Att attackera webbplatser är inget nytt fenomen utan har funnits lika länge som webben har existerat. Vi minns väl alla när en endast 15-årig pojke 1999 hackade in sig i amerikanska rymdstyrelsens (NASA) datorer och orsakade en nedstängning av systemet som varade i 21 dagar. Den unge mannen lyckades också ta sig in i Pentagons datorstyrda vapensystem där han även lyckades komma åt över 3000 e-postmeddelanden med känslig information. Det hela kostade NASA ungefär 40 000 dollar i dåtidens valutavärde (betydligt mer idag) att lappa ihop efter hackaren. Det finns andra hårresande exempel på intrång med näst intill katastrofala följder men det får vi återkomma till en annan gång. I den här artikeln ska vi titta lite närmare på just Brute Force-attacker –– alltså attacker där man använder sig av kodrobotar för att försöka knäcka användarnamn och lösenord. Det är trots allt alltid ägaren till en blogg/webbplats som är den svaga länken.
Brute Force = Råstyrka
Brute Force är ren och skär datorråstyrka. Hackaren prövar att med hjälp av specialskrivna applikationer knäcka ditt lösenord genom att göra många gissningar. Sannolikheten att lyckas med det inom en viss tid står i direkt proportion till hur mycket datorkapacitet som finns hackaren tillhanda. Ett lösenord på 1 byte (8 bit) kräver maximalt 28 gissningar, det vill säga 256 försök. Ett vanligt lösenord brukar vara på ungefär 8 byte (64 bit) och då blir det genast värre. För att hitta rätt kan det krävas upp till 2·1019 gissningar innan det blir napp och även med en riktigt snabb dator skulle det ta ungefär 300 år att klura ut lösenordet. Om hackaren använder en ordlista med “smarta” gissningar eller skriver en kod med specifika regler som ska följas vid attacken så är det inte längre fråga om en Brute Force-attack. Brute Force är ren datorråstyrka utan hjälpmedel som extra applikationer, ordlistor etc. Dock fortfarande använder sig hackaren av råstyrka (datorkraft) för att forcera sitt mål.
Att knäcka eller inte knäcka
Man brukar i datorvärlden säga att en 128 bitars symmetrisk nyckel är matematiskt säker mot en Brute Force-attack. Det skulle helt enkelt krävas mer energi och tid för att utföra en fullständig beräkning på alla möjligheter inom en rimlig tidsgräns och med ett 128 bitars lösenord skulle då varje webbplats vara helt säkra mot Brute Force-attacker. Dock är det inte praktiskt med så långa lösenord och därför finns det andra knep att ta till.
När du väljer ett användarnamn så ska du undvika standardiserade ord och namn. Admin eller administrator är dåliga användarnamn. CannonballX eller LoppanX9 är mycket bättre alternativ. De är nämligen konstruerade för att inte likna standardiserade namn. Detsamma gäller val av lösenord. Det är viktigt att blanda versaler och gemener, liksom att lägga till specialtecken och siffror. Ett bra lösenord består av minst 8 tecken och innehåller bokstäver, siffror och specialtecken. Ett bra exempel är K9£klK∞8|7PP3± – det är näst intill omöjligt att gissa sig till via en Brute Force-attack. Hackers använder sig ofta av proxyservrar för att undgå upptäckt och för att kunna attackera från flera olika IP-nummer. Detta för att kringgå enkla skydd som IP-nummersspärr vid upprepade inloggningsförsök från ett och samma IP. För att skydda dig mot detta så bör du installera ett extra skyddslager manuellt i din .htaccess-fil. För att kunna göra det måste du studera serverloggarna noggrant och notera de IP-nummer som under en säg tvåveckorsperiod har ovanligt många misslyckade inloggningsförsök. Spärra dessa manuellt i .htaccess eller använd en plugin som möjliggör IP-nummerspärrning. Installera också en bra säkerhetsplugin som hjälper dig att upptäcka hackförsök tidigt och som automatiskt sätter in rätt motåtgärder i samma ögonblick som ett hackförsök påbörjas. Det finns en rad bra sådana pluggar på wordpress.org. Sök på “Security” under fliken “Plugins”. Om du är säkerhetsmedveten och försöker att ligga steget före hackarna så har du inget att rädas. Du kommer inte att få besök av dessa individer mer än en gång. Lyckas de inte snabbt ta sig in i ditt system så försöker de vidare någon annan stans. Inte ens råstyrka hjälper mot ett tillräckligt starkt skydd.
Vad gör vi på Binero ?
Du kan läsa mer i det här blogginlägget- Så skyddas din WordPress-sajt mot attack av Jörgen som jobbar på vår driftsavdelning. Väldigt många av dessa bruteforce-attacker blockeras hos oss automatiskt. Men skyddet är inte fullständigt så det är fortfarande viktigt att man har svårgissat användarnamn/lösenord och det skadar absolut inte att själv lägga till skydd, vi kommer såklart fortsätta ge tips, råd och så utvecklar vi ständigt vår teknik för att följa med det som händer där ute på nätet.
Lycka till!