Brute Force Attack (Kaba Kuvvet Saldırısı) Nedir ve Ne Amaçla Kullanılır?

Brute Force Attack (Kaba Kuvvet Saldırısı) Nedir Ve Ne Amaçla Kullanılır?

Kaba kuvvet saldırısı, saldırganlar tarafından sıkça tercih edilen bir siber saldırı türüdür.

Fetih Samet Direk

Kaba kuvvet saldırıları, sonunda doğru veriyi bulmayı amaçlayan bir saldırı yöntemidir. Kaba kuvvet saldırılarında hedeflenen kullanıcının herhangi bir verisi geçirilmek istenir. Bu veri, kullanıcı adı, gizlenmiş bir Web sitesi, parolalar veya bir mesajı, bağlantıyı şifrelemek için kullanılan anahtar olabilir. Saldırganlar deneme yanılma yöntemi ile doğru veriyi denk getirene kadar girişimlerde bulunurlar.

Kaba kuvvet saldırıları, diğer siber saldırı yöntemlerine göre nispeten daha eski olsa bile hala etkili bir yöntemdir. Saldırganlar, bu eski ama etkili yöntemi oldukça sık kullanırlar. Siber saldırganlar ve internet korsanları, bu yöntem ile kişisel bilgilerden kurumsal verilere kadar birçok parametre hakkında değerli bilgiyi ele geçirmeye çalışırlar.

Parolaların kırılma süreleri, uzunluk ve karmaşıklık gibi farklı etmenlere bağlı olarak değişebilir. Bu süreler bazı parolalar ve güvenlik önlemleri için çok daha uzun olabilir.

Bazı parolalar ve güvenlik önlemleri korsanlar tarafından birkaç saniyede kırılırken, bazılarının kırılması ise aylar hatta yıllar süren saldırılar sonucu sonuçlanır.

Kaba Kuvvet Saldırılarında Saldırganların Kullandıkları Araçlar ve Yöntemler

Belli bir kullanıcının ya da sitenin parolasını tespit etmek oldukça uzun sürebilir. Bu nedenle siber saldırganlar, bu saldırı için süreci hızlandıracak bazı araçlar geliştirmişlerdir.

Sözlükler bilinen en basit kaba kuvvet saldırısı araçlarıdır. Bazı siber saldırganlar, özel karakterler ve rakamlar ile hiçbir eksik bulundurmayan sözlükleri kullanarak, ilave kelimeleri dener. Bazı saldırganlar ise daha karmaşık olan özel sözlükleri kullanır. Fakat bu sözlükler nispeten daha zor bir kullanıma sahiptir.

En temek kaba kuvvet saldırılarında korsanlar bir hedef belirler ve bu kullanıcı adı için olası parolaları denerler. Bu saldırılar sözlük saldırıları olarak da bilinir.

Ters kaba kuvvet saldırıları internette bulunabilen ve sızdırılan parolalar gibi bilinen bir parola ile başlar ve bulana kadar milyonlarca kullanıcı adını arayarak saldırı stratejisini tersine çevirir.

Ayrıca kaba kuvvet saldırılarına yardımcı olan bazı otomatik araçlar da vardır. Uzak durulması gereken bu araçlardan bazıları ise şunlardır:

Brutus
Medusa
THC Hydra
Ncrack
John the Ripper
Aircrack-ng
Rainbow

Bu araçların birçoğu, sözlüklerde bulunan kelimelerden oluşan şifreleri saniyeler içerisinde bulabilir. Bu araçlar ile saldırganlar, çok sayıda bilgisayar sistemini ve FTP, MySQL, SMPT ve Telnet gibi protokolleri engelleyebilir, durdurabilir. Bu nedenle saldırganlar, kablosuz modemlerin parolalarını kırabilir, zayıf şifreleri öğrenebilir, şifrelenmiş depolama birimlerindeki parolaları ele geçirebilirler.

Bazı araçlar ve programlar ise parolaları uzun ve aynı karakter sayısında harf ve sayılara dönüştürmek adına kullanılan, algoritma temelli şifreleme yöntemleri olarak bilinen, karma işlevlerinin giriş ve çıkışlarının önceden işlendiği gökkuşağı tablolarını tarar.

GPU Hızları ile Kaba Kuvvet Girişimleri

CPU ve GPU’yu bir araya getirmek, GPU’lardaki binlerce bilgi işlem çekirdeğini işlemeye alarak, işleme gücünü hızlandırır ve kapasiteyi artırır. Aynı zamanda bu durum, sistemlerin eş zamanlı olarak çok sayıda görevi yerine getirmesini sağlar. GPU işleme, analiz, mühendislik ve diğer tüm bilgi işlem adımları bakımından daha yoğun uygulamalar tarafından kullanılır.

Brute Force Attack.jpg — Bu nedenle parola ve şifreleri sadece CPU’nun gücüyle kırmaya kıyasen yaklaşık 250 kat daha hızlı kırabilir.

Nasıl Güvenli Bir Şifre Oluşturabilirim?

İnternet üzerinde kullanıcıların oluşturdukları şifreler, mümkün olduğunca sembol, harf ve rakamların bir kombinasyonundan oluşmalıdır. Aynı zamanda bu şifreler en az 10 karakter uzunluğunda olmalıdır. Bu sayede kullanıcılar, olasılıkların yaklaşık sayısını 171,3 kentilyona yükseltmiş olur. Bir süper bilgisayarın bu parolayı çözmesi birkaç hafta sürebilir. Ancak saniyede 10,3 milyar karma işlem deneyen bir GPU işlemcisi bu şifreyi kırmak için kullanılırsa, şifrenin kırılması yaklaşık 526 yıl sürecektir.

Tüm siteler bu uzunlukta olan parolaları kabul etmeyebilir. Bu gibi durumlarda kullanıcılar parola oluştururken tek bir kelime yerine karmaşık şifreler oluşturmalıdır. Yaygın şifrelerden uzak durmak ve mümkünse sık kullanılan hesapların şifrelerini zaman zaman değiştirmek, güvenlik açısından oldukça önemlidir.

Parolamın Güvenliğini Nasıl Test Edebilirim?

Parola güvenliğini test etmek için bazı güvenilir yardımcı araçlar vardır. Bu araçlardan en popüler olanlar arasında yer alanlardan bir tanesi ise dünyaca ünlü siber güvenlik ve teknoloji şirketi Kaspersky’ın password chechker aracıdır. Aracı kullanmak oldukça basittir. Parolanızı güvenli bir şekilde belirtilen alana girdiğiniz takdirde, program size parolanızın ne ölçüde ve ne sıklıkla kullanıldığına, basit veya karmaşıklığına, uzunluğuna dair ipuçları verecektir. Kaspersky Password Checker’ı kullanmak için web sitesini ziyaret edebilirsiniz.