Récupération de mot de passe par force brute. Crackage de mot de passe par force brute. Étudier l'attaque par force brute

Dans le domaine de la sécurité de l'information et des tests d'intrusion, la tâche se pose souvent lorsqu'il est nécessaire de déchiffrer un mot de passe. Il peut s'agir d'un hachage du mot de passe de l'administrateur système Windows, d'un mot de passe pour un point d'accès sans fil ou de tout autre hachage que vous avez réussi à obtenir. Dans ces cas, pour déchiffrer le hachage et obtenir le mot de passe, une technique est utilisée - hachage.

Qu’est-ce que le hashcracking ?

La récupération de mots de passe pour les hachages, ou hachage, est un processus très passionnant qui nécessite de bonnes connaissances dans divers domaines - cryptographie, combinatoire, programmation et bien plus encore. Vous devez également avoir une bonne compréhension du matériel pour garantir que votre ferme fonctionne correctement pendant plusieurs semaines et mois à charge maximale.

Dans le même temps, un véritable hackcracker est souvent complètement isolé des étapes d'extraction des hachages et d'utilisation de mots de passe brisés pour accéder aux comptes d'autres personnes. De plus, cela ne l'intéresse pas, ce n'est pas un hacker. Tous les forums hashcracker publient uniquement des hachages (ou des listes de hachages) pour le décryptage. Ces listes ne contiennent pas le nom de la ressource, les noms d'utilisateur, les boîtes aux lettres, les adresses IP ou toute autre information privée. Par conséquent, même si un mot de passe est cassé, un hashcracker ne l’utilisera jamais, car il ne sait tout simplement pas d’où il vient. Et même s’il le savait, il ne l’utiliserait toujours pas, puisque son objectif est le processus de hashcracking lui-même, car pour lui, c’est presque un art.

La plupart des hashcrackers présents sur les forums ressemblent à des Robin des Bois. Ils consacrent leur temps et leurs ressources à aider les autres utilisateurs à briser les hachages, tout en accumulant constamment de nouveaux mots de passe et règles pour les générer. Pour eux, tout hachage est un défi pour leur intellect, leur expérience, leurs compétences. Et ces gars-là trouvent les mots de passe les plus complexes que personne d’autre ne peut récupérer. Comment font-ils ? Quels logiciels et matériels utilisent-ils ? Que devez-vous savoir d’autre pour casser les hachages aussi efficacement qu’eux ? Nous en parlerons dans notre article.

Riz. 1. Hachages et mots de passe utilisateur

Logiciel

De nos jours, le hash cracking s'effectue principalement sur les processeurs vidéo (GPU). Sur les processeurs classiques (CPU), seuls les algorithmes qui ne sont pas implémentés sur le GPU sont traités. En fait, il est devenu standard d'utiliser le programme oclHashcat, qui propose des assemblages pour Windows et Linux, et prend également en charge tous les processeurs vidéo modernes - NVIDIA et AMD. Plus récemment, son auteur a transféré le programme dans la catégorie Open Source, et il est désormais disponible sur GitHub, afin que tout le monde puisse participer au travail sur ses nouvelles versions.

Pour répartir le travail de ce programme entre plusieurs ordinateurs, le shell hashtopus est utilisé. Un autre forceur GPU populaire reste l'intemporel John the Ripper (JtR) dans la version Jumbo, qui possède également de nombreux algorithmes pour toutes les cartes vidéo, mais pour obtenir une efficacité maximale, il est toujours conseillé de le reconstruire pour chaque configuration matérielle spécifique.

Il existe de nombreux autres programmes pour travailler sur le CPU, mais les plus fonctionnels restent les mêmes hashcat et JtR. Vous pouvez également y ajouter le programme Hash Manager, plus adapté au traitement des hachages à « l'échelle industrielle », c'est-à-dire de très grandes listes qui ne peuvent pas être chargées dans d'autres programmes. Tous ces programmes sont gratuits, et chacun décide lui-même quoi choisir pour son travail quotidien, seule la pratique montre qu'il est souhaitable de pouvoir maîtriser tous ces logiciels - en règle générale, les hashcrackers professionnels utilisent l'un ou l'autre programme en fonction du spécifique situation.

Vous devez également prendre en compte que tous ces programmes sont des programmes de console, n'ont pas d'interface graphique intégrée et que pour les utiliser le plus efficacement possible, vous devez être capable de travailler dans la console (voir l'encadré). Et idéalement, il faut également pouvoir programmer des fichiers batch (BAT ou CMD) afin de personnaliser au maximum le fonctionnement des programmes. Ensuite, vous pouvez créer une fois un ensemble de fichiers de commandes pour différentes attaques, puis, lorsque tout est configuré, tout hashcracking se résumera à remplir le fichier avec les hachages nécessaires et à lancer l'un ou l'autre fichier de commande avec certains paramètres.

La console est le paradis des hashcrackers

Le logiciel hashcracker le plus avancé est basé sur une console et est contrôlé soit via des paramètres de ligne de commande, soit en éditant des fichiers de configuration. Mais la tendance est que les utilisateurs s'éloignent de plus en plus de la console, exigeant une interface graphique, et la question la plus populaire sur les forums pour travailler avec de tels programmes est : « J'ai lancé le programme, une fenêtre noire est apparue et s'est fermée. Ce qu'il faut faire?" La réponse est évidente : étudiez la console.

Très probablement, les utilisateurs de Linux ont déjà les compétences nécessaires pour travailler dans la console, mais pour les utilisateurs de Windows, le meilleur choix serait le programme FAR Manager. Avec son aide, il est très pratique de travailler avec des listes de hachages et d'autres fichiers. Et si vous le combinez avec des outils supplémentaires (par exemple, du programme Hash Manager), vous obtenez un kit tueur qui vous permet de traiter n'importe quel fichier littéralement en quelques secondes.

Pour ce faire, vous devez utiliser le menu utilisateur (en appuyant sur F2) pour attribuer les outils les plus fréquemment utilisés aux touches nécessaires - trier le fichier, extraire les mots de passe du fichier de résultats, compter le nombre de lignes dans le fichier, etc. sur. Après cela, tout travail avec le fichier souhaité sera réduit à trois actions - placez le curseur dessus, appelez F2 et appuyez sur la touche de raccourci.

Après avoir entièrement personnalisé FAR pour vous-même - coloration des couleurs des fichiers, touches de raccourci pour les outils, transitions rapides vers le répertoire souhaité, etc. - tout le travail de routine du hashcracker deviendra très confortable et donc très efficace.

Fer

En termes de matériel, les hashcrackers ne sont presque pas différents des mineurs de crypto-monnaie et assemblent les mêmes fermes sur des cartes vidéo. Certes, ils n'ont pas des dizaines de cartes vidéo, mais la présence de plusieurs cartes vidéo puissantes est presque la norme pour les hachages par force brute (voir Fig. 2).

Riz. 2. Une bonne ferme de bureau pour les hachages bruts sur cinq cartes vidéo

Les exigences pour la ferme sont les mêmes que pour le minage de crypto-monnaie, c'est-à-dire que vous avez besoin d'un bon refroidissement, d'une alimentation stable et d'un placement correct des cartes vidéo afin qu'elles ne se chauffent pas. Jusqu'à récemment, les principales cartes vidéo pour le minage brut étaient (comme dans le minage) des cartes vidéo basées sur des processeurs AMD, car elles étaient plus efficaces en termes de rapport prix/vitesse. Cependant, après la sortie de l'architecture sm_50 (Maxwell) de NVIDIA, il s'est avéré qu'elle est meilleure pour Brute, tandis que les cartes vidéo dotées de cette architecture consomment beaucoup moins d'énergie et sont également plus silencieuses et plus froides. Et désormais, la carte la plus efficace pour les hachages bruts est la carte NVIDIA GTX 980Ti (voir Fig. 3).

Et ce n'est pas pour rien que sur le forum InsidePro de plus en plus de hashcrackers se tournent vers ces cartes vidéo (à en juger par les signatures dans leurs messages) - avec une consommation maximale de seulement 165 W sur l'algorithme MD5, ils produisent une vitesse d'environ 15 milliards de mots de passe par seconde. Mais ils ont un inconvénient: le prix élevé, qui ne diminue pratiquement pas, et en raison de la hausse du taux de change du dollar, il a encore augmenté. Si le critère principal est le prix et que tous les autres paramètres ne sont pas importants, vous pouvez alors prendre des cartes vidéo sur processeurs AMD et en emballer votre ferme. Par exemple, le prix habituel d’un système équipé de deux cartes vidéo moyennes est d’environ 1 200 à 1 300 $.

