Брутфорс атака – (с англ. brute force) метод подбора пароля, путем поочередного перебора возможных комбинаций. Обычно брутфорс производится массово, «наудачу», с использованием стандартных комбинаций логинов (admin, administrator) и паролей (осмысленные словосочетания, словари).
Чтобы предотвратить возможность подбора пароля можно использовать двухфакторную авторизацию (логин-пароль + смс) или ограничить доступ с определенных IP-адресов.
Защита пароля от брутфорса
Для того чтобы усложнить подбор пароля к админке сайта методом брутфорса, требуется:
- Не использовать стандартные логины;
- Не оставлять логин-пароль по умолчанию (в некоторых CMS такое встречается);
- Переместить администраторскую панель в другую директорию;
- Запретить авторизацию после нескольких неудачных попыток;
- Защита путем доступа к админке только с определенного IP-адреса;
- Использовать длинный пароль, содержащий буквы, цифры, спецсимволы.
iPipe – надёжный хостинг-провайдер с опытом работы более 15 лет.
Брутфорс | Виды взлома
- Виртуальные серверы с NVMe SSD дисками от 299 руб/мес
- Безлимитный хостинг на SSD дисках от 142 руб/мес
- Выделенные серверы в наличии и под заказ
- Регистрацию доменов в более 350 зонах
Источник: ipipe.ru
Как защитить от брутфос-атак корпоративные системы и личные аккаунты
Брутфорсу столько же лет, сколько паролям. Он появился, когда первый хакер попытался получить доступ к запароленной информации, перебирая комбинации символов. Метод простой, но действенный. С его помощью злоумышленники подбирают правильное имя пользователя, находят ключ шифрования, «угадывают» пароль для входа в систему.
Брутфорс — калька с английского brute force. Буквальный перевод означает «грубую силу», хотя на самом деле перебор вручную взломщики давно не используют. Напротив, у технологии есть изящные комбинации и довольно сложные вариации:
1. Классическая брутфорс-атака для простых паролей. Работает на утилитах для перебора паролей. Программы перебирают по нескольку сотен комбинаций за секунду, так что для поиска восьмизначного пароля, основанного только на буквах нижнего регистра латинского алфавита, могут перепробовать до 200 млд. комбинаций.
2. Подстановка личных данных. Метод может работать как перебор комбинаций по словарю или как подстановка учетных данных в другие аккаунты пользователя. В любом случае, основой для такого взлома становятся «слитые» в сеть или украденные базы данных.
3. Гибридный брутфорс-взлом. Атака строится на принципе перебора паролей по «маске», когда цифровые значения подставляются в начало и в конец.
4. Индивидуальный взлом. Метод основан на комбинации социальной инженерии и классической брутфорс-атаки. Сначала злоумышленник получает максимум доступной информации о пользователе (знаковые даты, важные имена, личные данные), потом на ее основе подбирает комбинацию из логина/пароля. Метод не используется для массового взлома, но очень эффективен для получения доступа к критически важной информации.
Как узнать пароль от WiFi, ВКОНТАКТЕ и не только
В качестве иллюстрации отлично подходит сцена вскрытия сейфа в фильме «Крепкий орешек». Так на одном из первых этапов взлома хакер получает доступ к личному делу председателя инвестиционной группы Nakatomi, находит в нем название авианосца, на котором тот служил, и вводит его в качестве пароля для доступа к хранилищу.
- Брут-чек. Это метод «охоты» на пароли пользователя в разных сервисах. Получив доступ к электронной почте, злоумышленник подключает программу поиска писем с паролями от разных сайтов или служб, копирует логины/пароли и становится обладателем информации для доступа ко всем аккаунтам.
- Брутфорс через ботнет-сеть. Для генерации миллионов вариантов паролей нужны большие вычислительные мощности. Для этого хакер создает ботнет-сеть из зараженных компьютеров, и использует их мощности для классической брутфорс-атаки.
