Um ataque de força bruta tenta sistematicamente combinações possíveis de caracteres ou números para adivinhar senhas ou nomes de usuários e obter acesso não autorizado à conta.
Um ataque de força bruta é uma tentativa de descobrir uma senha tentando sistematicamente combinações de letras, números e símbolos para passar pelos controles de autenticação e autorização, geralmente empregando um dicionário de palavras e táticas como pulverização de senhas.
A lógica por trás dos ataques de força bruta — também chamados de quebra de senha — é muito simples: insira todos os padrões de senha possíveis. Por exemplo, se você usar um PIN de quatro dígitos como senha, você acabará chegando à resposta correta tentando todas as 10.000 combinações de "0000" a "9999". Seria difícil para um humano tentar fazer isso manualmente, mas é fácil fazê-lo usando ferramentas automatizadas. Se você conseguir tentar uma senha a cada segundo, poderá descobri-la em no máximo 10.000 segundos (cerca de 2 horas e 47 minutos). Embora os ataques de força bruta não sejam uma forma particularmente sofisticada de ataque cibernético, eles permanecem persistentes devido à sua eficácia contra senhas fracas e sistemas mal protegidos, e porque os kits de ferramentas automatizados tornam a economia de dimensionamento e execução deles atraente para os invasores.
Ataques de força bruta podem assumir diversas formas. Ataques simples de força bruta envolvem tentar sistematicamente todas as combinações possíveis de números ou caracteres até que a correta seja encontrada. Esse método pode consumir muito tempo e recursos, especialmente para senhas ou frases-senha mais longas ou complexas.
Uma técnica mais focada é o ataque de dicionário, que se baseia em uma lista predefinida de possíveis senhas ou frases. Em vez de tentar todas as combinações possíveis de números ou caracteres, como em um ataque de força bruta tradicional, o invasor tenta sistematicamente cada palavra ou frase em um dicionário até que a correta seja identificada. Embora os ataques de dicionário sejam mais rápidos do que os ataques de força bruta simples, eles ainda são suscetíveis a falhas se a senha for suficientemente complexa, fizer uso de caracteres especiais ou não estiver incluída no dicionário usado. Além disso, usar um ataque de dicionário no mesmo prompt de login acionará rapidamente os controles de limitação de taxa e bloqueio de conta.
Ataques de força bruta híbridos combinam elementos de ataques de dicionário e ataques de força bruta simples. Em um ataque híbrido, o invasor empregará um conjunto de caracteres aleatórios, como em um ataque de força bruta tradicional, e também uma lista de palavras e frases comuns, como em um ataque de dicionário. Essa abordagem híbrida aumenta a probabilidade de sucesso ao aproveitar senhas comuns do dicionário e combinações de caracteres menos previsíveis.
Outra forma de ataque é o ataque de força bruta reversa. Em vez de tentar uma sucessão de várias senhas para uma conta específica, os invasores aplicam senhas específicas que eles acreditam que podem ser comumente usadas (como “senha1234”) em um grande número de nomes de usuários de contas. Esse método se baseia na suposição de que pelo menos algumas das contas visadas usam a senha escolhida e é menos provável que acione medidas de mitigação com base no número de tentativas de login com falha.
Enquanto preenchimento de credenciais geralmente não é considerado uma forma de ataque de força bruta (o invasor já tem uma lista conhecida de nomes de usuário e senhas), ele compartilha o objetivo de obter acesso não autorizado a contas, geralmente seguido por apropriação indébita de conta (ATO) e fraude. O preenchimento de credenciais depende de scripts ou ferramentas automatizadas para aplicar rapidamente grandes conjuntos de credenciais comprometidas, como combinações de nome de usuário/senha obtidas de violações de dados anteriores ou da dark web, em vários formulários de login on-line. Embora o credential stuffing não envolva testes exaustivos de todas as combinações possíveis, como ataques de força bruta, ele ainda é um método automatizado para tentar acesso não autorizado, o que o torna uma ameaça significativa à segurança. Ambos os tipos de ataques são considerados de alto risco nos projetos OWASP Top 10 e OWASP Automated Threats .