Est-il possible de gagner de l’argent grâce au hashcracking ?

Oui bien sûr. En règle générale, vous pouvez gagner de l'argent dans n'importe quelle entreprise, l'essentiel est d'être un professionnel en la matière. Et le hashcracking ne fait pas exception. Tous les forums de hashcracker ont des sections payantes où sont passées les commandes de hashcracker. Ayant de bons dictionnaires, vous pouvez vous essayer à déchiffrer de tels hachages. Il vous suffit de prendre en compte que la règle principale sur ces forums est que celui qui casse le hachage en premier est payé pour cela. Par conséquent, un matériel puissant est simplement nécessaire pour pouvoir casser le hachage plus rapidement que les autres hashcrackers. En règle générale, le piratage de ces hachages constitue le principal revenu d'un hashcracker.

Il existe une autre option pour gagner de l'argent, qui a gagné en popularité ces derniers temps, mais elle s'adresse déjà aux propriétaires de grandes fermes. Vous pouvez louer de telles fermes à des hashcrackers moyennant un tarif journalier : il arrive souvent que vous ayez besoin d'explorer rapidement un hachage particulièrement précieux jusqu'à une bonne profondeur, mais la puissance d'une ou même de plusieurs cartes vidéo n'est clairement pas suffisante. De grandes capacités peuvent également être nécessaires lors des compétitions de hashcracking.

Riz. 3. La GTX 980Ti est un excellent choix pour le hashcracking

Quant au processeur, tout est simple : plus il y a de cœurs, plus la fréquence est élevée et plus la taille du cache est grande, plus la recherche sera rapide. Un processeur puissant vous permettra à la fois d'utiliser la ferme pour forcer brutalement les mots de passe sur le GPU et, en parallèle, de charger le CPU avec un travail secondaire - par exemple, vérifier d'autres hachages à l'aide de dictionnaires, tandis que tous les GPU sont occupés avec un hybride ou combiné attaque. La prise en charge des derniers jeux de commandes (dernières versions SSE et AVX) est également nécessaire, car presque tous les programmes ci-dessus ont un code adapté à ces jeux de commandes, ce qui augmente considérablement la vitesse de recherche.

Existe-t-il au moins quelque chose dans lequel le CPU peut encore rivaliser avec le GPU en termes de vitesse brute ? Pour les petits volumes - non, bien sûr. Mais sur les grandes listes de hachages avec des dizaines de millions de hachages (surtout salés), le traitement de la liste sur le CPU donne très souvent la même vitesse voire une vitesse supérieure à celle d'une carte vidéo. Et des centaines de millions de hachages dans le GPU ne sont souvent tout simplement pas chargés physiquement - il ne reste plus qu'à diviser la liste en fragments plus petits et à les brutaliser un par un, mais cela augmente proportionnellement le temps d'attaque, tandis que sur le CPU, vous pouvez charger et traiter toute la liste en une seule fois, si la capacité de la RAM le permet.

Et il existe un autre sujet sur lequel le CPU peut dépasser le GPU au fil du temps : le coprocesseur Intel Xeon Phi. Oui, son prix est encore très élevé, mais peut-être qu'avec le temps, il deviendra acceptable et qu'il sera possible de l'acheter et de l'utiliser pour effectuer des hachages brutaux sur votre ordinateur personnel. Nous pouvons alors obtenir un système très puissant, puisqu'il contient environ 60 processeurs quad-core (selon le modèle), ce qui nous donnera jusqu'à 240 threads à rechercher. Sur des algorithmes lourds comme bcrypt (qui sont très lents même sur les cartes vidéo), ce coprocesseur peut être plusieurs fois plus rapide que même les cartes vidéo les plus haut de gamme, ce n'est donc pas pour rien que les gars de l'équipe john-users l'ont surnommé le " tueur de bcrypt. Certes, il n'existe pas encore de logiciel de hackcracker dans le domaine public, mais avec le temps, il apparaîtra certainement.

Bien sûr, le lecteur peut objecter - mais qu'en est-il des puces FPGA (FPGA), qui produisent des vitesses énormes lors de l'extraction du même Bitcoin ? Oui, ils produisent même des terahashes par seconde, seulement ils sont programmés pour le seul algorithme SHA-256, qui est très rarement utilisé lors du hachage des mots de passe des utilisateurs réguliers (et un autre algorithme de mineur populaire - SCRYPT - est utilisé encore moins souvent). De plus, la puce FPGA elle-même produit une faible vitesse et les terahashes sont obtenus en combinant des dizaines (voire des centaines de puces) dans des matrices, et ce n'est pas une solution bon marché. Mais le principal inconvénient de tous les FPGA est qu’ils sont programmés uniquement pour la force brute d’un seul hachage. Bien sûr, de nombreux algorithmes ont déjà été portés sur ces puces, y compris MD5, mais cela n'a que peu d'avantages pratiques : il est plus rentable d'acheter une carte vidéo. Bien qu'Altera et Xilinx développent très activement leurs gammes de FPGA, ce sujet pourrait également, avec le temps, devenir très intéressant pour les hashcrackers.

Dictionnaires

Le succès du hashcracking repose sur de bons dictionnaires, constitués de préférence de mots de passe d’utilisateurs réels. Où puis-je les obtenir ? Il existe trois manières, examinons-les plus en détail.

1. Téléchargez des dictionnaires prêts à l'emploi sur Internet (en recherchant la liste de mots sur Google). C'est la méthode la plus simple, mais ces dictionnaires sont de très mauvaise qualité : ils contiennent beaucoup de déchets et de mots générés artificiellement, et peu de vrais mots de passe. C’est donc une option – ne serait-ce que pour la première fois.
2. Téléchargez des pièces jointes aux messages concernant les hachages brisés sur les forums InsidePro et HashKiller - des demandes d'aide avec de grandes listes de force brute y sont souvent publiées, et d'autres utilisateurs du forum aident en publiant leurs résultats au format hash:mot de passe. Cela signifie que vous pouvez télécharger ces fichiers vous-même et en extraire tous les mots de passe. Ce seront déjà de très bons dictionnaires, mais ils auront un inconvénient : tous les mots de passe de ces dictionnaires sont dans le domaine public et sont également disponibles pour tous les autres hashcrackers.
3. Développez vous-même des dictionnaires, en traitant constamment des listes de hachages non crackés qui peuvent être téléchargés à partir des mêmes forums. C’est la méthode la plus efficace, même si elle prend le plus de temps. Cependant, ces dictionnaires sont les plus précieux, car ils ne contiennent que des mots de passe réels, uniques et souvent privés. Les hashcrackers professionnels ont même un terme tel que «realpass mining», c'est-à-dire que s'il y a des hachages payants, la ferme les brutalise, s'il n'y en a pas, la ferme ne reste pas inactive, mais passe des jours à brutaliser des listes de hachages ininterrompus sur les forums, générer continuellement de plus en plus de mots de passe uniques dans la tirelire hashcracker.

Évidemment, quelqu'un qui s'intéresse sérieusement au hashcracking suit cette dernière voie et accumule progressivement son propre vocabulaire très efficace.

Dictionnaires de fréquence

Disons qu'il existe une énorme liste de hachages salés qui doivent être traités rapidement. Comment faire cela si une attaque contre un grand dictionnaire, même sur une ferme puissante, dure plusieurs jours, voire plusieurs semaines ? Il n’y a qu’une seule réponse : utiliser des dictionnaires de fréquences.

Qu'est-ce que c'est? Ce sont des dictionnaires ordinaires, mais les mots de passe y sont triés par ordre décroissant de fréquence d'utilisation. Dans ces dictionnaires, les mots de passe les plus populaires viennent en premier - voir des exemples de tels dictionnaires dans la distribution du programme Hash Manager, fichiers Top100xx.dic. Évidemment, il est plus efficace de vérifier les hachages d’abord pour les mots de passe les plus fréquemment utilisés, puis pour les plus rares, et ainsi de suite. Cela vous permettra de casser rapidement tous les mots de passe populaires et de simplifier considérablement la liste des hachages pour les travaux ultérieurs.

Ainsi, après avoir accumulé un certain nombre de dictionnaires, vous pouvez collecter des statistiques sur eux, créer votre propre dictionnaire de fréquences et commencer à traiter toutes les lourdes listes de hachages à partir de là.

Outils supplémentaires

Les programmes de hachage brut ne représentent qu'une petite partie de l'arsenal logiciel du hashcracker. Ou plutôt, c'est la partie la plus simple : j'ai pris un fichier avec des hachages, configuré les attaques nécessaires et l'ai lancé. Voilà, le programme peut fonctionner pendant des jours. Regardez simplement combien de pour cent de hachages sont cassés.

