Kaba kuvvet saldırıları, bilgisayar korsanlarının taktik kitabındaki en eski numaralardan biridir, ancak yine de inanılmaz derecede etkili olmaya devam etmektedir. Birisinin yorulmadan kasanızdaki şifreyi tahmin etmeye çalıştığını hayal edin, tek bir kişi yerine her saniye milyonlarca kombinasyonu test eden güçlü bir algoritma var.
Bu makalede kaba kuvvet saldırılarının mekaniğinin, farklı türlerinin ve en önemlisi kaba kuvvet saldırılarının etkili bir şekilde nasıl önleneceğinin en ince ayrıntısına kadar ele alacağım. Sistemlerinizi güvence altına almanıza ve siber suçluları zekanızla alt etmenize yardımcı olacak temel stratejileri, platforma özel savunmaları ve gelişmiş araçları ele alacağız.
- Kaba Kuvvet Saldırısı Nedir?
- Kaba Kuvvet Saldırılarının Önlenmesine İlişkin En İyi Uygulamalar
- WordPress'te Kaba Kuvvet Saldırısını Önleme
- SSH Brute-Forcing'e Karşı Güvenlik
- Yaygın Olarak Kullanılan Kaba Kuvvet Saldırı Araçları ve Bunlarla Nasıl Mücadele Edilir?
- Son Düşünceler ve Gelişmiş Kaba Kuvvet Saldırısını Önleme Önlemleri
Kaba Kuvvet Saldırısı Nedir?
Bir web geliştiricisinin karşılaşabileceği en yaygın saldırılardan biri kaba kuvvet saldırısıdır. Saldırganların, doğru kombinasyonu bulana kadar her harf, sayı ve simge kombinasyonunu deneme yanılma yöntemiyle deneyen algoritmaları kullandığı yer burasıdır.
Bu tür bir saldırının zor yanı basitliği ve kalıcılığıdır; Parolalar herhangi bir güvenlik sisteminin önemli bir parçası olduğundan, kolayca keşfedilip engellenebilecek zekice bir hile veya özel bir boşluk yoktur.
Kaba kuvvet saldırıları seçici değildir; kişisel hesaplardan büyük kurumsal sistemlere kadar ellerine geçen her şeyi hedeflerler. Ancak bu saldırıların etkisi genellikle söz konusu platforma bağlıdır. Güvenliği ihlal edilmiş bir WordPress yönetici girişi, web sitelerinin tahrif edilmesi veya müşteri verilerinin çalınması anlamına gelebilir; SSH kaba kuvvet saldırısı ise bir şirketin tüm sunucu altyapısına yönelik baraj kapaklarını açabilir.
Bu saldırılar aynı zamanda itibara da zarar verir ve maliyetli kesintilere neden olur. E-Ticaret veya SaaS sağlayıcıları gibi çevrimiçi işlemlere dayanan işletmeler, ihlaller sırasında sıklıkla hem geliri hem de müşteri güvenini kaybeder. Küçük işletmelerin %60'ı büyük bir siber saldırıdan altı ay sonra yaklaşıyor, bu da size bu olayların ne kadar yıkıcı olabileceğini gösteriyor.
Ancak kaba kuvvet saldırılarının nasıl önleneceği hakkında konuşmadan önce, bunların nasıl çalıştığını ve saldırganların kullandığı farklı türde kaba kuvvet yöntemlerini bilmeniz gerekir.
Blog yazmaya başla
WordPress'inizi, dünya çapında NVMe depolama ve minimum gecikme süresine sahip üst düzey donanımda kendiniz barındırın; favori dağıtımınızı seçin.
WordPress VPS'yi edinin
Farklı Kaba Kuvvet Saldırısı Türleri
Kaba kuvvet saldırılarının çeşitli türleri vardır.
- Sözlük Saldırıları: "123456" veya "şifre" gibi sık kullanılan şifrelerin bir listesini tekrar tekrar deneyerek kolayca tahmin edilebilecek şifreleri hedefleyin.
