Compreenda a Prevenção de Ataques de Força Bruta
Na comunidade hacker, ganhar acesso é o Santo Graal. Com credenciais de login, os atacantes são capazes de ter ganhos financeiros enormes, através da distribuição de spam e de malware. Eles podem integrar sequências de ataques complexos que podem incluir vários conjuntos de ferramentas como o Blackhole Exploit kit. Ao longo desse processo, o hacker danifica a imagem da sua marca, seus visitantes, e sua presença online.
Todos os Sites Sofrem com Ataques de Força Bruta
O tempo decorrido entre a entrada no ar de um novo site e as primeiras tentativas de login mal-intencionadas é de, no máximo, algumas semanas. Essas tentativas de login são provenientes de botnets automáticos que estão programados para rastrear a internet, a procura de sites e localizar seus painéis de login, usando condições predefinidas. Os ataques não são direcionados, nem são realizados manualmente. Uma vez que um painel de login for encontrado, ferramentas são usadas para adivinhar senhas repetidamente, com o objetivo de obter acesso. Esses bots são incrivelmente rápidos e os hackers que os controlam têm enormes quantidades de dados que ajudam o computador a adivinhar senhas e credenciais de forma mais eficiente. Uma vez que o bot encontra a senha correta, o atacante pode fazer upload de um shell, criar novas contas, alterar senhas, fazer upload de payloads maliciosos e destruir seu negócio completamente.
Implicações dos Ataques de DoS
Devido ao número potencial de pedidos enviados, um ataque de força bruta pode realmente funcionar de maneira semelhante a um ataque DoS, tirando sites do ar, devido à alta utilização do CPU/memória. O Firewall de Sites da Sucuri impede que isso aconteça, usando pedidos de filtragem, além de cache, para acelerar seu site.
Tempo de Atraso
Muitas vezes, há um tempo de atraso, ao se conseguir ter acesso ao site. Isso faz sentido, já que o acesso derruba o tráfego do site e faz com que os logs do servidor desapareçam, sem deixar nenhum vestígio do atacante. Temos visto isso muitas vezes. Alguns hosts armazenam somente até 7 dias de logs e, em alguns casos, não armazenam mais de 24 horas de logs. Isso significa que, se esperar o tempo suficiente, os hackers podem fazer login sempre que quiserem, sem que o proprietário do site perceba. Isso torna a resposta ao incidente muito mais difícil.
Sobre Senhas Fortes
Senhas muito fortes dificultam o sucesso dos ataque de força bruta, mas não os impossibilitam. Nós, seres humanos, já não somos bons para escolher senhas, e ainda há uma série de maneiras que os hackers usam para continuar a aprimorar o jogo de adivinhação de senhas
Ataques de Dicionário
Com menos de cem caracteres em um teclado típico, um ataque de força bruta muito básico tentará adivinhar todas as combinações possíveis desses caracteres, até que o acesso seja concedido. Esse método funciona de forma rápida se a senha for curta, mas pode ser desgastante, para senhas mais longas. Para adivinhar senhas mais longas, é mais comum a utilização de um ataque de dicionário. Em vez de adivinhar todas as combinações possíveis de caracteres, ele usa listas de palavras de dicionários e literatura. As ferramentas que os hackers usam para executar ataques de dicionário estão ficando cada dia mais eficientes e mais complexas.
Listas de Senhas
Muitas empresas sofreram violações de senha, e os atacantes geralmente lançam listas de senhas para que outros hackers também a utilizem. Essa é uma tendência que promete continuar, o que significa que todas as senhas mais comuns são facilmente desvendadas dentro de segundos. Isso não vale somente para as senhas fracas. As ferramentas usadas para realizar ataques de dicionário são altamente personalizáveis e o número de listas de palavras criadas tornaram quase impossível garantir que sua senha seja inviolável. Violações continuarão a ocorrer. Hackers analisam lixeiras de senhas para estudarm os truques que as pessoas mais experientes usam para fazer com que suas senhas sejam, ao mesmo tempo, memoráveis e fortes.
Ferramentas de Quebra de Senhas
Há uma grande variedade de ferramentas de quebra de senhas disponíveis para os atacantes que procuram invadir seu site. As ferramentas contam com vários modos de ataque para garantir a eficiência de seus ataques e para cobrir todas possibilidades, quando possível. Por exemplo, os ataques de combinadores (combinator attacks) combinam palavras existentes, a partir de listas de senhas. Ataques máscara (mask attacks) sabem como os seres humanos inventam suas senhas e fazem tentativas de padrões comuns de listas de palavras. Com os computadores capazes de adivinhar centenas de milhões de senhas por segundo, a realidade assustadora é que as chamadas senhas fortes são quebráveis em menos de uma hora de tentativas repetidas.
Rainbow Tables
Hackers que roubam bancos de dados de senhas, originalmente, têm uma lista de senhas criptografadas. As senhas nunca devem ser armazenadas em texto simples, mas, muitas vezes, os mesmos métodos de criptografia são utilizados (MD5 ou SHA1). Esses algoritmos são facilmente revertidos, permitindo que o invasor crie tabelas do pré-computadas (rainbow tables), que podem combinar o output criptografado com a password.hash de texto simples.
Engenharia Social
Na maioria das vezes, ataques de força bruta não são direcionados, mas quando o são, se tornam ainda mais perigosos. Os atacantes podem usar informações sobre administradores de sites e usuários por meio de de phishing lures, perfis online e lixeiras de senhas anteriores associadas com o endereço de email do usuário. A partir desse ponto, podem fazer ataques baseados em regras personalizadas, que podem deixar você e seu site completamente expostos.