אין סיסמה שהיא חזקה מספיק. מהן מתקפות Brute Force?
מאת: מערכת Telecom News, 13.4.23, 15:13
 
אילו וכמה תווים יש לסיסמאות שפוצחו ע"י מתקפות brute force? מהן 5 דרכי הפעולה במתקפות הללו? איך עסקים, המשתמש הפרטי ועובדי ארגונים יכולים להתגונן מפני התקפות Brute force?

עדכון מ-22.5.23 בתחתית הכתבה.
 
כאשר אנו מנסים להגן על הנתונים שלנו מפני פושעי סייבר, יש הגנה אחת שכולנו משתמשים בה: סיסמה. שמירה על מידע אישי, פרטי חשבון בנק וקבצים שונים מוגנים לרוב ע"י סיסמאות. סיסמה היא מפתח, שפושעי הסייבר רוצים להשיג - והתקפות brute force מסייעות להם להשיג אותן. שמירה על היגיינת סיסמאות נכונה יכולה להיות משימה לא פשוטה בעידן הדיגיטלי בו אנו חיים.
 
חברת אבטחת המידע ESET מסבירה מהי מתקפת brute force ומסתבר שכולנו מכירים אותה ממש ממזמן.
 
על פי מחקר של Specops מ-2020:

·        48% מהנסקרים מחזיקים בממוצע 11 סיסמאות שונות בעבודה.
·        רק ל-1.57% יש סיסמה קשיחה המורכבת מאותיות גדולות, אותיות קטנות, ספרות וסימנים מיוחדים.
·        54% שומרים את הסיסמאות שלהם בצורה לא בטוחה. כותבים על נייר, או פתק, שומרים בקובץ במחשב או משתמשים בווריאציות שונות לאותה סיסמה.
 
עבור פושעי סייבר, פרטי ההתחברות הם מצרך יקר ומשתלם - וחברות מודעות לכך היטב. כדי להגן על הפרטיות של המשתמשים, יש לשאוף ללא הרף להפוך את האבטחה לקשיחה יותר, למשל, ע"י דרישת סיסמאות מורכבות מהעובדים.
 
ובכל זאת, חלק מהעובדים מזלזלים בפושעי סייבר ומאמינים, שאם הם לא משתמשים בסיסמאות קצרות וקלות לפריצה כמו 123456, הסיסמאות שלהם מספיק בטוחות והם בטוחים מאיומים.
 
זה לא יכול להיות יותר רחוק מהאמת. בהתקפות brute force, פושעי סייבר מנסים לנחש או להשיג פרטי התחברות של המשתמשים ולקבל גישה לחשבונותיהם - וכפי שמוצג מהסטטיסטיקה, במקרים רבים, כשהתוקפים מצליחים לפרוץ, נעשה שימוש גם בסיסמאות מורכבות.
 
אילו וכמה תווים יש לסיסמאות שפוצחו ע"י מתקפות brute force?

·        93% מהסיסמאות שפוצחו היו בעלות 8 תווים ומעלה,
·        41% מהסיסמאות שפוצחו היו בעלות 12 תווים ומעלה,
·        68% מהסיסמאות שפוצחו הכילו לפחות 2 סוגים של תווים.
 
כפי שהמספרים מראים, האקרים מודעים להתפתחויות באבטחת סיסמאות ומתאימים בקלות את הטקטיקות שלהם כדי להשיג הצלחה. האיום של התקפות מסוג זה יכול לבוא בצורות רבות - בואו נכיר אותן טוב יותר.
 
מהי מתקפת Brute force?
במתקפה זו, הפורצים מנסים לגלות את הסיסמה באמצעות מעבר שיטתי על אפשרויות רבות של סיסמאות. הם עלולים, למשל, לבדוק את שילובי הסיסמאות הנפוצים ביותר או להשתמש במידע הנגיש באינטרנט, למשל, במדיה החברתית של הקורבן.
 
למתקפה הזו קיימות דרכי פעולה שונות:
 
מתקפות ריסוס סיסמאות
במהלך התקפות ריסוס סיסמאות, האקרים משתמשים ברשימה של הסיסמאות וביטויי הסיסמה השכיחים ביותר, וע"י שימוש בתוכנה ייעודית, הם בודקים את אותה הסיסמה בחשבונות רבים ושונים. מתקפה אחת עלולה להשיג להאקרים גישה לעשרות או אפילו מאות חשבונות שונים.
 
התקפת מילון (Dictionary)
האקרים מנסים שילובים ווריאציות שונות של מילים נפוצות במהלך התקפת מילון. ההתקפות לרוב אינן מבוצעות באופן ידני - האקרים משתמשים לרוב בתוכנה העובדת עם רשימות סיסמאות נפוצות ומילונים נרחבים (כפי שמרמז שם המתקפה) ומכניסה את שילובי הסיסמאות הרבים האפשריים למערכת הנבחרת.
 
