حمله بروت فورس چیست؟ چگونه در دام آن نیفتیم؟

در سال 2016 هکرها با تمام قوا به سایت علی بابای چینی – که یک فروشگاه اینترنتی است – حمله کردند و موفق به هک کردن پسورد بیش از 20 میلیون اکانت شدند!

فکر می‌کنید از این 20 میلیون پسورد چه استفاده‌ای شد؟

دزدهای عصر دیجیتال با موجودی اکانت‌های هک شده، اقدام به خرید محصولات مختلف کردند و سایت را از نظرات غیرواقعی پر کردند.

سایت علی بابا مورد حمله بروت فورس قرار گرفته بود.

شاید برای‌تان جالب باشد که حملات بروت فورس تا حد زیادی به شانس و اقبال هکر هم بستگی دارد. هکر هرچقدر خوش‌شانس باشد، احتمال موفقیتش در حمله بروت فورس بیشتر می‌شود!

اما نگران نباشید؛ با انجام یک‌سری اقدامات پیشگیرانه، می‌شود حتی هکرهای خیلی خوش‌شانس را هم ناکام گذاشت.

در این مقاله زیر و بم حملات بروت فورس را بررسی می‌کنیم و یاد می‌گیریم که چطور از اطلاعات باارزش‌مان در دنیای گستردۀ وب، حفاظت کنیم. اگر دوست ندارید یک دزد سایبری کنترل سایتتان را در دست بگیرد یا به ایمیل‌های محرمانه شرکتتان دسترسی پیدا کند، خواندن این مقاله برای شما ضروری است.

ابتدا باید تعریف حملات بروت فورس را بدانید. ماهیت این نوع حملات توکل کردن بر خدا است!

حمله بروت فورس (Brute Force) چیست؟

ضرب‌المثل بسیار معروفی در زبان فارسی وجود دارد که به‌احتمال زیاد آن را شنیده‌اید. سنگ مفت، گنجشک مفت! حملات بروت فورس دقیقاً به این شکل انجام می‌شوند. به مثال زیر توجه کنید:

برای اینکه بتوانید از خدمات ایران سرور استفاده کنید، باید در آن عضو شوید. اولین لازمه عضویت انتخاب یک نام کاربری (معمولاً همان ایمیل‌تان است) و یک کلمه عبور یا پسورد است. هرگاه بخواهید وارد پنل‌تان شوید، باید این نام کاربری و کلمه عبور را وارد کنید تا جواز ورود را دریافت کنید. خیلی واضح است که هرکس دیگری به این اطلاعات شما (نام کاربری (یا ایمیل) و رمز عبور) دسترسی داشته باشد، می‌تواند وارد پنل‌تان شود.

هکرها بااستفاده از حملات بروت فورس یا Brute Force Attack سعی می‌کنند نام کاربری یا کلمه عبور شما را حدس بزنند! (روال کار به این شکل است که یکی از آن‌ها را در اختیار دارند. معمولاً داشتن نام کاربری راحت‌تر است.)

این نوع هک یک حمله تمام عیار است! مثل صحنه‌ جنگ آخرین قسمت از اونجرها. میلیون‌ها ترکیب نام کاربری و کلمه عبور به یک صفحه ورود حمله‌ور می‌شوند تا شاید یکی از آن‌ها درست باشد و درنهایت هکر بتواند مثل یک فاتح دنیای باستان، قدم به قلعه‌‌ای که هک کرده بگذارد.

سنگ مفت همان ترکیب‌هایی هستند که به‌صورت تصادفی یا بهتر است بگوییم شانسی به حساب کاربری حمله‌ور می‌شوند. گنجشک مفت هم، اکانت‌هایی هستند که بعد از این حمله فتح می‌شوند.

تمام پروسه هم با تکیه بر قضا و قدر انجام می‌شود؛ یعنی ممکن است هیچکدام از ترکیب‌ها درست نباشند و هیچ اکانتی هک نشود. البته در بسیاری از حملات بروت فورس، گنجشک از قبل مشخص است (مثل اکانت ادمین یک سایت) و فقط سنگ‌های زیاد در قالب پسوردهای مختلف به سوی آن پرتاب می‌شوند.

