Σε χάκαραν και δεν το “πήρες χαμπάρι”;
Τα
password attacks
είναι από τις πιο συνηθισμένες
επιθέσεις
στον κυβερνοχώρο. Δείτε παρακάτω όλα όσα πρέπει να γνωρίζετε.
Ο μηχανισμός ελέγχου ταυτότητας που χρησιμοποιείται από τους περισσότερους ανθρώπους για την
προστασία
των λογαριασμών και των συστημάτων τους, είναι ο
κωδικός πρόσβασης
. Ο
κωδικός πρόσβασης
είναι μια
σειρά χαρακτήρων, αποτελούμενη συνήθως από γράμματα, ψηφία και σύμβολα.
Ο
άνθρωπος
που βρίσκεται πίσω από την ιδέα του κωδικού πρόσβασης είναι ο
Fernando Corbató
. Το 1961, ο Corbató ήταν επικεφαλής του Compatible Time-Sharing System (CTSS) project στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης. Ενώ εργαζόταν σε αυτό το project, διαπίστωσε ότι υπήρχε ένα πρόβλημα. Όπως είπε σε συνέντευξή του το 2012, είχαν δημιουργηθεί πολλαπλά terminals που θα χρησιμοποιούνταν από πολλά άτομα, αλλά με κάθε άτομο να έχει το δικό του ιδιωτικό σετ αρχείων. Η λύση του Corbató ήταν απλή: δώστε σε κάθε χρήστη τον δικό του κωδικό πρόσβασης.
Σιγά σιγά, τα πράγματα εξελίχθηκαν και οι
κωδικοί πρόσβασης
άρχισαν να χρησιμοποιούνται σε διάφορες πλατφόρμες,
εφαρμογές
κλπ. Οι
κωδικοί πρόσβασης
είναι πολύ
σημαντικοί
, δεδομένου ότι χρησιμοποιούνται για
προστασία
. Με δεδομένο αυτό, καθώς και την
αύξηση
των κυβερνοεπιθέσεων, διαπιστώνει κανείς ότι
οι
κωδικοί πρόσβασης
μπαίνουν συχνά στο στόχαστρο των εγκληματιών.
Η πρώτη τεκμηριωμένη περίπτωση κλοπής κωδικού πρόσβασης έλαβε χώρα, λίγο μετά την εφεύρεση του κωδικού. Το 1962, ο
Allan Scherr
, ερευνητής στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης, ήθελε περισσότερο χρόνο ενασχόλησης με το CTSS για να εκτελέσει μερικές λεπτομερείς προσομοιώσεις. Για να αποκτήσει αυτήν την επιπλέον πρόσβαση, αποφάσισε να εκμεταλλευτεί μια διαδικασία που του επέτρεψε να εκτυπώσει τη λίστα με όλους τους κωδικούς που ήταν αποθηκευμένοι στο
σύστημα
και έτσι μπορούσε να μπαίνει με τον κωδικό οποιουδήποτε.
Ευτυχώς, ο Scherr δεν ήταν εισβολέας, αλλά συνεργάτης ερευνητής που εργαζόταν για το project.
Τώρα, όμως, αν κάποιος έχει στη διάθεσή του κωδικούς πρόσβασής τρίτων πιθανότατα δεν θα είναι για καλό. Και όταν μιλάμε για επαγγελματίες hackers, η απόκτηση των κωδικών πρόσβασης είναι “παιχνιδάκι”.
Οι
εγκληματίες
χρησιμοποιούν διάφορους τρόπους για να αποκτήσουν τα passwords ανυποψίαστων χρηστών, οι οποίοι πολλές φορές διευκολύνουν το έργο των hackers. Πολλοί
χρήστες
χρησιμοποιούν
προσωπικά
στοιχεία ως password
, γιατί είναι πιο εύκολο να τα θυμούνται. Ωστόσο, αυτά τα στοιχεία μπορεί να είναι γνωστά και σε άλλους ανθρώπους (π.χ. η ημερομηνία γέννησης μπορεί να είναι διαθέσιμη στις πληροφορίες στα
social media
).
Όλες οι
διαδικασίες που χρησιμοποιούν οι hackers για να μαντέψουν, να κλέψουν ή γενικά να αποκτήσουν τους κωδικούς πρόσβασης
χρηστών, ανήκουν στην κατηγορία των
password attacks
.