- Kimlik Bilgisi Doldurma: Bilgisayar korsanları, birden fazla hesaba erişim sağlamak için geçmiş ihlallerden sızdırılan kullanıcı adı-şifre kombinasyonlarını kullanıyor.
- Ters Kaba Kuvvet Saldırıları: Bilinen bir şifreyle ("123456" veya "hoş geldiniz" gibi) başlamayı ve tek yemle balık tutmaya benzer şekilde, bir eşleşme bulmak için onu sayısız kullanıcı adıyla sistematik olarak kontrol etmeyi içerir.
- Gökkuşağı Masa Saldırıları: Karma değerleri parolalarla eşleyen önceden hesaplanmış tablolardan yararlanın; böylece, her karma değeri yerinde hesaplamadan, karma parolaların daha hızlı kırılmasına olanak sağlayın.
- Şifre Püskürtme: Tek bir hesabı birden fazla şifre tahminiyle bombalamak yerine, kilitlenmeleri tetiklemeden zayıf noktalardan yararlanmak için birkaç ortak şifre birçok kullanıcı adında test edilir.
- Çevrimiçi Kaba Kuvvet Saldırıları: Web siteleri ve uygulamalar gibi canlı sistemleri hedefleyin. Sunucularla etkileşime girerler ancak potansiyel kısıtlama veya hız sınırlamasıyla karşı karşıya kalabilirler, bu da onları daha yavaş ancak zayıf oturum açma formlarına karşı tehlikeli hale getirir.
- Çevrimdışı Kaba Kuvvet Saldırıları: Çalınan şifrelenmiş parolalar dosyası üzerinde gerçekleştirilerek, bilgisayar korsanlarının, güvenlik duvarları veya izleme sistemleri tarafından fark edilmeden, şifre çözme anahtarlarını makinelerinde yüksek hızda test etmelerine olanak tanır.
Bu saldırılar neden bu kadar yaygın? Sorunun büyük bir kısmı biziz. Araştırmalar gösteriyor ki İnsanların %65'i şifreleri birden fazla hesapta yeniden kullanın. Bu, bir hırsıza ana anahtar vermek gibidir; tek bir şifreye sahip olduklarında potansiyel olarak her şeyin kilidini açabilirler. Ve "qwerty" gibi şifrelerin her yıl favoriler arasında hâlâ üst sıralarda yer almasının da bir faydası yok.
Bu saldırıların ne kadar yaygın olduğunu ortaya koymak için işte bir istatistik: Tüm giriş denemelerinin %22,6'sı 2022'de e-ticaret web sitelerinde kaba kuvvet veya kimlik bilgisi doldurma saldırıları yaşandı. Bu neredeyse dört denemeden biri! Bu acımasız saldırılar nedeniyle işletmeler hileli satın almalar, müşteri verileri hırsızlığı ve büyük PR kabuslarıyla karşı karşıya kaldı.
Dahası, bilgisayar korsanları hedef site sayfalarının kapsamını belirler ve kaba kuvvet araçlarına sitenin özel parametre gereksinimlerine uyacak şekilde ince ayar yapar. Giriş sayfaları bariz hedeflerdir ancak CMS yönetici portalları da saldırganlar için popüler erişim noktalarıdır. Bunlar şunları içerir:
- WordPress: wp-admin ve wp-login.php gibi ortak giriş noktaları.
- Magento: /index.php ve yönetici panelleri gibi savunmasız yollar.
- Joomla!: Yönetici sayfası sık sık hedef tahtasıdır.
- vBülten: Admin cp gibi yönetici kontrol panelleri genellikle kendilerini artı işaretlerinde bulur.
İyi haber mi? Riskleri anlamak savaşın yarısıdır. İster bir WordPress sitesini, ister bir SSH sunucusunu ya da başka bir platformu güvence altına alıyor olun, güvenlik açıklarınızın nerede bulunduğunu bilmek, ilk etapta kaba kuvvet saldırılarını nasıl önleyeceğinizin ilk adımıdır.
