Cos’è un attacco “brute force” e come possiamo difenderci

Un tipo di cyberattacco noto come Brute force attack (attacco tramite forza bruta) è quello in cui gli autori cercano di scoprire tutte le possibili permutazioni e combinazioni provando ogni chiave del sistema e cercando la giusta combinazione di password e passphrase.

Brute Force Attack, il termine stesso dà l’impressione che gli assalti a forza bruta siano effettuati con un’eccessiva potenza per penetrare nei sistemi e ottenere informazioni personali.Non perché sia veloce, ma perché questo tipo di assalti ha in genere successo, questa tattica è ancora popolare tra gli hacker.

attacco brute force
Adobe Stock

Un attacco di tipo brte force in genere non è poi così efficace, ma spesso riesce ancora a portare a termine il lavoro. Permettetemi di dirvi una cosa importante: il tempo necessario per decifrare una password può variare da pochi minuti a qualche anno, a seconda della lunghezza della password e della sua difficoltà.

Per una guida sulla scelta di una password resistente ai diversi tipi di attacchi informatici più frequenti, oltre che per utilizzare al meglio e conservare in modo sicuro le nostre chiavi di accesso ai diversi servizi online che utilizziamo, corri a leggere il nostro articolo:
Come scegliere una password sicura e difficile da hackerare, da non perdere!

Quali sono le varie forme di attacchi informatici di tipo brute force

Gli aggressori sono sempre più tecnologicamente avanzati e impiegano un’ampia varietà di forme diverse di attacchi a forza bruta per violare i siti web.Andiamo avanti e analizziamoli.

Rainbow Table Attacks

Per entrare nel database e accedere alle password protette, viene utilizzata una tabella hash arcobaleno per scoprire l’output degli hash crittografici. Questi attacchi alla tabella non mirano direttamente alle password stesse, ma piuttosto agli algoritmi di hash utilizzati per crittografare le password .Ogni password ha un proprio hash distinto.

Dictionary Attacks

In questo tipo di attacco, l’aggressore sceglie un obiettivo e poi cerca di indovinare tutte le possibili combinazioni di password che corrispondono al nome utente dell’obiettivo. L’hacker deduce le password utilizzando un dizionario di parole uniche, caratteri unici, combinazioni di stringhe o sequenze numeriche.

Simple Brute Force Attacks

L’azione di trovare in modo automatico le password attraverso ripetuti tentativi viene eseguito dagli hacker utilizzando vari strumenti software e script. Questo tipo di attacco viene quindi effettuato attraverso l’uso dell’automazione. Con queste tecniche vengono scoperte semplici password, pin e altre forme di autenticazione.

Esempio di attacco che impiega solo la forza non raffinata

Quando si esegue un attacco brute force su un testo cifrato, l’hacker che tenta l’attacco proverà tutte le possibili chiavi nel tentativo di decifrare il testo cifrato.Anche una scelta casuale della metà delle chiavi porterà alla visualizzazione del testo originale (in chiaro), aumentando così la probabilità di successo dell’attacco.

Hybrid Brute Force Attacks

Gli attacchi ibridi di forza bruta vengono creati quando si combinano concetti esterni con quelli tradizionali. Gli attacchi con forza bruta ibrida utilizzano concetti interni ed esterni (ad esempio, dai dizionari) per cercare di indovinare le migliori permutazioni possibili delle password.

Reverse Brute Force Attacks

Gli hacker iniziano immediatamente a cercare il nome utente dopo aver scoperto una password trapelata, perché vogliono approfittare della situazione.

Provano a confrontare l’unica password conosciuta con un numero illimitato di nomi utente, con l’obiettivo di trovare un nome utente che corrisponda, in modo da poter penetrare nelle reti.

Credential Stuffing

In questo scenario, l’hacker è a conoscenza della combinazione di login e password e la utilizza per sfruttare vari siti web utilizzando le stesse credenziali. Tentano di ottenere l’accesso illegale a questi account effettuando richieste di accesso automatiche, che vengono effettuate tramite applicazioni web, utilizzando la combinazione di credenziali di accesso trapelate di cui dispongono.

