Kaba kuvvet saldırısı, bir bilgisayar korsanının özel bir sisteme erişmek için kullanıcı adları ve parolalar gibi bilgileri tahmin ettiği bir siber saldırıdır. Bilgisayar korsanı, kullanıcı hesaplarına veya kurumsal ağlara yetkisiz erişim elde etmek için gereken kimlik bilgilerini doğru bir şekilde tahmin edene kadar deneme yanılma yöntemini kullanır.
Onlarca yıldır var olmasına ve nispeten basit olmasına rağmen kaba kuvvet saldırıları oldukça popüler olmaya devam etmektedir ve etkinlikleri nedeniyle bilgisayar korsanları tarafından hala yaygın olarak kullanılmaktadır.
Aslında, günümüzdeki ihlallerin en az %80’i kaba kuvvet saldırılarını veya kaybolan veya çalınan kimlik bilgilerinin kullanımını içerir. Şu anda deep web forumlarında bilgisayar korsanlarının kolayca erişebileceği, güvenliği ihlal edilmiş 15 milyardan fazla kimlik bilgisi olduğu düşünüldüğünde, bu durum hiç de şaşırtıcı değildir.
Siber Saldırganlar Neden Kaba Kuvvet Saldırıları Gerçekleştirir?
Bilgisayar korsanlarının kaba kuvvet saldırıları kullanmasının birkaç nedeni vardır. En yaygın olanlardan bazıları aşağıdakileri içerir:
- Kişisel verileri ve değerli eşyaları çalma: Siber suçlular, bir işletmenin kişisel ve finansal bilgilerine yetkisiz erişim elde etmek için kaba kuvvet saldırıları kullanır. Sisteme girdikten sonra şifrelere, kredi kartı bilgilerine ve diğer hassas verilere erişim elde eder.
- Kesintilere neden olmak için kötü amaçlı yazılım yayma: Bilgisayar korsanları, kötü amaçlı yazılımı bir bilgisayarın ağına yaymak için genellikle kaba kuvvet saldırıları kullanır. Kötü amaçlı yazılım yerleştirildikten sonra bilgisayar korsanları verileri fidye için tutabilir ve yeniden erişim elde etmenizi sağlamak için bir ücret talep edebilir. Ek olarak, verileri yok ederek, programları silerek ve sistemleri yavaşlatarak virüs bulaşmış sistem kullanıcılarının çalışmalarını aksatmak için virüsler kurulabilir.
- Bir web sitesinin itibarını mahvetmek: Bilgisayar korsanları bir web sitesine girebilir ve güvenilirliğini zedeleyen kötü amaçlı kodlar bırakarak itibarına zarar verebilir. Ayrıca, sitenin sosyal medya hesaplarından birine girerek, rahatsız edici gönderiler paylaşarak veya çevrimiçi olarak web sitesi, ürünleri veya hizmetleri hakkında yanlış iddialarda bulunarak işletmeye zarar verebilecek yanlış bilgiler yayınlayabilir.
- Reklamları kullanmak, popüler web sitelerine spam reklamlar yerleştirerek büyük komisyonlar kazanmak.
- Kişisel, hassas verilerin reklam verenlere izinsiz satışından kazanç sağlamak.
- Kötü amaçlı bağlantılar ve web siteleri aracılığıyla kötü amaçlı yazılım yaymak, kullanıcı hesaplarından daha geniş ağlara doğru ilerlemek.
- Daha büyük şirketlere yönelik siber saldırılara hazırlanmak. Botlar birkaç bilgisayara bulaştığında, siber saldırganlar dağıtılmış bir hizmet reddi (DDoS) saldırısı başlatabilir.
- İtibarlarını lekelemek veya finansal olarak mahvetmek amacıyla belirli kuruluşları hedeflemek.
Kaba kuvvet saldırganlarının amacı sadece birkaç rastgele kimlik bilgisi elde etmek değildir. Mümkünse, kimlik bilgilerini daha geniş siber saldırılar başlatmak için kullanır ve aynı anda tüm ağları tehdit eder.
Farklı Kaba Kuvvet Saldırıları Türleri
Siber suçluların bir sisteme veya ağa yetkisiz erişim elde etmek için kullanabilecekleri, aşağıdakileri içeren farklı türde kaba kuvvet saldırıları vardır:
1. Basit Kaba Kuvvet Saldırıları
Bir bilgisayar korsanının bir kullanıcı adına veya kullanıcı adları listesine sahip olduğu ve doğru bir kimlik bilgisi kombinasyonu bulunana kadar şifreleri manuel olarak veya bir kaba kuvvet programı komut dosyası çalıştırarak tahmin etmeye çalıştığı basit bir kaba kuvvet yöntemidir.