Способы защиты от брутфорса
К сожалению, нет такого метода защиты, который обезопасил бы систему от всех вариантов брутфорса сразу. Как и везде в сфере информационной безопасности, самая надежная защита — комплексная:
- генерировать длинные сложные пароли из цифр, букв нижнего и верхнего регистра, спецсимволов,
- составлять уникальные комбинации символов для каждого аккаунта,
- менять пароли с четко регламентированной регулярностью,
- ограничить попытки ввода логин/пароля для одного аккаунта,
- запретить использование в паролях личной информации или дублирование логина,
- подключить двухфакторную аутентификацию.
Какую-то часть защитных мер компания может реализовать на техническом уровне. Например, настроить двухфакторную авторизацию для доступа к информационным системам. Остальные — результат соблюдения правил цифровой гигиены. Следуя им, можно свести к минимуму риск успешной брутфорс-атаки и на корпоративные информационные системы, и на личные аккаунты.
Источник: nubes.ru
Брутфорс (brute force) под современные условия защиты
Брутфорс (brute force) — метод «грубой силы» перебора всех паролей к логину во всевозможных вариантах. Сложность задачи перебора методом «грубой силы» (brute force) заключается в количестве всех возможных вариантов решения задачи. Если спектр решений очень большой, то перебор методом «грубой силы» (brute force) может не дать никаких результатов в течение многих лет или даже столетий.
Мало того, перебор методом «грубой силы» (brute force) при помощи «брутфорсов», которые в сети предлагаются на каждом шагу, не даст вовсе никаких результатов. Любой «брутфорс» валяющийся в сети Интернет не больше чем обычный мусор (хлам).
Возможно все эти «брутфорсы» (brute force) были бы актуальны лет 5-10 назад но, в современных условиях это просто мусор захламляющий трафик! Перебор методом «грубой силы» (brute force) при помощи «брутфорса» даже правильно написанного под современные условия защиты может занять довольно длительное время от нескольких дней до столетий и тысячелетий! Например в следующей таблице представлено оценочное время полного перебора паролей в зависимости от их длины. Предполагается, что в пароле могут использоваться 36 различных символов (латинские буквы одного регистра + цифры), а скорость перебора составляет 100 000 паролей в секунду.
——————————————————— Кол-во знаков Кол-во вариантов Время перебора ——————————————————— 1 36 менее секунды 2 1296 менее секунды 3 46 656 менее секунды 4 1 679 616 17 секунд 5 60 466 176 10 минут 6 2 176 782 336 6 часов 7 78 364 164 096 9 дней 8 2,821 109 9×1012 11 месяцев 9 1,015 599 5×1014 32 года 10 3,656 158 4×1015 1 162 года 11 1,316 217 0x1017 41 823 года 12 4,738 381 3×1018 1 505 615 лет
Латинские буквы одного регистра + цифры, а скорость перебора составляет 100 000 паролей в секунду это немыслимая скорость для перебора паролей к сайтам! А если буквы различного регистра + цифры + символы. короче перебор методом «грубой силы» (brute force) при помощи «брутфорса» даже правильно написанного под современные условия защиты — это практически не реально.
Хочу повторится, что все ныне заполонившие Интернет «брутфорсы» это обычный мусор. И если ты начинающий пакостник (гавнюк) желающий что то где то поломать, то не утруждай себя тупым использованием всего этого мусора имхо порожняк всё это! В поиске гугля введи » брутфорсы скачать » и ты получишь кучу этого мусора » Программы » Хакерские » Брутфорсы » и прочего отстоя. Все эти так званые » Программы » Хакерские » появляются во всеобщем доступе только тогда когда они теряют актуальность и перестают приносить пользу автору их написавшему. Настоящие «Программы » Хакерские» это в первую очередь голова, прямые руки и вспомогательные проги типа командной строки, сканера портов, снифер стека TCP/IP .. Но мы не будем тут расписывать весь хакерский арсенал, а сосредоточимся на построении логики работы «брутфорса» (brute force) в современных условия защиты веб сайтов и почтовых серверов, что чаще всего является целью для взлома.