Quali sono le motivazioni dietro gli attacchi informatici di tipo Brute Force

Gli hacker che riescono nell’impresa id compromettere un sistema informatico protetto tramite attacchi di tipo brute force meritano certo un elogio per la loro perseveranza, poiché hanno impiegato mesi, se non anni, prima di riuscire a portare a termine con successo un assalto brute force violando gli hash di crittografia o le password di sistema.

Ma perché restano in giro così a lungo? Quali sono le loro ragioni e cosa li spinge a continuare a resistere? Ovviamente, l’unica ragione è rappresentata dai grandi vantaggi offerti. Diamo un’occhiata più da vicino a questi vantaggi.

Sfruttare le Ads

Uno degli obiettivi di un hacker che utilizza la forza bruta per attaccare un sito web è quello di guadagnare denaro attraverso gli introiti pubblicitari. Questo è uno dei motivi per cui gli hacker utilizzano la forza bruta.

Alcuni dei loro obiettivi sono:

  • Impiantare annunci pubblicitari di spam su un sito web per guadagnare da ogni clic
  • Reindirizzare i visitatori ignari verso un sito web falso che contiene diversi annunci pubblicitari
  • Infettare il sito web con malware per ottenere dati allo scopo di venderli sul dark web

Furto di informazioni private

Gli hacker ottengono l’accesso alle credenziali bancarie e ad altre informazioni finanziarie per violare i conti personali e il diritto alla privacy degli utenti. In seguito, assumono l’identità dell’utente per rubare il suo denaro e le sue credenziali, che poi utilizzano per vendere beni rubati o per compiere altre aggressioni.

Inserire malware nei sistemi della vittima

Questi criminali informatici installano software dannoso, come spyware o malware, sui siti web che prendono di mira. In seguito, ingannano i clienti e li spingono a inserire le loro informazioni private creando un sito web speculare infestato da malware o reindirizzando gli utenti verso siti web noti per la diffusione di malware.

Invasione e dirottamento dei sistemi

A volte, questi hacker possono condurre attacchi enormi utilizzando reti di computer e altri dispositivi noti come botnet. Si tratta di un attacco molto simile a un DDoS, acronimo di distributed denial of service, diretto principalmente contro i meccanismi di protezione del sito web.

Danno reputazionale causato all’azienda

In alcuni casi, i malintenzionati, oltre a cercare di ottenere vantaggi finanziari, tentano di distruggere la reputazione di un’azienda inserendo foto o testi pornografici sul sito web aziendale. Questo non solo infanga la reputazione del sito web, ma costringe anche i proprietari del sito a rimuoverlo completamente da Internet.

Not your Keys, Not your crypto
Adobe Stock

Un esempio di attacco con brute force

Una password composta da un solo carattere e comprendente sia cifre che lettere richiede circa 62 combinazioni diverse per essere violata. Se una password è normale, sarà lunga almeno 8 caratteri e ci sono milioni di combinazioni possibili che devono essere provate prima che la password possa essere decifrata. Se stimiamo che ogni tentativo dura un secondo, negli anni passati un hacker avrebbe impiegato almeno 7 milioni di anni per decifrare una password di 8 caratteri.

Tuttavia, date le circostanze attuali, gli hacker sono in grado di decifrare lo stesso codice in pochi secondi utilizzando bot per brute force. Ciò è analogo alle prestazioni di un supercomputer, che richiede solo un secondo per provare un trilione di permutazioni diverse.

Per esempio: Secondo Imunify Security, il 24 luglio 2020 si è verificato un significativo attacco di forza bruta che ha portato al blocco di 15 milioni di richieste individuali.Secondo quanto riportato da Flashpoint, almeno un migliaio di siti web che operano su piattaforme Magento sono stati presi di mira da attacchi brute force con l’obiettivo di ottenere le credenziali delle carte di credito e installare malware.

Il funzionamento dell’attacco Brute Force:

  • In questo tipo di attacco, gli aggressori utilizzano dei bot per cercare di capire le possibili combinazioni di password.
  • Utilizzano un elenco standard di combinazioni e informazioni di login per indirizzare i loro bot verso i siti web che desiderano colpire.

