Brute force (methode)Brute force (Engels voor "brute kracht") is het gebruik van rekenkracht om een probleem op te lossen met een computer zonder gebruik te maken van algoritmen of heuristieken om de berekening te versnellen. Brute force wordt gebruikt als er geen algoritme bekend is dat sneller of efficiënter tot een oplossing leidt. De methode bestaat uit het botweg uitproberen van een groot aantal opties, net zo lang tot er een gevonden is die overeenkomt met de gewenste invoer. Kraken van wachtwoorden met brute forceBrute force wordt vaak gebruikt voor het kraken van wachtwoorden of achterhalen van verloren gegane of vergeten wachtwoorden die versleuteld zijn met sterke encryptie. Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Dit duurt heel lang en is qua tijd een zeer inefficiënte methode, maar 100% trefzeker. De formule voor de schatting van de maximumtijd om een wachtwoord te vinden (gebaseerd op drie miljoen wachtwoorden per seconde) is:
Voorbeeld: We hebben de mogelijkheid om in een wachtwoord alleen cijfers en alle kleine letters van het alfabet te gebruiken (dus 26 + 10 = 36 verschillende karakters) en het wachtwoord is maximaal 6 posities lang. Dan duurt het circa 366/3000000 = 725,6 seconden voordat dit wachtwoord is geraden. Indien men uitgaat van de 95 (alle karakters op het toetsenbord) dan duurt het reeds 956/3000000 = 245031 seconden, wat overeenkomt met 68 uur. Indien men het wachtwoord 7 karakters lang maakt in plaats van 6, duurt het inmiddels 957/3000000 = 23277910 seconden, wat overeenkomt met 269 dagen. Om deze reden is het raadzaam om lange wachtwoorden te gebruiken. In de praktijk is de gemiddelde zoektijd naar een juist wachtwoord meestal binnen de helft van een doorlopen zoekruimte: de bovenstaande formule kan men het aantal karaktersposities delen door 2 voor een benadering van de gemiddelde zoektijd. Voor het kraken met brute force moeten er niet te veel mogelijke sleutels zijn. Wanneer het aantal mogelijke cryptografische sleutels extreem hoog is, moet ook extreem veel worden geïnvesteerd in rekenkracht en -tijd om een sleutel te kraken. Een RSA-sleutel bestaat uit het product van twee priemgetallen en is daarom zeer moeilijk te kraken met gebruik van brute force. Voor de 56 bits van een DES-sleutel is dat praktisch haalbaar, voor een AES sleutel van 128 bits niet. De brute force wordt vaak voorafgegaan door een combinatie van slimme trucs die de zoekruimte inperken. Daarom moeten sleutels voor asymmetrische encryptie ook langer zijn dan die voor symmetrische encryptie om een vergelijkbaar veiligheidsniveau te bereiken – er is meer informatie aanwezig die structuur kan helpen achterhalen. Daarom moeten sleutels zorgvuldig aangemaakt worden, zodat de entropie van sleutelmateriaal zo hoog mogelijk is. Als een symmetrische sleutel 112 bits inneemt, maar door interne structuur slechts voor 40 bits aan verrassing bevat, dan kan een kraker die daar weet van heeft, een veel kleinere zoekruimte aanpakken met brute kracht en daarmee de slaagkans verhogen. De enige perfect veilige vercijfering die bestand is tegen een bruteforce-aanval of een andere cryptoanalytische aanval is Vernams one-time-pad. Dit werd bewezen in Claude Shannons verhandeling 'Communication theory of secrecy systems'. De correcte toepassing hiervan stelt de gebruiker echter voor enorme problemen op het gebied van sleutelbeheer. Toepassing bij MD5-hashesEen voorbeeld waarbij een wachtwoord achterhaald wordt dat MD5-hashes te achterhalen. Stel we hebben het volgende wachtwoord opgeslagen als MD5-hash opgeslagen: 900150983cd24fb0d6963f7d28e17f72 Dan zal bij een bruteforce attack het kraakprogramma alle mogelijkheden afgaan: Merk op dat Abc een andere uitkomst geeft dan abc, en dat dit dus alweer tientallen extra pogingen vereist. Wachtwoorden zouden altijd opgeslagen moeten staan als hash. In Windows en de meeste webdiensten is dat zo. Hierdoor is het wachtwoord nooit zomaar terug te halen. Men kan het wel resetten, door de opgeslagen hash te overschrijven, zodat de wachtwoorden niet op straat liggen als de database ooit gehackt wordt. Overige toepassingenBruteforce-aanvallen zijn niet alleen van toepassing op MD5-hashes. Ook NTLM-hashes (gebruikt om een Windows-wachtwoord op te slaan) kunnen via deze methode gedecodeerd worden. Deze techniek heet ook wel 'reverse engineering'. Als de aanvaller de hash niet bezit kan deze ook gewoon een script schrijven dat in een loginscherm alle mogelijkheden uitprobeert. Een hash zal normaal de voorkeur hebben aangezien die het programma niet nodig heeft, het programma zou namelijk restricties aan het aantal login-pogingen per minuut of per uur kunnen opleggen. Ook zal het programma bij iedere poging het scherm minimaal een keer verversen, wat ook weer tijd kost. Dit lijkt nihil, maar zelfs 3 milliseconden maken een gigantisch verschil als er bijvoorbeeld 3 miljoen pogingen vereist zijn om het wachtwoord te raden. Via internet is nog langzamer, zeer vaak zijn er een bepaald aantal loginpogingen mogelijk voor