ब्रूट फोर्स अटैक (जिसे ब्रूट फोर्स क्रैकिंग के नाम से भी जानते है) संवेदनशील डेटा को डिकोड करने के लिए इस्तेमाल किया जाता है। ब्रूट फोर्स अटैक के लिए सबसे आम एप्लीकेशन हैं पासवर्ड क्रैकिंग और एन्क्रिप्शन कीय को क्रैक करने वाली होती है।
ब्रूट फोर्स अटैक के लिए दूसरा कॉमन टारगेट API कीय और SSH लॉगिन हैं। ब्रूट फोर्स पासवर्ड अटैक अक्सर स्क्रिप्ट या बॉट्स द्वारा किए जाते हैं जो वेबसाइट के लॉगिन पेज को टारगेट करते हैं।
ब्रूट फोर्स अटैक जब तक प्रयास करता रहता है जब तक कि उसे सही कॉम्बिनेशन नहीं मिल जाता। यानि की ये सभी नंबर, अक्षर और चिन्ह के कॉम्बिनेशन को मिलाकर लॉगिन ID और पासवर्ड का पता लगा लेता है। इसका इस्तेमाल ज्यादातर किसी का यूजरनाम और पासवर्ड पता करने के लिए किया जाता है, क्युकि ये काफी आसान होता है।
ज्यादातर साइबर अटैकर ब्रूट फोर्स अटैक के लिए बॉट्स का उपयोग करते हैं। हमलावरों के पास आमतौर पर वास्तव में उपयोग किए जाने वाले क्रीडेंशियल्स (लॉगिन ID और पासवर्ड) की एक सूची होती है और इन क्रीडेंशियल्स का उपयोग करके वेबसाइटों पर हमला करने के लिए अपने बॉट को असाइन करते है।
मैनुअल ब्रूट फोर्स क्रैकिंग में समय लगता है, और ज्यादातर हमलावर ब्रूट फोर्स अटैक सॉफ्टवेयर और टूल्स का उपयोग करते हैं। हमलावर ब्रूट फोर्स अटैक टूल का इस्तेमाल करके कई पासवर्ड कॉम्बिनेशन को इनपुट करके और सही लॉगिन ID का पता लगा सकते हैं।
कई सारे लोग अपने पासवर्ड में नंबर, कैपिटल और स्माल अल्फाबेट, चिन्ह (symbol) का इस्तेमाल करते है उन्हें ही कॉम्बिनेशन पासवर्ड कहा जाता है।
ब्रूट फोर्स अटैक क्यों किया जाता है?
ब्रूट फोर्स अटैक साइबर अटैक के शुरुआती चरणों में होते हैं, आमतौर पर तांकझांक और घुसपैठ के लिए किये जाते है। हमलावरों को अपने टारगेट के सिस्टम में प्रवेश करने की आवश्यकता होती है, और ब्रूट फोर्स अटैक तकनीक उस सिस्टम के एक्सेस को अपने हाथ में लेने के लिए बहुत ही सरल तरीका है। एक बार जब अटैकर नेटवर्क में घुस जाते हैं, तो वो अपने विशेषाधिकारों को बढ़ाने या एन्क्रिप्शन सुरक्षा को कमजोर करने के लिए ब्रूट फोर्स तकनीकों का उपयोग करते हैं।
कई बार छिपे हुए वेब पेजों को देखने के लिए हमलावर ब्रूट फोर्स अटैक का उपयोग करते हैं। छिपे हुए वेब पेज वे वेबसाइट या पेज होते हैं जो इंटरनेट पर तो होते हैं, लेकिन दूसरे पेजों से लिंक नहीं होते और ना ही सर्च इंजन पर होते है। ये छुपे हुए पेज किसी कंपनी के यूजर के यूजरनाम और पासवर्ड की लिस्ट पेज हो सकते है या कोई गुप्त पेज हो सकते है जिन्हे कुछ चुनिंदा लोग ही देख सकते है। ब्रूट फोर्स अटैक इस तरह के वेब पेज को देखने के लिए भी इस्तेमाल किया जा सकता है।
ब्रूट फोर्स अटैक से कैसे बचे?