Généralement, de nombreux fichiers texte différents passent par un hashcracker :

• des listes de hachages de différents types et formats, souvent avec des hachages de différents types mélangés, et vous devez extraire les hachages séparément pour chaque algorithme ;
• les dictionnaires qui doivent être nettoyés, triés et supprimés les doublons ;
• des résultats bruts accumulés, dans lesquels les hachages non salés avec mots de passe et les hachages salés avec mots de passe sont souvent mélangés,
  et ainsi de suite.

En général, des centaines et des milliers de fichiers hétérogènes similaires restent un casse-tête. Et tout le monde s'en sort de différentes manières - certains, sous le même Linux, effectuent une partie du travail en utilisant les commandes du système d'exploitation lui-même (par exemple, grep), certains écrivent des scripts pour eux-mêmes en Perl, certains utilisent divers programmes. Mais le fait est évident : en plus des forceurs brutaux, nous avons également besoin d'outils qui doivent fonctionner avec des fichiers texte : trier, nettoyer, convertir d'un format à un autre, extraire ou réorganiser les données, vérifier le format, etc.

Il est extrêmement difficile de travailler sans ces outils et, par conséquent, chaque force brute est généralement livré avec son propre ensemble d'utilitaires divers. Et hashcat dispose d'un tel kit, ainsi que JtR, mais le plus grand ensemble d'utilitaires pour Windows est le programme Hash Manager. Il contient plus de 70 outils, construits sur le principe : une fonction = un fichier. Ainsi, à partir d'eux, comme des briques, vous pouvez assembler un fichier BAT qui traite des fichiers de toute complexité. Et les versions 64 bits des outils vous permettent de traiter des fichiers de taille illimitée.

Voici un exemple de fichier BAT montrant comment extraire uniquement les hachages Magento avec un sel à deux caractères à partir d'une liste dans laquelle des hachages de différents types sont mélangés :

REM Extrait uniquement les lignes de 35 caractères ExtractLinesByLen . exe % 1 35 35 REM Renommez le fichier avec les lignes extraites en fichier 2.txt DEPLACER / Y % 1.Lignes 2.txt REM Vérification du format des hachages IsCharset . exe 2.txt ? heure 1 REM Vérifiez le format de sel IsCharsetInPos . exe 2.txt 33 ":" IsCharsetInPos . exe 2.txt 34 ? Je? toi ? d IsCharsetInPos. exe 2.txt 35 ? Je? toi ? d REM Fini ! Dans le fichier 2.txt, il n'y a que des hachages de Magento

Dans le package de distribution du programme Hash Manager, dans le dossier Bonus, vous pouvez trouver environ 30 exemples prêts à l'emploi qui exécutent diverses fonctions utiles pour le hashcracker.

Algorithmes de hachage

D’une part, l’ensemble des algorithmes de hachage actuels reste quasiment inchangé au fil du temps. Les raisons sont simples : les algorithmes de hachage des mots de passe des utilisateurs du système d'exploitation n'ont pas changé depuis des années, et sur Internet, des centaines de milliers de ressources sont toujours basées sur des moteurs obsolètes et les versions ne sont pas mises à jour, malgré le fait que toutes les nouvelles versions des forums et Le CMS prend déjà en charge un hachage plus fiable - par exemple, dans la version 4 d'IPB, l'algorithme bcrypt est déjà installé. D'un autre côté, de petits changements se produisent encore - de plus en plus d'algorithmes très lourds commencent à apparaître - diverses variantes de PBKDF2 et du même bcrypt, qui sont traitées à une vitesse limitée, même dans les fermes.

Au total, des centaines d'algorithmes sont déjà connus ; des exemples de leurs hachages peuvent être consultés. La grande majorité des algorithmes de hachage sont basés sur l'un des algorithmes standards : MD5, SHA-1, SHA-256 et SHA-512, ou une combinaison de ceux-ci. Les Brute Forcers prennent depuis longtemps en charge des dizaines d’algorithmes de ce type dans les versions GPU et des centaines d’algorithmes dans les versions CPU.

Travailler avec n'importe quel hachage commence par analyser son format. S'il a une signature familière (voir les exemples de hachage ci-dessus), alors il est immédiatement clair quel algorithme utiliser pour le brutaliser. Si le hachage n'a pas de signature, alors le moteur du forum ou du CMS d'où il a été extrait est analysé. Il existe une longue liste de moteurs avec une description de l'algorithme dans chacun d'eux. Si le moteur est connu, mais que l'algorithme de hachage n'est toujours pas clair, alors vous pouvez essayer de rechercher sur Internet la distribution de ce moteur et d'analyser son code source, en termes de code d'autorisation utilisateur.

S'il n'y a pas de codes sources pour le moteur, vous devez alors obtenir un hachage d'un mot de passe pré-connu - par exemple, enregistrez quelques nouveaux utilisateurs sur le forum, de préférence avec le même mot de passe simple comme 123456. Si leurs hachages sont de même (on suppose que le hacker a accès aux hachages), ce qui signifie que seul le mot de passe est utilisé lors du hachage. S'ils sont différents, quelque chose d'autre est ajouté au mot de passe, unique pour chaque utilisateur - sel, connexion, e-mail. Et puis vous pouvez essayer de sélectionner un algorithme en utilisant le mot de passe et le hachage existants. Par exemple, dans le programme Hash Manager, dans le dossier BonusSearchAlgorithm, il y a un fichier BAT pour rechercher automatiquement un algorithme en utilisant tous les algorithmes disponibles dans le programme (environ 400), y compris la vérification des mots de passe en Unicode, ainsi que du sel (ou nom d'utilisateur) en hexadécimal.

Eh bien, si vous ne parvenez toujours pas à déterminer l'algorithme, vous pouvez demander sur le forum - par exemple . Que se passe-t-il si quelqu'un a déjà rencontré de tels hachages ?

De l'autre côté de la barricade

Regardons maintenant les hachages à travers les yeux de l'administrateur de la ressource qu'il souhaite protéger au maximum du piratage. Comment rendre la vie plus difficile à un hashcracker ou même faire en sorte que les hachages des utilisateurs deviennent incassables ?

Parfois, pour ce faire, il suffit de passer à la dernière version du moteur et de sélectionner l'algorithme le plus lent en termes de vitesse brute. Mais s'il n'est pas prévu de mettre à jour le moteur et que l'administrateur souhaite protéger autant que possible les mots de passe de ses utilisateurs contre les devinettes, il existe alors une autre option : corriger le code de vérification du mot de passe afin que tous les utilisateurs nouvellement enregistrés (ou ceux qui ont changé leur mot de passe après une certaine date) voient leurs mots de passe hachés différemment. Comment?

Bien sûr, vous pouvez utiliser n'importe quel algorithme standard robuste de la fonction Linux crypt() - sha512crypt ou bcrypt. Mais si vous parvenez à obtenir de tels hachages, le hashcracker déterminera immédiatement l'algorithme basé sur les signatures et pourra casser les hachages (bien que lentement). Conclusion - vous devez hacher les mots de passe afin qu'un hashcracker ne puisse pas déterminer sans ambiguïté l'algorithme par le type de hachage, et cela ne peut être fait qu'en utilisant des méthodes non standard.

Par exemple, vous pouvez ajouter un sel statique au mot de passe (même s'il est le même pour tout le monde, mais très long - 200 à 500 caractères) et le hacher à l'aide de la fonction PHP md5 habituelle. Ce sel n'est pas présent dans la base de données du forum (comme par exemple dans les moteurs vBulletin ou osCommerce) ; il est cousu uniquement en code PHP, bien plus difficile d'accès que les hashs. Mais même si vous obtenez ce sel, il n'existe presque aucun forceur brut qui prend en charge le travail avec un sel aussi long (du moins sur le GPU - certainement pas).

Une autre option consiste à hacher cycliquement le MD5 habituel du mot de passe 50 à 100 000 fois. Cela n'aura presque aucun effet sur la vitesse d'autorisation de l'utilisateur, mais la vitesse de force brute de tels hachages sera faible (à condition qu'il soit toujours possible de connaître le nombre d'itérations - encore une fois, uniquement à partir du code PHP). Et si cela ne réussit pas, vous ne pourrez pas du tout les accoupler.

