Кіру құпия сөзін таңдау. Құпия сөздерді желіде бұзу және табу: бес негізгі әдіс

Интернетте жиі. Ол әртүрлі мақсатта жүзеге асырылады. Ең көп таралған мақсат - спам және интрузивті жарнама жіберу. Кейде ұрылар ұрлық жасайды Ақшаәлеуметтік желідегі аккаунттарынан. Төлем жүйелерін бұзу қауіпті. Электрондық поштаның құпия сөзін бұзу, спам жіберуден басқа, барлық басқа тіркелгі деректерінің де табылу қаупін тудырады. Кейде ол ойын мазмұнын ұрлау мақсатында жүзеге асырылады.

Құпия сөзді бұзу әдістері

Тіпті ең жақсы электрондық пошта құпия сөздерін бұзуға болады. Хакерлердің жұмыс істеу тәсілі күн сайын жақсарып келеді. Бұл комбинацияларды таңдауға арналған арнайы бағдарламалар, Интернеттегі әрекеттерді бақылау әдістері және т.б.

Фишинг

Бұл жолмен VK немесе басқа парольді білуге ​​болады әлеуметтік желіхакерлер арасында танымал. Пайдаланушыға хакер бұзғысы келетін сайтқа ұқсайтын сайтқа өтуді сұрайтын хабарлама жіберіледі. Әдетте, ол одан толығымен көшіріледі.

Сілтемені басу арқылы пайдаланушы өзінің әдеттегі аккаунтына кіруге тырысады деп ойлап, басқа деректерді енгізеді. Сіз осындай сайтқа кіріп, логинмен, яғни «Тіркелгіні қалпына келтіру» функциясын пайдаланып, парольді білуге ​​тырысуға болады.

Пайдаланушы «Кіру» түймесін басып, деректер шабуылдаушыларға бірден түседі. Қолданушының өзі не болғанын байқамай, нақты әлеуметтік желінің бетіне қайта бағытталады. Жетілдірілген әлеуметтік инженерия хакерлерге басқа адамның контактісінен құпия сөзді білуге ​​мүмкіндік береді.

Шынында да, пайдаланушы жалған сілтемені ұстануы үшін оның сеніміне «ұнтақтау» керек. Әдіс өте тиімді емес, бірақ оны жүзеге асыру оңай. Дегенмен, есептік жазбаның иесі нақтысы жиі аз ерекшеленеді деп күдіктенуі мүмкін) және ауысудан бас тартуы мүмкін. Шабуылдаушыны табу оңай.

Таңдау

Хакерлер қатал күшпен пошта құпия сөзін табуға тырысатын негізгі технология - BruteForce. Бұл генерацияны автоматтандырылған ауыстыру және шот үшін комбинацияларды ауыстыру әдісі. Мұндай таңдауды бастау үшін сізге қажет арнайы бағдарлама, кімнің құпия сөзі тез бұзылады. Мұндай бағдарлама дұрыс шешім таңдау әдісімен танылатын математикалық принцип бойынша жұмыс істейді.

Осылайша, бағдарлама сандар мен әріптердің комбинацияларын үздіксіз жасайды және олардың дұрыстығын тексереді. Жоғары өнімділікке байланысты мұндай бағдарламалар өте жылдам жұмыс істейді.

Бұзуға арналған хакерлер қызметі әмбебап және белгілі бір сайт үшін болуы мүмкін. Ол жұмыс істегенде, жалған прокси жасалады, соның арқасында шабуылдаушылар өздерінің IP мекенжайын жасыра алады. Сонымен қатар, оны үнемі өзгерту арқылы бұзу орындалатын компьютерді бұғаттаудан аулақ болуға болады. Оны бұзғаннан кейін сіз тіркелгіңізге кірген кезде құпия сөзіңіз бұзылғандығы туралы хабарламаны көресіз. Шұғыл түрде келесі әрекеттерді орындау қажет:

1. Тіркелгі ақпаратын өзгерту;
2. Қауіпсіздік сұрағын өзгерту;
3. Әкімшілікке Контакттағы (немесе басқа ресурстағы) құпия сөздің бұзылғанын жазыңыз.

Бұрын жұмыс істейтін бағдарламалар қолданылғанымен, қазір одан да жетілдірілген бағдарламалар пайда болды. Енді сөзге санды ауыстыру есептік жазбаңызды қауіпсіз етпейді. Жаңа бағдарламалар толығымен ерікті әріптік-цифрлық комбинацияларды таңдайды, олар таңбалардың өте күрделі комбинациясын бұзуы мүмкін.

Хэштер және веб-сайтты бұзу

Тиімді, бірақ қиын бұзу әдісі. Құпия сөзді білу үшін хакерлер пайдаланушы кодтарының комбинацияларының хэштерін сақтайтын сайтқа енеді. Хэш әріптердің комбинациясы қайтымсыз күрделі процедурадан өткеннен кейін алынады. Тіркелгіңізге кірген кезде сіз таңбалар тіркесімін енгізген кезде хэш қайтадан есептеледі және ол сақталғанға сәйкес келсе, код сөзін дұрыс енгіздіңіз. Бұл деректерді шабуылдаушылар сайтты бұзып ұрлайды. Хэштерді сақтамайтын ескі ресурстармен, бірақ әріп комбинациялары өздерінен оңайырақ.

Хэшті ашу соншалықты қиын емес. Хакерлерде оларды анықтауға және пайдалануға мүмкіндік беретін көптеген бағдарламалар мен қызметтер бар. Олар бұрын қызметтің өзін бұзған Яндекс поштасында құпия сөзді келесідей көре алады:

• хэштеу алгоритмдерін есептеу және мәліметтердің шифрын шешу;
• BruteForce код комбинацияларының дерекқорына ие бола отырып, хакерде сол немесе басқа алгоритммен кодталған осы сөздердің хэштері де болады. Бағдарлама тек бұрыннан барларды жаңасымен салыстыра алады;
• Алгоритмдер көп емес және олар ортақ.