ब्रूट फोर्स अटैक को चलाने के लिए समय चाहिए। कुछ हमलों को करने में हफ्तों या महीनों तक का समय लग सकता हैं। किसी पासवर्ड को क्रैक करने में लगने वाला समय उसकी लंबाई और जटिलता के आधार पर होता है।
- पासवर्ड की लंबाई बढ़ाएँ: पासवर्ड में जितने ज्यादा करैक्टर होंगे पासवर्ड पता लगाने में उतना ही ज्यादा समय लगेगा। यानि की जीतना जयादा लम्बा पासवर्ड होगा ब्रूट फोर्स अटैक को पासवर्ड पता करने में उतना ही समय लगेगा।
- पासवर्ड की जटिलता बढ़ाएँ: पासवर्ड जितना मुश्किल होगा ब्रूट फोर्स अटैक को इसे पता करने में उतना ही ज्यादा समय लगेगा। जब अभी पासवर्ड रखे तो नंबर, चिन्ह, छोटे और बड़े अक्षरों का इस्तेमाल एक साथ करे। उदाहरण के लिए GununuG#23 या MMAgana&^%53।
- लॉगिन प्रयासों को सीमित करें: ज्यादातर डायरेक्टरी सर्विसेस पर ब्रूट फोर्स अटैक लॉगिन प्रयास फ़ैल हो जाते है। ब्रूट फोर्स अटैक के खिलाफ सबसे अच्छा बचाव का तरीका है लॉगिन प्रयास को सेट करना। यानि की कई बार आपने देखा होगा की बैंक या किसी भी दूसरी साइट पर लॉगिन करने की लिमिट तय होती है, अगर आप 4 बार से ज्याद गलत पासवर्ड डालते है तो वो अकाउंट लॉक हो जाता है और एडमिन ही उसे अनलॉक कर सकता है। उसी तरह से अपने अकाउन्ट में लॉगिन लिमिट सेट करने से ब्रूट फोर्स अटैक को रोका जा सकता है। अगर ब्रूट फोर्स अटैक ने जो लिमिट लगाईं है उससे ज्यादा बार कोशिस करली है तो अकाउंट अपने आप ही लॉक हो जाएगा। लॉगिन लिमिट हर एक साइट पर अलग अलग होती है किसी में 3 तो किसी में 4 किसी किसी में 16 भी होती है।
- कैप्चा इस्तेमाल करे: कैप्चा वेबसाइटों पर वेरीफाई करता है की जो लॉगिन कर रहा है वो एक इंसान ही है कोई मशीन नहीं जिससे ब्रूट फोर्स अटैक को रोकना आसान हो जाता है। जब भी किसी वेबसाइट पर लॉगिन करते है तो देखा होगा की आखिर में चित्र होता है जिस पर कुछ लिखा होता है जिसे आपको जैसा लिखा होता है वैसा ही टाइप करना होता है, नहीं तो लगाईं नहीं हो पता है। इससे मशीन नहीं पढ़ सकती लेकिन एक इंसान पढ़ सकता है, जो की ब्रूट फोर्स अटैक या बोट अटैक को रोकने में मदद करता है।
- मल्टी-फैक्टर ऑथेंटिकेशन का इस्तेमाल करे: मल्टी-फैक्टर ऑथेंटिकेशन हर एक लॉगिन की प्रयास में सुरक्षा की एक दूसरी लेयर जोड़ देता है जो केवल एक इंसान ही हटा सकता है। कई सारी वेबसाइट 2 फटोर ऑथेंटिकेशन का इस्तेमाल करती है, जैसे की जब भी लॉगिन करे तो यूजर के रजिस्टर मोबाइल या ईमेल पर एक कोड को भेजते है ओर जब यूजर उस कोड को टाइप करता है तभी वो लॉगिन कर पता है। ये भी ब्रूट फोर्स अटैक को रोकने में काफी मदद करता है।