اما یک سوال مهم: چگونه میلیون‌ها و حتی میلیاردها ترکیب از کاراکترهای مختلف، ساخته و آماده حمله می‌شوند؟ قطعاً یک انسان، از پس این کار بر نمی‌آید!

حملات بروت فورس چگونه انجام می‌شوند؟

البته که مغز متفکر تمام ماجرا یک انسان است؛ اما سوال اصلی این است که این انسان چگونه می‌تواند چنین کاری را انجام دهد؟ چون وقتی صحبت از امتحان کردن میلیون‌ها ترکیب باشد، قطعاً توانایی انسان پاسخگو نیست.

انسان (مشخصاً هکر پلید داستان)، از کمک‌افزارها برای پیشبرد اهدافش استفاده می‌کند. بگذارید اینگونه بگوییم که انسان کامپیوتر را برنامه‌ریزی می‌کند و خودش به نظاره عملیات می‌نشیند..

اگر هنوز هم خیال می‌کنید یک انسان بدون کمک کامپیوتر می‌تواند حمله را انجام دهد، به مثال زیر توجه کنید.

فرض کنید بدون داشتن هیچ دانشی در رابطه با کدنویسی و استفاده از نرم‌افزارهای هک، قصد انجام حمله بروت فورس به یک اکانت را دارید.

در این فرض نام کاربری این اکانت به‌صورت پیش‌فرض admin درنظر گرفته می‌شود و شما فقط باید پسورد را پیدا کنید. حتی اگر پسورد یک عدد دو رقمی باشد، با ترکیب اعداد 0 تا 9، صد احتمال به‌وجود می‌آید که باید تک‌تک آن‌ها را برای حمله‌تان امتحان کنید.

2 نکته را فراموش نکنید:

نکته اول: هیچ پسوردی در هیچ دستگاه و پلتفرمی دو رقمی نیست! حتی پین تلفن همراه حداقل باید چهار رقم داشته باشد و رمز کارت‌های بانکی هم همین‌طور. جالب‌تر اینکه معمولاً حداقل تعداد کاراکتر لازم برای انتخاب یک پسورد در سایت‌های مختلف، 8 کاراکتر است.

نکته دوم: پسوردها از کاراکترها تشکیل می‌شوند و این کاراکترها لزوماً محدود به اعداد نیستند. حروف، نمادهای مختلف مثل @!؟ و … در کنار اعداد، پسوردها را تشکیل می‌دهند. درضمن پسوردها نسبت‌به بزرگ یا کوچک نوشته شدن حروف انگلیسی هم حساس هستند.

برای محاسبه تمام احتمال‌ها (درصورتی که فقط از حروف انگلیسی و اعداد استفاده شود و نمادها را هم در نظر نگیریم) باید عدد 62 را به‌توان 8 برسانیم. عدد حاصل 218 تریلیون است. برای امتحان کردن این تعداد ترکیب تقریباً 7 میلیون سال زمان لازم است!

به‌همین خاطر هیچ بشری نمی‌تواند بدون استفاده از کمک‌افزارها بروت فورس را انجام دهد.

یک برنامه پسوردیاب که در هر ثانیه 1000 پسورد را امتحان کند، 7 میلیون سال را به 7 هزار سال کاهش می‌دهد. بله بازهم خیلی طول می‌کشد. مخصوصاً وقتی پیش خودتان حساب می‌کنید که کوروش کبیر نزدیک به 2600 سال پیش به دنیا آمد و این زمان تقریباً 3 برابر بیشتر است!

پس قضیه هک کنسل است؟

خیر! اینجا ابرکامپیوترها وارد بازی می‌شوند. 😎

اَبَر کامپیوترها و کمک‌افزارها در خدمت هکرها

ترتیب دادن یک حمله Brute Force با کامپیوترهای معمولی امکان‌پذیر نیست. حتی اگر خفن‌ترین لپ‌تاپ یا کامپیوتر را هم داشته باشید، بازهم امکانات لازم برای این کار را در اختیار ندارید. حتی نزدیکش هم نیستید.

