Bildiğiniz gibi internet üzerinden gerek banka işlemlerinizi gerek fatura işlemlerinizin birçoğunu gerçekleştirebiliyorsunuz bu yapılan işlemlerde her bir kişinin o işlem üzerindeki kimliği olan kullanıcı adı – parola veya email – parola gibi kombinasyonlar ile yapılmaktadır.
Bu parola ve kullanıcı adı, e posta sadece size ait ve içinde sizin işlem veya kişisel bilgilerinizin bulunduğu platforma girmenizi sağlar, o nedenle bu bilgiler başka bir kişinin eline geçtiği zaman sizinle ilgili o platform üzerindeki tüm kişisel bilgilerinizi ele geçirebilir, haliyle bu da istenmeyen sonuçlar doğurabilir.
Brute Force dediğimiz olayın açılımı “kaba kuvvet” olarak nitelendirilir. Kaba kuvvetin kelime anlamı bildiğiniz gibi bir işi zorla yapmak,yaptırmak olarak bilinir.Sanal ortamda ise bruteforce (kaba kuvvet) saldırısı olarak geçen işlem ise kişinin kişisel bilgilerini içeren platform üzerine uyguladığımız kullanıcı adı, e-posta ve şifre kombinasyonları ile hedef kişinin o platformdaki giriş bilgilerini bulmaya çalışmaktır. Bu işlem çok büyük wordlistler ile yapılır.
Wordlist dediğimiz şey ise içinde daha önceden kırılmış olarak bulunan şifrelerin olduğu büyük boyutlu metin dosyalarıdır.Tabi bu wordlistlerin kullanıcı adları ve epostalar için olanlarıda mevcuttur. Ayrıca bu wordlistleri bazı araçlar ya da manuel yani kendiniz yazarak da yapabilirsiniz.
Bu dosyalar kullanılarak olası kombinasyonlar denenir ve kullanıcı adı, eposta ve parola eşleşmesi sağlanırsa BruteForce (kaba kuvvet) saldırımız başarıyla gerçekleşmiş olur ve böylelikle hedef kişinin o platformundaki giriş bilgilerini elde etmiş oluruz.
Dilerseniz daha net anlaşılması için bir örnek üzerinden gidelim.
“x” kişisinin hedef kişi olduğunu varsayalım ve “www.hedefsite.com” url’ine ait bir e ticaret sitesinde bu kişinin üyeliği mevcut. Bu kişinin kullanıcı adı “xxxx” ve şifreside “xxx1234” olsun. Biz bu “x” kişisinin o sitede üyeliğinin olduğunu biliyoruz ve elimizde o sitenin url adresi de mevcut. İnternet üzerinden bulduğumuz bir wordlist yardımı ile bruteforce araçlarından herhangi birini kullanarak kaba kuvvet saldırısı deniyoruz ve bulmuş olduğumuz kullanıcı adı parola wordlistlerinde bu eşleşmeyi yakalıyoruz. Artık o kişinin o sitede yaptığı alışverişleri görebiliriz adres bilgilerini ele geçirebiliriz ve değiştirebiliriz eğer kredi kartı bilgilerini siteye kayıt etmiş ise kredi kartı bilgilerine kadar ele geçirebiliriz.
BruteForce saldırısı kullanıcılara yapılabileceği gibi zip, file, image gibi şifreli dosyalara da uygulanabilir.
Gördüğünüz gibi basit şifreler kullanmak işleri oldukça kolaylaştırdı şimdi birazda kaba kuvvet saldırısından nasıl korunuruz ona bakalım.
BruteForce Saldırısından Korunma Yolları
Bruteforce (kaba kuvvet) saldırısından korunmanın birçok yollu bulunmaktadır bu yollar bir nevi farkındalık olarak herkesin öğrenmesi gereken yollardır. Dilerseniz şimdi o yöntemlere bakalım.
- Uzun ve güçlü parolalar oluşturmak.
- Kayıt olunan her platformda farklı parolalar kullanmak.
- Güvenli olmayan hiçbir platformla ya da kişiyle bilgilerinizi paylaşmamak.
- Giriş bilgilerinizi kolay erişilebilecek yerlerde tutmamak.
- Mümkün oldukunça şifrelerinizi tarayıcılara kaydetmemek.
- Eğer kaydetmek istiyorsanız bildiğiniz ve güvendiğiniz “password manager” uygulaması ya da eklentisi kullanmak.
- Şifrenizi 6-12 ay aralığında değiştirmek.
- Oluşturduğunuz parolalarda özel karakter kullanmak.
Evet bu yukarıda bahsettiğimiz yöntemler çoğaltılabilir ama en etkili olanları bunlardır eğer sizde bu kriterlerde parola oluşturursanız kaba kuvvet saldırılarından bir nebze korunmuş olursunuz. Bir nebze dememin sebebi ise kaba kuvvet saldırılarında şifreler nekadar uzun ve karmaşık olursa kırma süresi uzar. Örnek olarak “xxxxx1234” şeklindeki bir şifre bir saatte kırılıyor ise “x#h3llo$12£34>” şeklindeki bir şifre 1 yılda kırılır.
Evet şimdi de bazı bruteforce araçlarından bahsedelim.
BruteForce Araçları
Github üzerinde bruteforce saldırısı için yazılan birçok araç mevcuttur sizlere bu araçlardan en çok kullanılanların linklerini bırakacağım içerisinde nasıl kullanıldıklarına dair yazılar mevcuttur ya da internet üzerinden araçların kullanım örneklerini bulabilirsiniz.
- Subbrute:https://github.com/TheRook/subbrute
- BruteX:https://github.com/1N3/BruteX
- Hydra:https://github.com/vanhauser-thc/thc-hydra
- Bruter19:https://github.com/AzizKpln/Bruter19
- BruteSploit:https://github.com/Screetsec/BruteSploit
- Pydictor:https://github.com/LandGrey/pydictor
- SocialBrute:https://github.com/5h4d0wb0y/socialbrute.git
- Hasher:https://github.com/CiKu370/hasher
- ZipCracker:https://github.com/aneopsy/zipCracker
- JohnTheRipper:https://github.com/openwall/john
Dediğim gibi bruteforce saldırısı için github üzerinde oldukça fazla araç bulunmakta ama en çok kullanılan araçlar bunlardır.