Brute Force Attack: O que é e como se proteger?

Qual a definição de ataque de força bruta (Brute Force):

Um ataque de força bruta é um método de hacking que usa tentativa e erro para decifrar senhas, credenciais de login e chaves de criptografia. É uma tática simples, porém confiável, para obter acesso não autorizado a contas individuais e a sistemas e redes de organizações. O hacker tenta vários nomes de usuário e senhas, geralmente usando um computador para testar uma ampla gama de combinações, até encontrar as informações de login corretas.

O nome “força bruta” vem do fato de os invasores usarem tentativas excessivamente vigorosas para obter acesso a contas de usuários. Apesar de ser um método antigo de ataque cibernético, os ataques de força bruta são experimentados e testados e continuam sendo uma tática popular entre os hackers.

Tipos de ataques de força bruta:

Há vários tipos de métodos de ataque de força bruta que permitem que os invasores obtenham acesso não autorizado e roubem dados do usuário.

1. Ataques de força bruta simples
Um ataque de força bruta simples ocorre quando um hacker tenta adivinhar as credenciais de login de um usuário manualmente, sem usar nenhum software. Normalmente, isso ocorre por meio de combinações de senhas padrão ou códigos de número de identificação pessoal (PIN).

Esses ataques são simples porque muitas pessoas ainda usam senhas fracas, como “password123” ou “1234”, ou praticam uma etiqueta de senha ruim, como usar a mesma senha para vários sites. As senhas também podem ser adivinhadas por hackers que fazem um trabalho mínimo de reconhecimento para descobrir a possível senha de um indivíduo, como o nome de seu time esportivo favorito.

2. Ataques de dicionário
Um ataque de dicionário é uma forma básica de hacking de força bruta em que o invasor seleciona um alvo e, em seguida, testa possíveis senhas em relação ao nome de usuário dessa pessoa. O método de ataque em si não é tecnicamente considerado um ataque de força bruta, mas pode desempenhar uma função importante no processo de quebra de senhas de um malfeitor.

O nome “ataque de dicionário” vem do fato de que os hackers percorrem dicionários e alteram palavras com caracteres especiais e números. Esse tipo de ataque geralmente consome muito tempo e tem pouca chance de sucesso em comparação com métodos de ataque mais novos e mais eficazes.

3. Ataques híbridos de força bruta
Um ataque de força bruta híbrido ocorre quando um hacker combina um método de ataque de dicionário com um ataque de força bruta simples. Ele começa com o hacker conhecendo um nome de usuário e, em seguida, executando um ataque de dicionário e métodos simples de força bruta para descobrir uma combinação de login de conta.

O invasor começa com uma lista de possíveis palavras e, em seguida, experimenta combinações de caracteres, letras e números para encontrar a senha correta. Essa abordagem permite que os hackers descubram senhas que combinam palavras comuns ou populares com números, anos ou caracteres aleatórios, como “SanDiego123” ou “Rover2020”.

4. Ataques de força bruta reversa
Em um ataque de força bruta reversa, o invasor inicia o processo com uma senha conhecida, que normalmente é descoberta por meio de uma violação de rede. Ele usa essa senha para procurar uma credencial de login correspondente usando listas de milhões de nomes de usuário. Os invasores também podem usar uma senha fraca comumente usada, como “Password123”, para pesquisar em um banco de dados de nomes de usuário em busca de uma correspondência.

5. Preenchimento de credenciais
O preenchimento de credenciais se aproveita das etiquetas de senhas fracas dos usuários. Os invasores coletam combinações de nome de usuário e senha que roubaram e, em seguida, testam em outros sites para ver se conseguem obter acesso a outras contas de usuário. Essa abordagem é bem-sucedida se as pessoas usarem a mesma combinação de nome de usuário e senha ou reutilizarem senhas para várias contas e perfis de mídia social.

Qual é o motivo por trás dos ataques de força bruta?

