Che cos'è un attacco di forza bruta? Come mantenere gli account utente al sicuro

Pubblicato: 2021-06-25

Le password da sole non proteggono gli account utente, ma tu puoi.

L'impostazione di una password comune solo per il gusto di offrire una garanzia di sicurezza mascherata. Ma le password sono spesso prevedibili, rendendoti un facile bersaglio per attacchi di forza bruta.

Gli attacchi di forza bruta tentano di rubare o decrittografare le tue informazioni sensibili o infettare i sistemi con malware violando le credenziali dell'utente o le chiavi di crittografia. Soluzioni di sicurezza come   autenticazione a più fattori (MFA)   i sistemi costituiscono una solida difesa per salvaguardare gli account degli utenti dagli attacchi di forza bruta.

Puoi implementare l'AMF per gli utenti come prima linea di difesa e arricchirlo con varie misure preventive.

Cos'è un attacco di forza bruta?

Un attacco di forza bruta è un approccio sistematico per controllare le possibili combinazioni di ID utente e password per infiltrarsi in un sistema di autenticazione e accedere con successo a un'applicazione Web oa un sistema operativo.

Gli attacchi di forza bruta non si limitano solo agli ID utente e alle password. In generale, l'attacco di forza bruta si riferisce al numero di tentativi effettuati per rivelare informazioni sensibili attraverso un processo coerente di tentativi ed errori. Includono anche indovinare e convalidare chiavi di crittografia plausibili create durante l'impostazione della password, popolarmente nota come ricerca esauriente delle chiavi .

Gli aggressori utilizzano principalmente attacchi di forza bruta per il cracking delle password (ad esempio, sfruttando le vulnerabilità nelle password impostate e ottenendo accessi non autorizzati). Questo tipo di   attacco informatico   penetra nei meccanismi di autenticazione e consente agli hacker malintenzionati di accedere alle tue risorse IT.

Gli attacchi di forza bruta sono attacchi crittoanalitici che vengono utilizzati quando gli aggressori non riescono a trovare vulnerabilità che possono sfruttare facilmente. Non ha senso che un utente malintenzionato compia sforzi significativi per sfruttare una vulnerabilità che potrebbe non fornire i vantaggi attesi.

In tali scenari, gli attacchi di forza bruta diventano un potenziale strumento di scelta per gli aggressori perché sono più facili da eseguire e possono fornire sostanziali vantaggi non etici se eseguiti con successo. Gli aggressori automatizzano il processo di indovinare la password con una serie di ID di accesso e password e ne traggono vantaggio violando i protocolli di autenticazione e crittografia.

Le password brevi sono più facili e relativamente più veloci da indovinare nel processo di attacco, ma le password più lunghe possono richiedere una notevole quantità di tempo e potenza di calcolo.

Perché gli hacker conducono attacchi di forza bruta?

I criminali informatici di solito conducono attacchi di forza bruta per scoprire le tue informazioni sensibili e ottenere l'accesso al tuo sistema. L'intento alla base di un attacco può essere quello di utilizzare le tue informazioni per ottenere l'accesso e far convergere un attacco informatico molto più ampio alle tue risorse o alla tua organizzazione.

80%

delle violazioni dei dati causate dall'hacking nel 2020 hanno comportato la forza bruta o l'uso di credenziali perse o rubate.

Fonte: Verizon

Gli hacker possono condurre un attacco per forzare password o passphrase, rendendo i tuoi account e le tue reti vulnerabili a una violazione dei dati. Anche la raccolta di credenziali utente per terze parti può essere un possibile obiettivo di un attacco di forza bruta. Queste credenziali potrebbero essere utilizzate in seguito per ottenere vantaggi non etici dai dati della vittima o danneggiare la sua reputazione pubblica.

Gli attori delle minacce possono usare l'attacco di forza bruta per condurre   Ingegneria sociale   attacchi inviando e-mail di phishing tramite account utente compromessi.

Quando gli hacker usano l'attacco di forza bruta?

Gli hacker dannosi generalmente prendono la via dell'attacco di forza bruta quando hanno tutto il tempo per vittimizzare il loro obiettivo. Un attacco di forza bruta può essere un processo lungo e dispendioso in termini di tempo. Implica l'esecuzione di diverse possibili combinazioni di password o chiavi di crittografia.

