Brute Force چیست و چگونه پیاده‌سازی می‌شود؟

حمله جست‌وجوی فراگیر چیست؟

حمله جست‌وجوی فراگیر، بردار حمله‌ای است که در آن تمامی حالت‌های ممکن برای یک گذرواژه تا زمان پیدا کردن گذرواژه صحیح آزمایش می‌شوند. آمارها نشان می‌دهند بخش عمده‌ای از نفوذهای اطلاعاتی به سامانه‌ها یا حساب‌های کاربری به واسطه حمله جست‌وجوی فراگیر انجام می‌شوند، زیرا این مکانیزم حمله ساده است و قابلیت اطمینان زیادی دارد. به‌طور معمول، هکرها از ابزارهای آماده‌ای استفاده می‌کنند تا ترکیب‌های مختلفی از نام‌های کاربری و گذرواژه‌ها را تا رسیدن به ترکیب درست آزمایش کنند. بهترین مکانیزم مقابله، شناسایی و خنثا کردن یک حمله جست‌وجوی فراگیر در زمان انجام آن است، زیرا هنگامی که هکرها به شبکه اطلاعاتی دسترسی پیدا کنند، عملیات دفاع سخت‌تر و پیچیده‌تر خواهد شد. هرچه اندازه گذرواژه‌ای طولانی‌تر باشد، زمان انجام آزمایش برای پیدا کردن حالت‌های ممکن و ترکیب‌های بیشتر طولانی‌تر می‌شود. بر همین اساس، حمله‌های جست‌وجوی فراگیر زمان‌بر هستند. علاوه بر این، پیاده‌سازی این حمله تنها در صورتی موفقیت‌آمیز خواهد بود که سازمان یا کاربر خانگی از تکنیک پنهان‌سازی داده‌ها (Data Masking) استفاده نکرده باشد، زیرا در این حالت پیاده‌سازی موفقیت‌آمیز حمله تقریبا غیرممکن است. در نتیجه اگر از گذرواژه‌ ضعیفی برای حساب‌های کاربری یا سازمانی استفاده کنید، هکرها در مدت زمان کوتاه و گاهی اوقات چند ثانیه قادر به شناسایی گذرواژه هستند. رمزگشایی گذرواژه‌های ضعیف برای هکرها کار چندان سختی نیست و شبیه به صید ماهی از یک حوض آب است، به همین دلیل است که کارشناسان امنیتی خط‌مشی‌های سخت‌گیرانه‌ای را برای انتخاب گذرواژه‌های قوی برای کاربران سازمانی تدوین می‌کنند.

حمله جست‌وجوی فراگیر به انرژی و زمان قابل توجهی نیاز دارد

برای هر الگوی رمزنگاری می‌توان زمان لازم برای آزمودن تمامی حالات ممکن برای یک کلید را محاسبه کرد. به‌طور معمول الگوهای رمزنگاری به گونه‌ای طراحی می‌شوند که آزمودن تمامی حالات ممکن در یک زمان قابل قبول غیرممکن یا غیرمؤثر باشد. به‌طور معمول نرم‌افزارها پس از چند بار وارد کردن گذرواژه نادرست حساب کاربر را مسدود نموده یا در فرایند اعتبارسنجی تاخیر زمانی ایجاد می‌کنند تا از آزمودن دیگر حالات جلوگیری شود. در برخی موارد کلمات یک واژه‌نامه به عنوان حالات ممکن برای شکستن گذرواژه مورد آزمایش قرار می‌گیرند که به آن حمله واژه‌نامه‌ای گویند، زیرا احتمال گزینش کلمات با معنی توسط کاربران برای گذرواژه بیش از احتمال انتخاب کلمات فاقد معنی است. حمله جست‌وجوی فراگیر با محاسبه و آزمایش تمامی حالت‌های ممکن که می‌تواند یک گذرواژه را تشکیل دهند کار می‌کند. با افزایش طول گذرواژه زمان پیدا کردن گذرواژه به طور میانگین به صورت نمایی زیاد می‌شود. منابع مورد نیاز (پردازنده مرکزی و گرافیکی) برای یک حمله جست‌وجوی فراگیر با افزایش طول کلید به صورت نمایی (و نه خطی) افزایش می‌یابد. به همین دلیل است که امروزه الگوریتم‌های متقارن مدرن از کلید‌های ۱۲۸ تا ۲۵۶ بیتی استفاده می‌کنند تا شانس هکرها برای شکستن گذرواژه‌ها را سخت‌تر کنند. اکنون اجازه دهید کمی از قوانین دنیای فیزیک برای محاسبه انجام این حمله استفاده کنیم. 