Kaba Kuvvet Saldırılarının Önlenmesine İlişkin En İyi Uygulamalar
Kaba kuvvet saldırılarını durdurmak, sağduyu ve akıllı stratejilerin bir karışımını gerektirir. Bunu evinizdeki her kapıyı ve pencereyi kilitlemek ve her ihtimale karşı bir güvenlik sistemi eklemek olarak düşünün. Bu en iyi uygulamalar çoğu platformda işe yarar ve sistemlerinizi güvende tutmak için size güçlü bir temel sağlar ve kaba kuvvet saldırılarını önleme konusunda önemli adımlardır.
Güçlü, Benzersiz Şifreler Kullanın
Zayıf veya tekrar kullanılan şifreler kaba kuvvet saldırılarına açık bir davetiyedir. En az 12 karakter uzunluğunda, harf, sayı ve simgelerin karışımını içeren şifreler seçin ve öngörülebilir şifrelerden kaçının. A çalışma bulundu "123456" ve "şifre"nin 2022'de hâlâ en yaygın şifreler arasında yer aldığını söyledi.
Çok Faktörlü Kimlik Doğrulamayı (MFA) Uygulayın
MFA'da, bir bilgisayar korsanı şifrenizi tahmin etse bile, telefonunuza gönderilen tek seferlik kod gibi ek bir doğrulama adımına ihtiyaç duyar. Microsoft'a göreMFA, hesap ele geçirme saldırılarının %99,2'sinden fazlasını engeller. hakkındaki kılavuzumuza göz atın Windows 10'da İki Faktörlü Kimlik Doğrulama nasıl etkinleştirilir.
Hesap Kilitlemelerini Etkinleştir
Hesabı geçici olarak kilitlemeden önce başarısız oturum açma girişimlerini sınırlayın. Bu basit özellik, kaba kuvvet saldırılarını kendi yollarında durdurur.
Hız Sınırlamasını Ayarlama
Belirli bir zaman dilimi içerisinde oturum açma denemelerinin ne sıklıkta yapılabileceğini kısıtlayın. Örneğin, dakikada yalnızca beş denemeye izin vermek, kaba kuvvet saldırılarının olasılığını azaltabilir.
Olağandışı Etkinliği İzleyin ve Yanıtlayın
Kaba kuvvet girişimlerini erken yakalamak için izinsiz giriş tespit sistemleri (IDS) gibi araçları kullanın.
En iyi savunma katmanlıdır. Bu taktikleri birleştirmek ve kaba kuvvet saldırılarının nasıl durdurulacağını bilmek, saldırganların başarılı olmasını çok daha zorlaştırır. Daha sonra, bu ilkelerin, kaba kuvvet saldırılarının özellikle yaygın olduğu WordPress gibi belirli platformlara nasıl uygulanacağını keşfedeceğiz.
WordPress'te Kaba Kuvvet Saldırısını Önleme
WordPress siteleri hacker mıknatıslarıdır. Platformda milyonlarca web sitesinin çalıştığı göz önüne alındığında, saldırganlar güvenliği zayıf olan bir site bulma ihtimalinin kendi lehinde olduğunu biliyor. WordPress'e kaba kuvvet saldırılarının nasıl önleneceğini bilmek büyük fark yaratabilir ve bu düşündüğünüzden daha kolaydır.
Varsayılan Giriş URL'sini değiştirin
Bilgisayar korsanları varsayılan giriş sayfasını (/wp-admin veya /wp-login.php) hedefler. Özel bir URL'ye geçmek, ön kapıyı hareket ettirmek gibidir; saldırganların bulması çok daha zordur.
Güvenlik Eklentilerini Yükleyin
Wordfence ve Sucuri gibi eklentiler, CAPTCHA'lar, IP engelleme ve gerçek zamanlı izleme dahil olmak üzere güçlü kaba kuvvet saldırılarını önleme araçları sunar.
XML-RPC'yi devre dışı bırak
XML-RPC, bilgisayar korsanlarının oturum açma girişimleri için kullandığı bir ağ geçididir. WordPress sitelerinin sıklıkla karşılaştığı kaba kuvvet saldırılarına karşı savunmasızlığı azaltmak için bunu devre dışı bırakmak bir zorunluluktur.
