Parolni topishga qaratilgan hujumlar. Yuqorida keltirilgan hujum turlaridan
farqli ravishda parolga qaratilgan hujumlar faqat foydalanuvchiga tegishli parolni
topishni maqsad qiladi. Parolga qaratilgan hujumlar asosan parollarni faraz qilish,
uzatish yoki saqlash davomida ularni tiklashga asoslanadi. Bular ichida eng
ommalashgan usul bu - parolni taxminiy kiritib ko‘rish. Quyida mazkur turga
tegishli qator hujum usullarining tavsifi keltirilgan.
Zaif kriptografik tizimdan foydalanish. Parolni saqlashda yoki tarmoq orqali
uzatishda zaif kriptografik protokoldan foydalanilganda hujumchi tomonidan uni
aniqlash imkoniyati yuzaga keladi. Masalan, Telnet kabi protokollar foydalanuvchi
parolini ochiq holda uzatishi sababli, jiddiy muammolarga sabab bo‘ladi. Bundan
tashqari, parollarni xesh qiymatlarini saqlashda kriptobardoshli funksiyalardan
foydalanmaslik natijasida ham parolni topish ehtimoli ortadi.
Faraz qilish asosida hujum. Odatda foydalanuvchilar esda saqlash
muammosidan qochish uchun o‘zlariga tegishli shaxsiy axborotdan parol sifatida
foydalanishga harakat qilishadi. Bunga ularning tug‘ulgan kunlari, telefon
raqamlari, turmush o‘rtog‘ining ismi va boshqa ma’lumotlarni misol keltirish
mumkin. Bu hujumni amalga oshirishda hujumchi “qurbon”ga tegishli shaxsiy
ma’lumotlarni qo‘lga kiritish uchun sotsial injineriyadan keng foydalanadi.
Lug‘atga asoslangan hujum. Parolni topishning mazkur usuli ehtimollikga
asoslanadi. Bunda hujumchiga eng keng tarqalgan parollar lug‘atidan ehtimoli eng
yuqori bo‘lganlaridan birin-ketin foydalanadi. Ko‘plab insonlar aynan bir turdagi
parollardan foydalanishlari mumkinligi sababli, aksariyat hollarda ushbu hujum
muvaffaqiyatga erishadi.
Butun dunyo bo‘yicha xakerlar guruhi yoki analitika bilan shug‘ullanuvchi
tashkilotlar tomonidan har yilgi eng ko‘p foydalanilgan parollar ro‘yxati e’lon
qilinib boriladi. 2020-yil uchun TechRepublic Premium tashkiloti tomonidan taqdim
etilgan ma’lumotga asosan eng ko‘p foydalanilgan parollar beshligini: “123456”,
“123456789”, “picture1”,”password” va “12345678” lar tashkil etgan.
Qo‘pol kuch hujumi. Bu hujumda parolning bo‘lishi mumkin bo‘lgan barcha
kombinatsiyalari ko‘rib chiqiladi. Bunda asosiy faktor sifatida parolning uzunligi va
uni qanday belgilardan iborat ekanligi qaraladi. Mumkin bo‘lgan belgilar sonining
va parol uzunligini ortishi ushbu hujumni amalga oshirilish ehtimolini yo‘qqa
chiqaradi. Shuning uchun, ushbu usuldan odatda qisqa uzunlikdagi parollarni
topishda keng foydalaniladi. Bundan tashqari, barcha parollar kombinatsiyasini
hisoblash vaqtini kamaytirishda parallel hisoblash texnologiyalaridan keng
foydalaniladi. Qo‘pol kuch hujumining offlayn va onlayn turlari farqlanib, agar
hujumchi himoyalangan resursga bog‘lanmasdan hujumni amalga oshirsa offlayn
hujum, aks holda onlayn hujum deb ataladi. Onlayn turidagi qo‘pol kuch hujumini
oldini olish oson bo‘lib, muvaffaqiyatsiz urinishlar soniga ko‘ra qayd yozuvini
bloklanadi.