Vous pouvez également prendre un hachage plus long d'un autre algorithme (par exemple, SHA-256 ou SHA-512) et au lieu du hachage complet, stocker dans la base de données un fragment de 32 caractères du milieu du hachage (et les octets peuvent également être réorganisé). Un hashcracker, voyant un tel hachage, sera sûr qu'il s'agit de MD5 (ou de sa modification), et tentera de le brutaliser, mais cela ne sert à rien.

En général, l'imagination est illimitée ici - au fil des années de travail avec les hachages, l'auteur a rencontré de nombreux types de hachage ingénieux, mais le fait est évident - il y a beaucoup de dumps provenant de CMS auto-écrits, ou à partir de CMS commerciaux sans codes sources disponibles, ou à partir de forums corrigés (apparemment), et les CMS restent ininterrompus à ce jour. Ce qui est mélangé à l’intérieur lors du hachage est inconnu.

Et un conseil intemporel à tous les utilisateurs : l'option la plus fiable pour protéger votre compte contre le piratage, même si le hachage de votre mot de passe a été consulté, est d'utiliser un mot de passe long composé de caractères aléatoires. De tels mots de passe ne peuvent pas être déchiffrés !

Compétitions de hashcracking

Et où un hashcracker peut-il rivaliser avec d’autres hashcrackers dans sa capacité à casser des hachages ? Bien sûr, lors des compétitions ! Les principaux sont le concours Crack Me If You Can, organisé par KoreLogic dans le cadre de la conférence annuelle DEF CON, et le concours Hash Runner lors de la conférence annuelle Positive Hack Days.

Les règles de ces compétitions sont très simples : vous devez briser autant de hachages de compétition que possible dans un temps limité (généralement 48 heures) et effectuer des tâches supplémentaires également liées aux hachages. Et comme le temps est très limité, les hashcrackers forment toujours des équipes lors de telles compétitions.

Historiquement, dès les premières compétitions, trois équipes principales ont été formées - InsidePro, hashcat et john-users, qui toutes ces années ont systématiquement partagé trois prix dans diverses combinaisons. Même par les noms des équipes, il est déjà évident autour de quel logiciel ou site elles se sont unies. Chaque équipe comprend l'auteur de ce logiciel, et la raison en est également claire : des algorithmes de hachage nouveaux ou modifiés sont toujours rencontrés lors des compétitions, et vous devez très rapidement modifier le programme de force brute ou y ajouter un nouvel algorithme. Il est très difficile pour quiconque n'a pas la capacité d'adapter rapidement (souvent en quelques heures, voire quelques minutes) le logiciel aux fonctionnalités nécessaires pour se qualifier pour un prix.

Tous les rapports de compétition sont disponibles sur les sites Internet des équipes, ainsi que sur les sites Internet des organisateurs - par exemple, .

Riz. 4. Photo d'archive - organisateurs du concours de hashcracking au DEFCON 2012

Malheureusement, il n’existe pas d’autres compétitions majeures de hashcracking. Parfois, il existe de petites compétitions sur les forums de hashcrackers, mais leur portée est bien moindre. D'autre part, de nombreux hashcrackers professionnels sont toujours en « mode compétition », puisque des hachages valant des centaines voire des milliers de dollars sont périodiquement publiés sur les forums, donc immédiatement après leur publication, les hashcrackers rejoignent la lutte pour ce hash afin d'en battre d'autres, être le premier à casser le mot de passe et recevoir un « prix », c'est-à-dire le paiement du mot de passe.

Conclusion

La complexité croissante des algorithmes de hachage et l’utilisation de mots de passe de plus en plus complexes et longs par les utilisateurs sont compensées par une augmentation de la puissance de calcul des hashcrackers et la création de fermes de plus en plus puissantes qui brisent les hachages à des vitesses que nous ne pouvions même pas imaginer il y a quelques années.

Mais l'essentiel est que l'idéologie elle-même - stocker les mots de passe des utilisateurs sous forme de hachages - n'a pas changé depuis de nombreuses années, et cela s'applique à la fois aux mots de passe des utilisateurs de ressources Internet et aux utilisateurs de divers systèmes d'exploitation, ce qui signifie que la connaissance en le domaine du hashcracking sera d’actualité et pour toutes les années à venir !

Comment casser un hachage si vous n'avez ni matériel ni logiciel sous la main ?

Pour ce faire, vous pouvez vérifier votre hachage dans des bases de données de hachage en ligne comme www.cmd5.ru. Ou directement sur des services comme www.hashchecker.de, qui vérifient en masse le hachage dans des dizaines de bases de données, et peut-être aurez-vous de la chance.

Mais ces services présentent un inconvénient : ils contiennent principalement des hachages de mots de passe générés artificiellement. Jusqu'à présent, le seul service où seuls les hachages et mots de passe des utilisateurs réels sont collectés est Hash Finder. Il a déjà accumulé plus de 500 millions de hachages et de mots de passe de ce type - tous ont en fait été utilisés par quelqu'un à un moment donné, de sorte que le pourcentage de mots de passe trouvés sur celui-ci est beaucoup plus élevé que sur d'autres services.

Une autre option consiste à publier votre hachage (ou votre liste de hachages) sur l'un des forums hashcracker, où vous pouvez toujours obtenir de l'aide. Forums les plus populaires :

Vous pouvez également publier votre hachage dans des fils de discussion payants de ces forums, en indiquant le prix du mot de passe trouvé. Ensuite, des dizaines de hashcrackers sont assurés de commencer à travailler avec, et il existe une forte probabilité de piratage du mot de passe.

Dernière mise à jour le 18 novembre 2016.

Dans la couverture médiatique du virus NotPetya, il n’a pas été rapporté qu’il pourrait faire encore plus de mal. Par exemple, la force brutale contre le Parlement britannique. Ceci est un autre rappel que la force brute reste une menace mondiale :

Cela nous amène également à des questions importantes : comment cela a-t-il pu se produire en premier lieu :

Des problèmes comme ceux-ci nous font penser que ce type d’attaque doit faire l’objet d’une enquête plus approfondie.

Définition de la force brute

À l'heure actuelle, il existe deux méthodes principales de piratage sur Internet : l'utilisation d'erreurs humaines ou de suppositions. Les erreurs sont à la base de nombreuses attaques : le phishing ( erreur de l'utilisateur), exploitant des failles de configuration ( erreur d'administration) ou des vulnérabilités zero-day ( erreur du développeur). Mais un autre type d’attaque repose sur des hypothèses : la force brute.

Le plus souvent, des attaques par force brute sont utilisées pour deviner les informations d'identification. Bien qu'ils puissent être utilisés pour le piratage d'URL.

Une attaque classique par force brute est une tentative de « deviner » un mot de passe sur un PC lorsqu’un attaquant a pris possession de sa valeur cryptée.

Il permet à un pirate informatique d’utiliser des ordinateurs puissants pour tester un grand nombre de mots de passe sans risquer d’être détecté. D’un autre côté, une telle attaque par force brute ne peut pas être la première étape. Pour ce faire, l’attaquant doit déjà disposer d’une copie des mots de passe cryptés.

Une attaque en ligne se produit lorsqu'un attaquant tente de pirater la fonction de connexion d'un système ou d'une application via des informations d'identification par force brute. Puisqu’il n’a pas besoin d’obtenir au préalable les mots de passe cryptés, un pirate informatique peut utiliser cette méthode lorsqu’il tente de s’introduire dans un système.

Les attaques par force brute se produisent-elles en ligne ?

Trouver un nom d'utilisateur et un mot de passe en même temps n'est pas facile. La plupart des systèmes ne signalent pas si le nom d'utilisateur ou le mot de passe a été saisi de manière incorrecte en cas d'échec d'une connexion. La première étape d’un attaquant est d’essayer d’attaquer les utilisateurs connus.

Un pirate informatique peut trouver des noms d’utilisateur en utilisant la recherche publique. Dans de nombreuses organisations, par exemple, les connexions des utilisateurs ont une structure prévisible basée sur le nom de l'employé. Une simple recherche sur LinkedIn révèle un grand nombre de noms d’utilisateurs.

Cependant, ce type d’attaque classique par force brute en ligne est plutôt hypothétique. La raison est simple : la plupart des systèmes et applications modernes disposent d’un blocage intégré. Si un utilisateur ne parvient pas à se connecter après plusieurs tentatives, le compte est verrouillé et nécessite l'intervention de l'administrateur pour le déverrouiller.

Aujourd’hui, une telle protection contre la force brute crée plus de problèmes aux services informatiques qu’aux attaquants. La gestion de ces verrous devient un problème plus urgent que la détection par force brute.

L'exception concerne les applications personnalisées. Même si une connexion Windows traditionnelle ne peut pas être utilisée à des fins de force brute, une nouvelle application Web conçue spécifiquement pour une campagne marketing à venir peut faire exactement cela.