Giriş Sayfalarına CAPTCHA Ekleme
CAPTCHA, otomatik kaba kuvvet araçlarını kapatarak yalnızca insanların oturum açabilmesini sağlar.
wp-config.php'yi güçlendirin
.htaccess veya sunucu kurallarını ayarlayarak sitenizin planı olan wp-config.php'ye erişimi kısıtlayın.
Düzenli Olarak Güncelle
Güncel olmayan eklentiler ve temalar saldırganlara açık kapılardır. Düzenli güncellemeler, bilinen güvenlik açıklarını düzelterek WordPress'in kaba kuvvet saldırısı risklerine karşı koruma sağlar. Bu, WordPress sitelerinin çok eğilimli olduğu kaba kuvvet saldırılarına karşı savunmanın anahtarıdır.
Bu adımlarla WordPress siteniz önemli ölçüde daha güvenli hale gelir. Daha sonra, kaba kuvvet saldırılarının sık sık hedefi olan SSH sunucularının güvenliğini sağlamayı ele alacağız.
SSH Brute-Forcing'e Karşı Güvenlik
SSH sunucuları krallığınızın dijital anahtarları gibidir, bu da onları bilgisayar korsanlarının ana hedefi haline getirir. SSH'ye yönelik kaba kuvvet saldırılarının nasıl önleneceğini bilmek sadece akıllıca değildir, aynı zamanda hassas sistemlerin korunması açısından da kritik öneme sahiptir.
SSH Anahtar Kimlik Doğrulamasını Kullan
Şifre tabanlı oturum açma işlemleri risklidir. SSH anahtar kimlik doğrulamasına geçiş Saldırganların yalnızca tahmin edilen parolaya değil, özel anahtarınıza da erişmesi gerektiğinden ekstra bir güvenlik katmanı ekler. Bu, SSH kaba kuvvet saldırılarının başarı oranını büyük ölçüde azaltır.
Kök Girişini Devre Dışı Bırak
Kök kullanıcı genellikle SSH kaba zorlamada ilk hedeftir. Doğrudan root girişini devre dışı bırakın ve sınırlı ayrıcalıklara sahip ayrı bir kullanıcı hesabı oluşturun. Bilgisayar korsanları hedefleyemedikleri şeyleri kaba kuvvetle uygulayamazlar.
UFW ve Fail2Ban'ı Ayarlama
UFW ve Fail2Ban gibi araçlar, başarısız oturum açma girişimlerini izler ve şüpheli davranışlar gösteren IP'leri engeller. SSH sunucularına yapılan kaba kuvvet saldırılarının nasıl durdurulacağına ilişkin en etkili savunmalardan biridir. İşte ayrıntılı rehberimiz UFW ve Fail2Ban nasıl kurulur, etkinleştirilir ve yönetilir.
Varsayılan Bağlantı Noktasını Değiştir
SSH varsayılan olarak 22 numaralı bağlantı noktasını kullanır ve bilgisayar korsanları bunu biliyor. SSH'yi standart olmayan bir bağlantı noktasına taşıma basit ama etkili bir belirsizlik katmanı ekler.
IP Beyaz Listesini Kullan
SSH erişimini belirli IP adresleriyle kısıtlayın. Bu, istenmeyen trafiği tamamen engelleyerek kaba kuvvet araçlarının başlatılmasını bile engeller.
Bu adımlarla SSH sunucunuz saldırılara karşı çok daha az savunmasız olacaktır. Artık kaba kuvvet saldırılarının nasıl önleneceğine dair yaygın uygulamaları ele aldığımıza göre, bu saldırganların kullandığı belirli araçlarla mücadele hakkında konuşalım.
Yaygın Olarak Kullanılan Kaba Kuvvet Saldırı Araçları ve Bunlarla Nasıl Mücadele Edilir?
