלו הן הסיסמאות הראשונות שהאקרים ינסו בהתקפת כוח ברוט או מילון. הימנעו גם משימוש במידע אישי שקל לנחש, כגון שמות בני משפחה, קבוצות ספורט או שמות חיות מחמד, בסיסמאות שלכם, מכיוון שתוקפים עלולים להשתמש במידע זמין לציבור כדי לסייע בניחושיהם.
• אל תעשה שימוש חוזר בסיסמאות: שימוש חוזר בסיסמאות הוא הרגל מסוכן. אם תוקף יקבל גישה לאחד החשבונות שלך, הוא עלול להשתמש באותה סיסמה כדי להתחבר לחשבונות אחרים שלך. שימוש בסיסמאות ייחודיות לכל חשבון מבטיח שגם אם חשבון אחד נפרץ, חשבונות אחרים שלך יישארו מאובטחים.
• החלפת סיסמאות באופן קבוע: החלפת סיסמאות באופן קבוע היא אמצעי אבטחה חיוני. גם אם תוקף גונב סיסמה, שינוי תכוף שלה יכול להגביל את חלון הזמן שבו היא נשארת שימושית.
• השתמשו במנהל סיסמאות: מנהלי הסיסמאות הטובים ביותר כיום הם כלים שנועדו ליצור, לאחסן ולנהל סיסמאות חזקות וייחודיות עבור כל אחד מהחשבונות שלכם. הם מסירים את הנטל של הצורך לזכור עשרות סיסמאות מורכבות ומפחיתים את הפיתוי לעשות בהן שימוש חוזר. מנהלי סיסמאות רבים יכולים גם להתריע בפניכם אם האישורים שלכם נחשפו לפריצה.
• הפעלת אימות דו-גורמי: אימות דו-גורמי (או אימות רב-גורמי) מוסיף שכבת אבטחה נוספת לחשבונות שלך. גם אם תוקף יצליח לנחש את הסיסמה שלך, הוא עדיין יזדקק לגישה לצורת אימות שנייה, כגון קוד חד-פעמי שנשלח לטלפון שלך, על מנת לקבל גישה. זה מנטרל ביעילות התקפות Brute Force.