O nome de usuário e a senha fazem parte das credenciais de acesso para vários aplicativos, serviços e recursos de todos os tipos. Apenas definir senhas fracas pode até levar a perdas financeiras. Infelizmente, mesmo se aplicarmos as melhores práticas do usuário, os cibercriminosos continuam a expandir e aprimorar seus conhecimentos para violá-los de alguma forma. Ataques de força bruta são um dos mais fáceis de executar e, ao mesmo tempo, um dos mais eficazes. Embora não seja totalmente possível evitar esses tipos de ataques, recomendamos que você dê uma olhada neste guia, que explicará em que consistem. Além disso, recomendaremos as medidas que todo suporte de TI deve aplicar para um gerenciamento mais seguro das senhas dos usuários de uma rede corporativa.
O que é um ataque de força bruta?
Consiste em um ataque no qual o cibercriminoso faz várias tentativas de adivinhe o nome de usuário e senha de um aplicativo ou serviço. Você pode pensar que esta é uma atividade extremamente trabalhosa, que requer muitos recursos e muitas horas. Na vida real, ferramentas automáticas são utilizadas para realizar este trabalho, fazendo uso de scripts automáticos e computadores potentes com uma excelente CPU e também GPU para acelerar este processo tanto quanto possível, e ser capaz de testar todas as combinações possíveis de credenciais no menor tempo possível. .
Mencionamos o fato de que muitos recursos são necessários. Nos referimos a recursos de computação. Levaria muito tempo para um computador pessoal básico quebrar uma senha se qualquer uma das ferramentas que automatizam ataques de força bruta fosse usada, pois elas têm milhões de combinações de credenciais. Em vez disso, os computadores devem ser equipados com o melhor em termos de CPU, RAM, e também potência da GPU.
Esses tipos de ataques têm como alvo todos os tipos de aplicativos da web, sites e serviços relacionados. Por outro lado, APIs e serviços que usam o protocolo SSH também são vulneráveis. No entanto, este é um dos ataques mais essenciais. Serve de ponte para muitos outros. Depois que as combinações de credenciais são correspondidas, vários tipos de dados pessoais podem ser acessados. Obviamente, os mais atraentes têm a ver com bancos, financeiro e comercial. Da mesma forma, qualquer tipo de dados que possa identificá-lo pode ser muito útil para um invasor obter algum tipo de receita, especialmente receita financeira.
Ataque de força bruta e phishing
Tanto os usuários individuais quanto os empresariais sofrem os estragos causados pelo phishing. Lembre-se de que isso consiste na chegada de email mensagens com conteúdo malicioso. Em muitos casos, chegam mensagens com remetentes que parecem ser legais e que até mesmo o conteúdo da mensagem parece ser. Porém, um link é clicado e, a partir daí, começam os problemas. Por outro lado, você pode encontrar mensagens que indicam claramente que se trata de tentativas de phishing, seja devido aos supostos endereços de e-mail dos remetentes ou erros de ortografia no texto das mensagens.
Infelizmente, muitas pessoas não prestam atenção a detalhes como os que discutimos e acabam sendo vítimas. Eles perdem dados que variam de acesso a email a detalhes bancários. O grande sucesso do phishing tem muito a ver com o fato de as credenciais de usuário e senha serem extremamente fracas. Não é surpresa que hoje em dia ainda existam senhas como "123456", "tequieromucho" ou "qwertyuiop". Uma das razões pelas quais esse tipo de situação ocorre é que, em muitos casos, os usuários não querem pensar muito em uma senha forte ou simplesmente pensam que nunca serão vítimas de phishing ou ataques semelhantes.
Tipos de ataque de força bruta
Abaixo, citaremos os tipos mais comuns de ataque de força bruta. Do mais simples para o mais complexo. O método mais conhecido é, obviamente, o método tradicional. O mesmo é que um cibercriminoso tenta o maior número de combinações de nome de usuário e senha manualmente. O número de combinações que você pode tentar depende de fatores como a origem dos usuários que você segmentou, os dados pessoais que você gerencia sobre eles e também pode usar programas do tipo dicionário. Estes facilitam a geração de combinações, economizando o tempo necessário para pensar em tais combinações.