Веб-сайттардағы хэшинг - бұл компьютерде cookie файлдарының жұмысына ұқсас процесс. Оның шифрын шешу cookie файлдарынан құпия сөзді табу сияқты оңай. Сондықтан мұндай сақтау өте күрделі комбинациямен де сенімді есептік жазбаны қорғау емес екені анық.

Шпиондық бағдарлама

Бағдарламалар - шпиондық бағдарлама - компьютерде орнатылған бағдарламалық жасақтама жасырылады. Пайдаланушы оның бар екендігі туралы білмеуі үшін. Негізінен бұл вирус. Пайдаланушы, логиндер, браузер сұрауларының тарихы, кодтық сөздер және т.б. туралы ақпаратты жинауға арналған. Бұзылу және мақсатты жарнама жүргізу үшін қажет. Мұндай бағдарламалардың көмегімен ақпарат тікелей шабуылдаушыға беріледі.

Мұндай бағдарламалар құпия сөзді жұлдызшалар түрінде көшіруді немесе cookie файлдарын қалпына келтіруді ұсынатын бағдарламалық құрал ретінде жасырады. Мұндай бағдарламаларды сақтықпен пайдалану керек. Тіркелгіңізге кіру мүмкіндігін қалпына келтіру үшін браузерді қолданған дұрыс. Шпиондық бағдарламаның көмегімен сіз оның телефонына немесе компьютеріне зиянды бағдарламаны орнату арқылы досыңыздың құпия сөзін біле аласыз. Бұл жағдайда деректер сізге жіберіледі.

Құпия сөз бұзылды ма?

Кейбір ресурстар бұзу туралы хабарландыруларды көрсетеді. ВКонтакте әлеуметтік желісі тіркелгіге кіру кезінде құпия сөздің бұзылғаны туралы хабарлама шығарады. Код сөзін ескіге ауыстырсаңыз, мұндай хабарлама пайда болуы мүмкін, өйткені сайт спам жіберілген құпия сөздердің қара тізімін сақтайды және т.б.

Сонымен қатар, саны бар онлайн қызметтер, ол жақында шабуылдаушылардың қолына түскен тіркелгілерді көрсетеді. Егер олар электрондық поштаның құпия сөзін бұзуға әрекеттенді деуге негіз бар болса, өріске электрондық пошта мекенжайын (немесе пошта жәшіктері туралы айтпасақ, логин) енгізіңіз, сонда сіз тіркелгі бұзылғанын көресіз.

Есептік жазбаңызды басқа жолдармен бұзғанын білуге ​​болады. Ең бастысы - сайтта болмаған кезде тіркелгіңіздегі әрекетті талдау.

ВИДЕОНЫ КӨРУ

Егер сіздің достарыңыз жарнамалық мазмұндағы хабарламаларды немесе үшінші тарап сайттарына шақыруларды алса, сіз хабарламалар мен хабарландыруларды бірінші рет көресіз, дегенмен сайт олардың қаралғанын және т.б. содан кейін сіздің парағыңыз болмаған кезде пайдаланылды. Дегенмен, ол желіде көрінбеуі мүмкін. Желіде пайдаланушылардың болуын жасыратын бағдарламалар бар.

Brute force – дөрекі күш, дөрекі күш бұзу
«» мақаласында ВК-ны дөрекі күшпен (бағдарламамен) бұзу мүмкін емес екені айтылған.
Бұл мүлдем дұрыс емес, әлі де олқылықтар бар ...
Төменде жұмыс сценарийі берілген, бірақ алдымен…

Мақаланың төменгі жағында - дөрекі сөздікті және «жоғары лох парольдерінің» тізімін жасауға арналған тегін бағдарлама

Мен ешқандай PBKDF2 алгоритмдері жоқ, sha хэшті талдаусыз классикалық «қатал күш» туралы айтып жатқанымызды алдын ала ескертемін, өйткені Үй шаруашылығы деңгейінде бұл өте ауыр міндет.

Желіде «ВК-ны дөрекі күшпен бұзуға арналған» көптеген бағдарламалар бар

Қайсысын таңдау керек? Не көмектеседі (маған зиянсыз)?
- Жоқ

Әрбір VK аккаунты жеке көзқарасты талап етеді және желідегі шаблондық бағдарламалардың бәрі ақымақ, ажырасу, ақымақтық.

Енді неге екенін түсінесіз. Математикалық бөлім қысқаша.

VK паролінің ең аз ұзындығы - 6 таңба.

Құпия сөз мыналарды қамтуы керек:
сандар(0-9 - 10 опциялар),
әріптер(латын тілінде a-z - 26),
бас әріптер(A-Z да 26)

Әрбір таңба үшін барлығы – 10+26+26=62 (!) опция, сондықтан комбинациялар саны:
6 таңбадан тұратын құпия сөз - 56 800 235 584 (56,8 миллиард)
7 таңбадан тұратын құпия сөз - 3 521 614 606 208 (3,5 триллион)
8 таңбадан тұратын құпия сөз - 218 340 105 584 896 (218 триллион)
9 таңбадан тұратын құпия сөз -13 537 086 546 263 600

Біз парольдің ұзындығын білмейміз, сондықтан кем дегенде 6-8 таңбадан тұратын диапазонды бұзуға тура келеді.
Барлығы: 6+7+8 таңба = 221,918,520,426,688 (222 триллион) опция

Сізде өте жақсы компьютер бар делік, бірақ сұрақ туындайды - ол VK серверіне қанша сұраныс жасай алады?
Сіздің үй компьютеріңіз қаншалықты жылдам?

Есептеп көрейік. Мұны істеу үшін ашыңыз пәрмен жолы(Бастау - Керек-жарақтар - Пәрмен жолы немесе cmd.exe процесін іске қосыңыз)
Біз пәрменді жүргіземіз, сервердің жауабын аламыз

"Жауап .....уақыты 134 мс" (бұл менікі, сіздің уақытыңыз әртүрлі болуы мүмкін)

Пинг уақыты - сигналдың құрылғыдан серверге және кері өтуіне кететін уақыт

Бір секундта 1000 миллисекунд (мс) бар, сондықтан
Құрылғыңыздан келетін қатыгездік жылдамдығы (сұраулар/сек) = 1000/жауап уақыты болады.
Менің жағдайда секундына 1000/134 мс = 7,4 сұрау (құпия сөз).