Come viene attuato un attacco brute force contro una botnet

Un aggressore conduce un attacco manuale brute force sui dati delle credenziali o su altri login degli utenti, che potrebbero essere stati ottenuti attraverso il dark web o qualche altra violazione della sicurezza.

semplice tentativo di vincere con la forza eccessiva

Poiché gli aggressori sono tipicamente impazienti, utilizzano software o altre tattiche di forza bruta per ottenere diverse scelte per invadere il sito web piuttosto che affidarsi alle loro ipotesi, che potrebbero richiedere una quantità significativa di tempo. Questi strumenti consentono agli aggressori di provare una serie di combinazioni di password e ID di sessione diversi, consentendo loro di accedere al sito Web e ad altri programmi eventualmente installati.

Quali sono i migliori strumenti per eseguire attacchi brute force

  • Aircrack – ng
    Questo programma può operare su tutte le piattaforme, tra cui Windows, Linux, iOS e Android, e si introduce nelle reti utilizzando un dizionario di password. Aircrack-ng è l’acronimo di “Aircrack-ng Password Dictionary”.
  • John the Ripper
    Questa applicazione gratuita e open source per il recupero delle password è compatibile con quindici sistemi diversi ed è in grado di decifrare e recuperare le password.
  • Hashcat
    Hashcat è uno strumento potente e flessibile per l’hacking delle password che può essere usato per motivi non etici ed è compatibile sia con i sistemi operativi Linux che Windows. Questo programma fornisce all’hacker un’assistenza per portare a termine l’attacco tentando di anticipare e fare l’hash della password.
  • Ncrack
    Ncrack è un programma di cracking dell’autenticazione di rete rapido e facile da usare, che può essere eseguito su una varietà di sistemi diversi.

Quali sono i vantaggi e gli svantaggi degli attacchi di tipo brute force

Rispetto ad altri tipi di hacking, gli attacchi a forza bruta si distinguono per essere semplici ed efficaci. L’uso di attacchi a forza bruta consente di penetrare ogni password, nonché la chiave di crittografia e gli hash .I punti di forza sono attaccati brute force sono:

  • Non è affatto difficile portarli a termine.
    Perché gli aggressori dovrebbero darsi da fare per trovare porte secondarie quando potrebbero semplicemente sbloccare le porte anteriori e ottenere l’accesso alla rete. Rispetto ad altri metodi di hacking, l’uso degli attacchi brute force per penetrare negli account autentici è un processo molto semplice.
  • Strumenti semplici da usare
    L’uso di strumenti di attacco a forza bruta semplifica il processo di violazione di nomi utente e password, rendendo la procedura meno dispendiosa in termini di tempo e più conveniente.
  • Sfrutta le debolezze umane
    Il 51% del pubblico sceglie password facili da capire (123456, ad esempio, utilizzata da 23 milioni di titolari di account) e riutilizza la stessa password per diversi account.
    Per ottenere l’accesso illegale alle reti in modo più efficiente, l’automazione e gli script offrono un netto vantaggio competitivo.Il processo di violazione di una password può essere completato in pochi secondi con l’assistenza di bot e zombie.
  • Attacca direttamente gli anelli più deboli della catena
    I proprietari di siti web cercano anche strategie per negare gli attacchi brute force e per rimediare alle debolezze che questi attacchi sfruttano.

Quali sono i punti deboli degli attacchi brute force

Gli attacchi brute force, per quanto semplici da portare a termine, mostrano alcuni punti deboli:

  • Poiché gli attacchi brute force dipendono da password semplici e facili da indovinare, la stessa falla di sicurezza può essere risolta dal proprietario del sito web per evitare violazioni della rete e intrusioni.
  • Quando si effettua un monitoraggio persistente dei tentativi di accesso falliti da indirizzi IP simili, tali indirizzi possono essere inseriti in una lista nera per evitare ulteriori danni.
  • Quando viene implementata l’autenticazione a due fattori (2FA) o l’autenticazione a più fattori (MFA), questo approccio viene reso inefficace poiché, anche se la password viene violata, è impossibile per gli hacker superare i vari livelli di barriere di sicurezza e infiltrarsi nelle reti.
  • Questi attacchi possono talvolta richiedere molto tempo (potrebbero volerci anni prima che un attacco sia efficace) e una notevole quantità di strumenti e studi.
  • Questi attacchi possono essere indeboliti e persino evitati del tutto con l’aiuto dei meccanismi di protezione e dei consigli descritti di seguito.

