Cosa sono gli attacchi Brute Force per scovare password e chiavi

Cosa sono gli attacchi Forza Bruta o Brute Force e come vengono usati per scoprire le password criptate e chiavi di crittografia

Gli attacchi brute-force sono abbastanza semplici da capire, ma difficile da contrastare. Anche un sistema di crittografia complesso può oggi essere forzato da un attacco brute-force (o forza bruta) portato avanti da una serie di computer veloci. Questi attacchi possono essere lanciati contro qualsiasi tipo di crittografia o sistema di sicurezza con credenziali d'accesso (da una semplice password per il login in un sito o servizio fino al file compresso cifrato), e diventano sempre più veloci e più efficaci ogni volta man mano che vengono prodotti computer sempre più potenti.

Vediamo insieme, con parole semplici e facili da comprendere, cosa gli attacchi di tipo Brute Force, quali strumenti vengono utilizzati e cosa rischiamo se non scegliamo bene la password di sicurezza e/o ci affidiamo a protocollo di sicurezza vecchi e obsoleti (più facili da violare).

LEGGI ANCHE: Tecniche più usate per rubare password su internet

Come funzionano gli attacchi Brute Force

Gli attacchi di forza bruta o "Brute-force" in campo informatico sono piuttosto semplici da capire. Avendo un programma protetto da password, un hacker che vuole decifrarla comincia a provare, in serie, ogni combinazione di caratteri, simboli lettere o numeri fino a che non viene trovata la chiave giusta.
Ovviamente questi tentativi non vengono fatti a mano, ma in modo automatico con un programma per computer che è tanto più veloce quanto potente è il computer utilizzato.

Attacco a dizionario

L'attacco a forza bruta più semplice che può essere attuato è l' attacco a dizionario (dictionary attack): la natura di questo attacco si basa su un dizionario di parole scritte, spesso basate su un elenco di password comuni o su una serie di parole mirate (ossia create su misura per la persona o il servizio da colpire).
In pratica, invece di provare tutte le possibili combinazioni di password si provano quelle parole più usate dalle persone come, ad esempio, i nomi propri, nomi di città, nomi di calciatori, anni e date e cosi via. Teniamo presente che le password e le chiavi di crittografia sono cose diverse: la chiave è generata in modo totalmente casuale mentre una password deve essere ricordata e inserita manualmente quindi è una parola più semplice. Trovare la chiave di crittografia è difficile e necessità di un attacco Brute Force mentre le password si trovano con semplici attacchi dizionario.

Crack del protocollo di cifratura

L'attacco a forza bruta più efficace ma anche più difficile da portare a termine è il crack del protocollo di cifratura. Il cracker (ossia l'hacker che prova a fare questo tipo d'attacco) non prova a indovinrare la password da un dizionario, ma cerca di violare il protocollo che protegge la comunicazione, il file cifrato o la pagina di login: una volta trovato il punto debole lo sfrutta per bypassare la password e accedere subito a tutti i dati.

Come detto portare a termine questo tipo d'attacco non è affatto semplice e richiede una grandissima esperienza in cracking, oltre a grandi risorse dal punto di vista economico e informatico: con l'aggiornamento dei protocolli di sicurezza questo tipo d'attacco è diventato molto raro e portato a termine solo con l'impiego di un gran numero di cracker, che si concentrano tutti su un unico protocollo da violare.
Possiamo stare abbastanza tranquilli: questo tipo d'attacco non è facile da portare a termine e le risorse necessarie non vengono certo impiegate per una rete Wi-Fi casalinga, a meno che non utilizziamo protocolli già violati come WEP e WPA, come visto nella nostra guida Come Craccare password di rete WiFi WPA/WPA2.

Attacchi di forza bruta contro i siti web

C'è una differenza netta tra un attacco brute-force online ed uno offline. Ad esempio, se un utente malintenzionato volesse rubarmi la password di Gmail, non potrebbe trovare la mia password provando le varie combinazioni sul sito di Gmail perchè Google lo impedisce. Dopo vari tentativi infatti blocca l'accesso chiedendo di inserire un codice Captcha per evitare che qualche programma automatico tenti l'accesso. I servizi che forniscono l'accesso agli account online come anche Facebook fermano i tentativi di accesso e di chi tenta di accedere troppe volte sbagliando password.

