Definizione attacco a forza bruta
Un attacco a forza bruta vede un utente malintenzionato ripetutamente e sistematicamente l’invio di diversi nomi utente e password nel tentativo di indovinare le credenziali correttamente. Questo approccio di prova ed errore semplice ma intensivo di risorse viene solitamente eseguito utilizzando strumenti automatici, script o bot che eseguono ogni combinazione possibile fino a quando non viene concesso l’accesso.,
“Questo è un vecchio metodo di attacco, ma è ancora efficace e popolare tra gli hacker”, afferma David Emm, principal security researcher di Kaspersky. “Gli attacchi a forza bruta sono spesso utilizzati per indirizzare i dispositivi su reti remote per ottenere informazioni personali come password, passphrase, nomi utente e numeri di identificazione personale (PIN).,”
Tuttavia, più lunga è la password e più forte è la crittografia sulle credenziali salvate, la quantità di tempo e potenza di calcolo necessaria, quindi è possibile per le organizzazioni di diminuire l’efficienza dell’attacco al punto è quasi impossibile per gli aggressori di eseguire con successo.
Nel 2017 sia il Parlamento britannico che quello scozzese sono stati vittime di attacchi a forza bruta, mentre un attacco simile ma infruttuoso si è verificato al Parlamento nordirlandese un anno dopo., La compagnia aerea Cathay Pacific subisce un attacco di forza bruta un anno dopo per il quale è stata multata £500.000 dal regolatore dei dati del Regno Unito a causa della mancanza di misure preventive sufficienti. Servizio di blocco degli annunci Ad Guard ha anche forzato un reset di tutte le password degli utenti dopo aver subito un attacco a forza bruta.
Come funzionano gli attacchi a forza bruta
Gli attacchi a forza bruta sono spesso eseguiti da script o bot che prendono di mira la pagina di accesso di un sito Web o di un’applicazione. Essi ciclo attraverso ogni possibile chiave o password., Le applicazioni più comuni includono password di cracking su siti Web o applicazioni, chiavi di crittografia o API e accessi SSH.
Un attacco di cracking della password è solo un passo nella catena di uccisione di un attaccante, secondo Emm. Può essere utilizzato per accedere a account utente, e-mail, bancari o SaaS o per compromettere le API o qualsiasi altro servizio che richiede un login e credenziali.
Da lì l’attaccante può eseguire il loro obiettivo previsto. ” Un attacco a forza bruta di successo offre ai criminali informatici l’accesso remoto al computer di destinazione nella rete”, spiega Emm., “L’obiettivo principale di questi aggressori è ottenere informazioni personali che possono essere utilizzate per accedere agli account online e alle risorse di rete. Da lì, questi possono essere utilizzati per inviare link di phishing, diffondere contenuti falsi, o anche raccogliere le credenziali per vendere a terzi.”
” Il processo di indovinare una password per un sito specifico può essere un compito laborioso e dispendioso in termini di tempo, quindi gli hacker hanno sviluppato strumenti per aiutare a fare il lavoro più velocemente”, afferma Emm., “Sono disponibili anche strumenti automatici per aiutare con attacchi a forza bruta, con nomi come Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng e Rainbow.”
” Molti possono trovare una singola parola password dizionario entro un secondo. Strumenti come questi funzionano contro molti protocolli di computer (come FTP, MySQL, SMPT e Telnet) e consentono agli hacker di crackare modem wireless, identificare password deboli, decifrare le password nella memoria crittografata e tradurre le parole in leetspeak; ‘don’thackme’ diventa ‘d0n7H4cKm3’, per esempio.,”
Il successo di un attacco a forza bruta viene misurato nel tempo necessario per decifrare correttamente una password. Con l’aumentare della lunghezza di una password, il tempo necessario per decifrarla aumenta in modo esponenziale. Secondo Cloudflare, una password di sette caratteri sarebbe, ad una velocità di 15 milioni di tentativi chiave al secondo, prendere 9 minuti per rompere. Una password di 13 caratteri richiederebbe oltre 350.000 anni.