ब्रूट फोर्स अटैक के प्रकार
कई अलग-अलग प्रकार के ब्रूट फोर्स अटैक होते हैं और हर एक का एक ही लक्ष्य हैं।
1. सिंपल ब्रूट फोर्स अटैक
सिंपल ब्रूट फोर्स अटैक पासवर्ड का अनुमान लगाने के लिए ऑटोमेशन और स्क्रिप्ट का उपयोग करता है। आमतौर पर ब्रूट फोर्स अटैक हर सेकेंड में कुछ सौ अनुमान लगाते हैं।
सरल पासवर्ड, जैसे कि छोटे और बड़े अक्षरों के मिश्रण का इस्तेमाल नहीं करना और ‘123456’ या ‘password’ जैसे सामान्य पासवर्ड का उपयोग करने वाले, मिनटों में क्रैक किए जा सकते हैं।
हालांकि, तकनीक का इस्तेमाल करके इसकी गति को बढ़ा भी सकते है। 2012 में, एक शोधकर्ता ने प्रति सेकंड 350 बिलियन पासवर्ड का अनुमान लगाने के लिए एक कंप्यूटर क्लस्टर का उपयोग किया था।
2. डिक्शनरी अटैक
डिक्शनरी अटैक आम शब्दों और वाक्यांशों के कॉम्बिनेशन को पता लगाने की कोशिश करता है। मूल रूप से, डिक्शनरी अटैक में डिक्शनरी के शब्दों के साथ-साथ नंबरों का भी इस्तेमाल किया जाता था, लेकिन आज डिक्शनरी अटैक भी पासवर्ड का इस्तेमाल करते हैं जो पहले के दूसरी वेबसाइट पर लीक हो चुके हैं, जैसे की अमेज़न, फ्लिपकार्ट, बिगबास्केट इत्यादि।
ये लीक हुए पासवर्ड डार्क वेब पर बेचने के लिए उपलब्ध हैं और इन्हें आम वेब पर भी मुफ्त में पाया जा सकता है।
कई सारे डिक्शनरी सॉफ्टवेयर उपलब्ध है जो नए अनुमान लगा कर पासवर्ड बनाने के लिए समान करैक्टर को बदल देता है। उदाहरण के लिए, सॉफ़्टवेयर एक लोअरकेस “i” को एक कैपिटल “I” या लोअरकेस “a” को “@” चिन्ह से बदल देगा।
सॉफ़्टवेयर केवल उन कॉम्बिनेशन की कोशिश करता है जिनके सफल होने की संभावना ज्यादा होती है।
3. क्रीडेंशियल स्टफिंग
इन वर्षों में, 8.5 बिलियन से अधिक यूजरनाम और पासवर्ड लीक हो चुके हैं। ये चोरी किए गए क्रीडेंशियल डार्क वेब पर कुछ बुरे लोगो द्वारा बेचे जाते हैं और स्पैम या कुछ गलत कामो के लिए अकाउंट को एक्सेस करके उसका इस्तेमाल किया जाते हैं।
क्रीडेंशियल स्टफिंग अटैक इन चोरी हुए लॉगिन कॉम्बिनेशन (यूजरनाम और पासवर्ड) का उपयोग कई साइटों पर करता है। क्रीडेंशियल स्टफिंग ज्यादातर काम करती है क्योंकि लोग बार-बार एक ही यूजरनाम और पासवर्ड का इस्तेमाल करते हैं।
इसलिए अगर कोई हैकर किसी व्यक्ति के खाते का एक्सेस प्राप्त करता है, तो ऐसा मुमकिन है कि वही क्रीडेंशियल उस व्यक्ति के ऑनलाइन बैंक खाते में भी हो और इस परिस्थिति में हैकर आपके बैंक से पैसो की चोरी बड़ी ही आसानी से कर सकता है। आमतौर पर गेमिंग, मीडिया और रिटेल बिज़नेस पसंदीदा टारगेट होते हैं।
