Serangan brute force adalah metode coba-coba yang digunakan oleh program aplikasi untuk memecahkan kode informasi login dan kunci enkripsi untuk menggunakannya untuk mendapatkan akses tidak sah ke sistem. Cara paksa semacam ini adalah upaya praktis penjahat dunia maya ketimbang repot dengan strategi intelektual.
Sama seperti penjahat yang dapat membobol dan memecahkan brankas dengan mencoba banyak kemungkinan kombinasi, serangan paksa aplikasi mencoba semua kemungkinan kombinasi karakter secara berurutan. Penjahat dunia maya biasanya menggunakan serangan brute force untuk mendapatkan akses ke situs web, akun, atau jaringan. Mereka kemudian dapat menginstal malware, mematikan aplikasi web atau melakukan pelanggaran data.
Serangan brute force sederhana biasanya menggunakan alat otomatis untuk menebak semua kemungkinan kata sandi sampai input yang benar diidentifikasi. Ini adalah metode serangan lama tapi masih efektif untuk memecahkan kata sandi umum.
Berapa lama serangan brute force berlangsung dapat bervariasi. Brute-forcing dapat memecahkan kata sandi yang lemah dalam hitungan detik. Kata sandi yang kuat biasanya membutuhkan waktu berjam-jam atau berhari-hari.
Perusahaan dapat menggunakan kombinasi kata sandi yang rumit untuk memperpanjang waktu serangan, mengulur waktu untuk merespons, dan menggagalkan serangan dunia maya.
|
Baca juga: Riset ESET: 55 Miliar Serangan Brute Force dalam 4 Bulan |
Jenis-jenis serangan brute force
Berbagai jenis serangan brute force ada, seperti berikut ini:
- Pengisian kredensial terjadi setelah akun pengguna disusupi dan pelaku mencoba kombinasi nama pengguna dan kata sandi di beberapa sistem.
- Serangan brute-force terbalik dimulai dengan pelaku menggunakan kata sandi umum – atau sudah mengetahui kata sandi – terhadap beberapa nama pengguna atau file terenkripsi untuk mendapatkan akses jaringan dan data. Peretas kemudian akan mengikuti algoritme yang sama seperti serangan brute force biasa untuk menemukan nama pengguna yang benar.
- Serangan kamus adalah jenis serangan brute force lainnya, di mana semua kata dalam kamus diuji untuk menemukan kata sandi. Pelaku dapat menambah kata dengan angka, karakter, dan lainnya untuk memecahkan kata sandi yang lebih panjang.
- Bentuk serangan brute force tambahan mungkin mencoba dan menggunakan kata sandi yang paling umum digunakan, seperti “kata sandi”, “12345678” atau urutan numerik apa pun dan “qwerty”, sebelum mencoba kata sandi lain.
|
Baca juga: Serangan ICS/SCADA Ancam Sektor Energi dan Industri |
Cara terbaik untuk melindungi dari serangan brute force
Perusahaan dapat memperkuat keamanan siber terhadap serangan brute force dengan menggunakan strategi kombinasi, termasuk yang berikut:
- Meningkatkan kompleksitas kata sandi. Ini memperpanjang waktu yang diperlukan untuk mendekripsi kata sandi. Terapkan aturan pengelola kata sandi, seperti panjang frasa sandi minimum, penggunaan wajib karakter khusus, dll.
- Membatasi upaya login yang gagal. Lindungi sistem dan jaringan dengan menerapkan aturan yang mengunci pengguna untuk jangka waktu tertentu setelah upaya login berulang.
- Enkripsi dan hashing. Enkripsi 256-bit dan hash kata sandi secara eksponensial meningkatkan waktu dan daya komputasi yang diperlukan untuk serangan brute force. Dalam hashing kata sandi, string disimpan dalam database terpisah dan di-hash sehingga kombinasi kata sandi yang sama memiliki nilai hash yang berbeda.
- Menerapkan CAPTCHA. Ini mencegah penggunaan alat penyerang brute force, seperti John the Ripper, sambil tetap menjaga jaringan, sistem, dan situs web dapat diakses oleh manusia.
- Mengaktifkan otentikasi dua faktor. Ini adalah jenis otentikasi multifaktor yang menambahkan lapisan login tambahan.
|
Baca juga: Beragam Trik Serangan Email |
Serangan brute force yang pernah terjadi
Pada tahun 2009
Peretas menargetkan akun Yahoo menggunakan skrip peretas kata sandi otomatis pada aplikasi otentikasi berbasis layanan web Yahoo yang dianggap digunakan oleh penyedia layanan internet dan aplikasi web pihak ketiga.
Pada tahun 2015
Pelaku ancaman melanggar hampir 20.000 akun dengan melakukan jutaan upaya paksa otomatis untuk mengakses program hadiah aplikasi seluler Dunkin untuk DD Perks.
Pada tahun 2017
Penjahat keamanan siber menggunakan serangan brutal untuk mengakses jaringan internal Inggris dan Parlemen Skotlandia.
Pada tahun 2018
Pelaku brutal memecahkan kata sandi dan informasi sensitif jutaan penumpang maskapai Cathay Pacific.
Pada tahun 2018
Diketahui bahwa bug Firefox mengekspos kata sandi utama browser ke serangan brute-force terhadap hashing Secure Hash Algorithm 1 yang tidak mencukupi yang dibiarkan tidak diperbaiki selama hampir sembilan tahun.
Pada tahun 2021
Badan Keamanan Nasional memperingatkan serangan kata sandi brute-force yang diluncurkan dari cluster Kubernetes yang dibuat khusus oleh sebuah unit di dalam badan intelijen asing Rusia.
Pada tahun 2021
Peretas memperoleh akses ke lingkungan pengujian T-Mobile dan kemudian menggunakan serangan brute-force dan cara lain untuk meretas ke server TI lainnya, termasuk yang berisi data pelanggan.
|
Baca lainnya: |
