Útok na přihlášení hrubou silou (brute force login attack) – co to je a jak se bránit

OdMatěj Rokos Bezpečnost
  • Útok hrubou silou (brute force attack) = jednoduchý styl útoku, kdy útočník zkouší všechny možné kombinace, dokud se netrefí.
  • Distribuovaný útok = útok vedený z více míst najednou

Jak to funguje

Robot má databázi ukradených jmen a hesel, kterými se chce na Vašem WordPressu zkusit přihlásit. Zkouší jedno jméno/heslo po druhém.

Počítejte obrovské objemy kombinací jmen a hesel. Například kolekce Cit0day z listopadu 2020 obsahovala kombinace 226 milionů jmen a hesel ukradených z cca 23 tisíc webových stránek. Detaily o této kolekci zveřejnil na svém webu Troy Hunt.

Tomuhle se říká slovníkový útok, protože robot jede podle slovníku hesel. Druhá možnost je zkoušet všechny kombinace znaků o určité délce. Typicky lokálně porovnáváte generovaný a ukradený hash. Čas potřebný k odhalení hesla tímto způsobem roste exponenciálně s délkou hesla. Proto jsou dlouhá hesla lepší, než krátká.

Teď si představte, že jste útočník. Máte robota, co umí zkoušet přihlášení do WordPressu, databází mnoha webů na WordPressu a 226 milionů kombinací jmen a hesel, které chcete vyzkoušet.

Takový útok nechcete vést z jednoho serveru.

  • Bylo by to strašně pomalé.
  • Velmi rychle by Vás zablokovali.

Bezpečnostní pluginy WordPressu brzy zjistí o co se pokoušíte a IP adresu útočícího serveru zablokují. Podezřelý provoz detekuje a odstřihne i bezpečnostní systém hostingu, kde je server provozovaný.

Proto útočníci provádějí útoky distribuovaně. Práci rozdělí mezi co nejvíc serverů v co nejvíce lokalitách, aby bylo co nejtěžší útok zastavit a odhalit útočníka. Ideálně samozřejmě tisíce hacknutých serverů nebo WordPressů rozhozených po celém světě, jejichž majitelé a plátci nic netuší.

Pečujte o svůj web dobře, abyste se nestali takovým nic netušícím pěšákem něčího útoku!

Wordfence a podobné pluginy mají i síťovou ochranu. Typicky pro platící zákazníky. Jednotlivé weby dostávají průběžně od centrály aktualizace bezpečnostních pravidel – rozsahy blokovaných IP adres a vzorce pro detekci a blokaci útoků. Je to takové očkování pro weby.

Jak se bránit

  1. Na každý web, na každou službu si vygenerujte unikátní a dlouhé heslo.
    Útočníci spoléhají na to, že jedno heslo používáte na více místech. To je podstata těchto útoků.
  2. Heslo mějte vygenerované dlouhé a složité a nepamatujte si ho.
    Měl by si ho za Vás pamatovat nějaký bezpečný správce hesel. Např. KeePass, LastPass, klíčenka na macu apod. Dlouhé heslo proto, že čas potřebný pro dešifrování hesla roste exponenciálně s jeho rostoucí délkou.
  3. Mějte aktualizovaný a správně nastavený bezpečnostní plugin.
    Zní to samozřejmě, ale fakt hlídáte, že je aktualizovaný a správně nastavený? Doporučit můžu Wordfence a Defender.
  4. Zapněte si 2FA (dvoufaktorové) přihlášení.
    K přihlášení přidá mobilní klíč. I když útočník zjistí platnou kombinaci jména a hesla, nedokáže se k Vám přihlásit.

Změna adresy přihlášení (wp-login.php) vám moc nepomůže. Je to forma „security by obscurity.“ Roboti nebudou přihlašovací adresu tolik oťukávat, to ano. Snadno ale přihlašovací adresu zjistí. Stačí navštívít kteroukoli url, co vyžaduje přihlášení. Přesměruje to na aktuální přihlašovací stránku. Práci útočníkovi jste tím zkomplikovali jen o jeden request.