O que é um ataque de força bruta? Como manter as contas de usuário seguras
Publicados: 2021-06-25As senhas sozinhas não protegem as contas dos usuários, mas você pode.
Definir uma senha comum apenas por causa disso oferece uma garantia disfarçada de segurança. Mas as senhas geralmente são previsíveis, tornando você um alvo fácil para ataques de força bruta.
Ataques de força bruta tentam roubar ou descriptografar suas informações confidenciais ou infectar sistemas com malware, quebrando credenciais de usuário ou chaves de criptografia. Soluções de segurança como autenticação multifator (MFA) sistemas oferecem uma defesa sólida para proteger as contas dos usuários contra ataques de força bruta.
Você pode implementar a MFA para usuários como primeira linha de defesa e enriquecê-la com várias medidas preventivas.
O que é um ataque de força bruta?
Um ataque de força bruta é uma abordagem sistemática de verificação de possíveis combinações de IDs de usuário e senhas para se infiltrar em um sistema de autenticação e fazer login com sucesso em um aplicativo da Web ou em um sistema operacional.
Os ataques de força bruta não se limitam apenas a IDs de usuário e senhas. Em geral, o ataque de força bruta refere-se ao número de tentativas feitas para revelar informações confidenciais por meio de um processo consistente de tentativa e erro. Eles também incluem adivinhar e validar chaves de criptografia plausíveis criadas durante a configuração da senha, popularmente conhecida como pesquisa exaustiva de chaves .
Os invasores usam principalmente ataques de força bruta para quebrar senhas (ou seja, explorar vulnerabilidades em senhas definidas e obter acesso não autorizado). Esse tipo de ataque cibernético penetra nos mecanismos de autenticação e permite que hackers mal-intencionados acessem seus ativos de TI.
Ataques de força bruta são ataques criptoanalíticos usados quando os invasores não conseguem encontrar vulnerabilidades que possam explorar facilmente. Não faz sentido para um invasor fazer esforços significativos para explorar uma vulnerabilidade que pode não fornecer os benefícios esperados.
Nesses cenários, os ataques de força bruta tornam-se um instrumento potencial de escolha para os invasores porque são mais fáceis de executar e podem oferecer benefícios antiéticos substanciais se realizados com sucesso. Os invasores automatizam o processo de adivinhação de senhas com um conjunto de IDs e senhas de login e obtêm os benefícios ao quebrar os protocolos de autenticação e criptografia.
Senhas curtas são mais fáceis e relativamente mais rápidas de adivinhar no processo de ataque, mas senhas mais longas podem consumir uma quantidade substancial de tempo e poder de computação.
Por que os hackers realizam ataques de força bruta?
Os cibercriminosos geralmente realizam ataques de força bruta para descobrir suas informações confidenciais e obter acesso ao seu sistema. A intenção por trás de um ataque pode ser usar suas informações para obter acesso e convergir um ataque cibernético muito maior em seus ativos ou organização.
80%
das violações de dados causadas por hackers em 2020 envolveram força bruta ou o uso de credenciais perdidas ou roubadas.
Fonte: Verizon
Os hackers podem realizar um ataque a senhas ou senhas de força bruta, tornando suas contas e redes vulneráveis a uma violação de dados. A coleta de credenciais de usuários para terceiros também pode ser um possível objetivo de um ataque de força bruta. Essas credenciais podem ser usadas posteriormente para obter benefícios antiéticos dos dados da vítima ou prejudicar sua reputação pública.
Atores de ameaças podem usar ataque de força bruta para conduzir Engenharia social ataques enviando e-mails de phishing por meio de contas de usuários comprometidas.
Quando os hackers usam o ataque de força bruta?
Hackers maliciosos geralmente tomam a rota de ataque de força bruta quando têm tempo suficiente para vitimizar seu alvo. Um ataque de força bruta pode ser um processo demorado e demorado. Envolve a execução de várias combinações de senhas possíveis ou chaves de criptografia.
