19Aug
Os ataques de força bruta são bastante simples de entender, mas difíceis de proteger. A criptografia é matemática, e à medida que os computadores se tornam mais rápidos em matemática, eles se tornam mais rápidos em tentar todas as soluções e ver qual delas se encaixa.
Estes ataques podem ser usados contra qualquer tipo de criptografia, com diferentes graus de sucesso. Os ataques de força bruta tornam-se mais rápidos e eficazes com cada dia que passa, uma vez que um hardware de computador mais novo e mais rápido é lançado.
Aspectos básicos da força bruta
Os ataques de força bruta são simples de entender. Um invasor possui um arquivo criptografado - digamos, seu banco de dados de senhas LastPass ou KeePass. Eles sabem que este arquivo contém dados que eles querem ver, e eles sabem que existe uma chave de criptografia que o desbloqueia. Para descriptografar, eles podem começar a tentar todas as senhas possíveis e ver se isso resulta em um arquivo descriptografado.
Fazem isso automaticamente com um programa de computador, de modo que a velocidade na qual alguém pode codificar a força bruta aumenta à medida que o hardware do computador disponível se torna cada vez mais rápido, capaz de fazer mais cálculos por segundo. O ataque de força bruta provavelmente começaria com senhas de um dígito antes de passar para senhas de dois dígitos e assim por diante, tentando todas as combinações possíveis até que uma funcione.
Um "ataque de dicionário" é semelhante e tenta palavras em um dicionário - ou uma lista de senhas comuns - em vez de todas as senhas possíveis. Isso pode ser muito eficaz, pois muitas pessoas usam senhas tão fracas e comuns.
Por que os atacantes não conseguem serviços Web Brute-Force
Existe uma diferença entre ataques de força bruta online e off-line. Por exemplo, se um atacante quiser brutar-forçar seu caminho para sua conta do Gmail, eles podem começar a tentar todas as possíveis senhas possíveis - mas o Google irá cortá-las rapidamente. Os serviços que fornecem acesso a tais contas acelerarão as tentativas de acesso e proibirão os endereços IP que tentam se conectar tantas vezes. Assim, um ataque contra um serviço on-line não funcionaria muito bem porque poucas tentativas podem ser feitas antes do ataque ser interrompido.
Por exemplo, após algumas tentativas de login com falha, o Gmail irá mostrar-lhe uma imagem CATPCHA para verificar se você não é um computador automaticamente tentando senhas. Eles provavelmente pararão suas tentativas de login completamente se você conseguiu continuar por tempo suficiente.
Por outro lado, digamos que um atacante enganou um arquivo criptografado do seu computador ou conseguiu comprometer um serviço on-line e baixar esses arquivos criptografados. O invasor agora possui os dados criptografados em seu próprio hardware e pode tentar tantas senhas quanto quiserem em seu lazer. Se eles tiverem acesso aos dados criptografados, não há como evitar que eles tentem um grande número de senhas em um curto período de tempo. Mesmo se você estiver usando criptografia forte, é seu benefício manter seus dados seguros e garantir que outros não possam acessá-lo.
Hashing
Os algoritmos de hashing fortes podem diminuir os ataques de força bruta. Essencialmente, os algoritmos de hash realizam trabalhos matemáticos adicionais em uma senha antes de armazenar um valor derivado da senha no disco. Se um algoritmo de hash mais lento for usado, ele exigirá milhares de vezes o trabalho matemático para tentar cada senha e desacelerar dramaticamente os ataques de força bruta. No entanto, quanto mais trabalho for necessário, mais um servidor ou outro computador deve fazer cada vez que o usuário faça o login com a senha. O software deve equilibrar a resiliência contra ataques de força bruta com uso de recursos.
Velocidade Bruta-Força
Velocidade depende de hardware. As agências de inteligência podem criar hardware especializado apenas para ataques de força bruta, assim como os mineiros de Bitcoin criam seu próprio hardware especializado otimizado para a mineração Bitcoin. Quando se trata de hardware de consumo, o tipo de hardware mais efetivo para ataques de força bruta é uma placa gráfica( GPU).Como é fácil tentar várias chaves de criptografia diferentes ao mesmo tempo, muitas placas gráficas que funcionam em paralelo são ideais.
No final de 2012, a Ars Technica informou que um cluster de 25 GPUs poderia quebrar todas as senhas do Windows com menos de 8 caracteres em menos de seis horas. O algoritmo NTLM utilizado pela Microsoft apenas não era suficientemente resiliente. No entanto, quando NTLM foi criado, teria demorado muito mais para tentar todas essas senhas. Isso não foi considerado uma ameaça para a Microsoft tornar a criptografia mais forte.
A velocidade está aumentando e, em algumas décadas, podemos descobrir que até mesmo os algoritmos criptográficos mais fortes e as chaves de criptografia que usamos hoje podem ser rapidamente criadas por computadores quânticos ou qualquer outro hardware que estamos usando no futuro.
Protegendo seus dados de ataques de força bruta
Não há nenhuma maneira de se proteger completamente.É impossível dizer o quão rápido o hardware do computador irá obter e se algum dos algoritmos de criptografia que usamos hoje tem fracos que serão descobertos e explorados no futuro. No entanto, aqui estão os conceitos básicos:
- Mantenha seus dados criptografados seguros onde os invasores não podem acessar isso. Uma vez que eles tenham seus dados copiados para o seu hardware, eles podem tentar ataques de força bruta contra ele em seu lazer.
- Se você executar qualquer serviço que aceite logins pela Internet, assegure-se de que limita as tentativas de login e bloqueia as pessoas que tentam fazer logon com muitas senhas diferentes em um curto período de tempo. O software do servidor geralmente é configurado para fazer isso fora da caixa, pois é uma boa prática de segurança.
- Use algoritmos de criptografia fortes, como o SHA-512.Certifique-se de que não está usando antigos algoritmos de criptografia com fraquezas conhecidas que são fáceis de quebrar.
- Use senhas seguras e seguras. Toda a tecnologia de criptografia no mundo não vai ajudar se você estiver usando "senha" ou o "caçador2" sempre popular.
Os ataques de força bruta são algo para se preocupar ao proteger seus dados, escolher algoritmos de criptografia e selecionar senhas. Eles também são uma razão para continuar desenvolvendo algoritmos criptográficos mais fortes - a criptografia tem que acompanhar a rapidez com a qual o hardware novo está sendo ineficaz.
Crédito da imagem: Johan Larsson no Flickr, Jeremy Gosney