Què és un atac de força bruta?

Hi ha molts hacks extremadament tècnics i sofisticats. Com podeu endevinar pel nom, un atac de força bruta no és realment tot això. Això no vol dir que els hagis d'ignorar. Per poc sofisticats que siguin, poden ser molt efectius. Amb prou temps i poder de processament, un atac de força bruta hauria de tenir sempre una taxa d'èxit del 100%.

Subclasses

Hi ha dues subclasses principals: atacs en línia i fora de línia. Un atac de força bruta en línia no implica necessàriament Internet. En canvi, és una classe d'atac que s'adreça directament al sistema en execució. Es pot dur a terme un atac fora de línia sense necessitat d'interaccionar amb el sistema atacat.

Però, com es pot atacar un sistema sense atacar-lo? Bé, les infraccions de dades sovint contenen llistes de noms d'usuari i contrasenyes filtrades. Tanmateix, els consells de seguretat recomana que les contrasenyes s'emmagatzemen en un format hash. Aquests hash només es poden trencar endevinant la contrasenya correcta. Malauradament, ara que la llista de hashes està disponible públicament, un atacant només pot descarregar la llista i provar de trencar-les al seu propi ordinador. Amb prou temps i poder de processament, això els permet conèixer una llista de noms d'usuari i contrasenyes vàlids amb una certesa del 100% abans de connectar-se mai al lloc afectat.

En comparació, un atac en línia intentaria iniciar sessió directament al lloc web. Això no només és molt més lent, sinó que també ho nota gairebé qualsevol propietari del sistema que vulgui mirar. Com a tal, els atacs de força bruta fora de línia solen ser preferits pels atacants. De vegades, però, poden no ser possibles.

Credencials de forçament brut

La classe més fàcil d'entendre i l'amenaça més comuna és la força bruta dels detalls d'inici de sessió. En aquest escenari, un atacant literalment prova tantes combinacions de noms d'usuari i contrasenyes com sigui possible per veure què funciona. Com s'ha explicat anteriorment, en un atac de força bruta en línia, l'atacant pot provar d'introduir tantes combinacions de nom d'usuari i contrasenya al formulari d'inici de sessió. Aquest tipus d'atac genera una gran quantitat de trànsit i errors d'intent d'inici de sessió fallits que un administrador del sistema pot detectar que després pot prendre mesures per bloquejar l'atacant.

Un atac de força bruta fora de línia gira al voltant de trencar hash de contrasenyes. Aquest procés literalment pren la forma d'endevinar totes les combinacions possibles de caràcters. Donat el temps i la potència de processament suficients, trencaria amb èxit qualsevol contrasenya mitjançant qualsevol esquema de hash. Tanmateix, els esquemes de hash moderns dissenyats per a l'hashing de contrasenyes han estat dissenyats per ser "lents" i normalment s'ajusten per prendre desenes de mil·lisegons. Això vol dir que, fins i tot amb una gran quantitat de potència de processament, es necessitaran molts milers de milions d'anys per trencar una contrasenya decentment llarga.

Per intentar augmentar les probabilitats de trencar la majoria de contrasenyes, els pirates informàtics solen utilitzar atacs de diccionari. Això implica provar una llista de contrasenyes que s'utilitzen habitualment o prèviament descobertes per veure si ja s'han vist alguna del conjunt actual. Malgrat els consells de seguretat per utilitzar contrasenyes úniques, llargues i complexes per a tot, aquesta estratègia d'atac de diccionari sol tenir molt èxit en trencar aproximadament el 75-95% de les contrasenyes. Aquesta estratègia encara requereix molta potència de processament i segueix sent un tipus d'atac de força bruta, és una mica més dirigit que un atac de força bruta estàndard.

Altres tipus d'atac de força bruta

Hi ha moltes altres maneres d'utilitzar la força bruta. Alguns atacs impliquen intentar obtenir accés físic a un dispositiu o sistema. Normalment, un atacant intentarà ser sigilós al respecte. Per exemple, poden intentar emmagatzemar un telèfon sigil·losament, poden intentar agafar un pany o poden passar per una porta amb control d'accés. Les alternatives de força bruta a aquestes solen ser molt literals, utilitzant la força física real.

En alguns casos, es pot conèixer algun secret. Es pot utilitzar un atac de força bruta per endevinar-ne la resta. Per exemple, uns quants dígits del número de la vostra targeta de crèdit s'imprimeixen sovint als rebuts. Un atacant podria provar totes les combinacions possibles d'altres números per esbrinar el vostre número de targeta complet. És per això que la majoria de números estan en blanc. Els últims quatre dígits, per exemple, són suficients per identificar la vostra targeta, però no són suficients perquè un atacant tingui una oportunitat decent d'endevinar la resta del número de la targeta.

Els atacs DDOS són un tipus d'atac de força bruta. Pretenen desbordar els recursos del sistema objectiu. Realment no importa quin recurs. podria ser la potència de la CPU, l'amplada de banda de la xarxa o assolir un límit de preu de processament al núvol. Els atacs DDOS només impliquen, literalment, enviar prou trànsit de xarxa per aclaparar la víctima. En realitat no "pirateja" res.

Conclusió

Un atac de força bruta és un tipus d'atac que implica confiar en pura sort, temps i esforç. Hi ha molts tipus diferents d'atac de força bruta. Tot i que alguns d'ells poden implicar eines una mica sofisticades per dur a terme, com ara programari de trencament de contrasenyes, l'atac en si no és sofisticat. Això no vol dir que els atacs de força bruta siguin tigres de paper, ja que el concepte pot ser molt eficaç.