هکرها آدم‌های معمولی نیستند ؛ بنابراین از کامپیوترهای معمولی هم استفاده نمی‌کنند. آن‌ها لوازم موردنیازشان را خودشان می‌سازند. پس وقتی قصد حمله‌ای همه‌جانبه داشته باشند، اول از همه سلاح‌هایشان را سرهم می‌کنند.

یکی از کارهایی که هکرها در راستای ساخت ابر کامپیوتر انجام می‌دهند، استفاده از GPU به‌جای CPU است. درواقع بهتر است بگوییم ترکیب CPU با پردازنده گرافیکی که توان محاسباتی سیستم را چندین برابر می‌کند. بنابراین توانایی کامپیوتر برای انجام وظایف مختلف به‌صورت هم‌زمان، به‌شکل قابل‌توجهی افزایش می‌یابد.

با استفاده از یک ابرکامپیوتر خیلی کاردرست، 7 هزار سال می‌تواند به 22 ثانیه کاهش پیدا کند! اگر پسورد به‌جای 8 کاراکتر، 9 کاراکتر داشته باشد، کمی بیشتر. هرچه بیشتر، طولانی‌تر.

حالا یک سوال دیگر؛ چه سایت‌هایی درمعرض حملات بروت فورس هستند؟

حملات بروت فورس روی چه سایت‌هایی انجام می‌شوند؟

تمام صفحات فرود در هر سایتی ممکن است هدف حمله هکرها با استفاده از بروت فورس قرار بگیرند. هرجایی که برای استفاده از آن نیاز به وارد کردن نام کاربری و کلمه عبور است، می‌تواند طعمه مناسبی برای این نوع حملات باشد.

اکانت ادمین‌های سایت‌ها، اکانت‌های شبکه‌های اجتماعی، ایمیل‌ها، اکانت‌های عضویت در سایت‌های مختلف و … .

اگر سایت دارید یا به‌عنوان مدیر به هر سایتی دسترسی دارید، پنل ورودی‌تان در معرض خطر است. هکرها می‌توانند شانس خود را برای دسترسی به پنل سایت‌تان با استفاده از حملات بروت فورس امتحان کنند.

تمام اکانت‌های شبکه‌های اجتماعی گوناگون مانند توییتر، فیسبوک، لینکدین، پینترست یا هرجای دیگری، ممکن است مورد حمله هکرها قرار گیرد. باید از بروت فورس اینستاگرام به‌شکل مشخص یاد کرد؛ چراکه به‌خاطر محبوبیت زیاد این پلتفرم – به‌خصوص در بین ایرانی‌ها – تامین امنیت اکانت این شبکه اجتماعی اهمیت بیشتری پیدا می‌کند.

تمام سرویس‌های پیام‌رسان الکترونیکی مانند جیمیل گوگل هم می‌توانند مورد حمله قرار بگیرند. همچنین موارد به‌ظاهر کم‌اهمیت‌تر دیگر مانند اکانت سایت‌های پخش و دانلود فیلم یا سایت‌های آموزشی که نیازمند عضویت هستند.

همه این صفحات ورود می‌توانند زیر آتش حملات هکرها تسلیم شوند.

البته خوب هکرها هم محض تفریح بروت فورس را اجرا نمی‌کنند و اهدافی در سر دارند.

انگیزه هکرها از حملات بروت فورس چیست؟

کلی تلاش و منابع برای انجام چنین حملاتی لازم است و مسلماً باید انگیزه‌ای مشخص پشت عملیات بروت فورس باشد. هدف هر هکری می‌تواند از دیگری متفاوت باشد. در ادامه تعدادی از منافع هکرها را خواهید خواند:

1) منفعت بردن از تبلیغات و داده‌ها

هکرها می‌توانند با هک کردن وب‌سایت‌ها،  درآمد آن‌ها از تبلیغات را به سرقت ببرند. انجام این کار از چند روش ممکن است:

