Che cos'è un attacco di accesso di forza bruta (e come prevenirlo)?
Pubblicato: 2022-07-12Gli attacchi informatici sono diventati più sofisticati, con gli hacker che trovano modi sempre più intelligenti per rubare dati e accedere a siti Web e database. Uno dei modi principali in cui un hacker accede a un sito Web è utilizzare un accesso di forza bruta o un attacco di forza bruta.
L'attacco di forza bruta si riferisce a un utente malintenzionato che invia più password nella speranza di indovinare la combinazione corretta per ottenere l'accesso non autorizzato ai tuoi sistemi. Il software utilizzato dall'hacker può spesso proteggere l'accesso a un sito Web, un account e-mail o un altro database in pochi secondi.
Si chiama forza bruta perché i tentativi vengono eseguiti vigorosamente e continuamente fino a quando il nome utente e la password non sono protetti. Gli attacchi di forza bruta sono mezzi semplici ma altamente efficaci per decifrare le chiavi di crittografia e accedere ai file che si desidera mantenere segreti.
Come funzionano gli attacchi di forza bruta?
A livello di base, gli accessi di forza bruta sono semplici come indovinare possibili password. Ma la chiave è provare più varianti fino ad arrivare alla risposta.
Più lunghe sono le password possibili, più varianti dovrai provare. Un passcode a 2 cifre ha 100 possibilità, mentre un passcode a cinque cifre ha 10 miliardi. Inoltre, pensa al fatto che la maggior parte dei codici di accesso non sono solo cifre. Contengono alfabeti, lettere maiuscole e caratteri speciali. Questo è il motivo per cui le password deboli sono più facili da indovinare rispetto alle password complesse.
Se ti sei mai chiesto perché i siti Web insistono sull'utilizzo di password complesse, questa immagine potrebbe aiutarti a spiegare.
Come puoi vedere, le password semplici possono essere violate usando attacchi di forza bruta in meno di un secondo. Ma più sono complessi, più tempo impiegano a scendere a compromessi.
Quindi uno dei modi principali per evitare attacchi di forza bruta sul tuo sito Web è richiedere a tutti gli utenti di disporre di password lunghe e complesse. In effetti, la sicurezza delle password è ora vista come la prima linea di difesa contro molte forme di attacco informatico.
Un altro problema è che, a causa dell'enorme potenza di calcolo richiesta, l'utilizzo di un bot di forza bruta può aumentare la velocità di elaborazione e rendere ancora più semplice l'accesso ai sistemi.
Perché i tentativi di forza bruta non vengono segnalati?
Esistono diversi modi in cui gli hacker evitano il rilevamento durante un tentativo di accesso con la forza bruta.
1. Usano più IP
Se hai troppi tentativi di accesso falliti a causa dell'inserimento della password errata, la maggior parte dei sistemi ti chiederà di aspettare un po' e riprovare o ti bloccherà completamente. Allora perché questi hacker non subiscono la stessa sorte?
I tentativi di accesso a forza bruta vengono eseguiti in modo astuto e sistematico che coinvolge più computer e indirizzi IP.
Una tattica utilizzata è chiamata attacco distribuito in cui ogni IP tenta di indovinare la tua password solo un numero limitato di volte, dopodiché si interrompe completamente. Un altro IP prende quindi il suo posto.
Ora, moltiplicalo su larga scala, con dozzine o addirittura centinaia di bot che cercano di accedere tutti in una volta ma non provano mai abbastanza volte per attivare un meccanismo di sicurezza.
2. Non stanno solo indovinando
Durante gli attacchi di forza bruta, l'hacker agisce sulla base di alcune informazioni disponibili. Ad esempio, la maggior parte delle persone utilizza la stessa password su molte piattaforme, quindi una violazione dei dati da un'altra piattaforma è un buon punto di partenza. Questo è noto come attacco di forza bruta inversa perché un hacker prova più nomi utente finché non ne trova uno che si adatta alla password.
