Mundarija № Mavzular
Parolni topishga qaratilgan hujumlar
Yüklə 102,32 Kb.
|
|
Parolni topishga qaratilgan hujumlar. Yuqorida keltirilgan hujum turlaridan
farqli ravishda parolga qaratilgan hujumlar faqat foydalanuvchiga tegishli parolni topishni maqsad qiladi. Parolga qaratilgan hujumlar asosan parollarni faraz qilish, uzatish yoki saqlash davomida ularni tiklashga asoslanadi. Bular ichida eng ommalashgan usul bu - parolni taxminiy kiritib ko‘rish. Quyida mazkur turga tegishli qator hujum usullarining tavsifi keltirilgan. Zaif kriptografik tizimdan foydalanish. Parolni saqlashda yoki tarmoq orqali uzatishda zaif kriptografik protokoldan foydalanilganda hujumchi tomonidan uni aniqlash imkoniyati yuzaga keladi. Masalan, Telnet kabi protokollar foydalanuvchi parolini ochiq holda uzatishi sababli, jiddiy muammolarga sabab bo‘ladi. Bundan tashqari, parollarni xesh qiymatlarini saqlashda kriptobardoshli funksiyalardan foydalanmaslik natijasida ham parolni topish ehtimoli ortadi. Faraz qilish asosida hujum. Odatda foydalanuvchilar esda saqlash muammosidan qochish uchun o‘zlariga tegishli shaxsiy axborotdan parol sifatida foydalanishga harakat qilishadi. Bunga ularning tug‘ulgan kunlari, telefon raqamlari, turmush o‘rtog‘ining ismi va boshqa ma’lumotlarni misol keltirish mumkin. Bu hujumni amalga oshirishda hujumchi “qurbon”ga tegishli shaxsiy ma’lumotlarni qo‘lga kiritish uchun sotsial injineriyadan keng foydalanadi. Lug‘atga asoslangan hujum. Parolni topishning mazkur usuli ehtimollikga asoslanadi. Bunda hujumchiga eng keng tarqalgan parollar lug‘atidan ehtimoli eng yuqori bo‘lganlaridan birin-ketin foydalanadi. Ko‘plab insonlar aynan bir turdagi parollardan foydalanishlari mumkinligi sababli, aksariyat hollarda ushbu hujum muvaffaqiyatga erishadi. Butun dunyo bo‘yicha xakerlar guruhi yoki analitika bilan shug‘ullanuvchi tashkilotlar tomonidan har yilgi eng ko‘p foydalanilgan parollar ro‘yxati e’lon qilinib boriladi. 2020-yil uchun TechRepublic Premium tashkiloti tomonidan taqdim etilgan ma’lumotga asosan eng ko‘p foydalanilgan parollar beshligini: “123456”, “123456789”, “picture1”,”password” va “12345678” lar tashkil etgan. Qo‘pol kuch hujumi. Bu hujumda parolning bo‘lishi mumkin bo‘lgan barcha kombinatsiyalari ko‘rib chiqiladi. Bunda asosiy faktor sifatida parolning uzunligi va uni qanday belgilardan iborat ekanligi qaraladi. Mumkin bo‘lgan belgilar sonining va parol uzunligini ortishi ushbu hujumni amalga oshirilish ehtimolini yo‘qqa chiqaradi. Shuning uchun, ushbu usuldan odatda qisqa uzunlikdagi parollarni topishda keng foydalaniladi. Bundan tashqari, barcha parollar kombinatsiyasini hisoblash vaqtini kamaytirishda parallel hisoblash texnologiyalaridan keng foydalaniladi. Qo‘pol kuch hujumining offlayn va onlayn turlari farqlanib, agar hujumchi himoyalangan resursga bog‘lanmasdan hujumni amalga oshirsa offlayn hujum, aks holda onlayn hujum deb ataladi. Onlayn turidagi qo‘pol kuch hujumini oldini olish oson bo‘lib, muvaffaqiyatsiz urinishlar soniga ko‘ra qayd yozuvini bloklanadi. Oldindan hisoblashga asoslangan