Was ist ein Brute-Force-Angriff??
Bei einem Brute-Force-Angriff werden systematisch mögliche Zeichen- oder Zahlenkombinationen ausprobiert, um Passwörter oder Benutzernamen zu erraten und unberechtigten Zugriff auf Konten zu erhalten.
Ein Brute-Force-Angriff ist ein Versuch, ein Passwort durch systematisches Ausprobieren von Buchstaben-, Zahlen- und Symbolkombinationen herauszufinden, um die Authentifizierungs- und Autorisierungskontrollen zu passieren.
Die Logik hinter Brute-Force-Angriffen – auch Passwortknacken genannt – ist sehr einfach: alle möglichen Passwortmuster eingeben. Wenn Sie beispielsweise eine vierstellige PIN als Passwort (Passcode) verwenden, kommen Sie schließlich auf die richtige Antwort, indem Sie alle 10.000 Kombinationen von „0000“ bis „9999“ ausprobieren. Für einen Menschen wäre es schwierig, dies manuell zu versuchen, aber mit automatisierten Tools ist es mühelos möglich. Wenn Sie jede Sekunde ein Passwort ausprobieren können, können Sie das Passwort in höchstens 10.000 Sekunden (ca. 2 Stunden und 47 Minuten) herausfinden. Obwohl Brute-Force-Angriffe keine besonders raffinierte Form von Cyberangriffen sind, halten sie sich hartnäckig, da sie bei schwachen Passwörtern und schlecht gesicherten Systemen wirksam sind und weil automatisierte Toolkits die Skalierung und Ausführung für Angreifer wirtschaftlich attraktiv machen.
Arten von Brute-Force-Angriffen
Brute-Force-Angriffe können verschiedene Formen annehmen. Bei einfachen Brute-Force-Angriffen werden systematisch alle möglichen Zahlen- oder Zeichenkombinationen ausprobiert, bis die richtige gefunden wird. Diese Methode kann zeit- und ressourcenintensiv sein, insbesondere bei längeren oder komplexeren Passwörtern oder Passphrasen.
Eine gezieltere Technik ist der Wörterbuchangriff, der sich auf eine vordefinierte Liste möglicher Passwörter oder Phrasen stützt. Anstatt wie bei einem herkömmlichen Brute-Force-Angriff alle möglichen Zahlen- oder Zeichenkombinationen auszuprobieren, probiert der Angreifer systematisch jedes Wort oder jede Phrase in einem Wörterbuch aus, bis er das/die richtige gefunden hat. Wörterbuchangriffe sind zwar schneller als einfache Brute-Force-Angriffe, können aber immer noch fehlschlagen, wenn das Passwort hinreichend komplex ist, Sonderzeichen verwendet oder nicht im verwendeten Wörterbuch enthalten ist. Außerdem führt die Verwendung eines Wörterbuchangriffs auf dieselbe Anmeldeaufforderung schnell zur Auslösung von Ratenbegrenzungs- und Kontosperrungsmaßnahmen.
Hybride Brute-Force-Angriffe kombinieren Elemente von Wörterbuchangriffen und einfachen Brute-Force-Angriffen. Bei einem hybriden Angriff verwendet der Angreifer eine Reihe zufälliger Zeichen wie bei einem herkömmlichen Brute-Force-Angriff sowie eine Liste gebräuchlicher Wörter und Phrasen wie bei einem Wörterbuchangriff. Dieser hybride Ansatz erhöht die Erfolgswahrscheinlichkeit, indem er sowohl gebräuchliche Passwörter aus dem Wörterbuch als auch weniger vorhersehbare Zeichenkombinationen nutzt.
Eine andere Form des Angriffs ist der umgekehrte Brute-Force-Angriff. Anstatt eine Reihe verschiedener Passwörter für ein bestimmtes Konto auszuprobieren, wenden Angreifer bestimmte Passwörter, von denen sie glauben, dass sie häufig verwendet werden (z. B. password1234 ), auf eine große Anzahl von Kontobenutzernamen an. Diese Methode beruht auf der Annahme, dass zumindest einige der anvisierten Konten das gewählte Passwort verwenden, und es ist weniger wahrscheinlich, dass Abhilfemaßnahmen auf der Grundlage der Anzahl fehlgeschlagener Anmeldeversuche ausgelöst werden.
