Brute Force: cosa sono e come violano le password

Nel 2013 il software GitHub è stato vittima dell’attacco Brute Force più grave mai verificatosi e a migliaia di utenti sono stati rubati password e credenziali di accesso.

Nel 2015 21 milioni di account della piattaforma TaoBao sono stati compromessi causando danni economici e d’immagine.

Ecco perché è molto importante conoscere questo tipo di attacco e saperlo prevenire con i giusti sistemi di sicurezza.

Cos’è un attacco Brute Force

Gli attacchi di tipo Brute Force, chiamati anche attacchi forza bruta, sono delle procedure per cercare di individuare una password o una chiave di sistema, sfruttando algoritmi e tecniche di cifratura.

È un metodo che procede per tentativi e che permette di provare tutte le possibili combinazioni di lettere, numeri e caratteri speciali esistenti, per arrivare a trovare quella corretta.
Per questo motivo un Brute Force è un attacco che richiede molto tempo e tantissimi sforzi e viene solitamente usato come ultima risorsa.

Perché una violazione di questo tipo vada a buon fine, è inoltre necessario che l’hacker che compie l’operazione – generalmente un cracker – sia molto abile e abbia a disposizione strumenti validi e adeguati.
Infine, è determinante la lunghezza e complessità della password: se la password è lunga, ben studiata e non banale, sarà molto più complesso individuarla rispetto a una combinazione comune e scontata.

Una violazione Brute Force è molto pericolosa, perché se si rivela efficace consente di rubare password e dati importanti, come credenziali di accesso di social network, e-commerce, conti correnti, server FTP e SSH, chiavi API e molto altro.
Rendendoci vulnerabili ed esponendo dati sensibili e informazioni preziose.

Come si esegue un attacco Brute Force

Quest’operazione viene eseguita da un software ed è strettamente connessa alla velocità di calcolo del computer che si ha a disposizione.

Si identifica la pagina di accesso a un sito Web e – tramite script o bot – si tenta di individuarne la password.
Non si segue nessun tipo di strategia logica e non si sfruttano conoscenze o informazioni pregresse per indovinare i caratteri utilizzati: semplicemente si provano tutte le combinazioni possibili e si aspetta finché non si trova quella giusta.

Un attacco a Forza Bruta, quindi, funziona grazie ad algoritmi e se la stringa bersaglio è particolarmente lunga e complessa, ci possono volere anche giorni o mesi – in certi casi addirittura anni – per poterla decifrare.
Per questo, a volte, si preferisce ricorrere ad altre tecniche come l’ingegneria sociale o gli attacchi Directory Traversal.

Il vantaggio di questo metodo è che è applicabile praticamente sempre e non ci sono chiavi di crittografia o sistemi basati su password che non possano essere decifrati. I tempi possono essere lunghissimi, ma prima o poi funziona.
Oltre ad essere sostanzialmente infallibile, un Brute Force è anche molto facile da lanciare.

Software e tool utilizzati

Per eseguire un Brute Force efficace è fondamentale disporre di strumenti che garantiscono potenza e affidabilità.

Vediamo quali sono i software più efficaci ed utilizzati.

• Hydra: è lo strumento forse più valido e conosciuto per sferrare attacchi Brute Force. È molto potente e si usa principalmente per decifrare servizi d’autenticazione remota. Può supportare più di cinquanta protocolli, tra cui http, https, telnet, ftp e smb.
  
• Hashcat: è uno degli strumenti più veloci in assoluto per decifrare e recuperare password. È gratuito ed è disponibile per Linux, OS X, e Windows. Il suo punto di forza è la capacità di sfruttare la potenza di calcolo non solo della CPU, ma anche dei processori grafici (GPU).
  
• JTR: è un software open source che può eseguire attacchi a Forza Bruta classici o a dizionario. Oltre a individuare password e dati, riesce a identificare in automatico anche il tipo di cifratura usato, detto hash. È disponibile per ogni sistema operativo – Windows, Linux e Mac Os – e si può scaricare gratuitamente o in una versione pro a pagamento.

Attacchi a dizionario: una variante innovativa

Oltre agli attacchi Brute Force classici, esistono quelli a dizionario: una variante sviluppata dagli hacker di nuova generazione che punta a ridurre i tempi di esecuzione.

Con questa tecnica si prova a decifrare password e codici basandosi su un determinato numero di stringhe già generate, che comprendono – per esempio – parole e combinazioni comuni.
Si sfrutta, quindi, un database di raccolta che viene utilizzato come fosse un dizionario.
In questo modo dovrebbe essere più facile individuare una password, ma non è comunque detto che l’attacco vada a buon fine.

Ciò su cui si fa leva è il fatto che gran parte degli utenti tendono a scegliere lo stesso tipo di criterio per decidere una password: si prediligono infatti date importanti, nomi di persone care, sequenze base di numeri (es. 12345678) o parole particolarmente significative.

Per gli attacchi a dizionario il software più utilizzato è Crunch, disponibile per Linux in diverse versioni.

Come proteggersi da un attacco Brute Force

La regola numero uno per proteggersi da un attacco Brute Force è scegliere sempre una buona password.

Non bisogna mai utilizzare parole facilmente riconducibili a noi ed è preferibile inventarne una che sia lunga almeno otto caratteri.
Si devono usare maiuscole e minuscole e optare sempre per qualche numero e carattere speciale.

Mai scegliere parole comuni ma scritte al contrario: è una tecnica molto diffusa e facilmente intuibile.

Se si è in difficoltà e si fatica a inventarne una efficace, si può ricorrere a un generatore di password. Ce ne sono molti disponibili online gratuitamente come Strong Password Generator, PC Tools Secure Password Generator e Password Savy.

Usando questi accorgimenti si allungheranno notevolmente i tempi di un attacco Brute Force, rendendo più improbabile che vada a buon fine.

Chi gestisce i sistemi di autorizzazione può inoltre decidere di bloccare gli indirizzi IP che hanno tentato l’accesso troppe volte risultando sospetti.
Ed è sempre consigliabile abilitare l’autenticazione a due fattori per ostacolare le violazioni.

Bisogna ricordarsi di non inserire mai password e credenziali di accesso in siti poco sicuri e non protetti da chiavi di crittografia forti: le pagine web sicure sono solitamente contrassegnate dal simbolo del lucchetto nella barra in alto.

Infine un buon espediente è cambiare regolarmente la password, preferibilmente ogni 2/3 mesi.