All'aumentare della lunghezza della stringa della credenziale utente, aumenta anche il tempo previsto per il crack. È un processo di navigazione lento ma semplice. Con un tempo sufficiente, un utente malintenzionato può condurre un attacco di forza bruta per violare i sistemi basati su password e accedere alle risorse delle vittime senza sfruttare le vulnerabilità tecniche.

Tipi di attacchi di forza bruta

Esistono varie tecniche che un attaccante può utilizzare per far convergere un attacco di forza bruta. Dovresti avere un meccanismo di difesa affidabile per proteggerti dagli attacchi.

Semplici attacchi di forza bruta

Un semplice attacco di forza bruta coinvolge un utente malintenzionato che fa ipotesi logiche per violare il tuo sistema di autenticazione. Questi non sono assistiti da strumenti software ma si basano sui dettagli che potrebbero avere su di te.

Ad esempio, controllando "nome12345" o "nome@123" e molte altre varianti come password di numeri e caratteri. Per il numero di identificazione personale (PIN), un aggressore potrebbe scorrere il tuo anno di nascita o anno di nascita in ordine inverso e numeri simili rilevanti per te o la tua famiglia.

Attacchi di forza bruta ibrida

Gli aggressori indovinano possibili password oltre lo scopo della loro logica per condurre un attacco di forza bruta ibrido pensando a combinazioni di parole comuni (o di tendenza) con caratteri casuali. Include il controllo di password come "marvel2020" o "bitcoin36000" e varianti simili.

Si parte dalla logica esterna per identificare potenziali password e si prosegue con un approccio semplice per provare e testare diverse possibili combinazioni.

Invertire gli attacchi di forza bruta

Gli attacchi di forza bruta inversa iniziano con una password nota e la testano su più ID utente. Gli aggressori generalmente utilizzano password trapelate condivise su Internet come trampolino di lancio per trovare ID utente corrispondenti per accedere alle risorse di un bersaglio.

In un attacco di forza bruta inversa, un utente malintenzionato non prende di mira un utente specifico ma trova un ID utente per una particolare password.

Ripieno di credenziali

Il riempimento delle credenziali abusa del fatto che molti utenti possono avere gli stessi nomi utente e password su più sistemi. Gli aggressori utilizzano coppie di nomi utente e password violati su vari siti Web per trovare una corrispondenza di successo.

Gli aggressori utilizzano il credential stuffing per impossessarsi degli account utente. Quando ottengono le credenziali dell'utente divulgate da violazioni dei dati o siti di dumping delle password, le confrontano con diversi siti Web come piattaforme di social media o mercati online. L'attaccante può rubare i dettagli della tua carta di credito, i numeri di previdenza sociale e altri dati sensibili per svolgere nuove attività nefaste per trovare una corrispondenza di successo.

Attacco dizionario

Un attacco del dizionario richiede che un utente malintenzionato utilizzi parole ordinarie (come in un dizionario) abbinate a una sequenza tipica di numeri o caratteri speciali nel cracking delle password. Gli aggressori potrebbero utilizzare un dizionario standard o un dizionario unico creato per scopi dannosi. Ad esempio, potrebbero controllare password come steam, steel, steep, ecc.

Gli attacchi al dizionario spesso si rivelano efficaci perché gli utenti hanno una tendenza intrinseca a utilizzare le parole quotidiane nelle loro password.

Attacchi da tavolo arcobaleno

Rainbow table è un dizionario precalcolato di password e relativi valori hash. In un sistema, le password non vengono archiviate come testo normale ma vengono crittografate tramite hash. Quando un utente inserisce le password, queste vengono convertite nel valore hash corrispondente e verificate con l'hash memorizzato. Se c'è una corrispondenza, l'utente ottiene l'accesso ai propri account.

Un utente malintenzionato sfrutta una tabella hash arcobaleno per decifrare le password in un attacco alla tabella arcobaleno. Poiché più un testo può avere valori hash identici, conoscere la password effettiva non è necessario fintanto che un utente malintenzionato può autenticarsi con l'hash.

Mentre gli attacchi al tavolo arcobaleno richiedono molto tempo di preparazione, gli attacchi effettivi sono molto più veloci poiché gli scambi di algoritmi aumentano l'utilizzo dello spazio con tempi ridotti.

