İnternetin ortaya çıkışından bu yana kullanılan kaba kuvvet saldırıları, en yaygın siber güvenlik ihlalleri arasındadır ve siber suçlular bu basit siber saldırıyı düzenli olarak kullanmaktadır. Bununla birlikte, brute force sadece parola kırmak için değildir, kaba kuvvet saldırıları bir web uygulamasındaki gizli sayfaları ve içeriği keşfetmek için de kullanılabilir. Bu siber saldırı türü, başarılı olana kadar deneme yapmayı içerir. Bazen diğer saldırı türlerine göre daha uzun sürer, ancak başarı oranı daha yüksektir.
Brute Force Nedir?
Brute force attack, siber suçlular tarafından şifrelenmiş parolaları kırmak için her karakter, kelime veya cümle kombinasyonunu deneyerek bir sisteme veya ağa erişim elde etmek için kullanılan bir yöntemdir. Doğru şifreyi bulana kadar tüm olası şifre kombinasyonlarını tahmin etmek için deneme-yanılma yöntemini kullanır.
Siber suçlular bu yöntemi web siteleri, sunucular ve kişisel bilgisayarlar, şifrelenmiş dosyalar ve hatta güvenli mesajlar dahil olmak üzere çeşitli sistemleri hedef almak için kullanabilir.
Kaba kuvvet algoritması nedir?
Kaba kuvvet algoritması bilgisayar korsanlığı ile sınırlı değildir. Bilgisayar bilimlerinde, bir çözüm için tüm olasılıkları sistematik olarak sıralamak ve ardından her adayın problemin ifadesini karşılayıp karşılamadığını kontrol etmek için kaba kuvvet veya kapsamlı aramanın (üret ve test et olarak da adlandırılır) kullanıldığı genel bir problem çözme tekniğidir.
Kaba Kuvvet Saldırısı Nasıl Çalışır?
Kaba kuvvet saldırısı başlatmak için bir bilgisayar korsanı bir veya daha fazla kullanıcının giriş bilgilerini veya şifreleme anahtarlarını tahmin etmeye çalışır. Otomatik yazılımın sonunda erişim için doğru kimlik bilgisini tahmin edeceğini umarak tüm olası kombinasyonlar üzerinde çalışır, kullanıcı adını tahmin ettikten sonra işe yarayanı bulana kadar farklı parolalar dener.
Bu yöntemin oldukça başarılı olması yaygındır, çünkü bilgisayar korsanının meşru bir kullanıcının hesabına erişmek için yalnızca kullanıcı adını doğru tahmin etmesi gerekir. Bilgisayar korsanının hedeflenen kişiler hakkında isimleri, e-posta adresleri veya kişisel bilgileri gibi diğer bilgileri araştırmasına gerek yoktur.
Bilgisayar korsanları kaba kuvvet saldırısı başlatmak için genellikle teknolojiye ve yazılıma güvenirler. Bazı yaygın kaba kuvvet saldırı araçları aşağıdakileri içerir:
- Şifre kırma uygulamaları
- Şifre kurtarma aracı
- Aircrack-ng gibi Wi-Fi ağ güvenliği değerlendirme araçları
Bilgisayar korsanları ayrıca hesaplama gücünü artırmak ve şifre kırmayı hızlandırmak için bir CPU’yu (merkezi işlem birimi) bir GPU (grafik işlem birimi) ile birleştirmek gibi donanım çözümleri de kullanabilir.
Brute Force Saldırıları Neden Bu Kadar Tehlikelidir?
Kaba kuvvet terimi, bilgisayar korsanlarının erişim elde etmek için yaptıkları zorlayıcı girişimlerden kaynaklanmaktadır. Doğru botların yardımıyla, kaba kuvvet saldırısı özel karakterler içeren sekiz karakterli alfanümerik bir şifreyi sadece iki saat içinde kırabilir. Bilgisayar korsanları genellikle doğru bilgiye ulaşana kadar birkaç parola ve kullanıcı adı kombinasyonu dener. Milyonlarca bilgisayar kullanıcısının hala şifrelerini geri dönüştürdüğü düşünüldüğünde, ele geçirilen bir şifre bile ciddi sorunlara yol açabilir.
Siber Suçlular Neden Kaba Kuvvet Saldırıları Kullanır?