طبق یک استدلال فیزیکی، کلید‌های ۱۲۸ بیتی متقارن به لحاظ محاسباتی در برابر حمله جست‌وجوی فراگیر امن هستند. اصل حد لانداوه بر پایه قوانین فیزیک بیان می‌کند که برای پاک کردن هر بیت از اطلاعات حد پایین انرژی مورد نیاز از فرمول kT*Ln2 به دست می آید که  T دمای دستگاه محاسباتی است (به کلوین) و k ثابت بولتزمن است. علاوه براین، لگاریتم طبیعی عدد 2 ( لگاریتم 2 بر پایه e) برابر است با 0.693 که هیچ دستگاه محاسباتی برگشت‌ناپذیری نمی‌تواند کمتر از این انرژی مصرف کند. بنابراین برای این‌که بتوانید مقادیر احتمالی برای ۱۲۸ بیت متقارن (بدون انجام محاسبات واقعی برای پیدا کردن آن) را حدس بزنید به لحاظ تئوری نیاز به 2128 − 1 بیت روی یک پردازنده معمولی نیاز دارید. با فرض این که محاسبات در دمای نزدیک به دمای اتاق (۳۰۰ کلوین) انجام شود با استفاده از قانون نویمان-لانداوه می‌توان انرژی مورد نیاز برای انجام این‌کار را محاسبه کرد. این انرژی تقریبا برابر با 1018 ژول است که معادل مصرف 30 گیگاوات توان برای یک سال است. محاسبات کامل برای بررسی هر کلید بارها و بارها این مقدار انرژی را مصرف می‌کند. این مقدار صرفا مقدار انرژی لازم برای پیمودن فضای حالت کلید است و زمان لازم برای تغییر هر بیت در نظر گرفته نشده است. با این توصیف مشاهده می‌کنید که این حمله تنها برای هدف قرار دادن سازمان‌ها یا اشخاص خیلی مهم استفاده می‌شود!

چرا هکرها از حمله جست‌وجوی فراگیر استفاده می‌کنند؟

حمله‌های جست‌وجوی فراگیر با هدف جمع‌آوری اطلاعات هویتی، نظیر گذرواژه‌ها، جمله‌های عبوری (Passphrase)، نام‌های کاربری و کدهای شناسایی (Personal Identification Numbers) اجرا می‌شوند. علاوه بر این، در حمله جست‌وجوی فراگیر از یک اسکریپت، برنامه هک‌کننده یا پردازه‌هایی که درون حافظه اصلی قرار می‌گیرند و برخی فرآیندهای تکرارشونده را برای دستیابی به اطلاعات موردنیاز به کار می‌گیرند استفاده می‌شود. حمله‌های جست‌وجوی فراگیر در سطوح اولیه زنجیره حمله سایبری (Cyber Kill Chain) و زمانی که قرار است شناسایی و نفوذ انجام شود استفاده می‌شوند. هکرها برای حمله به زیرساخت‌های ارتباطی یک سازمان به نقاط ورودی نیاز دارند و بردارهای حمله مبتنی بر جست‌وجوی فراگیر سریع‌ترین راه هستند. پس از دسترسی به شبکه، هکرها می‌توانند بازهم از تکنیک‌های جست‌وجوی فراگیر برای افزایش سطح دسترسی یا حملات تنزل رمزنگاری (Encryption Downgrade Attacks) استفاده ‌کنند. علاوه بر این، هکرها از حمله‌های جست‌وجوی فراگیر برای جست‌وجوی صفحات وب مخفی نیز استفاده می‌کنند. صفحات وب مخفی، سایت‌هایی هستند که در اینترنت وجود دارند، اما به صفحات دیگر پیوند داده نشده‌اند. در یک حمله جست‌وجوی فراگیر آدرس‌های اینترنتی مختلف با هدف پیدا کردن یک آدرس وب معتبر برای نفوذ جست‌وجو می‌شوند. در یک حمله جست‌وجوی فراگیر، آدرس‌های اینترنتی مختلف به منظور پیدا کردن یک آدرس وب معتبر برای نفوذ جست‌وجو می‌شوند. هکرها در این روش به دنبال آسیب‌پذیری در نرم‌افزار یا صفحه وبی هستند که نام‌های کاربری و گذرواژه‌ها در آن قرار دارند. با توجه به این‌که حمله‌های جست‌وجوی فراگیر پیچیدگی خاصی ندارند، هکرها می‌توانند چند حمله خودکار را به شکل همزمان اجرا کنند تا بهترین گزینه برای حمله را پیدا کنند. 