Esempi di attacchi di forza bruta

L'obiettivo finale degli attacchi di forza bruta è quello di rubare dati o interrompere la fornitura del servizio. Di conseguenza, questi attacchi sono diventati una minaccia significativa per la posizione di sicurezza di un'organizzazione.

Alcuni esempi notevoli di attacchi di forza bruta della storia recente sono:

  • Nel 2013, GitHub è stata vittima di un attacco di forza bruta, in cui sono state compromesse diverse password archiviate in modo sicuro. È stato identificato che i tentativi di accesso a forza bruta sono stati effettuati da circa 40.000 indirizzi IP univoci.
  • Il Club Nintendo è stato preso di mira con un attacco di forza bruta che ha colpito 25.000 membri del forum nel 2013. Gli aggressori hanno effettuato 15 milioni di tentativi di forza bruta per violare gli account degli utenti.
  • TaoBao di Alibaba, nel 2016, ha subito un attacco di forza bruta in cui sono stati compromessi 21 milioni di account utente. Gli aggressori hanno utilizzato un database contenente quasi 99 milioni di nomi utente e password per forzare gli account utente TaoBao esistenti.
  • La funzionalità della password principale di Mozilla Firefox è stata vittima di un attacco di forza bruta nel 2018. Il numero di credenziali utente che sono state esposte è sconosciuto. Nel 2019 Firefox ha introdotto una soluzione per risolvere questo problema.
  • Nel 2018, Magento è stata colpita da un attacco di forza bruta che ha compromesso quasi 1000 pannelli di amministrazione.

Strumenti di attacco a forza bruta

Gli attacchi di forza bruta vengono condotti con l'aiuto di strumenti automatizzati che controllano le credenziali dell'utente fino a quando non viene trovata una corrispondenza corretta. Con molti possibili nomi utente e password, il test manuale diventa complicato. Di conseguenza, gli aggressori sfruttano l'automazione per accelerare il processo di ipotesi in tali situazioni.

Ecco alcuni esempi famosi di strumenti di attacco a forza bruta*:

  • THC Hydra viola l'autenticazione di rete eseguendo un attacco dizionario contro più di 30 protocolli (HTTP, FTP, HTTPS, ecc.).
  • Aircrack-ng esegue attacchi di forza bruta su Wi-Fi 802.11 e viene utilizzato per decifrare le password Wi-Fi con l'aiuto di cracker WEP/WPA/WPA2-PSK e strumenti di analisi.
  • John the Ripper viene utilizzato per decifrare password deboli e penetrare nei sistemi basati su password. Supporta 15 piattaforme multiple come Unix, Windows, DOS, ecc.
  • Rainbow Crack genera tabelle arcobaleno per eseguire attacchi di forza bruta e aiuta a ridurre l'intervallo di tempo dell'attacco.
  • L0phtCrack viene utilizzato per decifrare le password di Windows con attacchi a dizionario, attacchi ibridi e tabelle arcobaleno.

* Questi strumenti dovrebbero essere utilizzati solo per scopi etici per testare e rafforzare i sistemi contro gli attacchi di forza bruta.

Come rilevare un attacco di forza bruta

Gli aggressori possono eseguire attacchi di forza bruta con molte varianti. È necessario impostare misure preventive e applicarle per difendersi da tali attacchi.

Ecco alcuni dei segni che potrebbero suggerire un attacco di forza bruta:

  • Diversi tentativi di accesso non riusciti da un indirizzo IP
  • Richieste di accesso provenienti da un singolo account utente da più indirizzi IP
  • Accesso con più nomi utente dallo stesso indirizzo IP
  • Accede con un URL di riferimento della posta di qualcuno o del client IRC
  • Utilizzo discutibile e consumo di larghezza di banda da un singolo utilizzo
  • Tentativi di accesso non riusciti effettuati da nomi utente o password in ordine alfabetico o sequenziale
  • URL di riferimento a siti Web per la condivisione di password

Con il rilevamento precoce e adeguate misure preventive, le organizzazioni possono limitare la loro esposizione agli attacchi di forza bruta.

Come prevenire gli attacchi di forza bruta

Gli attacchi di forza bruta funzionano in base a tentativi ed errori e non esiste alcuna vulnerabilità tecnica che venga presa di mira. Per questo motivo, devi seguire le migliori pratiche di sicurezza per proteggere le tue risorse dagli attacchi di forza bruta invece di rafforzare solo i tuoi meccanismi di difesa.

