L’attacco di forza bruta: una delle tecniche di hacking più diffuse

La storia degli attacchi informatici brute force (tradotto: forza bruta), al contrario di quanto ci si aspetterebbe, non è molto recente.
Infatti, uno dei primi attacchi di forza bruta mai avvenuti nella storia risale alla Seconda guerra mondiale, gli appassionati si ricorderanno della famigerata macchina “Enigma” utilizzata dai tedeschi per crittografare i messaggi che dovevano rimanere celati ai nemici. È qui che è entrato in scena il famosissimo personaggio – da molti conosciuto come il padre dei computer – Alan Turing, il quale perfezionò la macchina “Bomba”, un calcolatore abbastanza rudimentale ma capace di sottoporre i messaggi tedeschi crittografati a un primo attacco di forza bruta.
In epoca più recente, molti degli ultimi attacchi informatici finiti sulle pagine dei giornali derivano da tecniche che si basano su meccanismi di forza bruta, chiaramente più evoluti rispetto a quelli ideati da Turing.
Basti pensare che un’approssimazione abbastanza conservativa ha stimato che gli attacchi bruteforce ai siti WordPress siano intorno a svariate 100 di milioni al mese.
Che cos’è un attacco di forza Bruta?
Pensate di dover rubare una bici che ha un lucchetto con una combinazione di 4 cifre che possono andare da 0 a 9. Esistono varie soluzioni per rubare il mezzo:
- conoscere la combinazione del lucchetto;
- armarsi di tronchese e tagliare il metallo;
- staccare l’elemento a cui è collegato il lucchetto;
- provare tutte le combinazioni possibili (10.000!).
Se l’ultima soluzione non ti sembra particolarmente brillante, sappi che Alan Turing ha utilizzato proprio questa.
L’attacco di forza bruta infatti indica in pratica un algoritmo che consente di verificare tutte le combinazioni possibili fino a individuare quella corretta. Il grosso vantaggio di questa soluzione è che si arriva sempre alla risposta corretta (è necessario però che le variabili siano note), ma il contraltare è che viene richiesto molto tempo per individuarla.
Questo difetto ha comportato il fatto che tale metodo, per via delle nuove misure di sicurezza adottate da server coadiuvate da una maggiore consapevolezza degli utenti finali, è diventato troppo lento e poco efficace.
Come possono essere utilizzati gli attacchi di forza bruta?
Spesso gli hacker utilizzano diversi algoritmi per rubare le password degli utenti, utilizzando una combinazione di numeri, lettere e caratteri speciali insieme a una lista di informazioni anagrafiche che conoscono relativamente alle loro potenziali vittime.
Questo consente loro di diminuire nettamente le tempistiche richieste da un attacco di forza bruta tout court per indovinare una password o un codice di accesso.
In altri casi vengono invece utilizzati degli attacchi “a dizionario”, ossia degli algoritmi che basano i loro attacchi di forza bruta su un insieme di parole comunemente utilizzate o direttamente i dizionari stessi.
Infine, per i casi di attacchi più semplici, vengono utilizzati dei software quali Hydra, Hashcat, JRT per effettuare gli attacchi brute force.
Come posso difendermi?
Ovviamente il consiglio è quello di non utilizzare password troppo corte (può essere un’idea seguire il suggerimento di Snowden ed utilizzare invece passphrase ossia delle password che derivano da una stringa molto lunga di caratteri), che possono essere facilmente indovinate o individuate (data di nascita, nome del cane, etc.), o che non utilizzano caratteri speciali e numeri.
Inoltre, è buona pratica per tutti modificare la propria password periodicamente per evitare che venga individuata nelle tempistiche richieste da un attacco di forza bruta e non comunicare a nessuno le proprie credenziali.
Giarate al largo da siti poco sicuri, e che non sembrano particolarmente attendibili, e non cliccate su link sospetti.
Non utilizzare mai la stessa password per accedere a più siti è un ulteriore suggerimento da seguire per evitare di venire derubati!
Occorre precisare che l’hashing delle password (ossia la traduzione grazie un algoritmo crittografico delle password in una stringa di caratteri molto complessa) ha reso molto robusto il sistema di sicurezza dei principali siti. Perciò l’utente finale in ogni caso non è abbandonato a sé stesso. Infine, grazie ad alcuni plugin (WP limite login attemps o limit login attemps reloaded) consentono di bloccare l’accesso dopo un certo numero di tentativi falliti.
La cyber security non è un gioco da ragazzi e per fugare ogni tuo dubbio vai sul sito https://itmanager.space/ dove troverai maggiori informazioni.
Comment