Forza bruta: tutto quello che dovete sapere!

Gli attacchi di forza bruta sono stati un evento comune su Internet per molto tempo. Anche gli attacchi su larga scala hanno mostrato una tendenza all’aumento negli ultimi tempi. Inoltre, la percentuale di successo di un attacco a forza bruta è anche alta.

Vedi anche tutto quello che devi sapere sul crimine informatico!

La ragione principale per cui gli attacchi di forza bruta funzionano è che le persone usano password deboli che non sono difficili da indovinare. Quindi, in questo articolo, copriremo tutto il terreno sugli attacchi a forza bruta e su come puoi evitarli. Dai un’occhiata:

Cos’è un attacco a forza bruta?

Un attacco di forza bruta è un metodo sperimentale per crackare il nome utente, la password o il PIN di qualcun altro su un sito web. Come tale, si tratta di provare diverse combinazioni di password fino a trovare quella giusta e ottenere l’accesso all’account di un altro utente.

Sembra poco pratico, vero?

Le password attuali sono lunghe almeno 8 caratteri e di solito contengono lettere maiuscole e minuscole, insieme a numeri e simboli. Se fai i conti, vedrai che ci sono un milione di combinazioni in più da provare per ottenere una password. Quindi come può un hacker cercare di craccare una password sulla tua vita? Beh, non lo fanno manualmente.

Un hacker eseguirà uno script o un codice, o userà un bot che continuerà a provare combinazioni finché non troverà quella giusta. In questo modo, l’unica differenza è che ai bot possono essere date impostazioni per indovinare molto più velocemente. E così un hacker può facilmente craccare una password entro 6 ore dall’esecuzione del codice.

Pertanto, se gli utenti impostano password deboli, può succedere che un software automatico possa indovinarle in pochi secondi. Inoltre, il tempo necessario per craccare una password dipende dalle risorse a disposizione dell’hacker, dalla potenza del codice che esegue e dal livello di sicurezza dell’account a cui sta cercando di accedere.

Prendendo in considerazione questi fattori, possono essere necessarie alcune ore o a volte giorni e settimane per trovare la password corretta. Ma la storia è una prova sufficiente che la percentuale di successo di un attacco a forza bruta è alta.

Quali sono i tipi di attacchi a forza bruta?

Attacco dizionario

Questo tipo di attacco utilizza una certa lista o “dizionario” di password comuni. In questo modo non prova alla cieca diverse combinazioni di tutti i caratteri che potrebbero essere utili in una password. Invece, le possibili password sono elencate (come le parole in un dizionario) e provate fino a quando non viene trovata quella corretta.

Semplice attacco di forza bruta

Un semplice attacco di forza bruta è esattamente quello che abbiamo discusso nella prima sezione. In questo modo, tutte le possibili combinazioni di diversi caratteri, numeri e simboli vengono provate fino a quando non viene trovata quella corretta. Quindi funziona su siti o file dove non c’è un limite a quanti tentativi possono essere fatti.

Attacco ibrido di forza bruta

Un attacco ibrido di forza bruta è una combinazione di un attacco a dizionario e un semplice attacco di forza bruta. Mentre gli attacchi a dizionario usano una certa logica dietro le password che devono essere testate, gli attacchi semplici provano combinazioni casuali.

In un attacco ibrido a forza bruta, l’attaccante prova diverse combinazioni di numeri e simboli insieme a parole da un dizionario preelencato per decifrare la password.

Credential stuffing

Dopo che un attaccante ottiene una coppia di nome utente e password, può provare ad usarla su diversi siti web. Pertanto, questo tipo di attacco sfrutta il fatto che molte persone usano la stessa coppia di nome utente e password su più siti.

Attacco di forza bruta inversa

Un attacco di forza bruta inversa prova diversi nomi utente con una password precedentemente ottenuta per ottenere l’accesso, piuttosto che provare diverse combinazioni di password con lo stesso nome utente.

Perché gli hacker eseguono un attacco di forza bruta?

Gli attacchi di forza bruta possono essere utili per:

• Rubare informazioni confidenziali da un sito web;
• Chiudere completamente un sito web;
• Infettare un sito web con codice maligno per ottenere benefici a lungo termine;
• Utilizzare il sito web per postare o pubblicare contenuti;
• Vendere le informazioni acquisite a terzi.

Inoltre, vale la pena ricordare che i team IT responsabili della sicurezza utilizzano anche attacchi brute force per verificare la resistenza dei loro sistemi.

Software popolari per attacchi brute force

Gli hacker sono sempre supportati da strumenti software automatizzati che utilizzano algoritmi per crackare le password. Pertanto, alcuni degli strumenti software popolari sono:

John The Ripper

Uno degli strumenti più popolari e veloci per il cracking delle password, John the Ripper può eseguire attacchi brute force semplici e basati su dizionario. Quindi, viene preinstallato con una lista di password e può rilevare automaticamente il tipo di hashing utilizzato in una password.

THC Hydra

THC Hydra può attaccare 50 protocolli (HTTP, SMB, FTP, ecc.) e molti sistemi operativi utilizzando attacchi a dizionario. Come tale, è il più antico software di attacco grezzo che puoi trovare e gli specialisti IT lo usano spesso per identificare la forza dei loro sistemi clienti.

Aircrack-Ng

Aircrack-Ng è utile principalmente per violare le reti wireless. Quindi, si concentra sul monitoraggio, il test, l’attacco e la violazione della sicurezza della rete WiFi.

