Ci sono molti hack estremamente tecnici e sofisticati là fuori. Come potresti intuire dal nome, un attacco di forza bruta non è proprio tutto questo. Questo non vuol dire che dovresti ignorarli. Per quanto poco sofisticati, possono essere molto efficaci. Con tempo e potenza di elaborazione sufficienti, un attacco di forza bruta dovrebbe sempre avere una percentuale di successo del 100%.
Sottoclassi
Esistono due sottoclassi principali: attacchi online e offline. Un attacco di forza bruta online non coinvolge necessariamente Internet. Invece, è una classe di attacco che prende di mira direttamente il sistema in esecuzione. Un attacco offline può essere eseguito senza la necessità di interagire con il sistema che è sotto attacco.
Ma come puoi attaccare un sistema senza attaccare il sistema? Bene, le violazioni dei dati spesso contengono elenchi di nomi utente e password trapelati. I consigli di sicurezza, tuttavia, consigliano di archiviare le password in un formato con hash. Questi hash possono essere violati solo indovinando la password corretta. Sfortunatamente, ora che l'elenco degli hash è pubblicamente disponibile, un utente malintenzionato può semplicemente scaricare l'elenco e provare a decifrarli sul proprio computer. Con tempo e potenza di elaborazione sufficienti, ciò consente loro di conoscere un elenco di nomi utente e password validi con una certezza del 100% prima di connettersi al sito interessato.
Un attacco online in confronto proverebbe ad accedere direttamente al sito web. Non solo è molto più lento, ma è anche evidente praticamente da qualsiasi proprietario di sistema che si preoccupi di guardare. Pertanto, gli attacchi di forza bruta offline sono in genere preferiti dagli aggressori. A volte, tuttavia, potrebbero non essere possibili.
Credenziali di forza bruta
La classe più semplice da comprendere e la minaccia più comune sono i dettagli di accesso forzati. In questo scenario, un utente malintenzionato prova letteralmente quante più combinazioni possibili di nomi utente e password per vedere cosa funziona. Come spiegato sopra, in un attacco di forza bruta online, l'attaccante può semplicemente provare a inserire tutte le combinazioni di nome utente e password nel modulo di accesso. Questo tipo di attacco genera molto traffico ed errori di tentativi di accesso falliti che possono essere notati da un amministratore di sistema che può quindi intervenire per bloccare l'attaccante.
Un attacco di forza bruta offline ruota attorno al cracking degli hash delle password. Questo processo prende letteralmente la forma di indovinare ogni possibile combinazione di caratteri. Con tempo e potenza di elaborazione sufficienti, potrebbe decifrare con successo qualsiasi password utilizzando qualsiasi schema di hashing. I moderni schemi di hashing progettati per l'hashing delle password, tuttavia, sono stati progettati per essere "lenti" e in genere sono ottimizzati per richiedere decine di millisecondi. Ciò significa che anche con un'enorme quantità di potenza di elaborazione, ci vorranno molti miliardi di anni per decifrare una password abbastanza lunga.
Per cercare di aumentare le probabilità di decifrare la maggior parte delle password, gli hacker tendono invece a utilizzare gli attacchi del dizionario. Ciò implica provare un elenco di password comunemente utilizzate o precedentemente violate per vedere se qualcuna nel set corrente è già stata vista. Nonostante il consiglio di sicurezza di utilizzare password univoche, lunghe e complesse per tutto, questa strategia di attacco del dizionario è in genere molto efficace nel decifrare circa il 75-95% delle password. Questa strategia richiede ancora molta potenza di elaborazione ed è ancora un tipo di attacco di forza bruta, è solo leggermente più mirato di un attacco di forza bruta standard.
Altri tipi di attacco di forza bruta
Ci sono molti altri modi per usare la forza bruta. Alcuni attacchi comportano il tentativo di ottenere l'accesso fisico a un dispositivo o sistema. In genere un utente malintenzionato cercherà di essere furtivo al riguardo. Ad esempio, possono provare a borseggiare furtivamente un telefono, possono provare a forzare una serratura o possono aprire una porta con accesso controllato. Le alternative di forza bruta a queste tendono ad essere molto letterali, usando la forza fisica reale.
In alcuni casi, alcuni dei segreti possono essere conosciuti. Un attacco di forza bruta può essere utilizzato per indovinare il resto. Ad esempio, sulle ricevute vengono spesso stampate alcune cifre del numero della carta di credito. Un utente malintenzionato potrebbe provare tutte le possibili combinazioni di altri numeri per calcolare il numero completo della tua carta. Questo è il motivo per cui la maggior parte dei numeri viene cancellata. Le ultime quattro cifre, ad esempio, sono sufficienti per identificare la tua carta, ma non abbastanza perché un utente malintenzionato abbia una buona possibilità di indovinare il resto del numero della carta.
Gli attacchi DDOS sono un tipo di attacco di forza bruta. Mirano a sopraffare le risorse del sistema mirato. Non importa quale risorsa. potrebbe essere la potenza della CPU, la larghezza di banda della rete o il raggiungimento di un prezzo massimo di elaborazione cloud. Gli attacchi DDOS implicano letteralmente solo l'invio di traffico di rete sufficiente per sopraffare la vittima. In realtà non "hackera" nulla.
Conclusione
Un attacco di forza bruta è un tipo di attacco che implica affidarsi a pura fortuna, tempo e impegno. Esistono molti tipi diversi di attacco di forza bruta. Sebbene alcuni di essi possano coinvolgere strumenti alquanto sofisticati da eseguire come software per il cracking delle password, l'attacco in sé non è sofisticato. Ciò non significa che gli attacchi di forza bruta siano tigri di carta, poiché il concetto può essere molto efficace.