D'altra parte, se l'hacker avesse accesso ad un computer che ha un programma di gestione delle password con chiave crittografata può avere tutto il tempo di lanciare un attacco di forza bruta o con dizionario tenendolo attivo fino a che non si trova la password. Non c'è modo allora di impedire che vengano provate un gran numero di password in un breve periodo di tempo. Teoricamente nessuna crittografia è invincibile anche se può volerci oltre un mese per rompere le resistenze più dure.

Velocità di un attacco Brute-Force

In merito alla velocità con cui può essere condotto un attacco a forza bruta tutto dipende tutta dall'hardware usato. Le agenzie di intelligence (ma sulla carta anche gli hacker) possono costruire server enormi specializzati nel calcolo condiviso, pesato solo per trovare chiavi di crittografia o per romperle. Il metodo sfrutta spesso le potenzialità delle moderne GPU, le stesse usate per i giochi e per le criptovalute, in grado di lavorare a velocità assurde su miliardi di dati in un secondo e craccare qualsiasi password semplice o protocollo standard (a costo di energia elettrica e spese di gestione molto elevate).

Nessuno impiegherà queste risorse per il nostro caro PC casalingo, a meno che non nascondiamo qualche segreto della NSA o della CIA! In tal caso meglio leggere subito i successivi capitoli.

Come rallentare gli attacchi a forza bruta

Uno dei metodi più usati per rendere difficile la vita degli hacker è l' Hashing: usare algoritmi di hashing forti possono rallentare gli attacchi di forza bruta. Questi algoritmi di Hash come SHA1 e MD5 svolgono un lavoro matematico supplementare su una password prima di memorizzarla.

Ovviamente un buon modo per rallentare gli attacchi a forza bruta richiede l'utilizzo dei protocolli di sicurezza recenti e aggiornati. Per esempio per il Wi-Fi dobbiamo far riferimento al WPA3 (ancora poco diffuso), mentre per gli altri tipi di cifratura il protocollo AES-256 (spesso unito all'Hash) è diventato uno standard abbastanza sicuro da mettere al riparo da un attacco condotto senza le risorse necessarie (nulla è inviolabile, solo che ci vuole troppo tempo e deve davvero valere la pena).

Proteggere i nostri dati da attacchi a forza bruta.

Non c'è modo di proteggere se stessi completamente, ma è improbabile che qualcuno si riversi contro di noi, comuni mortali, attacchi di forza bruta di alto livello. Non è quindi il caso di preoccuparsi troppo di subire questo tipo di attacchi informatici così complessi. Comunque sia è importante tenere al sicuro i dati crittografati cercando di non farvi accedere nessuno ed usare password sicure autogenerate in maniera quasi randomica, come visto nella nostra guida generare una Password forte per tutti i siti web. Ad una password sicura possiamo aggiungere un sistema d'autenticazione più difficile da craccare come il Two Way Authenticator, l'autenticazione a due fattori: anche se il cracker indovina la password, non può accedere al nostro account senza un codice generato sul nostro telefono, come visto nelle nostre guide Siti / app dove attivare la verifica in due passaggi della password e Migliori app per generare OTP, per accesso sicuro ai siti.

Il problema piuttosto è quello di difendersi dai cosidetti attacchi di ingegneria sociale per rubare dati personali e truffare che non sono basati tanto sulla tecnica quanto sull'ingegno e la furbizia; ad esempio mai aprire i messaggi Email che chiedono di accedere via internet al nostro conto in banca per metterlo al sicuro, per confermare o bloccare una transazione sospetta o per approvare nuove regole.

Conclusioni

Un attacco a forza bruta non è una passeggiata e difficilmente diventeremo vittima di questo tipo d'attacco: ovviamente cerchiamo sempre di usare protocolli di cifratura aggiornati, usiamo password complesse e difficili da trovare in un dizionario e attiviamo tutti i sistemi di sicurezza offerti da un sito (come per esempio l'autenticazione a due fattori), così da dare del filo da torcere a qualsiasi hacker della domenica e impedire l'accesso ai nostri servizi.

Se facciamo molta fatica a ricordare le password generate casualmente, vi raccomandiamo di leggere la nostra guida Come creare e gestire password degli account web.
Se invece temiamo che l'attacco al nostro computer sia avvenuto tramite virus o malware, vi consigliamo di leggere la nostra guida Migliori Anti-malware per trovare anche spyware nascosti.