یک حمله جست‌وجوی فراگیر با چه هدفی انجام می‌شود؟

هکرها به دلایل زیر از حمله‌های جست‌وجوی فراگیر استفاده می‌کنند:

• سرقت اطلاعات هویتی شخصی مثل گذرواژه‌ها و اطلاعاتی که برای دسترسی به حساب‌ها و منابع شبکه استفاده می‌شوند. 
• سرقت و جمع‌آوری مدارک اعتباری برای فروش.
• نشان دادن خود به جای فردی که مالک قانونی یک حساب کاربری است و در ادامه ارسال لینک‌های فیشینگ یا پخش محتوای جعلی برای مخاطبان کاربر.
• آسیب رساندن به سایت‌ها و اطلاعاتی که به شکل عمومی در معرض دید مردم قرار دارد تا اعتبار یک برند تجاری مخدوش شود. 
• هدایت دامنه‌ها به سایت‌هایی که حاوی کدها و اسکریپت‌های مخرب هستند.
• البته کارشناسان امنیتی نیز از حمله‌های جست‌وجوی فراگیر برای شناسایی آسیب‌پذیری‌ها، گذرواژه‌های ضعیفی یا شناسایی الگوریتم‌های رمزنگاری ضعیف استفاده می‌کنند. 

آشنایی با انواع مختلف حمله‌های جست‌وجوی فراگیر

حمله‌ جست‌وجوی فراگیر به اشکال مختلف پیاده‌سازی می‌شود. ساده‌ترین نوع حمله جست‌وجوی فراگیر، حمله لغت‌نامه است. در روش فوق، هکرها یک لغت‌نامه حاوی کلمه‌های رایجی که برای گذرواژه‌ها استفاده می‌شود را روی حساب کاربری قربانی آزمایش می‌کنند. گزارش‌های منتشر شده توسط موسسه‌های امنیتی نشان می‌دهند کامپیوترهای یک دهه اخیر، می‌توانند یک گذواژه هشت کاراکتری فاقد رمزنگاری که ترکیبی از حروف کوچک، بزرگ، اعداد و کاراکترهای خاص در ساخت آن استفاده شده را با استفاده از روش جست‌وجوی فراگیر در مدت زمان دو ساعت و گذرواژه‌ای که از رمزنگاری ضعیف استفاده کرده را در مدت زمان چند ماه رمزگشایی کنند. این مدل حمله‌ها به‌نام جست‌وجوی رمز فراگیر (Exhaustive Key Search) شناخته می‌شوند. در این مدل حمله‌ها، کامپیوتر تمامی ترکیب‌های مختلف کاراکترها را آزمایش می‌کند تا ترکیب درست را شناسایی کند. بازیافت اعتبارنامه (Credential Recycling) نوع دیگری از حمله‌های جست‌وجوی فراگیر است که از نام‌های کاربری و گذرواژه‌‌های هک شده در رخنه‌های قبلی برای نفوذ به سامانه‌های جدید استفاده می‌کنند. با این‌حال، حمله‌های جست‌وجوی فراگیر موارد دیگری نیز دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

حمله جست‌وجوی فراگیر ترکیبی

حمله‌ ترکیبی (Hybrid Attack) به نوع خاصی از بردارهای حمله اشاره دارد که هکرها از چند ابزار برای حمله استفاده می‌کنند. در این بردار حمله، حمله لغت‌نامه با حمله دیگری ترکیب می‌شود تا گذرواژه قربانی شناسایی شود. حمله‌های لغت‌نامه‌ای با حدس زدن گذرواژه‌های رایج آغاز می‌شوند و سعی می‌کنند گذرواژه صحیح را از میان فهرست کلمات ذخیره شده در لغت‌نامه شناسایی کنند. به‌طور مثال، اگر گذرواژه شخصی password باشد، یک بات جست‌وجوی فراگیر می‌تواند این گذرواژه را تنها در چند ثانیه رمزگشایی کند. با توجه به پیدایش روش‌های نوظهور دفاعی، حمله‌های لغت‌نامه‌ای دیگر منسوخ شده‌اند. 

حمله جست‌وجوی فراگیر معکوس

در حمله‌های جست‌وجوی فراگیر معکوس هکر از یک گذرواژه رایج برای چند نام کاربری با هدف دسترسی به منابع شبکه استفاده می‌کند. روش کار حمله‌های جست‌وجوی فراگیر معکوس به این صورت است که هکر گذرواژه را در قالب یک مقدار معلوم دارد، اما نام کاربری را نمی‌داند. حمله‌های جست‌وجوی فراگیر معکوس یک نام کاربر مشخص را هدف قرار نمی‌دهند و به جای آن تعدادی گذرواژه مرسوم یا یک گذرواژه منفرد را برای آزمایش فهرستی از نام‌های کاربری ممکن استفاده می‌کنند. به‌طور مثال، یک گذرواژه عادی مثل Password انتخاب می‌شود و در ادامه سعی می‌شود تا یک نام کاربری با این گذرواژه تطبیق داده شود. با توجه به این‌که کلمه Password رایج‌ترین گذرواژه است، شانس موفقیت زیاد است. 