Credential Stuffing wird zwar in der Regel nicht als Brute-Force-Angriff betrachtet (Der Angreifer verfügt bereits über eine bekannte Liste von Benutzernamen und Passwörtern.), verfolgt aber das gleiche Ziel: den unberechtigten Zugriff auf Konten, oft gefolgt von Kontoübernahmen (ATO) und Betrug. Credential Stuffing basiert auf automatisierten Skripten oder Tools, um schnell große Mengen kompromittierter Anmeldedaten, wie z. B. Benutzername/Passwort-Kombinationen, die aus früheren Datenschutzverletzungen oder dem Darknet stammen, auf verschiedene Online-Anmeldeformulare anzuwenden. Auch wenn beim Credential Stuffing nicht alle möglichen Kombinationen wie bei Brute-Force-Angriffen getestet werden, handelt es sich dennoch um eine automatisierte Methode für den Versuch des unberechtigten Zugriffs, was sie zu einer erheblichen Sicherheitsbedrohung macht. Beide Arten von Angriffen werden in den Projekten OWASP Top 10 und OWASP Automatisierte Bedrohungen als Top-Risiken eingestuft.
Schwache oder fehlerhafte Authentifizierung ist ein weiteres Einfallstor für Brute-Force-Angreifer. In einigen Authentifizierungssystemen sind keine Sperr- oder Drosselmechanismen implementiert, die die Anzahl der Anmeldeversuche innerhalb eines bestimmten Zeitraums begrenzen. Ohne diese Sicherheitsvorkehrungen können Angreifer wiederholt versuchen, Passwörter ohne Einschränkungen zu erraten, was die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs erhöht.
Brute-Force-Angriffe können auch eingesetzt werden, um Sitzungsbezeichner zu erraten oder Schwachstellen in Sitzungsverwaltungsmechanismen auszunutzen, um gültige Sitzungsbezeichner zu erhalten oder zu kapern. Sobald ein Angreifer einen gültigen Sitzungsbezeichner erhalten hat, kann er sich damit als authentifizierter Benutzer ausgeben und unberechtigten Zugriff auf geschützte Ressourcen erhalten.
Die Motive hinter Brute-Force-Angriffen
Die Motive, die Hacker zu Brute-Force-Angriffen veranlassen, können sehr unterschiedlich sein, aber im Allgemeinen geht es darum, sich zu böswilligen Zwecken unberechtigten Zugriff auf Systeme, Netzwerke oder Konten zu verschaffen.
Zu den häufigsten Motiven gehört der finanzielle Gewinn, wenn Angreifer versuchen, Finanzdaten wie Kreditkartennummern oder Bankdaten zu stehlen, um Betrug oder Diebstahl zu begehen. Sie können auch auf den Zugriff auf personenbezogene Daten, geistiges Eigentum oder vertrauliche Geschäftsdaten abzielen, die verkauft werden können. Angreifer können sich auch Zugriff auf persönliche Konten verschaffen, um sich als natürliche Person auszugeben und betrügerische Aktivitäten zu unternehmen.
Kriminelle können Systeme auch für andere Formen böswilligen Verhaltens kapern, z. B. für die Organisation eines Botnets, d. h. eines Netzwerks von Geräten unter der Kontrolle eines Angreifers, der diese verschiedenen Quellen koordiniert und Distributed Denial-of-Service (DDoS)-Angriffe startet.
Durch den unberechtigten Zugriff auf Systeme und Konten über Brute-Force-Angriffe können auch Malware oder Spyware verbreitet oder mit Angriffen auf Websites abgezielt werden, die sie mit obszönen oder anstößigen Texten und Bildern infizieren und so den Ruf eines Unternehmens oder einer Website gefährden. Hacker können Brute-Force-Angriffe auch dazu nutzen, Anzeigen oder Aktivitätsdaten auszunutzen, indem sie unberechtigten Zugriff nutzen, um Spam-Anzeigen auf Websites zu platzieren, um Werbeprovisionen zu erhalten, oder um den Datenverkehr von einer Website, auf die zugegriffen werden soll, auf eine bösartige Website umzuleiten, um Anmeldedaten zu stehlen oder Benutzer zu betrügen.
So verhindert man Brute-Force-Angriffe
Es gibt mehrere Möglichkeiten, das Risiko von Brute-Force-Angriffen zu verringern, und die Umsetzung mehrerer der folgenden Maßnahmen macht es für Angreifer schwieriger, Passwörter zu erraten oder sich durch wiederholte Anmeldeversuche unberechtigten Zugriff zu verschaffen. Dazu gehören:
- Verwendung starker und komplexer Passwörter: Starke Passwörter sind die erste Verteidigungslinie gegen unberechtigten Zugriff auf Systeme und Daten. Eine gut definierte Passwortrichtlinie hilft sicherzustellen, dass Benutzer sichere Passwörter erstellen und unterhalten, die eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Immer raffiniertere Tools zum Knacken von Passwörtern bedeuten, dass lange Passphrasen jetzt viel mehr Schutz bieten als einfache Passwörter. Die Richtlinien sollten die Wiederverwendung von Passwörtern verbieten, da dies eine der Hauptursachen für Credential Stuffing-Angriffe und Kontoübernahmen ist.
