Um ataque de força bruta tenta sistematicamente combinações possíveis de caracteres ou números para adivinhar senhas ou nomes de usuários e obter acesso não autorizado à conta.

Um ataque de força bruta é uma tentativa de descobrir uma senha tentando sistematicamente combinações de letras, números e símbolos para passar pelos controles de autenticação e autorização, geralmente empregando um dicionário de palavras e táticas como pulverização de senhas.

A lógica por trás dos ataques de força bruta — também chamados de quebra de senha — é muito simples: insira todos os padrões de senha possíveis. Por exemplo, se você usar um PIN de quatro dígitos como senha, você acabará chegando à resposta correta tentando todas as 10.000 combinações de "0000" a "9999". Seria difícil para um humano tentar fazer isso manualmente, mas é fácil fazê-lo usando ferramentas automatizadas. Se você conseguir tentar uma senha a cada segundo, poderá descobri-la em no máximo 10.000 segundos (cerca de 2 horas e 47 minutos). Embora os ataques de força bruta não sejam uma forma particularmente sofisticada de ataque cibernético, eles permanecem persistentes devido à sua eficácia contra senhas fracas e sistemas mal protegidos, e porque os kits de ferramentas automatizados tornam a economia de dimensionamento e execução deles atraente para os invasores.

Tipos de ataques de força bruta

Ataques de força bruta podem assumir diversas formas. Ataques simples de força bruta envolvem tentar sistematicamente todas as combinações possíveis de números ou caracteres até que a correta seja encontrada. Esse método pode consumir muito tempo e recursos, especialmente para senhas ou frases-senha mais longas ou complexas.

Uma técnica mais focada é o ataque de dicionário, que se baseia em uma lista predefinida de possíveis senhas ou frases. Em vez de tentar todas as combinações possíveis de números ou caracteres, como em um ataque de força bruta tradicional, o invasor tenta sistematicamente cada palavra ou frase em um dicionário até que a correta seja identificada. Embora os ataques de dicionário sejam mais rápidos do que os ataques de força bruta simples, eles ainda são suscetíveis a falhas se a senha for suficientemente complexa, fizer uso de caracteres especiais ou não estiver incluída no dicionário usado. Além disso, usar um ataque de dicionário no mesmo prompt de login acionará rapidamente os controles de limitação de taxa e bloqueio de conta.

Ataques de força bruta híbridos combinam elementos de ataques de dicionário e ataques de força bruta simples. Em um ataque híbrido, o invasor empregará um conjunto de caracteres aleatórios, como em um ataque de força bruta tradicional, e também uma lista de palavras e frases comuns, como em um ataque de dicionário. Essa abordagem híbrida aumenta a probabilidade de sucesso ao aproveitar senhas comuns do dicionário e combinações de caracteres menos previsíveis.

Outra forma de ataque é o ataque de força bruta reversa. Em vez de tentar uma sucessão de várias senhas para uma conta específica, os invasores aplicam senhas específicas que eles acreditam que podem ser comumente usadas (como “senha1234”) em um grande número de nomes de usuários de contas. Esse método se baseia na suposição de que pelo menos algumas das contas visadas usam a senha escolhida e é menos provável que acione medidas de mitigação com base no número de tentativas de login com falha.

Enquanto preenchimento de credenciais geralmente não é considerado uma forma de ataque de força bruta (o invasor já tem uma lista conhecida de nomes de usuário e senhas), ele compartilha o objetivo de obter acesso não autorizado a contas, geralmente seguido por apropriação indébita de conta (ATO) e fraude. O preenchimento de credenciais depende de scripts ou ferramentas automatizadas para aplicar rapidamente grandes conjuntos de credenciais comprometidas, como combinações de nome de usuário/senha obtidas de violações de dados anteriores ou da dark web, em vários formulários de login on-line. Embora o credential stuffing não envolva testes exaustivos de todas as combinações possíveis, como ataques de força bruta, ele ainda é um método automatizado para tentar acesso não autorizado, o que o torna uma ameaça significativa à segurança. Ambos os tipos de ataques são considerados de alto risco nos projetos OWASP Top 10 e OWASP Automated Threats .

Autenticação fraca ou quebrada é outro meio de entrada para invasores de força bruta. Alguns sistemas de autenticação não implementam mecanismos de bloqueio ou limitação, que limitam o número de tentativas de login dentro de um determinado período de tempo. Sem essas proteções, os invasores podem tentar adivinhar senhas repetidamente sem nenhuma restrição, aumentando a probabilidade de um ataque de força bruta bem-sucedido.

Ataques de força bruta também podem ser empregados para adivinhar IDs de sessão ou explorar fraquezas em mecanismos de gerenciamento de sessão para adquirir ou sequestrar IDs de sessão válidos. Depois que um invasor obtém um ID de sessão válido, ele pode usá-lo para representar o usuário autenticado e obter acesso não autorizado a recursos protegidos.

Os motivos por trás dos ataques de força bruta

Os motivos que levam os hackers a realizar ataques de força bruta podem variar muito, mas geralmente envolvem a obtenção de acesso não autorizado a sistemas, redes ou contas para fins maliciosos.

