Brute force, di cosa si tratta? Quali rischi comporta?

Parlando di brute force attack ci riferiamo ad un tentativo antiquato ma altrettanto efficace di condurre un attacco informatico.

Gli attacchi di bruce force riguardano per lo più la violazione di password di account per l’accesso a siti di e-commerce, per l’accesso a siti di home banking, web server, carte di credito e persino account e-mail.

Il metodo utilizzato da questo attacco informatico serve all’hacker per scoprire password e nome utente di accesso ad un sistema informatico.

Non solo, in realtà un hacker che sfrutta l’attacco di forza bruta ha potenzialmente accesso a tutto il contenuto (in termini di dati sensibili) dell’elemento violato.

Gli effetti di un attacco forza bruta sono difficilmente identificabili se i servizi attaccati non sono gestiti internamente dall’azienda. Ad ogni modo i siti web colpiti da brute force possono essere particolarmente lenti e discontinui nelle loro attività.

La logica di un attacco informatico brute force è semplice quanto apparentemente banale.

Per riuscire ad indovinare la password di accesso ad un sistema, l’hacker compie un’azione immediata. Il criminale tenterà di sfruttare tutte le combinazioni di:

• lettere
• caratteri
• numeri

finché non individua la combinazione giusta. Se eseguita da una sola persona questa operazione è sostanzialmente impossibile poiché richiederebbe tempo e capacità logiche che vanno oltre le possibilità umane.
Tuttavia, se ad eseguire l’operazione di forza bruta fosse una macchina o meglio ancora un software?

Ecco il mezzo che serve all’hacker per portare a compimento un attacco informatico di questa entità; più il software e l’hardware dell’hacker saranno potenti tanto più facilmente l’attacco andrà a buon fine.

Attualmente esiste una seconda modalità di attacco brute force che viene largamente sfruttata dagli hacker di nuova generazione. Si tratta dell’attacco brute force a dizionario. Il nome sembra simpatico, ma ricordiamoci che parliamo di cyber crime: i risultati sono a dir poco sconvolgenti.

L’attacco a dizionario condotto su un sistema ha comunque come obiettivo la violazione della password di accesso ma questa volta attraverso una nuova modalità. In questo caso, il software malevolo proverà a decifrare la password vagliando tutte le parole comuni che sono contenute in un database di raccolta.

Tenteremo di spiegarci meglio, i software utilizzati per questi attacchi hanno a disposizione un intero database di password comuni che durante un attacco brute force a dizionario vengono provate una ad una fino a quando non si riesce a trovare quella corretta.

Parliamo di migliaia di tentativi di accesso al minuto: un traffico esorbitante se paragonato a quello di un sito web di una piccola-media azienda.

Sappiate in cuor vostro, che le probabilità che un attacco di questo genere vada a buon fine sono elevate. Il software proverà diverse combinazioni ma le più comuni sono:

• nome.cognome
• nome dei famigliari
• date di nascita
• nomi dell’animale domestico

Uno dei software più utilizzati per creare i dizionari di brute force è Crunch.

Nel 2016, un hacker indiano ha dimostrato come fosse possibile effettuare un attacco brute force su Facebook. L’hacker era riuscito senza ricorrere a tecniche sopraffine a ottenere l’accesso all’account di un altro utente tramite un bug presente nel processo di richiesta nuova password.

Chiaramente, la casa madre di Facebook ha prontamente preso coscienza del problema e sviluppato una patch risolutiva in breve tempo.

Oggi la maggior parte dei social network adotta le migliori protezioni contro gli attacchi di forza bruta; ma siate comunque cauti, scegliete password complesse e più lunghe di 8 caratteri anche per accedere ai vostro profili social.

Le motivazioni nascoste dietro un attacco di forza bruta delle password sono innumerevoli e immediatamente percepibili.

Il mercato di password e dati sensibili giova al crimine informatico milioni di dollari ogni anno.

Pacchetti di indirizzi di posta elettronica, numeri di telefono, dati di carte di credito, accessi a home banking, accessi a siti web e e-commerce: questo e molto altro rientra nel mercato delle credenziali in vendita.  Le credenziali vengono vedute in appositi portali, nascosti alla maggior parte degli utenti.

Ecco, siamo arrivati al dunque. 

Se avrete letto l’intero articolo vi sarete resi conto di quanto sia davvero incredibile e strutturato un attacco di forza bruta delle password. Proteggersi dagli attacchi informatici non è solo possibile, è anche fattibile partendo da azioni che potete mettere in campo fin da subito. Per respingere la curiosità degli hacker senza ricorrere all’utilizzo di servizi e tecnologie cyber security potete adottare una tecnica immediata: adottare password più sicure.

Per questo semplice motivo ti consigliamo il nostro articolo; Sicurezza password aziendali: 5 consigli per renderle inviolabili

Infatti, pensate che solo nel 2016, le password più comuni utilizzate dagli utenti di tutto il mondo sono state: 12345, password, 12345678, 12345678 e 00000.

Riflettete. Prima ancora di chiamare un esperto in cyber security che vi protegga dai crimini informatici e dagli attacchi di forza bruta, cambiate le vostre password più insicure.

Quando accedete ad un portale di servizi e inserite le vostre credenziali di accesso (nella fattispecie, nome utente e password) state effettuando un’operazione di autenticazione.

Aldilà di inserire un gruppo di lettere e numeri combinati, state accertando la vostra identità: state dicendo ad un software, questo sono io e ne puoi essere sicuro perché questo nome utente e questa password sono solamente in mio possesso.

Capirete bene, che con queste premesse l’autenticazione merita un’adeguata attenzione da parte vostra. A tal proposito, OWASP indica le regole affinché gli utenti scelgano password sicure  inviolabili dall’esterno. Queste regole vengono definite OWASP password policy.

Le OWASP password policy sono regole per testare la resistenza di una password scelta

• Lunghezza minima di una password imposta deve essere di almeno 8 caratteri.
• Lunghezza massima di una password sarà di 64 caratteri: è importante impostare la lunghezza massima al fine di respingere attacchi di tipo Denial of Service (ma di questo ne parleremo in un altro articolo).
• Utilizza tutti i caratteri (inclusi gli spazi vuoti e caratteri speciali).
• Cambia regolarmente la password (noi consigliamo ogni 3 mesi).
• Conserva le tue password in un luogo sicuro possibilmente digitalizzato: utilizza i password manager.

Se il tuo tecnico informatico riuscisse a rilevare una serie di attacchi brute force al tuo sito internet aziendale una delle possibili soluzioni temporanee può essere il blocco degli IP riconosciuti estranei e garantire l’accesso all’area di amministrazione solamente ad un indirizzo affidabile.

In linea di massima, ogni caso è a sé, pertanto se dovessero verificarsi accessi indesiderati ad un portale web è bene avvisare immediatamente la tua azienda di sicurezza informatica di fiducia.

In questo articolo abbiamo potuto constatare la gravità di un attacco di forza bruta e ne abbiamo analizzato insieme le caratteristiche.

Sopratutto, speriamo di essere riusciti nell’intento di mettervi al corrente dei rischi che ogni giorno correte insieme alla vostra azienda.

Per evitare che qualsiasi utente indesiderato tenti di accedere ad un vostro server o persino al vostro e-commerce aziendale forzando le password di accesso vi consigliamo di contattare la nostra azienda per effettuare un’analisi di sicurezza del vostro sistema informatico.

Eseguire un Vulnerability Assessment sulla vostra rete vi permetterà di analizzare quali vulnerabilità di sicurezza sono presenti e come porvi rimedio.

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.