4. रिवर्स ब्रूट फोर्स अटैक
इससे पहले ब्रूट फोर्स अटैक में, हमलावर को कीय पता होती थी, आमतौर पर ये कीय यूजरनाम या खाता संख्या होती है। फिर वे उसका पासवर्ड ढूंढ़ने के लिए ऑटोमेशन टूल का उपयोग करते हैं।
रिवर्स ब्रूट फोर्स अटैक पासवर्ड ब्रेकिंग का उल्टा तरीका अपनाता है। इसमें हमलावर एक से अधिक यूजरनेम के खिलाफ एक पासवर्ड की कोशिश करता है। मान लीजिये कि आप को किसी का पासवर्ड पता हैं, लेकिन उसका यूजरनाम नहीं पता।
इसमें आप एक ही पासवर्ड को अलग-अलग यूजरनाम के साथ कोशिश करेंगे जब तक कि आपको सही यूजरनाम न मिल जाए।
5. हाइब्रिड ब्रूट फोर्स अटैक
हाइब्रिड ब्रूट फोर्स अटैक, डिक्शनरी अटैक और ब्रूट फोर्स अटैक को जोड़ता है। लोग अक्सर अपने पासवर्ड के अंत में नंबर सीरीज का इस्तेमाल करते है जो आमतौर पर चार नंबर होते है। वे चार अंक आमतौर पर एक साल हो सकते हैं जो उनके लिए महत्वपूर्ण थे, जैसे जन्म का साल या ग्रेजुएशन का साल।
रिवर्स ब्रूट फ़ोर्स अटैक में, हमलावर डिक्शनरी अटैक का उपयोग करते हैं। यह अकेले डिक्शनरी अटैक या अकेले ब्रूट फोर्स अटैक का उपयोग करने की तुलना में अधिक कुशल तरीका है।
6. पासवर्ड स्प्रेइंग
ब्रूट फोर्स अटैक एक सिंगल अकाउंट के लिए पासवर्ड का अनुमान लगाने का प्रयास करता हैं। पासवर्ड स्प्रेइंग इसका उल्टा तरीका अपनाता है और कई खातों में एक ही पासवर्ड अप्लाई करने की कोशिश करता है। ये तरीका लॉकआउट पालिसी द्वारा पकड़े जाने से बचता है जो पासवर्ड लॉगिन प्रयासों को सीमित करता है। पासवर्ड स्प्रेइंग का उपयोग आमतौर पर सिंगल sign-on (SSO) और क्लाउड-आधारित ऐप्स किया जाता है।
7. बॉटनेट्स
ब्रूट फोर्स अटैक नंबरो का खेल है, और इसे बड़े पैमाने पर एक्सीक्यूट करने के लिए बहुत ज्यादा कंप्यूटिंग पावर की जरुरत होती है। हमलावर दुसरो के सिस्टम में बॉटनेट को इंजेक्ट कर देते है (मैलवेयर या वायरस के जरिये), जिससे उस कंप्यूटर का नियंत्रण हमलावर के पास हो जाता है। जिसके बाद अटैक एल्गोरिथम को एक्सीक्यूट करने के लिए अपहरण कंप्यूटरों के नेटवर्क का इस्तेमाल किया जाता है। बॉटनेट का इस्तेमाल किसी भी तरह के ब्रूट फोर्स अटैक में किया जा सकता है।
ब्रूट फोर्स अटैक के लिए कुछ लोकप्रिय टूल/सॉफ्टवेयर
- Aircrack-ng: Aircrack-ng एक WiFi पासवर्ड क्रैकिंग टूल है जो मुफ्त में मिल जाता है। यह टूल Wi-Fi 802.11 पर हमले करने के लिए WEP/WPA/WPA2-PSK क्रैकर और एनालिसिस टूल के साथ आता है।यह विंडोज, लिनक्स प्लेटफॉर्म iOS और एंड्रॉइड प्लेटफॉर्म के लिए उपलब्ध है।
