Existem muitos hacks extremamente técnicos e sofisticados por aí. Como você pode adivinhar pelo nome, um ataque de força bruta não é exatamente isso. Isso não quer dizer que você deva ignorá-los. Por mais simples que sejam, eles podem ser muito eficazes. Com tempo e poder de processamento suficientes, um ataque de força bruta sempre deve ter uma taxa de sucesso de 100%.
Subclasses
Existem duas subclasses principais: ataques online e offline. Um ataque de força bruta online não envolve necessariamente a Internet. Em vez disso, é uma classe de ataque que visa diretamente o sistema em execução. Um ataque offline pode ser executado sem a necessidade de interagir com o sistema que está sendo atacado.
Mas como você pode atacar um sistema sem atacar o sistema? Bem, as violações de dados geralmente contêm listas de nomes de usuário e senhas vazados. O conselho de segurança, porém, recomenda que as senhas sejam armazenadas em um formato hash. Esses hashes só podem ser quebrados adivinhando a senha correta. Infelizmente, agora que a lista de hashes está disponível publicamente, um invasor pode simplesmente baixar a lista e tentar quebrá-la em seu próprio computador. Com tempo e poder de processamento suficientes, isso permite que eles conheçam uma lista de nomes de usuário e senhas válidos com 100% de certeza antes mesmo de se conectar ao site afetado.
Em comparação, um ataque online tentaria fazer login no site diretamente. Isso não é apenas muito mais lento, mas também é perceptível por praticamente qualquer proprietário de sistema que se preocupa em olhar. Como tal, os ataques offline de força bruta são normalmente preferidos pelos invasores. Às vezes, no entanto, eles podem não ser possíveis.
Credenciais de força bruta
A classe mais fácil de entender e a ameaça mais comum são os detalhes de login de força bruta. Nesse cenário, um invasor tenta literalmente o máximo possível de combinações de nomes de usuário e senhas para ver o que funciona. Conforme abordado acima, em um ataque de força bruta on-line, o invasor pode simplesmente tentar inserir várias combinações de nome de usuário e senha no formulário de login. Esse tipo de ataque gera muito tráfego e erros de tentativa de login com falha, que podem ser percebidos por um administrador do sistema que pode tomar medidas para bloquear o invasor.
Um ataque offline de força bruta gira em torno da quebra de hashes de senha. Esse processo assume literalmente a forma de adivinhar todas as combinações possíveis de caracteres. Com tempo e poder de processamento suficientes, ele quebraria com sucesso qualquer senha usando qualquer esquema de hash. Esquemas de hash modernos projetados para hash de senha, no entanto, foram projetados para serem “lentos” e normalmente são ajustados para levar dezenas de milissegundos. Isso significa que, mesmo com uma grande quantidade de poder de processamento, levará muitos bilhões de anos para quebrar uma senha decentemente longa.
Para tentar aumentar as chances de quebrar a maioria das senhas, os hackers tendem a usar ataques de dicionário. Isso envolve tentar uma lista de senhas comumente usadas ou quebradas anteriormente para ver se alguma no conjunto atual já foi vista. Apesar dos conselhos de segurança para usar senhas únicas, longas e complexas para tudo, essa estratégia de ataque de dicionário normalmente é muito bem-sucedida, quebrando cerca de 75 a 95% das senhas. Essa estratégia ainda exige muito poder de processamento e ainda é um tipo de ataque de força bruta, apenas um pouco mais direcionado do que um ataque de força bruta padrão.
Outros tipos de ataque de força bruta
Existem muitas outras maneiras de usar a força bruta. Alguns ataques envolvem a tentativa de obter acesso físico a um dispositivo ou sistema. Normalmente, um invasor tentará ser furtivo sobre isso. Por exemplo, eles podem tentar furtivamente furtar um telefone, podem tentar arrombar uma fechadura ou podem abrir uma porta traseira com controle de acesso. Alternativas de força bruta tendem a ser muito literais, usando força física real.
Em alguns casos, alguns segredos podem ser conhecidos. Um ataque de força bruta pode ser usado para adivinhar o resto. Por exemplo, alguns dígitos do número do seu cartão de crédito geralmente são impressos nos recibos. Um invasor pode tentar todas as combinações possíveis de outros números para descobrir o número completo do seu cartão. É por isso que a maioria dos números está em branco. Os últimos quatro dígitos, por exemplo, são suficientes para identificar o seu cartão, mas não o suficiente para que um invasor tenha uma chance decente de adivinhar o restante do número do cartão.
Os ataques DDOS são um tipo de ataque de força bruta. Eles visam sobrecarregar os recursos do sistema de destino. Realmente não importa qual recurso. pode ser a potência da CPU, a largura de banda da rede ou o alcance de um limite de preço de processamento em nuvem. Os ataques DDOS literalmente envolvem apenas o envio de tráfego de rede suficiente para sobrecarregar a vítima. Na verdade, não "hackeia" nada.
Conclusão
Um ataque de força bruta é um tipo de ataque que envolve confiar em pura sorte, tempo e esforço. Existem muitos tipos diferentes de ataque de força bruta. Embora alguns deles possam envolver ferramentas um tanto sofisticadas para executar, como software de quebra de senha, o ataque em si não é sofisticado. Isso não significa que os ataques de força bruta sejam tigres de papel, pois o conceito pode ser muito eficaz.