Autenticação fraca ou quebrada é outro meio de entrada para invasores de força bruta. Alguns sistemas de autenticação não implementam mecanismos de bloqueio ou limitação, que limitam o número de tentativas de login dentro de um determinado período de tempo. Sem essas proteções, os invasores podem tentar adivinhar senhas repetidamente sem nenhuma restrição, aumentando a probabilidade de um ataque de força bruta bem-sucedido.
Ataques de força bruta também podem ser empregados para adivinhar IDs de sessão ou explorar fraquezas em mecanismos de gerenciamento de sessão para adquirir ou sequestrar IDs de sessão válidos. Depois que um invasor obtém um ID de sessão válido, ele pode usá-lo para representar o usuário autenticado e obter acesso não autorizado a recursos protegidos.
Os motivos que levam os hackers a realizar ataques de força bruta podem variar muito, mas geralmente envolvem a obtenção de acesso não autorizado a sistemas, redes ou contas para fins maliciosos.
Alguns motivos comuns incluem ganho monetário, como quando os invasores tentam roubar informações financeiras, como números de cartão de crédito ou credenciais bancárias, para cometer fraude ou roubo. Eles também podem ter como alvo o acesso a informações pessoais identificáveis (PII), propriedade intelectual ou dados comerciais confidenciais, que podem ser vendidos. Os invasores também podem obter acesso a contas pessoais para se passar por indivíduos e se envolver em atividades fraudulentas.
Os criminosos também podem sequestrar sistemas para outras formas de comportamento malicioso, como organizar uma botnet, que é uma rede de dispositivos sob o controle de um invasor que coordena essas múltiplas fontes e lança ataques distribuídos de negação de serviço (DDoS).
O acesso não autorizado a sistemas e contas por meio de ataques de força bruta também pode espalhar malware ou spyware, ou atingir sites com ataques que os infestam com textos e imagens obscenos ou ofensivos, ameaçando a reputação de uma empresa ou site. Os hackers também podem usar ataques de força bruta para explorar anúncios ou dados de atividades, usando acesso não autorizado para colocar anúncios de spam em sites para ganhar comissões de publicidade ou redirecionar o tráfego de um site pretendido para um site malicioso para roubar credenciais ou fraudar usuários.
Há várias maneiras de diminuir o risco de ataques de força bruta, e implementar várias das medidas a seguir tornará mais difícil para os invasores adivinharem senhas ou obterem acesso não autorizado por meio de repetidas tentativas de login. Isso inclui:
O Projeto de Ameaças Automatizadas a Aplicações Web do OWASP (Open Worldwide Application Security Project) identifica ataques de força bruta como um tipo de ataque de quebra de credenciais (OAT-007) . A F5 oferece soluções para lidar com muitos dos riscos automatizados do OWASP. O F5 Distributed Cloud Bot Defense impede bots e automação maliciosa para evitar ATO e as fraudes e abusos resultantes que podem contornar as soluções de gerenciamento de bots existentes. O Distributed Cloud Bot Defense fornece monitoramento e inteligência em tempo real, bem como análise retrospectiva baseada em ML para proteger organizações de ataques automatizados, incluindo aqueles que empregam técnicas de força bruta.
As soluções F5 Web Application Firewall (WAF) também bloqueiam e mitigam um amplo espectro de riscos identificados pelo OWASP. As soluções F5 WAF combinam proteções de assinatura e comportamentais, incluindo inteligência de ameaças do F5 Labs e segurança baseada em ML, para acompanhar as ameaças emergentes. Para evitar ataques de força bruta, o WAF rastreia o número de tentativas malsucedidas de acessar os URLs de login configurados. Quando padrões de força bruta são detectados, a política WAF os considera um ataque se a taxa de logon com falha aumentar significativamente ou se os logins com falha atingirem um limite máximo.
As soluções WAF da F5 integram-se às soluções de Bot Defense da F5 para fornecer mitigação robusta para os principais riscos de segurança, incluindo explorações de vulnerabilidades e ataques de força bruta automatizados.
DOCUMENTO TÉCNICO
Visão geral: Proteção de Força Bruta ›