Ataques de força bruta explicados Como toda a criptografia é vulnerável
Ataques de força bruta são bastante simples de entender, mas difíceis de proteger. A criptografia é matemática, e à medida que os computadores se tornam mais rápidos em matemática, eles se tornam mais rápidos em tentar todas as soluções e ver qual se encaixa.
Esses ataques podem ser usados contra qualquer tipo de criptografia, com vários graus de sucesso. Os ataques de força bruta tornam-se mais rápidos e mais eficazes a cada dia que passa, à medida que um hardware de computador mais novo e mais rápido é lançado.
Noções básicas de força bruta
Ataques de força bruta são simples de entender. Um invasor tem um arquivo criptografado - digamos, seu banco de dados de senhas LastPass ou KeePass. Eles sabem que esse arquivo contém dados que desejam ver e sabem que há uma chave de criptografia que o desbloqueia. Para descriptografá-lo, eles podem começar a tentar cada senha possível e ver se isso resulta em um arquivo descriptografado.
Eles fazem isso automaticamente com um programa de computador, de modo que a velocidade com que alguém pode criptografar a força bruta aumenta à medida que o hardware disponível se torna mais e mais rápido, capaz de fazer mais cálculos por segundo. O ataque de força bruta provavelmente começaria com senhas de um dígito antes de passar para senhas de dois dígitos e assim por diante, tentando todas as combinações possíveis até que uma funcionasse..
Um "ataque de dicionário" é semelhante e tenta palavras em um dicionário - ou uma lista de senhas comuns - em vez de todas as senhas possíveis. Isso pode ser muito eficaz, pois muitas pessoas usam senhas fracas e comuns.
Por que atacantes não conseguem usar serviços da Web de força bruta?
Há uma diferença entre ataques de força bruta online e offline. Por exemplo, se um invasor quiser entrar brutalmente na sua conta do Gmail, ele poderá começar a tentar todas as senhas possíveis, mas o Google as eliminará rapidamente. Os serviços que fornecem acesso a essas contas restringem as tentativas de acesso e proíbem os endereços IP que tentam efetuar o login tantas vezes. Assim, um ataque contra um serviço online não funcionaria muito bem, porque muito poucas tentativas podem ser feitas antes que o ataque fosse interrompido..
Por exemplo, depois de algumas tentativas de login com falha, o Gmail mostrará uma imagem CATPCHA para verificar se você não é um computador tentando senhas automaticamente. Eles provavelmente interromperão completamente suas tentativas de login se você conseguir continuar por tempo suficiente.
Por outro lado, digamos que um invasor tenha roubado um arquivo criptografado do seu computador ou tenha comprometido um serviço online e baixado esses arquivos criptografados. O invasor agora tem os dados criptografados em seu próprio hardware e pode tentar quantas senhas quiser quando quiser. Se eles tiverem acesso aos dados criptografados, não há como impedi-los de tentar um grande número de senhas em um curto período de tempo. Mesmo se você estiver usando criptografia forte, é bom para você manter seus dados protegidos e garantir que outras pessoas não possam acessá-los.
Hashing
Algoritmos hash fortes podem retardar ataques de força bruta. Essencialmente, os algoritmos de hashing executam trabalho matemático adicional em uma senha antes de armazenar um valor derivado da senha no disco. Se um algoritmo de hash mais lento for usado, será necessário milhares de vezes mais trabalho matemático para testar cada senha e diminuir drasticamente os ataques de força bruta. No entanto, quanto mais trabalho for necessário, mais trabalho um servidor ou outro computador terá que executar sempre que o usuário fizer login com sua senha. O software deve equilibrar a resiliência contra ataques de força bruta com o uso de recursos.
Velocidade de força bruta
Velocidade tudo depende do hardware. As agências de inteligência podem construir hardware especializado apenas para ataques de força bruta, assim como os mineradores de Bitcoin constroem seu próprio hardware especializado otimizado para mineração de Bitcoin. Quando se trata de hardware de consumo, o tipo mais eficaz de hardware para ataques de força bruta é uma placa de vídeo (GPU). Como é fácil experimentar muitas chaves de criptografia diferentes de uma só vez, muitas placas gráficas em execução em paralelo são ideais.
No final de 2012, a Ars Technica informou que um cluster de 25-GPU poderia quebrar todas as senhas do Windows com menos de 8 caracteres em menos de seis horas. O algoritmo NTLM usado pela Microsoft simplesmente não era suficientemente resiliente. No entanto, quando o NTLM foi criado, levaria muito mais tempo para tentar todas essas senhas. Isso não foi considerado uma ameaça suficiente para a Microsoft tornar a criptografia mais forte.
A velocidade está aumentando e, em algumas décadas, podemos descobrir que mesmo os algoritmos criptográficos mais fortes e as chaves de criptografia que usamos hoje podem ser rapidamente quebrados por computadores quânticos ou qualquer outro hardware que estivermos usando no futuro..
Protegendo seus dados contra ataques de força bruta
Não há como se proteger completamente. É impossível dizer o quão rápido o hardware do computador vai ficar e se qualquer um dos algoritmos de criptografia que usamos hoje tem pontos fracos que serão descobertos e explorados no futuro. No entanto, aqui estão os princípios básicos:
- Mantenha seus dados criptografados protegidos onde invasores não podem acessá-los. Depois de terem seus dados copiados para o hardware, eles podem tentar ataques de força bruta contra eles em seu tempo livre..
- Se você executar qualquer serviço que aceite logons pela Internet, garanta que ele limita as tentativas de login e bloqueia as pessoas que tentam efetuar login com muitas senhas diferentes em um curto período de tempo. Geralmente, o software do servidor está configurado para isso, pois é uma boa prática de segurança.
- Use algoritmos de criptografia fortes, como o SHA-512. Verifique se você não está usando algoritmos de criptografia antigos com fraquezas conhecidas e fáceis de violar.
- Use senhas longas e seguras. Toda a tecnologia de criptografia do mundo não vai ajudar se você estiver usando "senha" ou o sempre popular "hunter2".
Ataques de força bruta são algo para se preocupar ao proteger seus dados, escolhendo algoritmos de criptografia e selecionando senhas. Eles também são uma razão para continuar desenvolvendo algoritmos criptográficos mais fortes - a criptografia tem que acompanhar o quão rápido está sendo inutilizado por um novo hardware..
Crédito de imagem: Johan Larsson no Flickr, Jeremy Gosney