BRUTE FORCE: Tudo o que você precisa saber!
Brute force é literalmente “força bruta”, termo utilizado para descrever um tipo de ataque onde se força a entrada em algum sistema, site, servidor, aplicativo, etc.
A técnica utilizada se dá através de sucessivas tentativas de acertar uma combinação de senha (uma chave), e assim conseguir acesso às informações e dados que deseja.
Imagine sua casa, existem duas formas de entrar, não é mesmo?
Uma é a mais simples e óbvia, através da chave, onde se abre o portão e a porta, entrando de forma fácil. Essa ação é tomada por você e os demais que sejam autorizados a entrar em sua casa, ou seja, aqueles que têm a chave.
Outra forma é através de um arrombamento, empurrando o portão até que o mesmo caia, utilizando uma força bruta para abrir a passagem. Normalmente, esse método será utilizado por um bandido que pretende invadir sua casa.
O que é um ataque Brute force?
Essa é basicamente a técnica utilizada no ataque de brute force. E a sua aplicação pode ser feita de duas formas:
Manual: Funciona principalmente fazendo a tentativa de um login e senha preenchendo os campos de forma manual, digitando palavra por palavra e realizando tentativas de login no serviço em questão (raramente utilizado).
Automática: Um software é responsável por apanhar palavras salvas em um arquivo, preencher os campos necessários e tentar efetuar login no serviço em questão.
Se você acompanha os artigos aqui do blog, já sabe que técnicas como o brute force é uma das inteligências, das muitas que os crackers (hackers criminosos) utilizam para alcançar seus objetivos: roubar informações e dados.
Isso significa que o método utilizado por esses criminosos será a forma automática, operando um software para obter o acesso ao serviço ou informação que deseja.
Basicamente, ao tentar quebrar credenciais, os invasores iniciam um aplicativo ou script (bot), que executa todas as combinações de números, letras e caracteres para adivinhar uma senha.
Tipos de Brute Force
Um ataque de força bruta realiza centenas dessas tentativas a cada segundo, executando solicitações GET ou POST (métodos de solicitações do protocolo HTTP).
Conheça alguns tipos mais comuns de ataques de força bruta:
Ataque brute force simples
Já citado aqui, esse é o tipo mais comum de brute force, por vezes classificado como chave exaustiva, onde são utilizadas ferramentas ou scripts para automatizar o processo de adivinhação de uma senha, com várias combinações diferentes, até a obtenção da chave correta.
Ataque dicionário
O ataque dicionário aplica a tentativa de quebra de senhas utilizando frases e palavras comuns. O atacante aproveita-se das combinações de números, palavras de um dicionário, ou ainda, listas de credenciais vazadas, disponíveis na web e na dark web para aplicar suas ações.
Ataque de força bruta híbrido
Como o nome indica, neste ataque, os invasores combinam as estratégias do ataque simples com o ataque dicionário. A estratégia do ataque dicionário é usada para a abordagem baseada em uma lógica externa, enquanto as sugestões possíveis são então modificadas, como ocorre no ataque simples.
Ataques brute force reverso
É o tipo de estratégia mais fora da curva, pois, neste ataque, os invasores possuem senhas e experimentam diferentes combinações de nomes de usuários e números de contas.
Ataque da mesa arco-íris
Este ataque utiliza a reversão de funções de hash criptográficas. Os invasores utilizam uma tabela ou dicionário pré-configurado de senhas de texto simples, e as funções de hash correspondentes a elas.
Brute Force: como uma tática “simples” causa problemas?
Com esses exemplos que conhecemos aqui, ficou claro que os ataques de força bruta, apesar de subestimados, não são tão simples assim. As táticas do brute force são uma constante ameaça para desenvolvedores web e para a segurança das empresas.