hujumlar. Mazkur hujum turiga ko‘ra lug‘atdagi har bir parol so‘z o‘zining biror xesh-funksiyadagi qiymati bilan saqlanadi hamda ikki ustundan iborat bo‘lgan: hisoblangan xesh qiymatlar va unga mos parol so‘zlar shaklidagi jadval ko‘rinishida shakllantiriladi. Agar yangi xesh qiymat kiritilsa, jadvaldagi xesh qiymatlar ustunidan aniqlanib, unga mos bo‘lgan parol topiladi. Ushbu hujumni oldini olish uchun hosil qilingan xesh qiymatlarni turlicha bo‘lishini ta’minlash zarur. Buni uchun “tuz” (salt) deb ataluvchi tasodifiy qiymatdan foydalaniladi. Bu usulga ko‘ra har bir parol uchun tasodifiy “tuz” qiymati hosil qilinadi va u parolga biriktirilgan holda xeshlanadi. Parollar bazasida esa parolning xesh qiymati va unga mos “tuz” qiymati saqlanadi. Mazkur usul oldindan hisoblashga asoslangan hujumni amalga oshirilishini murakkablashtiradi. Boshqacha aytganda, “tuz” qiymati asosida parolni xeshlamasdan turib, uni taqqoslashning foydasi bo‘lmaydi. Buning natijasida oldindan hisoblashga asoslangan hujumning samaradorligi amaliy jihatdan yo‘qqa chiqadi. Mazkur hujumni amalga oshirish uchun ko‘plab vositalar mavjud bo‘lib, ular orasida RainbowCrack, Aircrack-ng, John the Ripperlar keng qo‘llaniladi. Xususan, turli uzunlikdagi va belgilardan iborat bo‘lgan parollarning LM, NTLM, MD5 va SHA1 xesh funksiyalardagi qiymatlari RainbowCrack vositasida oldindan generatsiya qilingan. “Yelka ortidan qarash” hujumi. Mazkur hujum usuli foydalanuvchi qayd yozuvi ma’lumotlarini bevosita qarash yoki bilvosita kamera yozuvlaridan foydalangan holda bilib olishni maqsad qiladi. Mazkur hujum usuli jarayon va foydalanilgan vositaga bog‘liq holda samaradorlik darajasini qayd etadi. Umumiy holatda biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlar tasnifini 1.3–rasmdagi kabi ifodalash mumkin. Biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlar Qayd yozuvini boshqarishga qaratilgan hujumlar Parolni topishga qaratilgan hujumlar -Zararli dasturlarga asoslangan hujumlar; -Spufing (spoofing) hujumlari; -O rtaga turgan odamhujumi; -Takrorlash hujmi; -O rtaga turgan brauzer hujumi; -Xizmat ko rsatishdan voz kechishga undashhujumi. -Zaif kriptografik tizimdan foydalanish; - Faraz qilish asosida hujum; - Lug atga asoslangan hujum; - Qo pol kuch hujumi; - Oldindan hisoblashga asoslangan hujumlar; -Yelka ortidan qarash hujumi. 1.3-rasm. Biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlar tasnifi Biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlarni oldini olishning yagona usuli mavjud emas. Hujumchining malakasi, foydalanilgan vosita va muhitga mos ravishda yetkaziluvchi zarar miqdori va xavf darajasi ham turlicha bo‘ladi. Biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlarga qarshi taklif etilgan usullar to‘laqonli ravishda himoyani ta’minlamaydi. Boshqacha aytganda, parolga asoslangan autentifikatsiya usullarini amalda keng qo‘llanilish darajasini saqlab qolishda ulardagi xavfsizlik muammolarini bir martali parollardan ikkinchi faktor sifatida foydalanish muhim hisoblanadi. Yüklə 102,32 Kb. Dostları ilə paylaş:
|