Ataque de força bruta

Quais são os diferentes tipos de ataques de força bruta?

Diferentes tipos de ataques de força bruta existem, como os a seguir:

• Credenciais-stuffing ocorre depois que uma conta de usuário foi comprometida e o invasor tenta a combinação de nome de usuário e senha em vários sistemas.
• Um ataque de força bruta reverso começa com o invasor usando uma senha comum - ou já conhecendo uma senha - contra vários nomes de usuário ou arquivos criptografados para obter acesso à rede e aos dados. O hacker, então, seguirá o mesmo algoritmo de um ataque típico de força bruta para encontrar o nome de usuário correto.
• Um ataque de dicionário é outro tipo de ataque de força bruta, onde todas as palavras em um dicionário são testadas para encontrar uma senha. Os atacantes podem aumentar palavras com números, caracteres e muito mais para quebrar senhas mais longas.

Formas adicionais de ataques de força bruta podem tentar usar as senhas mais usadas, como "senha", "12345678" –ou qualquer sequência numérica como esta– e "qwerty", antes de tentar outras senhas.

Qual é a melhor maneira de se proteger contra ataques de força bruta?

As organizações podem fortalecer a segurança cibernética contra ataques de força bruta usando uma combinação de estratégias, incluindo as seguintes:

• Aumentando a complexidade da senha. Isso amplia o tempo necessário para descriptografar uma senha. Implementar regras de gerenciamento de senhas, como comprimento mínimo de senha, uso obrigatório de caracteres especiais etc.
• Limitando tentativas falhas de login. Proteja sistemas e redes implementando regras que bloqueiam um usuário por um tempo especificado após tentativas de login repetidas.
• Criptografia e hashing. A criptografia de 256 bits e os hashes de senha aumentam exponencialmente o tempo e o poder de computação necessários para um ataque de força bruta. No hashing de senha, as strings são armazenadas em um banco de dados separado e condensadas para que as mesmas combinações de senha tenham um valor de hash
• Implementação de CAPTCHAs. Isso impede o uso de ferramentas de ataque de força bruta, como John the Ripper, enquanto ainda mantém redes, sistemas e sites acessíveis para humanos.
• Adoção de autenticação de dois fatores. Este é um tipo de autenticação multifatorial que adiciona uma camada adicional de segurança de login, exigindo duas formas de autenticação –como exemplo, para fazer login em um novo dispositivo Apple, os usuários precisam colocar em seu Apple ID juntamente com um código de seis dígitos que é exibido em outro de seus dispositivos previamente marcados como confiáveis.

Uma boa maneira de proteger contra ataques de força bruta é usar todas ou uma combinação das estratégias acima.

Como as ferramentas de ataque de força bruta podem melhorar a segurança cibernética?

Ferramentas de ataque de força bruta às vezes são usadas para testar a segurança da rede. Algumas das mais comuns são as seguintes:

• Aircrack-ng pode ser usado para testar Windows, iOS, Linux e Android. Ele usa uma coleção de senhas amplamente usadas para atacar redes sem fio.
• Hashcat pode ser usado para testar a resistência de Windows, o Linux e o iOS a partir de ataques baseados em força bruta e regras.
• L0phtCrack é usado para testar vulnerabilidades do sistema Windows contra ataques de tabela arco-íris. Não mais suportado, novos proprietários –desde o verão de 2021– vêm explorando abrir o código entre outras opções não divulgadas para o software.
• John the Ripper, é uma ferramenta livre de código aberto para implementar ataques de força bruta e dicionário. É frequentemente usado por organizações para detectar senhas fracas e melhorar a segurança da rede.

A TI pode usar a ferramenta de auditoria de rede sem fio Aircrack-ng para testar a segurança das senhas.

Quais são alguns exemplos de ataques de força bruta?

• Em 2009, atacantes miraram contas do Yahoo usando scripts automatizados de quebra de senha em um aplicativo de autenticação baseado em serviços web do Yahoo, que se acredita ter sido usado por provedores de serviços de internet e aplicativos web de terceiros.
• Em 2015, quase 20.000 contas foram violadas através de milhões de tentativas automatizadas de força bruta para acessar o programa de recompensas de aplicativos móveis da Dunkin’ Donuts para obter indevidamente DD Perks.
• Em 2017, criminosos de cibersegurança usaram ataques de força bruta para acessar as redes internas do Reino Unido e do Parlamento escocês.
• Em 2018, atacantes de força bruta quebraram senhas e informações confidenciais de milhões de passageiros das companhias aéreas Cathay Pacific.
• Em 2018, veio à tona o fato de que um bug do Firefox expôs a senha master do navegador a ataques de força bruta contra um insuficiente Secure Hash Algorithm 1 cujo hashing foi deixado sem correção por quase nove anos.
• Em 2021, a Agência de Segurança Nacional americana alertou para ataques de senha de força bruta que foram lançados de um cluster kubernetes criado especialmente para isso por uma unidade dentro da agência de inteligência estrangeira da Rússia.
• Em 2021, hackers ganharam acesso a ambientes de teste da T-Mobile e, na sequência, usaram ataques de força bruta e outros meios para hackear outros servidores de TI, incluindo aqueles que continham dados de clientes.