Ας δούμε μερικούς από τους πιο συνηθισμένους τύπους password attacks:
Brute-Force
επιθέσεις
Οι brute force
επιθέσεις
είναι ίσως ο πιο συνηθισμένος τύπος password επίθεσης. Λέγεται ότι το 80% των παραβιάσεων, περιλαμβάνουν τέτοιου είδους
επιθέσεις
. Αυτά τα password attacks
εκμεταλλεύονται το γεγονός ότι πολλοί
χρήστες
χρησιμοποιούν μικρούς κωδικούς πρόσβασης.
Όσο πιο μικρός είναι ο
κωδικός πρόσβασης
, τόσο πιο εύκολες είναι οι brute-force
επιθέσεις
.
Σε αυτόν τον τύπο επίθεσης, οι
εγκληματίες
του κυβερνοχώρου χρησιμοποιούν
λογισμικά
που δοκιμάζουν διάφορους συνδυασμούς usernames και passwords,
μέχρι να πετύχουν τον σωστό συνδυασμό που θα τους δώσει πρόσβαση στο
λογαριασμό
ενός χρήστη.
Η διαδικασία εύρεσης των passwords ξεκινά με τη χρήση συνηθισμένων κωδικών, όπως το “123456” και τη λέξη “password”, τα οποία χρειάζονται λιγότερο από ένα δευτερόλεπτο για να σπάσουν. Στη συνέχεια, δοκιμάζονται πιο
σύνθετοι συνδυασμοί
. Τα προγράμματα που χρησιμοποιούν οι hackers μπορούν να κάνουν έναν τεράστιο αριθμό συνδυασμών για να μαντέψουν το σωστό κωδικό.
Dictionary
επιθέσεις
Οι dictionary
επιθέσεις
είναι μια μορφή brute-force επίθεσης. Αρχικά, οι
εγκληματίες
δοκίμαζαν απλές λέξεις από
λεξικά
σε διάφορες γλώσσες, όπως Αγγλικά, Γαλλικά ή Ισπανικά.
Η ιδέα πίσω από αυτό τον τύπο επίθεσης, είναι ότι πολλοί άνθρωποι χρησιμοποιούν μια
απλή καθημερινή λέξη ως κωδικό πρόσβασης.
Επίσης, δοκιμάζονται καθημερινές λέξεις και φράσεις αλλά και γνωστά ονόματα ανθρώπων, τίτλοι ταινιών κλπ.
Με την πάροδο του χρόνου, ωστόσο, οι εισβολείς
άρχισαν να αξιοποιούν και λίστες κωδικών πρόσβασης
που είναι εκτεθειμένες στο
Διαδίκτυο
.
Οι πιο σύνθετες dictionary
επιθέσεις
χρησιμοποιούν στοιχεία που είναι
εξατομικευμένα
για κάθε στόχο και που μπορούν να βρεθούν εύκολα στο
διαδίκτυο
. Για παράδειγμα, θα μπορούσε να δοκιμαστεί το όνομα του κατοικιδίου ενός χρήστη, το οποίο θα μπορούσε να βρει εύκολα κάποιος μέσα από τα
social media
του στόχου.
Password Spraying (τύπος brute force επίθεσης)
Επόμενο password attack είναι η
password spraying
επίθεση
, όπου οι
εγκληματίες
χρησιμοποιούν κάποιους
συνηθισμένους και γνωστούς κωδικούς πρόσβασης σε πολλούς διαφορετικούς
λογαριασμούς
,
για να δουν αν μπορεί να επιτευχθεί πρόσβαση.
Δεδομένου ότι οι
κωδικοί πρόσβασης
επαναχρησιμοποιούνται
τόσο συχνά, αυτή η
επίθεση
έχει μεγάλα ποσοστά επιτυχίας.
Δείτε επίσης
: Η χρήση ίδιων passwords σε διαφορετικούς
λογαριασμούς
είναι πολύ επικίνδυνη!
Οι password spraying
επιθέσεις
στοχεύουν συνήθως single sign-on και cloud-based πλατφόρμες και μπορούν να αποδειχθούν ιδιαίτερα επικίνδυνες για αυτές.
Credential Stuffing
Επόμενη
επίθεση
είναι η
credential stuffing
επίθεση
. Οι εισβολείς χρησιμοποιούν
συνδυασμούς usernames και passwords
για να αποκτήσουν πρόσβαση σε
λογαριασμούς
, τους οποίους όμως δεν μαντεύουν, όπως στις brute force
επιθέσεις
. Οι hackers χρησιμοποιούν
κλεμμένα
credentials
.