- John the Ripper: जॉन द रिपर एक मुफ्त पासवर्ड-क्रैकिंग सॉफ्टवेयर है जो शुरू में UNIX सिस्टम के लिए बनाया गया था। बाद में, डवलपर्स ने इसे अलग अलग प्लेटफार्म के लिए तैयार किया। अब, यह यूनिक्स, विंडोज, DOS, BeOS और OpenVMS सहित 15 अलग अलग प्लेटफार्म के लिए उपलब्ध है।
- Rainbow Crack: रेनबो क्रैक का उपयोग पासवर्ड क्रैकिंग के लिए किया जाता है। यह हमला करते समय उपयोग के लिए रेनबो टेबल बनाता है। रेनबो टेबल प्री-कैलकुलेट होती हैं। इस टूल को अभी भी डवलप किया जा रहा है। यह विंडोज और लिनक्स दोनों के लिए ही उपलब्ध है।
- L0phtCrack: L0phtCrack विंडोज पासवर्ड को क्रैक करने की क्षमता के लिए जाना जाता है। यह डिक्शनरी अटैक, ब्रूट फोर्स अटैक, हाइब्रिड अटैक और रेनबो टेबल का इस्तेमाल करता है। L0phtcrack की सबसे प्रसिद्ध विशेषताएं शैडयुलिंग, 64-बिट विंडोज वर्जन से हैश को निकलना, मल्टीप्रोसेसर एल्गोरिथम और नेटवर्क मॉनिटरिंग और डिकोडिंग हैं। अगर आप विंडोज सिस्टम के पासवर्ड को क्रैक करना चाहते हैं, तो आप इस टूल का इस्तेमाल कर सकते हैं।
- Ophcrack: Ophcrack विंडोज पासवर्ड को क्रैक करने के लिए इस्तेमाल किया जाता है। ये रेनबो टेबल के माध्यम से LM हैश का उपयोग करके विंडोज पासवर्ड को ब्रेक करता है। ये एक ओपन सोर्स टूल है इसलिए फ्री में मिल जाएगा। इसकी लाइव CD भी उपलब्ध है।
- Hashcat: हैशकैट CPU आधारित पासवर्ड क्रैकिंग टूल है। ये मुफ़्त है और विंडोज, लिनक्स और मैक प्लेटफॉर्म के लिए उपलब्ध है। हैशकैट LM हैश, MD4, MD5, SHA-family, UNIX Crypt formats, MySQL और Cisco PIX सहित कई सारी हैशिंग एल्गोरिथम को सपोर्ट करता है। ये कई अलग अलग हमलों को भी सपोर्ट करता है, जिसमें शामिल हैं ब्रूट फोर्स अटैक, कॉम्बिनेटर अटैक, डिक्शनरी अटैक, फिंगरप्रिंट अटैक, हाइब्रिड अटैक, मास्क अटैक, परमुटेशन अटैक, रूल-बेस्ड अटैक, टेबल-लुकअप अटैक और टोगल-केस अटैक।
- Ncrack: Ncrack नेटवर्क ऑथेंटिकेशन को क्रैक करने के इस्तेमाल किया जाने वाला पासवर्ड क्रैकिंग टूल है। ये कई प्रोटोकॉल को सपोर्ट करता है जिसमे शामिल है RDP, SSH, HTTP(S), SMB, POP3(S), VNC, FTP और Telnet। ये ब्रूट फोर्स अटैक के साथ ही कई अलग अलग हमले भी कर सकता है। यह लिनक्स, BSD, विंडोज और Mac OS X सहित अलग अलग प्लेटफार्म को सपोर्ट करता है।
