Brute force: veja tudo o que você precisa saber!

Os ataques de força bruta (brute force) são uma ocorrência comum na Internet há muito tempo. Inclusive, ataques em grande escala mostraram uma tendência ascendente nos últimos tempos. Além disso, a taxa de sucesso de um ataque de força bruta também é alta.

Veja também tudo o que você precisa saber sobre crimes virtuais!

A principal razão pela qual os ataques de força bruta funcionam é que as pessoas usam senhas fracas que não são difíceis de adivinhar. Portanto, neste artigo, vamos cobrir todo o terreno sobre ataques de força bruta e como você pode evitá-los. Confira:

O que é um ataque de força bruta (brute force)?

Um ataque de força bruta é um método experimental de quebrar o nome de usuário, senha ou PIN de outra pessoa em um site. Dessa forma, ele envolve experimentar diferentes combinações de senha até encontrar a correta e obter acesso à conta de outro usuário.

Parece pouco prático, certo?

As senhas atuais têm pelo menos 8 caracteres e geralmente contêm maiúsculas e minúsculas, junto com números e símbolos. Se você fizer as contas, verá que há um milhão de combinações a mais que é preciso tentar para conseguir uma senha. Então, como um hacker pode tentar quebrar uma senha em sua vida? Bem, eles não fazem isso manualmente.

Um hacker executará um script ou código, ou usará um bot que continuará tentando combinações até encontrar a correta. Dessa forma, a única diferença é que os bots podem receber configurações para adivinhar muito mais rápido. E assim, um hacker pode facilmente quebrar uma senha dentro de 6 horas após a execução do código.

Portanto, se os usuários definem senhas fracas, pode acontecer do software automatizado adivinhar ela em segundos. Além disso, o tempo que leva para quebrar uma senha depende dos recursos disponíveis com o hacker, do poder do código que ele executa e do nível de segurança da conta que ele está tentando acessar.

Levando esses fatores em consideração, pode levar algumas horas ou às vezes dias e semanas para encontrar a senha correta. Mas a história é evidência suficiente de que a taxa de sucesso de um ataque de força bruta é alta.

Quais os tipos de ataques de força bruta (brute force)?

Ataque de dicionário

Este tipo de ataque usa uma certa lista ou “dicionário” de senhas comuns. Dessa forma, ele não tenta cegamente combinações diferentes de todos os caracteres que podem ser úteis ??em uma senha. Em vez disso, as senhas possíveis são listadas (como palavras em um dicionário) e tentadas até que a correta seja encontrada.

Ataque de força bruta simples

Um simples ataque de força bruta é exatamente o que discutimos na primeira seção. Dessa forma, todas as combinações possíveis de diferentes caracteres, números e símbolos são tentadas até que o correto seja encontrado. Assim, ele funciona em sites ou arquivos onde não há limite de quantas tentativas podem ser feitas.

Ataque de força bruta híbrida

Um ataque de força bruta híbrido é uma combinação de um ataque de dicionário e um ataque de força bruta simples. Enquanto os ataques de dicionário usam alguma lógica por trás das senhas que devem ser testadas, os ataques simples tentam combinações aleatoriamente.

Em um ataque de força bruta híbrido, o invasor tenta diferentes combinações de números e símbolos junto com palavras de um dicionário pré-listado para quebrar a senha.

Recheio de credenciais

Depois que um invasor consegue um par de nome de usuário e senha, ele pode tentar usá-lo em diferentes sites. Portanto, esse tipo de ataque explora o fato de que muitas pessoas usam o mesmo par nome de usuário e senha em vários sites.

Ataque de força bruta reversa

Um ataque reverso de força bruta tenta diferentes nomes de usuário com uma senha obtida anteriormente para obter acesso, em vez de tentar diferentes combinações de senha com um mesmo nome de usuário.

Por que os hackers fazem um ataque de força bruta?

Ataques de força bruta podem ser úteis ??para:

• Roubar informações confidenciais de um site;
• Desligar um site completamente;
• Infectar um site com código malicioso para obter benefícios de longo prazo;
• Usar o site para postar ou publicar conteúdo;
• Vender as informações adquiridas a terceiros.

Além disso, vale lembrar que as equipes de TI responsáveis ??pela segurança também usam ataques de força bruta para verificar a resistência de seus sistemas.

Softwares populares de ataque de força bruta

Os hackers são sempre apoiados por ferramentas de software automatizadas que usam algoritmos para quebrar senhas. Portanto, algumas das ferramentas de software populares são:

John The Ripper

Uma das ferramentas de quebra de senha mais populares e rápidas que existem, John the Ripper pode executar ataques de força bruta simples e baseados em dicionário. Dessa forma, ele vem pré-instalado com uma lista de senhas e pode detectar automaticamente o tipo de hashing usado em uma senha.

THC Hydra

O THC Hydra pode atacar 50 protocolos (HTTP, SMB, FTP, etc) e muitos sistemas operacionais usando ataques de dicionário. Dessa forma, é o software de ataque bruto mais antigo que você pode encontrar, e os especialistas de TI costumam usá-lo para identificar a força de seus sistemas cliente.

Aircrack-Ng

Aircrack-Ng é útil principalmente para violar redes sem fio. Dessa forma, ele se concentra em monitorar, testar, atacar e violar a segurança da rede WiFi.