Bilgisayar korsanlarının kaba kuvvet saldırılarını kullanmasının çeşitli nedenleri vardır. En yaygın nedenlerden bazıları aşağıdaki şekildedir:
1. Kişisel verileri ve değerli bilgileri çalmak
Bilgisayar korsanları, bir işletmenin kişisel ve finansal bilgilerine yetkisiz erişim elde etmek için kaba kuvvet saldırılarını kullanır. Sisteme girdikten sonra parolalara, kredi kartı bilgilerine ve diğer hassas verilere erişir.
2. Kesintilere neden olmak için kötü amaçlı yazılım yaymak
Bilgisayar korsanları kötü amaçlı yazılımları bir bilgisayarın ağına yaymak için genellikle kaba kuvvet saldırılarını kullanır. Kötü amaçlı yazılım yerleştirildikten sonra bilgisayar korsanları verileri fidye için tutabilir ve erişimin yeniden kazanılması için bir ücret talep edebilir. Ayrıca virüsler, verileri yok ederek, programları silerek ve sistemleri yavaşlatarak virüs bulaşmış sistem kullanıcılarının işlerini aksatmak için yüklenebilir.
3. Bir markanın itibarını zedelemek
Hackerlar bir web sitesine girip güvenilirliğine zarar veren kötü amaçlı kodlar bırakarak markanın itibarına zarar verebilir. Ayrıca, web sitesinin sosyal medya hesaplarından birine girerek, gönderiler paylaşarak veya web sitesi, ürünleri veya hizmetleri hakkında çevrimiçi olarak yanlış iddialarda bulunarak işletmeye zarar verebilecek yanlış bilgiler yayınlayabilirler.
Kaba Kuvvet Saldırı Türleri
Siber suçluların bir sisteme veya ağa yetkisiz erişim sağlamak için kullanabileceği farklı türde kaba kuvvet saldırıları vardır. Bunlar aşağıdaki şekildedir:
1. Sözlük Saldırıları
Sözlük saldırısı, parolaları tahmin etmek için önceden tanımlanmış bir sözcük listesi kullanan bir kaba kuvvet saldırı türüdür. Bu saldırı türünde bilgisayar korsanları potansiyel bir hedefe odaklanır ve ardından bir eşleşme bulmak için olası tüm parola kombinasyonlarını çalıştırır. Bilgisayar korsanları genellikle zaman kazanmak için yaygın parola uygulamaları hakkında temel varsayımlarda bulunur. Ayrıca doğru kombinasyonu bulmak için olası sözlük kelimelerinin yazılışlarını da değiştirir. Bu saldırı türü daha uzun zaman alır ve bu nedenle daha az tercih edilir.
2. Hibrit Saldırı
Bilgisayar korsanının önceden tanımlanmış bir kelime listesi kullandığı ve ardından her kelimeye sayılar, semboller veya diğer karakterleri eklediği sözlük saldırısı ve kaba kuvvet saldırısının bir kombinasyonudur.
3. Ters Kaba Kuvvet Saldırıları
Ters kaba kuvvet saldırısı da önceki veri ihlallerinde sızdırılan şifreleri kullanır. Bu verileri en yaygın parolaların listeleriyle eşleştiren bilgisayar korsanları, bir eşleşme bulunana kadar bir kullanıcı adını yaygın olarak kullanılan bir parolayla birleştirir.
4. Kimlik Bilgisi Doldurma
Kimlik bilgisi doldurma saldırısında kullanıcıların birden fazla hesap için aynı parolaları kullandığını varsayar. Bilgisayar korsanları, bilinen kombinasyonları diğer web sitelerinde deneyerek diğer hesaplara erişmek için kullanıcı adı/şifre kombinasyonlarını çalar. Google tarafından 2019 yılında yapılan bir araştırmaya göre, katılımcıların yaklaşık %52’si, birden fazla hesap için aynı parolayı kullandığını ifade ettiği düşünülürse, kaba kuvvet saldırısı düzenleyen bilgisayar korsanlarının işi oldukça kolaydır.
5. Basit Kaba Kuvvet Saldırıları
Bu yöntem, birden fazla hesap için aynı kullanıcı adı ve şifre kombinasyonunu veya kişisel kimlik numarası (PIN) kodlarını kullanmak gibi zayıf şifrelerden veya kötü şifre hijyeninden yararlanır. Bir bilgisayar korsanı, hedefin oturum açma kimlik bilgilerini yazılım olmadan manuel olarak tahmin eder.
