Definizione

Il Brute Force Attack è un metodo utilizzato dai cybercriminali per craccare le password degli account e scoprire credenziali di accesso. Questo tipo di attacco si basa su un dizionario di parole e password comuni che viene utilizzato per tentare di scoprire la password della vittima. Dopo aver esaurito tutti i termini presenti nel dizionario, i cybercriminali passano a tecniche più sofisticate, utilizzando combinazioni di caratteri, finché non viene trovata una corrispondenza. Possono essere necessari migliaia di tentativi per craccare una password; ecco perché durante un attacco brute force vengono utilizzati strumenti automatici che permettono di effettuare un gran numero di tentativi in breve tempo.

La Formazione sulla Cybersecurity Inizia Qui

Inizia una Prova Gratuita

Ecco come funziona la tua prova gratuita:

  • Parla con i nostri esperti di sicurezza informatica per valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce
  • Entro 24 ore e con un minimo di configurazione, implementeremo i nostri strumenti per 30 giorni
  • Prova la nostra tecnologia in prima persona!
  • Ricevi un rapporto che delinea le tue vulnerabilità di sicurezza per aiutarti a prendere subito provvedimenti adeguati contro gli attacchi alla tua sicurezza informatica

Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.

Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.

Come vengono utilizzati gli attacchi brute force?

Gli attacchi brute force possono essere lanciati contro un’applicazione o contro il valore crittografato o l’hash di una password. Le applicazioni web sono equipaggiate solitamente con meccanismi di sicurezza che bloccano i tentativi automatici di accesso tipici degli attacchi brute force, perciò è molto più probabile che i cybercriminali utilizzino questo tipo di attacchi direttamente con password rubate. Se l’attacco viene lanciato contro un’applicazione, verrà usato un software automatico che proverà una lista di nomi utente e password finché non viene trovata una corrispondenza. Quando ciò accade, i cybercriminali hanno accesso all’account dell’utente, a meno che non siano state predisposte misure di sicurezza supplementari.

Un tipo di attacco brute force più comune è invece quello di indovinare la password dell’utente a partire dal valore crittografato o dall’hash della password. Per decifrare una password crittografata è necessaria una chiave privata. Se un malintenzionato entrasse in possesso di tale chiave privata, sarebbe in grado di decifrare la password, o potrebbe sempre utilizzare strumenti automatici per tentare di decifrare il valore della chiave. Le password vengono normalmente salvate in versione hash, a senso unico e senza possibilità di decifratura. Perciò i cybercriminali, si servono di un dizionario di potenziali password, ne effettuano la codifica hash, e se il valore corrisponde all’hash della password rubata, il gioco è fatto: la password è stata craccata.

Finalità di un brute force attack

Ora i malintenzionati hanno accesso all’account del bersaglio, ed esistono molte ragioni per cui ciò risulti così appetibile per i cybercriminali. Potrebbero servirsene per accedere ai conti bancari della vittima, o trafugare dati di identificazione personale (PII). Potrebbero installare malware nel sistema della vittima, o inviare file malevoli ad altri utenti nella stessa rete. Se ad esempio un malintenzionato ruba le credenziali di accesso di un account amministratore, può dirottare traffico di rete, rubare dati riservati dai database interni, o installare malware su infrastrutture critiche. I danni derivanti da un attacco brute force dipendono dal livello di privilegi dell’account violato, e dal tipo di applicazione a cui tale account è relativo.

Alcune azioni supplementari che i cybercriminali possono compiere a seguito di un attacco brute force andato a buon fine includono:

  • Inviare messaggi a colleghi della vittima o altri utenti per spingerli a cliccare su link di phishing o aprire allegati malevoli.
  • Installare malware sul sistema o sull’infrastruttura di rete. Se viene infettato un dispositivo amministratore, il malintenzionato può rubare credenziali di alto livello.
  • Inviare messaggi ai clienti nel tentativo di danneggiare la reputazione della vittima.
  • Dirottare processi server per installare applicazioni malevole utilizzate per intercettare il traffico in uscita e in entrata.
  • Installare adware su sistemi e applicazioni, per ottenere guadagni dalle pubblicità.
  • Ridirezionare il traffico dell’utente verso un server controllato dai criminali.

Strumenti di attacco popolari

I brute force attack sono solitamente automatici. Una persona in carne ed ossa riesce a testare soltanto poche password al minuto, mentre un computer è in grado di testare centinaia o migliaia di combinazioni al minuto, in base anche alla velocità di connessione. I cybercriminali sfruttano l’automazione per lanciare i propri attacchi brute force. Non è raro vederli utilizzare i propri script personalizzati, sviluppati nei propri linguaggi di programmazione preferiti, come il Python ad esempio.