Брутфорс (brute force) для взлома веб-сайта
Примером таких «брутфорсов» (brute force) могут быть «Brutus AET2», «WBF.Gold», «Web Brute Forcer» и прочий отстой. Несмотря на то, что у всех у них есть возможность манипулировать полями в том числе и полями кукишей и возможно для взлома каких то говно-сайтов они и подойдут но для для взлома современных сайтов все эти «брутфорсы» (brute force) просто мусор, потому как они не учитывают «Token» который генерируется отдельно для каждого клиента/браузера и используется совместно с кукишами (COOKIE) на протяжении всей сессии. Так например выглядит форма авторизации в системе управления контентом ( CMS ) Joomla:
- При запуске «брутфорса» (brute force) он должен запросить адрес страницы с атакуемой формой, например: http://masite.com/administrator/index.php, а также запросить имя и идентификатор атакуемой формы (name=»login» или ), потому как на указанной странице форма может быть не одна;
- После нажатия на клавишу «Продолжить» наш «брутфорс» (brute force) обязан получить атакуемую веб страницу вместе с кукишами, вычленить из неё нашу форму авторизации и определить в ней значения всех скрытых полей, после чего предложить нам заполнить поля типа type=»text» и type=»password» предварительно подсвечивая их имена name=»?» ;
- Выбрав логин для атаки и файл с паролями нажимает на клавишу старт, после чего начинается перебор паролей с отправкой всех полей и их значений, значения полей должны повторно проверятся после каждой неудачной попытки входа за исключением логина.
В идеале наш «брутфорс» (brute force) также обязан понимать «каптчу» ( CAPTCHA ) ибо на некоторых сайтах, например https://mail.google.com/mail/, ответ на «каптчу» ( CAPTCHA ) требуется после 3-х неудачных попыток входа в акаунт!
Форма авторизации «https://mail.google.com/mail/» без «каптчи» ( CAPTCHA ):
Форма авторизации «https://mail.google.com/mail/» с «каптчей» ( CAPTCHA ):
Как видим логика работы «брутфорса» (brute force), который может дать желаемый результат в современных условиях защиты веб сайтов, далека от той которая реализована «брутфорсах» (brute force) массово распространяющихся в сети Интернет!
Брутфорс (brute force) для взлома E-Mail
C «брутфорсами» (brute force) для взлома E-Mail почти та же история, что и с «брутфорсами» (brute force) для веб сайтов лишь с тем различием, что вместо «Token» и кукишей (COOKIE) нужно учитывать лимит на неудачные попытки авторизации через POP3 или IMAP , после превышения которого следует БАН на определённый период времени — на mail.ru после 3-х неудачных попыток авторизации БАН на 15-20 минут.
Логику работы «брутфорса» (brute force) для взлома E-Mail можно оставить неизменной от той, которая реализована в ныне существующих и свободно доступных в сети Интернет за тем лишь исключением, что в неё нужно добавить учёт лимита на не успешные попытки авторизации, после превышения которого следует использовать определяемую пользователем паузу — на mail.ru после 3-х неудачных попыток авторизации это 15-20 минут.!
Заключение
В заключении подытожим, что на сегодняшний день в сети Интернет нет ни одного свободно распространяемого «брутфорса» (brute force), который мог бы дать желаемый результат в современных условиях защиты сайтов и почтовых серверов!
На сегодняшний день все свободно распространяемые в сети Интернет «брутфорсы» (brute force) — это просто исторический шлак (мусор), а люди пытающиеся ими пользоваться просто глупцы но, не смотря на это многие продолжают тупо публиковать такие «брутфорсы» в сети Интернет и безрезультатно пользоваться ими!