Bilgisayar korsanları ayrıca hedeflenen kişinin şifresini kişiyi araştırarak da kırabilir (örneğin sosyal medyada), çünkü insanlar şifrelerine eşlerinin bilgilerini, çocuklarının isimlerini, tuttukları spor takımlarını, önemli tarihleri vb. ekleme eğilimindedir.
6. Parola Püskürtme
Bu yöntem genellikle kilitleme politikalarını atlatmak için çoklu oturum açma (SSO) veya birleştirilmiş kimlik doğrulamalı bulut tabanlı uygulamalar kullanan kişileri hedef alır. Bilgisayar korsanları ortak bir parolayla başlar ve tek bir hamlede birden fazla platforma erişim sağlamak için bir eşleşme bulana kadar farklı kullanıcı hesaplarına uygular.
7. Botnetler
Bilgisayar korsanlarının büyük ölçekte kaba kuvvet saldırıları gerçekleştirmek için çok fazla bilgi işlem gücüne ihtiyacı vardır. Bilgi işlem gücünü artırmak için kaba kuvvet algoritmasını çalıştırmak üzere bilgisayarları ele geçirirler. Bu yöntem bilgisayar korsanlarının bir anonimlik katmanı eklerken maliyetten tasarruf etmelerini sağlar.
Okumanızı öneririz: Botnet Nedir? İşletmeler Verilerinin Güvenliğini Nasıl Sağlamalı? Botnet Saldırısından Nasıl Korunmalıdır?
Brute Force Saldırısının Avantaj ve Dezavantajları Nelerdir?
Aşağıdaki listede kaba kuvvet saldırılarının avantajlarını ve dezavantajlarını bulabilirsiniz:
- Kaba kuvvet saldırılarının temel avantajları, kullanımlarının oldukça kolay olması ve sürekli çaba ve zaman harcayarak her zaman işe yarama eğiliminde olmalarıdır.
- Bir kaba kuvvet saldırısı, herhangi bir şifre sistemini ve şifreleme anahtarını hackleyebilir.
- Diğer taraftan, kaba kuvvet saldırıları hedeflerine ulaşmadan önce mümkün olan her karakter kombinasyonunu gerçekleştirmek zorunda kalabilecekleri için son derece yavaştır.
- Bu yavaşlık, hedef dizideki karakter sayısının artmasını etkileyecektir (bir dize sadece karakterlerin bir kombinasyonudur).
- Örneğin, dört karakterli bir parola üç karakterli bir paroladan çok daha uzun sürer ve beş karakterli bir parola kaba kuvvette dört karakterli bir paroladan çok daha uzun sürer.
- Karakter sayısı belirli bir noktanın dışına çıktığında, kaba kuvvet alışılmadık bir parolayı kırmak için gerçekçi değildir.
Kaba Kuvvet Saldırı Örnekleri
Kaba kuvvet saldırılarının nihai amacı veri çalmak veya hizmet sunumunu kesintiye uğratmak olduğu için bu saldırılar bir işletmenin güvenlik duruşu için önemli bir tehdit haline gelmiştir.
Yakın tarihte yaşanan bazı önemli kaba kuvvet saldırıları örnekleri aşağıdaki şekildedir:
- 2013 yılında GitHub, güvenli bir şekilde saklanan birkaç şifrenin ele geçirildiği bir kaba kuvvet saldırısının kurbanı oldu. Kaba kuvvet giriş denemelerinin yaklaşık 40.000 benzersiz IP adresinden yapıldığı tespit edildi.
- Club Nintendo, 2013 yılında 25.000 forum üyesini etkileyen bir kaba kuvvet saldırısına hedef oldu. Bilgisayar korsanları kullanıcı hesaplarını kırmak için 15 milyon kaba kuvvet girişiminde bulundu.
- Alibaba TaoBao, 2016 yılında 21 milyon kullanıcı hesabının ele geçirildiği bir kaba kuvvet saldırısına maruz kaldı. Bilgisayar korsanları tarafından, mevcut TaoBao kullanıcı hesaplarını kaba kuvvetle kırmak için 99 milyona yakın kullanıcı adı ve parola içeren bir veri tabanı kullanıldı.
- Mozilla Firefox’un ana parola özelliği 2018 yılında bir kaba kuvvet saldırısının kurbanı oldu. Açığa çıkan kullanıcı kimlik bilgilerinin sayısı bilinmese de, Firefox, 2019 yılında bu sorunu çözmek için bir düzeltme sundu.
- 2018’de Magento, 1000’e yakın yönetici panelini tehlikeye atan bir kaba kuvvet saldırısına maruz kaldı.