Esempi di programmi per attacchi brute force delle password:

  • Aircrack-ng
  • John the Ripper
  • L0phtCrack
  • Hashcat
  • DaveGrohl
  • Ncrack

In aggiunta agli strumenti di cracking delle password, i criminali si servono inoltre di strumenti per la scansione delle vulnerabilità, per identificare software non aggiornato e scoprire informazioni sull’applicazione presa di mira. Gli amministratori di rete dovrebbero sempre tenere aggiornati i server pubblici, e applicare le ultime patch di sicurezza, nonché utilizzare software specifico per identificare scansioni di sistema.

Tipi di attacchi brute force

L’essenza degli attacchi brute force è “indovinare” le credenziali della vittima, provando ogni possibile combinazione, finché non viene trovata una corrispondenza. Tuttavia, i criminali si servono di una moltitudine di strategie per ottenere i migliori risultati. È fondamentale per le organizzazioni, conoscere ogni tipo di attacco brute force per mettere in atto le opportune strategie di difesa.

Alcuni tipi di attacchi brute force includono:

  • Attacchi brute force semplici: I cybercriminali indovinano la password dell’utente, provando una combinazione di valori basati sulle informazioni conosciute riguardo la vittima. Può trattarsi ad esempio di informazioni trovate online o ottenute tramite attacchi di social engineering.
  • Attacchi dizionario: Molti attacchi brute force utilizzano un dizionario di parole, frasi, e password comuni scaricati da Internet.
  • Attacchi brute force ibridi: Un attacco ibrido sfrutta una combinazione di attacco semplice e dizionario. I cybercriminali si servono di ciò che è loro noto riguardo alla vittima, e lo combinano con parole e frasi del dizionario. Un esempio è quello di utilizzare informazioni private come la data di nascita, abbinata ad una parola del dizionario, una pratica comune nelle password generate dagli utenti.
  • Attacchi brute force inversi: Negli attacchi di questo tipo i criminali prendono una lista di password note, spesso dai marketplace del dark web, e la provano su una lista di possibili nomi utente, finché non ne viene trovato uno con cui funzioni e che permetta così di accedere ad un’applicazione.
  • Credential stuffing: Gli utenti hanno spesso la pessima abitudine di utilizzare le stesse password per differenti account e siti web. Ciò significa che, nel caso i cybercriminali venissero in possesso delle credenziali della vittima su un sito web, andrebbero a testare le stesse credenziali anche su altri siti web per vedere se riescono ad accedere ad ulteriori account della vittima.

Come prevenire gli attacchi brute force

Gli amministratori di rete hanno a disposizione diverse strategie per prevenire gli attacchi brute force. Il primo passo è stabilire regole di creazione delle password, che impediscano agli utenti di impostare password poco sicure. Per sistemi non critici, le password dovrebbero essere di almeno 10 caratteri, e comprendere lettere maiuscole, minuscole, caratteri speciali, e numeri. Per sistemi critici invece le password dovrebbero essere non meno di 12 caratteri. Con gli attuali computer, ci vorrebbero decenni per decrittare una password crittografata con un attacco brute force.

Ulteriori strategie di difesa contro gli attacchi brute force includono:

  • Utilizzare i salt: Un salt è un insieme di bit random utilizzato nell’hashing delle password. Utilizzare un salt, riduce le possibilità di riuscita degli attacchi brute force, perché i cybercriminali dovrebbero conoscere la password e il valore del salt.
  • Tentativi di autenticazione limitati: L’applicazione può limitare il numero di tentativi di accesso prima di bloccare un account o mostrare un CAPTCHA nel caso vengano fatti troppi tentativi. Questo sistema blocca gli attacchi brute force automatici o li rallenta al punto da renderli non più sostenibili.
  • Bloccare gli account dopo troppi tentativi di accesso: Questo interromperà l’attacco brute force.
  • Bloccare indirizzi IP sospetti: Se vengono effettuati troppi tentativi di accesso dallo stesso indirizzo IP, il sistema può bloccare automaticamente l’IP per un certo periodo, o l’amministratore può aggiungere manualmente l’indirizzo IP in una blocklist.
  • Autenticazione a due fattori (2FA): Nel caso in cui il malintenzionato riuscisse a scovare la password della vittima con un attacco brute force, dovrebbe poi superare l’autenticazione aggiuntiva per poter accedere all’account.

I software di monitoraggio individuano gli attacchi brute force e allertano gli amministratori di rete dell’attività sospetta. Quando viene rilevato un attacco brute force, ci si potrebbe trovare davanti ad un tentativo di furto dell’account. Ciò permetterà agli amministratori di controllare approfonditamente la propria rete, per determinare se ci sia stata una violazione.

Pronto a provare Proofpoint?

Inizia la tua prova gratuita di Proofpoint.