Bruteforce

Bruteforce, или брутфорс — это метод взлома, при котором хакер или тестировщик подбирают данные для входа в систему. Классический пример — попытка угадать или подобрать пароль.

Название переводится как «грубая сила» (brute force): при переборе хакер как будто напролом. Во время такого взлома человек или программа за короткое время вводят в систему множество комбинаций паролей на случай, если одна из них окажется верной.

Еще один вариант названия — полный перебор. Это метод подсчета, на котором основан этот тип атаки.

Брутфорс проще, чем многие другие способы, но эффективен в основном для взлома аккаунтов с простыми паролями. Сложные комбинации, шифровки и фразы подобрать сложно.

Кто пользуется брутфорсом

• Пентестеры, которые проверяют, какими методами и с какой легкостью можно проникнуть в тестируемую систему. Они находят уязвимости, а простые пароли, которые можно подобрать с помощью брутфорса, — одно из возможных слабых мест.
• Хакеры, которые взламывают системы или аккаунты пользователей по заказу работодателя или по собственной инициативе. Этичные хакеры работают исключительно по требованию компаний, которые хотят проверить собственную уязвимость к разным методам взлома.
• Обычные пользователи, например при потере пароля. Это нельзя назвать брутфорсом, но любой подбор собственных забытых данных имеет его черты.

Для чего нужен брутфорс

• Для получения доступа к аккаунту или системе. Верно подобранный пароль дает возможность авторизоваться, а значит — увидеть информацию или открыть для себя доступ к функциям системы.
• Для проверки надежности. Хороший пароль слабо подвержен методу брутфорса или не подвержен совсем. А слишком простой, например состоящий из одних цифр, будет легко взломать.
• Для обнаружения уязвимостей. При пентесте, тестировании на проникновение, брутфорс помогает найти слабые места системы, как и другие хакерские методы. 

Как происходят брутфорс-атаки

Методы могут быть разными: часто для атаки нужна предварительная подготовка. Подбирать и логин, и пароль одновременно трудно, поэтому хакеру может потребоваться база email, никнеймов или телефонных номеров. Не всегда ее надо взламывать: иногда достаточно методов социальной инженерии. Потом с известными логинами хакер или пентестер будет подбирать пароль.

Во время атаки специалист вводит множество комбинаций, которые могут быть паролями, и пытается авторизоваться. Обычно для этого используется специальная программа. Иногда для долгого подбора требуются мощности не обычного ПК, а, например, сервера.

Если пароль подходит, авторизация успешно завершается. Хакер или пентестер получает доступ к аккаунту пользователя или системе. Чтобы добиться результата, может потребоваться несколько тысяч или даже больше попыток ввести пароль.

Что используется для брутфорса

Подбирать пароли вручную долго и неэффективно. Поэтому у хакеров есть специальные приложения и алгоритмы действий, которые помогают при брутфорсе.

Специальное ПО. Программное обеспечение автоматически отправляет запросы с разными паролями, а иногда еще и генерирует их. Его работа остановится, если какой-либо пароль подойдет.

• Brutus. Что такое «Брут»? Небольшое приложение для брутфорса паролей от аккаунтов пользователей компьютера. Оно простое в настройке, но имеет ограниченный спектр применения.
• Brute Forcer. Утилита для взлома личных кабинетов сайтов, которая содержит менеджер баз паролей и возможность настройки полей.
• Metasploit. Многофункциональный инструмент для пентеста и взлома, который в том числе можно использовать и при проведении брутфорс-атак. Узнать о нем больше можно в статье. 
• Burp Suite. Еще одна многофункциональная программа для пентеста. В число возможностей входит и брутфорс, и другие методы взлома.

Специальное ПО для взлома может входить в дистрибутив Kali Linux. Это ОС для тестирования на проникновение и хакерства.

Базы паролей. Пароли можно генерировать автоматически. Тогда это будут случайные последовательности символов с заранее заданными настройками. Но так взлом может быть очень долгим. Если комбинация сложная, подбор пароля может занять дни или годы.

Поэтому хакеры пользуются базами — специальными наборами с популярными комбинациями. В них попадают пароли, которые были скомпрометированы злоумышленниками, и простые популярные комбинации вроде «111» или «qwerty».

Скомпрометированные пароли важны, потому что человек может пользоваться одним и тем же паролем в разных сервисах. Хотя при пентесте этот способ не слишком актуален.

Также базу можно выгрузить из системы, которую собирается атаковать пентестер. Для этого используется Metasploit или другие подобные программы. Но в таком случае пароль указывается в связке с логином, и подбирать его нет необходимости.

Социальная инженерия. Это комплекс методов для психологического «взлома» человека, способы так или иначе получить от него нужную информацию или доступ к ней.

Социальную инженерию можно применять, чтобы иметь общее представление о пароле пользователя, или, например, найти его логин. Базовые методы — узнать Ф.И.О., дату рождения, имена ближайших родственников и прочие данные, которые могут использоваться для доступа.

Методы защиты от брутфорс-атак

Ограничивать количество попыток на ввод пароля. За 10 или 15 попыток хакер вряд ли сможет подобрать нужную комбинацию, а владельцу аккаунта этого достаточно, чтобы вспомнить пароль.

Использовать системы обнаружения взлома. Они отслеживают подозрительное поведение и сохраняют информацию об устройстве, на котором оно отмечено. Также системы обнаружения взлома автоматически защищают аккаунт.

Просить пользователей придумывать сложные пароли. Чем сложнее комбинация, тем труднее взломать ее брутфорсом. Поэтому сейчас в большинстве крупных компаний специалисты должны создавать пароли с буквами разного регистра, цифрами и спецсимволами.

Пентестеры все равно проверяют аккаунты с помощью брутфорса: эта мера защиты только кажется очевидной. Сложные атаки могут демонстрировать нетипичное поведение и обходить защитное ПО.

Как попробовать себя в брутфорсе

Пытаться взломать работающие системы без разрешения их владельцев — нарушение законодательства. Чтобы попробовать воспользоваться брутфорсом, можно использовать для этого специальные «учебные» сайты и дистрибутивы операционных систем. В них намеренно есть уязвимости, чтобы начинающие пентестеры могли практиковаться во взломе разной сложности.

Программное обеспечение для брутфорса можно скачать вместе с Kali Linux или после установки нужного дистрибутива ОС. Не забудьте отключить антивирус и брандмауэр перед запуском.