Brute force é literalmente “força bruta”, termo utilizado para descrever um tipo de ataque onde força-se a entrada em algum sistema, site, servidor, aplicativo, etc. A técnica utilizada se dá através de sucessivas tentativas de acertar uma combinação de senha (uma chave), e assim conseguir acesso às informações e dados que deseja.

Imagine sua casa, existem duas forma de entrar, não é mesmo? Uma é a mais simples e óbvia, através da chave, onde se abre o portão e a porta, entrando de forma fácil. Essa ação é tomada por você e os demais que sejam autorizados a entrar em sua casa, ou seja, aqueles que têm a chave.

Outra forma é através de um arrombamento, empurrando o portão até que o mesmo caia, utilizando uma força bruta para abrir a passagem. Normalmente, esse método será utilizado por um bandido que pretende invadir sua residência.

Essa é basicamente a técnica utilizada no ataque de brute force. E a sua aplicação pode ser feita de duas formas:

Manual: Funciona principalmente fazendo a tentativa de um login e senha preenchendo os campos de forma manual, digitando palavra por palavra e realizando tentativas de login no serviço em questão.
Automática: Um software é responsável por apanhar palavras salvas em um arquivo, preencher os campos necessários e tentar efetuar login no serviço em questão.

Se você tem acompanhado os artigos aqui do blog, já sabe que técnicas como o brute force é uma das inteligências, das muitas que os crackers (hackers criminosos) utilizam para alcançar seus objetivos: roubar informações e dados.

E isso significa que o método utilizado por esses criminosos será a forma automática, operando um software para obter o acesso ao serviço ou informação que deseja.

Mas, como o ataque é utilizado? E como posso manter minhas senhas, serviços e empresa seguros?

Eu preparei esse artigo para responder essas perguntas e te ajudar a conhecer mais uma técnica usada pelos crackers. Preparado?

Então vamos lá!

Utilização do Brute Force

O brute force é uma tática que não demanda tanto esforço do executor. Isso porque os criminosos que aplicam, deixam que um computador faça todo o trabalho – experimentando diferentes combinações de nomes de usuário e senhas, por exemplo, até encontrar um que funcione.

O ataque mais básico é um ataque de dicionário, em que o invasor usa um dicionário de senhas possíveis e tenta todas. Os ataques de dicionário começam com algumas suposições sobre senhas comuns para tentar adivinhar a correta, à partir da lista no dicionário.

Esses ataques tendem a ser um pouco desatualizados, dadas as técnicas mais novas e eficazes.

Computadores recentes, fabricados nos últimos 10 anos, podem violar uma senha alfanumérica de 8 caracteres (maiúsculas e minúsculas, números, caracteres especiais) em cerca de duas horas.

Os computadores são tão rápidos que podem usar a força bruta para descriptografar um hash de criptografia fraco em apenas alguns meses.

Esses tipos de ataques de força bruta são conhecidos como uma pesquisa de chave exaustiva, em que o computador tenta todas as combinações possíveis até encontrar a correta.

A reciclagem de credenciais é outro tipo de ataque de força bruta que reutiliza nomes de usuários e senhas de outras violações de dados para tentar invadir sistemas.

Existe também o ataque de força bruta reversa, que usa uma senha comum como “senha”, e, subsequentemente, tenta forçar um nome de usuário para essa senha. Como usam senhas comuns, essa técnica é mais bem-sucedida do que você imagina.

Garantindo sua Segurança

Uma das principais razões que garantem a eficácia do Brute force attack são as senhas simplórias e óbvias.

Evite o óbvio

Quando se trata de criar senhas a maioria das pessoas usam as combinações mais simples como data de nascimento, nome pessoal, apelidos, nomes de amigos, etc. Esse é um erro simples mas muito frequente.

Um exemplo para você entender: Carlos Silveira é casado com Mariana Silveira, ele nasceu em 1990 e ela em 1995. Eles tem um filho chamado João Silveira, que nasceu em 2005. Senhas como “silveira2005″, “carlos90″, “joão05″, “mariana95″ e “950590sl” devem ser evitadas.

Claro que existem dezenas de outras combinações com os dados acima, porém, não preciso de mais exemplos para mostrar como uma senha com tais dados pode ser facilmente tentada por qualquer pessoa, principalmente com o uso de Brute Force.