Yukarıdaki uygulamalar kaba kuvvet saldırılarının önlenmesine önemli ölçüde yardımcı olsa da bunlar çoğunlukla kaba kuvvet saldırılarının nasıl önleneceğine ilişkin genel bilgilerdir; ancak olay şu ki, birçok saldırgan belirli birkaç araç kullanıyor ve bunlarla nasıl mücadele edileceğini bilmek çok önemli.
Wi-Fi Şifre Kırma Araçları
Aircrack-ng: WEP, WPA ve WPA2-PSK'ye sözlük saldırıları yoluyla Wi-Fi şifrelerini kırmaya yönelik, birden fazla platformda kullanılabilen çok yönlü bir araç.
- Azaltma: WPA3 şifrelemesini kullanın, uzun ve karmaşık parolalar oluşturun, MAC adresi filtrelemeyi etkinleştirin ve kablosuz izinsiz giriş tespit sistemlerini (WIDS) dağıtın.
Genel Şifre Kırma Araçları
Karındeşen John: Zayıf parolaları belirler ve kaba kuvvet veya sözlük saldırıları kullanarak bunları kırar; Windows ve Unix dahil 15'ten fazla platformu destekler.
- Azaltma: Güçlü parola politikaları uygulayın (minimum 12 karakter, yüksek karmaşıklık), tuzlu karmalar kullanın ve düzenli parola denetimleri ve rotasyonu gerçekleştirin.
Gökkuşağı Çatlağı: Parola kırmayı hızlandırmak için önceden hesaplanmış gökkuşağı tablolarından yararlanır ve hem Windows hem de Linux'u destekler.
- Azaltma: Rainbow tablolarını etkisiz hale getirmek için tuzlu karmaları kullanın ve bcrypt, Argon2 veya script gibi karma algoritmaları uygulayın.
L0phtCrack: Karma çıkarma ve ağ izleme gibi gelişmiş özellikleri desteklerken sözlük, kaba kuvvet, hibrit saldırılar ve gökkuşağı tablolarını kullanarak Windows şifrelerini kırar.
- Azaltma: Başarısız denemelerden sonra hesapları kilitleyin, daha güçlü entropi için parolalar kullanın ve çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
: Yerleşik gökkuşağı tablolarını kullanarak LM karmaları aracılığıyla Windows şifrelerini kırmaya odaklanır ve genellikle birkaç dakika içinde tamamlanır.
- Azaltma: LM karmalarına dayanmayan sistemlere (örneğin, Windows 10+) yükseltin, uzun, karmaşık parolalar kullanın ve SMBv1'i devre dışı bırakın.
Gelişmiş ve Çok Amaçlı Şifre Araçları
Hashcat: Kaba kuvvet, sözlük ve hibrit gibi çeşitli karmaları ve saldırıları destekleyen GPU hızlandırmalı bir araç.
- Azaltma: Güçlü parola politikaları uygulayın, karma dosyalarını güvenli bir şekilde saklayın ve hassas verileri güçlü anahtarlarla şifreleyin.
DaveGrohl: Dağıtılmış kaba kuvvet ve sözlük saldırılarını destekleyen Mac OS X'e özel araç.
- Azaltma: Mac OS X sistemlerini denetleyin, parola dosyası erişimini kısıtlayın ve çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
Ağ Kimlik Doğrulaması ve Protokol Araçları
Ncrack: Çeşitli platformlarda RDP, SSH ve FTP gibi ağ kimlik doğrulama protokollerini kırar.
- Azaltma: Ağa yönelik hizmetlere erişimi güvenlik duvarları aracılığıyla kısıtlayın, birden fazla başarısız oturum açma denemesinden sonra IP tabanlı engellemeyi zorunlu kılın ve kritik hizmetler için varsayılan olmayan bağlantı noktalarını kullanın.
THC Hidra: Telnet, FTP ve HTTP(S) dahil 30'dan fazla protokole sözlük tabanlı kaba kuvvet saldırıları gerçekleştirir.
- Azaltma: Yeniden denemeleri sınırlamak, şifrelenmiş protokolleri (ör. FTPS, HTTPS) kullanmak ve güvenli erişim için MFA'yı zorunlu kılmak için CAPTCHA'yı veya diğer mekanizmaları zorunlu kılın
Web, Alt Alanlar ve CMS için Özel Araçlar
Gobuster: Web penetrasyon testinde kaba zorlama alt alanları ve dizinleri için idealdir.