ВК үшін құпия сөздерді сұрыптау қанша уақытты алады?

Еске сала кетейін, біз 221 918 520 426 688 (222 триллион) құпия сөз опциясын қайталап жатырмыз.

Сондықтан, біз ВК паролін қатал күшпен қаншалықты бұзатынымызды білу үшін біз санды жылдамдыққа бөлеміз, яғни.

221918520426688 құпия сөз / секундына 7,4 құпия сөз = 29737081737176сек = 495618028953 мин = 8260300483 сағат = 344179187 күн = 942957 жыл

Шығару:ВК-ны бұзуға арналған нақты бағдарлама 94 мың жыл бойы дөрекі күшпен құпия сөзді ала алады.

Сұрақ: Бірақ YouTube-тегі бейнелер туралы не деуге болады, онда ғажайып бағдарламалар бірнеше минут/сағат ішінде ВК-парақшасын бұзып жібереді?
Мен жауап беремін: Бұл сіздің жеке деректеріңізді ұрлау үшін компьютеріңізді жұқтыру үшін жасалған алаяқтық. Артық емес, кем емес.

Сіз іздеу процесін айтарлықтай жылдамдата аласыз!
Ол үшін сізге қажет:
1. Есептеу қуатын арттырыңыз. Мысалы, 1 000 000 басқа адамдардың компьютерлерін жұқтырыңыз және бір уақытта олардың барлығынан brute VK (қазірдің өзінде күлкілі)
2. Дөрекі сөздікті, мысалы, бірнеше мыңға дейін қысқартыңыз (әлеуметтік инженерия қағидасы бойынша)

Қара сөздікті қалай жасауға болады?
1. Блокнот бағдарламасындағы қаламдар (notepad.exe)
2. «Қауіпсіз генератор» бағдарламасы (мақаланың төменгі жағындағы сілтеме)

Бұл дөрекі - сөздік нақты нұсқалармен толтырылған.

Нақтылар - бұл бұзылған адаммен қандай да бір түрде байланысы барлар:

-телефондар(ол, оның туыстары, достары)
Мысал- + 7, 8, 8 жоқ сандар - сирек кездеседі

- туған күндері(ол, оның туыстары, туыстары)
Мысал- (сол күні) 010118, 01012018, 20180101, 180101 - жиі кездеседі

- Жақын адамдардың есімдері
Мысал- СашаМария, МарияИванова, СаNoМаИв - орташа

Басқа орналасудағы сайт атауы (немесе тегі).
Мысал, егер сіз «вконтакте» сөзін орыс тіліндегі макетте терсеңіз, сіз аласыз - «mlshtefleu» - мұндай схема барлық сайттарда өте жиі кездеседі.

- Лохтың brute құпия сөздерінің тізімі(желідегі ең көп таралған құпия сөздердің тізімі - мақаланың соңындағы сілтеме)

Сөздік жазу қанша уақытты алады?Ал, шынымен емес - көзге жарты сағат жеткілікті. Бұл оңай болады деп кім айтты?

Бізде brute арқылы жасалған сөздік және VK құпия сөзін таңдауға арналған жұмыс бағдарламасы (немесе сөздікке қолмен енгізу) бар делік.

Бір маңызды мәселе бар - серверді қорғау жүйесі.

Шындығында, оның кедергісі тым жиі сұраулармен сервер сіздің IP-ді ақымақ (уақытша) блоктайды. Сонымен қатар, егер сіз VK арқылы жұмыс жасасаңыз стандартты пішіненгізу (HTML \ FORM), содан кейін 3 сәтсіз әрекеттен кейін VK сізден captcha енгізуді сұрайды.

IN ескі нұсқасыВК енді m.vk.com мобильді нұсқасына ауыса алады мобильді нұсқасыосылайша, жоқ - 2016 жылы олар бір бейімделген дизайнды жасады.

ВКонтакте каптчасын қалай айналып өтуге болады?

VK 3 сәтсіз әрекеттен кейін captcha енгізуді қажет етеді (F5-ті қайта жүктеу көмектеспейді), бірақ ол мұны қайдан біледі Бұл сенбірнеше рет кіру әрекетін жасайсыз ба?

IP бойынша
- Cookie файлдары, кэш және JavaScript

Cookie файлдарында, кэште және JavaScript-те ешқандай проблемалар жоқ - оларды браузер параметрлерінде өшіруге болады.

IP-ді IP-ні өзгертуге арналған бағдарламаны орнату арқылы өзгертуге болады - бұл жерде қиын ештеңе жоқ, желіде олардың көпшілігі бар (Google көмектесу үшін)

Сіз TOR браузерін пайдалана аласыз (кім білмейді - бұл желіде анонимді серфингке арналған браузер, ол сонымен қатар әр жаңа сеанс сайын IP мекенжайларын өзгертеді, әсіресе SAR-да серфинг жасайтын немесе жұмыс істейтіндер үшін пайдалы нәрсе)

Бірақ GEOlocation санаудың барлық әрекеттерін толығымен дерлік жоққа шығарады.

ВК сервері соңғы логин қай жерде (географиялық) жасалғанын есте сақтайды.

Егер сіздің IP басқа елді мекеннен болса, онда (мүмкін) жазу пайда болады:

"Сіз әдеттен тыс жерден Иван Иванов ретінде кіруге әрекеттеніп жатырсыз."

Сіз шынымен де беттің иесі екеніңізді растау үшін бет байланыстырылған телефон нөмірінің барлық жетіспейтін сандарын көрсетіңіз.