Oldindan hisoblashga asoslangan hujumlar. Mazkur hujum turiga ko‘ra
lug‘atdagi har bir parol so‘z o‘zining biror xesh-funksiyadagi qiymati bilan
saqlanadi hamda ikki ustundan iborat bo‘lgan: hisoblangan xesh qiymatlar va unga
mos parol so‘zlar shaklidagi jadval ko‘rinishida shakllantiriladi. Agar yangi xesh
qiymat kiritilsa, jadvaldagi xesh qiymatlar ustunidan aniqlanib, unga mos bo‘lgan
parol topiladi.
Ushbu hujumni oldini olish uchun hosil qilingan xesh qiymatlarni turlicha
bo‘lishini ta’minlash zarur. Buni uchun “tuz” (salt) deb ataluvchi tasodifiy
qiymatdan foydalaniladi. Bu usulga ko‘ra har bir parol uchun tasodifiy “tuz” qiymati
hosil qilinadi va u parolga biriktirilgan holda xeshlanadi. Parollar bazasida esa
parolning xesh qiymati va unga mos “tuz” qiymati saqlanadi.
Mazkur usul oldindan hisoblashga asoslangan hujumni amalga oshirilishini
murakkablashtiradi. Boshqacha aytganda, “tuz” qiymati asosida parolni
xeshlamasdan turib, uni taqqoslashning foydasi bo‘lmaydi. Buning natijasida
oldindan hisoblashga asoslangan hujumning samaradorligi amaliy jihatdan yo‘qqa
chiqadi.
Mazkur hujumni amalga oshirish uchun ko‘plab vositalar mavjud bo‘lib, ular
orasida RainbowCrack, Aircrack-ng, John the Ripperlar keng qo‘llaniladi. Xususan,
turli uzunlikdagi va belgilardan iborat bo‘lgan parollarning LM, NTLM, MD5 va
SHA1 xesh funksiyalardagi qiymatlari RainbowCrack vositasida oldindan
generatsiya qilingan.
“Yelka ortidan qarash” hujumi. Mazkur hujum usuli foydalanuvchi qayd
yozuvi ma’lumotlarini bevosita qarash yoki bilvosita kamera yozuvlaridan
foydalangan holda bilib olishni maqsad qiladi. Mazkur hujum usuli jarayon va
foydalanilgan vositaga bog‘liq holda samaradorlik darajasini qayd etadi.
Umumiy holatda biror narsani bilishga asoslangan autentifikatsiya usullariga
qaratilgan hujumlar tasnifini 1.3–rasmdagi kabi ifodalash mumkin.
Biror narsani bilishga
asoslangan autentifikatsiya
usullariga qaratilgan hujumlar
Qayd yozuvini boshqarishga
qaratilgan hujumlar
Parolni topishga qaratilgan
hujumlar
-Zararli dasturlarga asoslangan
hujumlar;
-Spufing (spoofing) hujumlari;
-O rtaga turgan odamhujumi;
-Takrorlash hujmi;
-O rtaga turgan brauzer
hujumi;
-Xizmat ko rsatishdan voz
kechishga undashhujumi.
-Zaif kriptografik tizimdan
foydalanish;
- Faraz qilish asosida hujum;
- Lug atga asoslangan hujum;
- Qo pol kuch hujumi;
- Oldindan hisoblashga asoslangan
hujumlar;
-Yelka ortidan qarash hujumi.
1.3-rasm. Biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlar tasnifi Biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan
hujumlarni oldini olishning yagona usuli mavjud emas. Hujumchining malakasi,
foydalanilgan vosita va muhitga mos ravishda yetkaziluvchi zarar miqdori va xavf
darajasi ham turlicha bo‘ladi. Biror narsani bilishga asoslangan autentifikatsiya
usullariga qaratilgan hujumlarga qarshi taklif etilgan usullar to‘laqonli ravishda
himoyani ta’minlamaydi.
Boshqacha aytganda, parolga asoslangan autentifikatsiya usullarini amalda
keng qo‘llanilish darajasini saqlab qolishda ulardagi xavfsizlik muammolarini bir
martali parollardan ikkinchi faktor sifatida foydalanish muhim hisoblanadi.