Was ist ein Brute-Force-Angriff?
Bei einem Brute-Force-Angriff werden systematisch mögliche Zeichen- oder Zahlenkombinationen ausprobiert, um Passwörter oder Benutzernamen zu erraten und sich so unbefugten Zugriff auf das Konto zu verschaffen.
Bei einem Brute-Force-Angriff wird versucht, ein Kennwort herauszufinden, indem systematisch Kombinationen aus Buchstaben, Zahlen und Symbolen ausprobiert werden, um die Authentifizierungs- und Autorisierungskontrollen zu umgehen. Dabei kommen oft ein Wörterbuch und Taktiken wie „Password Spraying“ zum Einsatz.
Die Logik hinter Brute-Force-Angriffen – auch Passwort-Cracking genannt – ist sehr einfach: Geben Sie alle möglichen Passwortmuster ein. Wenn Sie beispielsweise eine vierstellige PIN als Kennwort (Passcode) verwenden, gelangen Sie durch Ausprobieren aller 10.000 Kombinationen von „0000“ bis „9999“ schließlich zur richtigen Antwort. Für einen Menschen wäre es schwierig, dies manuell zu versuchen, mit automatisierten Tools ist es jedoch problemlos möglich. Wenn Sie jede Sekunde ein Passwort ausprobieren können, können Sie das Passwort in höchstens 10.000 Sekunden (ungefähr 2 Stunden und 47 Minuten) herausfinden. Obwohl Brute-Force-Angriffe keine besonders ausgefeilte Form von Cyberangriffen sind, sind sie dennoch hartnäckig, da sie bei schwachen Passwörtern und schlecht gesicherten Systemen sehr effektiv sind und weil automatisierte Toolkits die Wirtschaftlichkeit ihrer Skalierung und Ausführung für Angreifer attraktiv machen.
Arten von Brute-Force-Angriffen
Brute-Force-Angriffe können verschiedene Formen annehmen. Bei einfachen Brute-Force-Angriffen werden systematisch alle möglichen Zahlen- oder Buchstabenkombinationen ausprobiert, bis die richtige gefunden ist. Diese Methode kann zeit- und ressourcenintensiv sein, insbesondere bei längeren oder komplexeren Passwörtern oder Passphrasen.
Eine gezieltere Technik ist der Wörterbuchangriff, der auf einer vordefinierten Liste möglicher Passwörter oder Phrasen basiert. Anstatt wie bei einem herkömmlichen Brute-Force-Angriff jede mögliche Zahlen- oder Buchstabenkombination auszuprobieren, probiert der Angreifer systematisch jedes Wort oder jede Phrase in einem Wörterbuch aus, bis er die richtige gefunden hat. Wörterbuchangriffe sind zwar schneller als einfache Brute-Force-Angriffe, sie können jedoch immer noch fehlschlagen, wenn das Kennwort komplex genug ist, Sonderzeichen verwendet oder nicht im verwendeten Wörterbuch enthalten ist. Darüber hinaus werden durch einen Wörterbuchangriff auf dieselbe Anmeldeaufforderung schnell Ratenbegrenzungs- und Kontosperrungskontrollen ausgelöst.
Hybride Brute-Force-Angriffe kombinieren Elemente sowohl von Wörterbuchangriffen als auch von einfachen Brute-Force-Angriffen. Bei einem hybriden Angriff verwendet der Angreifer eine Reihe von zufälligen Zeichen wie bei einem herkömmlichen Brute-Force-Angriff und außerdem eine Liste mit gängigen Wörtern und Ausdrücken wie bei einem Wörterbuchangriff. Dieser hybride Ansatz erhöht die Erfolgswahrscheinlichkeit, indem sowohl gängige Passwörter aus dem Wörterbuch als auch weniger vorhersehbare Zeichenkombinationen genutzt werden.
Eine andere Angriffsform ist der umgekehrte Brute-Force-Angriff. Anstatt für ein bestimmtes Konto eine Reihe verschiedener Passwörter auszuprobieren, verwenden Angreifer für eine große Anzahl von Kontobenutzernamen bestimmte Passwörter, von denen sie annehmen, dass sie häufig verwendet werden (z. B. „passwort1234“). Diese Methode basiert auf der Annahme, dass zumindest einige der Zielkonten das gewählte Kennwort verwenden, und löst aufgrund der Anzahl fehlgeschlagener Anmeldeversuche mit geringerer Wahrscheinlichkeit Abwehrmaßnahmen aus.