2. Sözlük Saldırıları
Sözlük saldırıları, zayıf parolaları kırmak için semantik ve geçmiş saldırılardan yararlanan kaba kuvvet saldırılarıdır. Basit kaba kuvvet saldırılarının aksine tanımlanamayan sayıda alakasız şifreler denemezler. Bunun yerine, genellikle sınırlı, alakalı ve iyi seçilmiş sayıda kelime ve kelime öbeği içerir. Sözlük saldırıları, siber saldırgan tarafından manuel olarak veya botlar kullanılarak otomatik olarak yapılabilir.
Siber saldırganlar, kullanıcının e-posta’sını veya kullanıcı adını zaten biliyorsa sözlük saldırısı başlatabilir. Örneğin, hedef hesap kullanıcı adı olarak “jack20ny87” kullandıysa, bir bilgisayar korsanı hesabın Jack adlı 1987 doğumlu ve şu anda New York’ta yaşayan bir kullanıcıya ait olduğunu kolayca belirleyebilir. Bilgisayar korsanları, geçmiş veri ihlallerinden toplanan bilgileri kullanarak, diğer benzer kullanıcı adları tarafından kullanılan parolalar arasında geçiş yapabilir, özel karakterler ekleyebilir ve harfleri rakamlarla değiştirebilir (veya tersi). Bazı örnekler arasında “Jackny21!”, “Jackny872021” vb. bulunur.
Daha fazla kullanıcı güçlü parolalar oluşturdukça, sözlük saldırılarının sonuç verme olasılığı da çok daha düşük olur.
3. Hibrit Saldırılar
Basit (geleneksel) kaba kuvvet saldırılarını sözlük saldırılarıyla birleştirme yöntemidir. Bilgisayar korsanı, “sözlükten” en yaygın ifadeleri ve kelimeleri alır ve bir kombinasyon bulunana kadar potansiyel şifrelerin sayısız varyasyonunu dener.
4. Ters Kaba Kuvvet Saldırıları
Bir bilgisayar korsanının, bir ihlalden elde edilen veya yaygın olarak kullanılan bir parola ile başladığı, ardından bir kombinasyon bulunana kadar birçok kullanıcı adını araştırdığı ve denediği bir yöntemdir. Geriye doğru çalıştıkları ve bilinen kullanıcı adları yerine bilinen parolalarla başladıkları için geleneksel kaba kuvvet veya sözlük saldırılarından farklıdır.
5. Kimlik Bilgileri Doldurma
Bir bilgisayar korsanının bir sistem için zaten bilinen kullanıcı adı ve parola kombinasyonlarına sahip olduğu ve aynı kullanıcıyla ilişkili diğer hesaplara, profillere veya sistemlere erişmek için aynı kimlik bilgilerini kullandığı bir yöntemdir. Bu siber saldırı işe yarar çünkü kullanıcılar parolaları hesaplarında sık sık geri dönüştürür.
Popüler Brute Force Saldırı Araçları
En yaygın kaba kuvvet saldırı araçları, kimlik bilgilerini tahmin etme ve kombinasyonları bulma sürecini otomatikleştirmeye yardımcı olan araçlardır. Pek çok farklı protokol ve işletim sistemine karşı çalışırken zayıf parolaları belirleme, parola verilerinin şifresini çözme, karakter kombinasyonlarını çalıştırma ve sözlük saldırılarını dağıtma gibi çeşitli işlevleri yerine getirir.
En popüler araçlardan bazıları aşağıdakileri içerir:
- John the Ripper: Kullanıcıların çeşitli kırma ve şifre çözme teknikleriyle sözlük saldırıları gerçekleştirmesine ve zayıf parolaları tespit etmesine olanak tanıyan açık kaynaklı bir yazılımdır.
- Aircrack-ng: Ağ protokollerine yönelik sözlük saldırıları yoluyla kablosuz ağ güvenliği için sızma testine odaklanan açık kaynaklı bir araçtır.
- Hashcat: Piyasadaki en hızlı şifre kırma araçlarından biridir. Basit ve sözlük kaba kuvvet saldırıları, hibrit saldırılar ve diğer birçok siber saldırı türünü başlatmak için kullanılabilir.