Brute Force Saldırı Araçları
Brute force saldırıları, başarılı bir eşleşme bulunana kadar kullanıcı kimlik bilgilerini kontrol eden otomatik araçların yardımıyla gerçekleştirilir. Çok sayıda olası kullanıcı adı ve parola söz konusu olduğunda manuel testler zorlaşır. Sonuç olarak, bilgisayar korsanları bu gibi durumlarda tahmin sürecini hızlandırmak için otomasyondan yararlanır.
Bu noktada kullanabileceğiniz kaba kuvvet saldırı araçlarının bazıları aşağıdaki şekildedir:
- THC Hydra, 30’dan fazla protokole (HTTP, FTP, HTTPS, vb.) karşı bir sözlük saldırısı gerçekleştirerek ağ kimlik doğrulamasını kırar.
- Aircrack-ng Wi-Fi 802.11 üzerinde kaba kuvvet saldırıları gerçekleştirir ve WEP/WPA/WPA2-PSK kırıcı ve analiz araçları yardımıyla Wi-Fi şifrelerini kırmak için kullanılır.
- John the Ripper, zayıf şifreleri kırmak ve şifre tabanlı sistemlere nüfuz etmek için kullanılır. Unix, Windows, DOS, vb. gibi 15 çoklu platformu destekler.
- Rainbow Crack, kaba kuvvet saldırıları gerçekleştirmek için gökkuşağı tabloları oluşturur ve saldırının zaman aralığını azaltmaya yardımcı olur.
- L0phtCrack, sözlük saldırıları, hibrit saldırılar ve gökkuşağı tabloları ile Windows şifrelerini kırmak için kullanılır.
Kaba Kuvvet Saldırıları Nasıl Tespit Edilir?
Bilgisayar korsanları birçok varyasyonla kaba kuvvet saldırıları gerçekleştirebilir. Bu tür saldırılara karşı kendinizi savunmak için önleyici tedbirler belirlemeniz ve bunları uygulamanız gerekir.
Aşağıdaki listede kaba kuvvet saldırısına işaret edebilecek bazı belirtileri bulabilirsiniz:
- Bir IP adresinden birkaç başarısız giriş denemesi
- Birden fazla IP adresinden tek bir kullanıcı hesabı için gelen giriş istekler
- Aynı IP adresinden birden fazla kullanıcı adı ile oturum açma
- Birinin e-posta veya IRC istemcisinin yönlendiren URL’si ile oturum açma
- Tek kullanımlık şüpheli kullanım ve bant genişliği tüketimi
- Alfabetik veya sıralı kullanıcı adları veya parolalarla yapılan başarısız giriş denemeleri
- Parola paylaşım sitelerine yönlendiren URL
Erken tespit ve uygun önleyici tedbirlerle işletmeler kaba kuvvet saldırılarına maruz kalmalarını sınırlandırabilir.
Kaba Kuvvet Saldırısına Karşı Korunmanın En İyi Yolları
Kaba kuvvet saldırıları, siber suçluların bir sisteme veya ağa yetkisiz erişim elde etmek için kullandıkları standart bir yöntemdir. Bunu önlemek için aşağıdaki güvenlik önlemlerini uygulamanız çok önemlidir:
1. Parola karmaşıklığını artırın
Kaba kuvvet saldırılarının çoğu, kullanıcıların kötü parola seçimleri nedeniyle başarılı olur. Bu nedenle tahmin edilmesi zor, güçlü ve uzun parolalar bu tür siber saldırılara karşı en etkili yöntemlerden birini sağlar.
Bu noktada her parolada harf, sayı ve sembol kombinasyonunu bir arada kullanın, yaygın kelimeleri veya ifadeleri kullanmaktan kaçının, şifrelerinizi başkalarıyla paylaşmayın, şifreleri hesaplar arasında tekrar kullanmayın, kullanıcıları tüm bu parola güvenliği uygulamaları konusunda eğitin.
Ayrıca bir parola yöneticisi kullanmayı düşünün. Bu araç, kullanıcıların karmaşık parolalar oluşturmasına ve bunları güvenli bir şekilde saklamasına olanak tanıyarak hırsızlık veya ele geçirme riskini en aza indirir.