Δείτε επίσης
: 2020: Εντοπίστηκαν 193 δισεκατομμύρια
credential stuffing
απόπειρες
Οι
credential stuffing
επιθέσεις
βασίζονται στην υπόθεση ότι πολλοί άνθρωποι επαναχρησιμοποιούν τους κωδικούς πρόσβασης σε πολλούς
λογαριασμούς
.
Με την πάροδο των ετών, πολλές
παραβιάσεις
έχουν οδηγήσει στη
διαρροή
ενός τεράστιου αριθμού παραβιασμένων
credentials
.
Οι εισβολείς χρησιμοποιούν τις λίστες με τα εκτεθειμένα
credentials
, για να επαληθεύσουν ποιοι από τους κλεμμένους κωδικούς πρόσβασης εξακολουθούν να είναι έγκυροι ή να λειτουργούν σε άλλες πλατφόρμες. Όπως συμβαίνει και με τις brute force
επιθέσεις
, έτσι υπάρχουν και εδώ
αυτοματοποιημένα εργαλεία
που κάνουν τις
credential stuffing
επιθέσεις
απίστευτα επιτυχημένες.
Keylogger
Το keylogger είναι ένα είδος
spyware
που παρακολουθεί τη δραστηριότητα ενός χρήστη καταγράφοντας τις πληκτρολογήσεις του. Το keylogger είναι ιδιαίτερα επικίνδυνο, καθώς
ακόμα και οι ισχυρότεροι
κωδικοί πρόσβασης
δεν μπορούν να προστατεύσουν το χρήστη.
Οι
εγκληματίες
του κυβερνοχώρου χρησιμοποιούν keyloggers για κλοπή ποικίλων ευαίσθητων δεδομένων, από κωδικούς πρόσβασης έως αριθμούς πιστωτικών καρτών.
Σε ένα password attack, το keylogger καταγράφει όχι μόνο το όνομα χρήστη και τον κωδικό πρόσβασης, αλλά και τον
ιστότοπο ή την
εφαρμογή
στα οποία χρησιμοποιούνται αυτά τα
credentials
.
Επομένως, είναι όλα ξεκάθαρα και ο εγκληματίας δεν χρειάζεται να μαντέψει ή να ψάξει τα
credentials
για έναν
λογαριασμό
.
Οι επιτιθέμενοι εγκαθιστούν, συνήθως, το keylogger στον
υπολογιστή
του θύματος, κάνοντας το θύμα να κάνει κλικ σε ένα κακόβουλο σύνδεσμο ή συνημμένο.
Phishing
Τέλος, δεν πρέπει να ξεχνάμε και το
phishing
, το οποίο, επίσης, ανήκει στην κατηγορία των password attacks. Ίσως η πιο απλή μέθοδος απόκτησης των
credentials
ενός χρήστη για την
παραβίαση
του λογαριασμού του.
Δείτε επίσης
:
Phishing emails
στοχεύουν υπάλληλους με δόλωμα την επιστροφή στα γραφεία
Για ποιο λόγο να μαντεύει ο hacker το password όταν θα μπορούσε απλά να το ζητήσει από τον ίδιο το χρήστη;
Οι
εγκληματίες
στέλνουν στα
θύματα
μηνύματα
από φαινομενικά νόμιμες και γνωστές
υπηρεσίες
. Συχνά στοχεύουν υπαλλήλους, παριστάνοντας ένα
στέλεχος
της εταιρείας. Μέσα από αυτά τα emails, οι hackers οδηγούν τα
θύματα
σε
πλαστές σελίδες σύνδεσης,
όπου καλούνται να δώσουν τα
credentials
του.
Το phishing και η
κλοπή
credentials
μέσω αυτής της μεθόδου είναι εξαιρετικά συχνό φαινόμενο.
Στρατηγικές για τη
μείωση
του κινδύνου ενός
password
attack
1. Pen Test
Ο καλύτερος τρόπος για να μάθετε αν ο οργανισμός σας είναι ευάλωτος σε password attacks είναι να δοκιμάσετε
μια
επίθεση
με pen test
. Ένα αυτοματοποιημένο pen testing tool μπορεί να χρησιμοποιηθεί για γρήγορη εκτέλεση password επιθέσεων.