O hacking de força bruta exige muita paciência, pois pode levar meses ou até anos para que um invasor consiga decifrar uma senha ou chave de criptografia. No entanto, as possíveis recompensas são enormes.

Exploração de anúncios ou dados de atividade
Um hacker pode lançar um ataque de força bruta em um site ou em vários sites para obter lucro financeiro com comissões de publicidade. Os métodos comuns incluem:

Colocar anúncios de spam em sites populares, o que permite que o invasor ganhe dinheiro sempre que um anúncio for clicado ou visualizado por um visitante.
Redirecionamento do tráfego de um site legítimo para sites de anúncios comissionados ilegais.
Infectar um site e os visitantes do site com malware, como spyware, que rastreia a atividade. Os dados coletados são então vendidos a anunciantes sem o consentimento do usuário.

Roubo de dados pessoais

A invasão das contas pessoais de um usuário pode fornecer um tesouro de dados, desde detalhes financeiros e contas bancárias até informações médicas confidenciais. O acesso a uma conta permite que um invasor falsifique a identidade de uma pessoa, roube seu dinheiro, venda suas credenciais a terceiros ou use as informações para lançar ataques mais amplos.

Os dados pessoais e as credenciais de login também podem ser roubados por meio de violações de dados corporativos em que os invasores obtêm acesso aos bancos de dados confidenciais das organizações.

Disseminação de malware

Os ataques de força bruta geralmente não são pessoais. Um hacker pode simplesmente querer criar o caos e mostrar suas habilidades maliciosas. Ele pode fazer isso espalhando malware por e-mail ou mensagens SMS (Short Message Service), ocultando o malware em um site falso projetado para parecer um site legítimo ou redirecionando os visitantes do site para sites mal-intencionados. Ao infectar o computador de um usuário com malware, o invasor pode entrar em sistemas e redes conectados e lançar ataques cibernéticos mais amplos contra as organizações.

Sequestro de sistemas para atividades mal-intencionadas

Os ataques de força bruta podem desempenhar um papel importante no lançamento de ataques mais amplos por agentes mal-intencionados usando vários dispositivos, chamados de botnet. Normalmente, esse é um ataque de negação de serviço distribuído (DDoS) que tem como objetivo dominar as defesas e os sistemas de segurança do alvo.

Arruinar a reputação de uma empresa ou site

Os ataques de força bruta geralmente são lançados em uma tentativa de roubar dados de uma organização, o que não só lhes custa financeiramente, mas também causa enormes danos à reputação. Os sites também podem ser alvo de ataques que os infestam com textos e imagens obscenos ou ofensivos, denegrindo assim sua reputação, o que pode fazer com que sejam retirados do ar.

Ferramentas de ataque de força bruta

Adivinhar a senha do e-mail ou do site de mídia social de um usuário pode ser um processo demorado, especialmente se as contas tiverem senhas fortes. Para simplificar o processo, os hackers desenvolveram softwares e ferramentas para ajudá-los a quebrar as senhas.

As ferramentas de ataque de força bruta incluem aplicativos de quebra de senha, que quebram combinações de nome de usuário e senha que seriam extremamente difíceis de serem quebradas por uma pessoa sozinha. As ferramentas de ataque de força bruta comumente usadas incluem:

Aircrack-ng: Um conjunto de ferramentas que avalia a segurança da rede Wi-Fi para monitorar e exportar dados e atacar uma organização por meio de métodos como pontos de acesso falsos e injeção de pacotes.
John the Ripper: Uma ferramenta de recuperação de senhas de código aberto que suporta centenas de tipos de cifras e hash, incluindo senhas de usuários para macOS, Unix e Windows, servidores de banco de dados, aplicativos da Web, tráfego de rede, chaves privadas criptografadas e arquivos de documentos.

Esses tipos de software podem adivinhar rapidamente combinações que identificam senhas fracas e decifrar vários protocolos de computador, modems sem fio e dispositivos de armazenamento criptografados.

