Brute force: quando l’informatica diventa aggressiva

0

Quando si parla di esseri viventi, la forza bruta (o brute force) è ciò che misuriamo per capire quanta forza fisica una persona sia capace di sprigionare: in informatica, il concetto è più o meno analogo.

Gli attacchi brute force rappresentano il lato meno ‘pensato’ della branca degli attacchi informatici, ovvero il tentativo di scoprire una password in maniera completamente slegata da una logica o un pattern preciso, ma procedendo per tentativi.

Il primo utilizzo di metodi di forza bruta applicati a calcolatori fu quello della macchina Bomba, ideata dall’ingegnere tedesco Arthur Scherbius e successivamente realizzata da Marian Rejewski nel 1938 con lo scopo di decifrare i messaggi emessi dalla macchina tedesca Enigma.


Cos’è un attacco brute force?

Gli attacchi brute force vengono definiti come approcci di tipo trial and error, caratterizzati da un funzionamento piuttosto inefficiente dal punto di vista di tempo: al giorno di oggi, esistono chiavi crittografiche di lunghezze troppo vaste per essere scoperte a tentativi in un lasso di tempo accettabile.

Tuttavia, proviamo a fare un esempio pratico: quante volte avete cercato di sbloccare inutilmente il cellulare di un vostro amico, per impossessarvene qualche attimo e fargli uno scherzo?
Avrete sicuramente in mente il numero di tentativi che vi sarebbero stati necessari per avere la certezza di aver provato tutte le possibili combinazioni.

Questo è un problema gravoso se considerato dal punto di vista umano, ma le macchine, a differenza nostra, riescono a svolgere tali tentativi molto più velocemente, rendendole adatte a questo scopo.

difficoltà-calcolo-uomo


Attacchi a dizionario: varianti del brute force

Una delle varianti degli attacchi di tipo brute force è quella a dizionario: in uno scenario in cui viene utilizzato questo approccio, l’attaccante deve specificare un numero finito di parole da far utilizzare al software, e lasciare ad esso il compito di tentarle tutte, una per una.

Questo metodo viene sfruttato per due ambiti ben distinti: la crittanalisi e la sicurezza informatica. Mentre nel primo caso si cerca di scoprire la chiave crittografica impiegata per la cifratura di un testo od un file, nell’ambito della sicurezza l’obiettivo diventa l’aggiramento di un sistema che richiede una password d’accesso decisa da un essere umano.

L’attacco a dizionario si rivela efficace quando impiegato in quest’ultimo tipo di situazioni: esistono infatti dei dizionari già scritti su internet, contenenti le più comuni parole utilizzate.

Ma l’uso di dizionari si estende anche ad altro: vi siete mai chiesti come mai abbiate decine di mail spam sulla vostra casella privata? Molti spammer utilizzano sistemi a dizionario, per comporre indirizzi mail validi a cui recapitare posta spazzatura.

spam-email-attacco-dizionario


Software per l’attacco

Attualmente, esistono diversi software in voga sul web mirati alla finalità del password cracking e brute forcing. Ricordiamo che le finalità di questi software dovrebbero essere ad uso di recupero dati personali e password perdute.

  • John The Ripper: questo software è uno dei favoriti quando si parla di password cracking o brute forcing su memorie criptate, grazie alla sua capacità di scovare il tipo di hashing utilizzato per la chiave. Rilasciato come open source, comprende la funzione di attacco a dizionario e quella di identificazione di password deboli. Download qui.

  • Brutus: per quanto riguarda il brute forcing attraverso protocolli web, Brutus è una buona scelta. Rilasciato come freeware, supporta HTTP, POP3, FTP, SMP o Telnet e permette fino a 60 connessioni simultanee verso indirizzi esterni. Potete scaricarlo qui.

  • L0phtCrack: nato nel 2000, l0pthcrack viene utilizzato ad oggi per recuperare password su sistemi operativi Windows. Combinando attacchi dizionario basati su hash forniti dall’utente ed utilizzo di rainbow tables, è uno dei più utilizzati per il sistema operativo di Microsoft. Essendo a licenza commerciale, avrete un periodo di trial prima di decidere di acquistarlo. Qui il link di riferimento.

  • Hashcat: uno dei vantaggi più pubblicizzati dai suoi autori è quello di essere tra i più veloci software per scoprire password, oltre che essere gratuito. Supporta vari algoritmi di hashing come MD5, SHA, MySQL e Cisco PIX. Se volete provarlo, scaricatelo qui.

software-brute-force-logo


Prevenzione e difesa dagli attacchi brute force

Finora abbiamo parlato di come attaccare, ma cosa fare quando siamo noi stessi la vittima di un attacco simile?

In realtà, ai giorni d’oggi è molto facile schermarsi da questi attacchi: l’uso di password sufficientemente lunghe e complesse compromette nel più dei casi un attacco di brute force.

Evitando di utilizzare parole comuni o facilmente deducibili, farete in modo che sistemi come quelli a dizionario non possano riuscire nel loro intento: esistono vari stratagemmi per compattare una frase o una parola preferita in una password a prova di attacco, e ne potrete trovare molti cercando in rete.

Se siete invece possessori di un sito web, e volete evitare che un aggressore qualunque possa entrare coi privilegi di amministratore nel vostro pannello, le due implementazioni migliori da tenere in considerazione sono quelle del Captcha e dei tentativi di login limitati.

Avrete sicuramente visto in giro per il web quei riquadri contenenti immagini da selezionare, o frasi da scrivere a mano prima di registrarsi ad un sito: si tratta dei “completely automated public Turing test to tell computers and humans apart“, più comunemente detti Captcha.

Il loro impiego fa sì che un utente che lancia un attacco sia costretto a dover verificare manualmente ogni tentativo, rallentando di parecchio la velocità dell’attacco.

Esattamente per lo stesso scopo esistono dei metodi per limitare il numero di tentativi di login: mentre con il Captcha avremmo potuto trovare sistemi di aggiramento, stavolta non sarà possibile farlo, poiché sarà il codice del nostro sito a bloccare arbitrariamente ogni tentativo di accesso per un tot di secondi prima di permetterne uno nuovo.

Potrebbe interessarti anche: