Kaba kuvvet(brute-force) saldırısı, sonunda doğrusunu bulma umuduyla deneme yanılma yönetimi kullanarak bir parola veya kullanıcı adını ele geçirme, gizli bir web sayfasını bulma ya da bir mesajı şifrelemek için kullanılan anahtarı arama girişimidir.
Parolanın kırılması, uzunluğuna ve karmaşıklığına bağlı olarak birkaç saniye veya birkaç yıl sürebilir. Hatta bazı korsanlar aylar, hatta yıllar boyunca her gün aynı sistemi hedef alır. Kaba kuvvet(brute-force) saldırısı, eski ancak hâlâ etkili ve korsanlar arasında oldukça popüler olan bir saldırı yöntemidir.
Brute Force Saldırılarında Kullanılan Araçlar
Belirli bir kullanıcının veya sitenin parolasını tahmin etmek uzun zaman alabilir. Bu nedenle korsanlar bu işi daha hızlı yapacak çeşitli araçlar geliştirmektelerdir.
Sözlükler en basit araçlardır. Bazı korsanlar, özel karakterler ve rakamlar ile eksiksiz sözlükleri ve ilave sözcükleri dener veya özel sözlükler kullanır ancak bu tür saldırılar zahmetlidir.
Standart bir saldırıda korsan bir hedef seçer ve bu kullanıcı adı için olası parolaları dener. Bunlar sözlük saldırıları olarak bilinir.
Adından da anlaşılacağı gibi ters kaba kuvvet saldırıları, internette bulunabilen sızdırılmış parolalar gibi bilinen bir parolayla başlayıp bir eşleşme bulana kadar milyonlarca kullanıcı adını tarayarak saldırı stratejisini tersine çevirir.
Ayrıca kaba kuvvet saldırılarında yardımcı olan Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng ve Rainbow adlı otomatik araçlar da bulunmaktadır. Çoğu, sözlükteki bir kelimeden oluşan parolaları bir saniye içinde bulabilir.
Bunun gibi araçlar, birçok bilgisayar protokolünü (FTP, MySQL, SMPT ve Telnet) engeller ve korsanların kablosuz modemlerin parolalarını kırmalarını, zayıf parolaları tespit etmelerini, şifrelenmiş depolama alanındaki parolaları bulmalarını ve sözcükleri özel karakterlerle yeniden düzenlemelerini (“banasaldırma” yerine “b@n@s@ldırm@”) sağlayarak tüm olası karakter kombinasyonlarını deneyip sözlük saldırıları gerçekleştirebilmelerine yardımcı olur.
Bazı araçlar, parolaları uzun, aynı karakter sayısında harf ve rakamlara çevirmek için kullanılan, algoritmaya dayalı şifreleme yöntemi olan bilinen karma işlevlerinin giriş ve çıkışları için önceden işlenmiş gökkuşağı tablolarını tarar.
GPU ile Parolalar 250 Kat Daha Hızlı Kırılır
CPU ile grafik işleme birimini (GPU) bir araya getirmek, GPU’daki binlerce bilgi işlem çekirdeğini işleme ekleyerek bilgi işlem gücünü hızlandırır. Aynı zamanda sistemin eş zamanlı olarak birden fazla görevi yerine getirmesini sağlar.
GPU işlemesi; analiz, mühendislik ve diğer bilgi işlem bakımından yoğun uygulamalar için kullanılır ve parolaları bir CPU’nun tek başına yapabileceğinden 250 kat daha hızlı kırabilir.
Net bir çerçeve çizmemiz gerekirse rakam içeren altı karakterli bir parolanın yaklaşık 2 milyar kombinasyon olasılığı vardır. Böyle bir parolayı, saniyede 30 parola deneyen güçlü bir CPU ile kırmak iki yıldan uzun bir zaman alır. Tek bir güçlü GPU kartı eklendiğinde aynı bilgisayar saniyede 7100 parola dener ve parolayı 3,5 günde kırar.
Parolalarınızı Nasıl Güvene Alırsınız?
Kaba kuvvet saldırılarının başarıya ulaşmasını engellemenin ilk kuralı, sistemlerdeki parolaların mümkün olan en yüksek oranda (örneğin 256 bit şifreleme) şifrelendiğinden emin olmaktır. Şifreleme düzeninde ne kadar çok bit varsa parolayı kırmak o kadar zor olacaktır.
Saldırıları engellemenin bir diğer önemli kuralı ise, parolayı daha karmaşık hale getirmektir. Bu işlem, parolanın kendisine denk gelen harf ve rakamlar dizisine, tahmin edilmesi zor eklemeler yaparak parolayı rastgele bir hale dönüştürerek yapılır.
Yeni oluşturulan bu parola dizisi, ayrı bir veri tabanında saklanmalı ve karmaşık hale getirilmeden önce alınıp parolaya eklenmelidir. Bu sayede, aynı parolaya sahip olan kullanıcıların farklı karmaları olur. Ayrıca yöneticilerin iki aşamalı kimlik doğrulaması yapması ve kaba kuvvet saldırılarını algılayan bir izinsiz giriş algılama sistemi yüklemesi gerekebilir.
Parola deneme sayısının sınırlandırılması kaba kuvvet saldırılarına karşı hassasiyeti azaltır.
Örneğin, üç denemede doğru parolayı giremeyen kullanıcının birkaç dakika boyunca giriş yapamaması ciddi gecikmelere neden olabilir ve korsanların daha kolay hedeflere yönelmesini sağlayabilir.
Kullanıcılar Parolalarını Nasıl Güçlendirebilir?
Kullanıcılar mümkünse semboller veya rakamlar içeren 10 karakterli bir parola seçmelidir. Böylece olasılıkların sayısını 171,3 kentilyona (1,71 x 1020) çıkarmış olursunuz.
Bir süper bilgisayarın bu parolayı kırması birkaç hafta sürebilir ancak saniyede 10,3 milyar karma deneyen bir GPU işlemcisi kullanıldığında parolanın kırılması yaklaşık 526 yıl sürecektir.
Tüm siteler bu kadar uzun parolaları kabul etmez ancak bu da, kullanıcıların tek bir kelime yerine karmaşık parolalar seçmesi gerektiği anlamına gelir.
Yaygın parolalardan kaçınmak ve parolaları sık sık değiştirmek önemlidir.
Kullanıcılar, ziyaret ettikleri tüm siteler için aşırı uzun ve karmaşık parolalar oluşturabilir, bunları güvenli bir şekilde saklayabilirler ve yalnızca parola yöneticisi için tek bir parolayı hatırlamaları gerekir.
İlk yorum yapan olun