Um ataque de força bruta também pode exigir grandes quantidades de poder de computação. Para combater isso, os hackers desenvolveram soluções de hardware que simplificam o processo, como a combinação da unidade central de processamento (CPU) e da unidade de processamento gráfico (GPU) de um dispositivo. A adição do núcleo de computação da GPU permite que um sistema processe várias tarefas simultaneamente e que os hackers decifrem as senhas com muito mais rapidez.

Como evitar ataques de força bruta?

Indivíduos e organizações podem empregar várias táticas para se protegerem contra vulnerabilidades conhecidas, como o Remote Desktop Protocol (RDP). A criptoanálise, o estudo de cifras e criptografia, também pode ajudar as organizações a fortalecer suas defesas de segurança e proteger suas informações confidenciais contra ataques de força bruta.

Use práticas de senhas mais fortes
A melhor maneira de se defender contra ataques de força bruta que têm como alvo as senhas é fazer com que as senhas sejam o mais difícil possível de serem descobertas. Os usuários finais têm um papel fundamental a desempenhar na proteção de seus dados e dos dados de suas organizações, usando senhas mais fortes e seguindo práticas recomendadas de senha rigorosas. Isso tornará mais difícil e demorado para os invasores adivinharem suas senhas, o que pode fazer com que eles desistam.

As práticas recomendadas para senhas mais fortes incluem:

Criar senhas fortes e com vários caracteres: Uma regra básica é que as senhas devem ter mais de 10 caracteres e incluir letras maiúsculas e minúsculas, símbolos e números. Isso aumenta muito a dificuldade e o tempo necessário para descobrir uma senha, de algumas horas para vários anos, a menos que o hacker tenha um supercomputador à mão.
Usar frases-senha elaboradas: Embora o uso de mais caracteres seja uma boa prática de senha, alguns sites podem ter restrições quanto ao tamanho da senha. Portanto, use frases-senha complexas para evitar que os invasores tenham sucesso com ataques simples de dicionário. As senhas são várias palavras ou segmentos com caracteres especiais que as tornam mais difíceis de adivinhar.
Criar regras de criação de senhas: Outra boa tática para senhas é truncar palavras para que pareçam sem sentido para outras pessoas que as leiam. Isso pode ser feito removendo as vogais ou usando apenas as duas primeiras letras das palavras e, em seguida, criando uma frase que faça sentido a partir de uma sequência de palavras encurtadas. Por exemplo, encurtar a palavra “esperança” para “hp” ou “azul” para “bl”.
Evitar senhas comuns: As senhas usadas com frequência, como um nome, time esportivo ou simplesmente “senha”, são extremamente arriscadas. Os hackers conhecem palavras ou frases comuns que as pessoas usam em suas senhas e implantam táticas baseadas nessas palavras comuns para invadir as contas das pessoas.
Usar senhas exclusivas para cada conta: No credential stuffing, os hackers testam as senhas que foram usadas em sites para verificar se estão sendo usadas em outros lugares. Infelizmente, isso é muito bem-sucedido, pois as pessoas frequentemente reutilizam suas senhas em contas de e-mail, perfis de mídia social e sites de notícias. É importante nunca usar a mesma senha em dois sites ou contas.
Usar gerenciadores de senhas: Um gerenciador de senhas facilita a criação de senhas seguras e exclusivas para todos os sites em que as pessoas se conectam. Ele cria e rastreia automaticamente os logins dos usuários em vários sites, permitindo que o usuário acesse todas as suas contas simplesmente fazendo login no gerenciador de senhas. Com um gerenciador de senhas, os usuários podem criar senhas longas e complexas, armazená-las com segurança e não correr o risco de esquecer, perder ou ter as senhas roubadas.

Fonte

https://www.fortinet.com/resources/cyberglossary/brute-force-attack

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.