Isso porque, essas táticas são utilizadas pelos invasores para a execução de outras ameaças, a saber:
- Roubo de dados
- Disseminar malwares
- Sequestrar sistemas
- Tornar sites indisponíveis
- Lucrar com anúncios
- Infectar sites com spywares a fim de coletar dados para revendê-los
Além da possibilidade de utilizar as táticas do brute force como estratégia inicial para todos esses ataques, a facilidade na operação dos softwares, e o baixo custo, torna o brute force muito atrativo para golpistas e cibercriminosos.
O brute force nos ensina uma importante lição sobre o cibercrime: nunca subestime táticas e vulnerabilidades, por mais simples e pequenas que as mesmas possam parecer.
Vejamos agora algumas ferramentas utilizadas pelos cibercriminosos para executar ataques de força bruta.
As ferramentas utilizadas para o Brute Force
Os tipos de ataques de força bruta são executados com diferentes ferramentas. Algumas delas são projetadas para executar ataques contra sistemas específicos, e outras conseguem afetar uma variedade de sistemas.
Conheça agora as mais populares:
Aircrack-ng
Já imaginou um conjunto de ferramentas brute force para senhas do Wi-Fi?
É o caso da Aircrack-ng, onde ela quebra senhas por meio de um detector, sniffer de pacotes, um cracker WEP/WPA/WPA2-PSK e uma ferramenta de análise para Wi-Fi 802.11. Ele pode direcionar controladores de interface de rede (NIC) que suportam o modo de monitoramento bruto.
John the Ripper
John the Ripper está entre as ferramentas mais populares, destacando-se por rodar em 15 plataformas diferentes e combinar diversas ferramentas em uma só. Ela possui um cracker personalizável, além de detectar centenas de tipos de cifra e hash.
L0phtCrack
Essa é uma das ferramentas mais utilizadas para quebrar senhas do Windows, através de ataques de força bruta, simples, dicionário, híbrido e arco-íris. Também pode ser utilizado para auditoria de senhas.
RainbowCrack
Essa ferramenta possui tabelas de arco-íris pré-computadas, que são aplicadas para quebrar senhas. Tal funcionalidade possibilita mais rapidez no desempenho dos ataques de força bruta.
THC Hydra
Eis uma ferramenta focada em protocolos de rede. A THC Hydra é um cracker de login de rede paralelizado, usado especificamente para quebrar senhas de protocolo de rede. Essa ferramenta é muito utilizada por pentesters (profissionais que executam testes de penetração na rede).
Como evitar um ataque de força bruta?
Uma das principais razões que garantem a eficácia do brute force attack são as senhas simplórias e óbvias.
Evite o óbvio
Quando falamos sobre senhas, a maioria das pessoas usa as combinações mais simples, como: data de nascimento, nome pessoal, apelidos, nomes de amigos, etc. Esse é um erro muito comum, tanto que em 2020, a senha "123456" foi utilizada por 2 milhões e meio de usuários, segundo os dados da Nordpass.
Um exemplo para você entender: Carlos Silveira é casado com Mariana Silveira, ele nasceu em 1990 e ela em 1995. Eles têm um filho chamado João Silveira, que nasceu em 2005. Senhas como “silveira2005″, “carlos90″, "joão05″, “mariana95″ e “950590sl” devem ser evitadas.
Os endereços de residências, telefones e placas de veículos também não devem ser utilizados nas senhas. Exemplos: Uma combinação utilizando as primeiras letras do nome da sua rua, ou mesmo a placa do seu carro deve ser mais evitadas que nomes e apelidos, por possuírem menos combinações possíveis.
“Mas onde alguém conseguiria estes dados?”
A verdade é que muitos usuários entregam esses dados de mão beijada, principalmente nas redes sociais. É muito comum perfis abertos que contém telefone, endereço, dentre outras informações.
Tenha senhas Seguras
Senhas seguras precisam ter pelo menos 8 caracteres, de preferência com 3 tipos diferentes de caracteres, como números, letras maiúsculas, letras minúsculas e símbolos especiais.
Confira algumas dicas da AVG, para você elaborar senhas fortes:
- Baixe a lista de palavras do Diceware: Um editor de texto básico pode abri-la.