• قرار دادن تبلیغات اسپم برای بالا بردن نرخ کلیک و در نتیجه کسب درآمد
• هدایت ترافیک به یک سایت مشخص به‌منظور گرفتن پورسانت
• رصد فعالیت‌های یک سایت و کاربرانش توسط بدافزارهای جاسوسی و فروش اطلاعات به شرکت‌های تبلیغاتی

2) سرقت اطلاعات شخصی و باارزش

در دورانی زندگی می‌کنیم که به‌مرور تمام اطلاعات باارزش‌مان را به‌شکل آنلاین در اختیار داریم. از اطلاعات حساب بانکی گرفته تا اطلاعات مربوط به مسائل مالیاتی‌مان در اینترنت وجود دارند.

فقط کافی است که یک هکر بدذات، حمله Brute Force موفقی داشته باشد تا بتواند هویت و ثروت شما را بدزدد. همچنین فروش اطلاعات هم یکی از راه‌های سود بردن این دزدهای سایبری است.  گاهی فروش اطلاعات یک ارگان بزرگ می‌تواند منجربه نابودی کامل آن شود. 

3) پخش بدافزار به‌منظور ایجاد اختلال

برخی از هکرهای کلاه‌سیاه علاوه‌بر اینکه سارق هستند، اختلالات روانی هم دارند که همین اختلالات باعث می‌شود گاهی اوقات حملات خود را صرفاً برای ایجاد دردسر انجام دهند! گاهی هم برای تمرین بروت فورس را اجرا می‌کنند تا مهارت‌هایشان را محک بزنند. در هر دو صورت آن‌ها اقدام به پخش بدافزارها می‌کنند.  این کار معمولاً با مخفی کردن بدافزار در کدهای سایت انجام و باعث آلوده شدن کامپیوتر کاربران می‌شود. 

4) دراختیار گرفتن دستگاه شما برای فعالیت‌های پلید

هکرها همیشه از داشتن عضو جدید استقبال می‌کنند و معمولاً به‌زور اعضای جدید را وارد تیم خود کنند. این اعضای جدید کامپوترها، موبایل‌ها، تبلت‌ها و دیگر دستگاه‌های شما هستند  که توسط بدافزارها آلوده شده‌اند و حالا به هکرها خدمت می‌کنند.

5) از بین بردن اعتبار یک وب‌سایت

اگر مدیریت یک سایت معتبر را در اختیار دارید، همیشه در معرض اقدامات خرابکارانه هستید؛ یعنی ممکن است هدف مجرمان سایبری از حمله بروس فورت، آلوده کردن سایت با محتوای ناپسند باشد. محتوای آلوده می‌تواند متن، عکس، ویدیو و حتی صوت باشد. پیام این محتواها خشونت‌آمیز، غیراخلاقی و نژادپرستانه است. هر کدام از آن‌ها به‌تنهایی برای  نابودی اعتبار یک وب‌سایت  کفایت می‌کنند.

حالا که فهمیدید چرا هکرها پشت دستگاه‌هایشان می‌نشینند و حملات بروس فورت را مدیریت می‌کنند، بد نیست با انواع این حملات هم آشنا شوید.

انواع حملات Brute Force را بشناسید

درست است که حملات بروس فورت تداعی‌کننده ضرب‌المثل سنگ مفت و گنجشک مفت هستند؛ اما قرار نیست خیال کنید هیچ استراتژی‌ای پشت این نوع هک کردن نیست. 5 متد اصلی برای این نوع هک کردن وجود دارد که در ادامه آن‌ها را معرفی خواهیم کرد.

1) حمله بروت فورس ساده

این متد قدیمی‌ترین نوع حمله بروت فورس است و می‌توان گفت هیچ استراتژی‌ای پشت آن نیست!  پسوردهای خیلی ضعیف در برابر این نوع حمله آسیب‌پذیر هستند. مثلاً 12345.

