Secondo il Rapporto Clusit 2024, in Italia gli attacchi cyber sono in continua crescita. Nel 2023 sono stati calcolati quasi 2800 incidenti gravi totali a livello globale con un aumento del 12% rispetto all’anno precedente.
In tale panorama, tra le molteplici minacce esistenti, la tecnica brute force continua a essere adottata e, purtroppo, a risultare efficace per avere accesso a dati sensibili.
Si tratta, infatti, di attacchi relativamente semplici che, nel tempo, hanno visto amplificare la propria portata grazie alla crescente potenza di calcolo disponibile nelle macchine e all’ancora troppo scarsa attenzione alle password da parte degli utenti.
Che cos'è un attacco Brute Force?
Un attacco brute force è una tecnica di hacking basata su tentativi sistematici di indovinare tra tutte le possibili combinazioni password, credenziali di accesso, chiavi crittografiche.
Tali tentativi sono ripetuti e svolti in modo automatico. Essi sono mirati, in ultima analisi, a conquistare accessi non autorizzati ad account altrui. La teoria alla base di questo tipo di minacce si fonda sul fatto che si ha un totale finito di possibilità, quindi, in seguito a prove ed errori, a un certo punto si può arrivare ai dati corretti.
All’aumentare della potenza di calcolo, le macchine possono oggi elaborare miliardi di combinazioni e, dunque, si spiega il perché i brute force attack continuano a rappresentare un pericolo.
Come funziona un attacco brute force?
Ovviamente gli attaccanti non eseguono un attacco brute force manualmente, ma si servono di strumenti che favoriscono un processo automatizzato per compiere i numerosi tentativi che conducono, per esclusione, alla scoperta della combinazione corretta.
Solitamente, l’attacco di forza bruta prevede una fase di preparazione in cui gli attaccanti raccolgono informazioni sul target che si vuole colpire (quali nome utenti comuni, pattern di password più diffuse, la loro possibile lunghezza eccetera).
Poi, comincia l’attacco vero e proprio, per cui sono utilizzati strumenti specifici capaci di eseguire migliaia di prove al secondo. Tool particolarmente evoluti sono in grado di modificare la propria strategia in base alla risposta che ottengono dai sistemi. Per esempio, possono rallentare le richieste per evitare il blocco temporaneo degli accessi.
D’altra parte, essi possono lavorare in sinergia tra più macchine che attaccano in parallelo oppure concentrare tutti gli sforzi su account ritenuti ad alto valore.
Dopo un certo periodo di tempo (che dipende da quanto le password sono deboli) l’attacco può giungere a buon fine e cioè restituire ai malintenzionati le informazioni che cercavano.
Scopri 10 semplici strategie per migliorare la strategia di cybersicurezza della tua organizzazione
Tipologie di attacchi brute force
Vi sono varie tipologie di brute force attack che si differenziano per le loro strategie d’azione. I tipi più comuni sono:
- Attacco bruce force semplice, è il più dispendioso dal punto di vista del tempo e delle risorse impiegate: l’attaccante prova tutte le possibili combinazioni fino ad arrivare a quella giusta.
- Attacco a dizionario: sfrutta elenchi predefiniti di password comuni (dizionari appunto) che servono per rendere più veloce la ricerca. I tentativi partono, cioè, con l’utilizzare le password usate più di frequente e quindi ritenute più probabili.
- Credential stuffing, simile alla precedente tipologia, si verifica su ampia scala, ovvero quando gli attaccanti hanno a disposizione liste di credenziali molto lunghe e riescono a fare tentativi di accesso a più siti in contemporanea.
- Brute force inverso. Il cyber hacker prova ad abbinare password note o ipotetiche a un elevato numero di nomi utente. Una strategia di questo tipo è utile in aziende con policy inerenti alle password deboli o per servizi in cui le password sono prestabilite.
- Riciclo delle credenziali. Sono utilizzate credenziali già compromesse in altri attacchi. Questa modalità di attacco si fonda sul fatto gli utenti tendono a riutilizzare le stesse credenziali su più siti.