Allo stesso modo, più lunga è una chiave di crittografia, più tempo e risorse sono necessarie per superarla con la forza bruta., Una chiave di crittografia a 128 bit ha 2128 combinazioni possibili, mentre con la crittografia a 256 bit, un utente malintenzionato dovrebbe provare 2256 combinazioni. Con la tecnologia attuale che richiederebbe trilioni di anni per indovinarli tutti.
“A seconda della lunghezza e della complessità della password, il cracking può richiedere da pochi secondi a molti anni”, afferma Emm. “In effetti, IBM riporta che alcuni hacker prendono di mira gli stessi sistemi ogni giorno per mesi e talvolta anche anni.,”
Anche se gli aggressori utilizzano unità di elaborazione grafica (GPU), che possono accelerare in modo significativo il numero di combinazioni tentate al secondo, aumentando la complessità delle password e l’utilizzo di crittografia forte può rendere il tempo necessario per decifrare una password al di là di qualsiasi cosa fattibile.
Tipi di attacchi a forza bruta
Attacchi a forza bruta tradizionali: un attaccante tenta ogni combinazione possibile.
Attacchi a forza bruta inversa: un piccolo numero di password comuni viene ripetutamente provato contro molti account.,
Credential stuffing: un attacco tenta di utilizzare nomi utente e password rubati da siti o servizi per dirottare account su altri servizi e applicazioni.
Attacchi al dizionario: un attacco scorre le parole di un dizionario o le password comuni di altre violazioni dei dati.
Rainbow table attacks: utilizzando un dizionario pre-calcolato delle password in chiaro e dei relativi valori hash corrispondenti, gli aggressori determinano le password invertendo la funzione di hashing.,
Il lavoro remoto aumenta gli attacchi a forza bruta
Secondo il Data Breach Investigations Report 2020 di Verizon, meno del 20% delle violazioni all’interno delle PMI comportano la forza bruta e meno del 10% per le grandi organizzazioni. Questa tendenza era rimasta in gran parte invariata dalle iterazioni 2019 e 2018 del rapporto, ma la pandemia di coronavirus potrebbe aver cambiato il panorama.
“A seguito della pandemia di COVID-19, le aziende di tutto il mondo hanno adottato politiche di lavoro a distanza, che ha avuto un impatto diretto sul panorama della minaccia informatica”, afferma Emm di Kaspersky., “A seguito della transizione di massa al lavoro a casa, i criminali informatici hanno logicamente concluso che il numero di server RDP mal configurati aumenterebbe, quindi l’aumento degli attacchi.”
” Dall’inizio di marzo, il numero di Bruteforce.Generico.Gli attacchi RDP sono aumentati vertiginosamente in tutto il mondo e gli attacchi alle infrastrutture di accesso remoto difficilmente si fermeranno in tempi brevi, dato il numero di risorse aziendali ora messe a disposizione dei lavoratori remoti.,”
Come proteggere contro i brute-force attack
Mentre non una tecnica è infallibile contro un attacco di forza bruta, le organizzazioni possono prendere molte misure che richiedono più tempo e risorse di calcolo per l’attacco, rendere la vostra azienda un meno attraente destinazione:
- Utilizzare password lunghe e complesse che sono criptati (idealmente con crittografia a 256-bit).
- Sale gli hash delle password., Emm consiglia che le stringhe devono essere memorizzate in un database separato e recuperati e aggiunti alla password prima che sia hash in modo che i dipendenti con la stessa password hanno hash diversi.
- Avere una buona politica di messaggistica password per i dipendenti in tutto la complessità delle password e il riutilizzo delle password su più account.
- Limita i tentativi di accesso durante un determinato periodo di tempo o richiede un reset dopo un certo numero di tentativi errati.
- Rate-limitare il tempo necessario per autenticare una password.
- Abilita s.
- Abilita l’autenticazione a più fattori dove possibile.,
- Considerare l’utilizzo di un gestore di password