een captcha ingevuld moet worden of men moet een aantal seconden wachten tussen de pogingen. Zelfs als deze restricties niet aanwezig zijn, duurt het vaak nog 20-200 milliseconden voor een enkele poging. Stel we hebben een wachtwoord Za113, en we weten dat er alleen alfanumerieke karakters in het wachtwoord voorkomen, dan zal het iets minder dan 916000000 pogingen vereisen het wachtwoord te kraken. Ditmaal, in het allerbeste geval, 15 milliseconden is al een behoorlijke tijd. MD5-hashes kunnen met de juiste software en een goede computer met een snelheid van 500 miljoen pogingen per seconde geprobeerd worden. Als deze als MD5 opgeslagen zou staan in een database, en deze database zou gehackt worden, zou het wachtwoord dus slechts 2 seconden nodig hebben om te kraken. ParallellisatieOm brute force-methodes te doen versnellen gebruiken programmeurs een techniek genaamd parallellisatie. Een parallelle machine verdeelt de taak over zo veel mogelijk afzonderlijk opererende rekencellen. In plaats van een voor een de mogelijkheden te proberen, kunnen meerdere processoren dan wel systemen meerdere mogelijkheden tegelijkertijd uitproberen. Dit kan relatief eenvoudig gedaan worden door het probleem in stukken op te splitsen en aan verschillende systemen/processoren toe te wijzen. Zo kan men theoretisch bij het kraken van een wachtwoord van bijvoorbeeld 7 posities met een systeem met 4 processoren (SMP-systeem) de tijd van 17 jaar terugbrengen naar iets meer dan 17/4=4,25 jaar. De methoden daarbij kunnen verschillen — het is mogelijk het werk tussen de cellen te coördineren om dubbelwerk te voorkomen (vergelijkbaar met de aanpak van het SETI-project) of het is mogelijk om elke cel willekeurige pogingen te laten wagen (zoals in een Chinese Loterij). In het laatste geval valt de te verwachten rekenklus tweemaal zo hoog uit, maar wel zonder enige vorm van overhead in het aansturen van de rekencellen. Door het gebruik van parallellisatie komt extra rekenkracht om de hoek kijken doordat gegevens moeten worden opgesplitst en verdeeld en er onderlinge communicatie tussen de verschillende processen (programma's dan wel threads) plaats moet vinden. De rekenkracht moet dus opwegen tegen de complexiteit dan wel duur van het te behalen resultaat. Beveiliging tegen bruteforce-aanvallenRestrictiesZorg altijd dat er restricties gesteld worden aan het aantal loginpogingen per uur en per minuut. Bijvoorbeeld hooguit 45 per minuut, met een maximum van 150 per uur. SaltBij hashes (MD5, SHA1, NTLM, enzovoorts), gebruik altijd een salt. Een salt, of zout in het Nederlands, vertroebelt de hash. Als crackers of hackers de hash kennen van een aantal veelgebruikte wachtwoorden, en ze krijgen toegang tot een lijst met hashes, dan kunnen ze heel gemakkelijk de gebruikers met die veelgebruikte wachtwoorden er uit halen. Met een salt zal men voor elke gebruiker een willekeurige salt bijhouden, en deze samenvoegen met zijn of haar wachtwoord om de hash te berekenen. Hierdoor krijgen gebruikers met eenzelfde wachtwoord toch een andere hash. Het werkt zo: Een nog sterkere hash kan bereikt worden door de hash-functie meerdere malen uit te voeren op dezelfde tekenreeks. We gaan weer uit van dezelfde functiestructuur: Opmerking: niet alle hash-functies zijn veilig. Soms kunnen er collisions voorkomen, dit is als twee tekenreeksen dezelfde hash-uitkomst geven. Bijvoorbeeld (fictief voorbeeld) zou het kunnen zijn dat "nads91" dezelfde md5-uitkomst geeft als "m19d00amms". Verouderde NTLM-hashes hebben ook een zwakte met lengte, maar dit is in nieuwere versies van Windows opgelost door een dubbele hash toe te passen. De kwetsbaarheid van korte hashes is zeer verminderde maten aanwezig met SHA1, maar deze techniek is langzamer, heeft een grotere uitkomst (24bits extra) en wordt minder ondersteund door verschillende software. Echter, zowel MD5 als SHA1 zijn tegenwoordig simpelweg te onveilig, en zijn zelfs met een salt zeer gemakkelijk te brute forcen[1]. Key stretchingEen andere methodiek die ter bemoeilijking van brute force-aanvallen kan worden ingezet, is het oprekken van een wachtwoord. Het oprekken van wachtwoorden werkt door versleuteling van wachtwoorden met een sterker salt-algoritme. Deze techniek noemen we key stretching. Voor het controleren van juistheid van een opgerekt wachtwoord moeten, afhankelijk van de gebruikte salt, minimaal een paar duizend rekenkundige operaties worden uitgevoerd. Deze ingebrachte complexiteit voor het controleren van een opgerekt wachtwoord werkt als een vertragende factor tijdens een brute force-aanval. Key stretching kan ook enige bescherming bieden tegen het gebruik van brute force tegen aanvankelijk zwak gekozen wachtwoorden, omdat het vooraf laten berekenen en vastleggen van alle mogelijke hashes van wachtwoorden in sommige gevallen haast een onmogelijke taak is (zoals het samenstellen van rainbow tables). Bij gebruik van een 512-bits-salt zijn er bijvoorbeeld 2512 mogelijkheden voor ieder wachtwoord. Zie ookBronnen, noten en/of referenties
|