Дөрекі веб-пішіндерге арналған сценарий (мысалы, VK бұзу бағдарламасы)

Маңызды! VK серверінде пакеттерді жіберу жиілігін қадағалайтын сценарий бар, яғни. егер сіз N рет/сек жылдамдықпен соғыңыз, IP арқылы автоматты түрде тыйым салу тізіміне жіберілесіз.
VK сонымен қатар GEOtracking пайдаланады.

Динамикалық IP болмаса, сіз қатыгездікпен әрекет етпеуіңіз керек, VPN көмектесе алады.
Жеке өзім VK парольдерін келешегі жоқ деп санаймын, бірақ білгірлер үшін 5p4x2knet a.k.a-дан алынған ескі Pearl сценарийін жариялаймын. Апокалиптические «және сәл бекітілген.

Сценарий тек екі параметрмен POST әдісімен жұмыс істейді - кіруЖәне құпия сөз.

Егер логин белгілі болса (мысалы, телефон нөмірі), онда сөздікті пайдаланбай мәнмен сәйкес өрістерді жай ғана толтырыңыз.

Жасырын өрістер - captcha, сценарий суреттерді жібермейді, жоғарыда сипатталғандай сұраулар көзін (өзіңізді) жасырыңыз.

Бұл жерде біз мақаланың басында құрастырған ақылға қонымды сөздік көмектеседі. (Мысалы, оны атаймыз, brut.txt )

Сондай-ақ бізге бағдарламамыз ақпарат алатын файл қажет.

Бағдарлама осы файлда көрсетілген барлық сценарийлерді өрескел мәжбүрлейді.( infa.txt). Егер бір ғана сценарий болса, оны ауыстыруға болады

Әрине, нәтижелерді жазуға арналған файл ( нәтиже.txt)

Сонымен,
{
#connect нысаны
$usagent = LWP::UserAgent
#файлды ақпаратпен ашу (аша алмасақ, шығыңыз);
# файлды @infa массивіне тастаңыз және оны жабыңыз. (тек бір сценарий болса, оны бірден көрсетуге болады)
ашық(INFA, ";
жабу(INFA);
#ашық brute сөздік
ашық(BRUT, ";
жақын(BRUT);
#нәтижелері бар файлды ашу (соңына қосылады).
open(RESULT, ">>$ARGV");
#бастау циклі
foreach $name (@infa)
{
#separate URL мекенжайы, логин, айнымалылар және қате туралы ақпарат
($url, $login, $log_vr, $pwd_vr, $сәтсіз) = бөлу(//, $атауы);
# URL мекенжайын көрсету
«$url...n» басып шығару;
# басқа циклды бастаңыз
foreach $brut (@brut)
{
#бос орындар мен жаңа жолдарды өлтіріңіз
$pss =~ s/ //;
$pss =~ s/n//;
#жаңа нысанды қосу
$usagent = LWP::UserAgent->new();
#сұраныстарды жасау.
$req = HTTP::Request->new(POST=>$url);
$req->content_type("application/x-www-form-urlencoded");
$req->content("$log_vr=$логин&$pwd_vr=$pss");
#және жіберу
$нәтиже = $usagent -> сұрау($req);
#айнымалыға нәтижелерді жазу
$res = $нәтиже->мазмұн;
#егер ол сәтсіз болса, қате туралы хабар жасалады
егер($рес!~ /$сәтсіз/i)
{
#парольмен хабарламаны шығару; нәтижелерде жазу;
"қатты сөз табылды. It isn$pssnn" басып шығару;
басып шығару НӘТИЖЕ "URL: $urlnLOGIN: $loginnBRUT: $pssnn";
#әйтпесе таңдауды жалғастырыңыз
соңғы;
}
}
}
#classing result.txt файлы
жабу(НӘТИЖЕ);

Brute force (ағылшын тіліндегі сөз тіркесінен шыққан: brute force) бір түрі хакерлік шабуыл— парольдер мен логиндердің комбинацияларын автоматтандырылған таңдау арқылы компьютерлік жүйелердегі, төлем/банктік қызметтер мен веб-сайттардағы шоттарды бұзу әдісі.

Bruteforce аттас есімге негізделген математикалық әдіс(дөрекі күш), онда дұрыс шешім – шекті сан немесе символдық комбинация әртүрлі нұсқаларды санау арқылы табылады. Шын мәнінде, ықтимал жауаптардың (шешімдердің) берілген жиынтығынан әрбір мән дұрыстығы тексеріледі.

Дөрекі күштің әрекет ету принципі

Хакер құпия сөздерді табу үшін арнайы бағдарлама жазады немесе әріптестерінің дайын шешімін пайдаланады. Ол белгілі бір пошта қызметіне, веб-сайтқа, әлеуметтік желіге (яғни, белгілі бір ресурсты бұзуға арналған) бағытталған болуы мүмкін. Келесі қадам - ​​бұзуға дайындық. Ол келесі қадамдардан тұрады:

1. Прокси тізімді құрастыру

Шабуыл жасалатын компьютердің шынайы IP мекенжайын жасыру және тіркелгіні бұзу қажет сайттан бұғаттауды болдырмау үшін прокси сервер арқылы Интернетке қосылу конфигурацияланады.

Прокси мекенжайларды/порттарды іздеу прокси-грабберде (Proxy Grabber) жүзеге асырылады. Бұл утилита прокси-серверлерді ұсынатын сайттардан делдалдық серверлерге қосылу үшін барлық деректерді дербес шығарады (олар тізімде көрсетілген). Басқаша айтқанда, прокси жиналады.

Алынған негіз бөлек мәтіндік файлда сақталады. Содан кейін ондағы қол жетімді барлық сервер мекенжайлары прокси тексерушіде жұмыс қабілеттілігі үшін тексеріледі. Көбінесе автоматтандырылған прокси өндіруге арналған бағдарламалар граббердің де, тексерушінің де функцияларын біріктіреді.

Нәтижесінде біз сақталған IP / порт тізімі түрінде дайын прокси тізімін аламыз txt файлы. (Бұл сізге қатал күш бағдарламасын орнату кезінде қажет болады).

