Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.

Brute force é literalmente “força bruta”, termo utilizado para descrever um tipo de ataque onde se força a entrada em algum sistema, site, servidor, aplicativo, etc. A técnica utilizada se dá através de sucessivas tentativas de acertar uma combinação de senha (uma chave), e assim conseguir acesso às informações e dados que deseja.

Imagine sua casa, existem duas formas de entrar, não é mesmo? Uma é a mais simples e óbvia, através da chave, onde se abre o portão e a porta, entrando de forma fácil. Essa ação é tomada por você e os demais que sejam autorizados a entrar em sua casa, ou seja, aqueles que têm a chave.

Outra forma é através de um arrombamento, empurrando o portão até que o mesmo caia, utilizando uma força bruta para abrir a passagem. Normalmente, esse método será utilizado por um bandido que pretende invadir sua casa.

Essa é basicamente a técnica utilizada no ataque de brute force. E a sua aplicação pode ser feita de duas formas:

Manual: Funciona principalmente fazendo a tentativa de um login e senha preenchendo os campos de forma manual, digitando palavra por palavra e realizando tentativas de login no serviço em questão.

Automática: Um software é responsável por apanhar palavras salvas em um arquivo, preencher os campos necessários e tentar efetuar login no serviço em questão.

Anuncio-Missao-Firewall-1

Se você acompanha os artigos aqui do blog, já sabe que técnicas como o brute force é uma das inteligências, das muitas que os crackers (hackers criminosos) utilizam para alcançar seus objetivos: roubar informações e dados.

E isso significa que o método utilizado por esses criminosos será a forma automática, operando um software para obter o acesso ao serviço ou informação que deseja.

Mas, como o ataque é utilizado? E como posso manter minhas senhas, serviços e empresa seguros?

Esse artigo vai responder essas perguntas e te ajudar a conhecer mais uma técnica usada pelos criminosos. Preparado?

Então vamos lá!

Utilização do Brute Force

O brute force é uma tática que não necessita de tanto esforço do executor. Isso porque, os criminosos que aplicam, deixam que um computador faça todo o trabalho – experimentando diferentes combinações de nomes de usuário e senhas, por exemplo, até encontrar um que funcione.

O ataque mais básico é um ataque de dicionário, em que o invasor usa um dicionário de senhas possíveis e tenta todas. Os ataques de dicionário começam com algumas suposições sobre senhas comuns para tentar adivinhar a correta, a partir da lista no dicionário.

Esses ataques tendem a ser um pouco desatualizados, dadas as técnicas mais novas e eficazes.

Computadores recentes, fabricados nos últimos 10 anos, podem violar uma senha alfanumérica de 8 caracteres (maiúsculas e minúsculas, números, caracteres especiais) em cerca de duas horas.

Os computadores são tão rápidos, podem usar a força bruta para descriptografar um hash de criptografia fraco em apenas alguns meses.

Esses tipos de ataques de força bruta são conhecidos como uma pesquisa de chave exaustiva, em que o computador tenta todas as combinações possíveis até encontrar a correta.

A reciclagem de credenciais é outro tipo de ataque de força bruta que reutiliza nomes de usuários e senhas de outras violações de dados para tentar invadir sistemas.

Existe também o ataque de força bruta reversa, que usa uma senha comum como “senha”, e, subsequentemente, tenta forçar um nome de usuário para essa senha. Como usam senhas comuns, essa técnica é mais bem-sucedida do que você imagina.

Garantindo sua Segurança

Uma das principais razões que garantem a eficácia do brute force attack são as senhas simplórias e óbvias.

Evite o óbvio

Quando falamos sobre senhas, a maioria das pessoas usa as combinações mais simples, como: data de nascimento, nome pessoal, apelidos, nomes de amigos, etc. Esse é um erro muito comum, tanto que em 2020, a senha "123456" foi utilizada por 2 milhões e meio de usuários, segundo os dados da Nordpass.