Während Anmeldeinformations-Stuffing wird im Allgemeinen nicht als eine Form von Brute-Force-Angriff betrachtet (dem Angreifer ist bereits eine Liste mit Benutzernamen und Passwörtern bekannt), das gleiche Ziel besteht jedoch darin, unbefugten Zugriff auf Konten zu erlangen, worauf häufig eine Kontoübernahme (Account Takeover, ATO) und Betrug folgt. Beim Credential Stuffing werden automatisierte Skripte oder Tools verwendet, um schnell große Mengen kompromittierter Anmeldeinformationen, wie etwa aus früheren Datendiebstählen oder dem Darknet stammende Benutzername/Passwort-Kombinationen, auf verschiedene Online-Anmeldeformulare anzuwenden. Obwohl beim Credential Stuffing im Gegensatz zu Brute-Force-Angriffen keine umfassenden Tests aller möglichen Kombinationen durchgeführt werden, handelt es sich dennoch um eine automatisierte Methode zum Versuch eines unbefugten Zugriffs und stellt somit ein erhebliches Sicherheitsrisiko dar. Beide Angriffsarten gelten in den Projekten OWASP Top 10 und OWASP Automated Threats als größte Risiken.
Eine schwache oder fehlerhafte Authentifizierung ist ein weiteres Einfallstor für Brute-Force-Angreifer. Einige Authentifizierungssysteme implementieren keine Sperr- oder Drosselungsmechanismen, die die Anzahl der Anmeldeversuche innerhalb eines bestimmten Zeitraums begrenzen. Ohne diese Sicherheitsvorkehrungen können Angreifer wiederholt und ohne Einschränkungen versuchen, Passwörter zu erraten, wodurch die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs steigt.
Brute-Force-Angriffe können auch eingesetzt werden, um Sitzungs-IDs zu erraten oder Schwachstellen in Sitzungsverwaltungsmechanismen auszunutzen, um gültige Sitzungs-IDs zu erlangen oder zu kapern. Sobald ein Angreifer eine gültige Sitzungs-ID erhält, kann er diese verwenden, um sich als authentifizierter Benutzer auszugeben und unbefugten Zugriff auf geschützte Ressourcen zu erlangen.
Die Motive hinter Brute-Force-Angriffen
Die Motive, die Hacker zu Brute-Force-Angriffen bewegen, können sehr unterschiedlich sein. Im Allgemeinen geht es jedoch darum, sich zu böswilligen Zwecken unbefugten Zugriff auf Systeme, Netzwerke oder Konten zu verschaffen.
Zu den häufigsten Motiven gehört finanzieller Gewinn, wenn Angreifer beispielsweise versuchen, finanzielle Informationen wie Kreditkartennummern oder Bankdaten zu stehlen, um Betrug oder Diebstahl zu begehen. Ihr Ziel kann auch der Zugriff auf personenbezogene Daten (PII), geistiges Eigentum oder vertrauliche Geschäftsdaten sein, die verkauft werden können. Angreifer können sich außerdem Zugriff auf persönliche Konten verschaffen, um sich als andere Personen auszugeben und betrügerische Aktivitäten durchzuführen.
Kriminelle können Systeme auch für andere Formen böswilliger Aktivitäten kapern, etwa durch die Organisation eines Botnetzes, also eines Netzwerks von Geräten unter der Kontrolle eines Angreifers, der diese verschiedenen Quellen koordiniert und Distributed-Denial-of-Service-Angriffe (DDoS) startet.
Durch den unbefugten Zugriff auf Systeme und Konten mittels Brute-Force-Angriffen können zudem Schadsoftware oder Spyware verbreitet werden. Auch Angriffe auf Websites können dazu führen, dass diese mit obszönen oder anstößigen Texten und Bildern infiziert werden, wodurch der Ruf eines Unternehmens oder einer Website gefährdet wird. Hacker können außerdem Brute-Force-Angriffe nutzen, um Anzeigen oder Aktivitätsdaten auszunutzen. Sie können sich den unbefugten Zugriff zunutze machen, um Spam-Anzeigen auf Websites zu platzieren und so Werbeprovisionen zu erhalten oder den Datenverkehr von einer bestimmten Website auf eine bösartige Website umzuleiten und so Anmeldeinformationen zu stehlen oder Nutzer zu betrügen.
So verhindern Sie Brute-Force-Angriffe
Es gibt mehrere Möglichkeiten, das Risiko von Brute-Force-Angriffen zu verringern. Durch die Implementierung mehrerer der folgenden Maßnahmen wird es für Angreifer schwieriger, Passwörter zu erraten oder durch wiederholte Anmeldeversuche unbefugten Zugriff zu erlangen. Dazu gehören:
- Verwenden Sie sichere und komplexe Passwörter . Starke Passwörter sind die erste Verteidigungslinie gegen den unbefugten Zugriff auf Systeme und Daten. Eine gut definierte Kennwortrichtlinie trägt dazu bei, dass Benutzer sichere Kennwörter erstellen und verwalten, die eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Dank immer ausgefeilterer Tools zum Knacken von Passwörtern bieten lange Passphrasen heute eine weitaus bessere Sicherheit als einfache Passwörter. Richtlinien sollten die Wiederverwendung von Passwörtern verbieten, da sie eine der Hauptursachen für Credential-Stuffing-Angriffe und die Übernahme von Konten ist.