Hashcat

Può eseguire semplici attacchi brute force, attacchi ibridi, attacchi a dizionario e attacchi basati su regole. Inoltre, è un software per indovinare le password basato sulla CPU, che supporta cinque modalità di attacco per più di 200 algoritmi di hash ottimizzati.

Infine, altri popolari software di attacco brute force sono:

• L0phtCrack;
• Ncrack;
• Cain & Able;
• Rainbow Crack;
• SAMInside.

Esempi di attacchi brute force

Facciamo degli esempi reali per capire la gravità degli attacchi brute force e quanto possono essere pericolosi:

1.Magento: a marzo 2023, circa 1000 account open source sono stati compromessi a causa di attacchi brute force. Così, gli aggressori hanno usato questi account per rubare le informazioni della carta di credito e il mining di criptovaluta;

2.Alibaba: TaoBao, un sito di e-commerce di Alibaba, ha ricevuto un massiccio attacco brute force, colpendo circa 21 milioni di account sul sito. Il tasso di successo è stato di uno su cinque. Inoltre, gli aggressori hanno usato server presi in prestito da Alibaba stessa per lanciare l’attacco;

3. Github: Nel 2013, anche Github ha subito un attacco brute-force. Quindi, gli aggressori hanno utilizzato circa 41.000 indirizzi IP per effettuare i tentativi di accesso. Mentre non si sa esattamente quanti account siano stati compromessi, l’attacco è stato comunque uno dei più grandi della storia;

4. Club Nintendo: un forum di comunità per i giocatori, Club Nintendo ha visto 25.000 dei suoi account utente compromessi nel 2013. Inoltre, gli hacker hanno dovuto fare 15 milioni di tentativi per violare così tanti account.

Come puoi prevenire gli attacchi di forza bruta?

Ci sono diversi passi che puoi fare per assicurarti che qualsiasi attacco brute force al tuo sistema non abbia successo.

Usa password forti

Quando un hacker adotta l’approccio della forza bruta, più la password è debole, più è facile da decifrare. Pertanto, assicurati che la password che hai impostato sia:

• Unica: significa che non è stata impostata su nessun altro sito con il tuo nome utente. In questo modo, se usi la stessa password per molti siti, gli hacker possono usarla per violare altri account che hai sul web e rubare più informazioni;
• Long: un pin di quattro cifre (usando solo numeri) può avere 10.000 combinazioni possibili. Utilizzando un software, questo pin può essere scoperto in pochi minuti. Allo stesso modo, per craccare un pin di 8 cifre, possono volerci un giorno o due per craccare una password, anche se stai usando un software. Ecco perché è consigliabile impostare una password con circa 15-20 caratteri per renderla difficile da indovinare;
• Meno ovvio: le persone spesso usano date di nascita, i propri nomi, nomi di cose o persone vicine a loro e ecc. nelle loro password. Queste password sono molto facili da indovinare poiché è più facile trovare informazioni personali al giorno d’oggi. Ecco perché dovresti scegliere qualcosa di casuale che potrebbe non essere direttamente collegato a te, ma che sia facile da ricordare. Fondamentalmente, evita la terminologia comune e le combinazioni di numeri il più possibile.

Limita i tentativi di accesso

Il successo di un attacco brute-force dipende dal numero di volte in cui si può tentare di indovinare una password prima che l’hacker ci riesca. Quindi, se limiti i tentativi di accesso per utente, la possibilità dell’hacker di entrare diminuirà considerevolmente.

Inoltre, tieni presente che possono essere utilizzati diversi account e indirizzi IP per ogni tentativo. Una pratica comune è quella di bloccare temporaneamente un IP o un account dal tentativo di accesso dopo 4 o 5 tentativi infruttuosi.  Ogni volta che ci sono 4-5 tentativi falliti, puoi aumentare la durata del blocco temporaneo. Questo ti darà tempo e i tuoi sistemi saranno in grado di rilevare i bot e bloccarli prima che possano fare danni.

Usa l’autenticazione a 2 fattori

Le 2FA sono abbastanza comuni in questi giorni. Dopo aver inserito il nome utente e la password di un account, devi inserire un altro codice o pin a cui solo tu puoi accedere. Di solito, ricevi queste password una tantum (OTP) sul tuo cellulare o sull’email.

A volte la doppia verifica può anche significare la scansione delle impronte digitali o il rilevamento del volto dopo aver inserito la password. Questo aggiunge un ulteriore livello di sicurezza e gli hacker non possono accedere al tuo account semplicemente craccando la tua password.

Usa CAPTCHA

Gli hacker non possono eseguire un attacco brute force senza i bot. L’aggiunta di Captcha alla tua pagina di login può rendere più difficile il passaggio dei bot, perché le tue sfide sono progettate per essere risolte da esseri umani. Come tale, ora è utile in tutte le pagine in cui gli utenti hanno bisogno di inserire informazioni sensibili.

Web App Firewall (WAF)

Un WAF è uno spesso strato di sicurezza che rileva il traffico indesiderato e lo blocca prima che raggiunga la tua rete. Per esempio, molte persone usano i firewall Sucuri sui server per proteggere i siti web dei clienti e i loro dati.

Oltre alle tecniche menzionate sopra, i WAF di Sucuri utilizzano l’IP whitelisting, il rilevamento delle firme e il blocco e la scansione dei bot per prevenire gli attacchi brute force. In questo modo, i bot che tentano di entrare vengono rilevati in modo proattivo e bloccati senza influenzare il normale traffico del sito web.

Ti è piaciuto? Cosa ne pensi? Lascia il tuo commento. Inoltre, non dimenticare di unirti al nostro gruppo Telegram. Basta cliccare su “Canale Telegram” che si trova in alto a destra della pagina!