Que é un ataque de forza bruta?

Hai moitos hacks extremadamente técnicos e sofisticados. Como podes adiviñar polo nome, un ataque de forza bruta non é realmente todo iso. Iso non quere dicir que debas ignoralos. Por pouco sofisticados que sexan, poden ser moi eficaces. Tendo tempo e poder de procesamento suficientes, un ataque de forza bruta sempre debería ter unha taxa de éxito do 100%.

Subclases

Hai dúas subclases principais: ataques en liña e fóra de liña. Un ataque de forza bruta en liña non implica necesariamente Internet. Pola contra, é unha clase de ataque que se dirixe directamente ao sistema en execución. Pódese realizar un ataque sen conexión sen necesidade de interactuar co sistema atacado.

Pero como podes atacar un sistema sen atacalo? Ben, as violacións de datos adoitan incluír listas de nomes de usuario e contrasinais filtrados. Porén, os consellos de seguridade recomendan que os contrasinais se almacenen nun formato hash. Estes hash só se poden romper adiviñando o contrasinal correcto. Desafortunadamente, agora que a lista de hash está dispoñible publicamente, un atacante pode descargar a lista e tentar descifralas no seu propio ordenador. Con tempo e potencia de procesamento suficientes, isto permítelles coñecer unha lista de nomes de usuario e contrasinais válidos cun 100 % de certeza antes de conectarse ao sitio afectado.

En comparación, un ataque en liña tentaría iniciar sesión directamente no sitio web. Isto non só é moito máis lento, senón que tamén se nota por case calquera propietario do sistema que lle interese mirar. Polo tanto, os ataques de forza bruta fóra de liña adoitan ser preferidos polos atacantes. Porén, ás veces, poden non ser posibles.

Credenciais de forzamento bruto

A clase máis fácil de entender e a ameaza máis común son os detalles de inicio de sesión de forzamento bruto. Neste escenario, un atacante literalmente proba tantas combinacións de nomes de usuario e contrasinais como sexa posible para ver o que funciona. Como se comentou anteriormente, nun ataque de forza bruta en liña, o atacante pode simplemente tentar introducir tantas combinacións de nome de usuario e contrasinal no formulario de inicio de sesión. Este tipo de ataque xera moito tráfico e erros de intento de inicio de sesión errados que poden ser detectados por un administrador do sistema que, a continuación, pode tomar medidas para bloquear o atacante.

Un ataque de forza bruta sen conexión xira en torno ao descifrado de hash de contrasinais. Este proceso literalmente toma a forma de adiviñar todas as posibles combinacións de personaxes. Dado o tempo e a potencia de procesamento suficientes, rompería con éxito calquera contrasinal usando calquera esquema de hash. Non obstante, os esquemas de hash modernos deseñados para o hash de contrasinais foron deseñados para ser "lentos" e normalmente están axustados para levar decenas de milisegundos. Isto significa que aínda cunha gran cantidade de poder de procesamento, levará moitos millóns de anos descifrar un contrasinal decentemente longo.

Para tentar aumentar as probabilidades de descifrar a maioría dos contrasinais, os piratas informáticos tenden a utilizar ataques de dicionario. Isto implica probar unha lista de contrasinais de uso habitual ou previamente crackeados para ver se xa se viu algún no conxunto actual. A pesar dos consellos de seguridade para usar contrasinais únicos, longos e complexos para todo, esta estratexia de ataque de dicionario adoita ser moi exitosa para descifrar aproximadamente o 75-95% dos contrasinais. Esta estratexia aínda leva moito poder de procesamento e segue sendo un tipo de ataque de forza bruta, é un pouco máis dirixido que un ataque de forza bruta estándar.

Outros tipos de ataque de forza bruta

Hai moitas outras formas de usar a forza bruta. Algúns ataques implican tentar obter acceso físico a un dispositivo ou sistema. Normalmente un atacante tentará ser furtivo respecto diso. Por exemplo, poden tentar esconderse furtivamente un teléfono, poden tentar abrir unha pechadura ou poden pasar por unha porta de acceso controlado. As alternativas de forza bruta a estes adoitan ser moi literais, utilizando a forza física real.

Nalgúns casos, pode coñecerse parte dun segredo. Pódese usar un ataque de forza bruta para adiviñar o resto. Por exemplo, algúns díxitos do seu número de tarxeta de crédito adoitan imprimirse nos recibos. Un atacante podería probar todas as combinacións posibles doutros números para calcular o número de tarxeta completo. É por iso que a maioría dos números están en branco. Os últimos catro díxitos, por exemplo, son suficientes para identificar a túa tarxeta, pero non o suficiente para que un atacante teña unha boa oportunidade de adiviñar o resto do número da tarxeta.

Os ataques DDOS son un tipo de ataque de forza bruta. Pretenden esmagar os recursos do sistema de destino. Realmente non importa que recurso. podería ser a potencia da CPU, o ancho de banda da rede ou acadar un límite de prezo de procesamento na nube. Os ataques DDOS implican, literalmente, o envío de tráfico de rede suficiente para abrumar á vítima. En realidade, non "piratear" nada.

Conclusión

Un ataque de forza bruta é un tipo de ataque que implica confiar na pura sorte, tempo e esforzo. Hai moitos tipos diferentes de ataques de forza bruta. Aínda que algúns deles poden implicar ferramentas algo sofisticadas para levar a cabo, como software de descifrado de contrasinais, o ataque en si non é sofisticado. Isto non significa que os ataques de forza bruta sexan tigres de papel, xa que o concepto pode ser moi efectivo.