- Cain ve Abel: Microsoft Windows için geliştirilmiş, birçok saldırı yöntemini basitleştiren ve otomatikleştiren başka bir parola kurtarma aracıdır.
- Crack: Yöneticilerin parolaları zayıf olan kullanıcıları bulmasına olanak tanıyan bir Unix parola kırma programıdır.
Çevrimiçi ve Çevrimdışı Brute Force Saldırıları Arasındaki Fark
Çevrimiçi kaba kuvvet saldırılarında, bilgisayar korsanı doğrudan ağı veya uygulamayı hedefler. Ancak bu siber saldırılar, sistemin karşı önlemleri ile sınırlandırılmaktadır. Örneğin, çoğu sistem, belirli sayıda yanlış oturum açma girişiminden sonra bir kullanıcıyı kilitler.
Siber saldırganlar, bu potansiyel engeli aşmak için çevrimdışı kaba kuvvet saldırılarını kullanabilir. Bu siber saldırılar, kullanıcının sunucusunda oturum açmadan şifre anahtarı kırma girişimlerine olanak tanır. Parola verileri güvenlik amaçları için karma veya şifreleme kullandığından, bilgisayar korsanı çevrimdışı saldırılar sırasında bilinen karmaları alarak ve bunları doğru bir kombinasyon bulunana kadar bilinen parolalarla eşleştirmek için bir bilgisayar programı çalıştırarak geriye doğru çalışır.
Kaba Kuvvet Saldırıları ve Diğer Siber Saldırılar
Sözlük saldırılarına vs. kaba kuvvet saldırıları
Bir sözlük saldırısı, bir tür kaba kuvvet saldırısı olarak kategorize edilebilir. Bir sözlük saldırısı, belirli bir kullanıcının içerebileceği çeşitli benzer ifadeler veya karakter kombinasyonları içeren önceden hazırlanmış bir parola listesi kullanır. Öte yandan, çoğu standart kaba kuvvet saldırısında, bilgisayar korsanı yalnızca yaygın olarak kullanılan parolaları kullanır.
Brute force saldırılarına vs parola püskürtme
Parola püskürtme, bilgisayar korsanının tek bir hesap, uygulama veya ağ için birçok parola denemek yerine birden çok sistemde tek bir parola uyguladığı bir tür kaba kuvvet saldırısıdır.
Kaba kuvvet saldırılarına vs DoS
Hizmet Reddi (DoS) saldırısında, tek bir siber saldırgan bir sunucuyu kapatmaya ve onu kullanılamaz hale getirmeye çalışarak sistemi çok fazla trafik veya gereksiz hizmet istekleriyle aşırı yükler. Kaba kuvvet, bir sisteme yetkisiz erişim sağlama yöntemidir. Bir siber suçlu, bir sunucuya giriş elde etmek için kaba kuvvet algoritmaları kullanabilir ve ardından sunucuyu içeriden kapatmak için bir DoS saldırısı gerçekleştirebilir.
Kaba kuvvet saldırılarına vs DDoS
Dağıtılmış Hizmet Reddi (DDoS) saldırıları, tek bir sunucu veya ağ kaynağının peşine düşmek için birden çok bilgisayar veya sistem (yalnızca bir yerine) kullanan DoS saldırılarıdır. Bu çok kaynaklı mekanizma, DDoS’un devreye alınmasını hızlı ve tespit edilmesini zorlaştırır. Bu, yalnızca eşleşen kimlik bilgileri, parolaların şifresini çözme ve oturum açma girişimi yoluyla bir sisteme erişim sağlamaya odaklanan kaba kuvvet saldırılarından farklıdır.
İlgili İçerik: DDoS Nedir? DDoS Saldırısı Nasıl Yapılır ve Nasıl Engellenir?
Kimlik bilgisi doldurmaya vs kaba kuvvet saldırıları
Kimlik bilgisi doldurma, bilinen kimlik bilgilerini bir sistemden alıp diğerlerine uygulama işlemidir. Bir tür kaba kuvvet saldırısı olarak kabul edilebilse de, genellikle bilgisayar korsanının kimlik bilgilerini aldığı ve diğer uygulamalarda daha fazla hasara neden olduğu başarılı bir kaba kuvvet girişiminin bir sonucudur.