Come possiamo evitare gli attacchi brute force

Gli attacchi con forza bruta o con password possono essere evitati attenendosi ad alcune semplici best practice.

  • Utilizzare pasword complesse
    Rendete le vostre password più lunghe e difficili da indovinare e utilizzate password uniche per ogni vostro account online. Crittografate queste password e utilizzate una tecnica crittografica nota come “salting the hash” per rendere estremamente difficile il successo della procedura di attacco.
  • Alterare regolarmente gli URL utilizzati per il login
    Mantenete una rotazione costante di URL di accesso unici per tutte le vostre applicazioni e servizi web per contrastare gli attacchi automatici di forza bruta.Limitazione dell’accesso.
    La suscettibilità degli account agli attacchi di forza bruta si riduce quando l’accesso a tali account è limitato. Questo attacco può essere sventato se gli account vengono bloccati dopo un certo numero di tentativi di accesso falliti e l’amministratore deve quindi sbloccarli manualmente. Ad esempio, l’account viene bloccato se l’utente effettua tre tentativi di accesso non riusciti e solo l’amministratore può sbloccarlo nuovamente.
  • Ritardi progressivi nei tentativi di login
    Mantenete un breve timer dopo ogni tentativo di accesso, in modo che il tentativo successivo possa essere effettuato solo dopo un certo periodo di tempo. Questo è particolarmente utile in situazioni in cui gli account sono bloccati per un certo periodo di tempo dopo ogni tentativo fallito. A causa del ritardo nel processo di contrattacco, l’attaccante è costretto a rivolgere la propria attenzione altrove.
  • Utilizzare l’MFA
    L’uso di autenticazioni a più fattori è un modo per fermare le violazioni delle password e prevenire attacchi come questo. Gli hacker spesso evitano questi accessi perché hanno bisogno di un ulteriore livello di protezione, come un’impronta digitale, una scansione del volto o una domanda di sicurezza, che deve essere superata prima di poter accedere all’account.
  • Utilizzare i CAPTCHA.
    È possibile impedire agli hacker di introdursi nelle reti utilizzando il CAPTCHA durante il processo di accesso. In questo modo si verifica che l’utente non sia un robot.Digitare immagini, catturare immagini o riconoscere oggetti sono tutti esempi di attività CAPTCHA.
    Ogni volta che un utente tenta di accedere una volta attivata l’opzione CAPTCHA, sarà sottoposto alla sua verifica.
  • Eliminare i vecchi account
    Perché lasciare una porta aperta a potenziali aggressori? Quando invadono le reti, spesso utilizzano account abbandonati o scaduti. Per evitare problemi causati dalla forza bruta, eliminate tutti gli account inutilizzati e i login precedentemente assegnati a lavoratori che hanno lasciato l’azienda.

Conclusioni

Si raccomanda di prendere precauzioni per garantire la sicurezza della rete e dei sistemi e di tenere d’occhio qualsiasi attività insolita sulle reti e sui dati che vi transitano.

Gli hacker con un alto livello di sofisticazione e competenza troveranno sempre un metodo per penetrare nelle reti. L’obiettivo finale di questi aggressori è quello di interrompere il servizio e rubare informazioni, ma se incontrano ostacoli lungo il loro percorso, possono cambiare marcia e puntare a un altro obiettivo.

È fondamentale eseguire le strategie preventive ed evitare di essere vittima di attacchi di forza bruta per poterli sconfiggere nel loro processo. Solo così sarà possibile sconfiggerli nella loro interezza.

L’utilizzo di password robuste e la loro cifratura con tecniche che impiegano 256 bit di crittografia rendono difficile per gli hacker decifrare le password.

Gestione cookie