Applica password complesse e uniche

La creazione di password complesse, imprevedibili e uniche, costituisce una solida difesa contro gli attacchi di forza bruta. Ad esempio, una password lunga e complessa sarà difficile da indovinare rispetto al nome e all'anno di nascita di un genitore in una password.

Assicurati di avere password diverse per più account utente. L'utilizzo di credenziali utente simili per tutti gli account consente agli aggressori di sfruttare ed estrarre facilmente informazioni riservate da tutti gli account.

Blocca gli account utente

Una serie di tentativi di accesso non riusciti negli account utente potrebbe indicare un possibile attacco di forza bruta. È possibile bloccare tali account utente per una durata specifica o sbloccarli con l'autorizzazione dell'amministratore.

I blocchi degli account devono essere eseguiti in modo controllato. Possono facilmente portare alla negazione del servizio quando gli attacchi di forza bruta vengono condotti su vasta scala. In tali situazioni, i blocchi degli account con ritardi progressivi sono soluzioni adatte, ovvero, per ogni serie di tentativi di accesso falliti, l'intervallo di tempo dei blocchi degli account viene progressivamente aumentato.

È necessario prestare attenzione alle situazioni in cui il blocco dell'account potrebbe essere una scelta meno efficace:

  • Attacchi di forza bruta lenti in cui vengono effettuati solo pochi tentativi di accesso in un intervallo di tempo fisso.
  • Attacchi di forza bruta inversa in cui una password viene verificata rispetto a più nomi utente.
  • Blocchi multipli degli account, che causano un aumento delle richieste di supporto da parte dell'helpdesk IT e lo utilizzano come diversivo per condurre un attacco informatico più grande.

I blocchi dell'account sono adatti in un luogo in cui il rischio è superiore alla negazione del servizio. Le imprese possono utilizzare   sistemi di rilevamento e prevenzione delle intrusioni   per impostare regole personalizzate per limitare gli indirizzi IP e condurre i blocchi degli account in modo controllato.

Impiega l'autenticazione a due fattori (2FA)

Autenticazione a due fattori   è ampiamente usato come prima linea di difesa contro gli attacchi di forza bruta. Richiede a un utente di provare la propria identità due volte, riducendo il rischio di una violazione della sicurezza anche quando un utente malintenzionato ottiene una corrispondenza corretta della password.

La maggior parte degli hacker (tranne alcuni persistenti) si farà da parte e cercherà obiettivi più facili. Ma dovresti assicurarti di avere credenziali utente diverse per altri account (e-mail, software di sicurezza, ecc.) Per impedire agli hacker di accedervi e superare la 2FA.

Monitora i registri del server

Analizza attentamente tutti i log del server in quanto sono una fonte di dati essenziale per riconoscere diversi modelli di attacchi di forza bruta. Sulla base di questi registri, puoi ottenere informazioni dettagliate per pianificare le tue strategie di difesa future e garantire la sicurezza dell'account o della rete.

Sistemi di sicurezza delle informazioni e della gestione degli eventi (SIEM).   rappresentano un'ottima soluzione per archiviare, monitorare e analizzare tutti i registri a livello centrale. In caso di compromissione dell'account, i sistemi SIEM ti aiuteranno a raccogliere dati forensi digitali per avviare un piano di risposta agli incidenti.

Usa CAPTCHA

CAPTCHA funziona testando un utente per superare una semplice sfida difficile per un computer. Ad esempio, chiedere a un utente di contare il numero di penne gialle in un'immagine è facile. Tuttavia, può essere un enigma per una macchina interpretare l'immagine.

Anche se CAPTCHA aumenta il numero di passaggi che un utente esegue per accedere a un account utente, è estremamente vantaggioso per garantire la sicurezza dell'account. Può far vacillare l'esperienza di un utente, ma ne arricchisce la fiducia proteggendo le informazioni sensibili da attacchi di forza bruta automatizzati e bot.

Raddoppia la prevenzione

Adotta le migliori tecniche di prevenzione e costruisci lo stack tecnologico di sicurezza richiesto per salvaguardare i tuoi sistemi da attacchi di forza bruta e mantenere la sicurezza informatica.

Se un utente malintenzionato riesce a penetrare nei sistemi di autenticazione anche dopo aver applicato misure preventive, avvia il tuo piano di risposta agli incidenti per controllare e limitare i danni che possono causare.