Augmentation du nombre de cas de credential stuffing

Alors que les attaques classiques par force brute en ligne sont en déclin, le credential stuffing ne fait que prendre de l’ampleur.

Le credential stuffing est une attaque dans laquelle les attaquants utilisent des paires nom d'utilisateur/mot de passe volées sur des sites publics pour pénétrer dans le système cible.

Le nombre d'attaques réussies contre des sites Web publics augmente et les attaquants publient des bases de données d'informations d'identification ou les vendent sur des bourses clandestines. Une hypothèse trop souvent prouvée est que les gens utilisent le même nom d’utilisateur et le même mot de passe sur différents sites.

La sélection du mot de passe par force brute lors du bourrage d'informations d'identification vous permet de contourner le blocage, puisque chaque nom d'utilisateur n'est saisi qu'une seule fois. L’utilisation d’une paire nom d’utilisateur/mot de passe connue augmente les chances de succès avec moins de tentatives.

Le blocage n’étant pas une contre-mesure efficace, les organisations utilisent souvent des mécanismes d’authentification à deux facteurs. L'authentification à deux facteurs nécessite que l'utilisateur ait autre chose qu'un mot de passe. Par exemple, le numéro de mobile auquel l'utilisateur peut recevoir un message texte.

L'authentification à deux facteurs étant fastidieuse, une authentification réussie est généralement approuvée sur la base de tout accès « similaire ». Un accès « similaire » peut être l’utilisation du même appareil ou du même emplacement géographique.

Beaucoup d'entre nous ont rencontré des sites qui nécessitent une authentification à deux facteurs lors de l'accès à partir d'un nouvel appareil, d'un réseau public ou en voyage.

Bien que l’authentification à deux facteurs soit une solution sécurisée, elle présente des inconvénients importants : elle modifie l’interface utilisateur et nécessite une connexion interactive.

Il n'y a rien de plus ennuyeux que d'être confronté à une authentification à deux facteurs lors de la connexion depuis votre smartphone. De ce fait, cette option est souvent laissée à la discrétion de l'utilisateur comme option supplémentaire. Par conséquent, il existe un besoin pour un système de détection associé à l’utilisation d’analyses qui reconnaîtrait la méthode de force brute.

Détection des attaques par force brute

Une méthode souvent recommandée pour détecter les attaques par force brute consiste à identifier les attaques classiques. Il s'agit de la détection de plusieurs tentatives de connexion infructueuses pour un seul utilisateur sur une courte période de temps.

De nombreux conseils pour les débutants lors de la création de règles de corrélation SIEM ( Gestion des informations de sécurité et des événements) se concentrent sur la détection des attaques par force brute précisément dans ce scénario. Bien qu’il s’agisse d’une méthode élégante et simple, elle vise à identifier un vecteur d’attaque quasi inexistant.

Un facteur permettant d'identifier une attaque par force brute lors de l'authentification est le grand nombre de tentatives de connexion infructueuses. Mais comme l’utilisateur ne peut pas être la clé de la détection, le système doit se concentrer sur une autre clé pour associer le flux d’événements qui constituent l’attaque.

Une méthode consiste à suivre les tentatives d’authentification ayant échoué à partir d’une seule adresse IP. Mais les adresses IP publiques deviennent de plus en plus chères, de sorte que de plus en plus d'utilisateurs obtiennent une adresse IP partagée.

Pour faire face à ce problème, le mécanisme de détection doit détecter la vitesse normale des connexions ou des échecs à partir de l'adresse IP source afin d'établir quelle serait la vitesse anormale. Prenant ainsi en compte le fait que plusieurs utilisateurs peuvent se connecter à la même adresse IP.

Le détecteur peut également utiliser une empreinte digitale de l'appareil ( combinaison de propriétés spécifiques à l'appareil dans un événement d'authentification) pour différencier une source spécifique de celles qui utilisent la même adresse IP. Mais cela ne peut pas être le facteur principal, mais permet uniquement de vérifier un attaquant potentiel. La plupart de ces empreintes digitales sont sous le contrôle d’un attaquant et peuvent être falsifiées.

Les attaques distribuées par force brute, telles que l'utilisation d'un botnet ou la redirection via le réseau proxy TOR, compliquent encore la tâche. Le suivi de la source devient inefficace. Le filtrage des appareils peut fonctionner dans une certaine mesure. Surtout si l'attaque est menée par une seule source, mais par plusieurs voies. Comme mesure supplémentaire, les renseignements sur les menaces potentielles peuvent être utilisés pour aider à identifier les accès provenant d’hôtes de réseaux de zombies ou de serveurs proxy connus.

Pratique de détection des attaques

Jusqu’à présent, nous avons supposé que les événements analysés pour établir une attaque étaient saillants. Tout événement de connexion ayant échoué est défini comme une tentative réussie ou infructueuse, et le nom d'utilisateur est toujours dans le même champ et dans le même format.

Mais traiter le flux d’événements pour les préparer à l’analyse et à la détection de force brute est également une question qui doit être considérée séparément.

Prenons comme exemple Windows, la source la plus courante. Événement de connexion Windows ( ID d'événement 4624) et l'événement d'échec de connexion Windows ( ID d'événement 4625) sont enregistrés localement sur chaque ordinateur. Cela rend plus difficile la collecte d’informations. Cela signifie également qu'un attaquant propriétaire de l'ordinateur peut empêcher sa réception. Le contrôleur de domaine enregistre un événement d'authentification, qui peut être utilisé comme proxy pour l'événement de connexion.

Une fois que nous avons compris quels événements surveiller, nous devons encore savoir comment identifier correctement les tentatives de connexion réussies ou infructueuses. Les tentatives de connexion locale réussies ou infructueuses sont des événements distincts qui sont marqués dans un événement pour l'authentification du contrôleur de domaine.

Voici les résultats de la recherche Splunk ( dans le référentiel de recherche GoSplunk) que j'ai utilisé pour identifier les tentatives de connexion Windows réussies et infructueuses, démontre le niveau de connaissances requis pour extraire ces informations des événements. Cela ne prend même pas en compte l'authentification du contrôleur de domaine.

source="WinEventLog:sécurité" (Logon_Type=2 OU Logon_Type=7 OU Logon_Type=10) (EventCode=528 OU EventCode=540 OU EventCode=4624 OU EventCode=4625 OU EventCode=529 OU EventCode=530 OU EventCode=531 OU EventCode =532 OU EventCode=533 OU EventCode=534 OU EventCode=535 OU EventCode=536 OU EventCode=537 OU EventCode=539) | eval status=case(EventCode=528, "Connexion réussie", EventCode=540, "Connexion réussie", EventCode=4624, "Connexion réussie", EventCode=4625, "Échec de connexion", EventCode=529, "Échec de connexion", EventCode=530, "Échec de connexion", EventCode=531, "Échec de connexion", EventCode=532, "Échec de connexion", EventCode=533, "Échec de connexion", EventCode=534, "Échec de connexion", EventCode=535, " Échec de la connexion", EventCode=536, "Échec de la connexion", EventCode=537, "Échec de la connexion", EventCode=539, "Échec de la connexion") | statistiques comptent par statut | trier - compter

Détection d'attaque via Cyber ​​​​Kill-Chain

La détection des attaques par force brute est une tâche difficile lors de la protection contre la force brute de WordPress. Aucune des méthodes de détection décrites ci-dessus ne donne une garantie de résultat à 100 %, et les attaquants, à leur tour, améliorent constamment leurs méthodes pour contrer leur détection.

Force brute(de l'anglais brute force - recherche exhaustive ou méthode "brute force") est l'une des méthodes populaires pour déchiffrer les mots de passe sur les serveurs et dans divers programmes. Cela consiste dans le fait qu'un programme de craquage tente d'accéder à un programme (par exemple, une boîte aux lettres) en forçant brutalement des mots de passe selon des critères spécifiés par le propriétaire de ce programme : par dictionnaire, par longueur, par combinaisons de nombres, et en principe, ces critères sont nombreux.

La méthode de piratage par force brute est assez longue, mais puissante, elle reste donc en service auprès des pirates à ce jour, et compte tenu de la puissance toujours croissante des ordinateurs et de la bande passante des canaux Internet, elle restera en service pendant longtemps .