2) حملات دیکشنری

 ساده‌ترین نظمی که یک حمله بروت فورس می‌تواند داشته باشد، انتخاب یک نام کاربری و وارد کردن پسوردهای محتمل برای آن است  (پسوردهای محتمل از قبل آماده شده‌اند). این نوع حملات، حملات دیکشنری نام دارند. حملات دیکشنری درواقع ابزاری هستند که فقط مختص استفاده در بروت فورس نیستند و محدوده گسترده‌تری از نیازهای یک هکر را پوشش می‌دهند. این نوع حملات تلاش و زمان زیادی لازم دارند و همیشه کارآمد نیستند.

3) حملات بروت فورس ترکیبی

این نوع حملات ترکیبی از حملات ساده و دیکشنری هستند. بروت فورس هیبریدی یا همان ترکیبی، برای کشف پسوردهای ترکیبی استفاده می‌شود.  پسوردهایی که از ادغام کلمات و دیگر کاراکترها تشکیل شده‌اند.

4) حملات بروت فورس معکوس

فیلم Tenet را دیده‌اید؟ البته هیچ ربطی به هک و پسورد ندارد، اما درمورد معکوس شدن است.

حملات بروت فورس معکوس، به‌جای اینکه دنبال پسورد بگردند، می‌خواهند نام کاربری را پیدا کنند.  ممکن است هکرها پسوردهای لو رفته یک مجموعه را داشته باشند و برای تکمیل نقشه پلیدشان فقط به نام کاربری نیاز داشته باشند.  در چنین مواردی از حملات بروت فورس معکوس استفاده می‌شود.

5) استفاده از اطلاعات کاربر در سایت‌های دیگر

خیلی از مردم تنها یک نام کاربری و پسورد دارند؛ یعنی حتی اگر در 50 سایت مختلف هم عضویت داشته باشند، از نام کاربری و پسورد یکسان برای همه آن‌ها استفاده می‌کنند. چنین افرادی لقمه‌های چرب‌ونرم هکرها به‌حساب می‌آیند.  فقط کافی است که هکرها به نام کاربری و پسورد یک سایت دست پیدا کنند، بقیه سایت‌ها خودشان پرچم سفید را به‌نشانه تسلیم تکان می‌دهند. 

اما ما آن‌قدرها هم که به‌نظر می‌رسد در برابر حملات بروت فورس بی‌دفاع نیستیم و می‌توانیم با انجام اقداماتی اکانت‌هایمان را در برابر هکرها مقاوم کنیم.

راه‌‌های پیشگیری از حملات بروت فورس

وقتی یک حمله بروت فورس با موفقیت انجام می‌شود، نباید تمام تقصیرها را گردن کاربر انداخت. در بسیاری از مواقع ایرادات پلتفرم‌ها و وجود رخنه‌های امنیتی باعث سقوط قلعه می‌شوند.

ما در این بخش راه‌های پیشگیری از حملات بروت فورس را به‌تفکیک برای مدیران و متخصصان و کاربران معمولی مورد بررسی قرار خواهیم داد.

راه‌های پیشگیری از حملات بروت فورس برای حرفه‌ای‌ها

به‌عنوان مدیر یک سایت، شما مسئول امنیت کاربران و بازدیدکنندگان سایت هستید. اولین اقداماتی که باید در راستای افزایش امنیت سایت‌تان انجام دهید، انتخاب یک نام کاربری و پسورد قوی برای دسترسی به پنل‌ مدیریتی‌تان است. admin و 123456 افتضاح هستند. همین الان آن‌ها را عوض کنید.

پس از آن اکانت کاربرهای غیرفعالی که سطح دسترسی بالایی دارند را مسدود کنید. این اکانت‌های غیرفعال می‌توانند بهترین ورودی ممکن برای هکرها باشند.

پس از بررسی و اصلاح دو مورد بالا، سراغ انجام اقدامات تکمیلی بروید. اقداماتی مانند قرار دادن امکان ورود دو مرحله‌ای، محدود کردن تعداد دفعات تلاش مجدد برای ورود، مسدود کردن موقت اکانت پس از چند تلاش ناموفق، قرار دادن کد امنیتی در فرایند ورود و … .