دستکاری اعتبار

دستکاری اعتبار (Credential Stuffing) نوع دیگری از بردارهای حمله است که هکر از مدارک اعتباری لو رفته کاربر برای نفوذ به سامانه استفاده می‌کند. یک چنین حمله‌ای از بات‌ها برای خودکارسازی و گسترش‌پذیری استفاده می‌کند. 

علاوه بر این، یک حمله دستکاری اعتبار بر مبنای این اصل پیاده‌سازی می‌شود که بیشتر کاربران از نام‌های کاربری و گذرواژه‌های یکسان برای سرویس‌های مختلف استفاده می‌کنند. هنگامی که هکر به اطلاعات نام کاربری و گذرواژه قربانی دست پیدا می‌کند، ممکن است از این اطلاعات برای دسترسی به منابع مختلف شبکه استفاده کند. به همین دلیل است که کارشناسان امنیتی به کاربران تایید اعتبار دو مرحله‌ای و انتخاب گذرواژه‌های متفاوت برای منابع مختلف شبکه را توصیه می‌کنند تا شانس هکرها در پیاده‌سازی موفقیت‌آمیز حمله‌های جست‌وجوی فراگیر کم شود. 

چگونه در برابر حمله‌های جست‌وجوی فراگیر از خود دفاع کنیم؟

حمله‌های جست‌وجوی فراگیر برای پیاده‌سازی به زمان نیاز دارند. برخی از این حمله‌ها ممکن است به هفته‌ها یا ماه‌ها زمان نیاز داشته باشند تا به موفقیت برسند. در بیشتر موارد مکانیزم‌هایی که برای مقابله با این حمله‌ها اتخاذ می‌شوند به این صورت هستند که زمان مورد نیاز برای موفقیت حمله فراتر از حد معمول تعیین می‌شود تا به لحاظ فنی تحقق آن سخت شود (به‌طور مثال، کاراکترهایی که کاربر در فیلدهای مربوطه وارد می‌کند با کمی تاخیر در فیلدها درج می‌شوند)، اما رویکرد فوق تنها روش کارآمد نیست. از مهم‌ترین اقداماتی که برای پیشگیری از بروز این حمله‌ها باید انجام شود به موارد زیر می‌توان اشاره کرد: 

• افزایش تعداد کاراکترهای گذرواژه‌ها: هنگامی که یک گذرواژه کاراکترهای بیشتری داشته باشد، به زمان بیشتری برای رمزگشایی آن از طریق حمله جست‌وجوی فراگیر نیاز است.
• پیچیده کردن گذرواژه‌ها: هرچه کاراکترهای یک گذرواژه طولانی و نامفهوم باشند به زمان بیشتری برای رمزگشایی آن‌ها از طریق حمله جست‌وجوی فراگیر نیاز است. 
• ایجاد محدودیت در دفعات تلاش برای ورود: یک روش دفاعی خوب در برابر این حمله‌ها این است که پس از تعداد دفعات مشخص ناموفق  برای ورود حساب کاربری، حساب قفل شود. این‌کار مانع از پیاده‌سازی موفقیت‌آمیز این حمله‌ها می‌شود. 
• به‌کارگیری تصویر امنیتی: کپچا (Captcha) یا تصویر امنیتی مکانیزم رایجی است که برای تایید انسان بودن کاربر در وب‌سایت‌ها استفاده می‌شود. این روش مانع از آن می‌شود تا بات‌ها بتوانند در مسیر شناسایی گذرواژه‌ها موفق شوند. 
• به‌کارگیری تایید اعتبار چند عاملی:‌ تایید اعتبار چند عاملی دومین مکانیزم امنیتی است که برای ورود به حساب‌های کاربری از آن استفاده می‌شود. علاوه بر این، تایید اعتبار چند عاملی به تعامل انسانی نیاز دارد که همین موضوع مانع پیاده‌سازی موفقیت‌آمیز حمله‌های جست‌وجوی فراگیر می‌شود. 

کلام آخر

در مجموع باید بگوییم که حمله‌های جست‌وجوی فراگیر با هدف شناسایی ترکیب صحیح کاراکترها استفاده می‌شوند و اگر گذرواژه‌ ضعیف یا ساده‌ای برای حسابی استفاده شده باشد، به هکرها اجازه می‌دهد به سرعت آن‌را شناسایی کنند. گذرواژه‌های ضعیف و بیش از اندازه ساده اصلی‌ترین آسیب‌پذیری پیرامون شبکه‌ها هستند. 

در حالی که، به‌کارگیری گذرواژه‌های پیچیده، محدودسازی دفعات تلاش برای ورود به حساب کاربری و فعال کردن تایید اعتبار دو مرحله‌ای به میزان قابل توجهی شانس هکرها در پیاده‌سازی موفقیت‌آمیز این حمله‌ها را کاهش می‌دهند.