Cette méthode pour deviner les mots de passe est très efficace car le mot de passe est finalement déchiffré, mais cela peut prendre très, très longtemps, souvent même des siècles. Ainsi, cette méthode de piratage ne se justifie pas toujours si l'utilisateur propriétaire du service piraté s'est comporté de manière assez rusée et n'a pas utilisé de mots de passe simples comme « 123 », « qwerty » et autres, mais a utilisé à la fois des caractères majuscules et minuscules, et tout cela. utilisait à la fois des chiffres et autorisait les caractères spéciaux. Si le mot de passe est également suffisamment long (environ 10 caractères), il peut alors être piraté en utilisant force brute mais pratiquement aucune menace.

Avec la force brute, une attaque par dictionnaire est le plus souvent utilisée - les mots de passe sont sélectionnés à partir d'un fichier texte d'un dictionnaire précompilé (demandé, acheté, volé, téléchargé gratuitement). Cette méthode d'attaque est très efficace pour le piratage massif, par exemple, de comptes de messagerie Internet ICQ, lorsqu'un attaquant, par exemple, tente de pirater une certaine plage de numéros ICQ. De plus, il y a une probabilité assez élevée qu'il réussisse avec une attaque par dictionnaire. Les exemples incluent des incidents répétés de piratage.

Depuis 2005, le nombre d’attaques contre les services SSH sécurisés a également considérablement augmenté. Même si le dernier logiciel est installé sur votre serveur, cela ne signifie pas qu'il est impossible de deviner le mot de passe de celui-ci si le pare-feu est inactif ou configuré de manière incorrecte ou insuffisamment. Alors, pour augmenter l'impossibilité de piratage, configurez correctement votre pare-feu, cela contribuera à vous protéger des mauvaises surprises à l'avenir.

Il existe de nombreux programmes permettant d'effectuer une force brute sur Internet, ainsi qu'un grand nombre de dictionnaires gratuits et payants pour eux.

Donc, si vous êtes un pirate informatique aguerri et que vous voulez tout pirater, alors allez-y, et si vous êtes un utilisateur respectueux des lois, compliquez tous vos mots de passe jusqu'à ce qu'ils soient inaccessibles. force brute et les hauteurs.

Et enfin, parlons un peu du côté mathématique de Brutus.

Comme le dit Wikipédia, tout problème (!!!) de la classe NP peut être résolu par une recherche exhaustive. Mais tout cela peut prendre un temps exponentiel (!!!).

Lors du développement de divers chiffrements cryptographiques, la méthode de la force brute est utilisée pour évaluer sa résistance (du chiffre) au craquage. Dans ce cas, un nouveau chiffre est considéré comme suffisamment fort s'il n'existe pas de méthode plus rapide pour le déchiffrer qu'une recherche complète de toutes les clés possibles. Attaques cryptographiques telles que Brutus, sont les plus efficaces, mais prennent souvent beaucoup de temps.

Lorsque certaines conditions sont connues, la méthode brute des mots de passe utilise le filtrage des valeurs inacceptables (mots de passe vides, mêmes caractères répétés, etc.). En mathématiques, cette méthode est appelée méthode de branchement et de liaison.

Aussi quand Brutus Des méthodes de parallélisation des calculs sont utilisées lorsque plusieurs mots de passe sont recherchés simultanément. Cela se fait par deux méthodes : la méthode du convoyeur et la Brutus et à partir de sous-ensembles disjoints de tous les mots de passe possibles.

Ceci conclut l'article sur la force brute, et nous espérons vraiment que les informations qu'il contient vous seront utiles, notre cher et respecté lecteur, tant dans le piratage que dans le déploiement de systèmes de sécurité informatique.

Et bien que les informations contenues dans l'article soient loin d'être complètes, nous espérons que vous avez compris à partir de son contenu dans quelle direction vous devez vous diriger ensuite.

La force brute (dérivée de l'expression anglaise : force brute) est un type d'attaque de pirate informatique - une méthode de piratage de comptes dans des systèmes informatiques, des services de paiement/bancaires et des sites Web grâce à la sélection automatisée de combinaisons de mots de passe et de connexion.

La force brute est basée sur la méthode mathématique du même nom (force brute), dans laquelle la solution correcte - un nombre fini ou une combinaison symbolique - est trouvée en recherchant parmi diverses options. En fait, l’exactitude de chaque valeur d’un ensemble donné de réponses potentielles (solutions) est vérifiée.

Comment fonctionne la force brute

Un pirate informatique écrit un programme spécial pour deviner les mots de passe ou utilise une solution toute faite de ses collègues. Il peut cibler un service de messagerie, un site Web ou un réseau social spécifique (c'est-à-dire qu'il est destiné au piratage d'une ressource spécifique). Ensuite, les préparatifs pour le piratage sont effectués. Il comprend les étapes suivantes :

1. Préparation d'une liste de procurations

Afin de masquer la véritable adresse IP de l'ordinateur à partir duquel l'attaque sera effectuée et d'éviter le blocage du site sur lequel le compte doit être piraté, une connexion Internet est configurée via un serveur proxy.

La recherche d'adresses/ports proxy s'effectue dans le Proxy Grabber. Cet utilitaire récupère indépendamment toutes les données de connexion aux serveurs intermédiaires des sites fournissant des proxys (ils sont précisés dans la liste). Autrement dit, un proxy est collecté.

La base de données résultante est enregistrée dans un fichier texte séparé. Et puis toutes les adresses de serveur qu'il contient sont vérifiées pour leur opérabilité dans le vérificateur de proxy. Très souvent, les programmes conçus pour l'extraction automatisée de proxy combinent les fonctions à la fois de grabber et de checker.

En conséquence, vous obtenez une liste de proxys prête à l'emploi sous la forme d'une liste d'IP/ports, enregistrée dans un fichier txt. (Vous en aurez besoin lors de la configuration du programme de force brute).

1. Rechercher des bases pour Brute

Vous devez connecter un dictionnaire à la force brute - un certain ensemble de combinaisons de mots de passe et de connexions - qu'il remplacera dans le formulaire de connexion. Comme la liste de proxy, elle se présente sous la forme d'une liste dans un fichier texte ordinaire (.txt). Les dictionnaires, également appelés bases de données, sont distribués via des forums de hackers, des sites Web et des services d'hébergement de fichiers. Des « artisans » plus expérimentés les créent eux-mêmes et les fournissent à tout le monde moyennant des frais. Plus la base (nombre de combinaisons, de connexions, de comptes) est grande, mieux c'est (pour le pirate informatique) - plus la probabilité de succès du piratage est grande.

1. Mise en place de la force brute

La liste de proxy est chargée ; le programme de sélection changera automatiquement le proxy afin que le serveur Web ne détecte pas l'attaque et, par conséquent, la source (hôte) de l'attaque.

Un dictionnaire de combinaisons mot de passe/identifiant est connecté. Le nombre de threads est défini - combien de combinaisons la force brute vérifiera en même temps. Un ordinateur puissant doté d'une vitesse Internet élevée peut gérer en toute confiance 120 à 200 flux (c'est la valeur optimale). La vitesse de la brute dépend directement de ce réglage. Par exemple, si vous définissez seulement 10 threads, la sélection sera très lente.

1. Exécuter la force brute

Le programme enregistre les tentatives de piratage réussies : il enregistre les comptes liés (mot de passe/login) dans un fichier. La durée de la procédure de sélection varie de plusieurs heures à plusieurs jours. Cependant, cette méthode n’est pas toujours efficace en raison de la force cryptographique élevée des données de connexion ou de la mise en œuvre d’autres mesures de protection par l’attaquant.

Types de force brute

Piratage personnel

Recherche d'un compte spécifique - sur un réseau social, sur un service de messagerie, etc. Grâce ou en cours de communication virtuelle, l'attaquant extrait de la victime un identifiant pour accéder à un site Web. Ensuite, il déchiffre le mot de passe en utilisant des méthodes de force brute : il utilise la force brute pour indiquer l'adresse de la ressource Web et le login obtenu, et connecte le dictionnaire.

Les chances d’un tel piratage sont faibles, par exemple, par rapport à la même attaque XSS. Cela peut réussir si le propriétaire du compte utilise un mot de passe de 6 à 7 caractères avec une simple combinaison de symboles. Sinon, "résoudre" des variantes plus stables de 12, 15, 20 lettres, chiffres et caractères spéciaux prendra des années - des dizaines et des centaines d'années, sur la base des calculs de la formule de recherche mathématique.

Brut/chèque

Une base de données avec les identifiants/mots de passe des boîtes aux lettres d'un service de messagerie (par exemple, mail.ru) ou de différents services est connectée par force brute. Et une liste de proxy - pour masquer le nœud (puisque les services Web de messagerie détectent rapidement une attaque basée sur plusieurs requêtes provenant d'une même adresse IP).