- Jogue um dado cinco vezes (ou cinco dados de uma vez) e marque os números em ordem.
- Localize a palavra que corresponde aos números sorteados e anote-a.
- Repita a ação até você ter um total de 6 ou 7 palavras.
Dicas de prevenção para evitar ataques brute force
Abaixo, relacionamos algumas outras medidas que podem ser aplicadas em sua empresa, para que o acesso seja feito por pessoas autorizadas, e que você tenha controle sobre os acessos ao sistema e rede:
- Limitar as tentativas de login: ataques de força bruta incrementam o contador de tentativas de login malsucedidos. Uma boa defesa é bloquear usuários após algumas tentativas, anulando assim um ataque em andamento.
- Implementar Captcha: o Captcha é um sistema comum para verificar se o usuário é um ser humano de verdade, e pode interromper ataques de força bruta em andamento.
- Autenticação de múltiplos fatores: a autenticação de múltiplos fatores adiciona uma segunda camada de segurança a cada tentativa de login que necessite da intervenção humana. Isso também pode impedir o sucesso de um ataque de força bruta.
- Acompanhar e encerrar contas não utilizadas: remova contas não utilizadas com permissões de alto nível, pois constituem um risco grave.
A dica final ajudará na segurança de todo o perímetro digital da sua empresa.
Implemente soluções para proteger a rede e os acessos da web
Os invasores podem utilizar diversos caminhos para executar ataques de força bruta em sua empresa. Por isso, é importante trabalhar caminhos de prevenção e mitigação de ameaças digitais que exploram diferentes vulnerabilidades.
É o caso do Starti Security Plataform.
Desenvolvido de maneira modularizada, focado nas principais demandas de segurança das empresas, possibilitando a prevenção, o monitoramento e a mitigação de ameaças na rede e na superfície da web.
Descubra recursos como:
- Firewall/VPN
- IDS/IPS
- Web Filter
- App Filter
Além disso, possuímos um programa de parceria focado no crescimento de receita recorrente e escalabilidade de negócio nas empresas de TI, tornando-as aptas a criar uma frente de trabalho que venda, entregue e gerencie segurança e disponibilidade como serviço.
Clique no banner abaixo e fale com um de nossos especialistas.
Brute force & escalonamento de privilégios: pequenas brechas, grandes estragos
Agora que você já entendeu os conceitos básicos e as estratégias do brute force, podemos apresentar um assunto um pouco mais profundo sobre o tema: o uso dos ataques de força bruta para escalação de privilégios em sistemas, principalmente em sistemas Windows e Linux.
O que é a escalação de privilégios?
A escalação de privilégios é um tipo de ataque de rede usado para obter acesso não autorizado a sistemas, dentro de um perímetro de segurança. Essa tática começa com uma busca de pontos fracos nas defesas de uma organização, obtendo acesso a um sistema.
Em muitos casos, esse primeiro ponto de penetração não concederá aos invasores o nível de acesso ou dados de que precisam. Eles então tentarão o escalonamento de privilégios para obter mais permissões, ou obter acesso a sistemas adicionais e mais confidenciais.
Os cibercriminosos podem explorar controles de segurança inadequados, ou falhas nas políticas de privilégios dos sistemas. Contudo, eles podem também explorar vulnerabilidades específicas de softwares, ou ainda, técnicas para burlar o mecanismo de permissões de um sistema operacional.
Mas, onde o brute force entra nessa história?
Existem muitos vetores de ataque de escalonamento de privilégios, e o brute force é um deles. Contudo, esse é um conteúdo que você descobrirá aqui em nosso blog, de maneira exclusiva.
Bateu a curiosidade?
Então acompanhe nossos artigos, pois em breve teremos um conteúdo completo sobre esse assunto.
Apesar de ser um ataque aparentemente simples, o Brute force precisa ser levado a sério, como uma ameaça real à segurança dos sistemas e dados de sua empresa.
Confira mais materiais em nossos outros canais:
Cola com Starti, juntos vamos construir um #BRASILSEGURO!