- Azaltma: Web uygulaması güvenlik duvarlarını (WAF'ler) kullanın, hassas dizinlere erişimi kısıtlayın ve varsayılan dosya yapılarını gizleyin veya karmaşık hale getirin.
Araştırma: Güvenlik testi sırasında gizli web yollarını ve dizinleri keşfeder.
- Azaltma: Erişimi kısıtlamak, kullanılmayan dizinleri kaldırmak ve hassas web yollarını güvence altına almak için .htaccess veya sunucu kurallarını kullanın
Geğirme Süiti: Kaba kuvvet ve güvenlik açığı tarama özelliklerine sahip eksiksiz bir web güvenliği test paketi.
- Azaltma: Düzenli olarak web uygulamalarına yama yapın, sızma testleri yapın ve anormal kaba kuvvet faaliyetlerini izleyin.
CMSeek: Test sırasında CMS güvenlik açıklarını keşfetmeye ve bunlardan yararlanmaya odaklanır.
- Azaltma: Koruyucu eklentilerle CMS platformlarını güncel tutun, yapılandırmaları güvenli hale getirin ve kaba kuvvet girişimlerini sınırlayın.
Token, Sosyal Medya ve Çeşitli Araçlar
JWT Kraker: Test amacıyla JSON Web Belirteçlerini kırma konusunda uzmanlaşmıştır.
- Azaltma: JWT imzalama için uzun, güvenli anahtarlar kullanın, kısa belirteç geçerlilik süreleri uygulayın ve zayıf veya imzasız algoritmaları reddedin.
Sosyal Kutu: Sosyal medya hesabının kaba kuvvet testi için kullanılır.
- Azaltma: Başarısız denemelerden sonra hesabın kilitlenmesini etkinleştirin, iki faktörlü kimlik doğrulamayı zorunlu kılın ve kullanıcıları kimlik avı konusunda eğitin.
Tahmin: Kaba kuvvet saldırıları için özelleştirilmiş kelime listeleri oluşturmaya yönelik bir sözlük oluşturucu.
- Azaltma: Kimlik bilgisi sızıntılarını izleyin, zayıf varsayılan şifreler kullanmaktan kaçının ve güvenlik için sürekli denetimleri zorunlu kılın.
Patator: Çeşitli protokolleri ve yöntemleri destekleyen çok amaçlı bir kaba kuvvet aracı.
- Azaltma: Saldırganları yavaşlatmak için hız sınırlama, özel hata mesajları ve güçlü hesap kilitleme mekanizmaları uygulayın.
Ağ izleyicisi: Kaba kuvvet ve diğer değerlendirmeler de dahil olmak üzere penetrasyon testi görevlerini otomatikleştirir.
- Azaltma: Ağ günlüklerini düzenli olarak izleyin, test kimlik bilgilerini izole edin ve sızma araçlarının güvenli bir şekilde yönetildiğinden emin olun.
Son Düşünceler ve Gelişmiş Kaba Kuvvet Saldırısını Önleme Önlemleri
Davranış analizi yazılımı, bal küpleri ve IP itibar engelleyicileri gibi gelişmiş araçlar, tehditleri daha ortaya çıkmadan önce tespit edip durdurabilir. Bu proaktif önlemler, çok sağlam bir savunma oluşturmak için çok faktörlü kimlik doğrulama ve güçlü parolalar gibi temel önlemlerle birlikte çalışır.
Kaba kuvvet saldırılarının nasıl önleneceğini öğrenmek, uzun vadeli düşünmek anlamına gelir. Akıllı stratejileri kaba kuvvet saldırısı önleme araçlarıyla eşleştirmek, sistemlerinizi en ısrarcı saldırganlardan bile korumanıza yardımcı olur. Keskin kalın, uyarlanabilir kalın ve siber güvenliğe geleceğinize bir yatırım olarak bakın.