Les options de la brute indiquent une liste de mots-clés (généralement des noms de sites) - des repères par lesquels il recherchera des informations de connexion sur des boîtes aux lettres piratées (par exemple : steampowered, worldoftanks, 4game, VK). Ou une ressource Internet spécifique.

Lors de son inscription à un jeu en ligne, un réseau social ou un forum, un utilisateur indique, comme prévu, son email (boîte aux lettres). Le service Web envoie un message à l'adresse spécifiée avec les informations de connexion et un lien pour confirmer l'inscription. Ce sont ces lettres que recherche la force brute afin d'en extraire les identifiants et les mots de passe.

Cliquez sur « START » et le programme de craquage commence par force brute. Il fonctionne selon l'algorithme suivant :

1. Charge le login/mot de passe de l'e-mail à partir de la base de données.
2. Vérifie l'accès, ou « vérifie » (se connecte automatiquement) : s'il est possible de se connecter au compte, il en ajoute un dans la colonne bon (cela signifie qu'un autre email professionnel a été trouvé) et commence à le visualiser (voir les points suivants ); s'il n'y a pas d'accès, il est répertorié comme mauvais.
3. Dans tous les « bips » (e-mails ouverts), la force brute analyse les lettres selon la demande spécifiée par le pirate informatique, c'est-à-dire qu'elle recherche les identifiants/mots de passe pour les sites et systèmes de paiement spécifiés.
4. Lorsque les données requises sont trouvées, il les copie et les écrit dans un fichier séparé.

Ainsi, un « détournement » massif de comptes se produit – de plusieurs dizaines à plusieurs centaines. L'attaquant dispose des « trophées » obtenus à sa propre discrétion - vente, échange, collecte de données, vol d'argent.

Piratage informatique à distance

La force brute, en conjonction avec d’autres utilitaires de pirate informatique, est utilisée pour accéder à distance au PC d’une victime protégée par mot de passe via un canal Internet.

Ce type d'attaque comprend les étapes suivantes :

1. Une recherche est effectuée sur les réseaux IP dans lesquels l'attaque sur les ordinateurs des utilisateurs sera effectuée. Les plages d'adresses sont extraites de bases de données spéciales ou via des programmes spéciaux, tels que IP Geo. Vous pouvez y sélectionner des réseaux IP pour un district, une région et même une ville spécifique.
2. Les plages IP sélectionnées et les dictionnaires de sélection sont définis dans les paramètres de la force brute Lamescan (ou son analogue), destinés à la connexion/mot de passe par force brute à distance. Une fois lancé, Lamescan effectue les opérations suivantes :

• établit une connexion à chaque IP à partir d'une plage donnée ;
• après avoir établi une connexion, il essaie de se connecter à l'hôte (PC) via le port 4899 (mais il peut y avoir d'autres options) ;
• si le port est ouvert : tente d'accéder au système, lorsqu'on lui demande un mot de passe, effectue une devinette ; en cas de succès, il enregistre l'adresse IP de l'hôte (ordinateur) et les informations de connexion dans sa base de données.

1. Le hacker lance l'utilitaire Radmin, conçu pour gérer les PC distants. Définit les coordonnées réseau de la victime (IP, identifiant et mot de passe) et obtient un contrôle total sur le système - le bureau (affiché visuellement sur l'écran de l'ordinateur de l'attaquant), les répertoires de fichiers, les paramètres.

Programmes pour Brutus

Force brute classique, l'une des toutes premières. Cependant, il ne perd pas de sa pertinence et concurrence les nouvelles solutions. Il dispose d'un algorithme de force brute rapide et prend en charge tous les principaux protocoles Internet - TCP/IP, POP3, HTTP, etc. Il peut falsifier des cookies. Brut le dictionnaire et génère des mots de passe de manière indépendante.

Puissant vérificateur de brutes. Equipé d'un arsenal étendu de fonctions pour travailler avec des bases de données (vérification, tri par domaine). Prend en charge différents types de proxys et vérifie leur fonctionnalité. Analyse les lettres dans les boîtes aux lettres en fonction de paramètres tels que la date, le mot-clé, l'adresse et les messages non lus. Peut télécharger des lettres de Mail.ru et Yandex.

Déverrouillage de mot de passe Appnimi

Un programme permettant de forcer brutalement un mot de passe pour un fichier sur un ordinateur local. Une sorte de bête de somme. La version gratuite du programme vous permet de sélectionner des mots de passe de 5 caractères maximum. Vous pouvez lire comment installer et utiliser Appnimi Password Unlocker

Dans le monde de la cybercriminalité, la force brute est une activité qui implique des tentatives répétées et séquentielles visant à essayer différentes combinaisons de mots de passe pour accéder à un site Web ou déverrouiller un appareil. Cette tentative est réalisée par des pirates informatiques utilisant des robots qu'ils installent de manière malveillante sur d'autres ordinateurs pour augmenter la puissance de calcul nécessaire au lancement de ce type d'attaques.

Alors, qu’est-ce qu’une attaque brute ?

La force brute est le moyen le plus simple d'accéder à un site, un appareil ou un serveur (ou à tout autre élément protégé par mot de passe). Il essaie encore et encore différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’il se connecte. Cette action répétée ressemble à une armée attaquant un fort.

Pour certains, cette description d’une attaque par force brute leur fait penser que n’importe qui peut le faire. Ce sont des étapes très simples, mais le succès n’est pas toujours possible.

Généralement, chaque identifiant partagé (par exemple admin) possède un mot de passe. Il ne vous reste plus qu'à essayer de le deviner. Par exemple, s’il s’agit d’une combinaison à deux chiffres, vous disposez de 10 chiffres de 0 à 9. Cela signifie qu’il y a 100 possibilités. Vous pouvez les sélectionner manuellement et les saisir un par un.

Mais la vérité est qu’aucun mot de passe au monde ne se compose de deux caractères. Même les numéros de contact utilisés sur les téléphones portables ou en banque comportent au minimum 4 caractères.

Sur Internet, 8 caractères constituent généralement la norme pour le mot de passe le plus court. De plus, l'inclusion de caractères alphabétiques dans les mots de passe pour les rendre plus sécurisés ajoute à la complexité. Les lettres peuvent être utilisées en majuscules ou en minuscules, ce qui rend le code sensible à la commutation.

Alors, si vous disposez d’un mot de passe alphanumérique à 8 caractères, combien de combinaisons possibles devrez-vous deviner ? Il existe 26 lettres alphabétiques dans la langue anglaise. Si vous les comptez en majuscules et en minuscules, vous obtenez 26 + 26 = 52. Ensuite, vous devez additionner les nombres : 52 + 10 = 62.

Il y a donc 62 caractères au total. Pour un mot de passe de 8 caractères, ce serait 628, soit 2,1834011×1014 combinaisons possibles.

Si vous essayez 218 000 milliards de combinaisons en un seul essai par seconde, cela prendra 218 000 milliards de secondes, soit 3 600 milliards de minutes. En termes simples, il faudrait environ 7 millions d'années pour déchiffrer un mot de passe avec la combinaison finale. Bien entendu, le processus peut prendre moins de temps, mais c'est le délai maximum pour sélectionner une telle valeur. Il est clair que la force brute manuelle est impossible.

Alors comment cela peut-il arriver ?

Si vous souhaitez déchiffrer des mots de passe, vous devrez utiliser des ordinateurs. Pour ce faire, vous devez écrire quelques lignes de code simples. De telles compétences en programmation sont fondamentales pour tout codeur.

Supposons maintenant que vous ayez développé un programme de déverrouillage de mot de passe qui essaie 1 000 combinaisons par seconde. Le temps est réduit à 7 mille ans. De toute façon, c’est impossible à faire, vous avez donc besoin d’un superordinateur.

Si la machine peut tenter 1 × 109 tentatives par seconde, alors en seulement 22 secondes, les 218 000 milliards de tentatives seront testées. Les ressources informatiques de ce type ne sont pas accessibles aux gens ordinaires. Toutefois, les hackers ne sont pas des utilisateurs ordinaires. Ils peuvent collecter des ressources informatiques de différentes manières, par exemple en développant un moteur informatique puissant via des logiciels, etc.

De plus, le calcul ci-dessus existe pour toutes les combinaisons possibles de mots de passe à 8 caractères. Mais que se passe-t-il s’il contient 10 ou 100 caractères ? C'est pourquoi il est très important de disposer de couches de sécurité supplémentaires pour détecter et rejeter les tentatives de piratage.

Pourquoi font-ils ça ?