À medida que o comprimento da string da credencial do usuário aumenta, também aumenta o tempo esperado para quebrar. É um processo de navegação lento, mas simples. Com tempo suficiente, um invasor pode realizar um ataque de força bruta para quebrar sistemas baseados em senha e acessar os ativos das vítimas sem explorar vulnerabilidades técnicas.
Tipos de ataques de força bruta
Existem várias técnicas que um invasor pode usar para convergir um ataque de força bruta. Você deve ter um mecanismo de defesa confiável para se proteger de ser atacado.
Ataques simples de força bruta
Um ataque de força bruta simples envolve um invasor fazendo suposições lógicas para quebrar seu sistema de autenticação. Eles não são auxiliados por ferramentas de software, mas são baseados nos detalhes que eles podem ter sobre você.
Por exemplo, verificando "name12345" ou "name@123" e várias outras variações como senhas de números e caracteres. Para o número de identificação pessoal (PIN), um invasor pode percorrer seu ano de nascimento ou ano de nascimento em ordem inversa e números semelhantes relevantes para você ou sua família.
Ataques híbridos de força bruta
Os invasores adivinham possíveis senhas além do escopo de sua lógica para conduzir um ataque híbrido de força bruta pensando em combinações de palavras comuns (ou tendências) com caracteres aleatórios. Inclui a verificação de senhas como "marvel2020" ou "bitcoin36000" e variações semelhantes.
Ele começa com uma lógica externa para identificar senhas em potencial e continua com uma abordagem simples para tentar testar várias combinações possíveis.
Ataques de força bruta reversa
Os ataques de força bruta reversa começam com uma senha conhecida e a testam em vários IDs de usuário. Os invasores geralmente usam senhas vazadas compartilhadas na Internet como um trampolim para encontrar IDs de usuário correspondentes para acessar os ativos de um alvo.
No ataque de força bruta reversa, um invasor não visa um usuário específico, mas encontra um ID de usuário para uma senha específica.
Preenchimento de credenciais
O preenchimento de credenciais abusa do fato de que muitos usuários podem ter os mesmos nomes de usuário e senhas em vários sistemas. Os invasores usam pares de nomes de usuário e senhas violados em vários sites para encontrar uma correspondência bem-sucedida.
Os invasores utilizam preenchimento de credenciais para assumir contas de usuários. Quando eles obtêm credenciais de usuários vazadas de violações de dados ou sites de despejo de senhas, eles as verificam em vários sites, como plataformas de mídia social ou mercados online. O invasor pode roubar detalhes do seu cartão de crédito, números de segurança social e outros dados confidenciais para realizar novas atividades nefastas ao encontrar uma correspondência bem-sucedida.
Ataque de dicionário
Um ataque de dicionário exige que um invasor use palavras comuns (como estão em um dicionário) combinadas com uma sequência típica de números ou caracteres especiais na quebra de senha. Os invasores podem usar um dicionário padrão ou um dicionário exclusivo criado para fins maliciosos. Por exemplo, eles podem verificar senhas como vapor, aço, íngreme, etc.
Os ataques de dicionário geralmente são bem-sucedidos porque os usuários têm uma tendência inerente de usar palavras do dia-a-dia em suas senhas.
Ataques de mesa arco-íris
A tabela Rainbow é um dicionário pré-computado de senhas e seus valores de hash. Em um sistema, as senhas não são armazenadas como texto simples, mas são hash usando criptografia. Quando um usuário insere as senhas, elas são convertidas em seu valor de hash correspondente e são verificadas com o hash armazenado. Se houver uma correspondência, o usuário obtém acesso às suas contas.
Um invasor aproveita uma tabela de hash de arco-íris para quebrar senhas em um ataque de tabela de arco-íris. Como mais um texto pode ter valores de hash idênticos, não é necessário saber a senha real, desde que um invasor possa se autenticar com o hash.
Embora os ataques de tabela de arco-íris levem um amplo tempo de preparação, os ataques reais são muito mais rápidos, pois as negociações do algoritmo aumentam o uso do espaço com a diminuição do tempo.