Ci sono anche altre tattiche. Ad esempio, gli hacker possono utilizzare attacchi con dizionario in cui l'hacker esegue le password utilizzando parole standard, ad esempio "password", "admin", "ti amo" o "1234567890".
Un attacco dizionario è un metodo comune per scomporre password semplici, che ha un successo allarmante e viene utilizzato spesso. Gli hacker possono anche utilizzare attacchi di forza bruta ibrida che combinano attacchi di dizionario con attacchi di forza bruta di base.
Esempi famosi di attacchi di forza bruta
Alibaba (2015)
Un famoso esempio di attacco con la forza bruta è il sito TaoBao di Alibaba. Tra ottobre e novembre del 2015, il gigante dell'e-commerce ha subito un attacco di forza bruta che non è stato rilevato dal team di sicurezza. In questo caso, i tentativi di accesso eccessivi non sono stati segnalati a causa del traffico elevato e costante di TaoBao.
I rapporti affermano che le password riutilizzate erano responsabili di alcuni degli account compromessi poiché gli hacker hanno riutilizzato le credenziali dell'account rubate da altri siti. Gli hacker avevano oltre 99 milioni di credenziali di account con cui lavorare e hanno violato con successo oltre 20 milioni di profili di account utente.
Club Nintendo (2013)
Club Nintendo è un sito di appartenenza alla comunità in cui gli utenti discutono di tutto ciò che riguarda Nintendo. Nel 2013, il sito ha subito un attacco di forza bruta, in cui, dopo 15 milioni di tentativi, gli hacker hanno finalmente violato gli account degli utenti.
Per fortuna, tutti gli account compromessi sono stati rapidamente sospesi fino a quando non sono stati restituiti ai legittimi proprietari. I rapporti suggeriscono che l'attacco ha colpito oltre 25.000 membri del forum.
GitHub (2013)
Github è probabilmente il più grande esempio di attacco di forza bruta nella storia. Nel 2013, gli hacker hanno ottenuto l'accesso a più account utente dopo diversi tentativi da quasi 40.000 indirizzi IP univoci. I rapporti suggeriscono che gli hacker hanno utilizzato informazioni ottenute da altre fughe di dati.
Github archivia le password degli utenti in modo sicuro e, anche se non è chiaro quanti account siano stati compromessi, le stime mostrano che erano pochissimi.
Qual è l'obiettivo di un attacco di forza bruta?
I dati degli utenti sono incredibilmente preziosi nel nostro mondo digitale. Dalle informazioni di pagamento o dai dettagli fiscali, al semplice accesso a indirizzi e-mail e password. Queste sono le ragioni principali degli attacchi di forza bruta.
Accedi ai tuoi dati utente
I siti Web con molti dati utente sono spesso bersagli di attacchi di forza bruta. In caso di successo, gli hacker non solo possono accedere all'account utente, ma spesso possono utilizzare questi dettagli di accesso anche su altri siti Web.
In effetti, con un database di dettagli utente noti, gli hacker possono eseguire attacchi di forza bruta utilizzando questi dettagli raccolti su siti Web su Internet.
Sfrutta le risorse web
Con hack specifici come un accesso a forza bruta a WordPress, l'attaccante cerca di utilizzare le risorse del tuo sito Web a proprio vantaggio. Ad esempio, potrebbero voler utilizzare il tuo sito Web per inviare e-mail di spam e phishing a tua insaputa. Gli hacker possono anche utilizzare il tuo sito per hackerare altri siti perché probabilmente il tuo IP non è ancora nella lista nera.
Altri motivi per forzare l'accesso a WordPress includono il mining di criptovalute o il reindirizzamento del traffico del tuo sito.
Esplora le vulnerabilità
Gli hacker white-hat, spesso indicati come hacker etici o hacktivist, non hanno alcun intento dannoso. Al contrario, testano la forza della sicurezza di un sistema per eliminare le vulnerabilità e segnalarle. Pertanto, un hacker white-hat può eseguire un attacco di forza bruta sui siti Web come parte di un controllo di sicurezza.