מילוי פרטי התחברות
אם תוקף מחזיק ברשימה של פרטי התחברות שדלפו מאתר מסוים, הוא עלול להשתמש בתוכנה מיוחדת כדי להזין שילובים של שם משתמש וסיסמה באתרים רבים. במקרה שהמשתמש המושפע משתמש באותם פרטי ההתחברות עבור מספר אתרים שונים - וזו, למרבה הצער, עדיין טעות נפוצה - הפושעים עלולים לקבל גישה למספר חשבונות עם שילוב אחד בלבד של פרטי ההתחברות.
 
מתקפות Brute force הפוכות
לפעמים, לפושעי רשת כבר יש את הסיסמה - כל מה שהם צריכים לעשות הוא למצוא את המשתמש הנכון. באמצעות רשימות הסיסמאות, שהודלפו בפרצות נתונים קודמות, ההאקרים עלולים לחפש פלטפורמות ומסדי נתונים שונים, ולנסות את פרטי ההתחברות שנפגעו בחשבונות שונים.
 
מתקפות Brute force היברדיות
התקפות אלו משלבות את טכניקות ההתקפה, שתוארו לעיל. בד"כ, האקרים בוחרים במתקפת מילון בשילוב עם מתקפת  brute forceהקלאסית. בניסיון לפרוץ לחשבונות שונים – בד"כ כבר מכירים את שמות המשתמש - הם משתמשים במילים וביטויים נפוצים בשילוב עם קבוצה של אותיות או מספרים, שעשויים להיות אקראיים או מבוססים על מחקרים קודמים על הקורבנות.
 
איך להתגונן מפני התקפות Brute force?
 
עבור המשתמש הפרטי או עובדי ארגונים, האמצעי העיקרי, שהם צריכים לדבוק בו, הוא הקפדה על היגיינת סיסמאות נאותה. זה עשוי להיות מורכב משימוש בסיסמה ייחודית עבור כל חשבון, בחירה בביטויי סיסמה ארוכים יותר המכילים תווים שונים, ושימוש במנהל סיסמאות אמין כדי לאחסן את פרטי ההתחברות שלהם. שימוש באימות רב-שלבי (MFA) הוא גם בגדר חובה. הודות ל-MFA, גם אם שם המשתמש והסיסמה נחשפו או דלפו, יהיה להאקרים יותר קשה לגשת לנתונים באופן מידי.
 
עבור עסקים: ניתן לשקול שימוש ב-CAPTCHA כדי למנוע מהתקפותbrute force  לאפשר גישה למערכות הארגון. כ"כ, מומלץ לשנות את ביטויי הסיסמה מעת לעת. לבסוף, חשוב להגדיר מדיניות סיסמאות מאובטחת ולשפר עוד יותר את בטיחות העובדים והארגון ע"י ניטור אקטיבי של הפעילות המתרחשת בפלטפורמות ובמערכות הארגון. הקפדה על נהלים בטוחים ושמירה על ערנות מונעת ומצמצמת את הסיכונים.

עדכון 22.5.23: טלפונים מסוג אנדרואיד פגיעים ע"י מתקפות :brute-force באתר Bleeping computer דווח, שחוקרים ממעבדות טנסנט ואוניברסיטת זג'יאנג הציגו מתקפה חדשה בשם 'BrutePrint', שכופה טביעות אצבע על סמארטפונים כדי לעקוף את אימות המשתמש ולהשתלט על המכשיר.
 
 
החוקרים הסינים הצליחו להתגבר על אמצעי הגנה קיימים על סמארטפונים, כמו הגבלה של כמו ניסיונות והגנות מפני מתקפות brute-force, ע"י ניצול מה שלטענתם הוא 2 חולשות zero-day אותן הם כינו Cancel-After-Match-Fail (CAMF) ו-Match-After-Lock (MAL).
 
מחברי המאמר הטכני שפורסם באתר Arxiv.org מצאו גם, כי שנתונים ביומטריים על חיישני טביעת האצבע (SPI) היו מוגנים בצורה לא מספקת, מה שמאפשר מתקפה של אדם באמצע (MITM) לחטיפת תמונות טביעות אצבע.
 
מתקפות מהסוג הזה נבדקו מול 10 דגמי סמארטפונים פופולריים, והצליחו להשיג ניסיונות בלתי מוגבלים בכל מכשירי Android ו- HarmonyOS ועשרה ניסיונות נוספים במכשירי iOS.
 
תגובת חברת ESET: "ממצאים אלה נשמעים מדאיגים במבט ראשון. אך במבט מעמיק יותר, ייתכן שהאיום לא יהיה משמעותי כפי שהוצע. בראש ובראשונה, הפגם הזה מתועד כעת בפומבי וניתן לתקן אותו. שנית, לתוקפים יש הרבה תנאים מוקדמים שצריך לעמוד בהם - חומרה ישנה, גרסאות אנדרואיד ישנות, אבל גם גישה פיזית למכשיר של הקורבן.
 
יהיה בטוח לומר, שעבור המשתמשים הממוצעים, התקפות מסוג זה מהוות איום ברמה נמוכה. אם הפגמים האלה לא תוקנו כבר ע"י החומרה והתוכנה הנוכחיים, סביר להניח שהם יטופלו בעדכונים עתידיים".