Exemplos de ataque de força bruta
O objetivo final dos ataques de força bruta é roubar dados ou interromper a entrega de serviços. Como resultado, esses ataques se tornaram uma ameaça significativa à postura de segurança de uma organização.
Alguns exemplos notáveis de ataques de força bruta da história recente são:
- Em 2013, o GitHub foi vítima de um ataque de força bruta, onde várias senhas armazenadas com segurança foram comprometidas. Foi identificado que as tentativas de login de força bruta foram feitas de aproximadamente 40.000 endereços IP exclusivos.
- O Club Nintendo foi alvo de um ataque de força bruta que afetou 25.000 membros do fórum em 2013. Os invasores fizeram 15 milhões de tentativas de força bruta para invadir contas de usuários.
- O TaoBao do Alibaba, em 2016, sofreu um ataque de força bruta onde 21 milhões de contas de usuários foram comprometidas. Os invasores usaram um banco de dados contendo cerca de 99 milhões de nomes de usuário e senhas para forçar as contas de usuários TaoBao existentes.
- O recurso de senha mestra do Mozilla Firefox foi vítima de um ataque de força bruta em 2018. O número de credenciais de usuário que foram expostas é desconhecido. Em 2019, o Firefox introduziu uma correção para resolver esse problema.
- Em 2018, o Magento foi atingido por um ataque de força bruta que comprometeu cerca de 1.000 painéis de administração.
Ferramentas de ataque de força bruta
Os ataques de força bruta são conduzidos com a ajuda de ferramentas automatizadas que verificam as credenciais do usuário até que uma correspondência bem-sucedida seja encontrada. Com muitos nomes de usuário e senhas possíveis, o teste manual fica complicado. Consequentemente, os invasores aproveitam a automação para agilizar o processo de adivinhação em tais situações.
Aqui estão alguns exemplos famosos de ferramentas de ataque de força bruta*:
- O THC Hydra quebra a autenticação de rede executando um ataque de dicionário contra mais de 30 protocolos (HTTP, FTP, HTTPS, etc.).
- Aircrack-ng executa ataques de força bruta em Wi-Fi 802.11 e é usado para quebrar senhas de Wi-Fi com a ajuda de ferramentas de análise e cracker WEP/WPA/WPA2-PSK.
- John the Ripper é usado para quebrar senhas fracas e penetrar em sistemas baseados em senha. Ele suporta 15 plataformas múltiplas como Unix, Windows, DOS, etc.
- Rainbow Crack gera tabelas de arco-íris para realizar ataques de força bruta e ajuda a reduzir o intervalo de tempo do ataque.
- L0phtCrack é usado para quebrar senhas do Windows com ataques de dicionário, ataques híbridos e tabelas de arco-íris.
* Essas ferramentas devem ser usadas apenas para fins éticos para testar e fortalecer sistemas contra ataques de força bruta.
Como detectar um ataque de força bruta
Os atacantes podem realizar ataques de força bruta com muitas variações. Você precisa definir medidas preventivas e aplicá-las para se defender contra tais ataques.
Aqui estão alguns dos sinais que podem sugerir um ataque de força bruta:
- Várias tentativas de login malsucedidas de um endereço IP
- Solicitações de login provenientes de uma única conta de usuário de vários endereços IP
- Logins com vários nomes de usuário do mesmo endereço IP
- Logins com um URL de referência do e-mail ou cliente de IRC de alguém
- Uso questionável e consumo de largura de banda de um único uso
- Tentativas de login malsucedidas feitas a partir de nomes de usuário ou senhas alfabéticos ou sequenciais
- URL de referência para sites de compartilhamento de senha
Com detecção precoce e medidas preventivas adequadas, as organizações podem limitar sua exposição a ataques de força bruta.
Como evitar ataques de força bruta
Os ataques de força bruta funcionam com base em tentativa e erro, e não há vulnerabilidade técnica que seja direcionada. Devido a isso, você precisa seguir as melhores práticas de segurança para proteger seus ativos contra ataques de força bruta em vez de apenas fortalecer seus mecanismos de defesa.
