L’attacco informatico di tipo Brute Force è stato uno tra i primi ad essere inventato. Il suo funzionamento si basa sullo scoprire una password o una chiave d’accesso provando tutte le combinazioni possibili.
Il lato positivo di questa tecnica è che teoricamente non può fallire poiché nel caso di una password, ad esempio, provando tutte le combinazioni possibili di lettere e numeri si dovrà per forza arrivare alla soluzione.
Il lato negativo è che questa tecnica è molto dispendiosa di tempo e di energie.
Un attacco di tipo Brute Force fu utilizzato per decifrare i messaggi della famosissima macchina Enigma
Esempio
Utilizziamo un software chiamato crunch per generare tutte le combinazioni possibili per una ipotetica password composta da tre lettere che siano “a” “b” “c”: Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Qualsiasi fosse stata la password, conoscendo quelle condizioni, è con il 100% delle possibilità presente in questa lista.
Un esempio concreto
Sul mio server fittizio “server2.lan” ho creato un’area protetta che richiede un username ed una password per effettuare l’accesso.
Queste sono le credenziali necessarie per accedere:
Image may be NSFW.
Clik here to view.
Così invece è come viene richiesta l’autenticazione quando cerco di visitare l’indirizzo http://server2.lan/private:
Image may be NSFW.
Clik here to view.
Questo è invece ciò che accade quando inserisco una password errata:
Image may be NSFW.
Clik here to view.
Vediamo adesso come effettuare un attacco Brute Force per trovare la password corretta:
- Generiamo un file contenente tutte le combinazioni di tutte le lettere dell’alfabeto minuscole. Le varie combinazioni dovranno essere composte 4 lettere.
Image may be NSFW.
Clik here to view.
Il comando ha generato 390625 combinazioni - Adesso utilizziamo un altro software chiamato hydra che proverà ad inserire tutte quelle password fino a trovare quella giusta. Image may be NSFW.
Clik here to view. - Dopo 15 minuti il software ha provato ad inserire tutte le 390625 password fino a trovare quella giusta. Image may be NSFW.
Clik here to view. - Proviamo adesso ad effettuare l’accesso con le credenziali che abbiamo trovato. Image may be NSFW.
Clik here to view.
L’attacco Brute Force è andato a buon fine in un tempo relativamente breve.
Il tempo necessario per l’attacco aumenta in maniera esponenziale all’aumentare della lunghezza della password. Per proteggersi da questo tipo di attacco è quindi necessario utilizzare password molto lunghe e complesse contenenti maiuscole, minuscole, numeri, simboli e spazi. In questo modo il tempo necessario per completare l’attacco potrebbe passare da pochi minuti a settimane o addirittura anni a seconda della velocità del calcolatore che esegue i tentativi e a seconda del tempo di risposta del server o servizio che si sta attaccando.
Andrea Carriero | BTBH
https://btbh.net
https://codethinker.net
andrea@btbh.ne
L'articolo Virus e sicurezza informatica: attacco Brute Force sembra essere il primo su Matematicamente.