Alguns motivos comuns incluem ganho monetário, como quando os invasores tentam roubar informações financeiras, como números de cartão de crédito ou credenciais bancárias, para cometer fraude ou roubo. Eles também podem ter como alvo o acesso a informações pessoais identificáveis (PII), propriedade intelectual ou dados comerciais confidenciais, que podem ser vendidos. Os invasores também podem obter acesso a contas pessoais para se passar por indivíduos e se envolver em atividades fraudulentas.

Os criminosos também podem sequestrar sistemas para outras formas de comportamento malicioso, como organizar uma botnet, que é uma rede de dispositivos sob o controle de um invasor que coordena essas múltiplas fontes e lança ataques distribuídos de negação de serviço (DDoS).

O acesso não autorizado a sistemas e contas por meio de ataques de força bruta também pode espalhar malware ou spyware, ou atingir sites com ataques que os infestam com textos e imagens obscenos ou ofensivos, ameaçando a reputação de uma empresa ou site. Os hackers também podem usar ataques de força bruta para explorar anúncios ou dados de atividades, usando acesso não autorizado para colocar anúncios de spam em sites para ganhar comissões de publicidade ou redirecionar o tráfego de um site pretendido para um site malicioso para roubar credenciais ou fraudar usuários. 

Como prevenir ataques de força bruta

Há várias maneiras de diminuir o risco de ataques de força bruta, e implementar várias das medidas a seguir tornará mais difícil para os invasores adivinharem senhas ou obterem acesso não autorizado por meio de repetidas tentativas de login. Isso inclui:

  • Usando senhas fortes e complexas . Senhas fortes são a primeira linha de defesa contra acesso não autorizado a sistemas e dados. Uma política de senha bem definida ajuda a garantir que os usuários criem e mantenham senhas seguras, que incluem uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Ferramentas de quebra de senhas cada vez mais sofisticadas significam que frases-senha longas agora são muito mais protetoras do que senhas simples. As políticas devem proibir a reutilização de senhas, que é uma das principais causas de ataques de preenchimento de credenciais e invasão de contas. 
  • Empregando autenticação multifator (MFA). Além de inserir um nome de usuário e uma senha ou frase-senha, o MFA exige que o usuário apresente fatores adicionais para obter acesso a um aplicativo, recurso, conta online ou outro serviço. Na prática comum, isso geralmente envolve inserir uma senha de uso único de um e-mail ou mensagem SMS em um smartphone ou navegador, ou fornecer dados biométricos, como impressão digital ou escaneamento facial.
  • Implementando políticas de bloqueio de conta . Após um certo número de tentativas de login com falha, bloqueie as contas de usuários por um período de tempo especificado ou até que sejam desbloqueadas manualmente por um administrador. Isso evita que invasores tentem adivinhar senhas repetidamente. A limitação de taxa também pode ser usada para restringir o número de solicitações de login de um único endereço IP ou conta de usuário dentro de um período de tempo especificado.
  • Criptografando dados confidenciais. Criptografar dados confidenciais em repouso e em trânsito garante que, mesmo que invasores obtenham acesso não autorizado a um sistema, eles não consigam ler os dados sem a chave de criptografia. Isso torna os ataques de força bruta menos eficazes, pois os invasores precisariam da chave de criptografia para descriptografar os dados.
  • Manter o software atualizado. Garanta que todos os softwares, incluindo sistemas operacionais, servidores web e aplicativos, sejam corrigidos e atualizados regularmente para lidar com vulnerabilidades de segurança que podem ser exploradas por invasores.
  • Implantando gerenciamento de bots e firewalls de aplicativos web. A implantação de soluções que impedem ataques automatizados pode proteger a lógica empresarial crítica contra abusos, incluindo ataques de força bruta.  

Como a F5 lida com ataques de força bruta?

O Projeto de Ameaças Automatizadas a Aplicações Web do OWASP (Open Worldwide Application Security Project) identifica ataques de força bruta como um tipo de ataque de quebra de credenciais (OAT-007) . A F5 oferece soluções para lidar com muitos dos riscos automatizados do OWASP. O F5 Distributed Cloud Bot Defense impede bots e automação maliciosa para evitar ATO e as fraudes e abusos resultantes que podem contornar as soluções de gerenciamento de bots existentes. O Distributed Cloud Bot Defense fornece monitoramento e inteligência em tempo real, bem como análise retrospectiva baseada em ML para proteger organizações de ataques automatizados, incluindo aqueles que empregam técnicas de força bruta.

As soluções F5 Web Application Firewall (WAF) também bloqueiam e mitigam um amplo espectro de riscos identificados pelo OWASP. As soluções F5 WAF combinam proteções de assinatura e comportamentais, incluindo inteligência de ameaças do F5 Labs e segurança baseada em ML, para acompanhar as ameaças emergentes. Para evitar ataques de força bruta, o WAF rastreia o número de tentativas malsucedidas de acessar os URLs de login configurados. Quando padrões de força bruta são detectados, a política WAF os considera um ataque se a taxa de logon com falha aumentar significativamente ou se os logins com falha atingirem um limite máximo.

As soluções WAF da F5 integram-se às soluções de Bot Defense da F5 para fornecer mitigação robusta para os principais riscos de segurança, incluindo explorações de vulnerabilidades e ataques de força bruta automatizados.