Um exemplo para você entender: Carlos Silveira é casado com Mariana Silveira, ele nasceu em 1990 e ela em 1995. Eles têm um filho chamado João Silveira, que nasceu em 2005. Senhas como “silveira2005″, “carlos90″, "joão05″, “mariana95″ e “950590sl” devem ser evitadas.

Os endereços de residências, telefones e placas de veículos também não devem ser utilizados nas senhas. Exemplos: Uma combinação utilizando as primeiras letras do nome da sua rua, ou mesmo a placa do seu carro deve ser mais evitadas que nomes e apelidos, por possuírem menos combinações possíveis.

“Mas onde alguém conseguiria estes dados?”

A verdade é que muitos usuários entregam esses dados de mão beijada, principalmente nas redes sociais. É muito comum perfis abertos que contém telefone, endereço, dentre outras informações.

banner-parceria-6

Tenha senhas Seguras

Senhas seguras precisam ter pelo menos 8 caracteres, de preferência com 3 tipos diferentes de caracteres, como números, letras maiúsculas, letras minúsculas e símbolos especiais.

Vamos utilizar o mesmo exemplo citado acima: Carlos Silveira, é casado com Mariana Silveira, ele nasceu em 1990 e ela em 1995. Eles têm um filho chamado João Silveira, que nasceu em 2005.

Um exemplo de combinação para senhas, deveria ter letras maiúsculas e minúsculas, além dos números. SilVEirA951 – Observe que a senha é composta por um “S” maiúsculo, um “i” minúsculo, “V” e “A” são maiúsculos, e ao invés de inserir a data “1995”, foi colocado 951.

A senha acima se tornou segura, pois usou 8 caracteres utilizando letras maiúsculas e minúsculas, além dos números. Indo mais além, ainda, fazendo uma troca inteligente com a data similar ao nascimento da mãe, mas em uma sequência nada óbvia.

Confira algumas dicas da AVG, para você elaborar senhas fortes:

  • Baixe a lista de palavras do Diceware: Um editor de texto básico pode abri-la.
  • Jogue um dado cinco vezes (ou cinco dados de uma vez) e marque os números em ordem.
  • Localize a palavra que corresponde aos números sorteados e anote-a.
  • Repita a ação até você ter um total de 6 ou 7 palavras.

Prevenção

Quando se trata de estar seguro contra os ataques hackers, como o Brute force, entre tantos outros malwares que já falamos aqui no blog, o caminho é sempre a prevenção.

Isso porque, a recuperação dos dados perdidos é sempre um caminho bem mais incerto e difícil a ser trilhado. O ideal é sempre garantir a segurança das informações e dados, a fim de evitar que os ataques ocorram.

Apresento a você algumas outras medidas que podem ser aplicadas principalmente em sua empresa, para que o acesso seja feito por pessoas autorizadas:

  • Limitar as tentativas de login: ataques de força bruta incrementam o contador de tentativas de login malsucedidos. Uma boa defesa é bloquear usuários após algumas tentativas, anulando assim um ataque em andamento.
  • Implementar Captcha: o Captcha é um sistema comum para verificar se o usuário é um ser humano de verdade, e pode interromper ataques de força bruta em andamento.
  • Autenticação de múltiplos fatores: a autenticação de múltiplos fatores adiciona uma segunda camada de segurança a cada tentativa de login que necessite da intervenção humana. Isso também pode impedir o sucesso de um ataque de força bruta.

Conclusão

Apesar do Brute force ser um ataque simples, olhando por uma ótica superficial, ele foi um dos ataques de maior sucesso em 2020, explorando as inseguranças do acesso remoto no home office.

Por isso, lembre-se:

“As senhas são como roupas íntimas: não deixe que as pessoas vejam, mude-as com frequência e não as compartilhe com estranhos.” - Chris Pirillo

Siga-nos nas redes sociais:

YouTube | Facebook | Instagram | LinkedIn | Podcast Távola Redonda | Canal no Telegram

Cola com Starti, juntos vamos construir um #BRASILSEGURO!