2. Başarısız giriş denemelerini sınırlandırın
Oturum açma denemelerini sınırlandırarak ve belirli sayıda denemeden sonra hesap kilitlemeleri uygulayarak bilgisayar korsanlarının parolaları durmadan yeniden denemesini engelleyebilirsiniz. Bu, başarılı kaba kuvvet saldırılarının sayısını azaltabilir. Girişlere CAPTCHA eklemek de bilgisayar korsanlarının hesaplara kaba kuvvetle girmelerini engelleyebilir.
3. Şifreleme ve karma kullanın
Şifreleme ve karma, parolaları kaba kuvvet saldırılarına karşı korumanın yollarıdır. Hashing, bir parolayı saklamadan önce şifreler. Şifreleme, birinin hesaba yetkisiz erişim elde etmesini çok daha zor hale getirir. Bir parolayı periyodik olarak sıfırlamak ve kullanıcının kimlik doğrulaması veya yalnızca hesap sahibinin bildiği bilgiler gibi ek ayrıntılar sağlamasını istemek, kaba kuvvet saldırılarıyla etkili bir şekilde mücadele edebilir.
4. İki faktörlü kimlik doğrulamayı etkinleştirin
İki faktörlü kimlik doğrulama, parolaya ek olarak kullanıcının telefonuna gönderilen tek seferlik bir kod gibi ek bilgiler gerektirerek bir hesapta oturum açmanın daha güvenli bir yolunu sağlar. Bu ek güvenlik katmanı, yalnızca yetkili kullanıcıların hizmete erişebilmesini sağlamaya yardımcı olur.
5. Sunucu günlüklerini izleyin
Sunucu günlükleri, çeşitli kaba kuvvet saldırı modellerini tanımak için önemli bir veri kaynağıdır. Bu günlüklere dayanarak, gelecekteki savunma stratejilerinizi planlamak ve hesap veya ağ güvenliğini sağlamak için içgörüler elde edebilirsiniz.
Bu noktada güvenlik bilgi ve olay yönetimi (SIEM) sistemleri, tüm günlükleri merkezi olarak depolamak, izlemek ve analiz etmek için mükemmel bir çözümdür. Hesapların ele geçirilmesi durumunda, SIEM sistemleri bir olay müdahale planı başlatmak için size yardımcı olacaktır.
6. CAPTCHA kullanın
CAPTCHA, bir kullanıcının bilgisayar için zor olan basit bir görevi geçmesini test ederek çalışır. Örneğin, bir kullanıcıdan bir resimdeki sarı kalemlerin sayısını saymasını istemek kolaydır. Yine de, bir makine için görüntüyü yorumlamak bir bulmaca olabilir.
CAPTCHA, bir kullanıcının bir kullanıcı hesabına erişmek için attığı adım sayısını artırsa da, hesap güvenliğini sağlamak için oldukça faydalıdır. Bir kullanıcının deneyimini sarsabilir, ancak hassas bilgileri otomatik kaba kuvvet saldırılarından ve botlardan koruyarak güvenlerini zenginleştirir.
İlgili İçerikler:
Firewall Nedir, Ne İşe Yarar? Firewall Türleri
Siber Güvenlik Nedir? Veri Güvenliğini Nasıl Sağlarız?, Siber Saldırı Nedir? İşletmeler E-Posta Verilerini Siber Saldırıdan Nasıl Korumalıdır?
Virüslü E-Mailler Hakkında Alınacak Önlemler ve E-Posta Güvenliği
Man-in-the-Middle Atağı (MitM) Nedir? Nasıl Çalışır? Nasıl Önlenir?
Uçtan Uca Şifreleme (E2EE): Nedir, Nasıl Çalışır? E-posta İletişiminde Uçtan Uca Şifreleme
Mail Transfer Agent (MTA) Nedir? İşletmeler Online Ortamda E-Posta Hesaplarını Nasıl Korumalı?
Phishing (Oltalama) Nedir? Phishing Saldırısı Nasıl Engellenir?
Ransomware Nedir, Nasıl Çalışır? Ransomware Virüsünün Mail Yoluyla Bulaşmasını Engelleme
Sosyal Mühendislik Nedir? Sosyal Mühendislik Saldırıları Nasıl Önlenir?
Business Email Compromise (BEC) Nedir? BEC Saldırıları Nasıl Engellenir?
Kimlik Avı Nedir, Nasıl Önlenir?
VPN Nedir, Nasıl Kullanılır? VPN Hakkında Bilmen Gereken Her Şey
Trojan Nedir, Nasıl Bulaşır? Mail Yoluyla Bulaşır mı? Güvenlik Önlemleri