Hashcat

Ele pode realizar ataques simples de força bruta, ataques híbridos, ataques de dicionário e ataques baseados em regras. Além disso, é um software de adivinhação de senha baseado em CPU, que suporta cinco modos de ataque para mais de 200 algoritmos de hash otimizados.

Por fim, outros softwares populares de ataque de força bruta são:

• L0phtCrack;
• Ncrack;
• Cain & Able;
• Rainbow Crack;
• SAMInside.

Exemplos de ataque de força bruta

Vamos dar exemplos da vida real para entender a gravidade dos ataques de força bruta e como eles podem ser perigosos:

1.Magento: em março de 2018, cerca de 1000 contas de código aberto foram comprometidas devido a ataques de força bruta. Dessa forma, os invasores usaram essas contas para roubar informações de cartão de crédito e mineração de criptomoedas;

2. Alibaba: TaoBao, um site de comércio eletrônico do Alibaba, recebeu um ataque massivo de força bruta, afetando cerca de 21 milhões de contas no site. A taxa de sucesso foi de um em cinco. Além disso, os atacantes usaram servidores emprestados pelo próprio Alibaba para lançar o ataque;

3. Github: Em 2013, o Github também sofreu um ataque de força bruta. Assim, os invasores usaram aproximadamente 41.000 endereços de IP para fazer tentativas de login. Embora não se saiba exatamente quantas contas foram comprometidas, o ataque ainda foi um dos maiores da história;

4. Club Nintendo: um fórum da comunidade para jogadores, o Club Nintendo viu 25.000 de suas contas de usuário comprometidas em 2013. Além disso, os hackers tiveram que fazer 15 milhões de tentativas para violar essas muitas contas.

Como você pode prevenir ataques de força bruta (brute force)?

Existem várias medidas que você pode tomar para garantir que qualquer ataque de força bruta ao seu sistema não seja bem-sucedido.

Use senhas fortes

Quando um hacker adota a abordagem de força bruta, quanto mais fraca for a senha, mais fácil será quebrá-la. Portanto, certifique-se de que a senha que você definiu seja:

• Única: significa que não foi definida em nenhum outro site com o seu nome de usuário. Dessa forma, se você usa a mesma senha para muitos sites, os hackers podem usá-la para violar outras contas que você possui na web e roubar mais informações;
• Longa: um pino de quatro dígitos (usando apenas números) pode ter 10.000 combinações possíveis. Usando um software, esse pino pode ser descoberto em questão de minutos. Da mesma forma, para quebrar um pino de 8 dígitos, pode levar um ou dois dias para quebrar uma senha, mesmo se você estiver usando um software. É por isso que é aconselhável definir uma senha com cerca de 15 a 20 caracteres para dificultar a adivinhação;
• Menos óbvia: as pessoas costumam usar datas de nascimento, seus próprios nomes, nomes de coisas ou pessoas próximas a elas e etc. em suas senhas. Essas senhas são muito fáceis de adivinhar, pois é mais fácil encontrar informações pessoais hoje em dia. É por isso que você deve escolher algo aleatório que pode não estar diretamente relacionado a você, mas é fácil de lembrar. Basicamente, evite terminologia comum e combinações numéricas o máximo que puder.

Limitar tentativas de login

O sucesso de um ataque de força bruta depende do número de vezes que podem ser feitas tentativas de adivinhar uma senha antes que o hacker a acerte. Dessa forma, se você limitar as tentativas de login por usuário, a chance de invasão do hacker diminuirá consideravelmente.

Além disso, lembre-se de que contas e endereços de IP diferentes podem ser usados ??para cada tentativa. Uma prática comum é bloquear temporariamente um IP ou conta contra a tentativa de login após 4 ou 5 tentativas malsucedidas.  Cada vez que forem feitas 4-5 tentativas malsucedidas, você pode aumentar a duração do bloqueio temporário. Isso lhe dará tempo e seus sistemas serão capazes de detectar bots e bloqueá-los antes que possam causar danos.

Usar autenticação de 2 fatores

2FAs são bastante comuns nos dias de hoje. Depois de inserir o nome de usuário e a senha de uma conta, você deve inserir outro código ou pin que só você pode acessar. Normalmente, você recebe essas senhas de uso único (OTPs) em seu celular ou e-mail.

Às vezes, a verificação dupla também pode significar varreduras de impressões digitais ou detecção de rosto depois de inserir sua senha. Portanto, isso adiciona uma camada extra de segurança e os hackers não podem acessar sua conta apenas quebrando sua senha.

Use CAPTCHA

Os hackers não podem executar um ataque de força bruta sem bots. Adicionar Captcha à sua página de login pode dificultar a aprovação dos bots, pois seus desafios são projetados para serem resolvidos por humanos. Dessa forma, agora é útil em todas as páginas em que os usuários precisam inserir informações confidenciais.

Firewall de app da web (WAF)

Um WAF é uma camada espessa de segurança que detecta o tráfego indesejado e o bloqueia antes que ele alcance sua rede. Por exemplo, muitas pessoas usa firewalls Sucuri nos servidores para proteger os sites dos clientes e seus dados.

Além das técnicas mencionadas acima, os WAFs da Sucuri usam listas de permissões de IP, detecção de assinaturas e bloqueio de robôs e varreduras para evitar ataques de força bruta. Dessa forma, os bots que tentam fazer login são detectados e bloqueados de forma proativa, sem afetar o tráfego normal dos sites.

Gostou? O que achou? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar em “Canal do Telegram” que está localizado no canto superior direito da página!