1. Brute үшін іздеу негіздері

Сөздікті дөрекі күшке - парольдер мен логиндердің белгілі бір тіркесіміне қосу қажет, ол логин пішінінде ауыстырылады. Сондай-ақ, прокси тізім сияқты, әдеттегідей тізімнің пішіні бар мәтіндік файл(.жазу). Сөздіктер, олар да дерекқорлар, хакерлер форумдары, сайттар және файлдық хостинг арқылы таратылады. Неғұрлым тәжірибелі «шеберлер» оларды өз бетімен жасап, барлығына ақылы түрде береді. Қалай көбірек база(комбинациялар, логиндер, тіркелгілер саны), соғұрлым жақсы (хакер үшін) - бұзудың сәтті болу ықтималдығы соғұрлым жоғары болады.

1. Қатал күш орнату

Прокси тізімі жүктелді; таңдау бағдарламасы веб-сервер шабуылды және сәйкесінше шабуылдың көзін (хостын) анықтамауы үшін проксиді автоматты түрде өзгертеді.

Құпиясөз/логин тіркесімдерінің сөздігі қосылған. Жіптердің саны орнатылды - бір уақытта қанша комбинацияны brute force тексереді. Қуатты компьютерИнтернеттің жоғары жылдамдығымен ол 120-200 ағынмен сенімді түрде күреседі (бұл оңтайлы мән). Бруттың жылдамдығы осы параметрге тікелей байланысты. Мысалы, тек 10 ағынды орнатсаңыз, таңдау өте баяу болады.

1. Қатал күшті іске қосу

Бағдарлама сәтті бұзу әрекеттерін түсіреді: ол бұзылған тіркелгілерді (пароль/логин) файлға сақтайды. Таңдау процедурасының ұзақтығы бірнеше сағаттан бірнеше күнге дейін созылады. Сонымен қатар, ол логин деректерінің жоғары криптографиялық тұрақтылығына немесе шабуылға ұшыраған тараптың басқа да қорғаныс шараларын орындауына байланысты әрқашан тиімді бола бермейді.

Дөрекі күштің түрлері

Жеке бұзу

Белгілі бір есептік жазбаны іздеу - әлеуметтік желіде, пошта қызметінде және т.б. Виртуалды байланыс арқылы немесе барысында шабуылдаушы сайтқа кіру үшін жәбірленушіден логин алады. Содан кейін ол brute-force әдісі арқылы парольді бұзады: ол веб-ресурстың мекенжайын және шығарылған логинді қатал күшпен көрсетеді, сөздікті қосады.

Мұндай бұзу мүмкіндігі, мысалы, бірдей XSS шабуылымен салыстырғанда төмен. Тіркелгі иесі қарапайым таңбалар комбинациясы бар 6-7 таңбадан тұратын құпия сөзді пайдаланса, сәтті болуы мүмкін. IN әйтпесе 12,15, 20 әріптен, сандардан және арнайы таңбалардан тұратын неғұрлым тұрақты нұсқаларды «ашу» үшін математикалық іздеу формуласының есептеулері негізінде ондаған және жүздеген жылдар қажет болады.

Брут/Чек

Бір пошта жәшіктерінің логиндері/парольдері бар дерекқор пошта қызметі(мысалы, mail.ru) немесе басқа. Ал прокси тізімі - түйінді бүркемелеу үшін (бастапқы бірнеше сұрауларбір IP мекенжайынан веб-негізделген электрондық пошта қызметтері шабуылды тез анықтайды).

Қарапайым опциялар тізімді көрсетеді кілт сөздер(әдетте, сайт атаулары) - ол хаттармен бұзылған пошта жәшіктерінен кіру деректерін іздейтін бағдарлар (мысалы: steampowered, worldoftanks, 4game, VK). Немесе белгілі бір интернет-ресурс.

Онлайн ойында, әлеуметтік желіде немесе форумда тіркелген пайдаланушы күткендей өзінің электрондық поштасын көрсетеді ( хат жәшігі). Веб-қызмет көрсетілген мекенжайға тіркелуді растау үшін кіру деректері мен сілтемесі бар хабарлама жібереді. Дәл осы әріптер олардан логиндер мен парольдерді алу үшін дөрекі күш іздейді.

«СТАРТ» түймесін басыңыз, сонда крекер дөрекі күш қолдана бастайды. Ол келесі алгоритм бойынша жұмыс істейді:

1. Логин/құпия сөзді дерекқордан электрондық поштаға жүктейді.
2. Қолжетімділікті тексереді немесе «тексереді» (автоматты түрде рұқсат береді): егер сіз тіркелгіңізге кіре алсаңыз, оған қоса жақсы бағандағы біреуі (бұл басқа жұмыс істейтін электрондық пошта табылғанын білдіреді) және оны көре бастайды (келесі абзацтарды қараңыз); егер қолжетімділік болмаса, оны нашар (нашар) күйге қояды.
3. Барлық «guds» (ашық электрондық пошталар) brute force әріптерді хакер орнатқан сұрауға сәйкес сканерлейді, яғни ол көрсетілген сайттар мен төлем жүйелеріне логиндерді/парольдерді іздейді.
4. Қажетті деректер табылған кезде оларды көшіріп, бөлек файлға енгізеді.

Осылайша, ондағандардан жүздегенге дейін шоттарды жаппай «ұрлау» орын алады. Шабуылдаушы алынған «трофейлерді» өз қалауы бойынша кәдеге жаратады - сату, айырбастау, деректерді жинау, ақшаны ұрлау.

Компьютерді қашықтан бұзу

Алу үшін басқа хакерлік құралдармен бірге қатал күш қолданылады қашықтан қол жеткізуИнтернет арнасы арқылы жәбірленушінің парольмен қорғалған компьютеріне.