Outros exemplos a serem evitados nas senhas são os endereços de residências, telefones e placas de veículos: Uma combinação utilizando as primeiras letras do nome da sua rua, ou mesmo a placa do seu carro devem ser mais evitadas do que nomes e apelidos, pois possuem menos combinações possíveis, a não ser que você embaralhe os dados, o que ainda a deixaria pouco segura.


“Mas onde alguém conseguiria estes dados?”

Você pode está se fazendo esta pergunta, mas, se você pensar bem, muitos usuários acabam entregando esses dados de mão beijada, principalmente em redes sociais. É muito comum perfis abertos que contém telefone, endereço, dentre outras informações.

Lembrando que certas informações não devem ser expostas em redes sociais.

Tenha senhas Seguras

Senhas seguras devem ter pelo menos 8 caracteres, de preferência com 3 tipos diferentes de caracteres, como números, letras maiúsculas, letras minúsculas e caracteres especiais.

Vamos utilizar o mesmo exemplo citado acima: Carlos Silveira, é casado com Mariana Silveira, ele nasceu em 1990 e ela em 1995. Eles tem um filho chamado João Silveira, que nasceu em 2005.

Um exemplo de combinação para senhas, deveria ter letras maiúsculas e minúsculas, além dos números. SilVEirA951 – Observe que a senha é composta por um “S” maiúsculo, um “i” minúsculo, “V” e “A” são maiúsculos, e ao invés de inserir a data “1995”, foi colocado 951.

A senha acima se tornou segura, pois usou 8 caracteres utilizando letras maiúsculas e minúsculas, além dos números. Indo mais além, ainda, fazendo uma troca inteligente com a data similar ao nascimento da mãe, mas em uma sequência nada óbvia.

Claro que existem muitos exemplos que vão se encaixar melhor dentro da necessidade de cada usuário. Esse exemplo foi só para que você saiba que é possível elaborar uma senha mais forte, de uma forma simples.

Prevenção

Quando se trata de estar seguro contra os ataques hackers, como o Brute force, entre tantos outros malwares que já falamos aqui no blog, o caminho é sempre a prevenção.

Isso porque, a recuperação dos dados perdidos é sempre um caminho muito mais incerto e difícil a ser trilhado. O ideal é sempre garantir a segurança das informações e dados, a fim de evitar que os ataques ocorram.


Apresento a você algumas outras medidas que podem ser aplicadas principalmente em sua empresa, a fim de que o acesso seja feito por pessoas autorizadas:

  • Limitar as tentativas de login: ataques de força bruta incrementam o contador de tentativas de login malsucedidos. Uma boa defesa é bloquear usuários após algumas tentativas, anulando assim um ataque em andamento.
  • Implementar Captcha: o Captcha é um sistema comum para verificar se o usuário é um ser humano de verdade, e pode interromper ataques de força bruta em andamento.
  • Autenticação de múltiplos fatores: a autenticação de múltiplos fatores adiciona uma segunda camada de segurança a cada tentativa de login que necessite da intervenção humana. Isso também pode impedir o sucesso de um ataque de força bruta.


Conclusão

Apesar do Brute force ser um ataque simples, olhando por uma ótica superficial, ele não pode ser ignorado, pois, como vimos, os atacantes, assim como em todas as técnicas utilizadas para roubar dados e ter acesso a informações, aproveitam-se de vulnerabilidades, riscos e negligências dos usuários.

Como venho dizendo em todos os nossos artigos, é muito importante que você saiba que suas ações, suas escolhas e passos em relação às tecnologias, podem assegurar ou colocar em cheque suas informações, bem como da sua empresa.

Por isso nós da Starti estamos caminhando nesse compromisso de conscientizá-lo a ter ações mais seguras em relação à tecnologia e às suas informações, para que, assim, haja uma continuidade dos seus negócios, e uma proteção dos seus dados.

Troque suas senhas com regularidade, evite senhas óbvias, não deixe as mesmas expostas, aplique as etapas e ferramentas de verificação e proteção das senhas em sua empresa e garanta, assim, a proteção.

Conheça também outros ataques e riscos para que os seus dados e de sua empresa estejam seguros:

O que é sniffer? Como se proteger!

O que é Vírus de Computador?

Ransomware: entenda o que é e como se proteger dessa ameaça!