Väsytyshyökkäys murtamismenetelmänä
Hokkanen, Leevi (2023)
2023
Tieto- ja sähkötekniikan kandidaattiohjelma - Bachelor's Programme in Computing and Electrical Engineering
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2023-02-28
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202302182502
https://urn.fi/URN:NBN:fi:tuni-202302182502
Tiivistelmä
Väsytyshyökkäys eli brute-force on murtamismenetelmä, jossa hyökkääjä yrittää murtaa kohteen salauksen arvaamalla jokaista mahdollista salasanaa, salausavainta tai selkotekstiä saadakseen käsiinsä kohteen salaaman tiedon. Kyseessä on vanha, mutta edelleen ajankohtainen hyökkäysmenetelmä, jota voidaan hyödyntää niin verkossa kuin sen ulkopuolellakin. Kyberhyökkäysmenetelmänä se ei ole yhtä suosittu kuin esimerkiksi kalastelu- tai haavoittuvuuksia hyödyntävät hyökkäykset. Tässä työssä esitellään samaisen ilmiön alalajit ja torjumismenetelmät. Työ jakaantuu kolmeen osaan, jossa ensimmäisessä osiossa esitellään lyhyesti erilaisia salausmenetelmiä, toisessa erilaisia väsytyshyökkäyksen lajeja ja kolmannessa torjumismenetelmiä hyökkäystä vastaan.
Väsytyshyökkäys voidaan karkeasti jakaa tavalliseen kaikkien mahdollisten vaihtoehtojen tyhjentävään läpikäyntiin, sanakirjahyökkäykseen, sateenkaaritaulukoiden hyödyntämiseen, käänteiseen väsytyshyökkäykseen, tunnistetietojen täyttöön, hybridihyökkäykseen kuin näiden menetelmien hajautettuihin muotoihin. Kussakin menetelmässä tavalla tai toisella pyritään arvaamaan jotakin kohteen avainparametreja, jotta hyökkääjä saa käsiinsä jotakin salattua tietoa. Menetelmät poikkeavat toisistaan niiden avainparametriavaruuksiltaan kuin syöttämismenetelmiltään.
Termiä on työssä tulkittu jokseenkin laajentavasti, jotta voidaan varmistua mainittavimpien väsytyshyökkäyksiksi tulkittavien menetelmien tulevan käsiteltäviksi. Kaikki lähteet eivät ole samaa mieltä, mitkä menetelmät tulkitaan väsytyshyökkäyksiksi, kun taas toiset eivät erota joitakin samankaltaisia hyökkäysmenetelmiä toisistaan. Monet lähteet määrittelevät myös hyökkäyksen hyvin tapauskohtaisesti. Työ ei ota kantaa minkään määritelmän oikeellisuuteen.
Väsytyshyökkäystä voidaan torjua kohteen mukaan lisäämällä salausmenetelmien bittimäärää, lisäämällä suolaa tiivisteisiin, huolehtimalla salasanojen tietoturvakäytännöistä ja lisäämällä hyökkäystä hidastavia menetelmiä, kuten monivaiheisia tunnistautumisia, hämäysmenetelmiä, lukituksia kuin CAPTCHA-ongelmia kirjautumissivuihin. Kyseiset menetelmät tekevät hyökkäyksestä kohtuuttoman työlään suorittaa, sillä ne lisäävät arvattavien avainparametrien määrää tai hidastavat jollakin muulla tapaa niiden suorittamista.
Väsytyshyökkäys voidaan karkeasti jakaa tavalliseen kaikkien mahdollisten vaihtoehtojen tyhjentävään läpikäyntiin, sanakirjahyökkäykseen, sateenkaaritaulukoiden hyödyntämiseen, käänteiseen väsytyshyökkäykseen, tunnistetietojen täyttöön, hybridihyökkäykseen kuin näiden menetelmien hajautettuihin muotoihin. Kussakin menetelmässä tavalla tai toisella pyritään arvaamaan jotakin kohteen avainparametreja, jotta hyökkääjä saa käsiinsä jotakin salattua tietoa. Menetelmät poikkeavat toisistaan niiden avainparametriavaruuksiltaan kuin syöttämismenetelmiltään.
Termiä on työssä tulkittu jokseenkin laajentavasti, jotta voidaan varmistua mainittavimpien väsytyshyökkäyksiksi tulkittavien menetelmien tulevan käsiteltäviksi. Kaikki lähteet eivät ole samaa mieltä, mitkä menetelmät tulkitaan väsytyshyökkäyksiksi, kun taas toiset eivät erota joitakin samankaltaisia hyökkäysmenetelmiä toisistaan. Monet lähteet määrittelevät myös hyökkäyksen hyvin tapauskohtaisesti. Työ ei ota kantaa minkään määritelmän oikeellisuuteen.
Väsytyshyökkäystä voidaan torjua kohteen mukaan lisäämällä salausmenetelmien bittimäärää, lisäämällä suolaa tiivisteisiin, huolehtimalla salasanojen tietoturvakäytännöistä ja lisäämällä hyökkäystä hidastavia menetelmiä, kuten monivaiheisia tunnistautumisia, hämäysmenetelmiä, lukituksia kuin CAPTCHA-ongelmia kirjautumissivuihin. Kyseiset menetelmät tekevät hyökkäyksestä kohtuuttoman työlään suorittaa, sillä ne lisäävät arvattavien avainparametrien määrää tai hidastavat jollakin muulla tapaa niiden suorittamista.
Kokoelmat
- Kandidaatintutkielmat [8709]