Защищая от атаки «Грубая сила»
Атака пароля грубой силой отличается особенной агрессивностью и в случае успеха приводит к полной потере контроля над данными.
Попытка входа неудачна
— У нас Свиридова, менеджер по продажам, не может на сервер зайти, — пришло сообщение в мессенджере от Антона.

Антон — наше контактное лицо в компании заказчика. Когда дело не касается рабочего стола пользователя, мы общаемся с ним.

Такой подход вносит ясность: пользователи знают к кому обращаться, а Антон знает у кого просить помощи. Он занимается разными задачами бизнеса — разрабатывает сайт, тестирует, работает с подрядчиками.

Мы работаем вместе неделю и уже успели сработаться.

— Что пишет компьютер? — спрашивает Али.
Антон кидает в чат скрин. На нем красными буквами написано, что попытка входа неудачна.
Понимай, как знаешь, но Али знает, что проблема в учетной записи.

— Сейчас свяжусь с ней, — отвечает Али.

Спустя несколько минут Али напишет мне.

— Тут какая-то странная проблема — Свиридову на сервер не пускает. У нее учётка была заблокирована, будто она пароль неправильно ввела. Я разблокировал, она зашла, а потом смотрю — она снова заблокирована. Не знаешь, что может быть?

Блокировка вместо взлома

— Хм… Давай логи посмотрим. Там должно быть видно, что происходит.

Мы смотрим логи. Видны десятки неудачных попыток входа в секунду с разных IP адресов.

— Откуда все эти входы?! — Али хочет знать, кто доставил столько хлопот.

Видим Европу и Азию. Наш клиент — успешный интернет-магазин с несколькими филиалами по стране, но не за рубежом.

— Сервер ломают. Подбирают пароль. Такой способ взлома называют «Грубая сила», — говорю я.

— Ого! — удивляется Али. Он впервые столкнулся с настоящей атакой.

Мы недавно начали работать с этим заказчиком. В первые дни мы включили блокировку учетных записей при 5 неправильных вводах пароля.
Блокировка не дает злоумышленнику подбирать пароль бесконечно и защищает сервер от взлома.
Теперь оказалось, что не зря. Кто-то подбирал пароль к учетным записям с простыми логинами типа cashier, accountant, boss и другим. Многих учетных записей не было на сервере, но один логин подобрали верно.

— Видишь, куча оповещений с отказами во входе логин remote1? Это же Свиридова, верно? — спрашиваю я.

— Ага, — подтверждает Али.

Популярное английское слово оказалось в списке логинов взломщика. Он упорно пытался войти, используя его.

— Как поступим? — озадачился Али.

Хакеры-студенты и простые роботы
Первым делом мы изменили логин remote1 на другой, непопулярный. Так мы убрали симптом. Успешный подбор логина — полдела во взломе «грубой силой».

Дальше мы убрали причину, изменив стандартные настройки подключения к серверу.

Атака прекратилась. Злоумышленник мог вычислить новые настройки подключения и продолжить атаку, но этого не случилось ни в тот день, ни на следующий, ни спустя неделю.

Зачастую атаки грубой силой проводят хакеры-студенты с помощью простых роботов, которые работают автоматически. Они не гонятся за конкретным сервером. Им подходит любой. Им легче переключится на другой плохо настроенный, чем бороться за тот, который уже защищают.
Мы победили. Робот ушел искать незащищенные серверы, оставив сервер клиента в покое.
Успех атаки «Грубой силой» зависит от элементарных правил безопасности на сервере. Защита от этого типа угрозы входит в наш стандартный план обслуживания серверов. Это первое, что мы проверяем, когда начинаем работать. И это один из параметров, которые мы отслеживаем постоянно.

Как думаете, прямо сейчас человек, мнящий себя злобным хакером, не пытается взломать ваш сервер?

Анатолий Серёгин,
основатель «Толк Ай Ти»

Фото из моего личного архива.