Aplique senhas fortes e exclusivas
A criação de senhas fortes que são imprevisíveis e exclusivas oferece uma forte defesa contra ataques de força bruta. Por exemplo, uma senha longa e complexa será difícil de adivinhar em comparação com o nome dos pais e o ano de nascimento em uma senha.
Certifique-se de ter senhas diferentes para várias contas de usuário. O uso de credenciais de usuário semelhantes para todas as contas facilita para os invasores explorar e extrair informações confidenciais de todas as contas.
Bloquear contas de usuário
Uma série de tentativas de login com falha em contas de usuário pode indicar um possível ataque de força bruta. Você pode bloquear essas contas de usuário por um período específico ou desbloqueá-las com a permissão do administrador.
Os bloqueios de conta devem ser realizados de maneira controlada. Eles podem facilmente levar à negação de serviço quando os ataques de força bruta são realizados em grande escala. Em tais situações, bloqueios de contas com atrasos progressivos são soluções adequadas, ou seja, para cada conjunto de tentativas de login com falha, o tempo de bloqueio de contas é aumentado progressivamente.
Você precisa estar atento a situações em que os bloqueios de conta podem ser uma escolha menos eficaz:
- Ataques lentos de força bruta em que apenas algumas tentativas de login são feitas em um período de tempo fixo.
- Ataques de força bruta reversa em que uma senha é verificada em vários nomes de usuário.
- Vários bloqueios de contas, causando um aumento nas demandas de suporte do helpdesk de TI e usando-o como um desvio para realizar um ataque cibernético maior.
Os bloqueios de conta são adequados em um local onde o risco é maior do que a negação de serviço. As empresas podem usar sistemas de detecção e prevenção de intrusão para definir regras personalizadas para restringir endereços IP e realizar bloqueios de contas de maneira controlada.
Empregar autenticação de dois fatores (2FA)
Autenticação de dois fatores é amplamente utilizado como a primeira linha de defesa contra ataques de força bruta. Ele exige que um usuário prove sua identidade duas vezes, reduzindo o risco de uma violação de segurança, mesmo quando um invasor obtém uma correspondência de senha bem-sucedida.
A maioria dos hackers (exceto alguns persistentes) se afastará e procurará alvos mais fáceis. Mas você deve garantir que você tenha credenciais de usuário diferentes para outras contas (e-mail, software de segurança, etc.)
Monitore os logs do servidor
Analise cuidadosamente todos os logs do servidor, pois eles são uma fonte de dados essencial para reconhecer diversos padrões de ataques de força bruta. Com base nesses logs, você pode obter insights para planejar suas futuras estratégias de defesa e garantir a segurança da conta ou da rede.
Informações de segurança e sistemas de gerenciamento de eventos (SIEM) servir como uma excelente solução para armazenar, monitorar e analisar todos os logs de forma centralizada. Em casos de comprometimento de conta, os sistemas SIEM ajudarão você a reunir forense digital para iniciar um plano de resposta a incidentes.
Usar CAPTCHA
CAPTCHA funciona testando um usuário para passar um desafio simples e difícil para um computador. Por exemplo, pedir a um usuário para contar o número de canetas amarelas em uma imagem é fácil. Ainda assim, pode ser um quebra-cabeça para uma máquina interpretar a imagem.
Embora o CAPTCHA aumente o número de etapas que um usuário executa para acessar uma conta de usuário, é altamente benéfico para garantir a segurança da conta. Ele pode atrapalhar a experiência de um usuário, mas enriquece sua confiança ao proteger informações confidenciais de ataques automatizados de força bruta e bots.
Dobre a prevenção
Adote as melhores técnicas de prevenção e construa a pilha de tecnologia de segurança necessária para proteger seus sistemas contra ataques de força bruta e manter a segurança cibernética.
Se um invasor conseguir penetrar nos sistemas de autenticação mesmo depois de aplicar medidas preventivas, inicie seu plano de resposta a incidentes para controlar e restringir os danos que eles podem causar.