نکتۀ مهم: بالا رفتن لود سرور و کندی سرعت بارگذاری سایت شما، یکی از عوارض تلاش‌های هکرهاست. برای جلوگیری از بروز چنین مشکلاتی کاری که در ادامه می‌گوییم را انجام دهید.

بهتر است در فایل htaccess دسترسی به صفحات لاگین را به آدرس IP محدود کنید. در صورتی که از IP استاتیک استفاده می کنید، دسترسی را به IP استاتیک و در غیر این صورت به محدوده سرویس‌دهنده اینترنت خود، محدود کنید.

به‌عنوان مثال اگر از وردپرس استفاده می کنید، تغییرات برای فایل htaccess به صورت زیر خواهد بود:

order deny,allow
allow from MYIP
allow from MYIP2
deny from all

شما می توانید همین تغییر را برای هر URL احراز هویت مربوط به مدیریت محتوا یا سایت خود هم اعمال کنید.

راه‌های پیشگیری از حملات بروت فورس برای کاربران معمولی

هکرها در حملات بروت فورس به‌دنبال پیدا کردن پسورد شما هستند؛ پس تا می‌توانید کار را برایشان سخت کنید. زمان برای هکرها از اهمیت زیادی برخوردار است، اگر پیدا کردن پسوردتان سخت باشد، به‌احتمال خیلی زیاد دست از کار می‌کشند و دنبال اکانت بخت‌برگشته‌ای می‌گردند که بتوانند در کوتاه‌ترین زمان ممکن وارد آن شوند.

پسوردهای قوی عبارات طولانی هستند؛ یعنی طولانی بودن یکی از خصوصیات پسورد خوب است.

در انتخاب پسورد کلمات و اعداد و نمادها را باهم ترکیب کنید تا پیدا کردن آن برای هکرها سخت‌تر هم بشود. حملات دیکشنری فقط برای پسوردهای تک کلمه‌ای کاربرد دارد و اگر چنین کاری کنید، این حملات هیچ خطری برایتان ندارند.

از پسوردهای پرتکرار مثل 123456 استفاده نکنید و برای وارد شدن به هر سایتی، پسوردی جداگانه انتخاب کنید.

یادتان باشد پسوردی خوب است که برای دیگران کاملاً بی‌معنی باشد و برای شما باتوجه به اصولی‌ که برای خود تعیین کرده‌اید قابل فهم و به‌خاطر سپردن.

درضمن یک سری اپلیکیشن‌ها و برنامه‌ها هستند که کارشان مدیریت پسورد پلتفرم‌های مختلف است. بد نیست از این برنامه‌ها برای راحت‌تر شدن کارتان استفاده کنید.

اگر امکانش هست، از روش تائید هویت 2 مرحله‌ای استفاده کنید. مثلاً اینستاگرام و جی‌میل این قابلیت را دارند و کافی است از بخش تنظیمات آن را فعال کنید.

کلام آخر

یک مرور خلاصه داشته باشیم؟

حمله بروت فورس یکی از روش‌هایی است که هکرها با استفاده از آن برای رسیدن به اهداف‌شان تلاش می‌کنند. سرقت اطلاعات شخصی، دزدی از راه پنل‌های تبلیغاتی، پخش بدافزار و حتی استفاده از سیستم‌های هک‌شده به‌عنوان یک عضو جدید سرقت، می‌توانند اهداف یک هکر از انجام چنین حملاتی باشند.

و اما آخرین توصیۀ ما: تا می‌توانید پسوردهای قوی و غیر تکراری بسازید و از آن‌ها به‌خوبی نگهداری کنید! برای این کار حتماً از این مقاله کمک بگیرید: 👇

در ضمن، برای جلوگیری از چنین اقدامات خرابکارانه‌ای باید برخی اقدامات توسط سایت‌ها و مدیران آن‌ها نیز انجام شود. اقداماتی که منجر به افزایش امنیت سایت شوند.

امیدوارم که از خواندن این مقاله لذت برده باشید؛ اگر دوست داشتید می‌توانید مقاله امروز ایران سرور را، با دوستان خود نیز به‌اشتراک بگذارید. 💙