هجمات القوة الغاشمة أو هجمات القوة العمياء كلاهما يشيران إلى مفهوم واحد، وهو تلك الهجمات الإلكترونية التي تستخدم أسلوب المحاولة والخطأ لتخمين البيانات الحساسة مثل بيانات الدخول للموقع. ولكي تنجح هذه الهجمات يجب أن يكن الهاكر على علم بأمرين، هما: خوارزمية التشفير والمفاتيح المحتملة لفك هذا التشفير.
الصورة أعلاه مأخوذة من صفحة تسجيل دخول الووردبريس على الخادم المحلي عندي، وهي نفس صفحة تسجيل الدخول الافتراضية لأي موقع ووردبريس. وفيها يمكن تسجيل الدخول باستخدام إما:
- اسم المستخدم وكلمة المرور.
- أو البريد الإلكتروني وكلمة المرور.
إذا افترضنا أن هذه الصفحة الخاصة بموقعي أونلاين، وهي أمامك الآن مفتوحة، فما الذي قد تفعله إذا أردت اختراق الحساب؟
الافتراض البسيط، أنك ستجرب.
ستحاول معرفة اسم المستخدم الخاص بي، والذي يمكنك معرفته بفتح أي مقال من مقالاتي والضغط على اسمي وسيفتح معك رابط صفحة الكاتب والذي يتكون من اسم المستخدم الصحيح، وفي حالتنا هنا هو admin.
أما بخصوص كلمة المرور، فستحاول تخمينها وتجرب، مثلا في التجربة الأولى ستكتب 123456789، وهنا ستكون النتيجة أحد أمرين:
- الأول أن صاحب الموقع سهّل الأمر عليك لأنه بالفعل استخدم كلمة مرور بسيطة جدًا وشائعة مثل الأرقام 123456789، فستنجح في الدخول للموقع من أول مرة؛ ليس لأنك أذكى هاكر، ولكن لأن صاحب الموقع لا يعرف أي شيء عن أساسيات الحماية.
- الثاني أن يكن لدى صاحب الموقع معرفة بأساسيات اختيار كلمة مرور قوية، وبالتالي ستفشل في المحاولة الأولى، وستظهر لك رسالة الخطأ التالية.
قد يمكنك كأي إنسان تجربة عدة كلمات مرور مختلفة، ولكن لن يمكنك تجربة 1000 كلمة مرور إلا إن جلست أمام الحاسوب عدة أيام محاولا فعلها، وسيكون أمر مجنون 🤪 صراحة أن تفعله؛ لأنه سيأخذ وقت طويل جدًا منك حتى تُجرب عدد قليل من كلمات المرور والنتيجة غير مضمونة؛ فقد تجرب آلاف الكلمات ولا تجد فيهم تطابق.
لكن لو تم استخدام برنامج أو أداة فيمكنها تخمين وتجربة آلاف من كلمات المرور في وقت أقل بكثير، فتخيل معي لو أن البرنامج يمكنه فتح نفس صفحة الدخول من أماكن مختلفة، ويجرب من كل مكان مجموعة من كلمات المرور، ألن يتمكن البرنامج وحده من تجربة الآلاف من كلمات المرور في وقت قياسي؟!
ما سبق من أفعال هو ملخص لما يحدث في الهجوم الأعمى أو الهجوم الغاشم brute force attack لأن المخترق في هذا الأسلوب يهجم من أكثر من مكان باستخدام أدوات معينة، تمكنه من تجربة عدد كبير من كلمات المرور، وسيظل يحاول حتى يصل أو ينتهي الهجوم دون فائدة أو ترده أنت.
بعد قراءتك لما سبق، ما هي الاستنتاجات الأولية البسيطة التي تحمي بها موقع الووردبريس الخاص بك من هجوم القوة الغاشمة؟