Come prevenire un attacco di forza bruta?
Come la maggior parte degli elementi di sicurezza informatica, la prevenzione degli attacchi di forza bruta può essere eseguita con una serie di semplici passaggi.
Usa password complesse
8 violazioni dei dati su 10 confermate sono dovute a password deboli o rubate: i suddetti attacchi al dizionario. Quindi un ottimo punto di partenza è assicurarsi che le tue password siano:
- Forte (una combinazione di lettere, numeri e caratteri speciali)
- Unica su tutte le piattaforme
- Più di 12 caratteri
Gli attacchi di forza bruta automatizzati che utilizzano password comuni possono accedere a un sito Web o a un account utente in pochi secondi.
Limita gli accessi a indirizzi IP specifici
Limitare determinati indirizzi IP dall'accesso al tuo sito può anche scoraggiare attacchi di forza bruta. Molti database di sicurezza hanno record di indirizzi IP di bot di forza bruta. Bloccando questi indirizzi IP, gli hacker devono lavorare molto duramente per accedere con successo al tuo sito web.
Un modo per farlo è configurare una porta di accesso remoto su un indirizzo IP statico. Potresti anche configurare una VPN.
Usa l'autenticazione a due fattori
L'autenticazione a due fattori è spesso considerata la prima linea di difesa contro gli attacchi di forza bruta. Garantiscono che gli hacker non possano accedere ai tuoi dati solo con un nome utente e una password. Avrebbero bisogno anche del tuo smartphone o del tuo client di posta elettronica.
Monitora i log del tuo server
Tenere d'occhio i registri del tuo server è un modo più proattivo per proteggere il tuo sito Web da attacchi di forza bruta. I registri registrano ogni tentativo di accesso fallito e, analizzandoli, è possibile identificare attività sospette.
Utilizza strumenti come Logwatch per eseguire controlli giornalieri e generare report facilmente interpretabili.
Impedisci l'attività dei bot sul tuo sito
Poiché gli attacchi di forza bruta vengono solitamente effettuati da bot automatizzati, bloccare questa forma di traffico è uno dei modi più efficaci per evitarli.
Bot Zapping di ClickCease blocca il traffico dei bot sui siti Web WordPress. Ciò significa che gli attacchi informatici come lo spam SEO, gli attacchi DDoS e gli attacchi di forza bruta vengono prevenuti in modo proattivo e in tempo reale.
Se gestisci un sito con un database utente, una funzione di checkout o anche se gestisci un sito ad alto traffico, devi considerare il blocco del traffico dei bot come funzionalità di sicurezza essenziale.
Oltre l'attacco di forza bruta
Sebbene un attacco di forza bruta possa essere dannoso per una serie di motivi, le minacce per il tuo business online sono molte e varie. E, come accennato in precedenza, spesso si tratta di robot.
I robot dannosi guidano la maggior parte delle attività dannose e dannose su Internet. Quindi prendersi cura della sicurezza della rete e impedire a bot di qualsiasi tipo di accedere al tuo sito Web significa che puoi essere protetto da:
- Violazioni dei dati e il conseguente danno alla tua reputazione
- Danni all'infrastruttura del tuo sito Web come installazione di malware o iniezione di contenuti
- Sito offline durante attacchi DDoS o ransomware
- Frodi sui clic e frodi pubblicitarie che danneggiano le tue campagne pubblicitarie a pagamento
Bot Zapping di ClickCease è un nuovo prodotto che fa parte del nostro toolkit anti-frode per gli esperti di marketing. Attualmente funziona solo per i siti Web WordPress, sebbene i siti WordPress rappresentino il 40% di Internet.
Gli utenti ClickCease esistenti possono eseguire un mese gratuito di Bot Zapping per vedere come funziona.
I nuovi utenti possono registrarsi per una prova gratuita per eseguire un controllo del traffico sui loro siti.