En force brute, le motif du pirate informatique est d'accéder illégalement au site Web cible et de l'utiliser pour effectuer un autre type d'attaque ou voler des données précieuses. Il est également possible qu'un attaquant infecte une ressource avec des scripts malveillants à des fins à long terme sans même toucher à quoi que ce soit ni laisser de trace. Par conséquent, il est recommandé d’analyser fréquemment et de suivre les recommandations de protection du site.

Ce qu'il faut faire?

Il existe de nombreux outils pour protéger diverses applications qui empêcheront l'utilisateur d'attaquer après un certain nombre de tentatives.

Par exemple, vous pouvez utiliser les hôtes Fail2ban ou Deny pour SSH. Ces programmes rejetteront l'adresse IP après plusieurs tentatives incorrectes. Ces outils font du bon travail. Cependant, ils ne peuvent pas toujours protéger.

Récemment, on a assisté à une augmentation exponentielle des attaques par force brute. Ils viennent de différents pays du monde et deviennent chaque jour plus sophistiqués. Par conséquent, tous les utilisateurs doivent essayer d’être vigilants. Alors, comment pouvez-vous vous protéger contre les attaques par force brute ?

Longueur du mot de passe

La première étape pour prévenir une attaque devrait être de rallonger le mot de passe. De nos jours, de nombreux sites Web et plateformes obligent leurs utilisateurs à créer un mot de passe d'une certaine longueur (8 à 16 caractères).

Complexité du mot de passe

Une autre chose importante est de créer un mot de passe complexe. Il n'est pas recommandé de les proposer comme iloveyou ou password123456. Le mot de passe doit être composé de lettres majuscules et minuscules, ainsi que de chiffres et de caractères spéciaux. La complexité retarde le processus de piratage.

Limiter les tentatives de connexion

Une action simple mais très puissante consiste à limiter les tentatives de connexion à votre compte lorsqu’il s’agit d’un site Web ou d’un serveur. Par exemple, si un site reçoit cinq tentatives de connexion infructueuses, il doit bloquer cette adresse IP pendant un certain temps pour arrêter d'autres tentatives.

Modification du fichier .htaccess

L'ajout de quelques règles à votre fichier .htaccess peut renforcer encore davantage la sécurité de votre site. L'objectif est d'autoriser l'accès à wp-admin uniquement aux adresses IP spécifiques qui y sont répertoriées.

Utiliser le captcha

Le Captcha est désormais largement utilisé sur de nombreux sites Internet. Il empêche les robots d'exécuter des scripts automatisés principalement utilisés dans l'attaque Brute Force. Installer un captcha sur un site Web ou un blog est assez simple.

Installez le plugin Google invisible reCaptcha et accédez à votre compte Google. Revenez maintenant à la page des paramètres du plugin et identifiez les endroits où vous souhaitez que l'utilisateur saisisse le captcha avant d'effectuer la tâche réelle.

Authentification à deux facteurs

L'authentification à deux facteurs est une ligne de défense supplémentaire qui peut protéger votre compte contre les attaques par force brute. Les chances de réussite d’une attaque sur les sites sécurisés 2FA sont très faibles. Il existe différentes manières de le mettre en œuvre sur un site Web. Le plus simple consiste à utiliser l’un des plugins d’authentification à deux facteurs.

Si nous ne parlons pas de notre propre site Web, mais d'autres ressources (par exemple, pour empêcher la force brute du routeur), les méthodes peuvent être les suivantes :

1. Créez un mot de passe unique pour chaque compte.
2. Changez fréquemment votre mot de passe.
3. Évitez de partager des informations d’identification via des canaux non sécurisés.

Redirection

L'attaque par rejeu par force brute est un autre terme associé au piratage de mot de passe. Dans ce cas, l'attaquant tente d'utiliser un seul mot de passe pour plusieurs noms d'utilisateur. Dans ce cas, le pirate informatique connaît le mot de passe, mais n’a aucune idée des noms d’utilisateur. Dans ce cas, il peut essayer le même mot de passe et essayer de deviner différents identifiants jusqu'à ce qu'il trouve une combinaison fonctionnelle. C’est ainsi que se produisent généralement le WiFi par force brute et d’autres connexions.

L'attaque est généralement utilisée pour pirater des mots de passe. Les pirates peuvent forcer brutalement tout logiciel, site ou protocole qui ne bloque pas les requêtes après plusieurs sondes invalides.

Il existe de nombreux outils connus de piratage de mots de passe pour différents protocoles. Certains d’entre eux méritent d’être examinés en détail. Pour utiliser de telles applications, il vous suffit de télécharger et de commencer à attaquer. Comme certains d’entre eux utilisent plusieurs mécanismes en même temps, cela mérite d’être étudié en détail. Cela aidera à vous protéger contre les attaques et également à vérifier les vulnérabilités de tous vos systèmes.

Aircrack-ng

Il s’agit d’un outil populaire de piratage de mots de passe sans fil disponible gratuitement. Il est livré avec un cracker WEP/WPA/WPA2-PSK et des outils d'analyse pour effectuer une attaque sur le WiFi 802.11. Aircrack NG peut être utilisé pour n'importe quelle carte réseau prenant en charge le mode de surveillance brute.

Il effectue essentiellement des attaques par dictionnaire contre un réseau sans fil pour deviner le mot de passe. Comme on le sait déjà, le succès d’une attaque conditionnelle dépend de la complexité des mots de passe. Plus la combinaison est bonne et efficace, moins il est probable qu'un piratage se produise.

L'application est disponible pour Windows et Linux en force brute. De plus, il a été porté sur les plateformes iOS et Android.

Jean l'éventreur

C'est un autre outil étonnant qui ne nécessite aucune instruction. Il est souvent utilisé pour la force brute à long terme des mots de passe. Ce logiciel gratuit a été initialement développé pour les systèmes Unix. Les auteurs l'ont ensuite publié pour d'autres plateformes. Le programme prend désormais en charge 15 systèmes différents, dont Unix, Windows, DOS, BeOS et OpenVMS. Il peut être utilisé soit pour identifier des vulnérabilités, soit pour déchiffrer des mots de passe et rompre l'authentification.

Cet outil est très populaire et combine diverses fonctions. Il peut détecter automatiquement le type de hachage utilisé dans le mot de passe. De cette façon, le code peut être exécuté dans un coffre-fort de mots de passe crypté.

En principe, un programme par force brute peut effectuer une attaque par force brute sur tous les mots de passe possibles en combinant du texte et des chiffres. Cependant, il peut également être utilisé avec un dictionnaire.

Fissure arc-en-ciel

Ce logiciel est également un outil de force brute de mot de passe populaire. Il génère des tables à utiliser lors d'une attaque. Ainsi, le code est différent des autres outils traditionnels de mise en forme de force. Les tables arc-en-ciel sont pré-calculées. Cela permet de réduire le temps d’exécution de l’attaque.

La bonne nouvelle est que diverses organisations ont déjà publié des tableaux pré-informatiques de ce logiciel pour tous les internautes. Cet outil est toujours en développement actif. Il est disponible pour Windows et Linux et prend en charge toutes les dernières versions de ces plates-formes.

L0phtCrack

Le programme est connu pour sa capacité à déchiffrer les mots de passe Windows. Il utilise des dictionnaires, la force brute, des attaques hybrides et des tables arc-en-ciel. Les fonctionnalités les plus notables de l0phtcrack sont la planification, l'extraction de hachage à partir des versions 64 bits de Windows, les algorithmes multitraitements ainsi que la surveillance et le décodage du réseau.

Ophcrack

Un autre outil de mise en forme par force brute utilisé pour déchiffrer les mots de passe Windows. Il divise le mot de passe à l'aide de hachages LM à travers des tables. C'est un programme gratuit et open source. Dans la plupart des cas, il peut déchiffrer le mot de passe Windows en quelques minutes.

Fissure

C'est l'un des outils de piratage de mots de passe les plus anciens. Il peut être utilisé pour les systèmes UNIX, y compris la force brute sur Android. Utilisé pour vérifier les mots de passe faibles en effectuant une attaque par dictionnaire.

Hashcat

Certains prétendent qu’il s’agit de l’outil de piratage de mots de passe basé sur le processeur le plus rapide. Il est gratuit et disponible sur les plateformes Linux, Windows et Mac OS. Hashcat prend en charge divers algorithmes de hachage, notamment les hachages LM, MD4, MD5, les familles SHA, les formats de cryptage Unix, MySQL, Cisco PIX. Le programme prend en charge diverses attaques, notamment Brute-Force, Combinator, Dictionaries, Fingerprint Attack et bien plus encore.