Бұл шабуыл түрі келесі қадамдардан тұрады:

1. Пайдаланушы компьютерлеріне шабуыл жасалатын IP желілері үшін іздеу жүргізіледі. Мекенжай диапазондары арнайы деректер қорларынан немесе IP Geo сияқты арнайы бағдарламалар арқылы алынады. Онда сіз белгілі бір округ, аймақ және тіпті қала үшін IP желілерін таңдай аласыз.
2. Таңдалған IP диапазондары мен таңдау сөздіктері қашықтан кіру/құпия сөзді қолдану үшін арналған Lamescan brute force (немесе оның баламасы) параметрлерінде орнатылады. Іске қосылғаннан кейін Lamescan келесі әрекеттерді орындайды:

• көрсетілген диапазондағы әрбір IP-ге қосылуды жүзеге асырады;
• қосылымды орнатқаннан кейін ол 4899 порты арқылы хостқа (ДК) қосылуға тырысады (бірақ басқа опциялар болуы мүмкін);
• егер порт ашық болса: жүйеге кіру әрекеті, құпия сөз сұралғанда дөрекі күш қолдану; сәтті болса, ол хосттың (компьютердің) IP мекенжайын және оның дерекқорында кіру ақпаратын сақтайды.

1. Хакер қашықтағы компьютерлерді басқаруға арналған Radmin қызметтік бағдарламасын іске қосады. Жәбірленушінің желілік координаттарын (IP, логин және пароль) орнатады және жүйені толық бақылауға алады - жұмыс үстелі (крекердің компьютер дисплейінде визуалды түрде көрсетіледі), файл каталогтары, параметрлер.

Қауіпсіздікке арналған бағдарламалар

HASHCAT

2020 үшін ең бірі қуатты бағдарламалар brut үшін. 200-ден астам санау алгоритмдерін пайдаланады. WPA/WPA2 құпия сөздерін, сондай-ақ MS Office, PDF, 7-Zip, RAR, TrueCrypt құжаттарының құпия сөздерін бұзу үшін кеңінен қолданылады.

Классикалық дөрекі күш, ең алғашқылардың бірі. Соған қарамастан, ол өзектілігін жоғалтпайды және жаңа шешімдермен бәсекелеседі. Оның ақылды дөрекі күш алгоритмі бар және барлық негізгі Интернет протоколдарын қолдайды - TCP / IP, POP3, HTTP және т.б. Ол cookie файлдарын жалған жасай алады. Сөздікпен Brute және құпия сөздерді өздігінен жасаңыз.

Күшті brute-checker. Деректер базасымен жұмыс істеуге арналған функциялардың кеңейтілген арсеналымен жабдықталған (домендер бойынша тексеру, сұрыптау). Проксидің әртүрлі түрлерін қолдайды, олардың жұмысын тексереді. Пошта жәшіктерін күн, кілт сөз, мекенжай, оқылмаған хабарламалар. Mail.ru және Яндекс сайттарынан хаттарды жүктей алады.

ВК паролін табу үшін бағдарламаларды пайдалану келесі мақсаттарда қолданылады: спам және интрузивті жарнама жіберу үшін тіркелгіні ұрлау, мүдделі тұлғаның белгілі бір пайдаланушы туралы жеке ақпаратын алу, енгізу. жеке парақшақұпия сөзді қалпына келтіру мүмкіндігі болмаған жағдайда. «ВКонтакте» қолданушының парақшасында оның жеке деректері, жеке хабарламалары, фото, аудио және бейне материалдары сақталатыны ешкімге құпия емес. Құпиялық ақпараттың қорғалған болуы үшін жеке тіркелгіңізге құпия сөзді таңдаған кезде бар бұзу бағдарламаларын білуді басшылыққа алуыңыз керек. Бұл мақала оқырманды әлеуметтік желідегі бетті ұрлаудың ең танымал құралдарымен таныстыруға арналған.

ВКонтакте парақшасынан парольдерді таңдауға арналған бағдарламалар

«ВКонтакте» әлеуметтік желісінің миллиондаған пайдаланушылары бар және күн сайын бұл көрсеткіш өсіп келеді. Бұл көрсеткіштің артуы әзірлеушілерді қауіпсіздік жүйесін үнемі жетілдіруге мәжбүр етеді. Бұл парақтарды бұзуға деген қызығушылық желі пайдаланушыларының санына пропорционалды болуына байланысты. Жеке бетті бұзудың көптеген себептері болуы мүмкін және ол осы мақсаттар үшін әзірленген көп саныәртүрлі бағдарламалық қамтамасыз ету, функционалдығы мен бұзу әдісімен ерекшеленеді. Бұл таңбалардың бірегей комбинациясын таңдауға, Интернет арқылы әрекеттерді бақылауға арналған және т.б. бағдарламалар болуы мүмкін.

Парақшаңызды бұзудан қорғау үшін төменде ең көп танымал бағдарламаларжеке бетке қол жеткізу үшін, оны оқығаннан кейін қауіпсіздік үшін құпия сөзіңізді тексеруге немесе жүйеге кіру үшін жаңа бірегей кілтті жасауға болады. Егер сіз біреудің парақшасын бұзуды мақсат етсеңіз, қылмыстық кодекске сәйкес мұны есте сақтауыңыз керек Ресей Федерациясы (Қылмыстық кодекс 272-бап) бұл әрекетқылмыс болып табылады және қылмыстық жауаптылықта болады.

Онлайн құпия сөз генераторы

Бұл бұзу әдісін белгілі бір пайдаланушының (таныстың) жеке деректерін алғысы келетіндер пайдаланады.