- Verwendung von Multi-Faktor-Authentifizierung (MFA): Zusätzlich zur Eingabe eines Benutzernamens und eines Passworts oder einer Passphrase muss der Benutzer bei der MFA zusätzliche Faktoren angeben, um Zugriff auf eine Anwendung, eine Ressource, ein Online-Konto oder einen anderen Dienst zu erhalten. In der gängigen Praxis beinhaltet dies häufig die Eingabe eines Einmalpasscodes aus einer E-Mail oder SMS-Nachricht in ein Smartphone oder einen Browser oder die Bereitstellung biometrischer Daten wie eines Fingerabdrucks oder eines Gesichtsscans.
- Implementierung von Richtlinien zum Sperren von Konten: Nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche werden Benutzerkonten für einen bestimmten Zeitraum oder bis zur manuellen Aufhebung der Sperre durch einen Administrator gesperrt. Dies verhindert, dass Angreifer wiederholt versuchen, Passwörter zu erraten. Die Ratenbegrenzung kann auch verwendet werden, um die Anzahl der Anmeldeanforderungen von einer einzelnen IP-Adresse oder einem Benutzerkonto innerhalb eines bestimmten Zeitraums zu begrenzen.
- Verschlüsselung sensibler Daten. Durch die Verschlüsselung sensibler Daten im Ruhezustand und bei der Übertragung wird sichergestellt, dass Angreifer, selbst wenn sie sich unberechtigten Zugriff auf ein System verschaffen, die Daten nicht ohne den Verschlüsselungscode lesen können. Dadurch werden Brute-Force-Angriffe weniger effektiv, da Angreifer den Verschlüsselungscode zur Entschlüsselung der Daten benötigen würden.
- Software auf dem neuesten Stand halten: Stellen Sie sicher, dass die gesamte Software, einschließlich Betriebssysteme, Webserver und Anwendungen, regelmäßig gepatcht und aktualisiert wird, um Sicherheitslücken zu schließen, die von Angreifern ausgenutzt werden könnten.
- Einsatz von Bot-Management und Webanwendungs-Firewalls: Der Einsatz von Lösungen, die automatisierte Angriffe abwehren, kann wichtige Geschäftslogik vor Missbrauch schützen, einschließlich Brute-Force-Angriffen.
Wie handhabt F5 Brute Force-Angriffe?
Das OWASP (Open Worldwide Application Security Project) -Projekt zu automatisierten Bedrohungen für Webanwendungen identifiziert Brute-Force-Angriffe als eine Art von Credential Cracking-Angriffen (OAT-007). F5 bietet Lösungen für viele der automatisierten Risiken von OWASP. F5 Distributed Cloud Bot Defense schreckt Bots und bösartige Automatisierungen ab, um ATO und den daraus resultierenden Betrug und Missbrauch zu verhindern, die bestehende Bot-Management-Lösungen umgehen können. Distributed Cloud Bot Defense bietet Echtzeit-Überwachung und -daten sowie ML-basierte retrospektive Analysen, um Organisationen vor automatisierten Angriffen zu schützen, einschließlich solcher, die Brute-Force-Techniken verwenden.
F5 Web Application Firewall (WAF)-Lösungen blockieren und mindern auch ein breites Spektrum von Risiken, die von OWASP identifiziert wurden. F5 WAF-Lösungen kombinieren Signatur- und Verhaltensschutz, einschließlich Threat Intelligence von F5 Labs und ML-basierter Sicherheit, um mit neu auftretenden Bedrohungen Schritt zu halten. Um Brute-Force-Angriffe zu verhindern, verfolgt die WAF die Anzahl der fehlgeschlagenen Versuche, die konfigurierten Anmelde-URLs zu erreichen. Wenn Brute-Force-Muster erkannt werden, betrachtet die WAF-Richtlinie diese als Angriff, wenn die Rate der fehlgeschlagenen Anmeldungen signifikant ansteigt oder wenn die fehlgeschlagenen Anmeldungen einen maximalen Schwellenwert erreichen.
F5 WAF-Lösungen lassen sich mit den F5 Bot Defense-Lösungen integrieren und bieten so einen robusten Schutz vor den größten Sicherheitsrisiken, einschließlich des Exploits von Schwachstellen und automatisierten Brute-Force-Angriffen.
Ressourcen
INFOGRAFIK
The OWASP Top 10 for 2021: A New Wave of Risk › (Die OWASP Top 10 für das Jahr 2021: Eine neue Welle von Risiken ›)
TECHNISCHER ARTIKEL
Bots, Fraud, and the OWASP Automated Threats Project (Overview) › (Bots, Betrug und das OWASP-Projekt zu automatisierten Bedrohungen (Übersicht) ›)
TECHNISCHES DOKUMENT
Overview: Brute Force Protection › (Übersicht: Schutz vor Brute Force ›)