Brute-force attack

Hoe werkt het?

Een Brute-force attack is een simplistische poging waarbij de hacker probeert om iemands gebruikersnaam en wachtwoord te achterhalen door (alle) mogelijke combinaties te proberen. Het is één van de oudste aanvalsvormen, al meer dan 10 jaar actief en nog steeds succesvol. Een Brute-force attack is uiteindelijk altijd succesvol, alleen kost het gelukkig soms vele jaren.

De voornaamste reden voor een hacker om een Brute-force attack uit te voeren is toegang te verkrijgen tot vertrouwelijke data of systemen en hier uiteindelijk misbruik van te maken.

Het uitvoeren van een Brute-force attack kan via software met illustere namen als Jack the Ripper, Brutus en Cain and Abel. Al deze programma’s kunnen simultaan (bijv. 60 servers te gelijk) en zeer snel (bijv. 8 miljoen per seconde) wachtwoorden proberen. Tegenwoordig worden ook vaak botnets gebruikt om Brute-force attacks uit te voeren. Binnen een aantal dagen kan zo’n botnet, met veelal eerder gestolen accounts, proberen in te loggen op duizenden servers.

Serious Business

Dat het gevaar van Brute-force attacks nog zeer actueel is bewijst de communicatie van GitHub en de recente communicatie rondom de datalekken van LinkedIn (117 miljoen accounts) en Twitter (32.8 miljoen accounts).

Cybercrime door Brute-force attacks is Serious business. In het McAfee Labs Threats rapport van Maart 2016 bestaat nog altijd 19% van alle netwerkaanvallen uit Brute-force attacks, goed voor een 2de plaats. Er bestaan inmiddels schimmige marktplaatsen waar Cybercriminelen servers te huur aanbieden (op XDedic circa 70.000 servers). Deze servers zijn vaak gehackt middels Brute-force attacks. Omdat gebruikers vaak dezelfde wachtwoorden gebruiken op verschillende sites zijn buitgemaakte wachtwoorden van grote waarde in het cybercriminele circuit.

Verschillende typen

De Brute-force attack heeft verschillende vormen, het type met de meeste kans van slagen in de desbetreffende situatie zal worden gebruikt. Hieronder zijn de vormen beschreven:

1. Dictionary attack: dit type Brute-force attack probeert via scripts aan de hand van een gefinetuned woordenboek alle mogelijke of samengestelde opties uit. De inhoud van het woordenboek kan uit allerlei bronnen zijn samengesteld (Social Enginering, websites, LinkedIn, Facebook etc.)
2. Search attack: deze aanval probeert alle mogelijke combinaties uit van een wachtwoord. Dit kost echter zeer veel tijd en computercapaciteit, afhankelijk van de lengte van het wachtwoord. Een wachtwoord van 8 karakters heeft 200 miljard wachtwoordmogelijkheden!
3. Rule-based search attacks: om de kans van slagen te vergroten worden er door Brute-force software wachtwoorden gegenereerd aan de hand van logische- en veel voorkomende mogelijkheden, zoals een 3 in plaats van een E en een @ voor een O. Dit reduceert de zoektijd naar het gebruikte wachtwoord significant.
4. Reverse Brute-attack: bij deze vorm probeert men een bepaald wachtwoord uit op zeer veel verschillende gebruikersnamen. Een dergelijke vorm wordt gekozen indien er geen specifieke gebruiker wordt aangevallen. Vaak worden veel gebruikte wachtwoorden uitgeprobeerd. Het meest gebruikte wachtwoord is helaas nog altijd ‘123456’ (zie rapport Skyhigh networks).

Brute-force aanval ontdekken

Omdat de eerder beschreven botnets vaak verschillende IP-adressen gebruiken is een mogelijke Brute-force attack soms lastig te herkennen. Toch is dit mogelijk aan de hand van de volgende karakteristieken in de systeemlogging:

• Een poging om in te loggen met verschillende gebruikersnamen en wachtwoorden vanaf hetzelfde IP-adres.
• Een poging om in te loggen met één account vanaf verschillende IP-adressen.
• Een hoog gebruik van bandbreedte vanaf één sessie.
• Geweigerde inlogacties met veel gebruikte wachtwoorden zoals 123456, geheim, januari etc.
• Veel geweigerde inlogpogingen met als url http://user:password@www.example.com/login.htm

Het OWASP (Open Web Application Security Project) heeft richtlijnen gepubliceerd om applicaties en websites te testen op Brute-force kwetsbaarheid.

Brute-force aanvallen voorkomen

Het is zeer goed mogelijk om Brute-force aanvallen te voorkomen. Hieronder worden de belangrijkste maatregelen kort aangegeven:

1. Een Account lockout policy: na drie verkeerde inlogpogingen wordt een account volledig of voor enkele tijd geblokkeerd. Een dergelijke policy voorkomt dat botnets of scripts aanvallen kunnen uitvoeren. In de tijd dat het account geblokkeerd is kan de security afdeling of het SOC (Security Operating Center) de situatie onderzoeken.
2. Gebruik CAPTCHA afdwingen: hierbij wordt de gebruiker gevraagd om bijvoorbeeld een woordpuzzel op te lossen. Door deze maatregel wordt eveneens het gebruik van botnets uitgesloten.
3. Sterke wachtwoorden policy: lengte vanaf 8 karakters of meer met gebruik van letters, nummers en speciale karakters. Het kost de hacker onoverkomelijk veel tijd om dergelijke wachtwoorden te achterhalen.
4. Gebruik sterke Hashing technieken: sla de wachtwoorden versleuteld op (via bijvoorbeeld een Salted SHA-2 Hash algoritme). Deze techniek kan een Brute-force aanval niet voorkomen maar zorgt ervoor dat de wachtwoorden lastig gestolen kunnen worden en zodoende niet kunnen worden gebruikt bij latere Brute-force attacks.
5. Multi-factor authenticatie: gebruik naast het gebruik van gebruikersnaam en wachtwoord meerdere authenticatiemiddelen zoals een SMS-code of een random reader. Ook deze maatregel voorkomt de aanval niet maar wel het misbruik. Aan alleen de juiste gebruikersnaam en wachtwoordcombinatie heeft de hacker immers niet meer genoeg.

Conclusie

Brute-force aanvallen zijn van alle tijden en zullen dus ook niet snel uit het Cybercrimelandschap verdwijnen. De huidige ontwikkelingen in Machine Learning en Artificial Intelligence vergroten, door de slimmere algoritmes, de Brute-force mogelijkheden voor hackers. Dit samen met de steeds sneller wordende hardware onderschrijft het belang van blijvende awareness voor Brute-force aanvallen.