Әдістің мәні мынада: логинді білу ( электрондық поштанемесе нөмір ұялы телефон) мүдделі тұлғаның шотынан кіру үшін кілтті алу ғана қалады. Таңдау екі жолмен жүзеге асырылады:

1. Қолмен санау. Көптеген әлеуметтік желі қолданушылары өздерінің қауіпсіздігіне аса мән бермейді және логин паролін жасау кезінде олар: тегі мен аты, лақап аты, туған күні, сүйікті нөмірі немесе күні және т.б. Мұндай бетті ондағы ақпаратты зерттеп немесе адамды жеке біліп, бұзу өте оңай.
2. Автоматты санау. Арнайы пайдалануды көздейді бағдарламалық өнім. Автоматты санауға арналған ең танымал сайт Онлайн құпия сөз генераторы. Бұл жүйенің мәні мынада: тегтердің көмегімен кілт сөздер жасалады, олардың негізінде пароль таңдалады. Айта кету керек, Online Generator тек тіркелгіні қалпына келтіру/бұзу үшін ғана емес, сонымен қатар әртүрлі енгізу үшін бірегей кілттерді жасау үшін де пайдаланылуы мүмкін. жеке шоттаржәне беттер.

vklom 3.1

Vklom 3.1 - белгілі ВКонтакте әлеуметтік желісіндегі пайдаланушының жеке бетіне қол жеткізуге арналған арнайы бағдарлама. Айта кету керек, бағдарлама басқа біреудің аккаунтын бұзбайды, тек жеке бетке кіру процесін имитациялайды. Оның басты ерекшелігі анық интерфейсжәне минимум жүйелік талаптар (Windows Vista, XP, 7, 8, 8.1, 10, Android үшін нұсқасы бар).

VK Hack 2.2

VK Hack 2.2 утилитасы көрсетілген тіркелгілер үшін жеке беттердің кілттерін тиімді таңдауға арналған. Бағдарламаның механизмі – берілген идентификатор үшін символдар комбинациясын өз негізінде таңдау. Бұл бағдарламаның тиімділігі 50%, таңдау уақыты бірнеше сағатты құрайды. Бағдарламаның ерекшелігі: қолжетімділік қосымша мүмкіндіктерлайктарды, жазылушыларды, сыйлықтарды және т.б.

Джон Рипер

Джон Риппер - осы тақырыптағы ең танымал бағдарламалық жасақтама. Утилитада ашық көзіжәне бірқатар дөрекі күш әдістері (дөрекі күш, сөздік арқылы таңдау және т.б.). Көбінесе ол Windows, MacOS және Linux, сондай-ақ Android жүйелерінде парольдердің күшін (тіркелгіні қорғау деңгейі) бағалау үшін қолданылады. Болмауы GUIтәжірибесі жоқ компьютер пайдаланушыларына бағдарламаны пайдалануды қиындатады.

aircrack-ng

Aircrack-ng — хакерлер Wi-Fi желісі арқылы жәбірленушінің жеке бетіне кіру және кіру кодын алу үшін пайдаланатын құрал. Бағдарламаның әрекеті хэшті ұстауға немесе PMS және PTW шабуылдары арқылы дайын құпия сөзді алуға негізделген. Aircrack-ng Windows, MacOS және Linux жүйелерінде жұмыс істейді. WPA2 шифрлау түрін пайдаланып, өзіңізді бұзақылықтың осы түрінен қорғай аласыз.

кемпірқосақ сынуы

RainbowCrack-тің басты артықшылығы - қажетті нәтиже алу жылдамдығын бірнеше есе арттыратын бұзуға арналған дайын кестелердің болуы. Утилита GPU көмегімен санау процесін жеделдету мүмкіндігін білдіреді ( GPU). RainbowCrack қолданбасын тек Windows және MacOS пайдаланушылары пайдалана алады.

THC гидрасы

THC Hydra - бұл ВКонтакте жеке парағына кіру формасының құпия сөзін «есептеуге» арналған консольдық қосымша және т.б. Хаттамаларды қолдайды: Astrisk, Cisco auth, AFP, HTTP, HTTP-Proxy, HTTPS-FORM-POST, IMAP, MySQL, Oracle SID, POSTGRES, TS2, SNMP v1+v2+v3, SOCKS5, RDP және т.б. Windows, Linux, Solaris, FreeBSD, QNX және OSX жүйелерінде құрастырылады. Бағдарламаның артықшылығы - оның жұмысының жылдамдығы және аттары/парольдері бар файлдардың болуы, ал оның негізгі кемшілігі - тәжірибесіз пайдаланушылар үшін күрделі интерфейс.

хэш мысық

Қоғамдық доменде кең таралған кросс-платформалық бағдарлама HashCat барған сайын танымал болып келеді. Ол бейне картаны да, сонымен қатар енгізу үшін кілтті таңдау үшін көп уақытты жеңді Орталық Есептеуіш Бөлім, сондай-ақ қолдау көрсететін шабуылдардың әсерлі тізімі: Bruteforce, сөздік, кестелер, маска және т.б. Wi-Fi желісі арқылы немесе WEB қолданбаларының хэштерінен құпия сөзді бұзу мүмкіндігін береді.

Ломбар

Crowbar — бағдарламалау тіліндегі сценарий PythonҚұпия сөздің қауіпсіздігін тексеру мүмкіндігін қамтамасыз ететін A. Оның негізгі айырмашылығы - пайдалану SSH-кез келген пайдалануға мүмкіндік беретін кілт(тер). жеке кілттербасқа SSH серверлеріне шабуыл жасау үшін ену сынағы кезінде алынған. Артықшылығы: сирек протоколдарға қолдау көрсету (VNC, OpenVPN және NLA). Windows, Linux және MacOS жүйелерінде құрастырылады.

coWPAtty

coWPAtty — интернеттегі сөздік/гибридті шабуыл құралы WPA/WPA2. Бұл өнім бағдарламалық құралмен қамтылған артқы жолжәне алдын ала есептелген PMK құжаты болған жағдайда, SSID үшін «жеделдетілген шабуыл» деп аталатын мүмкіндік береді. Айта кету керек, coWPAtty Джон Риппер сөздігіндегі «сөздік сөздерді» пайдалана алады.

Ерекшеліктер

Жоғарыда талқыланған бағдарламалық жасақтаманың кейбір айырмашылықтары бар, бірақ соларға әкеледі жалғыз нәтиже. Олардың барлығында келесі мүмкіндіктер бар:

• Құпия сөздерді санау жылдамдығы бағдарламаның өзінен гөрі хакердің ДК сипаттамаларына көбірек байланысты. Мысалы, Pentium II және III 2 млн/сек ретті санау жылдамдығын қамтамасыз етеді;
• 10-нан астам таңбадан тұратын жазба шифры қажет Көбірекаталған бағдарламалардың кез келгеніне арналған уақыт;
• Қол жетімділік әртүрлі жолдаршабуылдар және протоколдық қолдау.
• Бағдарламалық қамтамасыз етудің көпшілігі тегін және толығымен тегін.
• Блоктау мүмкін антивирустық бағдарламаларсенімді көзге қарамастан.