Ataque reverso
Um tipo de ataque que tende a ser muito eficaz, embora não exija muito esforço, é o ataque reverso . Consiste em testar algumas combinações de senha em grandes grupos de usuários. Por que você optaria por essa variante do ataque de força bruta? Pelo que discutimos acima, muitos usuários ainda têm senhas fáceis de adivinhar. Além disso, os usuários que recebem ou têm acesso ao nome de usuário e senha padrão (por exemplo, roteadores Wi-Fi) se acostumam a não alterá-los. Essa economia de tempo decorrente da não alteração de senhas, principalmente, torna os dispositivos vulneráveis a ataques.
Outra situação que vale a pena comentar é sobre aquelas pessoas que usam câmeras de segurança de CFTV. Eles têm uma interface web e / ou móvel com um nome de usuário e senha específicos. Obviamente, é aconselhável alterar o nome de usuário e a senha. No entanto, muitas pessoas deixam de fazê-lo e expõem muito as pessoas mal-intencionadas a acessar e controlar suas câmeras. Shodan é um portal da web bem conhecido, caracterizado pela facilidade de localizar praticamente qualquer computador que possua um endereço IP público, ou seja, rastreável na Internet. Precisamente, uma das pesquisas mais populares consiste em interfaces de gerenciamento de câmeras de segurança, especialmente aquelas que mantêm suas credenciais de acesso padrão. Obviamente, essa é uma fonte inestimável para qualquer criminoso cibernético que queira violar esses sistemas de segurança. Além disso, muitas empresas e indivíduos usam ferramentas como essa para fins profissionais e educacionais. Isso pode até ajudar a determinar estratégias para proteger melhor qualquer dispositivo localizável na rede de redes.
Mesa arco-íris
Consiste no uso de um dicionário em formato de texto sem formatação e pré-informatizado. Além disso, eles também usam os valores de hash de cada uma das senhas pré-calculadas. Então, o que o invasor faz é tentar reverter o hash de cada um deles. Obviamente, isso é muito mais fácil com programas especiais e com recursos computacionais suficientes.
Ataques de dicionário
Realmente não é um ataque de força bruta que testa todas as combinações possíveis, mas os dicionários são uma das principais ferramentas para qualquer cibercriminoso executar ataques de quebra de senha. Em que consiste? Eles são conjuntos de frases geradas a partir de certas regras. Por exemplo, que as senhas em potencial são séries numéricas e alfanuméricas ou que incluem caracteres especiais diferentes à medida que cada senha é gerada. O Wifislax é uma ferramenta popular de hackers de rede Wi-Fi, onde você pode encontrar um conjunto completo de ferramentas e obter um conhecimento abrangente sobre ele. Entre as ferramentas disponíveis estão geradores de dicionário. Reiteramos o fato de que esses programas podem consumir muitos recursos de computação.
Como proteger efetivamente suas contas
Além das dicas típicas para escolher senhas fortes, que não significam exatamente algo ou dão alguma pista que identifique você e outras pessoas, é bom citar as medidas a serem seguidas por todos os responsáveis pelo gerenciamento de usuários da rede. Uma prática recomendada interessante é nunca armazenar senhas em bancos de dados, apenas o hash da senha e, se possível, usar um hash específico da senha.
Por outro lado, as políticas de criação de senha não devem ser negligenciadas. Não é apenas importante conscientizar sobre o uso de senhas fortes, mas as próprias políticas insistem com mensagens sobre se a senha é mais forte, o suficiente. Além disso, eles devem indicar se estão cumprindo todas as regras para criar essas senhas. Desde que o usuário deseje efetuar logon em seu ambiente de trabalho na empresa ou remotamente, ele deve ter um limite no número de tentativas por um certo tempo e, por exemplo, após três tentativas, ele já está bloqueado no login e redefinido.
Se necessário e de acordo com o aplicativo, serviço ou recurso no qual o usuário está efetuando login, é recomendável usar os métodos de autenticação CAPTCHA e Multifator. Isso é extremamente útil para garantir que o usuário legítimo é quem está efetuando login.