- Einsatz einer Multi-Faktor-Authentifizierung (MFA). Zusätzlich zur Eingabe eines Benutzernamens und eines Passworts oder einer Passphrase erfordert MFA vom Benutzer die Angabe zusätzlicher Faktoren, um Zugriff auf eine Anwendung, Ressource, ein Online-Konto oder einen anderen Dienst zu erhalten. In der Praxis ist hierfür häufig die Eingabe eines Einmalpasscodes aus einer E-Mail oder SMS-Nachricht in ein Smartphone oder einen Browser oder die Angabe biometrischer Daten wie eines Fingerabdrucks oder Gesichtsscans erforderlich.
- Implementieren von Richtlinien zur Kontosperrung . Sperren Sie Benutzerkonten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche für einen angegebenen Zeitraum oder bis zur manuellen Entsperrung durch einen Administrator. Dadurch wird verhindert, dass Angreifer wiederholt versuchen, Passwörter zu erraten. Mithilfe der Ratenbegrenzung kann auch die Anzahl der Anmeldeanforderungen von einer einzelnen IP-Adresse oder einem einzelnen Benutzerkonto innerhalb eines bestimmten Zeitraums beschränkt werden.
- Verschlüsselung sensibler Daten. Durch die Verschlüsselung vertraulicher Daten im Ruhezustand und während der Übertragung wird sichergestellt, dass Angreifer selbst bei einem unbefugten Zugriff auf ein System die Daten ohne den Verschlüsselungsschlüssel nicht lesen können. Dadurch werden Brute-Force-Angriffe weniger effektiv, da Angreifer zum Entschlüsseln der Daten den Verschlüsselungsschlüssel benötigen würden.
- Halten Sie die Software auf dem neuesten Stand. Stellen Sie sicher, dass die gesamte Software, einschließlich Betriebssysteme, Webserver und Anwendungen, regelmäßig gepatcht und aktualisiert wird, um Sicherheitslücken zu schließen, die von Angreifern ausgenutzt werden könnten.
- Bereitstellen von Bot-Management und Web Application Firewalls. Durch den Einsatz von Lösungen zur Abwehr automatisierter Angriffe können Sie kritische Geschäftslogik vor Missbrauch, einschließlich Brute-Force-Angriffen, schützen.
Wie geht F5 mit Brute-Force-Angriffen um?
Das OWASP- Projekt (Open Worldwide Application Security Project) „Automated Threats to Web Applications“ identifiziert Brute-Force-Angriffe als eine Art von Credential-Cracking-Angriff (OAT-007) . F5 bietet Lösungen zum Umgang mit vielen der automatisierten Risiken von OWASP. F5 Distributed Cloud Bot Defense schreckt Bots und bösartige Automatisierung ab, um ATO und den daraus resultierenden Betrug und Missbrauch zu verhindern, der vorhandene Bot-Management-Lösungen umgehen kann. Distributed Cloud Bot Defense bietet Echtzeitüberwachung und -informationen sowie ML-basierte Retrospektivanalysen, um Unternehmen vor automatisierten Angriffen zu schützen, einschließlich solcher, die Brute-Force-Techniken einsetzen.
Darüber hinaus blockieren und mindern die F5 Web Application Firewall (WAF)-Lösungen ein breites Spektrum an Risiken, die von OWASP identifiziert wurden. F5 WAF-Lösungen kombinieren Signatur- und Verhaltensschutz, einschließlich Bedrohungsinformationen von F5 Labs und ML-basierter Sicherheit, um mit neuen Bedrohungen Schritt zu halten. Um Brute-Force-Angriffe zu verhindern, verfolgt WAF die Anzahl der fehlgeschlagenen Versuche, die konfigurierten Anmelde-URLs zu erreichen. Wenn Brute-Force-Muster erkannt werden, betrachtet die WAF-Richtlinie diese als Angriff, wenn die Rate fehlgeschlagener Anmeldungen erheblich angestiegen ist oder wenn fehlgeschlagene Anmeldungen einen maximalen Schwellenwert erreicht haben.
F5 WAF-Lösungen lassen sich in F5-Bot-Abwehrlösungen integrieren und bieten so einen robusten Schutz vor den größten Sicherheitsrisiken, darunter das Ausnutzen von Schwachstellen und automatisierte Brute-Force-Angriffe.
Ressourcen
TECHNISCHES DOKUMENT
Überblick: Schutz vor Brute-Force-Angriffen ›