- THC Hydra: THC Hydra को ब्रूट फोर्स अटैक करके नेटवर्क ऑथेंटिकेशन के पासवर्ड को क्रैक करने के लिए जाना जाता है। ये 30 से ज्यादा प्रोटोकॉल पर डिक्शनरी अटैक का इस्तेमाल करता है, जिसमे शामिल है Telnet, FTP, HTTP, HTTPS, SMB इत्यादि। ये Linux, Windows, Solaris 11, FreeBSD 8.1, OpenBSD, OSX और Blackberry के साथ ओर भी कई अलग अलग प्लेटफार्म के लिए उपलब्ध है।
- DaveGrohl: डेवग्रोहल Mac OS X के लिए एक जबरदस्त ब्रूट फोर्सिंग टूल है जो डिक्शनरी हमलों का सपोर्ट करता है। इसमें डिस्ट्रिब्यूटेड मोड भी है जो एक हमलावर को एक ही पासवर्ड हैश के जरिये कई कंप्यूटरों में हमलों को एक्सीक्यूट करने में सक्षम बनता है।
पासवर्ड क्रैकिंग के लिए ये कुछ लोकप्रिय ब्रूट फोर्स अटैक टूल हैं। इनके अलावा ओर भी कई टूल उपलब्ध हैं जो अलग अलग प्रकार के ब्रूट फोर्स अटैक करके पासवर्ड को ब्रेक करते है।
अगर मैं केवल कुछ छोटे टूल का उदाहरण दू, तो आप देखेंगे कि ज्यादातर PDF-cracking और zip-cracking जैसे टूल भी पासवर्ड ब्रेक करने के लिए ऐसे ही ब्रूट फोर्स तरीको का इस्तेमाल करते हैं। ऐसे कई टूल फ्री या पैसे दे कर मिल जाते हैं।
ब्रूट फोर्स अटैक पासवर्ड ब्रेक करने का सबसे अच्छा तरीका है। हमले की सफलता अलग अलग फैक्टर पर निर्भर करती है। हालांकि, पासवर्ड जितना लम्बा और स्माल और कैपिटल लेटर, नंबर, चिन्ह का इस्तेमाल होगा उसे ब्रेक करना उतना ही मुश्किल होगा।
यही कारण है की अक्सर हमे लम्बे और मजबूत पासवर्ड लगाने के लिए कहाँ जाता है और इसीलिए हमे सुझाव दिया जाता है की जब भी पासवर्ड बनाए उसमे छोटे अक्षरों, बड़े अक्षरों, नंबर और चिन्ह इस्तेमाल जरूर करे, जैसा की मैंने ऊपर भी बताया हुआ है।
यह ब्रूट फोर्स अटैक को नामुमकिन नहीं बनाता है, लेकिन इसे कठिन बना देता है। इसलिए, ब्रूट फोर्स अटैक द्वारा पासवर्ड तक पहुँचने में ज्यादा समय लग जाता है।
कंप्यूटर सुरक्षा में ब्रूट फोर्स पासवर्ड बरैकिंग भी बहुत महत्वपूर्ण है। इसका उपयोग सिस्टम, नेटवर्क या एप्लिकेशन में उपयोग किए जाने वाले कमजोर पासवर्ड की जांच के लिए किया जाता है।
अगर ये जानकारी आपको अच्छी लगी हो तो इस आर्टिकल को अपने दोस्तों, परिवार जनो और सोशल मीडिया पर जरूर शेयर करे।
मेरा नाम धर्मेंद्र मीणा है, मुझे तकनीक (कंप्यूटर, लैपटॉप, स्मार्टफोन्स, सॉफ्टवेयर, इंटरनेट, इत्यादि) से सम्बन्धी नया सीखा अच्छा लगता है। जो भी में सीखता हु वो मुझे दुसरो के साथ शेयर करना अच्छा लगता है। इस ब्लॉग को शुरू करने का मेरा मकसद जानकारी को ज्यादा से ज्यादा लोगो तक हिंदी में पहुंचना है।
Add your first comment to this post