Мақалада тізім берілген ең жақсы бағдарламаларқұпия сөздерді бұзу, жұмыс істеу үшін әртүрлі түрлері операциялық жүйелер. Басқалармен қатар Aircrack, John the Ripper және THC Hydra сияқты бағдарламаларды сипаттайды - олардың барлығы Linux, WIndows және OS X жүйелерінде әртүрлі күрделіліктегі құпия сөздерді бұзуға теориялық қабілетті әртүрлі алгоритмдер мен протоколдарды пайдаланады. Сипаттама қарапайым бағдарламамен шектеледі. кіріспе турға арналған тізім. . Тізімге Windows және Linux платформаларында жұмыс істейтіндер ғана кіреді.

Кәсіби емес (мақала авторы өзін деп санайтын) бұзу процесі туралы не білуі керек? «Ұмытылған қалпына келтіру» немесе ұсталған пакеттерден құпия сөздерді жою процедурасын жалғастырмас бұрын кейбір нәрселер анық болуы керек:

Сұрақ «Құпия сөзді бұзу қанша уақытты алады?» бұл пішінде сіздегі әуесқойлықты ашады. Бұл Мәскеуден Владивостокқа қанша уақыт кететінін сұраумен бірдей. Жаяу? Ұшақпен? Қытай арқылы? Жауап болса да: 1 секундтан 100 000 жылға дейін. Шифрды шешуді «қол алысу» арқылы қабылдасаңыз, жұмыс aircrack-ngмаған комбинацияны бір рет берді:

• бір апталық жұмыстан кейін...
• біріктірілген графикалық процессоры және 4 ГБ жедел жады бар екі ядролы ноутбукте ...
• құпия сөз ТЕК 8 сандық таңбаны қамтығанына қарамастан

Джон Рипер, бір машинада жұмыс істеп тұрған, 5 күнде істен шықты. қарт адам жұмыс үстелі с 4 - Intel-skim 2,8 Борттағы ГГц ядролары, 6 ГБ жедел жады және Nvidia 660 Ti... үшін қол алысуды анықтадым, мен парольді көргенде үстелден тұруға да үлгермедім. Бұл тезірек және әлдеқайда үлкен көлемде жұмыс істеуге болады, бірақ табыстың жартысынан көбін бередіGTX 980мүлде жыбырламайды...

Ал мұның себебі бағдарлама емес. Сонымен, қолыңызда әлсіз аппараттық жинақ,елеулі нәтижеге сенбеңіз.

Құпия сөзді бұзу. Қандай әдістер бар?

Мақсатқа жетудің бірнеше жолы бар. Олардың ішінде:

• сөздік шабуылы (хакер пайдаланады арнайы файлбағдарлама таңдайтын символдық комбинациялардың дайын тізімімен)
• дөрекі күш шабуылы (пароль тіркесімі бағдарламамен жасалады)
• кемпірқосақ кестесіне шабуыл (пайдаланушы енгізген жарамды парольдердің хэштерін бұзу)

Мұнда ұсынылған бағдарламалар пайдаланылады әртүрлі опцияларшабуыл жасайды және автор таңдаған ерікті ретпен реттеледі. Бағдарламалармен жұмыс істеудің сипаттамасы сәйкес параграфтардағы сәйкес сілтемелерде пайда болады.

Құпия сөзді бұзуға арналған бағдарламалық құрал: Джон Риппер

Джон Рипер- мүмкін, ең танымал. Бағдарламалаудың басым тілі - C. Бағдарлама ақысыз (жұмсартылған нұсқада), бұзу процесіне бірнеше тәсілдерді қамтиды. Құпия сөз хэш түрлерін автоматты түрде анықтау мүмкіндігі оны этикалық бұзу құралдарының алдыңғы қатарына қояды. Басқа бұзу құралы сияқты Метасплоит, отбасының қауіпсіздік құралдарының тобына жатады Raspid7.

Қолдау көрсетілетін платформалар: Linux, Windows, Android, DOS және OS X

Құпия сөзді бұзуға арналған бағдарламалық құрал: OphCrack

Бағдарлама құпия сөздерді бұзатын жанкүйерлер арасында ең жиі қолданылатын қолданбаны тапты тіркелгі Windows. RainbowCrack сияқты, OphCrackқұпия сөз хэштерінен құнды комбинацияларды алу үшін кемпірқосақ кестелерімен жұмыс істейді. Жүйедегі әртүрлі көздерден әртүрлі пішімдегі құпия сөздерді алу мүмкіндігінің арқасында OphCrack бірнеше сәтте Windows құпия сөзін бұзу мүмкіндігімен танымал. Сағат физикалық қол жеткізужәбірленушінің компьютеріне Live ретінде DVD дискііз қалдырмайды. Ол екі нұсқада келеді, кеңейтілген және ақысыз (Windows кемпірқосақ кестелерінің қысқартылған мүмкіндіктері).

Өндірушінің веб-сайтынан

Хакерлік бағдарламаларқұпия сөздер: L0phtCrack

Алдыңғы сияқты, L0phtCrack оны тез жеңе алатындығымен танымал Windows құпия сөзі. Шабуылдардың кең ауқымын пайдаланады (гибридті, сөздік, дөрекі күш, кемпірқосақ кестелері), бірақ желіні иіскеу үшін де пайдаланылуы мүмкін. Негізінде алдыңғы бағдарламаның аналогы. Үстінде осы сәтТек 15 күндік сынақ нұсқасы бар.

Қолдау көрсетілетін платформалар: Windows

Өндірушінің веб-сайтынан L0phtCrack жүктеп алыңыз