- Attacco ibrido, combina la tecnica di quello a dizionario (ossia utilizza password note e/o probabili e vi applica variazioni (per esempio aggiunge o toglie lettere, cambia numeri, simboli eccetera).
- Attacco di forza bruta distribuita, come più sopra accennato, questa tipologia di attacchi può essere lanciata anche da reti di computer che si distribuiscono i carichi di lavoro e riescono, collaborando, a essere più efficaci.
Cosa influenza la riuscita di un attacco brute force?
Come è facile intuire, la prima variabile che incide sulla riuscita di un attacco brute force è quella inerente alla complessità delle password. Più le credenziali scelte sono complicate e improbabili più tentativi saranno necessari per individuarle.
Oltre a questo, naturalmente le politiche di protezione adottate dalle organizzazioni hanno un ruolo fondamentale per ostacolare gli attacchi.
Di contro, la potenza di calcolo dei sistemi gioca a favore degli attaccanti, riducendo il tempo che occorre agli attaccanti per arrivare al loro risultato.
Cos'è il password cracking?
Con password cracking si intende il processo di recupero delle password usato per identificare una password sconosciuta o dimenticata; inoltre, può essere utilizzato dagli amministratori di sistema per valutare la sicurezza delle password stesse.
Tale processo può, però, essere sfruttato anche da un hacker per avere accesso non autorizzato ad account e risorse per svolgere le proprie attività criminali.
Cos'è un Idiocy Attack?
Un Idiocy Attack è un attacco di forza bruta casuale e non sistematico. Si basa su informazioni facilmente reperibili (una su tutte la data di nascita).
Dato l’impegno di tutte le organizzazioni nel diffondere consapevolezza in merito al bisogno di optare per password sicure dovrebbe diminuire il numero di Idiocy Attack andati a buon fine, eppure questa continua a essere una minaccia importante.
Come contrastare gli attacchi brute force?
Le aziende per prevenire accessi non autorizzati e, in particolare, per non rischiare di essere colpite da brute force attack devono implementare una strategia di difesa composita che prevede più misure di sicurezza.
Utilizzare password complesse
È semplice ma efficace: password lunghe (caratterizzate da più di lettere maiuscole e minuscole, numeri e simboli) che non comprendano sequenze facilmente indovinabili, sono più difficili da trovare, anche per sistemi sofisticati.
Autenticazione a due fattori (2FA)
Con questa metodologia per effettuare un accesso si richiede, oltre alla password, un secondo fattore di autenticazione (quale un codice mandato al device mobile dell’utente, oppure generato da un dispositivo o da una applicazione apposita). In questo caso, trovare la password non serve.
Limitare i tentativi di accesso
I sistemi possono essere configurati per porre un limite ai tentativi di accesso falliti, cioè agli errori che si possono compiere nella digitazione della propria password. Al raggiungimento di questo limite si può prevedere un blocco temporaneo, la richiesta di ulteriori verifiche eccetera.
Aggiornamento continuo dei software di sicurezza
Policy di patching e aggiornamento periodici consentono di evitare che gli attaccanti sfruttino le vulnerabilità note, vulnerabilità che possono essere utili anche in attacchi brute force. In tale contesto, naturalmente, è basilare ricordare anche l’utilità di sistemi di rilevamento delle intrusioni, antivirus aggiornati e così via.
Proteggiti dai Brute Force con DigitelNET
Affidarsi a un partner tecnologico specializzato in cyber security come DigitelNET consente di delineare le policy e le soluzioni più opportune per difendersi dagli attacchi brute force e, in generale, per applicare forti misure di sicurezza informatica aziendale.
Contando sull’esperienza e le competenze di DigitelNET le aziende possono individuare robuste misure personalizzate da attuare per innalzare la protezione contro il cybercrime.
I nostri consulenti altamente qualificati del system integrator contribuiranno a mettere al sicuro il business senza intaccare le prestazioni dei sistemi, permettendo alle organizzazioni di concentrarsi sul proprio business.
