Secondo il Rapporto Clusit 2024, in Italia gli attacchi cyber sono in continua crescita. Nel 2023 sono stati calcolati quasi 2800 incidenti gravi totali a livello globale con un aumento del 12% rispetto all’anno precedente.
In tale panorama, tra le molteplici minacce esistenti, la tecnica brute force continua a essere adottata e, purtroppo, a risultare efficace per avere accesso a dati sensibili.
Si tratta, infatti, di attacchi relativamente semplici che, nel tempo, hanno visto amplificare la propria portata grazie alla crescente potenza di calcolo disponibile nelle macchine e all’ancora troppo scarsa attenzione alle password da parte degli utenti.
Un attacco brute force è una tecnica di hacking basata su tentativi sistematici di indovinare tra tutte le possibili combinazioni password, credenziali di accesso, chiavi crittografiche.
Tali tentativi sono ripetuti e svolti in modo automatico. Essi sono mirati, in ultima analisi, a conquistare accessi non autorizzati ad account altrui. La teoria alla base di questo tipo di minacce si fonda sul fatto che si ha un totale finito di possibilità, quindi, in seguito a prove ed errori, a un certo punto si può arrivare ai dati corretti.
All’aumentare della potenza di calcolo, le macchine possono oggi elaborare miliardi di combinazioni e, dunque, si spiega il perché i brute force attack continuano a rappresentare un pericolo.
Ovviamente gli attaccanti non eseguono un attacco brute force manualmente, ma si servono di strumenti che favoriscono un processo automatizzato per compiere i numerosi tentativi che conducono, per esclusione, alla scoperta della combinazione corretta.
Solitamente, l’attacco di forza bruta prevede una fase di preparazione in cui gli attaccanti raccolgono informazioni sul target che si vuole colpire (quali nome utenti comuni, pattern di password più diffuse, la loro possibile lunghezza eccetera).
Poi, comincia l’attacco vero e proprio, per cui sono utilizzati strumenti specifici capaci di eseguire migliaia di prove al secondo. Tool particolarmente evoluti sono in grado di modificare la propria strategia in base alla risposta che ottengono dai sistemi. Per esempio, possono rallentare le richieste per evitare il blocco temporaneo degli accessi.
D’altra parte, essi possono lavorare in sinergia tra più macchine che attaccano in parallelo oppure concentrare tutti gli sforzi su account ritenuti ad alto valore.
Dopo un certo periodo di tempo (che dipende da quanto le password sono deboli) l’attacco può giungere a buon fine e cioè restituire ai malintenzionati le informazioni che cercavano.
Vi sono varie tipologie di brute force attack che si differenziano per le loro strategie d’azione. I tipi più comuni sono:
Come è facile intuire, la prima variabile che incide sulla riuscita di un attacco brute force è quella inerente alla complessità delle password. Più le credenziali scelte sono complicate e improbabili più tentativi saranno necessari per individuarle.
Oltre a questo, naturalmente le politiche di protezione adottate dalle organizzazioni hanno un ruolo fondamentale per ostacolare gli attacchi.
Di contro, la potenza di calcolo dei sistemi gioca a favore degli attaccanti, riducendo il tempo che occorre agli attaccanti per arrivare al loro risultato.
Con password cracking si intende il processo di recupero delle password usato per identificare una password sconosciuta o dimenticata; inoltre, può essere utilizzato dagli amministratori di sistema per valutare la sicurezza delle password stesse.
Tale processo può, però, essere sfruttato anche da un hacker per avere accesso non autorizzato ad account e risorse per svolgere le proprie attività criminali.
Un Idiocy Attack è un attacco di forza bruta casuale e non sistematico. Si basa su informazioni facilmente reperibili (una su tutte la data di nascita).
Dato l’impegno di tutte le organizzazioni nel diffondere consapevolezza in merito al bisogno di optare per password sicure dovrebbe diminuire il numero di Idiocy Attack andati a buon fine, eppure questa continua a essere una minaccia importante.
Le aziende per prevenire accessi non autorizzati e, in particolare, per non rischiare di essere colpite da brute force attack devono implementare una strategia di difesa composita che prevede più misure di sicurezza.
È semplice ma efficace: password lunghe (caratterizzate da più di lettere maiuscole e minuscole, numeri e simboli) che non comprendano sequenze facilmente indovinabili, sono più difficili da trovare, anche per sistemi sofisticati.
Con questa metodologia per effettuare un accesso si richiede, oltre alla password, un secondo fattore di autenticazione (quale un codice mandato al device mobile dell’utente, oppure generato da un dispositivo o da una applicazione apposita). In questo caso, trovare la password non serve.
I sistemi possono essere configurati per porre un limite ai tentativi di accesso falliti, cioè agli errori che si possono compiere nella digitazione della propria password. Al raggiungimento di questo limite si può prevedere un blocco temporaneo, la richiesta di ulteriori verifiche eccetera.
Policy di patching e aggiornamento periodici consentono di evitare che gli attaccanti sfruttino le vulnerabilità note, vulnerabilità che possono essere utili anche in attacchi brute force. In tale contesto, naturalmente, è basilare ricordare anche l’utilità di sistemi di rilevamento delle intrusioni, antivirus aggiornati e così via.
Affidarsi a un partner tecnologico specializzato in cyber security come DigitelNET consente di delineare le policy e le soluzioni più opportune per difendersi dagli attacchi brute force e, in generale, per applicare forti misure di sicurezza informatica aziendale.
Contando sull’esperienza e le competenze di DigitelNET le aziende possono individuare robuste misure personalizzate da attuare per innalzare la protezione contro il cybercrime.
I nostri consulenti altamente qualificati del system integrator contribuiranno a mettere al sicuro il business senza intaccare le prestazioni dei sistemi, permettendo alle organizzazioni di concentrarsi sul proprio business.