Kaba Kuvvet Saldırılarını Önlemenin En İyi Yolları
Web sitenizi, web uygulamanızı, mobil uygulamanızı veya API’lerinizi giderek yaygınlaşan kaba kuvvet saldırılarına karşı asla savunmasız bırakmamanız gerekir. Bu noktada işletmenizde güçlü parolaların kullanılmasını teşvik ederek veri ihlallerinden kaçınabilir ve ağ güvenliğini artırabilirsiniz. Bu noktada çalışanları rastgele harfler, sayılar ve özel karakterlerden oluşan karmaşık parolalar kullanma konusunda eğitmeniz gerekir.
Şirketinizdeki kullanıcılar sık sık hesaplar arasında geçiş yapma eğilimindeyse, gelişmiş bir parola yöneticisinden de yararlanabilirsiniz.
Bir yönetici olarak, işletmenizi kaba kuvvet saldırılarına karşı aşağıdakileri yaparak koruyabilirsiniz:
- İyi tasarlanmış, gizlilikle uyumlu bir CAPTCHA kullanma.
- Tüm kayıtlı kullanıcılardan güçlü şifreler kullanmalarını isteyin.
- Kullanıcılara her 6-12 ayda bir şifrelerini değiştirmelerini tavsiye edin.
- Mümkünse iki faktörlü kimlik doğrulamayı (2FA) veya hatta çok faktörlü kimlik doğrulamayı etkinleştirme.
- Kimlik bilgilerinin kötüye kullanılmasını ve hesap devralma botlarını engellemek için bir bot algılama çözümü kullanın.
- Bazı sistemler, çok sayıda başarısız oturum açma girişiminden sonra hesapları kilitler. Bu, bilgisayar korsanlarının parolaları sürekli olarak denemesini ve erişim elde etmesini zorlaştırır.
İlgili İçerik: İki Faktörlü ya da İki Adımlı Kimlik Doğrulama Nedir?
Kaba Kuvvet (Brute Force) Saldırısı İle İlgili Sıkça Sorulan Sorular
1. Kaba kuvvet saldırısı yasa dışı mı?
Bir kaba kuvvet saldırısının yasallığı niyet tarafından belirlenir. Başka bir deyişle, bir kullanıcı hesabına veya işletmenin ağına finansal veya diğer nedenlerle zarar vermek amacıyla kötü niyetli bir şekilde erişmeye çalışıyorsanız, bu yasa dışıdır.
Bununla birlikte, bir hizmet olarak bir işletmede sızma testi yapıyorsanız, önceden izniniz ve müşteri ile bir hizmet sözleşmeniz varsa ve güvenlik risklerini değerlendirmek için kaba kuvvet kullanmayı seçerseniz, bu yasa dışı değildir.
2. Kaba kuvvet saldırıları ne kadar yaygındır?
Kaba kuvvet saldırısı tanımındaki değişkenlik nedeniyle gerçekte ne sıklıkta olduklarını bilmek zordur. Ancak yakın zamanda yapılan bir araştırma, 2021’de tüm başarılı ağ izinsiz girişlerinin %6’sının, kaba kuvvetin bir sonucu olduğunu ortaya koydu.
3. Kaba kuvvet saldırıları ne kadar başarılı?
Teorik olarak, kaba kuvvet saldırıları %100 başarı oranına sahiptir, ancak bilgisayar korsanının otomatik sistemlerinin karmaşık bir parolayı doğru bir şekilde tahmin etmesi için yıllarca beklemesi gerekebilir. Gerçekçi olmak gerekirse, kaba kuvvet saldırıları, özellikle web uygulamaları için zayıf parolaları belirlemede popüler ve etkilidir. Tüm saldırıların %80’ini oluşturur.
4. Kaba kuvvetin zayıf yönleri nelerdir?
Çoğunlukla, kaba kuvvet saldırıları yalnızca kullanıcının parolası zayıfsa işe yarar. Bu nedenle, kişisel bilgi içermeyen büyük, küçük harf, sayısal ve özel karakterlerin kullanıldığı en az 12 karakterden oluşan güçlü bir parolaya karşı kaba kuvvet saldırısı etkili değildir. Bu noktada işletmeler kaba kuvvet saldırısı riskini ortadan kaldırmak için parolasız kimlik doğrulama çözümlerine yatırım yapabilir.
5. 8 karakterlik bir şifreyi kırmak ne kadar sürer?
Kullanıcılar hem büyük hem de küçük karakterleri kullandıklarında, bilgisayar korsanlarının şifreyi kırması iki dakika, ardından sayıların eklenmesiyle yedi dakika sürer. Son olarak özel karakterler eklediğinizde 39 dakika sürer.