В современных условиях защиты сайтов и почтовых серверов вся многопоточность любых «брутфорсов» (brute force), как ныне существующих так и будущих, сводится на НЕТ! А в «брутфорсах» (brute force) даже с правильно построенной логикой работы следует использовать интеллектуально и индивидуально подобранные словари паролей в каждом отдельно взятом случае и питать надежду на то, что в ближайшие пару лет таки удастся подобрать вожделенный пароль!;)
Меня нет ни в Инстаграмме ни в Фейсбуке, я просто хожу по улицам и рассказываю первым встречным: сколько зарабатываю; с кем дружу; где живу и чем дышу. У меня даже появилось несколько подписчиков: ПСИХоЛОХ и участковый полицай!
Ещё статьи автора
- «Awaiting seller dispatch» посылки с Алиэкспресс
- Перехват и модификация HTTP POST (GET) запросов с помощью mitmproxy
- E-Могилизация славянского быдла. «Искусство падения» (мульт)
- Петлевая зацикленная загрузка webdav кэша при монтировании диска
- «BLUE BEAM» — нашествие инопланетян и второе «Пришествие Иисуса, Мухаммеда, Будды, Кришны»
Нет комментариев
Вы можете стать первым, кто добавит комментарий к этой записи.
Добавить комментарий
- Мессаги исключительно рекламного содержания, либо содержащие только одни оценочные суждения типа «круто» («отлично», «спасибо», «автор дебил» и т.п.) не публикуются;
- Злостным спамерам, пранкерам и прочей сетевой нечисти рекомендуем напрасно не тратить своего времени и удовлетворять свои больные фантазии на специализированных Интернет ресурсах!;
- Разумная обоснованная критика, замечания, дополнения приветствуются. Поля помеченные символом * обязательны к заполнению.
Похожие записи
- В Москве задержаны хакеры блокировавшие Apple-устройства
- Иранские мошенники создали поддельное СМИ как часть хакерской кампании
- Не работает fail2ban после обновления
- Отчет HP по информационной безопасности за 2013 год
- Вспомни пароль от флэшки или получи четыре месяца тюряги
- fail2ban — Защита сервера от брутфорс атак на базовую HTTP авторизацию и другие сервисы
- АНБ в режиме реального времени прослушивает каналы между дата-центрами Yahoo! и Google
- Украинские гос. сайты подверглись успешным кибератакам в рамках учений НАТО «Steadfast Jazz – 2013»
- Начат конкурс HackerOne при поддержке Microsoft и Facebook
- Хакеры взломали сервер МАГАТЭ
- Способы и примеры DDOS атак — Операція відплата за EX.ua 🙂
- OpenBSD, бэкдор (backdoor) и ФБР — истина где-то рядом
- Химические предприятия под прицелом киберпреступников
- Фишеры охотятся на пользователей ‘В Контакте’ посредством видеороликов
- Мифы о взломе электронной почты
Новое в блоге
- «Awaiting seller dispatch» посылки с Алиэкспресс
- Перехват и модификация HTTP POST (GET) запросов с помощью mitmproxy
- E-Могилизация славянского быдла. «Искусство падения» (мульт)
- Та не робот я!
- Петлевая зацикленная загрузка webdav кэша при монтировании диска
Комментарии в блоге
цену посылки то они специально занижают шоб на налогах экономить, выгодно обоим сторонам, а что фуфло парят, та кто бывает — просто наебизнес .
костыль же высокоточный, под конкретную цель, а не универсальный. ip route flush default можно попробовать удалить, может и лишнее в некоторых .
Костыль 1 — если на машине две сети и подключена только wlan0, а проводная enp1s0 специально отключена, то wlan0 отвалится после строчки ip route flush .
:hang: вот для чего сатанисты под видом тестов на барановирус в ноздрях ковыряли — ДНК собирали, чтобы потом утилизируя кучи трупов можно было определить .
оно ещё в марте-апреле как-то странно глюкало, с укр.ИП-адресов не пускало выдавая неизвестную ошибку, а через офшорные ИП заходи пожалуйста — украм .
Новое на форуме
- VMware сильно грузит хостовый HDD
- вероятно ответ малость запоздал. смотреть в диспетчере задач виндоса, сортирнуть.
Источник: itmag.pro