În timp ce lăsați ușa din spate deschisă în timp ce lucrați de acasă poate fi ceva ce faceți fără să vă gândiți din nou, dacă aveți porturi inutile deschise pe computer este un risc de securitate care este uneori subestimat. Acest lucru se datorează faptului că un port deschis poate fi supus atacurilor cu forță brută.

Ce sunt atacurile cu forță brută?

Un atac cu forță brută este locul în care un atacator încearcă în toate modurile în care se poate gândi să intre. În cazurile în care metoda pe care o încearcă este să se conecteze la sistemul dvs., vor încerca combinații nesfârșite de nume de utilizator și parole până când o combinație funcționează.

Atacurile cu forță brută sunt de obicei automatizate, deci nu îi costă atacatorului mult timp sau energie. Cu siguranță nu la fel de mult ca încercarea individuală de a afla cum să accesați un sistem la distanță. Pe baza unui număr de port sau a unei alte proprietăți specifice sistemului, atacatorul alege ținta și metoda și apoi își pune în mișcare aplicația de forță brută. Apoi poate trece la următoarea țintă și va primi o notificare când unul dintre sisteme a înghițit cârligul.

Metode de forță brută

Când încearcă să obțină acces la un sistem la distanță, un atacator va folosi unul dintre aceste tipuri diferite de atacuri:

• Atac cu forță brută inversă. Acest tip folosește o parolă obișnuită sau o colecție de parole împotriva multor nume de utilizator posibile. Uneori, atacatorul poate avea o idee despre numele de utilizator sau o parte a acestuia. De exemplu, ei pot ști că o anumită organizație folosește {prenume} @ {organizație} ca nume de utilizator implicit pentru angajații lor. Atacatorul poate încerca apoi o listă specifică de nume de utilizator și parole aleatorii.
• Completarea acreditării este un tip de atac în care criminalul are o bază de date cu combinații valide de nume de utilizator și parole (de obicei furate din alte încălcări) și încearcă toate aceste combinații pe diferite sisteme. Acesta este motivul pentru care nu este niciodată o idee bună să vă reutilizați parolele.
• Un atac de forță brută hibrid începe cu cele mai fezabile combinații și apoi continuă să încerce de acolo. Folosește adesea un atac de dicționar în care aplicația încearcă nume de utilizator sau parole folosind un dicționar de șiruri sau fraze posibile.
• Atacurile la masă rainbow funcționează numai atunci când atacatorul are anumite cunoștințe despre parola pe care încearcă să o ghicească. În aceste atacuri, tabelele rainbow sunt utilizate pentru a recupera o parolă pe baza valorii sale hash. O masă rainbow este o funcție hash utilizată în criptografie pentru stocarea datelor importante, cum ar fi parolele într-o bază de date.

Porturi RDP de forțare brută

Atacurile RDP sunt unul dintre principalele puncte de intrare atunci când vine vorba de operațiuni de ransomware direcționate. Pentru a crește eficacitatea, atacurile ransomware sunt din ce în ce mai vizate, iar unul dintre principalii vectori de atac este Remote Desktop Protocol (RDP). Desktop-ul la distanță este exact ceea ce implică numele, o opțiune pentru controlul de la distanță al unui sistem computerizat. Se pare că ai fi așezat de fapt în spatele acelui computer. Ceea ce face exact un atacator cu acces RDP atât de periculos.

Din cauza pandemiei actuale, mulți oameni lucrează de acasă și s-ar putea să o facă pentru o vreme. Lucrul de acasă are ca efect secundar deschiderea mai multor porturi RDP. Nu numai pentru a permite forței de muncă să acceseze resursele companiei de acasă, ci și pentru a permite personalului IT să depaneze problemele de pe dispozitivele lucrătorilor. Multe întreprinderi se bazează pe echipe de asistență tehnică care folosesc RDP pentru a depana problemele de pe sistemele angajaților.

Dar ransomware-ul, deși răspândit, nu este singurul motiv pentru aceste tipuri de atacuri. Infractorii cibernetici pot instala, de asemenea, keylogger-uri sau alte programe spion pe sistemele țintă pentru a afla mai multe despre organizația pe care au încălcat-o. Alte obiective posibile ar putea fi furtul de date, spionaj sau extorcare.

Protejați-vă împotriva atacurilor de forță brută

Măsurile de protecție se reduc la:

• Limitați numărul de porturi deschise
• Limitați accesul la cei care au nevoie de el
• Îmbunătățiți securitatea portului și a protocolului

Aceleași măsuri de securitate de bază se aplică și altor porturi. În securitatea cibernetică, termenul port deschis se referă la un număr de port TCP sau UDP care este configurat să accepte pachete. În schimb, un port care respinge conexiunile sau ignoră toate pachetele este un port închis. Cu cât aveți mai puține porturi deschise spre internet, cu atât este mai sigur. Limitarea numărului de porturi deschise este un început bun, dar închiderea tuturor este aproape niciodată fezabilă.

Pentru porturile care trebuie să rămână deschise și unde vă așteptați la vizitatori, este o idee bună să dezactivați numele de utilizator vechi, să rotiți parolele și să utilizați 2FA, dacă puteți.

Software-ul de securitate care protejează întreaga rețea ar trebui să declanșeze alarmele atunci când sunt detectate un număr mare de încercări. Orice lucru care se comportă ca un atac de forță brută va arăta atât de diferit de încercările normale de conectare, încât nu ar trebui să fie o problemă dacă este blocat. Când un atacator de forță brută este blocat câteva minute după câteva încercări eșuate, acest lucru îi va încetini mult și vă va oferi oportunități ample de a lua măsuri corective și defensive.

Este un joc de numere

Multe porturi deschise pot fi utilizate într-un atac de forță brută, dar porturile RDP sunt cele mai de dorit pentru oricine încearcă să aibă acces. RDP este mai ușor, deoarece atacatorul poate avea o idee rezonabilă despre numele de utilizator și trebuie doar să forțeze parola. De asemenea, oferă unui atacator de succes o șansă bună de a se infiltra în rețeaua organizației în continuare.

După cum s-a menționat mai devreme, trecerea la lucrul de acasă a cauzat o creștere mare a numărului de porturi RDP deschise din întreaga lume. Numărul de porturi RDP expuse la Internet a crescut de la aproximativ trei milioane în ianuarie 2020 la peste patru milioane și jumătate în martie. Am observat o creștere similară a serverelor compromise care sunt folosite pentru a rula instrumente de forță brută sau pentru a scana pe internet pentru a găsi porturi vulnerabile. Protejarea clienților se face prin blocarea traficului de la aceste adrese IP.

Și vă rog să nu credeți că acest lucru nu se poate întâmpla organizației dvs. Am văzut companii de profil înalt căzând victime ale ransomware-ului, unde punctul suspectat de intrare era un port RDP deschis.

Sursa: https://blog.malwarebytes.com/exploits-and-vulnerabilities/2020/10/brute-force-attacks-increasing/