Για παράδειγμα, μπορεί να εκτελεστεί ένα password spraying scenario για να διαπιστωθεί εάν το περιβάλλον σας είναι ευάλωτο, αποκαλύπτοντας ποια μηχανήματα μοιράζονται
credentials
.
Αυτό δίνει χρόνο
να αλλάξουν οι
κωδικοί πρόσβασης
πριν από μια πραγματική
επίθεση
.
2. Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)
Το
MFA
θέτει πρόσθετα εμπόδια στους εισβολείς, αφού δεν αρκεί να χρησιμοποιήσουν τον κωδικό πρόσβασης του χρήστη.
3. Ισχυροί
κωδικοί πρόσβασης
Ο
έλεγχος
ταυτότητας πολλαπλών παραγόντων προσθέτει περισσότερα εμπόδια, κάθε εμπόδιο όμως πρέπει να είναι όσο το δυνατόν ισχυρότερο. Για παράδειγμα, πολλοί τύποι MFA ζητούν τη δεύτερη μορφή ελέγχου ταυτότητας μόνο όταν επικυρωθεί η πρώτη.
Αυτό σημαίνει ότι ένας εισβολέας δεν αποκτά πρόσβαση, αλλά θα ξέρει ότι είχε τα σωστά
credentials
. Έτσι, μπορεί να ξεκινήσει μια password spraying
επίθεση
στο υπόλοιπο δίκτυο και ενδέχεται να πέσει σε
εφαρμογές
που δεν διαθέτουν MFA.
Επομένως είναι σημαντικό να διασφαλιστεί ότι
οι
κωδικοί πρόσβασης
είναι όσο το δυνατόν πιο περίπλοκοι και μοναδικοί
. Τα
password managers
μπορούν να βοηθήσουν στη
δημιουργία
ισχυρών κωδικών. Ιδανικά, τα passwords πρέπει
να αποτελούνται από περισσότερους από 12 χαρακτήρες
και να περιλαμβάνουν
τυχαίους αριθμούς, σύμβολα και γράμματα.
4.
Παρακολούθηση
δραστηριότητας/συστημάτων
Η συνεχής
παρακολούθηση
τω συστημάτων
και των δικτύων είναι απαραίτητη προκειμένου να ανιχνευθεί κάποια
ύποπτη δραστηριότητα.
Επίσης,
η
απαγόρευση
πρόσβασης σε έναν
λογαριασμό
μετά από έναν συγκεκριμένο αριθμό αποτυχημένων προσπαθειών
, μπορεί να είναι αρκετά βοηθητική στην
ανίχνευση
πιθανής παραβίασης.
5. Πολυεπίπεδη άμυνα
Τα εργαλεία που εστιάζουν στον κωδικό πρόσβασης, όπως password managers και MFA πρέπει να συνδυάζονται με άλλες λύσεις
ασφαλείας
, όπως τα
antivirus
λογισμικά και άλλες μορφές εντοπισμού απειλών.
Αυτά μπορούν να χρησιμοποιηθούν και για πρόληψη αλλά και για την
αντιμετώπιση
επιθέσεων.
Με την
εφαρμογή
πολυεπίπεδης άμυνας, οι
οργανισμοί
μπορούν να είναι πιο ασφαλείς.
6.
Εκπαίδευση
Σε πολλές περιπτώσεις, όπως στις
phishing
επιθέσεις
,
η
κλοπή
credentials
οφείλεται στο ανθρώπινο λάθος.
Οι hackers καταφέρνουν να εξαπατήσουν τους
χρήστες
, οι οποίοι από μόνοι τους δίνουν τα
credentials
τους ή ανοίγουν κακόβουλους συνδέσμους που εγκαθιστούν malware.
Επομένως, η
εκπαίδευση
του προσωπικού (αλλά και η προσωπική) είναι απαραίτητη για την αναγνώριση διαφόρων απειλών.
Όπως φαίνεται, τα password attacks μπορούν να μας βάλουν σε μπελάδες και δυστυχώς αυτές οι
επιθέσεις
είναι πολύ συνηθισμένες. Γι’ αυτό το λόγο, όλοι πρέπει να είμαστε πολύ προσεκτικοί!
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
Σε χάκαραν και δεν το “πήρες χαμπάρι”; | O Efialtis
[…] εδώ Σε χάκαραν και δεν… για να διαβάσετε […]